Data Domain - DD Boost globale authenticatie en versleuteling
Summary: Dit artikel bevat informatie over DD Boost globale authenticatie en versleuteling die is ontleend aan de laatste up-to-date informatie uit de DDOS 7.13 Boost documentatie. In deze handleiding ziet PowerProtect DD System, "het beveiligingssysteem" of kortweg "het systeem" apparaten uit de PowerProtect DD serie met DD OS 7.4 of hoger en eerdere PowerProtect DD systemen. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Boostversleuteling en authenticatie zijn afhankelijk van clientcompatibiliteit, bekijk de informatie en onderstaande tabel.
U kunt authenticatie- en versleutelingsinstellingen op drie manieren opgeven, die verderop in dit document worden beschreven.
In-flight-versleuteling
Met in-flight-versleuteling kunnen applicaties back-ups tijdens de vlucht versleutelen of data via LAN herstellen vanaf het beveiligingssysteem. Deze functie is geïntroduceerd om een veiligere datatransportcapaciteit te bieden.
Indien geconfigureerd, kan de client TLS gebruiken om de sessie tussen de client en het beveiligingssysteem te versleutelen. De specifieke coderingssuite die wordt gebruikt, is als volgt in de onderstaande tabel.
OPMERKING: De specifieke coderingssuite die wordt gebruikt, is ADH-AES256-SHA, als de optie voor hoge versleuteling is geselecteerd, of ADHAES128-SHA, als de optie voor gemiddelde versleuteling is geselecteerd.
DD Boost Client 3.3 tot 7.0 en 7.5 na 7.5
| DDOS 7.5 en hoger | |||
|---|---|---|---|
| Versleutelingsmedium | Versleuteling hoog | ||
| DD Boost Client 3.3 t/m 7.0 en DD Boost | ANON | ADH-AES128-GCM-SHA256 | ADH-AES256-GCM-SHA384 |
| Client 7.5 en hoger | Certificaten voor een enkele reis of twee manieren | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 |
DD Boost Client 3.3 naar 7.0 en 7.5 na 7.5 (vervolg)
| DDOS 7.4 en eerder | |||
|---|---|---|---|
| Versleutelingsmedium | Versleuteling hoog | ||
| DD Boost Client 3.3 t/m 7.0 en DD Boost | ANON | ADH-AES128-SHA | ADH-AES256--SHA |
| Client 7.5 en hoger | Certificaten voor een enkele reis of twee manieren | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA |
DD Boost Client 7.1 naar 7.4
| DDOS 7.5 en hoger | |||
|---|---|---|---|
| DD Boost Client 7.1 naar 7.4 | Versleutelingsmedium | Versleuteling hoog | |
| ANON | ADH-AES128-SHA | ADH-AES256--SHA | |
| Certificaten voor een enkele reis of twee manieren | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 | |
DD Boost Client 7.1 t/m 7.4 (vervolg)
| DDOS 7.4 en eerder | |||
|---|---|---|---|
| DD Boost Client 7.1 naar 7.4 | Versleutelingsmedium | Versleuteling hoog | |
| ANON | ADH-AES128- SHA | ADH-AES256-- SHA | |
| Certificaten voor een enkele reis of twee manieren | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA | |
Globale authenticatie en versleuteling
DD Boost biedt wereldwijde authenticatie- en versleutelingsopties om uw systeem te beschermen tegen man-in-the-middle (MITM)-aanvallen.
De globale opties zorgen ervoor dat nieuwe clients worden beschermd, maar stellen u ook in staat om voor elke client verschillende waarden te configureren. Bovendien kunnen clientinstellingen de beveiliging alleen maar versterken, niet verminderen.
Door de globale verificatiemodus en versleutelingssterkte in te stellen, stelt u minimale verificatie- en versleutelingsniveaus vast. Alle verbindingspogingen van alle clients moeten aan deze niveaus voldoen of deze overtreffen.
OPMERKING: Deze maatregelen zijn niet standaard ingeschakeld; U moet de instellingen handmatig wijzigen.
De standaard globale opties zijn achterwaarts compatibel, wat het volgende betekent:
- U hoeft de DD Boost-bibliotheek niet bij te werken.
Alle bestaande clients en applicaties werken op dezelfde manier met de standaardinstellingen van de nieuwe opties. - Er is geen invloed op de prestaties omdat er geen versleuteling is toegevoegd.
- Clients en applicaties die certificaten met TLS (Transport Layer Security) gebruiken, kunnen zonder wijzigingen blijven werken.
