Data Domain – DD Boost -todennus ja -salaus

Salauksen ja todennuksen tehostaminen määräytyy asiakkaan yhteensopivuuden mukaan. Katso tiedot ja alla oleva taulukko.
Todennus- ja salausasetukset voi määrittää kolmella tavalla, jotka on kuvattu tarkemmin tässä asiakirjassa.

Salauksen
aikanaLennonaikaisen salauksen avulla sovellukset voivat salata lennon aikaisen varmuuskopioinnin tai palauttaa tietoja suojausjärjestelmästä LAN-verkon kautta. Tämä ominaisuus otettiin käyttöön tarjoamaan entistä turvallisempi tiedonsiirto-ominaisuus.
Kun asetukset on määritetty, asiakas voi salata istunnon asiakkaan ja suojausjärjestelmän välillä TLS:n avulla. Käytetty salauspaketti on seuraava alla olevassa taulukossa.

DD Boost Client 3.3–7.0 ja 7.5 7.5 jälkeen

DD Boost Client 3.3–7.0 ja 7.5 7.5:n jälkeen (jatkoa)

DD Boost Client 7.1–7.4

DD Boost Client 7.1–7.4 (jatkoa)

Yleinen todennus ja salaus
DD Boost tarjoaa maailmanlaajuisia todennus- ja salausvaihtoehtoja, joiden avulla voit suojata järjestelmääsi väliintulohyökkäyksiltä (man-in-the-middle).
Yleiset asetukset varmistavat, että uudet asiakkaat suojataan, mutta niiden avulla voit myös määrittää eri arvot kullekin asiakkaalle. Lisäksi asiakasasetukset voivat vain vahvistaa turvallisuutta, eivät vähentää sitä.
Yleisen todennustilan ja salauksen vahvuuden määrittäminen määrittää todennuksen ja salauksen vähimmäistasot. Kaikkien asiakkaiden kaikkien yhteysyritysten on täytettävä tai ylitettävä nämä tasot.

Oletusarvoiset yleiset asetukset ovat taaksepäin yhteensopivia, mikä tarkoittaa:

• DD Boost -kirjastoa ei tarvitse päivittää.
  Kaikki olemassa olevat asiakkaat ja sovellukset toimivat samalla tavalla uusien asetusten oletusasetuksilla.
• Toiminto ei vaikuta suorituskykyyn, koska salausta ei ole lisätty.
• Asiakkaat ja sovellukset, jotka käyttävät TLS (Transport Layer Security) -varmenteita, voivat jatkaa toimintaansa ilman muutoksia.
  HUOMAUTUS: Jos yleiset asetukset poikkeavat oletusasetuksista, olemassa olevat työasemat on ehkä päivitettävä.

Menetelmät todennuksen ja salauksen
asettamiseksiVoit määrittää todennus- ja salausasetukset kolmella tavalla.

• Yhteyspyyntö
  Voit tehdä tämän käyttämällä asiakassovelluksen ddp_connect_with_config APIa.
• Asiakaskohtaiset asetukset
  Voit tehdä tämän käyttämällä suojausjärjestelmän komentorivikomentoja.
• Yleiset asetukset
  Tämä tehdään suojausjärjestelmän komentorivikomennoilla.

Jos sekä asiakaskohtainen että yleinen arvo on määritetty, vahvempi tai korkeampi asetus otetaan käyttöön. Kaikki asiakkaat, jotka yrittävät muodostaa yhteyden heikommalla todennus- tai salausasetuksella, hylätään.

Todennus- ja salausasetukset
Voit ottaa huomioon useita tekijöitä päättäessäsi todennus- ja salausasetuksia. On kuitenkin suositeltavaa, että valitset aina suurimman käytettävissä olevan asetuksen maksimaalisen turvallisuuden takaamiseksi.
Maksimaalinen suojaus vaikuttaa suorituskykyyn. Jos sinulla on hallittu ympäristö, jossa maksimaalista suojausta ei vaadita, kannattaa ehkä käyttää muita asetuksia.

Yleiset asetukset
Yleinen asetus määrittää todennuksen ja salauksen vähimmäistasot. Yhteysyritykset, jotka eivät täytä näitä ehtoja, epäonnistuvat.

