Data Domain: Şifreleme Hakkında Sık Sorulan Sorular

Summary: Bu Knowledge Base makalesi, başvuru kolaylığı sağlamak için birleştirilmiş bir konumda Bekleyen Data Domain Şifrelemesi (DARE) hakkında sık sorulan soruların (SSS) bir derlemesini sağlar. ...

Etkilenen Ürünler

Bu makale şunlar için geçerlidir: Bu makale şunlar için geçerli değildir: Bu makale, belirli bir ürüne bağlı değildir. Bu makalede tüm ürün sürümleri tanımlanmamıştır.

Diğer kaynaklara göz atın

Instructions

Şifreleme Yapılandırması

Soru: Data Domain de Hareketsiz Veri Şifreleme (DARE) nasıl yapılandırılır?

Cevap: DARE aşağıdaki adımlarla yapılandırılabilir:

Şifreleme lisansı ekleyin.
1. Geçerli bir Şifreleme lisansının eklendiği bir lisans dosyasına sahip olun.
2. Mevcut lisans dosyasını kullanarak Data Domain'deki e-lisansı güncellemek için aşağıdaki komutu kullanın:
```
# elicense update
```
Bir güvenlik görevlisi ekleyin ve güvenlik görevlisi yetkilerini etkinleştirin.
1. Şu komutu kullanarak "güvenlik" rolüne sahip bir kullanıcı ekleyin (henüz mevcut değilse):
```
# user add <username> role security
```
2. Güvenlik görevlisi olarak oturum açıp şu komutu çalıştırarak Güvenlik Görevlisi Yetkilendirmesini etkinleştirin:
```
> authorization policy set security-officer enabled
```
Yönetici hesabına geri dönün ve şu komutu çalıştırarak DARE'i etkinleştirin:
```
# filesys encryption enable
```

Soru: DARE ile hangi platformlar desteklenir?

Cevap: DARE özelliği, Şifreleme Devre Dışı Bırakma Projesi (EDP) sistemleri hariç tüm Data Domain sistemlerinde desteklenir.

Soru: Data Domain de verileri açık metin olarak nasıl depolayabilirim?

Cevap: Kullanıcılar, kurulumda şifrelemenin kapalı olduğunu onaylayarak verilerin açık metin olarak kaydedildiğinden ve Data Domain de şifrelenmediğinden emin olabilir.

Data Domain'de şifreleme şu komut kullanılarak devre dışı bırakılabilir:

# filesys encryption disable

Soru: DARE ile hangi yedekleme uygulamaları ve protokolleri desteklenir?

Cevap: DARE özelliği, temel yedekleme uygulamasından veya Data Domain tarafından kullanılan protokolden bağımsızdır.

Soru: Hangi şifreleme algoritmaları kullanılabilir?

Cevap: Data Domain şifreleme yazılımı, Şifre Bloku Zincirleme (CBC) veya Galois Sayaç Modu (GCM) kullanan AES 128 ya da 256 bit algoritmaları destekler.

GCM, simetrik anahtar şifreleme bloğu şifreleri için bir işlem modudur. Hem kimlik doğrulama hem de gizlilik (gizlilik) sağlamak için tasarlanmış kimliği doğrulanmış bir şifreleme algoritmasıdır. Adından da anlaşılacağı gibi, GCM, iyi bilinen sayaç şifreleme modunu yeni Galois kimlik doğrulama moduyla birleştirir. GCM'nin kimlik doğrulama yönü, şifrelenen verilerin Data Domain sistemi tarafından yapıldığını ve başka yollarla "enjekte edilmediğini" garanti eder. Bu, verilerin şifrelendiği CBC'den farklıdır (gizlilik yönü), ancak şifrelenmiş verilerin gerçekliğine ilişkin bir kontrol yoktur.

CBC modunda, her düz metin bloğu şifrelenmeden önce bir önceki şifreli metin bloğuna özel ORed (XOR) olur. Bu şekilde, her şifreli metin bloğu, o noktaya kadar işlenen tüm düz metin bloklarına bağlıdır. Ayrıca, her mesajı benzersiz kılmak için ilk blokta bir başlatma vektörü kullanılmalıdır. CBC, yalnızca şifreleme yoluyla verilerin gizliliğini (gizliliğini) garanti eder. Şifreleme algoritmasının veya işleminin kimlik doğrulaması yapılmaz.

Soru: Şifreleme algoritması nasıl değiştirilebilir?

Cevap: Belirli bir şifreleme algoritması ayarlamak için aşağıdaki komutu kullanın:

# filesys encryption algorithm set {aes_128_cbc | aes_256_cbc | aes_128_gcm | aes_256_gcm}

Soru: Şifreleme etkinleştirildikten sonra şifrelemenin önceden var olan veriler üzerinde yapıldığından nasıl emin olabilirim?

Cevap: Aşağıdaki komutu kullanarak Data Domain dosya sistemini önceden var olan verileri şifrelemeye zorlayabiliriz:

# filesys encryption apply-changes

Bu, bir sonraki temizleme döngüsünü normalden önemli ölçüde daha uzun ve daha fazla kaynak gerektirir.

Soru: Şifrelemeyi nasıl devre dışı bırakırım?

Cevap: Aşağıdaki komutu kullanarak Data Domain'deki şifreleme özelliğini devre dışı bırakın:

# filesys encryption disable

Bu işlem, yalnızca gelen veriler için şifrelemeyi devre dışı bırakır. Mevcut şifrelenmiş veriler, ' komutu kullanılarak manuel olarak şifresi çözülene kadar şifrelenmiş olarak kalır.filesys encryption apply-changes'.

Soru: Hangi şifreleme komutlarının etkili olması için dosya sisteminin yeniden başlatılması gerekir?

Cevap: Aşağıdaki şifreleme komutlarının etkili olabilmesi için dosya sisteminin tekrar başlatılması gerekir:

filesys encryption enable|disable - Data Domain'de şifrelemeyi etkinleştirir veya devre dışı bırakır.
filesys encryption algorithm set - Kullanıcının bir şifreleme algoritması seçmesine izin verir.
filesys encryption algorithm reset - CBC modunda şifreleme algoritmasını AES 256'ya sıfırlar (varsayılan).

Soru: Hangi şifreleme komutları, ayarlamak veya kullanmak için dosya sisteminin devre dışı bırakılmasını gerektirir?

Cevap: Aşağıdaki şifreleme komutlarını ayarlamak veya kullanmak için Data Domain dosya sistemi devre dışı bırakılmalıdır:

encryption passphrase change
encryption lock|unlock

Genel Şifreleme Soruları

Soru: DARE tüm Data Domain sistemlerinde destekleniyor mu?

Cevap: DARE yazılımı seçeneği, şifreleme devre dışı bırakma projesinin (EDP) parçası olmayan Data Domain sistemlerinde desteklenir. Bu sistemler şifrelemenin etkinleştirilmesine izin vermez ve çoğunlukla Rusya bölgesinde satılmaktadır.

Soru: Data Domain sistemlerinde şifreleme nasıl gerçekleştirilir?