OPMERKING: Als de algemene instellingen afwijken van de standaardinstellingen, moeten bestaande clients mogelijk worden bijgewerkt.
Methoden voor het instellen van authenticatie en versleuteling
U kunt authenticatie- en versleutelingsinstellingen op drie manieren opgeven.
- Verbindingsverzoek
Dit doe je door gebruik te maken van de ddp_connect_with_config API in de clientapplicatie. - Instellingen
per client U doet dit met behulp van CLI-opdrachten op het beveiligingssysteem. - Algemene instellingen
U doet dit met behulp van CLI-opdrachten op het beveiligingssysteem.
Als zowel waarden per client als globale waarden zijn ingesteld, wordt de sterkere of hogere instelling afgedwongen. Elke client die verbinding probeert te maken met een zwakkere authenticatie- of versleutelingsinstelling wordt geweigerd.
Instellingen voor authenticatie en versleuteling
U kunt verschillende factoren in overweging nemen bij het bepalen van authenticatie- en versleutelingsinstellingen. Voor maximale veiligheid is het echter aan te raden om altijd de maximaal beschikbare instelling te kiezen.
Maximale beveiliging heeft invloed op prestaties. Als u een gecontroleerde omgeving hebt waar maximale beveiliging niet vereist is, kunt u beter andere instellingen gebruiken.
Algemene instellingen
De algemene instelling bepaalt de minimale niveaus van authenticatie en versleuteling. Verbindingspogingen die niet aan deze criteria voldoen, mislukken.
Instellingen per client
Als de instelling per client wordt gedefinieerd, moet de instelling die u kiest gelijk zijn aan of groter zijn dan de maximale instelling voor verificatie per client en de maximale algemene authenticatie-instelling.
Bijvoorbeeld:
- Als een client is geconfigureerd om tweerichtingswachtwoordverificatie te vereisen en de algemene verificatie-instelling tweerichtings-TLS is, moet tweerichtings-TLS-verificatie worden gebruikt.
- Als de client is geconfigureerd met de verificatie-instelling "two-way TLS" en de algemene instelling is "two-way passwords", dan moet "two-way TLS" worden gebruikt.
Door de beller opgegeven waarden
Als de door de beller opgegeven waarden lager zijn dan de algemene instellingen of de instellingen per client, is de verbinding niet toegestaan. Als de door de beller opgegeven waarden echter hoger zijn dan de algemene instellingen of de instellingen per client, wordt de verbinding tot stand gebracht met behulp van de door de beller opgegeven waarden.
Als de beller bijvoorbeeld "two-way-password" opgeeft, maar de globale waarde of de waarde per client "two-way" is, mislukt de verbindingspoging. Als de beller echter 'tweerichtingsverkeer' heeft opgegeven en de algemene en per-clientwaarden 'tweerichtingswachtwoord' zijn, wordt tweerichtingsverificatie gebruikt.
Authenticatie- en versleutelingsopties
U kunt een van de drie toegestane instellingen selecteren voor zowel de algemene als de authenticatie- en versleutelingsinstellingen.
Voor de instellingen per client zijn vijf verificatie-instellingen toegestaan en drie versleutelingsinstellingen (dezelfde versleutelingsinstellingen als die voor globaal).
OPMERKING: Authenticatie- en versleutelingswaarden moeten gelijktijdig worden ingesteld vanwege afhankelijkheden.
Globale authenticatie- en versleutelingsopties
U heeft een reeks keuzes met de opties global-authentication-mode en global-encryption-strength.
Authenticatie-instellingen
De volgende lijst rangschikt de verificatiewaarden van zwak naar sterk:
-
none
Niet veilig; dit is de standaardinstelling. -
anoniem:
Deze optie is niet beveiligd tegen MITM-aanvallen.Gegevens tijdens de vlucht worden versleuteld.
-
enkele reis
Voor deze methode zijn certificaten nodig.
Dit is niet beveiligd tegen MITM-aanvallen.
Interne data worden versleuteld. -
Wachtwoord
voor twee richtingen Deze optie is beveiligd tegen MITM-aanvallen.
Interne data worden versleuteld. -
Tweerichtingsverkeer
Voor deze optie is de gebruiker van certificaten vereist.
Dit is de veiligste optie en is veilig tegen MITM-aanvallen.
Interne data worden versleuteld.
Opmerking: Dat "anoniem" en "eenrichtingsverkeer" alleen zijn toegestaan voor instellingen per client, niet voor algemene instellingen.
