Data Domain – Globální ověřování a šifrování DD Boost

Šifrování a ověřování Boost závisí na kompatibilitě klientů: viz níže uvedené informace a tabulka.
Nastavení ověřování a šifrování můžete zadat třemi způsoby, které jsou popsány dále v tomto dokumentu.

Šifrování za provozu
Šifrování za provozu umožňuje aplikacím šifrovat přenášená data, zálohovat nebo obnovovat data z bezpečnostního systému přes síť LAN. Tato funkce byla zavedena v rámci nabídky bezpečnějšího přenosu dat.
Při konfiguraci může klient pomocí protokolu TLS šifrovat relaci mezi klientem a bezpečnostním systémem. Konkrétní použitá šifrovací sada je uvedena v následující tabulce.

DD Boost Client 3.3 až 7.0 a 7.5 po verzi 7.5

DD Boost Client 3.3 až 7.0 a 7.5 po verzi 7.5 (pokračování)

DD Boost Client 7.1 až 7.4

DD Boost Client 7.1 až 7.4 (pokračování)

Globální ověřování a šifrování
Software DD Boost nabízí možnosti globálního ověřování a šifrování, které chrání systém před útoky MITM (Man-in-the-Middle).
Globální možnosti zajišťují ochranu nových klientů, ale také umožňují nakonfigurovat různé hodnoty pro každého klienta. Nastavení klienta navíc může zabezpečení pouze posílit, nikoli snížit.
Nastavení globálního režimu ověřování a síly šifrování stanoví minimální úrovně ověřování a šifrování. Všechny pokusy o připojení všemi klienty musí splňovat nebo přesahovat tyto úrovně.

Výchozí globální možnosti jsou zpětně kompatibilní, což znamená:

• Knihovnu DD Boost není nutné aktualizovat.
  Všichni stávající klienti a aplikace fungují stejným způsobem s výchozím nastavením nových možností.
• Nemá to žádný vliv na výkon, protože není přidáno žádné šifrování.
• Klienti a aplikace, které používají certifikáty s protokolem TLS (Transport Layer Security), můžou dál pracovat beze změn.
  POZNÁMKA: Pokud se globální nastavení liší od výchozích nastavení, může být nutné aktualizovat stávající klienty.

Metody nastavení ověřování a šifrování
Nastavení ověřování a šifrování můžete zadat třemi způsoby.

• Požadavek na připojení
  Provedete to pomocí rozhraní ddp_connect_with_config API v klientské aplikaci.
• Nastavení pro jednotlivé klienty
  To lze provést pomocí příkazů rozhraní příkazového řádku v bezpečnostním systému.
• Globální nastavení
  To lze provést pomocí příkazů CLI v bezpečnostním systému.

Pokud jsou nastaveny hodnoty pro klienta i globální hodnoty, vynucovat se bude silnější nebo vyšší nastavení. Každý klient, který se pokusí připojit se slabším nastavením ověřování nebo šifrování, bude odmítnut.

Nastavení ověřování a šifrování
Při rozhodování o nastavení ověřování a šifrování můžete vzít v úvahu několik faktorů. Pro maximální zabezpečení však doporučujeme vždy zvolit maximální dostupné nastavení.
Maximální zabezpečení má vliv na výkon. Pokud máte kontrolované prostředí, kde není vyžadováno maximální zabezpečení, můžete použít jiná nastavení.

Globální nastavení
Globální nastavení určuje minimální úrovně ověřování a šifrování. Pokusy o připojení, které tato kritéria nesplňují, se nezdaří.

Nastavení pro jednotlivé klienty
Pokud je nastavení definováno pro jednotlivé klienty, musí se zvolené nastavení shodovat nebo být vyšší než nastavení maximálního ověřování pro jednotlivé klienty a nastavení maximálního globálního ověřování.
Například:

• Pokud je klient nakonfigurovaný tak, aby vyžadoval „two-way password“, a globální ověřování je nastaveno na „two-way TLS“, je třeba použít obousměrné ověřování TLS.
• Pokud je klient nakonfigurován s ověřováním nastaveným na „two-way TLS“ a globální nastavení používá nastavení „two-way password“, je nutné použít „two-way TLS“ (obousměrné ověřování TLS).

Hodnoty podle volajícího
Pokud jsou hodnoty podle volajícího nižší než globální nastavení nebo nastavení pro jednotlivé klienty, připojení není povoleno. Pokud jsou však hodnoty podle volajícího vyšší než globální nastavení nebo nastavení pro jednotlivé klienty, připojení se naváže pomocí hodnot, které volající poskytne.
Pokud například volající zadá obousměrné heslo, ale globální hodnota nebo hodnota pro jednotlivé klienty má nastavení obousměrného ověření, pokus o připojení se nezdaří. Pokud však volající zadal obousměrné ověřování a globální hodnoty a hodnoty pro jednotlivé klienty používají obousměrné heslo, použije se obousměrné ověřování.

Možnosti ověřování a šifrování
Můžete vybrat jedno ze tří povolených nastavení pro globální nastavení a nastavení ověřování a šifrování.
Pro nastavení pro jednotlivé klienty je povoleno pět nastavení ověřování a tři nastavení šifrování (stejné nastavení šifrování jako pro globální nastavení).

Možnosti globálního ověřování a šifrování
Máte řadu možností s global-authentication-mode a global-encryption-strength.

Nastavení ověřování
Následující seznam seřadí hodnoty ověřování od nejslabší po nejsilnější:

1. none
   Není zabezpečeno, jedná se o výchozí nastavení.

2. anonymous
   Tato možnost není zabezpečena proti útokům MITM.