Asiakaskohtaiset asetukset
Jos asetus on määritetty asiakaskohtaisesti, valitsemasi asetuksen on joko vastattava asiakaskohtaista enimmäistodennusasetusta ja yleisen enimmäistodennuksen asetusta tai oltava suurempi niitä.
Esimerkiksi:

• Jos asiakas on määritetty vaatimaan kaksisuuntaista salasanatodennusta ja yleinen todennusasetus on kaksisuuntainen TLS, on käytettävä kaksisuuntaista TLS-todennusta.
• Jos asiakkaan todennusasetus on "kaksisuuntainen TLS" ja yleinen asetus on "kaksisuuntaiset salasanat", on käytettävä "kaksisuuntaista TLS:ää".

Soittajan määrittämät arvot
Jos soittajan määrittämät arvot ovat pienempiä kuin yleiset tai asiakaskohtaiset asetukset, yhteyttä ei sallita. Jos soittajan määrittämät arvot ovat kuitenkin suurempia kuin yleiset tai asiakaskohtaiset asetukset, yhteys muodostetaan soittajan määrittämillä arvoilla.
Jos soittaja esimerkiksi määrittää kaksisuuntaisen salasanan, mutta joko yleinen tai asiakaskohtainen arvo on kaksisuuntainen, yhteysyritys epäonnistuu. Jos soittaja on kuitenkin määrittänyt kaksisuuntaisen salasanan ja yleiset ja asiakaskohtaiset arvot ovat kaksisuuntainen salasana, käytetään kaksisuuntaista todennusta.

Todennus- ja salausvaihtoehdot
Voit valita yhden kolmesta sallitusta asetuksesta sekä yleisille asetuksille että todennus- ja salausasetuksille.
Asiakaskohtaisille asetuksille sallitaan viisi todennusasetusta ja kolme salausasetusta (samat salausasetukset kuin yleisillä).

Yleiset todennus- ja salausvaihtoehdot
Sinulla on useita vaihtoehtoja, kuten global-authentication-mode ja global-encryption-strength.

Todennusasetukset
Seuraavassa luettelossa todennusarvot luokitellaan heikoimmista vahvimpiin:

1. ei mitään
   Ei suojattu; tämä on oletusasetus.

2. 
   anonyymi Tätä vaihtoehtoa ei suojata väliintulohyökkäyksiltä.

   Lennonaikaiset tiedot salataan.

3. yksisuuntainen
   Tämä menetelmä edellyttää varmenteiden käyttöä.
   Tämä ei ole suojattu väliintulohyökkäyksiltä.
   In-fligh-tiedot salataan.

4. Kaksisuuntainen salasana
   Tämä vaihtoehto on suojattu väliintulohyökkäyksiltä.
   In-fligh-tiedot salataan.

5. kaksisuuntainen
   Tämä vaihtoehto edellyttää varmenteiden käyttäjää.
   Tämä on turvallisin vaihtoehto ja suojattu väliintulohyökkäyksiltä.
   In-fligh-tiedot salataan.

Salausasetukset
Seuraavassa luettelossa salausarvot luokitellaan heikoimmista vahvimpiin:

1. ei mitään
   Ei suojattu; tämä on oletusasetus.
   Voidaan määrittää vain, jos todennus on "ei mitään".

2. keskikokoinen
   Käyttää AES 128:aa ja SHA-1:tä.

3. korkea
   Työllistää AES 256: n ja SHA-1: n.

Yleinen todennus
Kolme yleistä todennustilan vaihtoehtoa tarjoavat erilaisia suojaustasoja ja taaksepäin yhteensopivuutta.
Yleiset todennus- ja salausarvot voi määrittää vain DD Boost -palvelimen komentoriviliittymien (CLI) komentojen avulla. Näiden arvojen määrittämiseen käytettävät komentoriviliittymän komennot on kuvattu seuraavissa osissa.

None

ddboost option set global-authentication-mode none
global-encryption-strength none

"Ei mitään" on vähiten turvallinen, mutta taaksepäin yhteensopivin vaihtoehto.
Voit valita "ei mitään", jos järjestelmäsi suorituskykyvaatimukset on elintärkeä etkä tarvitse suojaa väliintulohyökkäyksiltä.
Järjestelmä voi toimia samalla tavalla kuin ennenkin ilman TLS:n aiheuttamaa suorituskyvyn heikkenemistä.
Kun todennuksen arvo on none, salauksen on oltava none. Jos valitset todennukselle muun asetuksen kuin "ei mitään", salausasetus ei voi olla "ei mitään".