Cevap: Şifreleme, OpenSSL ve RSA BSafe kütüphaneleri kullanılarak yapılır. RSA BSafe, FIPS 140-2 onaylı bir şifreleme kitaplığıdır.

Soru: Data Domain hangi BSafe sürümünü kullanıyor?

Cevap: DDOS 7.10'dan itibaren, kullanımda olan BSafe sürümleri "BSAFE Micro Edition Suite 4.4.0.0" hem de "BSAFE Crypto-C Micro Edition: 4.1.4.0 " çıktısıdır.

Soru: DDOS'ta şifrelemeyi yapılandırmak için kullanılabilir kullanıcı arayüzleri nelerdir?

Cevap: Şifreleme, komut satırı, web arayüzü veya REST API'leri kullanılarak yapılandırılabilir. REST API desteği, DDOS sürüm 8.0'a eklenmiştir.

Soru: Verilerin seçici olarak şifrelenmesi mümkün mü? Yalnızca bir mtree veya dosyayı mı beğendiniz?

Cevap: Seçici şifreleme mümkün DEĞİLDİR. Şifreleme yalnızca sistem genelinde etkinleştirilebilir veya devre dışı bırakılabilir, seçici olarak etkinleştirilemez. Bulut desteğine sahip sistemlerde şifreleme, bulut katmanı ve bulut birimi düzeyinde etkinleştirilebilir veya devre dışı bırakılabilir.

Soru: Bir varlık kimlik doğrulaması yaptığında, veri dosyasında, programlarda veya kimlik doğrulama dizinlerinde olduğu gibi, açık metin olarak veya zayıf şifreler altında iletilen veya saklanan şifreleme anahtarları veya hesap parolaları var mı?

Cevap: Kesinlikle hayır.

Soru: Data Domain hangi OpenSSL sürümünü kullanır?

Cevap: DDOS 7.10'dan itibaren, OpenSSL sürümü "OpenSSL 1.0.2zd-fips " çıktısıdır.

Soru: DARE, kullanıcıların ve uygulamaların veri erişimine karşı nasıl koruma sağlar?

Cevap:

Bekleyen verilerin şifrelenmesi, tamamen disk alt sisteminde bulunan verilerin şifrelenmesiyle ilgilidir. Şifreleme veya şifre çözme, sıkıştırma katmanında gerçekleşir. Kullanıcılar veya uygulamalar Data Domain'e düz metin verileri gönderip alır ancak Data Domain'de fiziksel olarak bulunan tüm veriler şifrelenir.
Tüm şifrelemeler dosya sisteminin ve ad alanının altında gerçekleşir ve kullanıcılar veya uygulamalar tarafından görülmez. Bir kullanıcı veya uygulamanın bir dosyaya veya dizine zaten yetkili erişimi varsa, veriler şifrelemeden bağımsız olarak yerel biçiminde okunabilir.
Data Domain şifrelemesi, bir davetsiz misafirin diğer ağ güvenlik kontrollerini atlatması ve şifrelenmiş verilere erişmesi durumunda, veriler uygun şifreleme anahtarları olmadan o kişi tarafından okunamaz ve kullanılamaz olacak şekilde tasarlanmıştır.

Soru: Tekilleştirmeden sonra şifreleme gerçekleşir mi?

Cevap: Evet, tekilleştirilmiş verilerde şifreleme gerçekleşir. Veriler diskte depolanmadan önce şifrelenir.

Soru: Data Domain, verilerin güvenliğini nasıl sağlar?

Cevap: Veriler, DARE özelliği kullanılarak güvence altına alınır. Buna ek olarak, aygıt çıkarıldığında (kafa değiştirme, dosya sistemi kilitleme) anahtar parolası sistemden kaldırılır. Bu anahtar parolası, şifreleme anahtarlarını şifrelemek için kullanılır, böylece veriler daha fazla korunur.

Soru: Şifreleme ile hangi uyarılar oluşturulur?

Cevap: Uyarılar aşağıdaki durumlarda oluşturulur:

Güvenliği ihlal edilmiş şifreleme anahtarları olduğunda
Şifreleme anahtarı tablosu dolduğunda ve sisteme başka anahtar eklenemediğinde
Otomatik anahtar dışa aktarma başarısız olduğunda
Otomatik anahtar döndürme başarısız olduğunda
Şifreleme devre dışı bırakıldığında
Sistem anahtar parolası değiştirildiğinde

Soru: DDOS için herhangi bir güvenlik sertifikası var mı?

Cevap: Data Domain sistemleri FIPS 140-2 uyumluluğunu karşılar.

Soru: Şifreleme anahtarı nerede saklanır?

Cevap: Şifreleme anahtarları, DDOS'deki bir koleksiyon bölümünde kalıcı olarak depolanır.

Soru: Birisi bir Data Domain'den bir sabit sürücü çıkarırsa buradaki verilerin şifresini çözebilir mi?

Cevap: Şifreleme anahtarları, sistem başlığında depolanan sistem anahtar parolası kullanılarak şifrelenir. Şifreleme anahtarları diskte depolansa da sistem anahtar parolası olmadan şifreleme anahtarlarının şifresi çözülemez. Bu nedenle, verileri şifrelemek için kullanılan anahtarı bilmeden, bir sabit sürücüden şifre çözme mümkün değildir.

Soru: Kurtarma için, özellikle de olağanüstü durum kurtarma için hangi şifreleme anahtarları ve parolalar gereklidir?

Cevap: Anahtarlar güvenli bir dosyaya aktarılabilir ve sistemin dışında tutulabilir. Bu dosyanın kurtarılması mühendislik yardımı ile yapılır. Ayrıca kurtarma sırasında müşteri, anahtarları dışa aktarma komutuyla kullanılan anahtar parolasını bilmelidir.

Soru: Sistemi farklı bir konuma taşımadan önce dosya sistemi nasıl kilitlenebilir?

Cevap: Sistemi kilitleme prosedürü aşağıdadır:

Dosya sistemini devre dışı bırakın:
```
# filesys disable
```

Dosya sistemini kilitleyin ve yeni bir parola girin (Bunun için bir güvenlik kullanıcısıyla kimlik doğrulaması gerekir):

# filesys encryption lock
This command requires authorization by a user having a 'security' role.
Please present credentials for such a user below.
        Username: secuser
        Password:
Enter the current passphrase:
Enter new passphrase:
Re-enter new passphrase:
Passphrases matched.
The filesystem is now locked.

Yeni anahtar parolası kaybolmamalı veya unutulmamalıdır . Bu anahtar parolası olmadan dosya sisteminin kilidi açılamaz; yani Data Domain'deki verilere erişilemez.

Uzak bir konuma ulaştığında sistemin kilidini açmak için aşağıdaki komutu kullanın:

# filesys encryption unlock
This command requires authorization by a user having a 'security' role.
Please present credentials for such a user below.
        Username: secuser
        Password:
Enter the passphrase:
The passphrase has been verified. Use 'filesys enable' to start the filesystem.

