Домен даних: Як увімкнути шифрування по дроту та копіювання файлів
Summary: Для середовищ, які не використовують VPN для безпечного з'єднання між об'єктами, програмне забезпечення Data Domain Replicator може безпечно інкапсулювати корисне навантаження реплікації через SSL за допомогою 256-бітного шифрування AES для безпечної передачі. Цей процес також відомий як шифрування даних у польоті. Ви можете зашифрувати потік реплікації даних, увімкнувши опцію шифрування реплікації файлів Data Domain Boost. ...
Instructions
Для середовищ, які не використовують VPN для безпечного з'єднання між об'єктами, програмне забезпечення Data Domain Replicator (DD) може безпечно інкапсулювати своє корисне навантаження реплікації через SSL за допомогою 256-бітного шифрування AES для безпечної передачі. Цей процес також відомий як шифрування даних у польоті.
Шифрування даних у польоті
Програмне забезпечення DD Replicator шифрує передачу даних між двома доменами даних. Це називається шифруванням даних під час польоту. Він використовує 256-бітне шифрування OpenSSL AES для інкапсуляції реплікованих даних по дроту. Шар інкапсуляції шифрування одразу видаляється, коли він потрапляє на домен даних призначення. Програмне забезпечення для шифрування DD також може шифрувати дані всередині корисного навантаження.
Увімкніть шифрування по дроту (MTree реплікація)
DD Replicator підтримує шифрування даних у польоті за допомогою протоколу TLS версії 1.1. Коли режим аутентифікації реплікації встановлений на односторонній або двосторонній, для обміну сесійними ключами використовується ефемерний Diffie-Hellman (DHE). Автентифікація сервера відбувається через RSA. 256-бітний шифр Galois Counter Mode (GCM) AES інкапсулює репліковані дані по дроту. Шар інкапсуляції шифрування одразу видаляється, щойно він потрапляє на цільовий DD. SHA384 використовується для коду автентифікації хеш-повідомлень.
Односторонній означає, що перевіряється лише сертифікат призначення. Двосторонній сигнал означає, що як джерело, так і цільове сертифікати перевірені. Взаємна довіра МАЄ бути встановлена перед тим, як ви зможете скористатися опцією автентифікації, і обидві сторони з'єднання повинні увімкнути цю функцію для подальшого шифрування.
Коли режим аутентифікації реплікації встановлений на анонімний, для обміну сесійними ключами використовується анонімний Діффі-Хеллман (ADH), але джерело і призначення не автентифікують один одного перед обміном ключами. Якщо режим автентифікації не вказано, значення за замовчуванням є анонімним.
1) If using one-way or two-way authentication for replication, you MUST exchange CA certificates:
a) Check current trusts:
adminaccess trust show
b) Add trusts to configure mutual trust.
adminaccess trust add host <hostname> type mutual
2) DDSH via CLI(Command Line interface). one-way or two-way cannot be configured via GUI at this time.
Run on both source and target DD. Configuring on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs.
a) must disable replication prior to making modifications.
replication disable <destination>
example:
replication disable rctx://1
b) enable encryption over the wire with or without authentication-mode.
replication modify <destination> encryption {enabled | disabled}
[authentication-mode {one-way | two-way | anonymous}]
example:
replication modify rctx://1 encryption enabled authentication-mode two-way
3) Verify changes made:
replication show config
example:
replication show config
CTX Source Destination Connection Low-bw-optim Crepl-gc-bw-optim Encryption Enabled Max-repl- Tenant-unit
Host and Port (Auth-mode) streams
--- ------------------------------------------------------- ---------------------------------------------------- ----------------------------------- ------------ ----------------- ----------------- ------- --------- -----------
1 mtree://DD3300.MyCompany.com/data/col1/mtree1 mtree://DDVE.MyCompany.com/data/col1/mtree1_repl DDVE.MyCompany.com (default) disabled disabled enabled (two-way) no 8 -
4) Enable replication on both DDs. Enable on target first is recommended.
