Data Domain:DD Boost 全局身份验证和加密
Summary: 本文提供有关 DD Boost 全局身份验证和加密的信息,这些信息摘自 DD OS 7.13 Boost 文档中的最新信息。 在本指南中,“PowerProtect DD 系统”“保护系统”或“系统”均指代运行 DD OS 7.4 或更高版本的 PowerProtect DD 系列数据保护专用存储设备以及更早版本的 PowerProtect DD 系统。
Instructions
Boost 加密和身份验证取决于客户端兼容性。查看下面的信息和表格。
您可以通过三种方式指定身份验证和加密设置,本文档将对此进行进一步介绍。
如何在 Dell Data Domain 中重置全局加密强度并清除错误。
持续时间:00:03:32 (hh:mm:ss)
如果可用,可以使用此视频播放器上的 CC 图标选择隐藏式字幕(字幕)语言设置。
动态加密
借助动态加密,应用程序可以对来自保护系统,通过 LAN 传输的传输中备份或恢复数据进行加密。引入此功能是为了提供更安全的数据传输能力。
配置后,客户端可以使用 TLS 对客户端与保护系统之间的会话进行加密。使用的特定密码套件如下表所示。
DD Boost 客户端 3.3 到 7.0 以及 7.5 及更高版本
| DDOS 7.5 及更高版本 | |||
|---|---|---|---|
| 加密:中 | 加密:高 | ||
| DD Boost 客户端 3.3 到 7.0 以及 DD Boost | ANON | ADH-AES128-GCM-SHA256 | ADH-AES256-GCM-SHA384 |
| 客户端 7.5 及更高版本 | 单向或双向证书 | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 |
DD Boost 客户端 3.3 到 7.0 以及 7.5 及更高版本(续)
| DDOS 7.4 及更低版本 | |||
|---|---|---|---|
| 加密:中 | 加密:高 | ||
| DD Boost 客户端 3.3 到 7.0 以及 DD Boost | ANON | ADH-AES128-SHA | ADH-AES256--SHA |
| 客户端 7.5 及更高版本 | 单向或双向证书 | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA |
DD Boost 客户端 7.1 到 7.4
| DDOS 7.5 及更高版本 | |||
|---|---|---|---|
| DD Boost 客户端 7.1 到 7.4 | 加密:中 | 加密:高 | |
| ANON | ADH-AES128-SHA | ADH-AES256--SHA | |
| 单向或双向证书 | DHE-RSA-AES128-GCM-SHA256 | DHE-RSA-AES256-GCM-SHA384 | |
DD Boost 客户端 7.1 到 7.4(续)
| DDOS 7.4 及更低版本 | |||
|---|---|---|---|
| DD Boost 客户端 7.1 到 7.4 | 加密:中 | 加密:高 | |
| ANON | ADH-AES128- SHA | ADH-AES256-- SHA | |
| 单向或双向证书 | DHE-RSA-AES128-SHA | DHE-RSA-AES256-SHA | |
对于 DDOS 7.12 及更高版本, 默认情况下,身份验证 模式为 none ,对于全新安装,加密强度 为 中 等。
默认全局选项是向后兼容的,这意味着:
- 您不必更新 DD Boost 库。所有现有客户端和应用程序都以相同方式执行新选项的默认设置。
- 使用具有传输层安全性 (TLS) 的证书的客户端和应用程序可以继续工作,无需进行任何更改。
全局身份验证和加密
DD Boost 提供全局身份验证和加密选项,以保护系统免受中间人 (MITM) 攻击。
全局选项可确保新客户端受到保护,但也允许您为每个客户端配置不同的值。此外,客户端设置只能增强安全性,而不能降低安全性。
设置全局身份验证模式和加密强度可建立最低级别的身份验证和加密。所有客户端的所有连接尝试都必须达到或超过这些级别。
默认全局选项是向后兼容的,这意味着:
- 您不必更新 DD Boost 库。
所有现有客户端和应用程序都以相同方式执行新选项的默认设置。 - 由于没有额外的加密,因此不会影响性能。
- 使用具有传输层安全性 (TLS) 的证书的客户端和应用程序可以继续工作,无需进行任何更改。
如果全局设置与默认设置不同,则可能需要更新现有客户端。