Dosya sistemi artık etkinleştirilebilir ve normal şekilde kullanılabilir.

Soru: yapar '`storage sanitize`' komutunun dosya sistemi şifrelemesi ile herhangi bir ilişkisi var mı?

Cevap: Hayır, dosya sistemi şifreleme ve depolama temizleme iki bağımsız özelliktir.

Soru: EDP sistemleri için kablo üzerinden şifreleme destekleniyor mu?

Cevap: EDP sistemleri için DARE ve kablo üzerinden şifreleme desteklenmez.

Sistem Anahtar Parolası

Soru: Sistem anahtar parolası nedir?

Cevap: DDOS, sistem düzeyinde bir anahtar parolası ayarlayarak sistem içinde kimlik bilgilerinin güvenliğini sağlayabilir. Anahtar parolası, makine tarafından kullanılabilen bir AES 256 şifreleme anahtarı oluşturmak için kullanılan, akıllı kart gibi insan tarafından okunabilen bir anahtardır.

İki avantaj sağlar:

Yöneticinin, şifreleme anahtarlarını değiştirmek zorunda kalmadan anahtar parolasını değiştirmesine olanak tanır. Anahtar parolasını değiştirmek, anahtarların şifrelemesini dolaylı olarak değiştirir ancak kullanıcı verilerini etkilemez. Anahtar parolasını değiştirmek, temel Data Domain sistemi şifreleme anahtarını değiştirmez. Data Domain sistem anahtarının şifrelemesi değişir ancak sistem anahtarı aynı kalır.
Fiziksel bir Data Domain sisteminin, sistemde bir şifreleme anahtarıyla ancak anahtar parolası depolanmadan gönderilmesine olanak tanır. Bu şekilde, kutu taşıma sırasında çalınırsa, sistemde yalnızca şifrelenmiş anahtarlar ve şifrelenmiş veriler bulunduğundan, saldırgan verileri kolayca kurtaramaz.

Anahtar parolası, Data Domain depolama sisteminin gizli bir bölümünde dahili olarak depolanır. Bu, Data Domain sisteminin önyüklenmesine ve yönetici müdahalesi olmadan veri erişimi sağlamaya devam etmesine olanak tanır.

Anahtar parolası oluşturma veya değiştirme:

Sistem anahtar parolası, bir yönetici Data Domain ile kimlik doğrulaması yaptıktan sonra CLI kullanılarak oluşturulabilir .
Sistem anahtar parolası, bir yönetici ve bir güvenlik rolü kullanıcısı (güvenlik görevlisi gibi) Data Domain ile kimlik doğrulaması yaptıktan sonra CLI kullanılarak değiştirilebilir . Bu, hiçbir yöneticinin bağımsız olarak değişiklik yapamayacağı anlamına gelir.

Soru: Anahtar parolası ne zaman kullanılır?

Cevap: Sistem anahtar parolası; dosya sistemi şifreleme, bulut erişimi, sertifika yönetimi, DD Boost belirteçleri, ölçeği genişletilebilen ortamlarda sistem yapılandırma modülleri ve lisanslama bilgileri dahil olmak üzere çeşitli DDOS bileşenleri tarafından birincil anahtar olarak kullanılır. DDOS, bu sistem anahtar parolasını ayarlamak ve değiştirmek için mekanizmalar sağlar. Ayrıca, sistem anahtar parolasının diskte depolanıp depolanmayacağını denetlemek için seçenekler de sağlanır. Bu parola, özellikle Data Domain taşınırken gelişmiş güvenlik için kullanılır.

Soru: Data Domain'in güvenli aktarımı için anahtar parolası nasıl kullanılır?

Cevap: İşlemde 'filesys encryption lock' komutu, kullanıcının anahtar parolasını değiştirerek dosya sistemini kilitlemesini sağlar. Kullanıcı, şifreleme anahtarını yeniden şifreleyen yeni bir anahtar parolası girer ancak yeni anahtar parolası depolanmaz. Şifreleme anahtarları, ' kullanılarak dosya sisteminin kilidi açılana kadar kurtarılamaz.filesys encryption unlock' komutunu kullanın.

Bu süreç, Data Domain Güvenlik Yapılandırma Rehberlerinde açıklanmaktadır.

Soru: Anahtar parolası değişirse ne olur? Verilere yine de erişebilir miyim?

Cevap: Evet, anahtar parolasını değiştirmek temel Data Domain sistemi şifreleme anahtarını değiştirmez, yalnızca şifreleme anahtarının şifrelenmesini değiştirir. Bu nedenle, veri erişimi etkilenmez.

Soru: Sistemde bir anahtar parolası ayarlanıp ayarlanmadığını nasıl öğrenebilirim?

Cevap: Sistemde bir anahtar parolası ayarlanmışsa 'system passphrase set' komutu, parolanın önceden ayarlandığını belirten bir hata verir.

Soru: Anahtar parolası kaybolur veya unutulursa ne olur?

Cevap: Kutu kilitliyken müşteri anahtar parolasını kaybederse verilerini kaybeder. Ona erişmenin arka kapısı veya alternatif bir yolu yoktur. Bu anahtar parolasını yönetmek için iyi bir süreç olmazsa bu durum yanlışlıkla gerçekleşebilir ve kullanıcı anahtarı veya verileri kurtaramaz. Ancak, sistemin entegre koruma mekanizmaları nedeniyle şifrelenmiş anahtar asla kaybolmaz veya bozulmaz.

Soru: Kayıp bir sistem anahtar parolasını sıfırlamak için herhangi bir mekanizma var mı?

Cevap: Sistem anahtar parolası, Müşteri Desteğinin yardımıyla yalnızca belirli senaryolarda zorla sıfırlanabilir. DDOS 7.2'de tanıtılan zorla güncelleme mekanizması bunun için yalnızca belirli koşullar karşılandığında kullanılabilir. Bu makalede daha fazla ayrıntı bulunabilir: Data Domain: DDOS v7.2 veya sonraki sürümlerde kayıp sistem anahtar parolasını sıfırlama (Dell Destek'te oturum açılması gerekir).

Soru: Sistem anahtar parolasının Data Domain'de depolanmasından kaçınma seçeneği var mı?

Cevap: Sistem anahtar parolası, varsayılan olarak Data Domain sisteminde gizli bir konumda saklanır. Komut 'system passphrase option store-on-disk' bunu değiştirmek ve anahtar parolasının diskte saklanmasını önlemek için kullanılabilir.

Yerleşik Anahtar Yöneticisi (EKM)

Üst düzey komut:

# filesys encryption embedded-key-manager <option>

Soru: EKM ile anahtar döndürme destekleniyor mu?

Cevap: Evet, Embedded Key Manager ile Data Domain sistemi başına anahtar dönüşü desteklenir. Yönetici, kullanıcı arayüzü veya CLI aracılığıyla bir anahtar rotasyon dönemi (haftalık veya aylık) ayarlayabilir.

Soru: Yerleşik anahtar yönetimi işlevi için ücret alınır mı?

