Data Domain - DD Boostのグローバル認証と暗号化

Boostの暗号化と認証は、クライアントの互換性によって異なります。以下の情報と表を確認してください
認証と暗号化の設定は、このドキュメントで詳しく説明する3つの方法で指定できます。

インフライト暗号化
インフライト暗号化を使用すると、保護システムからLANを介してバックアップまたはリストアするインフライト データをアプリケーションで暗号化できます。この機能は、より安全なデータ転送機能を提供するために導入されました。
構成されている場合、クライアントはTLSを使用してクライアントと保護システムの間のセッションを暗号化できます。使用される具体的な暗号スイートは、次の表のとおりです。

DD Boost Client 3.3～7.0および7.5以降

DD Boost Client 3.3～7.0および7.5以降（続き）

DD Boost Client 7.1～7.4

DD Boost Client 7.1～7.4（続き）

グローバル認証と暗号化
DD Boostは、中間者攻撃(MITM)からシステムを保護するためのグローバル認証および暗号化オプションを提供します。
グローバル オプションを使用すると、新しいクライアントが確実に保護され、またクライアントごとに異なる値を構成することもできます。さらに、クライアント設定はセキュリティを強化するのみで低下することはありません。
グローバル認証モードと暗号化の強度を設定すると、認証と暗号化の最小レベルが確立されます。すべてのクライアントによるすべての接続試行では、これらのレベルを満たすか、それを超える必要があります。

デフォルトのグローバル オプションは下位互換性があります。つまり、次のようになります。

• DD Boostライブラリーを更新する必要はありません。
  既存のすべてのクライアントとアプリケーションは、新しいオプションのデフォルト設定で同じように作動します。
• 暗号化が追加されていないため、パフォーマンスには影響しません。
• TLS証明書を使用するクライアントとアプリケーションは、変更なしで引き続き作動します。
  メモ: グローバル設定がデフォルト設定と異なる場合は、既存のクライアントのアップデートが必要になることがあります。

認証と暗号化の設定方法
認証と暗号化の設定は、3つの方法で指定できます。

• 接続要求
  これを行うには、クライアント アプリケーションでddp_connect_with_config APIを使用します。
• クライアントごとの設定
  これを行うには、保護システムでCLIコマンドを使用します。
• グローバル設定
  これを行うには、保護システムでCLIコマンドを使用します。

クライアントごとの値とグローバル値の両方が設定されている場合は、より強い、またはより高い設定が適用されます。弱い認証または暗号化設定で接続しようとするクライアントは拒否されます。

認証と暗号化の設定
認証と暗号化の設定を決定する際には、いくつかの要因を考慮することができます。ただし、セキュリティを最大限に高めるために、常に使用可能な最大設定を選択することをお勧めします。
最大限のセキュリティはパフォーマンスに影響します。最大限のセキュリティが要求されない制御された環境がある場合は、他の設定を使用できます。

グローバル設定
グローバル設定は、認証と暗号化の最小レベルを決定します。これらの基準を満たさない接続の試行は失敗します。

クライアントごとの設定
クライアントごとの設定が定義されている場合、選択する設定は、クライアントごとの最大認証設定および最大グローバル認証設定と一致するか、それ以上である必要があります。
例えば：

• クライアントが「two-way password」認証を要求するように構成されていて、グローバル認証設定が「two-way TLS」である場合は、「two-way TLS」認証を使用する必要があります。
• クライアントが「two-way TLS」認証設定で、グローバル設定が「two-way password」の場合は、「two-way TLS」を使用する必要があります。

呼び出し元が指定した値
呼び出し元が指定した値がグローバル設定またはクライアントごとの設定よりも小さい場合、接続は許可されません。ただし、呼び出し元が指定した値がグローバル設定またはクライアントごとの設定よりも大きい場合は、呼び出し元が指定した値を使用して接続が確立されます。
例えば、呼び出し元が「two-way-password」を指定しても、グローバル値またはクライアントごとの値のいずれかが「two-way」の場合、接続の試行は失敗します。ただし、呼び出し元が「two-way」を指定し、グローバル値とクライアントごとの値が「two-way-password」の場合は、「two-way」認証が使用されます。

認証と暗号化のオプション
許可されている3つの設定のいずれかを、グローバル認証と暗号化の設定の両方に対して選択できます。
クライアントごとの設定では、5つの認証設定と3つの暗号化設定（グローバルと同じ暗号化設定）が許可されます。

グローバル認証と暗号化のオプション
global-authentication-modeオプションとglobal-encryption-strengthオプションには、さまざまな選択肢があります。

