Data Domain: Preguntas frecuentes sobre el cifrado

Resumen: En este artículo de la base de conocimientos, se proporciona una recopilación de preguntas frecuentes (FAQ) sobre el cifrado de datos en reposo (DARE) de Data Domain en una ubicación consolidada para facilitar la referencia. ...

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.
Consulte estos recursos

Instrucciones

Tabla de contenido

|
 
 

Configuración de cifrado

Pregunta: ¿Cómo se configura el cifrado de datos en reposo (DARE) en Data Domain?

Respuesta: DARE se puede configurar con los siguientes pasos:
  1. Agregue una licencia de cifrado.
    1. Tenga un archivo de licencia con una licencia de cifrado válida agregada.
    2. Utilice el siguiente comando para actualizar la licencia electrónica en Data Domain mediante el archivo de licencia disponible: 
      # elicense update
  2. Agregue un director de seguridad y habilite las autorizaciones del director de seguridad.
    1. Agregue un usuario con la función "security" (si aún no existe una) mediante el comando: 
      # user add <username> role security
    2. Para habilitar la autorización del director de seguridad, inicie sesión como director de seguridad y ejecute el comando: 
      > authorization policy set security-officer enabled
  3. Vuelva a una cuenta de administrador y habilite DARE mediante la ejecución del comando: 
    # filesys encryption enable

Pregunta: ¿Qué plataformas son compatibles con DARE?

Respuesta: La función DARE es compatible con todos los sistemas Data Domain, excepto los sistemas de proyecto de deshabilitación de cifrado (EDP).
 

Pregunta: ¿Cómo puedo almacenar datos en texto no cifrado en Data Domain?

Respuesta: Los usuarios pueden asegurarse de que los datos se guarden en texto no cifrado y no se cifren en Data Domain mediante la confirmación de que el cifrado está desactivado en la configuración.
El cifrado se puede deshabilitar en Data Domain mediante el comando:
# filesys encryption disable
 

Pregunta: ¿Qué aplicaciones y protocolos de respaldo son compatibles con DARE?

Respuesta: La función DARE es independiente de la aplicación de respaldo subyacente o del protocolo utilizado por Data Domain.
 

Pregunta: ¿Qué algoritmos de cifrado se pueden utilizar?

Respuesta: El software de cifrado Data Domain es compatible con algoritmos AES de 128 o 256 bits que utilizan el encadenamiento de bloques de cifrado (CBC) o el modo de contador de Galois (GCM).
 
GCM es un modo de operación para cifrados de bloques criptográficos de clave simétrica. Es un algoritmo de cifrado autenticado diseñado para proporcionar autenticación y privacidad (confidencialidad). Como su nombre indica, GCM combina el conocido modo de cifrado de contador con el nuevo modo de autenticación de Galois. El aspecto de autenticación de GCM garantiza que los datos cifrados fueron realizados por el sistema Data Domain y no fueron "inyectados" por otros medios. Esto difiere del CBC, donde los datos están cifrados (aspecto de privacidad), pero no se verifica la autenticidad de los datos cifrados.
 
En el modo CBC, cada bloque de texto sin formato es OR exclusivo (XOR) con el bloque de texto cifrado anterior antes de ser cifrado. De esta manera, cada bloque de texto cifrado depende de todos los bloques de texto sin formato procesados hasta ese momento. Además, para que cada mensaje sea único, se debe utilizar un vector de inicialización en el primer bloque. CBC solo garantiza la privacidad (confidencialidad) de los datos a través del cifrado. No se realiza ninguna autenticación del algoritmo o proceso de cifrado.
 

Pregunta: ¿Cómo se puede cambiar el algoritmo de cifrado?

Respuesta: Utilice el siguiente comando para establecer un algoritmo de cifrado específico:
# filesys encryption algorithm set {aes_128_cbc | aes_256_cbc | aes_128_gcm | aes_256_gcm}
 

Pregunta: ¿Cómo puedo asegurarme de que el cifrado se realice en los datos preexistentes una vez que el cifrado esté habilitado?

Respuesta: Podemos forzar el sistema de archivos de Data Domain a cifrar los datos preexistentes mediante el siguiente comando:
# filesys encryption apply-changes
 
Esto hace que el siguiente ciclo de limpieza sea considerablemente más largo y consuma más recursos de lo normal.
 

Pregunta: ¿Cómo desactivo el cifrado?

Respuesta: Deshabilite la función de cifrado en Data Domain mediante el siguiente comando:
# filesys encryption disable
 
Esto solo deshabilita el cifrado para los datos entrantes. Los datos cifrados existentes permanecen cifrados hasta que se descifran manualmente mediante el comando 'filesys encryption apply-changes”.
 

Pregunta: ¿Qué comandos de cifrado requieren un reinicio del sistema de archivos para surtir efecto?

Respuesta: Los siguientes comandos de cifrado requieren un reinicio del sistema de archivos para surtir efecto:
  • filesys encryption enable|disable - Habilita o deshabilita el cifrado en Data Domain.
  • filesys encryption algorithm set - Permite al usuario seleccionar un algoritmo criptográfico.
  • filesys encryption algorithm reset - Restablece el algoritmo de cifrado a AES 256 en modo CBC (el valor predeterminado).
 

Pregunta: ¿Qué comandos de cifrado requieren la deshabilitación del sistema de archivos para configurarlos o utilizarlos?

Respuesta: El sistema de archivos de Data Domain debe estar deshabilitado para configurar o utilizar los siguientes comandos de cifrado:
  • encryption passphrase change
  • encryption lock|unlock

Preguntas generales sobre el cifrado

Pregunta: ¿DARE es compatible con todos los sistemas Data Domain?

Respuesta: La opción de software DARE es compatible con sistemas Data Domain que no forman parte del proyecto de deshabilitación del cifrado (EDP). Estos sistemas que no permiten habilitar el cifrado y se venden principalmente en la región de Rusia.
 

Pregunta: ¿Cómo se realiza la criptografía en los sistemas Data Domain?

Respuesta: La criptografía se realiza mediante las bibliotecas OpenSSL y RSA BSafe. RSA BSafe es una biblioteca de criptografía validada por FIPS 140-2.
 

Pregunta: ¿Qué versión de BSafe utiliza Data Domain?

Respuesta: A partir de DDOS 7.10, las versiones de BSafe en uso son "BSAFE Micro Edition Suite 4.4.0.0” y “BSAFE Crypto-C Micro Edition: 4.1.4.0”.
 

Pregunta: ¿Cuáles son las interfaces de usuario disponibles para configurar el cifrado en DDOS?

Respuesta: El cifrado se puede configurar mediante la línea de comandos, la interfaz web o mediante API REST. La compatibilidad con la API REST se agregó en la versión 8.0 de DDOS.
 

