Data Domain : authentification et chiffrement globaux DD Boost

Le chiffrement et l’authentification Boost dépend de la compatibilité client. Consultez les informations et le tableau ci-dessous.
Vous pouvez spécifier les paramètres d’authentification et de chiffrement de trois manières, décrites plus loin dans ce document.

Chiffrement à la volée
Le chiffrement à la volée permet aux applications de chiffrer la sauvegarde à la volée ou de restaurer les données via le LAN à partir du système de protection. Cette fonctionnalité a été introduite pour offrir une capacité de transport de données plus sécurisée.
Lorsqu’elle est configurée, le client peut utiliser TLS pour chiffrer la session entre le client et le système de protection. La suite de chiffrement spécifique utilisée est la suivante dans le tableau ci-dessous.

DD Boost Client 3.3 à 7.0 et 7.5 et versions ultérieures

DD Boost Client 3.3 à 7.0 et 7.5 et versions ultérieures (suite)

DD Boost Client 7.1 à 7.4

DD Boost Client 7.1 à 7.4 (suite)

Authentification et chiffrement globaux
DD Boost offre des options d’authentification et de chiffrement globales pour protéger votre système contre les attaques de l’homme du milieu (MITM).
Les options globales garantissent que les nouveaux clients sont protégés, mais vous permettent également de configurer différentes valeurs pour chaque client. En outre, les paramètres du client ne peuvent que renforcer la sécurité, et non la réduire.
La définition du mode d’authentification global et de la force de chiffrement définit des niveaux minimaux d’authentification et de chiffrement. Toutes les tentatives de connexion par tous les clients doivent atteindre ou dépasser ces niveaux.

Les options globales par défaut sont rétrocompatibles, ce qui signifie que :

• Vous n’avez pas besoin de mettre à jour la bibliothèque DD Boost.
  Tous les clients et applications existants fonctionnent de la même manière avec les paramètres par défaut des nouvelles options.
• Il n’y a aucun impact sur les performances, car il n’y a pas de chiffrement supplémentaire.
• Les clients et les applications qui utilisent des certificats avec TLS (Transport Layer Security) peuvent continuer à fonctionner sans aucune modification.
  Remarque : si les paramètres globaux sont différents des paramètres par défaut, les clients existants doivent peut-être être mis à jour.

Méthodes de définition de l’authentification et du chiffrement
Vous pouvez spécifier les paramètres d’authentification et de chiffrement de trois manières.

• Demande de connexion
  Pour ce faire, utilisez l’API ddp_connect_with_config dans l’application cliente.
• Paramètres par client
  Pour ce faire, utilisez les commandes CLI sur le système de protection.
• Paramètres globaux
  Pour ce faire, utilisez les commandes CLI sur le système de protection.

Si des valeurs par client et globales sont définies, le paramètre plus fort ou plus élevé est appliqué. Tout client qui tente de se connecter avec un paramètre d’authentification ou de chiffrement plus faible est rejeté.

Paramètres d’authentification et de chiffrement
Vous pouvez prendre en compte plusieurs facteurs lorsque vous décidez des paramètres d’authentification et de chiffrement. Toutefois, il est recommandé de toujours choisir le paramètre maximal disponible pour une sécurité maximale.
La sécurité maximale peut avoir un impact sur la performance. Si vous disposez d’un environnement contrôlé dans lequel une sécurité maximale n’est pas requise, vous pouvez utiliser d’autres paramètres.

Paramètres globaux
Le paramètre global détermine les niveaux minimaux d’authentification et de chiffrement. Les tentatives de connexion qui ne répondent pas à ces critères échouent.

Paramètres par client
Si le paramètre est défini pour chaque client, le paramètre que vous choisissez doit correspondre ou être supérieur au paramètre d’authentification par client maximal et au paramètre d’authentification global maximal.
Par exemple :

• Si un client est configuré pour exiger une authentification « mot de passe bidirectionnel » et que le paramètre d’authentification global est TLS bidirectionnel, l’authentification TLS bidirectionnelle doit être utilisée.
• Si le client est configuré avec le paramètre d’authentification « TLS bidirectionnel » et que le paramètre global est « mots de passe bidirectionnels », « TLS bidirectionnel » doit être utilisé.

Valeurs spécifiées par l’appelant
Si les valeurs spécifiées par l’appelant sont inférieures aux paramètres globaux ou par client, la connexion n’est pas autorisée. Toutefois, si les valeurs spécifiées par l’appelant sont supérieures aux paramètres globaux ou par client, la connexion est établie à l’aide des valeurs spécifiées par l’appelant.
Par exemple, si l’appelant spécifie « mot de passe bidirectionnel », mais que la valeur globale ou par client est « bidirectionnel », la tentative de connexion échoue. Toutefois, si l’appelant a spécifié « bidirectionnel » et que les valeurs globales et par client sont définies sur « mot de passe bidirectionnel », l’authentification « bidirectionnelle » est utilisée.

Options d’authentification et de chiffrement
Vous pouvez sélectionner l’un des trois paramètres autorisés pour les paramètres globaux et d’authentification et de chiffrement.
Pour les paramètres par client, cinq paramètres d’authentification et trois paramètres de chiffrement sont autorisés (les mêmes paramètres de chiffrement que pour les paramètres globaux).

Options d’authentification et de chiffrement globales
Vous disposez d’un large choix d’options pour global-authentication-mode et global-encryption-strength.

Paramètres d’authentification
La liste suivante classe les valeurs d’authentification de la plus faible à la plus forte :

1. aucun
   Non sécurisé ; il s’agit du paramètre par défaut.

2. anonyme
   Cette option n’est pas sécurisée contre les attaques MITM.

