Data Domain — autenticação e criptografia globais do DD Boost
Summary: Este artigo fornece informações sobre autenticação e criptografia globais do DD Boost, obtidas a partir das informações atualizadas mais recentes da documentação do DDOS 7.13 Boost. Neste guia, o "Sistema PowerProtect DD", "o sistema de proteção" ou simplesmente "o sistema", vê os equipamentos PowerProtect série DD que executam o DD OS 7.4 ou posterior e sistemas PowerProtect DD anteriores. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Impulsionar a criptografia e a autenticação depende da compatibilidade do client. Analise as informações e a tabela abaixo.
Você pode especificar as configurações de autenticação e criptografia de três maneiras, que são descritas mais detalhadamente neste documento.
Criptografia em trânsito
A criptografia em trânsito permite que os aplicativos façam a criptografia de backup em trânsito e restaurem dados na LAN a partir do sistema de proteção. Esse recurso foi introduzido para oferecer uma capacidade de transferência de dados mais segura.
Quando configurado, o client pode usar o TLS para criptografar a sessão entre o client e o sistema de proteção. O conjunto de codificações específico usado é mostrado na tabela abaixo.
Nota: O conjunto de codificações específico usado é ADH-AES256-SHA, se a opção de criptografia alta for selecionada, ou ADHAES128-SHA, se a opção de criptografia média for selecionada.
DD Boost Client 3.3 para 7.0 e 7.5 e posteriores
| DDOS 7.5 e posterior | |||
|---|---|---|---|
| Criptografia média | Criptografia alta | ||
| DD Boost Client 3.3 para 7.0 e DD Boost | ANON | ADH-AES128-GCM-SHA256 | ADH-AES256-GCM-SHA384 |
| Client 7.5 e posterior | Certificados unidirecionais ou bidirecionais | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 |
DD Boost Client 3.3 para 7.0 e 7.5 e posteriores (continuação)
| DDOS 7.4 e anterior | |||
|---|---|---|---|
| Criptografia média | Criptografia alta | ||
| DD Boost Client 3.3 para 7.0 e DD Boost | ANON | ADH-AES128-SHA | ADH-AES256--SHA |
| Client 7.5 e posterior | Certificados unidirecionais ou bidirecionais | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA |
DD Boost Client 7.1 para 7.4
| DDOS 7.5 e posterior | |||
|---|---|---|---|
| DD Boost Client 7.1 para 7.4 | Criptografia média | Criptografia alta | |
| ANON | ADH-AES128-SHA | ADH-AES256--SHA | |
| Certificados unidirecionais ou bidirecionais | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 | |
DD Boost Client 7.1 para 7.4 (continuação)
| DDOS 7.4 e anterior | |||
|---|---|---|---|
| DD Boost Client 7.1 para 7.4 | Criptografia média | Criptografia alta | |
| ANON | ADH-AES128- SHA | ADH-AES256-- SHA | |
| Certificados unidirecionais ou bidirecionais | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA | |
Autenticação e criptografia globais
O DD Boost oferece opções globais de autenticação e criptografia para defender seu sistema contra ataques man-in-the-middle (MITM).
As opções globais garantem que os novos clients sejam protegidos, mas também permitem que você configure valores diferentes para cada client. Além disso, as configurações do client só podem fortalecer a segurança, não reduzi-la.
A configuração do modo de autenticação global e da força da criptografia estabelece níveis mínimos de autenticação e criptografia. Todas as tentativas de conexão por todos os clients devem atender ou exceder esses níveis.
Nota: Essas medidas não são ativadas por padrão. Você deve alterar as configurações manualmente.
As opções globais padrão são compatíveis com versões anteriores, ou seja:
- Não é necessário atualizar a biblioteca do DD Boost.
Todos os clients e aplicativos existentes funcionam da mesma maneira com as configurações padrão das novas opções. - Não há impacto sobre o desempenho porque não há criptografia adicionada.
- Clients e aplicativos que usam certificados com TLS (Transport Layer Security) podem continuar a funcionar sem alterações.
Nota: Se as configurações globais forem diferentes das configurações padrão, talvez seja necessário atualizar os clients existentes.
Métodos de configuração de autenticação e criptografia
Você pode especificar as configurações de autenticação e criptografia de três maneiras.
- Solicitação de conexão
Faça isso usando a API ddp_connect_with_config no aplicativo client. - Configurações por client
Faça isso usando os comandos da CLI no sistema de proteção. - Configurações globais
Faça isso usando os comandos da CLI no sistema de proteção.
Se os valores globais e por client forem definidos, a configuração mais forte ou superior será imposta. Qualquer client que tente se conectar com uma configuração de autenticação ou criptografia mais fraca será rejeitado.
Configurações de autenticação e criptografia
Você pode considerar vários fatores ao decidir as configurações de autenticação e criptografia. No entanto, é recomendável que você sempre escolha a configuração máxima disponível para segurança máxima.
A segurança máxima afeta o desempenho. Se você tiver um ambiente controlado onde a segurança máxima não é necessária, use outras configurações.