Pregunta: ¿Es posible el cifrado selectivo de datos? ¿Le gusta solo un mtree o un archivo?

Respuesta: El cifrado selectivo NO es posible. El cifrado solo se puede habilitar o deshabilitar en todo el sistema y no de forma selectiva. En los sistemas compatibles con la nube, el cifrado se puede habilitar o deshabilitar en el nivel de nube y en el nivel de unidad de nube.
 

Pregunta: ¿Las claves criptográficas o las contraseñas de cuenta se transmiten o almacenan en texto no cifrado o bajo cifrados débiles, como cuando una entidad se autentica, en archivos de datos, en programas o en directorios de autenticación?

Respuesta: Absolutamente no.
 

Pregunta: ¿Qué versión de OpenSSL utiliza Data Domain?

Respuesta: A partir de DDOS 7.10, la versión de OpenSSL es "OpenSSL 1.0.2zd-fips”.
 

Pregunta: ¿Cómo protege DARE contra el acceso a datos por parte de usuarios y aplicaciones?

Respuesta:
  • El cifrado de datos en reposo consiste en cifrar los datos que residen en el subsistema del disco. El cifrado o descifrado se produce en la capa de compresión. Los usuarios o las aplicaciones envían y reciben datos de texto no cifrado en Data Domain, pero todos los datos que residen físicamente en Data Domain se cifran.
  • Todo el cifrado se produce debajo del sistema de archivos y el espacio de nombres, y es invisible para los usuarios o las aplicaciones. Si un usuario o una aplicación ya tienen acceso autorizado a un archivo o directorio, los datos se pueden leer en su formato nativo, independientemente del cifrado.
  • El cifrado de Data Domain está diseñado de modo que, si un intruso elude otros controles de seguridad de red y obtiene acceso a los datos cifrados, los datos son ilegibles e inutilizables para esa persona sin las claves criptográficas adecuadas.

Pregunta: ¿Se produce el cifrado después de la desduplicación?

Respuesta: Sí, el cifrado se produce en datos desduplicados. Los datos se cifran antes de almacenarse en el disco.
 

Pregunta: ¿Cómo garantiza Data Domain la seguridad de los datos?

Respuesta: Los datos se protegen mediante la función DARE. Además, cuando se elimina el dispositivo (intercambio de cabezal, bloqueo del sistema de archivos), la frase de contraseña se elimina del sistema. Esta frase de contraseña se utiliza para cifrar las claves de cifrado, por lo que los datos están aún más protegidos.
 

Pregunta: ¿Qué alertas se generan con cifrado?

Respuesta: Las alertas se generan en los siguientes casos:
  • Cuando hay claves de cifrado comprometidas presentes
  • Cuando la tabla de claves de cifrado está llena y no se pueden agregar más claves al sistema
  • Cuando falla la exportación automática de claves
  • Cuando falla la rotación de claves automatizada
  • Cuando el cifrado está deshabilitado
  • Cuando se cambia la frase de contraseña del sistema

Pregunta: ¿Hay alguna certificación de seguridad para DDOS?

Respuesta: Los sistemas Data Domain cumplen con el cumplimiento de normas de FIPS 140-2.
 

Pregunta: ¿Dónde se almacena la clave de cifrado?

Respuesta: Las claves de cifrado se almacenan de forma persistente en una partición de recopilación en DDOS.
 

Pregunta: Si alguien extrae un disco duro de un Data Domain, ¿puede descifrar los datos del mismo?

Respuesta: Las claves de cifrado se cifran mediante la frase de contraseña del sistema, que se almacena en el cabezal del sistema. Aunque las claves de cifrado se almacenan en el disco, estas no se pueden descifrar sin la frase de contraseña del sistema. Por lo tanto, sin conocer la clave que se utilizó para cifrar los datos, el descifrado no es posible desde un disco duro.
 

Pregunta: ¿Qué claves criptográficas y contraseñas se necesitan para la recuperación, especialmente para la recuperación ante desastres?

Respuesta: Las claves pueden exportarse a un archivo seguro y mantenerse fuera del sistema. La recuperación de este archivo se realiza con la ayuda del equipo de ingeniería. Además, en el momento de la recuperación, el cliente debe conocer la frase de contraseña que se utilizó con el comando de exportación de claves.
 

Pregunta: ¿Cómo se puede bloquear el sistema de archivos antes de trasladarlo a otra ubicación?

Respuesta: A continuación, se muestra el procedimiento para bloquear el sistema:
  1. Deshabilite el sistema de archivos: 
    # filesys disable
  2. Bloquee el sistema de archivos e ingrese una nueva frase de contraseña (esto requiere autenticación con un usuario de seguridad): 
    # filesys encryption lock
This command requires authorization by a user having a 'security' role.
Please present credentials for such a user below.
        Username: secuser
        Password:
Enter the current passphrase:
Enter new passphrase:
Re-enter new passphrase:
Passphrases matched.
The filesystem is now locked.
    1. La nueva frase de contraseña NO se debe perder ni olvidar. Sin esta frase de contraseña, no se puede desbloquear el sistema de archivos, lo que significa que no se puede acceder a los datos de Data Domain.
  3. Para desbloquear el sistema cuando llega a una ubicación remota, utilice el siguiente comando: 
    # filesys encryption unlock
This command requires authorization by a user having a 'security' role.
Please present credentials for such a user below.
        Username: secuser
        Password:
Enter the passphrase:
The passphrase has been verified. Use 'filesys enable' to start the filesystem.
  4. El sistema de archivos ahora se puede habilitar y utilizar de manera normal.
Respuesta: No, el cifrado del sistema de archivos y el saneamiento del almacenamiento son dos funciones independientes.
 

Pregunta: ¿Es compatible el cifrado por cable con los sistemas EDP?

Respuesta: DARE y el cifrado por cable no son compatibles con los sistemas EDP.
 

Frase de contraseña del sistema

Pregunta: ¿Cuál es la frase de contraseña del sistema?

Respuesta: DDOS puede proteger las credenciales dentro del sistema mediante la configuración de una frase de contraseña a nivel del sistema. La frase de contraseña es una clave legible por humanos, como una tarjeta inteligente, que se utiliza para generar una clave de cifrado AES 256 utilizable por máquina.
 
Proporciona dos beneficios:
  • Permite que el administrador cambie la frase de contraseña sin tener que manipular las claves de cifrado. Cambiar la frase de contraseña cambia indirectamente el cifrado de las claves, pero no afecta los datos de usuario. El cambio de la frase de contraseña no cambia la clave de cifrado subyacente del sistema Data Domain. Cambia el cifrado de la clave del sistema Data Domain, pero la clave del sistema permanece igual.
  • Permite enviar un sistema Data Domain físico con una clave de cifrado en el sistema, pero sin que la frase de contraseña se almacene en él. De esta manera, si la caja es robada en tránsito, un atacante no puede recuperar fácilmente los datos, ya que el sistema solo tiene claves cifradas y datos cifrados.
La frase de contraseña se almacena internamente en una parte oculta del sistema de almacenamiento de Data Domain. Esto permite que el sistema Data Domain arranque y continúe proporcionando acceso a datos sin la intervención del administrador.
 