   Les données à la volée sont chiffrées.

3. unidirectionnel
   Cette méthode nécessite l’utilisation de certificats.
   Elle n’est pas sécurisée contre les attaques MITM.
   Les données à la volée sont chiffrées.

4. mot de passe bidirectionnel
   Cette option est sécurisée contre les attaques MITM.
   Les données à la volée sont chiffrées.

5. bidirectionnel
   Cette option nécessite l’utilisation de certificats.
   Cette option est la plus sûre et elle est sécurisée contre les attaques MITM.
   Les données à la volée sont chiffrées.

Paramètres de chiffrement
La liste suivante classe les valeurs de chiffrement de la plus faible à la plus forte :

1. aucun
   Non sécurisé ; il s’agit du paramètre par défaut.
   Ne peut être spécifié que si l’authentification est « aucun ».

2. moyen
   Utilise AES 128 et SHA-1.

3. élevé
   Utilise AES 256 et SHA-1.

Authentification globale
Les trois options de global-authentication-mode offrent différents niveaux de protection et de compatibilité descendante.
Les valeurs d’authentification et de chiffrement globaux ne peuvent être définies que via les commandes de l’interface de ligne de commande (CLI) sur DD Boost Server. Les commandes CLI que vous utilisez pour définir ces valeurs sont décrites dans les sections suivantes.

Aucune

ddboost option set global-authentication-mode none
global-encryption-strength none

La valeur « aucun » est la moins sécurisée et la plus rétrocompatible.
Vous pouvez sélectionner « aucune » si votre système présente des exigences cruciales en matière de performances et que vous n’avez pas besoin d’une protection contre les attaques MITM.
Votre système peut fonctionner de la même manière qu’auparavant sans subir de dégradation des performances due à TLS.
Si l’authentification est définie sur « aucun », le chiffrement doit être défini sur « aucun ». Si vous sélectionnez un paramètre d’authentification différent de « aucun », il est impossible de définir le paramètre de chiffrement sur « aucun ».

Mot de passe bidirectionnel

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

La méthode de mot de passe bidirectionnel effectue une authentification bidirectionnelle à l’aide de TLS avec authentification par clé prépartagée (PSK). Le client et le système de protection sont authentifiés à l’aide des mots de passe précédemment établis. Lorsque cette option est sélectionnée, toutes les données et les messages entre le client et le système de protection sont chiffrés.
Cette option est la seule option sécurisée disponible avec DD Boost for OpenStorage et protège entièrement contre les attaques de l’homme du milieu (MITM).
La force du chiffrement doit être moyenne ou élevée.
L’authentification par mot de passe bidirectionnel est unique, car elle est la seule méthode à la fois sécurisée contre les attaques MITM et pouvant être réalisée sans que l’appelant n’ait besoin de spécifier cette option.

Bidirectionnel

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Il s’agit de l’option la plus sécurisée.
L’option bidirectionnelle utilise TLS avec des certificats. L’authentification bidirectionnelle est obtenue à l’aide des certificats fournis par l’application.
Ce paramètre est compatible avec l’utilisation existante de certificats. Pour définir le paramètre d’authentification globale sur « bidirectionnel », toutes les applications qui se connectent au système de protection doivent prendre en charge et fournir des certificats.
Les applications qui ne prennent pas en charge les certificats, ne spécifient pas l’authentification bidirectionnelle et ne fournissent pas de certificats via l’API ddp_connect_with_config échoueront.

Scénarios de rétrocompatibilité
Ancien client et nouveau système de protection
Dans ce cas, une application utilisant une bibliothèque Boost est utilisée avec DDOS 6.1 ou version ultérieure. Dans ce scénario, le client ne peut pas effectuer une authentification par mot de passe bidirectionnel, d’où les ramifications suivantes :

• Tous les paramètres d’authentification globale doivent être définis sur « aucun » ou « bidirectionnel », car le client n’est pas en mesure d’effectuer une authentification « mot de passe bidirectionnel ».
  Les paramètres d’authentification par client peuvent avoir n’importe quelle valeur, sauf « mot de passe bidirectionnel » pour la même raison.
• Tous les paramètres globaux ou par client du mot de passe bidirectionnel entraînent l’échec des applications avec des bibliothèques clientes plus anciennes.
• Le nouveau système de protection prend en charge les protocoles de connexion existants pour les anciens clients.

Nouveau client et ancien système de protection
L’ancien système de protection ne peut pas effectuer l’authentification par « mot de passe bidirectionnel », d’où les ramifications suivantes :

• Il n’existe aucun paramètre d’authentification ou de chiffrement global.
• Le paramètre d’authentification du système de protection par client ne peut pas être défini sur « mot de passe bidirectionnel ».
• Le client tente d’abord d’utiliser le nouveau protocole de connexion ou RPC ; en cas d’échec, le client revient à l’ancien protocole.
• Le client peut se connecter à l’aide d’autres méthodes d’authentification, à l’exception de « mot de passe bidirectionnel ».

Exemples de paramètres d’authentification et de chiffrement
Les tableaux suivants présentent des exemples de paramètres spécifiés à l’aide d’appels, de paramètres définis par client et de paramètres globaux, et indiquent si ces paramètres aboutissent à une réussite ou à un échec.
Dans ces exemples, nous supposons que vous disposez d’une connexion client DD Boost à un système de protection doté de DDOS 6.1 ou d’une version ultérieure. Ces exemples ne s’appliquent à aucune des situations décrites dans Scénarios de rétrocompatibilité.

Un paramètre

Plusieurs paramètres

Data Domain : Le mode d’authentification par défaut pour les clients DDBoost ne fournit pas de chiffrement sur le réseau.
Data Domain : gestion des certificats pour DD Boost