Data Domain – DD Boost global autentisering och kryptering

Öka kryptering och autentisering beror på klientkompatibilitet Granska informationen och tabellen nedan.
Du kan ange autentiserings- och krypteringsinställningar på tre sätt, som beskrivs längre fram i det här dokumentet.

Kryptering
under arbeteMed kryptering under arbete kan program kryptera säkerhetskopiering under arbete eller återställa data över LAN från skyddssystemet. Den här funktionen introducerades för att erbjuda en säkrare datatransportkapacitet.
När den är konfigurerad kan klienten använda TLS för att kryptera sessionen mellan klienten och skyddssystemet. Den specifika chiffersvit som används är följande i tabellen nedan.

DD Boost Client 3.3 till 7.0 och 7.5 efter 7.5

DD Boost Client 3.3 till 7.0 och 7.5 efter 7.5 (fortsättning)

DD Boost-klient 7.1 till 7.4

DD Boost Client 7.1 till 7.4 (fortsättning)

Global autentisering och kryptering
DD Boost erbjuder globala autentiserings- och krypteringsalternativ för att skydda ditt system mot MITM-attacker
(man-in-the-middle).De globala alternativen säkerställer att nya klienter skyddas, men gör också att du kan konfigurera olika värden för varje klient. Dessutom kan klientinställningar bara stärka säkerheten, inte minska den.
Om du ställer in globalt autentiseringsläge och krypteringsstyrka upprättas miniminivåer för autentisering och kryptering. Alla anslutningsförsök av alla klienter måste uppfylla eller överskrida dessa nivåer.

De globala standardalternativen är bakåtkompatibla, vilket innebär:

• Du behöver inte uppdatera DD Boost-biblioteket.
  Alla befintliga klienter och program fungerar på samma sätt med standardinställningarna för de nya alternativen.
• Prestandan påverkas inte eftersom kryptering inte läggs till.
• Klienter och program som använder certifikat med TLS (Transport Layer Security) kan fortsätta att fungera utan ändringar.
  Obs! Om de globala inställningarna skiljer sig från standardinställningarna kan befintliga klienter behöva uppdateras.

Metoder för att ställa in autentisering och kryptering
Du kan ange autentiserings- och krypteringsinställningar på tre sätt.

• Anslutningsbegäran
  Det gör du med hjälp av ddp_connect_with_config-API:et i klientprogrammet.
• Inställningar
  per klient Det gör du med hjälp av CLI-kommandon på skyddssystemet.
• Globala inställningar
  Det gör du med hjälp av CLI-kommandon på skyddssystemet.

Om både värden per klient och globala värden anges tillämpas den starkare eller högre inställningen. Alla klienter som försöker ansluta med en svagare autentiserings- eller krypteringsinställning avvisas.

Autentiserings- och krypteringsinställningar
Du kan ta hänsyn till flera faktorer när du bestämmer inställningar för autentisering och kryptering. Vi rekommenderar dock att du alltid väljer inställningen Maximal tillgänglig för maximal säkerhet.
Maximal säkerhet påverkar prestandan. Om du har en kontrollerad miljö där maximal säkerhet inte krävs kanske du vill använda andra inställningar.

Globala inställningar
Den globala inställningen avgör miniminivåerna för autentisering och kryptering. Anslutningsförsök som inte uppfyller dessa kriterier misslyckas.

Inställningar
per klientOm inställningen definieras per klient måste den inställning du väljer antingen matcha eller vara större än den maximala autentiseringsinställningen per klient och den maximala inställningen för global autentisering.
Till exempel:

• Om en klient är konfigurerad för att kräva autentisering med "tvåvägslösenord" och den globala autentiseringsinställningen är tvåvägs TLS måste tvåvägs TLS-autentisering användas.
• Om klienten är konfigurerad med autentiseringsinställningen "tvåvägs TLS" och den globala inställningen är "tvåvägslösenord" måste "tvåvägs TLS" användas.

Värden
som anges av anroparenOm de värden som anroparen har angett är lägre än de globala inställningarna eller inställningarna per klient tillåts inte anslutningen. Men om de värden som anges av anroparen är högre än de globala inställningarna eller inställningarna per klient görs anslutningen med hjälp av de värden som anroparen har angett.
Om anroparen till exempel anger "tvåvägslösenord" men antingen det globala värdet eller värdet per klient är "tvåvägs" misslyckas anslutningsförsöket. Men om anroparen har angett "tvåvägs" och de globala värdena och värdena per klient är "tvåvägslösenord" används "tvåvägsautentisering".

Autentiserings- och krypteringsalternativ
Du kan välja en av tre tillåtna inställningar för både globala inställningar och autentiserings- och krypteringsinställningar
.För inställningarna per klient tillåts fem autentiseringsinställningar och tre krypteringsinställningar (samma krypteringsinställningar som för global).

Globala alternativ för
autentisering och krypteringDet finns flera alternativ med alternativen global-authentication-mode och global-encryption-strength.

Autentiseringsinställningar
I följande lista rangordnas autentiseringsvärden från svagaste till starkaste:

1. none
   Inte säker; det här är standardinställningen.