Creación o cambio de la frase de contraseña:
  • La frase de contraseña del sistema se puede crear mediante la CLI después de que un administrador se autentique con Data Domain.
  • La frase de contraseña del sistema se puede cambiar mediante la CLI después de que un administrador y un usuario con función de seguridad (como un director de seguridad) se autentiquen en Data Domain. Esto significa que ningún administrador puede realizar cambios de manera independiente.
 

Pregunta: ¿Cuándo se utiliza la frase de contraseña?

Respuesta: Varios componentes de DDOS utilizan la frase de contraseña del sistema como clave principal, incluidos el cifrado del sistema de archivos, el acceso a la nube, la administración de certificados, los tokens de DD Boost, los módulos de configuración del sistema en entornos de escalamiento horizontal y la información de licenciamiento. DDOS proporciona mecanismos para establecer y modificar esta frase de contraseña del sistema. También proporciona opciones para controlar si la frase de contraseña del sistema se almacena en el disco, lo que se utiliza especialmente para mejorar la seguridad cuando se transporta Data Domain.
 

Pregunta: ¿Cómo se utiliza la frase de contraseña para el transporte seguro de Data Domain?

Respuesta: El proceso utiliza el comando 'filesys encryption lock", que permite al usuario bloquear el sistema de archivos mediante el cambio de la frase de contraseña. El usuario ingresa una nueva frase de contraseña que vuelve a cifrar la clave de cifrado, pero la nueva frase de contraseña no se almacena. Las claves de cifrado no se pueden recuperar hasta que el sistema de archivos se desbloquee mediante el comando 'filesys encryption unlock' comando.
 
 

Pregunta: ¿Qué sucede si cambia la frase de contraseña? ¿Aún se puede acceder a los datos?

Respuesta: Sí, el cambio de la frase de contraseña no cambia la clave de cifrado del sistema Data Domain subyacente, solo el cifrado de la clave de cifrado. Por lo tanto, el acceso a los datos no se ve afectado.
 

Pregunta: ¿Cómo puedo saber si hay una frase de contraseña configurada en el sistema?

Respuesta: Si se establece una frase de contraseña en el sistema, la ejecución del comando 'system passphrase set' arroja un error que indica que la frase de contraseña ya está establecida.
 

Pregunta: ¿Qué sucede si la frase de contraseña se pierde u olvida?

Respuesta: Si el cliente pierde la frase de contraseña mientras la casilla está bloqueada, pierde sus datos. No hay una puerta trasera o una forma alternativa de acceder a él. Sin un buen proceso para administrar esa frase de contraseña, esto podría suceder accidentalmente y no podrían recuperar la clave o los datos. Sin embargo, la clave cifrada nunca se puede perder ni dañar debido a los mecanismos de protección integrados del sistema.
 

Pregunta: ¿Hay algún mecanismo para restablecer una frase de contraseña perdida del sistema?

Respuesta: La frase de contraseña del sistema se puede restablecer forzosamente solo en ciertas situaciones con la ayuda del servicio al cliente. El mecanismo de actualización forzada introducido en DDOS 7.2 se puede utilizar para esto solo si se cumplen condiciones específicas. Puede encontrar más detalles en este artículo: Data Domain: Cómo restablecer una frase de contraseña de sistema perdida en DDOS v7.2 o posterior (se requiere iniciar sesión en el soporte de Dell).
 

Pregunta: ¿Existe alguna opción para evitar el almacenamiento de la frase de contraseña del sistema en Data Domain?

Respuesta: La frase de contraseña del sistema se almacena en una ubicación oculta en el sistema Data Domain de manera predeterminada. El comando 'system passphrase option store-on-disk' se puede utilizar para cambiar esto y evitar el almacenamiento de la frase de contraseña en el disco.
 

Administrador de claves integrado (EKM)

Comando de nivel superior:
# filesys encryption embedded-key-manager <option>
 

Pregunta: ¿Se admite la rotación de claves con EKM?

Respuesta: Sí, la rotación de claves por sistema Data Domain es compatible con el administrador de claves integrado. A través de la interfaz de usuario o la CLI, el administrador puede configurar un período de rotación de claves (semanal o mensual).
 

Pregunta: ¿Se cobra por la funcionalidad de administración de claves integrada?

Respuesta: Esta funcionalidad es gratuita. Se incluye como parte de la opción de licencia de software estándar de Data Domain Encryption.
 

Pregunta: ¿Puedo cambiar de la administración de claves local a la externa?

Respuesta: Sí, los administradores de claves externos se pueden habilitar en cualquier momento. Sin embargo, las claves locales que se utilizan permanecen en Data Domain. Los administradores de claves externos no pueden administrar las claves locales. Los datos existentes no requieren recifrado. Si los datos de cumplimiento de normas se deben volver a cifrar con claves EKM, se debe realizar manualmente mediante 'filesys encryption apply-changes' con el nuevo RW tecla La destrucción de claves de EKM después de un switch no es obligatoria.
 
El cambio de los administradores de claves cambia automáticamente la clave activa a la clave desde KMIP.
Ejemplo de cómo se ve el MUID de la clave KMIP cuando se produce un cambio:
Key-ID     Key MUID                                                                    State                     Key Manger Type
1               be1                                                                    Deactivated               DataDomain

2               49664EE855DF71CB7DC08309414C2B4C76ECB112C8D10368C37966E4E2E38A68       Activated-RW              KeySecure
 

Pregunta: ¿Qué sucede cuando la rotación de claves está deshabilitada o habilitada?

Respuesta: La rotación de claves está deshabilitada de manera predeterminada. En ese escenario, todos los datos se cifran con la clave activa existente. Si la rotación de claves está habilitada, los datos se cifran con la clave activa más reciente según la frecuencia de rotación configurada.
 

Administradores de claves externos

Pregunta: ¿Qué administradores de claves externos admite Data Domain?

Respuesta: Data Domain es compatible con los siguientes administradores de claves externos:
  • KeySecure de Gemalto (compatibilidad agregada en DDOS versión 7.2)
  • Vormetric (compatibilidad agregada en DDOS versión 7.3)
  • CipherTrust (compatibilidad agregada en DDOS versión 7.7)
  • IBM GKLM (compatibilidad agregada en DDOS versión 7.9)
 

Pregunta: ¿Se requiere una licencia independiente para habilitar la integración con un administrador de claves externo?

Respuesta: Sí, se necesita una licencia independiente del proveedor respectivo para integrar un administrador de claves externo con Data Domain.
 