Cevap: Bu işlev için ücret alınmaz. Standart Data Domain Encryption yazılım lisansı seçeneğinin bir parçası olarak dahildir.

Soru: Yerel anahtar yönetiminden harici anahtar yönetimine geçebilir miyim?

Cevap: Evet, harici anahtar yöneticileri herhangi bir zamanda etkinleştirilebilir. Ancak kullanılan yerel anahtarlar Data Domain'de kalır. Harici anahtar yöneticileri yerel anahtarları yönetemez. Mevcut verilerin yeniden şifrelenmesi gerekmez. Uyumluluk verilerinin EKM anahtarlarıyla yeniden şifrelenmesi gerekiyorsa bu işlem ' kullanılarak manuel olarak yapılmalıdırfilesys encryption apply-changes' yeni ile RW tuşuna basın. Bir anahtardan sonra EKM anahtarlarının yok edilmesi zorunlu değildir.

Anahtar yöneticileri değiştirildiğinde, etkin anahtar otomatik olarak KMIP'deki anahtara geçirilir.

Bir anahtar gerçekleştiğinde KMIP anahtarı MUID sinin nasıl göründüğüne ilişkin örnek:

Key-ID     Key MUID                                                                    State                     Key Manger Type
1               be1                                                                    Deactivated               DataDomain

2               49664EE855DF71CB7DC08309414C2B4C76ECB112C8D10368C37966E4E2E38A68       Activated-RW              KeySecure

Soru: Tuş döndürme devre dışı bırakıldığında veya etkinleştirildiğinde ne olur?

Cevap: Tuş döndürme varsayılan olarak devre dışıdır. Bu senaryoda, tüm veriler mevcut aktif anahtarla şifrelenir. Anahtar dönüşü etkinse veriler, yapılandırılan dönüş sıklığına bağlı olarak en son etkin anahtarla şifrelenir.

Harici Anahtar Yöneticileri

Soru: Data Domain hangi harici anahtar yöneticilerini destekler?

Cevap: Data Domain aşağıdaki harici anahtar yöneticilerini destekler:

Gemalto KeySecure (DDOS sürüm 7.2'de destek eklenmiştir)
Vormetric (DDOS sürüm 7.3'te destek eklenmiştir)
CipherTrust (DDOS sürüm 7.7'de destek eklenmiştir)
IBM GKLM (DDOS sürüm 7.9'da destek eklenmiştir)

Soru: Harici anahtar yöneticisi ile entegrasyonu etkinleştirmek için ayrı bir lisans gerekiyor mu?

Cevap: Evet, harici anahtar yöneticisini Data Domain ile entegre etmek için ilgili satıcıdan ayrı bir lisans gerekir.

Soru: Bir seferde kaç kilit yönetici kullanılabilir?

Cevap: Bir Data Domain'de herhangi bir zamanda yalnızca bir anahtar yöneticisi etkin olabilir.

Soru: KMIP harici anahtar yöneticilerini yapılandırma hakkında daha fazla bilgiyi nerede bulabilirim?

Cevap: DDOS İçin KMIP Entegrasyon Rehberi, Data Domain tarafından desteklenen farklı harici anahtar yöneticilerini yapılandırma hakkında ayrıntılı bilgi içerir.

Soru: Data Domain'de harici anahtar yöneticileri için sertifikalar nasıl yönetilir?

Cevap: Harici anahtar yöneticisini yapılandırmak için bir CA sertifikası (kendinden imzalı veya üçüncü tarafça imzalanabilir) ve bir ana bilgisayar sertifikası oluşturmak gerekir. Harici anahtar yöneticisi sunucusunda yapılandırma tamamlandıktan sonra CA sertifikası ve ana bilgisayar sertifikası Data Domain sistemine aktarılmalıdır. Ardından harici anahtar yöneticisi yapılandırılabilir ve etkinleştirilebilir.

Soru: Sertifika Yetkilisi nedir?

Cevap: Sertifika Yetkilisi (CA), eşler arasında başlangıçta güvenilen paylaşılan varlık olarak hareket eder ve her iki tarafın da diğerine güvenmesini sağlamak için imzalı sertifikalar verir. Sertifika genellikle bir sunucunun veya istemcinin kimliği olarak işlev görür.

Soru: CA imzalı sertifika nedir? Yerel CA imzalı sertifika nedir?

Cevap: CA imzalı sertifika, genel olarak güvenilen bir sertifika yetkilisi (CA) tarafından verilen ve imzalanan bir sertifikadır. CA imzalı bir sertifikaya otomatik olarak güvenilir. Özel imzalama anahtarı, anahtar yöneticisi sisteminde depolandığı için yerel CA imzalı sertifikalar verebilir. Dış CA, özel anahtarı saklamaz. Bunun yerine, harici CA, sistemdeki çeşitli arayüzler ve hizmetler için güvenilir bir varlık olarak kullanılır.

Soru: Bir Data Domain'de nasıl sertifika imzalama isteği oluşturabilirim?

Cevap: Aşağıdaki komut kullanılarak bir Data Domain sertifika imzalama isteği (CSR) oluşturulabilir. Bu şekilde, özel anahtar hiçbir zaman harici anahtar yöneticisine gösterilmez.

# adminaccess certificate cert-signing-request

Soru: Kilit yöneticiler arasında geçiş yapmak mümkün mü?

Cevap: Harici anahtar yöneticisinden yerleşik anahtar yöneticisine geçişe izin verilir ve sorunsuzdur. Ancak yerleşik anahtar yöneticisinden harici anahtar yöneticilerine geçiş için uygun sertifika kurulumu ve yapılandırması gerekir. İki harici anahtar yöneticisi arasında geçiş yapma (örneğin: KMIP-CipherTrust, DSM-CipherTrust, CipherTrust to GKLM) de izin verilir. Anahtarların taşınması da desteklenir (Daha fazla ayrıntı için KMIP Entegrasyon Rehberi'ne bakın).

Soru: Harici anahtar yöneticisi bağlantısı kesilirse ne olur? Verilerime hala erişilebiliyor mu?

Cevap: Evet, anahtarların bir kopyası da Data Domain'de depolandığı için anahtar yöneticisine bağlanamadığımızda verilere erişmeye devam edebiliriz. Harici anahtar yöneticisi ile bağlantı olmadığında yeni anahtarlar oluşturulamaz ve anahtar durumları senkronize edilemez.

Soru: Anahtarları Data Domain'de değil de yalnızca harici anahtar yöneticisinde depolamanın bir yolu var mı?

Cevap: Anahtarların bir kopyası, Veri Sağlamlığı Mimarisi (DIA) amaçları için her zaman Data Domain sisteminde saklanır. Bu ayar değiştirilemez.

Soru: KMIP ile entegrasyonun performansı etkilediği görülür mü?

Cevap: Hayır, harici anahtar yöneticileri kullanılması performansı etkilemez.

Soru: Ortamdaki belirli Data Domain'ler için KMIP çözümünden faydalanmak mümkün mü?