设置身份验证和加密的方法
您可以通过三种方式指定身份验证和加密设置。
- 连接请求
为此,您可以使用ddp_connect_with_config客户端应用程序中的 API。 - 每个客户端设置
您可以通过在保护系统上使用 CLI 命令来执行此操作。 - 全局设置
您可以通过在保护系统上使用 CLI 命令来执行此操作。
如果同时设置了每客户端值和全局值,系统将强制执行较强或较高的设置。尝试使用较弱的身份验证或加密设置进行连接的任何客户端都将被拒绝。
身份验证和加密设置
在决定身份验证和加密设置时,可以考虑几个因素。但是,建议您始终选择最大可用设置以获得最大安全性。
最大安全性会影响性能。如果您的受控环境不需要最大安全性,您可以使用其他设置。
全局设置
全局设置确定最低的身份验证和加密级别。不符合这些条件的连接尝试将会失败。
按客户端设置
如果设置是按客户端定义的,您选择的设置必须匹配或大于最大的按客户端身份验证设置和最大全局身份验证设置。
例如:
- 如果客户端配置为需要
two-way passwordAuthentication 和全局身份验证设置为two-wayTLS然后two-way TLS必须使用身份验证。 - 如果客户端配置了身份验证设置
two-way TLS全局设置为two-way passwords然后two-way TLS必须使用。
调用方指定的值
如果调用方指定的值低于全局或按客户端设置,则不允许连接。但是,如果调用方指定的值高于全局或每个客户端的设置,则使用调用方指定的值建立连接。
例如,如果调用方指定 two-way-password 但全局或每个客户端的值为 two-way,则连接尝试失败。但是,如果调用方指定 two-way 全局值和每客户端值为 two-way-password开始, two-way 使用身份验证。
身份验证和加密选项
您可以为全局身份验证和加密设置选择三个允许的设置之一。
对于按客户端设置,允许使用五个身份验证设置和三个加密设置(与全局设置的加密设置相同)。
全局身份验证和加密选项
选项 global-authentication-mode 和 global-encryption-strength 有一系列选择。
身份验证设置
以下列表按从弱到强的顺序列出身份验证值:
-
none
不安全;这是默认设置。 -
anonymous
此选项无法抵御 MITM 攻击。
对传输中的数据进行加密。 -
one-way
此方法需要使用证书。
这对于 MITM 攻击是不安全的。
对传输中的数据进行加密。 -
two-way-password
此选项可防止 MITM 攻击。
对传输中的数据进行加密。 -
two-way
此选项需要证书用户。
这是最安全的选项,可以抵御 MITM 攻击。
对传输中的数据进行加密。
anonymous 和 one-way 仅允许用于每个客户端设置,而不是全局设置。
加密设置
以下列表按从弱到强的顺序列出加密值:
-
none
不安全;这是默认设置。
仅当身份验证为“none”时才能指定。 -
medium
采用 AES 128 和 SHA-1 -
high
采用 AES 256 和 SHA-1
medium 和 high 根据客户端版本和身份验证模式使用 SHA-1。有关详细信息,请参阅动态加密表。
全局身份验证
三个 global-authentication-mode 选项提供不同级别的保护和向后兼容性。
全局身份验证和加密值只能通过 DD Boost 服务器上的命令行界面 (CLI) 命令设置。以下各部分介绍了用于设置这些值的 CLI 命令。
无
ddboost option set global-authentication-mode none global-encryption-strength none
这是安全性最低但向后兼容性最强的选项。
您可以选择 none 如果您的系统具有关键性能要求,并且您不需要防范 MITM 攻击。
您的系统可以以与以前相同的方式运行,而不会因 TLS 而遭受任何性能下降。
如果您选择与 none时,加密设置不能为 none。
双向密码
ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}
双向密码方法使用 TLS 和预共享密钥 (PSK) 身份验证执行双向身份验证。客户端和保护系统都使用先前建立的密码进行身份验证。选择此选项后,客户端与保护系统之间的所有数据和消息都将进行加密。
此选项是 DD Boost for OpenStorage 提供的唯一安全的选项,可全面防范中间人 (MITM) 攻击。
加密强度必须为中或高。
