Data Domain - DD Boost genel kimlik doğrulama ve şifreleme

Boost şifreleme ve kimlik doğrulama, istemci uyumluluğuna bağlıdır. Aşağıdaki bilgileri ve tabloyu inceleyin.
Kimlik doğrulama ve şifreleme ayarlarını, bu belgenin ilerleyen bölümlerinde açıklanan üç şekilde belirtebilirsiniz.

Aktarım Sırasında Şifreleme
Aktarım Sırasında Şifreleme, uygulamaların koruma sisteminden gelen yedekleme veya geri yükleme verilerini aktarım sırasında LAN üzerinden şifrelemesini sağlar. Bu özellik, daha güvenli bir veri aktarımı sağlamak üzere sunulmuştur.
İstemci, yapılandırıldığında istemci ile koruma sistemi arasındaki oturumu şifrelemek için TLS'yi kullanabilir. Kullanılan özel şifre paketi, aşağıdaki tabloda belirtildiği gibidir.

DD Boost Client 3.3 ila 7.0 ve 7.5 ve 7.5 Sonrası

DD Boost Client 3.3 ila 7.0 ve 7.5 ve 7.5 sonrası (devamı)

DD Boost Client 7.1 ila 7.4

DD Boost Client 7.1 ila 7.4 (devamı)

Genel kimlik doğrulama ve şifreleme
DD Boost, sisteminizi ortadaki adam (MITM) saldırılarına karşı savunmak için genel kimlik doğrulama ve şifreleme seçenekleri sunar.
Genel seçenekler yeni istemcilerin korunmasını sağlar ancak her istemci için farklı değerler yapılandırmanıza da olanak tanır. Ek olarak, istemci ayarları güvenliği azaltamaz, yalnızca güçlendirebilir.
Genel kimlik doğrulama modunun ve şifreleme gücünün ayarlanması, minimum kimlik doğrulama ve şifreleme düzeylerini belirler. Tüm istemcilerin tüm bağlantı girişimleri bu düzeyleri karşılamalı veya aşmalıdır.

Varsayılan genel seçenekler geriye dönük olarak uyumludur, yani şu anlama gelir:

• DD Boost kitaplığını güncelleştirmeniz gerekmez.
  Mevcut tüm istemciler ve uygulamalar, yeni seçeneklerin varsayılan ayarlarıyla aynı şekilde çalışır.
• Ek şifreleme olmadığı için performans üzerinde herhangi bir etkisi yoktur.
• Aktarım katmanı güvenliğine (TLS) sahip sertifikalar kullanan istemciler ve uygulamalar, hiçbir değişiklik olmadan çalışmaya devam edebilir.
  NOT: Genel ayarlar varsayılan ayarlardan farklıysa mevcut istemcilerin güncelleştirilmesi gerekebilir.

Kimlik doğrulama ve şifrelemeyi ayarlama yöntemleri
Kimlik doğrulama ve şifreleme ayarlarını üç şekilde belirtebilirsiniz.

• Bağlantı isteği
  Bu işlemi, istemci uygulamasındaki ddp_connect_with_config API'sini kullanarak gerçekleştirebilirsiniz.
• İstemci başına ayarlar
  Bu işlemi, koruma sistemi üzerinde CLI komutlarını kullanarak gerçekleştirebilirsiniz.
• Genel ayarlar
  Bu işlemi, koruma sistemi üzerinde CLI komutlarını kullanarak gerçekleştirebilirsiniz.

Hem istemci başına hem de genel değerler ayarlanırsa daha güçlü veya daha yüksek olan ayar zorlanır. Daha zayıf bir kimlik doğrulama veya şifreleme ayarıyla bağlanmaya çalışan tüm istemciler reddedilir.

Kimlik doğrulama ve şifreleme ayarları
Kimlik doğrulama ve şifreleme ayarlarına karar verirken birkaç faktörü göz önünde bulundurabilirsiniz. Ancak, maksimum güvenlik için her zaman mevcut maksimum ayarı seçmeniz önerilir.
Maksimum güvenlik, performansı etkiler. Maksimum güvenliğin gerekli olmadığı denetimli bir ortamınız varsa diğer ayarları kullanmak isteyebilirsiniz.

Genel ayarlar
Genel ayar, minimum kimlik doğrulama ve şifreleme düzeylerini belirler. Bu kriterleri karşılamayan bağlantı girişimleri başarısız olur.