Cevap: Evet, müşteriler Data Domain'leri için uygun şifreleme metodolojisini seçme konusunda tam esnekliğe sahiptir. Bazı sistemlerde Data Domain'in yerleşik anahtar yöneticisinden ve diğer sistemlerde KMIP kullanarak şifreleme anahtarı rotasyonundan kendi ortamlarında yararlanmaya devam edebilirler.

Soru: Data Domain ve KMIP arasındaki iletişim güvenli mi?

Cevap: Evet, Data Domain, TLS ile X509 sertifikası karşılıklı kimliği doğrulanmış oturumlar üzerinden iletişim kurar. Data Domain CLI, uygun X509 sertifikasını Data Domain sistemine aktarmak için kullanılabilir. Bu sertifika daha sonra Data Domain ile KMIP arasında güvenli kanalı oluşturmak için kullanılır.

Anahtar Yaşam Döngüsü Yönetimi

Soru: Data Domain şifrelemesi ile hangi anahtar yönetim özellikleri mevcuttur?

Cevap: Birden fazla şifreleme anahtarının üretimi, dağıtımı ve yaşam döngüsü yönetimi bir anahtar yöneticisi tarafından kontrol edilir. Bir koruma sistemi, yerleşik anahtar yöneticisini veya KMIP uyumlu bir harici anahtar yöneticisini kullanabilir. Aynı anda yalnızca bir anahtar yöneticisi etkin olabilir. Bir koruma sisteminde şifreleme etkinleştirildiğinde, Yerleşik Anahtar Yöneticisi varsayılan olarak etkinleşir. Harici Anahtar Yöneticisi yapılandırılmışsa yerleşik anahtar yöneticisinin yerini alır ve manuel olarak devre dışı bırakılıncaya kadar etkin kalır. Yerleşik Anahtar Yöneticisi'nden Harici Anahtar Yöneticisi'ne veya tam tersine geçiş yapmak, sisteme yeni bir anahtar eklenmesine neden olur. DDOS 7.1'den itibaren dosya sisteminin yeniden başlatılması gerekli değildir.

Soru: Data Domain deki farklı anahtar durumları nelerdir?

Data Domain'deki farklı anahtar durumları aşağıdaki gibidir:

Activated-RW: Data Domain'de herhangi bir zamanda bu durumda yalnızca bir anahtar vardır ve bu, veri okumak ve yazmak için kullanılır. Bu anahtar, kapsayıcıları yeniden şifrelemek için çöp toplama işlemi tarafından da kullanılır.
Pending-Activated: Data Domain'de herhangi bir zamanda bu durumda yalnızca bir anahtar vardır. Bu, olacak anahtarı tanımlar. Activated-RW Bir sonraki dosya sistemi yeniden başlatılmasından sonra. Bu durum yalnızca şifrelemenin etkinleştirilmesi sırasında mevcuttur. Pending-activated Anahtarlar başka bir zamanda oluşturulmaz.
Activated-RO: Harici anahtar yöneticilerinin birden fazla Etkin anahtarı olabilir. En son anahtar içeride Activated-RWve geri kalanı bu durumda. Anahtarlar, durumu anahtar yöneticisi ile senkronize edemediğinde Data Domain'de bu duruma geçebilir.
Deactivated: Bu, Data Domain sistemindeki mevcut verileri okumak için kullanılır.
Compromised: Bir harici anahtar yöneticisi anahtarı risk altına girdiğinde, bir sonraki anahtar senkronizasyonundan sonra bu duruma geçer.
Marked-For-Destroyed: Müşteri, bir anahtarı imha edilmek üzere işaretlediğinde, anahtar bu duruma geçer. Çöp toplama çalıştırıldığında, tüm kapsayıcılar ile şifrelenir. Marked-For-Destroyed Anahtarlar kullanılarak yeniden şifrelenir. Activated-RW tuşuna basın.
Destroyed: Bir anahtar Marked-For-Destroyed Durum, kendisiyle ilişkili veri olmadığında bu duruma geçer.
Destroyed-compromised: Bir anahtar Compromised Durum, kendisiyle ilişkili veri olmadığında bu duruma geçer.

Soru: Şifreleme anahtarları olağanüstü durum kurtarma için dışa aktarılabilir mi?

Cevap: Anahtarlar aşağıdaki komut kullanılarak manuel olarak dışa aktarılabilir.

# filesys encryption keys export

Data Domain ayrıca yeni bir anahtar eklendiğinde veya sistemden herhangi bir anahtar silindiğinde anahtarları varsayılan olarak dışa aktarır.

Dışa aktarılan dosyalar, /ddr/var/.security dizini şifrelenmiş bir biçimde. Bu dosya, Data Domain'den kopyalanabilir ve daha sonra herhangi bir olağanüstü durum kurtarma koşulunda kullanmak üzere güvenli bir konumda depolanabilir.

Not: Geri yükleme işlemi, karşılaşılan olağanüstü durumun türüne bağlı olduğundan olağanüstü durum kurtarma için anahtarların içe aktarılması Müşteri Destek Ekibi müdahalesini gerektirir. Aşağıdaki komutu kullanarak dışa aktarılan anahtar dosyasını içe aktarabiliriz.

# filesys encryption keys import <filename>

Soru: KMIP tarafından oluşturulan anahtar Data Domain'de depolanıyor mu?

Cevap: Evet, KMIP'den elde edilen şifreleme anahtarı Data Domain'de şifrelenmiş bir şekilde depolanır.

Soru: KMIP cihazındaki anahtar durumu değişikliği Data Domain'e nasıl uygulanır?

Cevap: Anahtar senkronizasyonu günlük olarak gerçekleşir. Yeni bir anahtar varsa veya bir anahtarın durumu değişirse senkronizasyon, yerel anahtar tablosunu güncelleştirir. Data Domain, her gün gece yarısı KMIP'den önemli güncelleştirmeler alır.

Soru: Data Domain ve KMIP arasında anahtar durumlarını manuel olarak senkronize etmek mümkün müdür?

Cevap: Evet, Data Domain CLI veya UI, Data Domain ile KMIP arasındaki anahtar durumlarını manuel olarak senkronize etmek için kullanılabilir. Bunun için komut 'filesys encryption keys sync'.

Soru: Data Domain'in KMIP'den önemli güncelleştirmeleri alacağı zamanı değiştirmek mümkün müdür?

Cevap: Hayır, Data Domain'in KMIP'den önemli güncelleştirmeleri alacağı zamanı değiştirmek mümkün değildir.

Soru: Data Domain'de depolanan anahtar sayısıyla ilgili bir sınır var mı?

Cevap: DDOS 7.8'den itibaren Data Domain sisteminde maksimum 1.024 anahtar bulunabilir. Kasada sadece bir anahtar var. Activated-RW Durum; Diğer tüm anahtarlar başka herhangi bir durumda olabilir.

Soru: Data Domain'de farklı veri kümeleri için farklı anahtarlar kullanılabilir mi?

Cevap: Hayır, Data Domain sistemde aynı anda yalnızca bir etkin anahtarı destekler. Gelen tüm veriler geçerli aktif anahtar kullanılarak şifrelenir. Anahtarlar daha ayrıntılı bir şekilde denetlenemez (örneğin, mtree başına).