Pregunta: ¿Cuántos administradores de claves se pueden utilizar a la vez?

Respuesta: Solo un administrador de claves puede estar activo en cualquier momento en un Data Domain.
 

Pregunta: ¿Dónde puedo encontrar más información sobre cómo configurar administradores de claves externos de KMIP?

Respuesta: La Guía de integración de KMIP para DDOS contiene información detallada sobre la configuración de los diferentes administradores de claves externos compatibles con Data Domain.
 

Pregunta: ¿Cómo se administran los certificados para los administradores de claves externos en Data Domain?

Respuesta: La configuración del administrador de claves externo requiere la generación de un certificado de CA (que puede ser autofirmado o firmado por un tercero) y un certificado de host. Una vez que la configuración se realiza en el servidor del administrador de claves externo, el certificado de CA y el certificado de host se deben importar al sistema Data Domain. A continuación, se puede configurar y habilitar el administrador de claves externo.
 

Pregunta: ¿Qué es una autoridad de certificación?

Respuesta: Una autoridad de certificación (CA) actúa como la entidad compartida de confianza inicial entre pares y emite certificados firmados para que cada parte pueda confiar en la otra. Por lo general, un certificado actúa como la identidad de un servidor o cliente.
 

Pregunta: ¿Qué es un certificado firmado por una CA? ¿Qué es un certificado firmado por una CA local?

Respuesta: Un certificado firmado por una CA es un certificado emitido y firmado por una autoridad de certificación (CA) de confianza pública. Un certificado firmado por CA se vuelve de confianza automáticamente. Una CA local puede emitir certificados firmados, ya que la clave de firma privada se almacena en el sistema de administración de claves. Una CA externa no almacena la clave privada. En su lugar, una CA externa se utiliza como entidad de confianza para diversas interfaces y servicios dentro del sistema.
 

Pregunta: ¿Cómo puedo crear una solicitud de firma de certificado en un Data Domain?

Respuesta: Se puede generar una solicitud de firma de certificado (CSR) de Data Domain mediante el siguiente comando. De esta manera, la clave privada nunca se expone al administrador de claves externo.
# adminaccess certificate cert-signing-request
 

Pregunta: ¿Es posible cambiar entre gestores de claves?

Respuesta: El cambio del administrador de claves externo al administrador de claves integrado está permitido y es transparente. Sin embargo, el cambio del administrador de claves integrado a administradores de claves externos requiere la instalación y configuración adecuadas de certificados. Cambiar entre dos administradores de claves externos (por ejemplo: KMIP-CipherTrust, DSM-CipherTrust, CipherTrust a GKLM) también está permitido. También se admite la migración de claves (consulte la Guía de integración de KMIP para obtener más detalles).
 

Pregunta: ¿Qué sucede cuando la conectividad del administrador de claves externo deja de funcionar? ¿Aún se puede acceder a mis datos?

Respuesta: Sí, aún se puede acceder a los datos cuando no podemos conectarnos con el administrador de claves, ya que también se almacena una copia de las claves en Data Domain. No se pueden crear claves nuevas ni los estados de las claves no se pueden sincronizar cuando no hay conectividad con el administrador de claves externo.
 

Pregunta: ¿Hay alguna manera de almacenar claves solo en el administrador de claves externo y no en Data Domain?

Respuesta: Siempre se almacena una copia de las claves en el sistema Data Domain para fines de arquitectura de invulnerabilidad de datos (DIA). Esta configuración no se puede cambiar.
 

Pregunta: ¿Existe algún impacto en el rendimiento debido a la integración con KMIP?

Respuesta: No, no hay ningún impacto en el rendimiento debido al uso de administradores de claves externos.
 

Pregunta: ¿Es posible aprovechar la solución KMIP para determinados Data Domains dentro del entorno?

Respuesta: Sí, los clientes tienen total flexibilidad en la selección de la metodología de cifrado adecuada para sus Data Domains. Pueden continuar aprovechando el administrador de claves integrado de Data Domain en algunos sistemas y la rotación de claves de cifrado mediante KMIP en otros sistemas dentro de su entorno.
 

Pregunta: ¿Es segura la comunicación entre Data Domain y KMIP?

Respuesta: Sí, Data Domain se comunica a través de sesiones autenticadas mutuamente de certificado X509 con TLS. La CLI de Data Domain se puede utilizar para importar el certificado X509 correspondiente al sistema Data Domain. Luego, este certificado se utiliza para establecer el canal seguro entre Data Domain y KMIP.
 

Administración del ciclo de vida clave

Pregunta: ¿Qué funcionalidades de administración de claves existen con el cifrado de Data Domain?

Respuesta: Un administrador de claves controla la generación, la distribución y la administración del ciclo de vida de varias claves de cifrado. Un sistema de protección puede utilizar el administrador de claves integrado o un administrador de claves externo compatible con KMIP. Solo puede haber un administrador de claves activado a la vez. Cuando el cifrado está habilitado en un sistema de protección, el administrador de claves integrado está vigente de manera predeterminada. Si se configura un administrador de claves externo, reemplaza al administrador de claves integrado y permanece vigente hasta que se deshabilita manualmente. El cambio del administrador de claves integrado al administrador de claves externo o viceversa da como resultado la adición de una nueva clave al sistema. A partir de DDOS 7.1, esto no requiere un reinicio del sistema de archivos.
 

Pregunta: ¿Cuáles son los diferentes estados de clave en Data Domain?

Los diferentes estados de clave en Data Domain son los siguientes:
  • Activated-RW: Solo hay una clave en este estado en un Data Domain en un momento dado, y se utiliza para leer y escribir datos. El proceso de recolección de elementos no utilizados también utiliza esta clave para volver a cifrar contenedores.
  • Pending-Activated: Solo hay una clave en este estado en un Data Domain en un momento determinado. Esto identifica la clave que se convertirá en Activated-RW después del siguiente reinicio del sistema de archivos. Este estado existe solo en el momento de habilitar el cifrado. Pending-activated Las claves no se crean en ningún otro momento.
  • Activated-RO: Los administradores de claves externos pueden tener varias claves activadas. La clave más reciente está en Activated-RWy el resto se encuentran en este estado. Las claves pueden entrar en este estado en Data Domain cuando no se puede sincronizar el estado con el administrador de claves.
  • Deactivated: Se utiliza para leer los datos existentes en el sistema Data Domain.
  • Compromised: Cuando una clave de administrador de claves externo está en riesgo, cambia a este estado después de la siguiente sincronización de claves.
  • Marked-For-Destroyed: Cuando un cliente marca una clave para su destrucción, la clave cambia a este estado. Cuando se ejecuta la recolección de elementos no utilizados, todos los contenedores cifrados con Marked-For-Destroyed Las claves se vuelven a cifrar mediante el comando Activated-RW tecla
  • Destroyed: Una clave en el Marked-For-Destroyed El estado entra en este estado cuando no hay datos asociados con él.
  • Destroyed-compromised: Una clave en el Compromised El estado entra en este estado cuando no hay datos asociados con él.
 

