Data Domain - DD Boost 全域認證和加密
Summary: 本文提供 DD Boost 全域認證和加密的相關資訊,這是取自 DDOS 7.13 Boost 文件中的最新資訊。 在本指南的「PowerProtect DD 系統」、「保護系統」或簡稱「本系統」中,請參閱執行 DD OS 7.4 或更新版本和舊版 PowerProtect DD 系統的 PowerProtect DD 系列裝置。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
提升加密和認證取決於用戶端相容性,請檢閱以下資訊和表格。
您可以透過三種方式指定認證和加密設定,本文會進一步介紹這三種方式。
流動中資料加密
流動中資料加密可讓應用程式加密流動中資料備份,或透過保護系統的 LAN 還原資料。導入此功能是為了提供更安全的資料傳輸功能。
設定完成後,用戶端可以使用 TLS 加密用戶端與保護系統之間的工作階段。使用的特定加密套件如下表所示。
注意:如果選擇了高度加密選項,使用的特定加密套件為 ADH-AES256-SHA,如果選擇了中度加密選項,則為 ADHAES128-SHA。
DD Boost 用戶端 3.3 至 7.0,以及 7.5 和 7.5 之後
| DDOS 7.5 及更新版本 | |||
|---|---|---|---|
| 中度加密 | 高度加密 | ||
| DD Boost 用戶端 3.3 至 7.0 和 DD Boost | ANON | ADH-AES128-GCM-SHA256 | ADH-AES256-GCM-SHA384 |
| 用戶端 7.5 及更新版本 | 單向或雙向憑證 | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 |
DD Boost 用戶端 3.3 至 7.0,以及 7.5 和 7.5 之後 (續)
| DDOS 7.4 及之前版本 | |||
|---|---|---|---|
| 中度加密 | 高度加密 | ||
| DD Boost 用戶端 3.3 至 7.0 和 DD Boost | ANON | ADH-AES128-SHA | ADH-AES256--SHA |
| 用戶端 7.5 及更新版本 | 單向或雙向憑證 | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA |
DD Boost 用戶端 7.1 至 7.4
| DDOS 7.5 及更新版本 | |||
|---|---|---|---|
| DD Boost 用戶端 7.1 至 7.4 | 中度加密 | 高度加密 | |
| ANON | ADH-AES128-SHA | ADH-AES256--SHA | |
| 單向或雙向憑證 | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 | |
DD Boost 用戶端 7.1 至 7.4 (續)
| DDOS 7.4 及之前版本 | |||
|---|---|---|---|
| DD Boost 用戶端 7.1 至 7.4 | 中度加密 | 高度加密 | |
| ANON | ADH-AES128- SHA | ADH-AES256-- SHA | |
| 單向或雙向憑證 | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA | |
全域認證和加密
DD Boost 提供全域認證和加密選項,保護您的系統免受中間人 (MITM) 攻擊。
全域選項可確保新用戶端受到保護,但也允許您為每個用戶端設定不同的值。此外,用戶端設定只能加強安全性,而不是將其降低。
設定全域認證模式和加密強度可建立最低層級的認證和加密。所有用戶端的所有連線嘗試都必須達到或超過這些層級。
注意:這些措施並未預設啟用;您必須手動變更設定。
預設的全域選項為回溯相容,也就是說:
- 您不需要更新 DD Boost 程式庫。
所有現有用戶端和應用程式都以與新選項預設設定相同的方式執行。 - 由於沒有新增加密,因此不會影響效能。