Soru: Maksimum anahtar sınırına ulaşıldığında herhangi bir bildirim var mı?

Cevap: Evet, en fazla 1024 anahtar sınırına ulaşıldığında bir uyarı tetiklenir.

Soru: Maksimum anahtar sınırıyla ilgili uyarıyı nasıl temizleyebilirim?

Cevap: Maksimum anahtar sınırı uyarısını temizlemek için anahtarlardan birinin silinmesi gerekir.

Soru: Data Domain'deki belirli bir anahtarla ilişkili veri miktarını görebilir miyim?

Cevap: Evet, bu Data Domain'de görülebilir ancak KMIP sunucusunda görülemez. Data Domain CLI ve kullanıcı arayüzü, kullanıcının belirli bir anahtarla ilişkili veri miktarını görmesini sağlar. Bunun için komut 'filesys encryption keys show summary'.

Soru: Data Domain'de anahtarların yaşını görebilir miyim?

Cevap: Evet, kullanıcı arayüzü kullanılarak EKM anahtarları için görülebilir.

Soru: Yeni anahtarın etkin hale gelmesi için gereken süre dolsa bile eski anahtar çalışıyor mu?

Cevap: Şifreleme anahtarları için son kullanma tarihi yoktur. Eski anahtarlar, anahtar döndürüldükten sonra salt okunur hale gelir ve DDOS'da kalır.

Soru: Data Domain'de kendileriyle ilişkili veri yoksa şifreleme anahtarları otomatik olarak silinir mi?

Cevap: Hayır, anahtar otomatik olarak silinmez. Kullanıcı, Data Domain CLI veya kullanıcı arayüzünü kullanarak anahtarı açıkça silmelidir.

Soru: Data Domain'de anahtarla ilişkili veriler olsa da anahtar silinebilir mi?

Cevap: Hayır, bir anahtarla ilişkili herhangi bir veri varsa bu anahtar silinemez. Kendisiyle ilişkili veriler içeren bir anahtarı silmek için verilerin başka bir anahtarla yeniden şifrelenmesi gerekir.

Soru: KMIP'de bir anahtar silinirse anahtar Data Domain'in anahtar listesinden de silinir mi?

Cevap: Hayır, kullanıcının Data Domain CLI veya kullanıcı arayüzünü kullanarak anahtarı bağımsız olarak silmesi gerekir.

Soru: Çok siteli bir Data Domain ortamında, her konumda bir KMIP gerekli midir?

Cevap: Hayır, Data Domain'i olan her sitede bir KMIP olması gerekli değildir. Hepsi için tek bir KMIP sunucusu kullanılabilir. Aynı KMIP sunucusunu kullanan her Data Domain sistemi için ayrı bir anahtar sınıfına sahip olması önerilir.

Soru: Bir anahtarın güvenliği ihlal edilirse eski anahtarla şifrelenen verileri almak için bir işlem var mı?

Cevap: Bu durumda, müşterinin KMIP sunucusunda anahtarı güvenliği ihlal edilmiş olarak işaretlemesi gerekir. Ardından Data Domain'de:

Çalıştır 'filesys encryption keys sync'.
Çalıştır 'filesys encryption apply-changes'.
Dosya sistemi temizleme işlemini başlatın.
1. Temizleme işlemi, güvenliği ihlal edilmiş anahtarla şifrelenmiş tüm verileri daha yeni bir anahtar kullanarak yeniden şifreler.
2. Temizleme işlemi tamamlandıktan sonra eski anahtar durumu Compromised-Destroyed.
Eski anahtarı silin.

Şifreleme ve Çoğaltma

Soru: Data Domain çoğaltma destekleniyor mu ve DARE ile birlikte çalışabilir mi?

Cevap: Evet, Data Domain çoğaltma DARE'yi ile kullanılabilir. Bu, şifrelenmiş verilerin tüm farklı çoğaltma türleri kullanılarak çoğaltılmasını sağlar. Her çoğaltma türü, şifreleme ile benzersiz şekilde çalışır ve aynı güvenlik seviyesini sunar.

Soru: Şifrelemenin kullanılması için kaynak ve hedef sistemlerde aynı DDOS sürümünün çalıştırılması gerekir mi?

Cevap: Kaynak ve hedef, çoğaltma için uyumluysa çoğaltma ile DARE kullanmak üzere farklı DDOS sürümünde olabilir (uyumluluk matrisi için bkz. Data Domain Yönetim Kılavuzu ).

Soru: Çoğaltma, şifreleme ile nasıl çalışır?

Cevap: Bu, hangi çoğaltma biçiminin kullanıldığına bağlıdır.

Yapılandırılan çoğaltma mtree çoğaltması (MREPL) veya Yönetilen Dosya Çoğaltması (MFR) ise:

DARE, müşterinin ne elde etmek istediğine bağlı olarak bağımsız olarak kaynak veya hedefte lisanslanabilir veya etkinleştirilebilir.
Hem kaynak hem de hedefte şifreleme etkinleştirildiğinde:
- Kaynağa alınan veriler, kaynak sistem şifreleme anahtarıyla şifrelenir.
- Kaynak, yerel verilerin şifresini çözer, hedef sistem şifreleme anahtarını kullanarak verileri yeniden şifreler ve ardından şifrelenmiş verileri hedefe çoğaltır.
Kaynakta şifreleme devre dışı bırakıldığında ve hedefte şifreleme etkinleştirildiğinde:
- Kaynağa alınan veriler şifrelenmez.
- Çoğaltma sırasında kaynak, hedef sistemin şifreleme anahtarını kullanarak verileri şifreler ve ardından şifrelenmiş verileri hedef sisteme çoğaltır.
Kaynakta şifreleme etkinleştirildiğinde ve hedefte şifreleme devre dışı bırakıldığında:
- Kaynak sisteme alınan veriler, kaynak sistemin şifreleme anahtarıyla şifrelenir.
- Kaynak, verilerin şifresini çözer ve ardından şifrelenmemiş verileri hedef sisteme çoğaltır.
Çoğaltma bağlamı ayarlandıktan sonra çoğaltmada şifreleme etkinleştirilirse çoğaltılan tüm yeni segmentler çoğaltma kaynağında şifrelenir. Şifreleme etkinleştirilmeden önce replikada yer alan segmentler, değişiklik uygulanmadığı ve hedefte temizleme çalıştırılmadığı sürece şifrelenmemiş durumda kalır.