Pregunta: ¿Se pueden exportar las claves de cifrado para la recuperación ante desastres?

Respuesta: Las claves se pueden exportar manualmente mediante el siguiente comando.
# filesys encryption keys export
 
Data Domain también exporta claves de manera predeterminada cuando se agrega una nueva clave o cuando se elimina cualquier clave del sistema.
 
Los archivos exportados están presentes en el archivo /ddr/var/.security directorio en un formato cifrado. Este archivo se puede copiar fuera de Data Domain y almacenarse en una ubicación segura para usarlo en cualquier condición de recuperación ante desastres más adelante.
 
Nota: La importación de claves para la recuperación ante desastres requiere la intervención del servicio al cliente, ya que el proceso de restauración depende del tipo de desastre encontrado. Podemos importar el archivo de clave exportado mediante el siguiente comando. 
# filesys encryption keys import <filename>
 

Pregunta: ¿La clave generada por KMIP se almacena en Data Domain?

Respuesta: Sí, la clave de cifrado obtenida del KMIP se almacena de manera cifrada en Data Domain.
 

Pregunta: ¿Cómo se aplica un cambio de estado clave en el dispositivo KMIP a Data Domain?

Respuesta: La sincronización de claves se realiza diariamente. Si hay una nueva clave disponible o se cambia el estado de una clave, la sincronización actualiza la tabla de claves locales. Data Domain recibe actualizaciones clave de KMIP todos los días a medianoche.
 

Pregunta: ¿Es posible sincronizar manualmente los estados clave entre Data Domain y KMIP?

Respuesta: Sí, la interfaz de usuario o la CLI de Data Domain se pueden usar para sincronizar manualmente los estados clave entre Data Domain y KMIP. El comando para esto es 'filesys encryption keys sync”.
 

Pregunta: ¿Es posible cambiar la hora en que Data Domain recibe actualizaciones clave de KMIP?

Respuesta: No, no es posible cambiar la hora en que Data Domain recibe actualizaciones clave de KMIP.
 

Pregunta: ¿Existe un límite para la cantidad de claves almacenadas en Data Domain?

Respuesta: A partir de DD OS 7.8, el sistema Data Domain puede tener un máximo de 1024 claves en el sistema. Solo hay una tecla en el Activated-RW estado; Todas las demás claves pueden estar en cualquier otro estado.
 

Pregunta: ¿Se pueden utilizar diferentes claves para diferentes conjuntos de datos en Data Domain?

Respuesta: No, Data Domain solo es compatible con una clave activa en el sistema a la vez. Todos los datos entrantes se cifran con la clave activa actual. Las claves no se pueden controlar con una granularidad más fina (por ejemplo, por mtree).
 

Pregunta: ¿Hay alguna notificación cuando se alcanza el límite máximo de claves?

Respuesta: Sí, se genera una alerta cuando se alcanza el límite máximo de claves de 1024.
 

Pregunta: ¿Cómo puedo borrar la alerta sobre el límite máximo de claves?

Respuesta: Se debe eliminar una de las claves para borrar la alerta de límite máximo de claves.
 

Pregunta: ¿Puedo ver la cantidad de datos asociados con una clave específica en Data Domain?

Respuesta: Sí, esto se puede ver en Data Domain, pero no en el servidor KMIP. La interfaz de usuario y la CLI de Data Domain permiten que el usuario vea la cantidad de datos asociados con una clave específica. El comando para esto es 'filesys encryption keys show summary”.
 

Pregunta: ¿Puedo ver la antigüedad de las claves en Data Domain?

Respuesta: Sí, se puede ver para las claves EKM mediante la interfaz de usuario.
 

Pregunta: ¿Funciona la clave antigua incluso si ha transcurrido el período de tiempo para que la nueva clave entre en vigor?

Respuesta: No hay fecha de vencimiento para las claves de cifrado. Las claves antiguas pasan a ser de solo lectura después de la rotación de claves y permanecen en DDOS.
 

Pregunta: ¿Las claves de cifrado se eliminan automáticamente cuando no hay datos asociados con ellas en Data Domain?

Respuesta: No, la clave no se elimina automáticamente. El usuario debe eliminar explícitamente la clave mediante la CLI o la interfaz de usuario de Data Domain.
 

Pregunta: ¿Se puede eliminar una clave incluso si hay datos asociados a ella en Data Domain?

Respuesta: No, si una clave tiene datos asociados, no se puede eliminar. Los datos se deben volver a cifrar con otra clave para eliminar una clave que tiene datos asociados.
 

Pregunta: Si se elimina una clave en KMIP, ¿también se elimina la clave de la lista de claves de Data Domain?

Respuesta: No, el usuario debe eliminar la clave de manera independiente mediante la CLI o la interfaz de usuario de Data Domain.
 

Pregunta: En un entorno de Data Domain de múltiples sitios, ¿se requiere un KMIP en cada ubicación?

Respuesta: No, no es necesario tener un KMIP en cada sitio con un Data Domain. Se puede utilizar un servidor KMIP para todos ellos. Se recomienda tener una clase de clave separada para cada sistema Data Domain cuando se utiliza el mismo servidor KMIP.
 

Pregunta: Si una clave se ve comprometida, ¿existe algún proceso para recuperar los datos cifrados con la clave anterior?

Respuesta: Si esto ocurre, el cliente debe marcar la clave como en riesgo en el servidor KMIP. A continuación, en Data Domain:
  1. Ejecute 'filesys encryption keys sync”.
  2. Ejecute 'filesys encryption apply-changes”.
  3. Inicie una limpieza del sistema de archivos.
    1. La limpieza vuelve a cifrar todos los datos que se cifraron con la clave comprometida mediante una clave más reciente.
    2. Una vez que se realiza la limpieza, el estado de clave anterior se cambia a Compromised-Destroyed.
  4. Elimine la clave anterior.
 

Cifrado y replicación

Pregunta: ¿Data Domain Replication es compatible e interoperable con DARE?

Respuesta: Sí, la replicación de Data Domain se puede utilizar con DARE. Esto permite que los datos cifrados se repliquen mediante todos los diferentes tipos de replicación. Cada tipo de replicación funciona de manera exclusiva con cifrado y ofrece el mismo nivel de seguridad.
 

Pregunta: ¿Los sistemas de origen y destino tienen que ejecutar la misma versión de DDOS para usar el cifrado?

Respuesta: El origen y el destino pueden estar en diferentes versiones de DDOS para usar DARE con replicación si son compatibles con la replicación (consulte la Guía de administración de Data Domain para obtener la matriz de compatibilidad).
 

