Data Domain — DD Boost 全局身份验证和加密

Boost 加密和身份验证取决于客户端兼容性，请查看以下信息和表格。
您可以通过三种方式指定身份验证和加密设置，本文档将对此进行进一步介绍。

动态加密
借助动态加密，应用程序可以对来自保护系统，通过 LAN 传输的传输中备份或恢复数据进行加密。引入此功能是为了提供更安全的数据传输能力。
配置后，客户端可以使用 TLS 对客户端与保护系统之间的会话进行加密。使用的特定密码套件如下表所示。

DD Boost 客户端 3.3 到 7.0 以及 7.5 及更高版本

DD Boost 客户端 3.3 到 7.0 以及 7.5 及更高版本（续）

DD Boost 客户端 7.1 到 7.4

DD Boost 客户端 7.1 到 7.4（续）

全局身份验证和加密
DD Boost 提供全局身份验证和加密选项，以保护您的系统免受中间人 (MITM) 攻击。
全局选项可确保新客户端受到保护，但也允许您为每个客户端配置不同的值。此外，客户端设置只能增强安全性，而不能降低安全性。
设置全局身份验证模式和加密强度可建立最低级别的身份验证和加密。所有客户端的所有连接尝试都必须达到或超过这些级别。

默认全局选项是向后兼容的，这意味着：

• 您不必更新 DD Boost 库。
  所有现有客户端和应用程序都以相同方式执行新选项的默认设置。
• 由于没有额外的加密，因此不会影响性能。
• 使用具有传输层安全性 (TLS) 的证书的客户端和应用程序可以继续工作，无需进行任何更改。
  提醒：如果全局设置与默认设置不同，则可能需要更新现有客户端。

设置身份验证和加密的方法
您可以通过三种方式指定身份验证和加密设置。

• 连接请求
  通过在客户端应用程序中使用 ddp_connect_with_config API 来执行此方法。
• 每客户端设置
  通过在保护系统上使用 CLI 命令来执行此方法。
• 全局设置
  通过在保护系统上使用 CLI 命令来执行此方法。

如果同时设置了每客户端值和全局值，系统将强制执行较强或较高的设置。尝试使用较弱的身份验证或加密设置进行连接的任何客户端都将被拒绝。

身份验证和加密设置
在决定身份验证和加密设置时，可以考虑几个因素。但是，建议您始终选择最大可用设置以获得最大安全性。
最大安全性会影响性能。如果您的受控环境不需要最大安全性，您可以使用其他设置。

全局设置
全局设置确定最低的身份验证和加密级别。不符合这些条件的连接尝试将会失败。

按客户端设置
如果设置是按客户端定义的，您选择的设置必须匹配或大于最大的按客户端身份验证设置和最大全局身份验证设置。
例如：

• 如果客户端配置为需要“双向密码”身份验证，并且全局身份验证设置为双向 TLS，则必须使用双向 TLS 身份验证。
• 如果客户端配置了身份验证设置“two-way TLS”，而全局设置为“two-way passwords”，则必须使用“two-way TLS”。

调用方指定的值
如果调用方指定的值低于全局或按客户端设置，则不允许连接。但是，如果调用方指定的值高于全局或按客户端设置，则使用调用方指定的值建立连接。
例如，如果调用方指定“two-way-password”，但全局或按客户端的值为“two-way”，连接尝试将失败。但是，如果调用方指定了“two-way”，并且全局和按客户端的值为“two-way-password”，则使用“two-way”身份验证。

身份验证和加密选项
您可以为全局身份验证和加密设置选择三个允许的设置之一。
对于按客户端设置，允许使用五个身份验证设置和三个加密设置（与全局设置的加密设置相同）。