Yapılandırılan çoğaltma toplama çoğaltması (CREPL) ise:

Hem kaynak hem de hedef sistemler aynı DDOS sürümünü çalıştırıyor olmalıdır.
Şifrelemenin her ikisinde de etkinleştirilmesi veya devre dışı bırakılması gerekir. Şifreleme yapılandırmasında da uyumsuzluk olamaz. Şifreleme anahtarları kaynak ve hedef ile aynıdır.
Hem kaynak hem de hedefte şifreleme etkinleştirildiğinde:
- Kaynak sisteme alınan tüm veriler, kaynak sistem şifreleme anahtarı kullanılarak şifrelenir.
- Çoğaltma sırasında kaynak, şifrelenmiş verileri hedef sisteme şifrelenmiş durumda gönderir.
- Toplama çoğaltması tamamen kaynak sistemin tam bir kopyasıyla ilgili olduğundan, hedef kaynakla aynı anahtara sahiptir.
- Hedef salt okunur bir sistem olduğundan hedefe çoğaltma dışında veri yazılamaz.
Hem kaynak hem de hedefte şifreleme devre dışı bırakıldığında:
- Kaynak sisteme alınan veriler şifrelenmez.
- Çoğaltma sırasında kaynak, verileri şifrelenmemiş bir durumda gönderir ve hedefte şifrelenmemiş olarak kalır.
- Hedef salt okunur bir sistem olduğundan hedefe çoğaltma dışında veri yazılamaz.

Soru: Hedefin anahtarı kaynak Data Domain'de süresiz olarak mı depolanıyor?

Cevap: Hedefin şifreleme anahtarı hiçbir zaman kaynak Data Domain sisteminde depolanmaz. Yalnızca çoğaltma oturumu aktifken bellekte (şifrelenmiş) tutulur. Bu, toplama çoğaltması dışındaki tüm çoğaltma tipleri için geçerlidir. Toplama çoğaltmasında, hem kaynakta hem de hedefte aynı şifreleme anahtarı kümesi bulunur.

Soru: Çoğaltma bağlamı oluşturulduktan sonra bir toplama çoğaltma sisteminde şifreleme etkinleştirilebilir mi?

Cevap: Evet, bu durumda şifreleme hem kaynakta hem de hedefte etkinleştirilmelidir. Şifrelemeyi yapılandırmak için çoğaltma bağlamı devre dışı bırakılmalıdır. Çoğaltılan tüm yeni segmentler çoğaltmada şifrelenir. Şifreleme etkinleştirilmeden önce replikada yer alan tüm segmentler şifrelenmemiş durumda bırakılır.

Soru: DARE, Data Domain çoğaltması için kablo üzerinden şifreleme özelliğiyle eş zamanlı olarak etkinleştirilebilir mi?

Cevap: Evet, farklı güvenlik hedeflerine ulaşmak için hem kablo üzerinden (OTW) şifreleme hem de DARE aynı anda etkinleştirilebilir.

Soru: DARE ve OTW şifrelemesi aynı anda etkinleştirilirse ne olur?

Cevap: Kaynak önce hedef şifreleme anahtarını kullanarak verileri şifreler. Daha sonra, önceden şifrelenmiş veriler, bu veriler hedefine gönderilirken OTW şifrelemesi ile ikinci kez şifrelenir. Hedefte, OTW şifre çözme işlemi tamamlandıktan sonra, veriler hedefin şifreleme anahtarı kullanılarak şifrelenmiş şifrelenmiş bir biçimde saklanır.

Soru: Şifreleme hem kaynakta hem de hedefte etkinleştirildiğinde parolalarının aynı olması gerekir mi?

Cevap: Yapılandırılmış çoğaltma toplama çoğaltması ise anahtar parolası aynı olmalıdır. Diğer çoğaltma türlerinde (MREPL, MFR gibi) sistemlerin farklı anahtar parolaları olabilir.

Soru: Hedefte şifreleme etkinleştirildiğinde hem çoğaltılmış veriler hem de başka bir erişim noktasından (yerel yedekleme gibi) gelen veriler şifrelenir mi? Yalnızca çoğaltılmış dizinlerin şifrelenmesi için hedefte ikisini ayırmanın bir yolu var mı?

Cevap: Hayır, tüm veriler giriş noktasından bağımsız olarak hedefte şifrelenir. Şifreleme yalnızca mtree veya dizin düzeyinde ayrıntı düzeyinde etkinleştirilemez veya devre dışı bırakılamaz. Bu, CRREPL için geçerli değildir.

Soru: MREPL veya MFR sırasında kaynak ve hedef arasında anahtar değişimi nasıl yapılır?

Cevap: Çoğaltmanın ilişkilendirme aşamasında hedef, geçerli şifreleme algoritmasını ve anahtar bilgilerini kaynağa güvenli bir şekilde iletir. Çoğaltma bağlamlarının kimliği her zaman paylaşılan bir gizli anahtarla doğrulanır. Bu paylaşılan gizli anahtar, bir Diffie-Hellman anahtar değişimi protokolü kullanarak bir "oturum" anahtarı oluşturmak için kullanılır. Bu oturum anahtarı, Data Domain şifreleme anahtarını şifrelemek ve şifresini çözmek için kullanılır.

Soru: OTW şifrelemesi replikasyon trafiğini şifrelemek için ne tür bir algoritma kullanır?

Cevap: Çoğaltma kimlik doğrulama modu "tek yönlü" veya "iki yönlü" olarak ayarlandığında, oturum anahtarı değişimi için Ephemeral Diffie-Hellman (DHE) kullanılır. Sunucu kimlik doğrulaması RSA kullanılarak gerçekleşir. AES 256 bit GCM şifresi, çoğaltılmış verileri kablo üzerinden kapsüllemek için kullanılır. Şifreleme kapsülleme katmanı, hedef sisteme indiğinde hemen kaldırılır.

Tek yönlü" yalnızca hedef sertifikanın sertifikalı olduğunu gösterir. İki yönlü", hem kaynak hem de hedef sertifikaların doğrulandığını gösterir. Bu kimlik doğrulama modunu kullanmadan önce karşılıklı güven sağlanmalı ve şifrelemenin devam etmesi için bağlantının her iki tarafının da bu özelliği etkinleştirmesi gerekir.

Çoğaltma kimlik doğrulama modu "anonim" olarak ayarlandığında, oturum anahtarı değişimi için Anonim Diffie-Hellman (ADH) kullanılır. Bu durumda, kaynak ve hedef, anahtar değişiminden önce birbirlerinin kimliğini doğrulamaz. Kimlik doğrulama modu belirtilmezse "anonim" varsayılan olarak kullanılır.

Soru: Dosya sistemi yeniden başlatılmadan anahtar döndürme tüm çoğaltma tipleriyle çalışır mı?

Cevap: Dosya sistemi yeniden başlatılmadan anahtar döndürme, dizin çoğaltma (artık desteklenmemektedir) ve delta çoğaltma (Düşük Bant Genişliği Optimizasyonu veya LBO olarak da bilinir) hariç tüm çoğaltma türleriyle çalışır.

Soru: Sertifikaların veya PKI anahtar çiftlerinin yokluğunda anahtar değişimi sırasında hedefin şifreleme anahtarı nasıl korunur?

Cevap: Tüm Data Domain çoğaltma çiftleri arasında, Diffie-Hellman anahtar değişimi kullanarak paylaşılan bir oturum anahtarı oluşturmak için kullanılan paylaşılan bir gizli anahtar vardır. Bu paylaşılan anahtar, hedefin şifreleme anahtarını şifrelemek için kullanılır.