Kaksisuuntainen salasana

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Kaksisuuntainen salasanamenetelmä suorittaa kaksisuuntaisen todennuksen käyttämällä TLS: ää esijaetun avaimen (PSK) todennuksella. Sekä asiakas että suojausjärjestelmä todennetaan aiemmin määritetyillä salasanoilla. Kun tämä asetus on valittuna, kaikki tiedot ja viestit asiakkaan ja suojausjärjestelmän välillä salataan.
Tämä vaihtoehto on DD Boostin ainoa turvallinen vaihtoehto OpenStoragelle,
ja se suojaa täysin väliintulohyökkäyksiltä (man-in-the-middle).Salauksen vahvuuden on oltava joko keskitaso tai korkea.
Kaksisuuntainen salasanatodennus on ainutlaatuinen, koska se on ainoa menetelmä, joka on sekä suojattu väliintuloa vastaan että voidaan tehdä ilman, että soittaja määrittää sitä.

Kaksisuuntainen

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Tämä on turvallisin vaihtoehto.
Kaksisuuntainen vaihtoehto käyttää TLS: ää varmenteiden kanssa. Kaksisuuntainen tunnistautuminen tapahtuu sovelluksen tarjoamilla varmenteilla.
Tämä asetus on yhteensopiva varmenteiden nykyisen käytön kanssa. Kaksisuuntaisen yleisen todennusasetuksen asettaminen edellyttää, että kaikki suojausjärjestelmään muodostavat sovellukset tukevat ja toimittavat varmenteita.
Kaikki sovellukset, jotka eivät tue varmenteita eivätkä määritä kaksisuuntaista todennusta ja tarjoavat varmenteita ddp_connect_with_config-ohjelmointirajapinnan kautta, epäonnistuvat.

Taaksepäin yhteensopivuuden skenaariot
Vanhempi työasema ja uusi suojajärjestelmä
Tässä tapauksessa Boost-kirjastoa käyttävää sovellusta käytetään DDOS 6.1:n tai uudemman kanssa. Tässä tilanteessa asiakas ei voi suorittaa kaksisuuntaista salasanatodennusta, jolla on seuraavat seuraukset:

• Kaikkien yleisten todennusasetusten on oltava "ei mitään tai "kaksisuuntainen", koska asiakas ei voi suorittaa kaksisuuntaista salasanatodennusta.
  Samasta syystä asiakaskohtaiset todennusasetukset voivat olla mikä tahansa arvo paitsi kaksisuuntainen salasana.
• Kaikki kaksisuuntaisen salasanan yleiset tai asiakaskohtaiset asetukset aiheuttavat vanhempia asiakaskirjastoja käyttävien sovellusten epäonnistumisen.
• Uusi suojausjärjestelmä tukee vanhojen asiakkaiden olemassa olevia yhteysprotokollia.

Uusi työasema ja vanhempi suojausjärjestelmä
Vanhempi suojausjärjestelmä ei voi suorittaa kaksisuuntaista salasanatodennusta, jolla on seuraavat seuraukset:

• Yleisiä todennus- tai salausasetuksia ei ole.
• Asiakaskohtaisen suojausjärjestelmän todennusasetus ei voi olla kaksisuuntainen salasana.
• Asiakas yrittää ensin käyttää uutta yhteysprotokollaa tai RPC:tä. Vian sattuessa asiakas palaa vanhaan protokollaan.
• Asiakas voi muodostaa yhteyden muilla todennusmenetelmillä kuin "kaksisuuntaisella salasanalla".

Esimerkkejä
todennus- ja salausasetuksistaSeuraavissa taulukoissa on esimerkkejä siitä, missä asetukset on määritetty puheluiden, asiakaskohtaisten asetusten ja yleisten asetusten avulla ja voivatko nämä asetukset onnistua.
Näissä esimerkeissä oletetaan, että DD Boost Client -yhteys suojausjärjestelmään on DDOS 6.1 tai uudempi. Nämä esimerkit eivät koske kumpaakaan kohdassa Taaksepäin yhteensopivuus kuvattu tilanne.

Yksi asetus

Useita asetuksia

Data Domain: DDBoost-asiakkaiden oletustodennustila ei tarjoa langallista salausta.
Data Domain - DD Boost -varmenteiden hallinta