認証設定
次のリストでは、認証の値が弱いものから最も強いものの順に記載されています。

1. none
   セキュリティで保護されていません。デフォルト設定です。

2. anonymous
   このオプションはMITM攻撃に対して安全ではありません。

   インフライト データは暗号化されます。

3. one-way
   この方法では証明書を使用する必要があります。
   これは、MITM攻撃に対して安全ではありません。
   インフライト データは暗号化されます。

4. two-way password
   このオプションは、MITM攻撃に対して安全です。
   インフライト データは暗号化されます。

5. two-way
   このオプションには、証明書を使用する必要があります。
   これは最も安全なオプションであり、MITM攻撃に対して安全です。
   インフライト データは暗号化されます。

暗号化設定
次のリストでは、暗号化の値が最も弱いものから強いものの順に記載されています。

1. none
   セキュリティで保護されていません。デフォルト設定です。
   認証が「none」の場合にのみ指定できます。

2. medium
   AES 128とSHA-1を採用します。

3. high
   AES 256とSHA-1を採用します。

グローバル認証
3つのglobal-authentication-modeオプションは、異なるレベルの保護と後方互換性を提供します。
グローバル認証と暗号化の値は、DD Boostサーバー上のコマンドライン インターフェイス(CLI)コマンドでのみ設定できます。これらの値を設定するために使用するCLIコマンドについては、次のセクションで説明します。

なし

ddboost option set global-authentication-mode none
global-encryption-strength none

「none」は、安全性が最も低いオプションですが、最も後方互換性のあるオプションです。
システムに重要なパフォーマンス要件があり、MITM攻撃からの保護を必要としない場合は、「none」を選択できます。
お使いのシステムは、TLSによるパフォーマンスの低下を受けることなく、以前と同じように作動します。
認証が「none」に設定されている場合は、暗号化を「none」に設定する必要があります。認証に「none」以外の設定を選択した場合、暗号化設定を「none」にすることはできません。

Two-way password

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

「two-way password」方式では、TLSと事前共有キー(PSK)認証を使用した双方向認証を実行します。クライアントと保護システムの両方が、事前に確立されたパスワードを使用して認証されます。このオプションを選択すると、クライアントと保護システム間のすべてのデータとメッセージが暗号化されます。
このオプションは、DD Boost for OpenStorageで使用可能な唯一の安全なオプションであり、中間者攻撃(MITM)から完全に保護されます。
暗号化の強度は、「medium」または「high」である必要があります。
「two-way password」認証は、MITMに対して安全であり、呼び出し元が指定しなくても実行できる唯一の方法です。

Two-way

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

これは最も安全なオプションです。
「two-way」オプションでは、TLS証明書が採用されます。「two-way」認証は、アプリケーションによって提供された証明書を使用して実現されます。
この設定は、既存の証明書の使用と互換性があります。グローバル認証設定を「two-way」に設定するには、保護システムに接続するすべてのアプリケーションが証明書をサポートおよび提供する必要があります。
証明書をサポートしておらず、「two-way」認証を指定せず、ddp_connect_with_config APIを介して証明書を提供するアプリケーションは失敗します。

後方互換性のシナリオ
古いクライアントと新しい保護システム
この場合、DDOS 6.1以降では、Boostライブラリーを使用するアプリケーションが採用されます。このシナリオでは、クライアントは「two-way-password」認証を実行できません。その結果、次のような影響があります。

• クライアントは「two-way-password」認証を実行できないため、すべてのグローバル認証設定は「none」または「two-way」に設定する必要があります。
  クライアントごとの認証設定は、同じ理由で「two-way-password」以外の任意の値にすることができます。
• グローバル設定またはクライアントごとの設定で「two-way password」を設定すると、古いクライアント ライブラリーを使用しているアプリケーションは失敗します。
• 新しい保護システムは、古いクライアントの既存の接続プロトコルをサポートします。

新しいクライアントと古い保護システム
古い保護システムでは「two-way-password」認証を実行できません。その結果、次のような影響があります。

• グローバル認証や暗号化の設定はありません。
• クライアントごとの保護システム認証設定を「two-way password」にすることはできません。
• クライアントはまず、新しい接続プロトコルまたはRPCの使用を試みます。障害が発生すると、クライアントは古いプロトコルに戻ります。
• クライアントは、「two-way-password」以外の認証方法で接続できます。

認証と暗号化の設定例
次の表では、呼び出し、クライアントごとの設定、およびグローバル設定を使用して設定を指定する例と、これらの設定が成功するかどうかを示します。
これらの例では、DDOS 6.1以降の保護システムにDD Boostクライアントが接続されていることを前提としています。これらの例は、「後方互換性のシナリオ」で説明されているいずれの状況にも適用されません。

1つの設定

複数の設定

「Data Domain：DD Boostクライアントのデフォルトの認証モードでは、ネットワーク経由の暗号化は提供されません」
「Data Domain：DD Boostの証明書の管理」