   Přenášená data jsou šifrována.

3. one-way
   Tato metoda vyžaduje použití certifikátů.
   Není zabezpečena proti útokům MITM.
   Přenášená data jsou šifrována.

4. two-way password
   Tato možnost je zabezpečena proti útokům MITM.
   Přenášená data jsou šifrována.

5. two-way
   Tato možnost vyžaduje uživatele certifikátů.
   Jedná se o nejbezpečnější možnost, která je zabezpečena proti útokům MITM.
   Přenášená data jsou šifrována.

Nastavení šifrování
Následující seznam seřadí hodnoty šifrování od nejslabšího po nejsilnější:

1. none
   Není zabezpečeno, jedná se o výchozí nastavení.
   Lze zadat pouze v případě, že ověřování je typu „none“.

2. medium
   Používá šifrování AES 128 a SHA-1.

3. high
   Používá šifrování AES 256 a SHA-1.

Globální ověřování
Tři možnosti global-authentication-mode nabízejí různé úrovně ochrany a zpětné kompatibility.
Globální hodnoty ověřování a šifrování lze nastavit pouze prostřednictvím příkazů rozhraní příkazového řádku (CLI) na serveru DD Boost. Příkazy rozhraní příkazového řádku, které používáte k nastavení těchto hodnot, jsou popsány v následujících částech.

Žádné

ddboost option set global-authentication-mode none
global-encryption-strength none

„None“ je nejméně bezpečná, ale nejvíce zpětně kompatibilní možnost.
Možnost „none“ můžete vybrat, pokud má váš systém zásadní požadavky na výkon a nepotřebujete ochranu před útoky MITM.
Váš systém může fungovat stejným způsobem jako dříve, aniž by došlo ke snížení výkonu v důsledku použití protokolu TLS.
Pokud je ověřování nastaveno na hodnotu „none“, šifrování musí být také nastaveno na hodnotu „none“. Pokud pro ověřování vyberete jiné nastavení než „none“, nastavení šifrování nemůže být „none“.

Two-way password

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Metoda obousměrného hesla provádí obousměrné ověřování pomocí protokolu TLS s ověřováním pomocí předem sdíleného klíče (PSK). Klient i bezpečnostní systém se ověřují pomocí dříve vytvořených hesel. Je-li vybrána tato možnost, jsou šifrována všechna data a zprávy mezi klientem a bezpečnostním systémem.
Jedná se o jedinou možnost zabezpečení, která je k dispozici u softwaru DD Boost for OpenStorage a plně chrání před útoky MITM (Man-in-the-Middle).
Síla šifrování musí být „medium“ nebo „high“.
Obousměrné ověřování heslem je jedinečné, protože je to jediná metoda, která je zabezpečená proti útokům MITM a lze ji provést, aniž by ji volající zadal.

Two-way

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Jedná se o nejbezpečnější možnost.
Možnost „two-way“ využívá protokol TLS s certifikáty. Obousměrného ověřování je dosaženo pomocí certifikátů poskytovaných aplikací.
Toto nastavení je kompatibilní se stávajícím použitím certifikátů. Nastavení globálního ověřování na „two-way“ čili obousměrné ověřování vyžaduje, aby všechny aplikace, které se připojují k bezpečnostnímu systému, podporovaly a poskytovaly certifikáty.
Všechny aplikace, které nepodporují certifikáty a nespecifikují obousměrné ověřování a poskytují certifikáty prostřednictvím rozhraní ddp_connect_with_config API, selžou.

Scénáře zpětné kompatibility
Starší klient a nový bezpečnostní systém
V takovém případě se se systémem DDOS 6.1 nebo novějším používá aplikace používající knihovnu Boost. V tomto scénáři klient nemůže provádět obousměrné ověřování heslem, což má následující důsledky:

• Jakékoli nastavení globálního ověřování musí být nastaveno na hodnotu „none“ nebo „two-way“, protože klient nemůže provádět ověřování „two-way-password“.
  Ze stejného důvodu může být nastaveno ověřování pro jednotlivé klienty na libovolnou hodnotu s výjimkou „two-way-password“.
• Jakékoli globální nastavení nebo nastavení „two-way password“ pro jednotlivé klienty způsobí selhání aplikací se staršími klientskými knihovnami.
• Nový bezpečnostní systém podporuje stávající protokoly připojení pro staré klienty.

Nový klient a starší bezpečnostní systém
Starší bezpečnostní systém nedokáže provádět ověřování „two-way-password“, což má následující důsledky:

• Neexistují žádná nastavení globálního ověřování nebo šifrování.
• Nastavení ověřování bezpečnostního systému pro jednotlivé klienty nemůže být „two-way password“.
• Klient se nejprve pokusí použít nový protokol připojení nebo RPC. V případě selhání se klient vrátí ke starému protokolu.
• Klient se může připojit pomocí jiných metod ověřování, než je „two-way-password“.

Příklady nastavení ověřování a šifrování
V následujících tabulkách jsou uvedeny příklady, ve kterých jsou nastavení zadána pomocí volání, nastavení pro jednotlivé klienty a globální nastavení a zda tato nastavení mohou být úspěšná.
Tyto příklady předpokládají, že máte klienta DD Boost připojeného k bezpečnostnímu systému se systémem DDOS 6.1 nebo novějším. Tyto příklady se nevztahují na žádnou ze situací popsaných ve scénářích zpětné kompatibility.

Jedno nastavení

Více nastavení

Data Domain: Výchozí režim ověřování pro klienty DDBoost neposkytuje šifrování přes síť.
Data Domain – Správa certifikátů pro software DD Boost