- 使用具有傳輸層安全性 (TLS) 憑證的用戶端和應用程式可以繼續運作,無需進行任何變更。
注意:如果全域設定與預設設定不同,則可能需要更新現有用戶端。
設定認證和加密的方法
您可以透過三種方式指定認證和加密設定。
- 連線要求
透過在用戶端應用程式中使用 ddp_connect_with_config API 來執行此操作。 - 依用戶端的設定
您可以透過在保護系統上使用 CLI 命令來執行此操作。 - 全域設定
您可以透過在保護系統上使用 CLI 命令來執行此操作。
如果同時設定了依用戶端值和全域值,則會強制實施較強或較高的設定。任何嘗試使用較弱的認證或加密設定連線的用戶端都會遭拒。
認證和加密設定
在決定認證和加密設定時,可以考慮幾個因素。但是,建議您始終選擇最大可用設定,以獲得最大安全性。
最大安全性會影響效能。如果您有一個不需要最大安全性的受控環境,則可能想要使用其他設定。
全域設定
全域設定可確定認證和加密的最低層級。不符合這些條件的連線嘗試會失敗。
依用戶端設定
如果是依用戶端基礎來定義設定,則您選擇的設定必須符合或大於最大依用戶端認證設定和最大全域認證設定。
例如:
- 如果用戶端設定為需要「雙向密碼」認證,且全域認證設定為雙向 TLS,則必須使用雙向 TLS 認證。
- 如果用戶端使用認證設定「雙向 TLS」進行設定,且全域設定為「雙向密碼」,則必須使用「雙向 TLS」。
來電者指定值
如果來電者指定值低於全域設定或依用戶端設定,則不允許連線。但是,如果來電者指定值高於全域設定或依用戶端設定,則會使用來電者指定值建立連線。
例如,如果來電者指定「雙向密碼」,但全域值或依用戶端值為「雙向」,則連線嘗試會失敗。不過,倘若來電者指定了「雙向」,且全域值和依用戶端值為「雙向密碼」,則會使用「雙向」認證。
認證和加密選項
您可以為全域及認證和加密設定選取三個允許設定的其中一個設定。
針對依用戶端設定,則允許五個認證設定和三個加密設定 (與全域的加密設定相同)。
注意:由於相依性,必須同時設定認證和加密值。
全域認證和加密選項
全域認證模式和全域加密強度選項有多種選擇。
認證設定
以下清單依最弱到最強排列認證值:
-
無
不安全;這是預設設定。 -
匿名
此選項無法安全防範 MITM 攻擊。流動中資料已加密。
-
單向
此方法需要使用憑證。
這無法安全防範 MITM 攻擊。
流動中資料已加密。 -
雙向密碼
此選項可安全防範 MITM 攻擊。
流動中資料已加密。 -
雙向
此選項需要使用憑證。
這是最安全的選項,且可安全防範 MITM 攻擊。
流動中資料已加密。
注意:「匿名」和「單向」僅可用於依用戶端設定,不可用於全域設定。
加密設定
以下清單依最弱到最強排列加密值:
-
無
不安全;這是預設設定。
僅當認證為「無」時才能指定。 -
中度
採用 AES 128 和 SHA-1。 -
高度
採用 AES 256 和 SHA-1。
注意:中度和高度都採用 SHA-1 (視用戶端版本和認證模式而定)。如需詳細資訊,請參閱流動中資料加密的表格。
全域認證
三個全域認證模式選項提供不同層級的保護和回溯相容性。
全域認證值和加密值只能透過 DD Boost 伺服器上的命令行介面 (CLI) 命令來設定。以下各區段介紹用於設定這些值的 CLI 命令。
無
ddboost option set global-authentication-mode none global-encryption-strength none
「無」是最不安全但最具回溯相容的選項。
如果您的系統具有至關重要的效能要求,並且您不需要防範 MITM 攻擊,則可以選擇「無」。
您的系統可以與以前相同的方式運作,不會因 TLS 而降低任何效能。
當認證設定為「無」時,加密必須設定為「無」。如果您選擇與「無」不同的認證設定,則加密設定不能為「無」。
雙向密碼
ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}
雙向密碼方法使用 TLS 和預先共用的金鑰 (PSK) 認證執行雙向認證。用戶端和保護系統都使用先前建立的密碼進行認證。選取此選項後,用戶端和保護系統之間的所有資料和訊息都會加密。
此選項是 DD Boost for OpenStorage 唯一可用的安全選項,可完全防護中間人 (MITM) 攻擊。