Configurações globais
A configuração global determina os níveis mínimos de autenticação e criptografia. As tentativas de conexão que não atendem a esses critérios falham.
Configurações por client
Se a configuração for definida por client, a configuração escolhida deverá corresponder ou ser maior que a configuração máxima de autenticação por client e a configuração máxima de autenticação global.
Por exemplo:
- Se um client estiver configurado para exigir autenticação de "senha bidirecional" e a configuração de autenticação global for TLS bidirecional, a autenticação TLS bidirecional deverá ser usada.
- Se o client estiver configurado com a autenticação "TLS bidirecional" e a configuração global for "senhas bidirecionais", então "TLS bidirecional" deverá ser usada.
Valores especificados pelo chamador
Se os valores especificados pelo chamador forem inferiores às configurações globais ou por client, a conexão não será permitida. No entanto, se os valores especificados pelo chamador forem maiores do que as configurações globais ou por client, a conexão será feita usando os valores especificados pelo chamador.
Por exemplo, se o chamador especificar "senha bidirecional", mas o valor global ou por client for "bidirecional", a tentativa de conexão falhará. No entanto, se o chamador especificou "bidirecional" e os valores globais e por client forem "senha bidirecional", a autenticação "bidirecional" será usada.
Opções de autenticação e criptografia
Você pode selecionar uma das três configurações permitidas para as configurações globais e de autenticação e criptografia.
Para as configurações por client, cinco configurações de autenticação são permitidas e três configurações de criptografia (as mesmas configurações de criptografia que as globais).
Nota: Os valores de autenticação e criptografia devem ser definidos simultaneamente devido a dependências.
Opções globais de autenticação e criptografia
Você tem uma variedade de opções com global-authentication-mode e global-encryption-strength.
Configurações de autenticação
A lista a seguir classifica os valores de autenticação do mais fraco ao mais forte:
-
Nenhum
Não seguro. Esta é a configuração padrão. -
Anônimo
Esta opção não é segura contra ataques de MITM.Os dados em trânsito são criptografados.
-
unidirecional
Esse método requer o uso de certificados.
Ele não é seguro contra ataques de MITM.
Os dados em trânsito são criptografados. -
Senha bidirecional
Esta opção é segura contra ataques de MITM.
Os dados em trânsito são criptografados. -
Bidirecional
Esta opção requer o uso de certificados.
Essa é a opção mais segura contra ataques de MITM.
Os dados em trânsito são criptografados.
Nota: Os valores "anônimo" e "unidirecional" só são permitidos para configurações por client, e não globais.
Configurações de criptografia
A lista a seguir classifica os valores de criptografia do mais fraco ao mais forte:
-
Nenhum
Não seguro. Esta é a configuração padrão.
Só pode ser especificado se a autenticação for "nenhuma". -
Média
Emprega AES 128 e SHA-1. -
Alta
Emprega AES 256 e SHA-1.
Nota: Tanto a média quanto a alta empregam o SHA-1, dependendo da versão do client e do modo de autenticação. Consulte a tabela em Criptografia em trânsito para obter mais detalhes.
Autenticação global
As três opções global-authentication-mode oferecem diferentes níveis de proteção e compatibilidade com versões anteriores.
Os valores globais de autenticação e criptografia só podem ser definidos por comandos da interface de linha de comando (CLI) no DD Boost Server. Os comandos da CLI que você usa para definir esses valores são descritos nas seções a seguir.
Nenhuma
ddboost option set global-authentication-mode none global-encryption-strength none
"Nenhuma" é a opção menos segura, mas com mais compatibilidade com versões anteriores.
Você pode selecionar "nenhuma" se seu sistema tiver requisitos cruciais de desempenho e você não precisar de proteção contra ataques de MITM.
Seu sistema pode operar da mesma maneira como antes, sem sofrer qualquer degradação de desempenho devido ao TLS.
Quando a autenticação é definida como "nenhuma", a criptografia deve ser definida como "nenhuma". Se você selecionar uma configuração de autenticação que seja diferente de "nenhuma", a configuração de criptografia não poderá ser "nenhuma".
Senha bidirecional
ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}
O método de senha bidirecional executa a autenticação bidirecional usando TLS com autenticação de PSK (Pre-Shared Key, chave pré-compartilhada). O client e o sistema de proteção são autenticados usando as senhas previamente estabelecidas. Quando essa opção é selecionada, todos os dados e mensagens entre o client e o sistema de proteção são criptografados.
Essa opção é a única segura disponível com o DD Boost for OpenStorage e protege totalmente contra ataques man-in-the-middle (MITM).
A força da criptografia deve ser média ou alta.
A autenticação bidirecional de senha é exclusiva porque é o único método que é seguro contra o MITM e pode ser feito sem que o chamador o especifique.
Bidirecional
ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}
Essa é a opção mais segura.
A opção bidirecional emprega TLS com certificados. A autenticação bidirecional é obtida usando certificados fornecidos pelo aplicativo.