İstemci başına ayarlar
Ayar istemci bazında tanımlanmışsa seçtiğiniz ayar, istemci başına kimlik doğrulama için maksimum ayar ve maksimum genel kimlik doğrulama ayarıyla eşleşmeli veya bunlardan büyük olmalıdır.
Örneğin:

• İstemci "iki yönlü parola" kimlik doğrulaması gerektirecek şekilde yapılandırılmışsa ve genel kimlik doğrulama ayarı iki yönlü TLS ise iki yönlü TLS kimlik doğrulaması kullanılmalıdır.
• İstemci, "iki yönlü TLS" kimlik doğrulama ayarı ile yapılandırılmışsa ve genel ayar "iki yönlü parolalar" ise "iki yönlü TLS" kullanılmalıdır.

Arayan tarafından belirtilen değerler
Arayan tarafından belirtilen değerler genel veya istemci başına ayarlardan düşükse bağlantıya izin verilmez. Ancak, arayan tarafından belirtilen değerler genel veya istemci başına ayarlardan yüksekse bağlantı, arayanın belirttiği değerler kullanılarak kurulur.
Örneğin, arayan "iki yönlü parola" belirtirse ancak genel veya istemci başına değer "iki yönlü" ise bağlantı girişimi başarısız olur. Ancak, arayan "iki yönlü" belirttiyse ve genel ile istemci başına değerler "iki yönlü parola" ise "iki yönlü" kimlik doğrulaması kullanılır.

Kimlik doğrulama ve şifreleme seçenekleri
Hem genel hem de kimlik doğrulama ve şifreleme ayarları için izin verilen üç ayardan birini seçebilirsiniz.
İstemci başına ayarlar için beş kimlik doğrulama ayarına ve üç şifreleme ayarına (genel ayarlarla aynı şifreleme ayarları) izin verilir.

Genel kimlik doğrulama ve şifreleme seçenekleri
genel-kimlik-doğrulama-modu ve genel-şifreleme-gücü ile birlikte bir dizi seçeneğiniz vardır.

Kimlik doğrulama ayarları
Aşağıdaki liste, kimlik doğrulama değerlerini en zayıftan en güçlüye doğru sıralar:

1. yok
   Güvenli değil; bu, varsayılan ayardır.

2. anonim
   Bu seçenek MITM saldırılarına karşı güvenli değildir.

   Aktarımdaki veriler şifrelenir.

3. tek yönlü
   Bu yöntem, sertifikaların kullanılmasını gerektirir.
   Bu, MITM saldırılarına karşı güvenli değildir.
   Aktarımdaki veriler şifrelenir.

4. iki yönlü parola
   Bu seçenek MITM saldırılarına karşı güvenlidir.
   Aktarımdaki veriler şifrelenir.

5. iki yönlü
   Bu seçenek, sertifikaların kullanıcısını gerektirir.
   Bu en güvenli seçenektir ve MITM saldırılarına karşı güvenlidir.
   Aktarımdaki veriler şifrelenir.

Şifreleme ayarları
Aşağıdaki liste, şifreleme değerlerini en zayıftan en güçlüye doğru sıralar:

1. yok
   Güvenli değil; bu, varsayılan ayardır.
   Yalnızca kimlik doğrulama "yok" ise belirtilebilir.

2. orta
   AES 128 ve SHA-1'i kullanır.

3. yüksek
   AES 256 ve SHA-1'i kullanır.

Genel kimlik doğrulama
Üç genel kimlik doğrulama modu seçenekleri, farklı koruma düzeyleri ve geriye dönük uyumluluk sunar.
Genel kimlik doğrulama ve şifreleme değerleri, yalnızca DD Boost Sunucusundaki komut satırı arayüzü (CLI) komutları aracılığıyla ayarlanabilir. Bu değerleri ayarlamak için kullanabileceğiniz CLI komutları aşağıdaki bölümlerde açıklanmaktadır.

None

ddboost option set global-authentication-mode none
global-encryption-strength none

"Yok", en az güvenli ancak geriye dönük olarak en uyumlu seçenektir.
Sisteminizin önemli performans gereksinimleri varsa ve MITM saldırılarına karşı korumaya ihtiyacınız yoksa "yok" seçeneğini belirleyebilirsiniz.
Sisteminiz, TLS nedeniyle herhangi bir performans düşüşü yaşamadan önceki gibi çalışabilir.
Kimlik doğrulama "yok" olarak ayarlandığında, şifreleme "yok" olarak ayarlanmalıdır. Kimlik doğrulama için "yok" ayarından farklı bir ayar seçerseniz şifreleme ayarı "yok" olamaz.