Pregunta: ¿Cómo funciona la replicación con cifrado?

Respuesta: Depende de la forma de replicación que se utilice.
 
Si la replicación configurada es replicación de MTree (MREPL) o replicación administrada de archivos (MFR):
  • DARE puede tener licencia o habilitarse en el origen o el destino de manera independiente, según lo que el cliente desee lograr.
  • Cuando el origen y el destino tienen habilitado el cifrado:
    • Los datos que se recopilan en el origen se cifran con la clave de cifrado del sistema de origen.
    • El origen descifra los datos locales, los vuelve a cifrar con la clave de cifrado del sistema de destino y, a continuación, replica los datos cifrados en el destino.
  • Cuando el origen tiene el cifrado deshabilitado y el destino lo tiene habilitado:
    • Los datos que se recopilan en el origen no se cifran.
    • Cuando se replica, el origen cifra los datos mediante la clave de cifrado del sistema de destino y, a continuación, replica los datos cifrados en el sistema de destino.
  • Cuando el origen tiene habilitado el cifrado y el destino lo tiene deshabilitado:
    • Los datos que se recopilan en el sistema de origen se cifran con la clave de cifrado del sistema de origen.
    • El origen descifra los datos y, a continuación, replica los datos sin cifrar en el sistema de destino.
  • Si el cifrado está habilitado en la réplica después de configurar el contexto de replicación, los segmentos nuevos que se están replicando se cifran en el origen de la réplica. Todos los segmentos que residen en la réplica antes de que se habilite el cifrado se dejan en un estado sin cifrar, a menos que se apliquen cambios y se ejecute una limpieza en el destino.
 
Si la replicación configurada es la replicación de recopilación (CREPL):
  • Los sistemas de origen y destino deben ejecutar la misma versión de DDOS.
  • El cifrado debe estar habilitado o deshabilitado en ambos. Tampoco puede haber una incompatibilidad en la configuración de cifrado. Las claves de cifrado son las mismas que las del origen y el destino.
  • Cuando el origen y el destino tienen habilitado el cifrado:
    • Todos los datos que se ingresan al sistema de origen se cifran mediante la clave de cifrado del sistema de origen.
    • Cuando se replica, el origen envía datos cifrados al sistema de destino en su estado cifrado.
    • El destino tiene la misma clave que el origen, ya que la replicación de recopilaciones se trata de una réplica exacta del sistema de origen.
    • No se pueden escribir datos en el destino fuera de la replicación, ya que el destino es un sistema de solo lectura.
  • Cuando tanto el origen como el destino tienen el cifrado deshabilitado:
    • Los datos que se ingresan al sistema de origen no se cifran.
    • Cuando se replica, el origen envía los datos en un estado sin cifrar y permanecen sin cifrar en el destino.
    • No se pueden escribir datos en el destino fuera de la replicación, ya que el destino es un sistema de solo lectura.
 

Pregunta: ¿La clave del destino se almacena indefinidamente en el Data Domain de origen?

Respuesta: La clave de cifrado del destino nunca se almacena en el sistema Data Domain de origen. Solo se mantiene en la memoria (cifrada) mientras la sesión de replicación está activa. Esto se aplica a todos los tipos de replicación, excepto a la replicación de recopilaciones. En la replicación de recopilaciones, el mismo conjunto de claves de cifrado está presente tanto en el origen como en el destino.
 

Pregunta: ¿Se puede habilitar el cifrado en un sistema de replicación de recopilaciones después de que se establece el contexto de replicación?

Respuesta: Sí, en este caso, el cifrado debe estar habilitado tanto en el origen como en el destino. El contexto de replicación debe estar deshabilitado para configurar el cifrado. Todos los segmentos nuevos replicados se cifran en la réplica. Todos los segmentos que residen en la réplica antes de que se habilitara el cifrado se dejan en un estado sin cifrar.
 

Pregunta: ¿Se puede habilitar DARE simultáneamente con la función de cifrado por cable para la replicación de Data Domain?

Respuesta: Sí, tanto el cifrado por cable (OTW) como DARE se pueden habilitar simultáneamente para lograr diferentes objetivos de seguridad.
 

Pregunta: ¿Qué sucede si el cifrado DARE y OTW se habilitan al mismo tiempo?

Respuesta: El origen primero cifra los datos mediante la clave de cifrado de destino. Luego, los datos ya encriptados son encriptados por segunda vez mediante el encriptado de la OTW mientras se envían estos datos a su destino. En el destino, después de que se realiza el descifrado OTW, los datos se almacenan en un formato cifrado que se cifró con la clave de cifrado del destino.
 

Pregunta: Cuando el cifrado está habilitado tanto en el origen como en el destino, ¿deben tener la misma frase de contraseña?

Respuesta: Si la replicación configurada es la replicación de recopilaciones, la frase de contraseña debe ser la misma. Para otros tipos de replicación (como MREPL, MFR), los sistemas pueden tener diferentes frases de contraseña.
 

Pregunta: Con el cifrado habilitado en el destino, ¿se cifran tanto los datos replicados como los datos de algún otro punto de acceso (como a través de un respaldo local)? ¿Hay alguna manera de separar los dos en el destino para que solo se cifren los directorios replicados?

Respuesta: No, todos los datos se cifran en el destino, independientemente del punto de entrada. El cifrado no solo se puede habilitar o deshabilitar con una granularidad en el nivel de mtree o directorio. Esto no se aplica a CREPL.
 

Pregunta: ¿Cómo se realiza el intercambio de claves entre el origen y el destino durante MREPL o MFR?

Respuesta: Durante la fase de asociación de la replicación, el destino transmite de manera segura su algoritmo de cifrado actual y la información de clave al origen. Los contextos de replicación siempre se autentican con una seña secreta compartida. Ese secreto compartido se utiliza para establecer una clave de "sesión" mediante un protocolo de intercambio de claves Diffie-Hellman. Esa clave de sesión se utiliza para cifrar y descifrar la clave de cifrado de Data Domain.
 

Pregunta: ¿Qué tipo de algoritmo utiliza el cifrado OTW para cifrar el tráfico de replicación?

Respuesta: Cuando el modo de autenticación de replicación se configura en "one-way" o "two-way", se utiliza Diffie-Hellman efímero (DHE) para el intercambio de claves de sesión. La autenticación del servidor se produce mediante RSA. El cifrado GCM AES de 256 bits se utiliza para encapsular los datos replicados a través del cable. La capa de encapsulación de cifrado se elimina inmediatamente cuando llega al sistema de destino.
 
"Una vía" indica que solo el certificado de destino está certificado. "Bidireccional" indica que se verifican los certificados de origen y destino. Se debe establecer la confianza mutua antes de poder usar este modo de autenticación y ambos lados de la conexión deben habilitar esta característica para que el cifrado continúe.
 