Essa configuração é compatível com o uso atual de certificados. Definir a configuração de autenticação global como "bidirecional" exige que todos os aplicativos que se conectam ao sistema de proteção tenham suporte e forneçam certificados.
Qualquer aplicativo que não oferecer suporte a certificados, não especificar a autenticação bidirecional e fornecer certificados por meio da API ddp_connect_with_config apresentará falha.
Nota: A opção de autenticação bidirecional não está disponível com o DD Boost for OpenStorage. Se o modo de autenticação global for definido como bidirecional, todos os aplicativos OST apresentarão falha.
Cenários de compatibilidade com versões anteriores
Client mais antigo e novo sistema de proteção
Nesse caso, um aplicativo usando uma biblioteca Boost é empregado com o DDOS 6.1 ou posterior. Nesse cenário, o client não pode executar a autenticação de senha bidirecional, que tem as seguintes ramificações:
- Qualquer configuração de autenticação global deve ser definida como "nenhuma" ou "bidirecional", já que o client não pode executar a autenticação "senha bidirecional".
As configurações de autenticação por client podem ser de qualquer valor, exceto "senha bidirecional" pelo mesmo motivo. - Qualquer configuração global ou por client de senha bidirecional causa falha em aplicativos com bibliotecas de client mais antigas.
- O novo sistema de proteção é compatível com protocolos de conexão existentes para clients antigos.
Client novo e sistema de proteção mais antigo
O sistema de proteção mais antigo não pode executar a autenticação "senha bidirecional", que tem as seguintes ramificações:
- Não há configurações globais de autenticação ou criptografia.
- A configuração de autenticação por client do sistema de proteção não pode ser "senha bidirecional".
- O client tentará primeiro usar o novo protocolo de conexão ou RPC; Em caso de falha, o client reverte para o protocolo antigo.
- O client pode se conectar com outros métodos de autenticação, exceto "senha bidirecional".
Exemplos de configuração de autenticação e criptografia
As tabelas a seguir mostram exemplos em que as configurações são especificadas usando chamadas, configurações por client e configurações globais, e se essas configurações podem ser bem-sucedidas.
Esses exemplos pressupõem que você tenha uma conexão de client do DD Boost com um sistema de proteção com DDOS 6.1 ou posterior. Esses exemplos não se aplicam a nenhuma das situações descritas em cenários de compatibilidade com versões anteriores.
Nota: Se a configuração global ou por client exigir autenticação bidirecional, o chamador deverá especificá-la e fornecer os certificados necessários.
Uma configuração
| A chamada especifica | Configurações por client | Configurações globais | Valores usados |
|---|---|---|---|
| Nenhuma | Nenhuma | Nenhuma | ÊXITO Autenticação: nenhuma Criptografia: nenhuma |
| Autenticação: senha bidirecional Criptografia: média |
Nenhuma | Nenhuma | ÊXITO Autenticação: senha bidirecional Criptografia: média |
| Nenhuma | Autenticação: senha bidirecional Criptografia: média |
Nenhuma | ÊXITO Autenticação: senha bidirecional Criptografia: média |
| Nenhuma | Nenhuma | Autenticação: senha bidirecional Criptografia: média | ÊXITO Autenticação: senha bidirecional Criptografia: média |
| Nenhuma | Nenhuma | Autenticação: bidirecional Criptografia: alta |
FALHA São necessárias bidirecional e alta. O client deve especificar uma bidirecional e fornecer certificados. |
| Autenticação: bidirecional Criptografia: alta | Nenhuma | Nenhuma | ÊXITO Autenticação: bidirecional Criptografia: alta |
Várias configurações
| A chamada especifica | Configurações por client | Configurações globais | Valores usados |
|---|---|---|---|
| Autenticação: bidirecional Criptografia: média |
Nenhuma | Autenticação: bidirecional Criptografia: alta |
FALHA São necessárias bidirecional e alta. |
| Nenhuma | Autenticação: bidirecional Criptografia: alta |
Autenticação: senha bidirecional Criptografia: média |
FALHA São necessárias bidirecional e alta. O client deve especificar uma bidirecional e fornecer certificados. |
| Autenticação: bidirecional Criptografia: alta |
Autenticação: senha bidirecional Criptografia: alta |
Autenticação: bidirecional Criptografia: média |
ÊXITO Autenticação: bidirecional Criptografia: alta |
| Nenhuma | Autenticação: senha bidirecional Criptografia: média |
Autenticação: bidirecional Criptografia: média |
FALHA São necessárias bidirecional e média. O client deve especificar uma bidirecional e fornecer certificados. |
| Autenticação: bidirecional Criptografia: alta |
Autenticação: bidirecional Criptografia: média |
Autenticação: bidirecional Criptografia: média |
ÊXITO Autenticação: bidirecional Criptografia: alta |
Additional Information
Data Domain: O modo de autenticação padrão para clients DDBoost não fornece criptografia over-the-wire.
Data Domain - Gerenciando certificados para DD Boost
Affected Products
Data DomainArticle Properties
Article Number: 000222809
Article Type: How To
Last Modified: 05 Aug 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.