İki yönlü parola

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

İki yönlü parola yöntemi, önceden paylaşılan anahtar (PSK) kimlik doğrulaması ile TLS kullanarak iki yönlü kimlik doğrulama gerçekleştirir. Hem istemcinin hem de koruma sisteminin kimliği, önceden belirlenmiş parolalar kullanılarak doğrulanır. Bu seçenek belirlendiğinde, istemci ile koruma sistemi arasındaki tüm veriler ve mesajlar şifrelenir.
Bu seçenek, DD Boost for OpenStorage ile kullanılabilen tek güvenli seçenektir ve ortadaki adam (MITM) saldırılarına karşı tam koruma sağlar.
Şifreleme gücü orta veya yüksek olmalıdır.
İki yönlü parola kimlik doğrulaması, hem MITM'ye karşı güvenli olan hem de arayan belirtmeden yapılabilen tek yöntem olduğundan benzersizdir.

İki yönlü

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Bu en güvenli seçenektir.
İki yönlü seçenek, sertifikalarla TLS kullanır. İki yönlü kimlik doğrulama, uygulama tarafından sağlanan sertifikalar kullanılarak gerçekleştirilir.
Bu ayar, sertifikaların mevcut kullanımıyla uyumludur. Genel kimlik doğrulama ayarının "iki yönlü" olarak ayarlanması, koruma sistemine bağlanan tüm uygulamaların sertifikaları desteklemesini ve sağlamasını gerektirir.
Sertifikaları desteklemeyen ve iki yönlü kimlik doğrulamayı belirtmeyen ve ddp_connect_with_config API aracılığıyla sertifika sağlamayan tüm uygulamalar başarısız olur.

Geriye dönük uyumluluk senaryoları
Eski istemci ve yeni koruma sistemi
Bu durumda, Boost kitaplığı kullanan bir uygulama DDOS 6.1 veya sonraki sürümlerle kullanılır. Bu senaryoda istemci, iki yönlü parola kimlik doğrulaması gerçekleştiremez ve bu da aşağıdaki sonuçlara yol açar:

• İstemci "iki yönlü parola" kimlik doğrulaması gerçekleştiremediğinden, tüm genel kimlik doğrulama ayarları "yok" veya "iki yönlü" olarak ayarlanmalıdır.
  İstemci başına kimlik doğrulama ayarları, aynı nedenle "iki yönlü parola" dışında herhangi bir değer olabilir.
• İki yönlü parolanın genel veya istemci başına ayarları, eski istemci kitaplıklarına sahip uygulamaların başarısız olmasına neden olur.
• Yeni koruma sistemi, eski istemciler için mevcut bağlantı protokollerini destekler.

Yeni istemci ve eski koruma sistemi
Eski koruma sistemi, "iki yönlü parola" kimlik doğrulaması gerçekleştiremez ve bu da aşağıdaki sonuçlara yol açar:

• Genel kimlik doğrulama veya şifreleme ayarları yoktur.
• İstemci başına koruma sistemi kimlik doğrulama ayarı "iki yönlü parola" olamaz.
• İstemci önce yeni bağlantı protokolünü veya RPC'yi kullanmayı dener; başarısız olması üzerine istemci eski protokole geri döner.
• İstemci, "iki yönlü parola" dışındaki diğer kimlik doğrulama yöntemleriyle bağlanabilir.

Kimlik doğrulama ve şifreleme ayarı örnekleri
Aşağıdaki tablolarda ayarların çağrılar, istemci başına ayarlar ve genel ayarlar kullanılarak belirtildiği örnekler ve bu ayarların başarılı olup olamayacağı gösterilmektedir.
Bu örneklerde, DDOS 6.1 veya sonraki sürümlere sahip bir koruma sistemine DD Boost istemci bağlantınız olduğu varsayılmıştır. Bu örnekler, Geriye Dönük Uyumluluk Senaryoları'nda açıklanan durumların hiçbiri için geçerli değildir.

Tek ayar

Çoklu Ayarlar

Data Domain: DDBoost İstemcileri için varsayılan Kimlik Doğrulama Modu, Kablo Üzerinden Şifreleme Sağlamaz.
Data Domain - DD Boost için sertifikaları yönetme