Cuando el modo de autenticación de replicación se configura en "anónimo", se utiliza Diffie-Hellman anónimo (ADH) para el intercambio de claves de sesión. En este caso, el origen y el destino no se autentican entre sí antes del intercambio de claves. "Anonymous" se utiliza de manera predeterminada si no se especifica el modo de autenticación.
 

Pregunta: ¿Funciona la rotación de claves sin un reinicio del sistema de archivos con todos los tipos de replicación?

Respuesta: La rotación de claves sin reiniciar el sistema de archivos funciona con todos los tipos de replicación, excepto la replicación de directorios (que ya no es compatible) y la replicación delta (también conocida como optimización de bajo ancho de banda o LBO).
 

Pregunta: ¿Cómo se protege la clave de cifrado del destino durante el intercambio de claves en ausencia de certificados o pares de claves PKI?

Respuesta: Hay una seña secreta compartida entre todos los pares de replicación de Data Domain que se utiliza para establecer una clave de sesión compartida mediante un intercambio de claves Diffie-Hellman. Esa clave compartida se utiliza para cifrar la clave de cifrado del destino.
 
Existe una diferencia entre la seña secreta compartida que se utiliza para la autenticación de replicación y la clave de sesión compartida, que se asigna mediante el protocolo de intercambio de claves Diffie-Hellman. El software Data Domain establece la seña secreta compartida utilizada para la autenticación de replicación la primera vez que dos Data Domain desean establecer un contexto de replicación. También se acuerda a través de un intercambio Diffie-Hellman utilizando parámetros incrustados en el código. Esto se almacena de manera permanente en los sistemas para autenticar cada sesión de replicación entre los dos sistemas. La clave de sesión de replicación (la clave utilizada para cifrar la clave de cifrado del destino) se establece mediante otro intercambio de Diffie-Hellman con el secreto compartido establecido anteriormente, lo que impulsa el protocolo de intercambio de claves seguro. Esta clave no es persistente y solo está disponible mientras el contexto de replicación está activo.
 

Pregunta: ¿Se requiere que ambos sistemas en un par de replicación utilicen la misma solución de administrador de claves externo (como el administrador de claves KMIP), o uno de los sistemas puede usar un administrador de claves externo y el otro puede usar un administrador de claves integrado?

Respuesta: Además de la replicación de recopilaciones, no es necesario que ambos sistemas dentro de un par de replicación utilicen el mismo administrador de claves.
 
Con la replicación de recopilaciones, ambos sistemas Data Domain deben configurarse con el mismo administrador de claves. Sin embargo, solo el origen sincroniza las claves con el administrador de claves y esas claves también se envían al destino. Con otros tipos de replicación, se pueden usar diferentes administradores de claves con el origen y el destino.
 

Cifrado y migración

Pregunta: ¿La migración de datos es compatible con los sistemas con DARE habilitado?

Respuesta: Sí, la migración de datos es compatible con sistemas con cifrado habilitado. La configuración de cifrado en los sistemas de origen y destino debe coincidir como requisito previo antes de que se inicie la migración de datos. También se recomienda exportar y respaldar las claves de cifrado en el sistema de origen para fines de DIA antes de iniciar la migración.
 

Pregunta: ¿Se admite la migración de datos de nivel activo y de nivel de nube con DARE habilitado?

Respuesta: Sí, la migración de datos es compatible con la migración de nivel activo y de nivel de nube para sistemas habilitados para cifrado. La lista de atributos de requisitos verificados se aplica en función del nivel en el que se haya habilitado el cifrado.
 

Pregunta: ¿Qué configuración de cifrado se conserva como parte de la migración?

Respuesta: Los datos cifrados y las claves de cifrado se migran tal cual, pero los ajustes, como el administrador de claves, la frase de contraseña del sistema y otras configuraciones de cifrado, se deben verificar y emparejar manualmente para que la migración de datos se realice correctamente. Todos los certificados de administrador de claves existentes también se transfieren al sistema de destino. La configuración del administrador de claves de cifrado se debe volver a establecer en el sistema de destino después de la migración.
 

Pregunta: ¿Qué comprobaciones de compatibilidad de cifrado se realizan entre el origen y el destino durante la migración?

Respuesta: La frase de contraseña del sistema, el estado de cifrado, los detalles de configuración del administrador de claves y la configuración del modo FIPS del sistema son algunas de las configuraciones de cifrado que deben ser idénticas en los sistemas de origen y destino para que la migración se realice correctamente. En este artículo de la base de conocimientos (se requiere inicio de sesión en el soporte de Dell), se detallan los pasos para la migración entre sistemas con la nube habilitada. Los mismos ajustes también se aplican a la migración de nivel activo.
 

Pregunta: ¿Se admite la migración entre sistemas EDP?

Respuesta: La migración de datos es compatible entre dos sistemas si ambos son EDP o no EDP. Se permite la migración de datos desde un sistema EDP a un sistema que no es EDP si el cifrado OTW está explícitamente deshabilitado usando el MIGRATION_ENCRYPTION Parámetro del sistema.
 

Cifrado y nivel de nube

Pregunta: ¿Se admite el cifrado en el nivel de nube?

Respuesta: Sí, el cifrado es compatible con el nivel de nube. Está desactivada de forma predeterminada. El 'cloud enable' para elegir si desea habilitar o no el cifrado en el nivel de nube.
 

Pregunta: ¿KMIP y los administradores de claves externos son compatibles con el nivel de nube?

Respuesta: Sí, KMIP y los administradores de claves externos son compatibles con el nivel de nube desde DDOS 7.8 en adelante.
 

Pregunta: ¿Con qué granularidad se puede habilitar el cifrado en la nube?

Respuesta: El cifrado se puede habilitar y deshabilitar en cada unidad de nube y en cada nivel de manera independiente.
 

Pregunta: ¿Las unidades de nube tienen claves independientes?

Respuesta: No, la administración de claves es común a los niveles activo y de nube en Data Domain. Las claves se copian en la unidad, el nivel o la partición de recopilación respectivos cuando el cifrado está habilitado. Si el cifrado está habilitado en la nube activa y no en ella, las claves del nivel activo no se reflejan en la nube y viceversa. Esto también se aplica a las unidades de nube. Por ejemplo: Si la solicitud en cp1 tiene habilitado el cifrado, y cp2 no tiene el cifrado habilitado, entonces cp1 Las teclas no se reflejan en cp2.
 

Pregunta: ¿Se pueden eliminar las claves de la nube?

Respuesta: No, no se admite la eliminación de claves de la nube.
 

Pregunta: ¿Dónde se administran las claves de cifrado de datos para las unidades de nube?

Respuesta: Las claves están asociadas a un collection partition (CP)y cada unidad de nube es un CP diferente. Se almacena una copia de las claves de todos los CP en la partición activa.
 