Versleutelingsinstellingen
In de volgende lijst worden de versleutelingswaarden gerangschikt van zwak naar sterk:
-
none
Niet veilig; dit is de standaardinstelling.
Kan alleen worden opgegeven als de authenticatie "none" is. -
medium
Maakt gebruik van AES 128 en SHA-1. -
hoog
Maakt gebruik van AES 256 en SHA-1.
OPMERKING: Zowel gemiddeld als hoog maken gebruik van SHA-1, afhankelijk van de clientversie en authenticatiemodus. Zie de tabel in In-flight Encryption voor meer informatie.
Globale authenticatie
De drie opties voor de globale authenticatiemodus bieden verschillende beschermingsniveaus en achterwaartse compatibiliteit.
Globale authenticatie- en versleutelingswaarden kunnen alleen worden ingesteld via opdrachtregelinterface-opdrachten (CLI) op de DD Boost Server. De CLI-opdrachten die u gebruikt om deze waarden in te stellen, worden beschreven in de volgende secties.
Geen
ddboost option set global-authentication-mode none global-encryption-strength none
"None" is de minst veilige, maar meest achterwaarts compatibele optie.
U kunt "geen" selecteren als uw systeem cruciale prestatievereisten heeft en u geen bescherming tegen MITM-aanvallen nodig heeft.
Uw systeem kan op dezelfde manier werken als voorheen zonder prestatieverlies als gevolg van TLS.
Wanneer authenticatie is ingesteld op 'none', moet de versleuteling worden ingesteld op 'none'. Als u voor verificatie een andere instelling selecteert dan 'none', kan de versleutelingsinstelling niet 'none' zijn.
Wachtwoord voor twee richtingen
ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}
De tweerichtingswachtwoordmethode voert tweerichtingsverificatie uit met behulp van TLS met PSK-verificatie (Pre-Shared Key). Zowel de client als het beveiligingssysteem worden geverifieerd met behulp van de vooraf vastgestelde wachtwoorden. Wanneer deze optie is geselecteerd, worden alle gegevens en berichten tussen de client en het beveiligingssysteem versleuteld.
Deze optie is de enige veilige optie die beschikbaar is met DD Boost voor OpenStorage en beschermt volledig tegen man-in-the-middle (MITM)-aanvallen.
De versleutelingssterkte moet gemiddeld of hoog zijn.
Wachtwoordverificatie in twee richtingen is uniek omdat het de enige methode is die zowel veilig is tegen MITM als kan worden gedaan zonder dat de beller dit specificeert.
Twee richtingen
ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}
Dit is de veiligste optie.
De tweerichtingsoptie maakt gebruik van TLS met certificaten. Tweerichtingsverificatie wordt bereikt met behulp van certificaten die door de applicatie worden verstrekt.
Deze instelling is compatibel met bestaand gebruik van certificaten. Als u de algemene authenticatie-instelling instelt op "two-direction", moeten alle applicaties die verbinding maken met het beveiligingssysteem certificaten ondersteunen en leveren.
Elke applicatie die geen certificaten ondersteunt, geen tweerichtingsverificatie specificeert en certificaten levert via de ddp_connect_with_config API, zal mislukken.
OPMERKING: De optie voor tweerichtingsverificatie is niet beschikbaar met DD Boost voor OpenStorage. Als de globale verificatiemodus is ingesteld op tweerichtingsverkeer, mislukken alle OST-toepassingen.
Achterwaartse compatibiliteitsscenario's
Oudere client en nieuw beveiligingssysteem
In dit geval wordt een applicatie met behulp van een Boost-bibliotheek gebruikt met DDOS 6.1 of hoger. In dit scenario kan de client geen tweerichtingswachtwoordverificatie uitvoeren, wat de volgende gevolgen heeft:
- Alle algemene verificatie-instellingen moeten worden ingesteld op "geen" of "tweerichtingsverkeer" omdat de client geen "tweerichtingswachtwoord"-verificatie kan uitvoeren.
Om dezelfde reden kunnen authenticatie-instellingen per client elke waarde hebben, behalve 'two-way-password'. - Alle algemene of per-client-instellingen van een wachtwoord in twee richtingen zorgen ervoor dat applicaties met oudere clientbibliotheken mislukken.
- Het nieuwe beveiligingssysteem ondersteunt bestaande verbindingsprotocollen voor oude clients.