双向密码身份验证是独特的,因为它是唯一一种能防范 MITM 且无需调用方指定就可以完成的方法。
双向
ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}
这是最安全的选项。
双向选项使用 TLS 和证书。双向身份验证是使用应用程序提供的证书实现的。
此设置与使用的现有证书兼容。将全局身份验证设置为 two-way 要求连接到保护系统的所有应用程序都支持并提供证书。
不支持证书且未指定双向身份验证并通过 ddp_connect_with_config API 失败。
two-way,则所有 OST 应用程序都将失败。
向后兼容性场景
旧客户端和新保护系统
在这种情况下,使用 Boost 库的应用程序采用 DDOS 6.1 或更高版本。在这种情况下,客户端无法执行双向密码身份验证,其影响如下:
- 任何全局身份验证设置必须设置为
none或two-way由于客户端无法执行two-way-password认证。
每客户端身份验证设置可以是除two-way-password出于同样的原因。 - 任何双向密码的全局或按客户端设置都会导致具有较旧客户端库的应用程序失败。
- 新的保护系统支持旧客户端的现有连接协议。
新客户端和旧保护系统
较旧的保护系统无法执行 two-way-password 身份验证,其影响如下:
- 没有全局身份验证或加密设置。
- 每个客户端保护系统身份验证设置不能是
two-way password。 - 客户端将首先尝试使用新的连接协议或 RPC。失败时,客户端将恢复为旧协议。
- 客户端可以使用其他身份验证方法进行连接,但
two-way-password。
身份验证和加密设置示例
下表显示了使用调用、每个客户端设置和全局设置指定设置的示例,以及这些设置是否可以成功。
这些示例假定您拥有到具有 DDOS 6.1 或更高版本的保护系统的 DD Boost 客户端连接。这些示例不适用于“向后兼容性场景”中所述的任一情况。
一个设置
| 调用指定 | 按客户端设置 | 全局设置 | 使用的值 |
|---|---|---|---|
| 无 | 无 | 无 | SUCCEEDS Authentication: none Encryption: none |
| 身份验证:two-way-password 加密:medium |
无 | 无 | SUCCEEDS 身份验证:two-way-password 加密:medium |
| 无 | 身份验证:two-way-password 加密:medium |
无 | SUCCEEDS 身份验证:two-way-password 加密:medium |
| 无 | 无 | 身份验证:two-way-password 加密:medium | SUCCEEDS 身份验证:two-way-password 加密:medium |
| 无 | 无 | 身份验证:two-way 加密:high |
FAILS :需要“Two-way”和“high”。 客户端必须指定双向证书并提供证书。 |
| 身份验证:two-way 加密:high | 无 | 无 | SUCCEEDS Authentication: two-way Encryption: high |
多个设置
| 调用指定 | 按客户端设置 | 全局设置 | 使用的值 |
|---|---|---|---|
| 身份验证:two-way 加密:medium |
无 | 身份验证:two-way 加密:high |
失败 需要 two-way 和 high。 |
| 无 | 身份验证:two-way 加密:high |
身份验证:two-way-password 加密:medium |
FAILS:需要“Two-way”和“high”。 客户端必须指定双向证书并提供证书。 |
| 身份验证:two-way 加密:high |
身份验证:two-way-password 加密:high |
身份验证:two-way 加密:medium |
SUCCEEDS Authentication: two-way Encryption: high |
| 无 | 身份验证:two-way-password 加密:medium |
身份验证:two-way 加密:medium |
FAILS:需要“Two-way”和“medium”。 客户端必须指定双向证书并提供证书。 |
| 身份验证:two-way 加密:high |
身份验证:two-way 加密:medium |
身份验证:two-way 加密:medium |
SUCCEEDS Authentication: two-way Encryption: high |