加密強度必須為中度或高度。
雙向密碼認證為唯一,因為它是安全防範 MITM 攻擊又可以在不用來電者指定的情況下完成的唯一方法。
雙向
ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}
這是最安全的選項。
雙向選項採用 TLS 與憑證。使用應用程式提供的憑證實現雙向認證。
此設定與現有的憑證使用相容。將全域認證設定設定為「雙向」需要連線到保護系統的所有應用程式,以支援和提供憑證。
任何不支援憑證、未指定雙向認證並透過 ddp_connect_with_config API 提供憑證的應用程式都會失敗。
注意:DD Boost for OpenStorage 無法使用雙向認證選項。如果全域認證模式設定為雙向,則所有 OST 應用程式都會失敗。
回溯相容性情境
舊用戶端和新保護系統
在這種情況下,使用 Boost 程式庫的應用程式會採用 DDOS 6.1 或更新版本。在這種情況下,用戶端無法執行雙向密碼認證,這會產生以下影響:
- 任何全域認證設定都必須設定為「無」或「雙向」,因為用戶端無法執行「雙向密碼」認證。
基於同樣的原因,依用戶端認證設定可以是除「雙向密碼」之外的任何值。 - 雙向密碼的任何全域或依用戶端設定都會導致具有較舊用戶端程式庫的應用程式失敗。
- 新的保護系統支援舊用戶端現有的連線通訊協定。
新用戶端和舊保護系統
舊保護系統無法執行「雙向密碼」認證,這會產生以下影響:
- 沒有全域認證或加密設定。
- 依用戶端保護系統認證設定不能是「雙向密碼」。
- 用戶端將先嘗試使用新的連線通訊協定或 RPC;失敗後,用戶端會回復至舊通訊協定。
- 用戶端可以使用「雙向密碼」以外的其他認證方法進行連線。
認證和加密設定範例
下表顯示了使用通話、依用戶端設定和全域設定指定設定,以及這些設定是否可以成功的範例。
這些範例假設您有 DD Boost 用戶端連線至具有 DDOS 6.1 或更新版本的保護系統。這些範例不適用於回溯相容性情境中描述的任一情況。
注意:如果全域設定或依用戶端設定需要雙向認證,則來電者必須加以指定並提供必要的憑證。
一個設定
| 通話指定 | 依用戶端設定 | 全域設定 | 使用的值 |
|---|---|---|---|
| 無 | 無 | 無 | 成功 認證:無 加密:無 |
| 認證:雙向密碼 加密:中度 |
無 | 無 | 成功 認證:雙向密碼 加密:中度 |
| 無 | 認證:雙向密碼 加密:中度 |
無 | 成功 認證:雙向密碼 加密:中度 |
| 無 | 無 | 認證:雙向密碼 加密:中度 | 成功 認證:雙向密碼 加密:中度 |
| 無 | 無 | 認證:雙向 加密:高度 |
失敗 需要雙向且高度。 用戶端必須指定雙向並提供憑證。 |
| 認證:雙向 加密:高度 | 無 | 無 | 成功 認證:雙向 加密:高度 |
多重設定
| 通話指定 | 依用戶端設定 | 全域設定 | 使用的值 |
|---|---|---|---|
| 認證:雙向 加密:中度 |
無 | 認證:雙向 加密:高度 |
失敗 需要雙向且高度。 |
| 無 | 認證:雙向 加密:高度 |
認證:雙向密碼 加密:中度 |
失敗 需要雙向且高度。 用戶端必須指定雙向並提供憑證。 |
| 認證:雙向 加密:高度 |
認證:雙向密碼 加密:高度 |
認證:雙向 加密:中度 |
成功 認證:雙向 加密:高度 |
| 無 | 認證:雙向密碼 加密:中度 |
認證:雙向 加密:中度 |
失敗 需要雙向且中度。 用戶端必須指定雙向並提供憑證。 |
| 認證:雙向 加密:高度 |
認證:雙向 加密:中度 |
認證:雙向 加密:中度 |
成功 認證:雙向 加密:高度 |
Additional Information
Affected Products
Data DomainArticle Properties
Article Number: 000222809
Article Type: How To
Last Modified: 05 Aug 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.