Pregunta: ¿Cómo puedo recuperar claves de nube durante la recuperación ante desastres?

Respuesta: La variable cpnameval se espejea en la nube como parte de la recuperación de CP y las claves de cifrado se recuperan en cpnameval. A continuación, el ddr_key_util para recuperar las claves.
 
Nota: La recuperación ante desastres requiere la asistencia del servicio al cliente.
 

Pregunta: ¿Se puede ejecutar la transferencia de datos cuando el cifrado está habilitado solo para el nivel de nube?

Respuesta: No, el cifrado debe estar habilitado en los niveles activo y de nube para que se ejecute la transferencia de datos.
 

Pregunta: ¿Se puede utilizar un administrador de claves externo con el nivel de nube?

Respuesta: Sí, el administrador de claves externo se puede utilizar con el nivel de nube. Esta función es compatible desde DDOS 7.8 en adelante. Todas las operaciones (excepto la destrucción o eliminación de una clave que se utiliza para el nivel activo) también son válidas para el nivel de nube en términos de administrador de claves externo.
 

Cifrado y recolección de elementos no utilizados

Pregunta: ¿Qué papel juega el proceso de recolección de elementos no utilizados (GC) en DARE? ¿Existe un impacto en el rendimiento cuando se habilita el cifrado por primera vez?

Respuesta: Habilitar DARE por primera vez tiene un impacto en el rendimiento de GC. Cuando se ejecuta GC, lee datos de los contenedores existentes en el disco y los escribe en contenedores nuevos. Después de habilitar DARE, es posible que los datos deban leerse, descifrarse y descomprimirse antes de volver a comprimirse, cifrarse y escribirse nuevamente en el disco. Cuando el cifrado está habilitado en un Data Domain que contiene una cantidad significativa de datos preexistentes, y el archivo 'filesys encryption apply-changes, el siguiente ciclo de GC intentará cifrar todos los datos existentes en el sistema. Esto significa que todos los datos deben leerse, descomprimirse, comprimirse, cifrarse y escribirse en el disco. Como resultado, el primer GC después de correr 'filesys encryption apply-changes' puede tardar más de lo normal. Asegúrese de que tengan suficiente espacio libre en el sistema Data Domain para permitir que la limpieza finalice sin que el sistema Data Domain se llene (de lo contrario, los respaldos fallarán).
 

Pregunta: ¿Existe un impacto en el rendimiento debido a los ciclos de limpieza continuos?

Respuesta: Sí, hay un impacto en el rendimiento. Por lo general, el impacto depende de la cantidad de datos que se ingieren y restauran entre ciclos de limpieza.
 

Pregunta: ¿Cuánto tiempo se tarda en cifrar los datos existentes?

Utilice este artículo de la base de conocimientos para calcular el tiempo: Data Domain: Cálculo del tiempo que tarda en aplicarse el cifrado en reposo.
 

Cifrado y reimplementación

Pregunta: Si un Data Domain con DARE configurado se somete a una reimplementación, ¿aún se puede acceder a los discos con la nueva unidad principal?

Respuesta: La clave de cifrado no está vinculada al cabezal del sistema Data Domain, por lo que los discos se pueden transferir a otro cabezal de Data Domain y la clave sigue siendo accesible desde allí. El sistema de archivos está bloqueado en el nuevo cabezal y se debe desbloquear con la tecla 'filesys encryption unlock' y la frase de contraseña del sistema.
 

Pregunta: ¿Qué sucede si la frase de contraseña se pierde en el momento de la operación de reimplementación?

Respuesta: Si se pierde la frase de contraseña, conecte el cabezal anterior y trabaje con el soporte para restablecer la frase de contraseña. A continuación, vuelva a conectarlo al nuevo cabezal y finalice el procedimiento de intercambio.
 

Cifrado y rendimiento

Pregunta: ¿Cuál es el impacto observado en el consumo de almacenamiento cuando se utiliza DARE?

Respuesta: El impacto en el consumo de almacenamiento es insignificante, con aproximadamente un 1 % de sobrecarga asociada con el almacenamiento de algunos parámetros de cifrado con los datos de usuario.
 

Pregunta: ¿Cuál es el impacto observado en el rendimiento (escrituras y lecturas) cuando se utiliza DARE?

Respuesta: El impacto en el rendimiento de la ingesta cuando se utiliza el cifrado puede variar según el protocolo y la plataforma. En general, los siguientes porcentajes son degradaciones conservadoras del rendimiento en el rendimiento agregado:
 
Modo CBC
  • Primer completo: ~10 % de degradación del rendimiento en escrituras
  • Incremental: ~5 % de degradación del rendimiento en escrituras
  • Restauraciones: Entre un 5 % y un 20 % de degradación del rendimiento en lecturas
 
Modo GCM
  • Primer completo: Entre un 10 % y un 20 % de degradación del rendimiento en las escrituras
  • Incremental: 5-10 % de degradación del rendimiento en escrituras
  • Restauraciones: Entre un 5 % y un 20 % de degradación del rendimiento en lecturas
 
Estos números son específicos de la sobrecarga del cifrado de datos en reposo. El cifrado por cable se contabiliza por separado.
 

Mejores prácticas

Pregunta: ¿Cuáles son las prácticas recomendadas en relación con la política de rotación de claves?

Respuesta: La política de rotación de claves automatizada no está habilitada de manera predeterminada. Se recomienda rotar las claves de cifrado con frecuencia. Cuando un sistema está configurado con un administrador de claves KMIP externo, se recomienda rotar las claves con frecuencia para manejar cualquier escenario de riesgo de claves en el futuro. Cuando KMIP está configurado con el nivel de nube, el intervalo de rotación de claves sugerido es semanal; cuando KMIP está configurado solo para el nivel activo, la política de rotación de claves sugerida es mensual. Sin embargo, esto se puede aumentar o disminuir en función de la tasa de ingesta. Si el administrador de claves integrado está configurado, se recomienda una política de rotación de claves entre 1 y 3 meses.
 

Pregunta: ¿Cuáles son las prácticas recomendadas con la clase de clave KMIP si se utiliza el mismo servidor KMIP para muchos Data Domain?

Respuesta: Se recomienda tener una clase de clave separada para cada Data Domain cuando se utiliza el mismo servidor KMIP. De esa manera, la rotación de claves que se realiza en un sistema no afecta el estado de la clave presente en otros sistemas.

Información adicional

Puede encontrar otra documentación relacionada con Data Domain Encryption (Guía del administrador, Guía de referencia de comandos y Guía de configuración de seguridad) aquí: Documentos principales de PowerProtect y Data Domain
 
Vea este video:

Productos afectados

Data Domain, Data Domain

Productos

Data Domain, Data Domain Encryption
Propiedades del artículo
Número del artículo: 000019875
Tipo de artículo: How To
Última modificación: 29 may 2026
Versión:  13
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.