Nieuwe client en ouder beveiligingssysteem
Het oudere beveiligingssysteem kan geen "tweerichtingswachtwoord"-authenticatie uitvoeren, wat de volgende gevolgen heeft:
- Er zijn geen algemene authenticatie- of versleutelingsinstellingen.
- De instelling voor verificatie van het beveiligingssysteem per client kan geen wachtwoord in twee richtingen zijn.
- De client zal eerst proberen het nieuwe verbindingsprotocol of RPC te gebruiken; Bij een storing keert de client terug naar het oude protocol.
- De client kan verbinding maken met andere verificatiemethoden, behalve 'bi-way-password'.
Voorbeelden van
instellingen voor authenticatie en versleutelingIn de volgende tabellen ziet u voorbeelden waarin instellingen worden opgegeven met behulp van aanroepen, instellingen per client en algemene instellingen, en of deze instellingen kunnen slagen.
In deze voorbeelden wordt ervan uitgegaan dat u een DD Boost-clientverbinding hebt met een beveiligingssysteem met DDOS 6.1 of hoger. Deze voorbeelden zijn niet van toepassing op een van de situaties die worden beschreven in Achterwaartse compatibiliteitsscenario's.
OPMERKING: Als de algemene of per-clientinstelling tweerichtingsverificatie vereist, moet de beller dit specificeren en de benodigde certificaten verstrekken.
Eén instelling
| Oproep specificeert | Instellingen per client | Algemene instellingen | Gebruikte waarden |
|---|---|---|---|
| Geen | Geen | Geen | GESLAAGD Authenticatie: geen Encryptie: geen |
| Authenticatie: tweerichtingswachtwoord Encryptie: gemiddeld |
Geen | Geen | GESLAAGD Authenticatie: tweerichtingswachtwoord Encryptie: gemiddeld |
| Geen | Authenticatie: tweerichtingswachtwoord Encryptie: gemiddeld |
Geen | GESLAAGD Authenticatie: tweerichtingswachtwoord Encryptie: gemiddeld |
| Geen | Geen | Authenticatie: tweerichtingswachtwoord Encryptie: gemiddeld | GESLAAGD Authenticatie: tweerichtingswachtwoord Encryptie: gemiddeld |
| Geen | Geen | Authenticatie: tweerichtingsversleuteling : hoog |
MISLUKT Tweerichtingsverkeer en hoog zijn vereist. De klant moet een tweerichtingsverkeer opgeven en certificaten verstrekken. |
| Authenticatie: tweerichtingsversleuteling: hoog | Geen | Geen | GESLAAGD Authenticatie: tweerichtingsverkeer Encryptie: hoog |
Meerdere instellingen
| Oproep specificeert | Instellingen per client | Algemene instellingen | Gebruikte waarden |
|---|---|---|---|
| Authenticatie: tweerichtingsversleuteling : gemiddeld |
Geen | Authenticatie: tweerichtingsversleuteling : hoog |
MISLUKT Tweerichtingsverkeer en hoog zijn vereist. |
| Geen | Authenticatie: tweerichtingsversleuteling : hoog |
Authenticatie: tweerichtingswachtwoord Encryptie: gemiddeld |
MISLUKT Tweerichtingsverkeer en hoog zijn vereist. De klant moet een tweerichtingsverkeer opgeven en certificaten verstrekken. |
| Authenticatie: tweerichtingsversleuteling : hoog |
Authenticatie: tweerichtingswachtwoord Encryptie: hoog |
Authenticatie: tweerichtingsversleuteling : gemiddeld |
GESLAAGD Authenticatie: tweerichtingsverkeer Encryptie: hoog |
| Geen | Authenticatie: tweerichtingswachtwoord Encryptie: gemiddeld |
Authenticatie: tweerichtingsversleuteling : gemiddeld |
MISLUKT Tweerichtingsverkeer en gemiddeld zijn vereist. De klant moet een tweerichtingsverkeer opgeven en certificaten verstrekken. |
| Authenticatie: tweerichtingsversleuteling : hoog |
Authenticatie: tweerichtingsversleuteling : gemiddeld |
Authenticatie: tweerichtingsversleuteling : gemiddeld |
GESLAAGD Authenticatie: tweerichtingsverkeer Encryptie: hoog |
Additional Information
Data Domain: De standaard verificatiemodus voor DDBoost-clients biedt geen over-the-wire-versleuteling.
Data Domain - Certificaten voor DD Boost beheren
Affected Products
Data DomainArticle Properties
Article Number: 000222809
Article Type: How To
Last Modified: 05 Aug 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.