全局身份验证和加密选项
选项 global-authentication-mode 和 global-encryption-strength 有一系列选择。

身份验证设置
以下列表按从弱到强的顺序列出身份验证值：

1. none
   不安全；这是默认设置。

2. anonymous
   此选项无法抵御 MITM 攻击。

   会对传输中的数据进行加密。

3. one-way
   此方法需要使用证书。
   此选项无法抵御 MITM 攻击。
   会对传输中的数据进行加密。

4. two-way password
   此选项可抵御 MITM 攻击。
   会对传输中的数据进行加密。

5. two-way
   此选项需要证书用户。
   这是最安全的选项，可以抵御 MITM 攻击。
   会对传输中的数据进行加密。

加密设置
以下列表按从弱到强的顺序列出加密值：

1. none
   不安全；这是默认设置。
   仅当身份验证为“none”时才能指定。

2. medium
   采用 AES 128 和 SHA-1。

3. high
   采用 AES 256 和 SHA-1。

全局身份验证
三个 global-authentication-mode 选项提供不同级别的保护和向后兼容性。
全局身份验证和加密值只能通过 DD Boost 服务器上的命令行界面 (CLI) 命令设置。以下各部分介绍了用于设置这些值的 CLI 命令。

None

ddboost option set global-authentication-mode none
global-encryption-strength none

“none”是最不安全但向后兼容性最强的选项。
如果您的系统有关键性能要求，并且没有抵御 MITM 攻击的需求，则可以选择“none”。
您的系统能够以与之前相同的方式运行，而不会由于 TLS 产生任何性能下降。
当身份验证设置为“none”时，加密必须设置为“none”。如果身份验证设置未选择“none”，则加密设置不能为“none”。

Two-way password

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

双向密码方法使用 TLS 和预共享密钥 (PSK) 身份验证执行双向身份验证。客户端和保护系统都使用先前建立的密码进行身份验证。选择此选项后，客户端与保护系统之间的所有数据和消息都将进行加密。
此选项是 DD Boost for OpenStorage 提供的唯一安全的选项，可全面防范中间人 (MITM) 攻击。
加密强度必须为中或高。
双向密码身份验证是独特的，因为它是唯一一种能防范 MITM 且无需调用方指定就可以完成的方法。

Two-way

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

这是最安全的选项。
双向选项使用 TLS 和证书。双向身份验证是使用应用程序提供的证书实现的。
此设置与使用的现有证书兼容。将全局身份验证设置为“two-way”，需要连接到保护系统的所有应用程序支持和提供证书。
任何不支持证书、未指定双向身份验证并通过 ddp_connect_with_config API 提供证书的应用程序都将失败。

向后兼容性场景
旧客户端和新保护系统
在这种情况下，使用 Boost 库的应用程序采用 DDOS 6.1 或更高版本。在这种情况下，客户端无法执行双向密码身份验证，其影响如下：

• 任何全局身份验证设置必须设置为“none”或“two-way”，因为客户端无法执行“two-way-password”身份验证。
  出于同样的原因，按客户端身份验证设置可以是除“two-way-password”之外的任何值。
• 任何双向密码的全局或按客户端设置都会导致具有较旧客户端库的应用程序失败。
• 新的保护系统支持旧客户端的现有连接协议。

新客户端和旧保护系统
较旧的保护系统无法执行“two-way-password”身份验证，这有以下影响：

• 没有全局身份验证或加密设置。
• 按客户端的保护系统身份验证设置不能是“two-way password”。
• 客户端将首先尝试使用新的连接协议或 RPC；失败时，客户端将恢复为使用旧协议。
• 客户端可以使用除“two-way-password”以外的其他身份验证方法进行连接。

身份验证和加密设置示例
下表显示了使用调用、按客户端设置和全局设置指定设置的示例，以及这些设置是否可以成功。
这些示例假定您的 DD Boost 客户端连接到具有 DDOS 6.1 或更高版本的保护系统。这些示例不适用于“向后兼容性场景”中所述的任一情况。

一个设置

多个设置

Data Domain：DDBoost 客户端的默认身份验证模式不提供传输中加密。
Data Domain — 管理 DD Boost 的证书