2. anonym
   Det här alternativet är inte säkert mot MITM-attacker.

   In-flight-data är krypterade.

3. enkelriktad
   Den här metoden kräver användning av certifikat.
   Detta är inte säkert mot MITM-attacker.
   In-flath-data är krypterade.

4. tvåvägslösenord
   Det här alternativet är skyddat mot MITM-attacker.
   In-flath-data är krypterade.

5. tvåvägs
   : Det här alternativet kräver användaren av certifikat.
   Detta är det säkraste alternativet och är säkert mot MITM-attacker.
   In-flath-data är krypterade.

Krypteringsinställningar
I följande lista rangordnas krypteringsvärden från svagaste till starkaste:

1. none
   Inte säker; det här är standardinställningen.
   Kan endast anges om autentiseringen är "none".

2. medium
   Använder AES 128 och SHA-1.

3. hög
   Använder AES 256 och SHA-1.

Global autentisering
De tre alternativen för globalt autentiseringsläge erbjuder olika skyddsnivåer och bakåtkompatibilitet.
Globala autentiserings- och krypteringsvärden kan endast anges via CLI-kommandon (Command-Line Interface) på DD Boost-servern. De CLI-kommandon som du använder för att ange dessa värden beskrivs i följande avsnitt.

Inget

ddboost option set global-authentication-mode none
global-encryption-strength none

"Ingen" är det minst säkra men mest bakåtkompatibla alternativet.
Du kan välja "none" om ditt system har viktiga prestandakrav och du inte behöver skydd mot MITM-attacker.
Systemet kan fungera på samma sätt som tidigare utan att drabbas av prestandaförsämring på grund av TLS.
När autentiseringen är inställd på "none" måste krypteringen ställas in på "none". Om du väljer en annan inställning för autentisering än "ingen" kan krypteringsinställningen inte vara "ingen".

Tvåvägslösenord

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Metoden med tvåvägslösenord utför tvåvägsautentisering med hjälp av TLS med PSK-autentisering (Pre-Shared Key). Både klienten och skyddssystemet autentiseras med hjälp av de tidigare fastställda lösenorden. När det här alternativet är markerat krypteras alla data och meddelanden mellan klienten och skyddssystemet.
Det här alternativet är det enda säkra alternativet som är tillgängligt med DD Boost för OpenStorage och skyddar helt mot MITM-attacker
(man-in-the-middle).Krypteringsstyrkan måste vara antingen medel eller hög.
Tvåvägslösenordsautentisering är unik eftersom det är den enda metoden som både är säker mot MITM och kan göras utan att anroparen anger den.

Dubbelriktad

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Detta är det säkraste alternativet.
Tvåvägsalternativet använder TLS med certifikat. Tvåvägsautentisering uppnås med hjälp av certifikat som tillhandahålls av programmet.
Den här inställningen är kompatibel med befintlig användning av certifikat. Om du ställer in den globala autentiseringsinställningen på "dubbelriktad" måste alla program som ansluter till skyddssystemet stödja och tillhandahålla certifikat.
Alla program som inte stöder certifikat och inte anger dubbelriktad autentisering och tillhandahåller certifikat via ddp_connect_with_config-API:et misslyckas.

Scenarier
för bakåtkompatibilitetÄldre klient och nytt skyddssystem
I det här fallet används ett program som använder ett Boost-bibliotek med DDOS 6.1 eller senare. I det här scenariot kan klienten inte utföra tvåvägslösenordsautentisering, vilket har följande konsekvenser:

• Alla globala autentiseringsinställningar måste anges till "ingen eller "tvåvägs" eftersom klienten inte kan utföra autentisering med "tvåvägslösenord".
  Autentiseringsinställningar per klient kan vara vilket värde som helst utom "tvåvägslösenord" av samma anledning.
• Globala inställningar eller inställningar per klient för tvåvägslösenord gör att program med äldre klientbibliotek misslyckas.
• Det nya skyddssystemet har stöd för befintliga anslutningsprotokoll för gamla klienter.

Ny klient och äldre skyddssystem
Det äldre skyddssystemet kan inte utföra autentisering med "tvåvägslösenord", vilket får följande konsekvenser:

• Det finns inga globala autentiserings- eller krypteringsinställningar.
• Autentiseringsinställningen för skyddssystem per klient får inte vara "tvåvägslösenord".
• Klienten försöker först använda det nya anslutningsprotokollet eller RPC. Vid fel återgår klienten till det gamla protokollet.
• Klienten kan ansluta med andra autentiseringsmetoder förutom "tvåvägslösenord".

Exempel på
autentiserings- och krypteringsinställningarI följande tabeller visas exempel där inställningar anges med hjälp av anrop, inställningar per klient och globala inställningar och om dessa inställningar kan lyckas.
I de här exemplen förutsätts att du har en DD Boost-klientanslutning till ett skyddssystem med DDOS 6.1 eller senare. De här exemplen gäller inte för någon av de situationer som beskrivs i scenarier för bakåtkompatibilitet.

En inställning

Flera inställningar

Data Domain: Standardautentiseringsläget för DDBoost-klienter ger inte kryptering över tråden.
Data Domain – Hantera certifikat för DD Boost