Also note that replication CTX numbers can be different on source and target DDs.
replication enable <destination>
example:
replication enable rctx://1
Реплікація змінює шифрування призначення {увімкнено / вимкнено}. (UI дозволяє лише анонімну автентифікацію.)
Змініть стан шифрування по дроту для пункту призначення. Ця функція активна лише при увімкненні як на джерелі, так і на цільовому пристрої. Обов'язкова роль — адміністративна або обмежена адміністрація.
Шифрування реплікації файлу (MFR: Керована реплікація файлів за допомогою DD Boost)
Ви можете зашифрувати потік реплікації даних, увімкнувши опцію шифрування реплікації файлу DD Boost.
ПРИМІТКА: У DD OS 7.10 та новіших, якщо шифрування увімкнене з одного боку, але не з іншого, передача файлів відбувається з шифруванням, а не відмовляється, як це було в попередніх версіях DD OS.
ddboost file-replication option set encryption {enabled [authentication-mode {one-way |
two-way | anonymous}] | disabled}
Enable or disable encrypted data transfer for DD Boost file-replication. This command must be entered on both systems—the
source system and the destination (target) system.
The authentication-mode parameter is optional. If encryption is enabled, the default authentication mode is anonymous.
One-way and two-way authentication require the configuration of mutual trust on both the source and destination systems. Run
the adminaccess trust add host <hostname> [type mutual] command to configure mutual trust.
ddboost file-replication option show [encryption] Show state of encryption: enabled or disabled. Role required: admin, limited-admin, security, user, or backup-operator.
Additional Information
Питання: Чи можна увімкнути шифрування DD одночасно з функцією шифрування по дроту в програмному забезпеченні реплікації DD?
Відповідь: Так, як шифрування по дроту, так і шифрування даних у спокої, (DARE) можна одночасно увімкнути для досягнення різних цілей безпеки.
Питання: Що станеться, якщо одночасно увімкнено опцію програмного забезпечення DD Encryption і функцію бездротова шифрування в програмному забезпеченні DD Replication?
Відповідь: Перше джерело шифрує дані за допомогою ключа шифрування призначення; Потім вже зашифровані дані шифруються вдруге через безпровідне шифрування під час відправлення цих даних до пункту призначення. У пункті призначення після завершення розшифрування по дроту дані зберігатимуться у зашифрованому форматі, який був зашифрований за допомогою ключа шифрування призначення.
Питання: Який тип алгоритму шифрування використовується для функції «шифрування через дріт» у Data Domain щодо шифрування реплікаційного трафіку?
Відповідь: Коли режим аутентифікації реплікації встановлений на «односторонні» або «двосторонні», для обміну сесійними ключами використовується ефемерний Діффі-Хеллман (DHE). Автентифікація сервера здійснюється за допомогою RSA. Для інкапсуляції реплікованих даних по дроту використовується 256-бітний GCM-шифр AES.
Шар інкапсуляції шифрування одразу видаляється, коли він потрапляє на цільову систему. Один із способів означає, що сертифікований лише сертифікат призначення. Двосторонній спосіб означає, що як джерело, так і сертифікати призначення перевірені. Перед використанням режиму автентифікації необхідно встановити взаємну довіру, і обидві сторони з'єднання повинні увімкнути цю функцію для подальшого
шифрування.Коли режим аутентифікації реплікації встановлений на «анонімний», для обміну сесійними ключами використовується Anonymous Diffie-Hellman (ADH), але в цьому випадку джерело і призначення не автентифікують один одного перед обміном ключами. Також, якщо режим автентифікації не вказаний, за замовчуванням використовується анонімний режим.
Питання: Чи підтримується шифрування по дроту в системі EDP (проект відключення шифрування)?
Відповідь: Ми не можемо увімкнути шифрування даних у стані спокою (DARE) або шифрування по дроту (з реплікацією або ddboost) у системі EDP.