Çoğaltma kimlik doğrulaması için kullanılan paylaşılan gizli anahtar ile Diffie-Hellman anahtar değişimi protokolü kullanılarak ayrılan paylaşılan oturum anahtarı arasında fark vardır. Çoğaltma kimlik doğrulaması için kullanılan paylaşılan gizli anahtar, iki Data Domain ilk kez bir çoğaltma bağlamı oluşturmak istediğinde Data Domain yazılımı tarafından oluşturulur. Ayrıca, koda gömülü parametreler kullanılarak bir Diffie-Hellman değişimi yoluyla da kararlaştırılır. Bu, iki sistem arasındaki her çoğaltma oturumunun kimliğini doğrulamak için sistemlerde kalıcı olarak depolanır. Çoğaltma oturum anahtarı (hedefin şifreleme anahtarını şifrelemek için kullanılan anahtar), önceden oluşturulmuş paylaşılan gizli anahtarla başka bir Diffie-Hellman değişimi kullanılarak oluşturulur ve böylece güvenli anahtar değişim protokolünü yönlendirir. Bu anahtar kalıcı değildir ve yalnızca çoğaltma bağlamı etkinken kullanılabilir.

Soru: Bir çoğaltma çiftindeki her iki sistemin de aynı harici anahtar yöneticisi (KMIP anahtar yöneticisi gibi) çözümünü kullanması gerekir mi, yoksa sistemlerden biri harici anahtar yöneticisini, diğeri ise yerleşik anahtar yöneticisini kullanabilir mi?

Cevap: Toplama çoğaltması dışında, bir çoğaltma çifti içindeki her iki sistemin de aynı anahtar yöneticisini kullanması gerekmez.

Toplama çoğaltması ile her iki Data Domain sistemi de aynı anahtar yöneticisiyle yapılandırılmalıdır. Ancak yalnızca kaynak, anahtar yöneticisiyle anahtarları eşitler ve bu anahtarlar da hedefe gönderilir. Diğer çoğaltma tiplerinde, kaynak ve hedef ile farklı anahtar yöneticileri kullanılabilir.

Şifreleme ve Geçiş

Soru: Veri geçişi, DARE etkin olan sistemlerde destekleniyor mu?

Cevap: Evet, şifrelemenin etkin olduğu sistemlerde veri geçişi desteklenir. Veri geçişi başlatılmadan önce kaynak ve hedef sistemlerde şifreleme yapılandırması bir önkoşul olarak eşleştirilmelidir. Ayrıca, geçiş başlatılmadan önce DIA amacıyla kaynak sistemdeki şifreleme anahtarlarının dışa aktarılması ve yedeklenmesi önerilir.

Soru: DARE etkinken hem aktif katman hem de bulut katmanı veri geçişi destekleniyor mu?

Cevap: Evet, şifrelemenin etkin olduğu sistemlerde hem aktif katman hem de bulut katmanı geçişi için veri geçişi desteklenir. Kontrol edilen önkoşul özniteliklerinin listesi, şifrelemenin etkin olduğu katmana bağlı olarak uygulanır.

Soru: Taşıma işleminin bir parçası olarak hangi şifreleme ayarları korunur?

Cevap: Şifrelenmiş veriler ve şifreleme anahtarları olduğu gibi geçirilir ancak anahtar yöneticisi, sistem anahtar parolası ve diğer şifreleme yapılandırmaları gibi ayarların başarılı veri geçişi için manuel olarak doğrulanması ve eşleştirilmesi gerekir. Mevcut anahtar yöneticisi sertifikaları da hedef sisteme aktarılır. Şifreleme anahtarı yöneticisi yapılandırması, geçişten sonra hedef sistemde yeniden ayarlanmalıdır.

Soru: Geçiş sırasında kaynak ve hedef arasında hangi şifreleme uyumluluğu denetimleri yapılır?

Cevap: Sistem anahtar parolası, şifreleme durumu, anahtar yöneticisi yapılandırma ayrıntıları ve sistem FIPS modu ayarları, geçişin başarılı olması için kaynak ve hedef sistemlerde aynı olması gereken şifreleme ayarlarından bazılarıdır. Bu KB makalesinde (Dell Desteği'nde oturum açılması gerekir), bulutun etkin olduğu sistemler arasında geçiş adımları ayrıntılı olarak açıklanmaktadır. Aynı ayarlar aktif katman geçişi için de geçerlidir.

Soru: EDP sistemleri arasında geçiş destekleniyor mu?

Cevap: Her ikisi de EDP ise veya her ikisi de EDP değilse iki sistem arasında veri geçişi desteklenir. OTW şifrelemesi kullanılarak açıkça devre dışı bırakılmışsa, EDP sisteminden EDP olmayan bir sisteme veri geçişine izin verilir. MIGRATION_ENCRYPTION sistem parametresi.

Şifreleme ve Bulut Katmanı

Soru: Bulut katmanı için şifreleme destekleniyor mu?

Cevap: Evet, şifreleme, bulut katmanı için desteklenir. Varsayılan olarak devre dışıdır. Bu 'cloud enable' komutu, bulut katmanında şifrelemenin etkinleştirilip etkinleştirilmeyeceğini seçmenizi ister.

Soru: KMIP ve Harici Anahtar Yöneticileri bulut katmanı ile destekleniyor mu?

Cevap: Evet, KMIP ve Harici Anahtar Yöneticileri, DDOS 7.8'den itibaren bulut katmanıyla desteklenir.

Soru: Bulutta şifreleme hangi ayrıntı düzeyinde etkinleştirilebilir?

Cevap: Şifreleme, her bulut biriminde ve her katmanda bağımsız olarak etkinleştirilebilir ve devre dışı bırakılabilir.

Soru: Bulut birimlerinin bağımsız anahtarları var mı?

Cevap: Hayır, anahtar yönetimi Data Domain'de hem aktif hem de bulut katmanları için ortaktır. Şifreleme etkinleştirildiğinde anahtarlar ilgili birime, katmana veya toplama bölümüne kopyalanır. Şifreleme bulutta değil etkin durumda etkinleştirilirse etkin katman anahtarları buluta yansıtılmaz ve bunun tersi de geçerlidir. Bu, bulut birimleri için de geçerlidir. Örneğin: Eğer cp1 şifreleme etkinleştirilmiş ve cp2 şifreleme etkin değilse cp1 Tuşlar yansımıyor cp2.

Soru: Anahtarlar buluttan silinebilir mi?

Cevap: Hayır, buluttan anahtar silme işlemi desteklenmez.

Soru: Bulut birimleri için veri şifreleme anahtarları nerede yönetilir?

Cevap: Anahtarlar bir collection partition (CP)ve her bulut birimi farklı bir CP'dir. Tüm CP'lerdeki anahtarların bir kopyası etkin bölümde depolanır.

Soru: Olağanüstü durum kurtarma sırasında bulut anahtarlarını nasıl kurtarırım?

Cevap: Komutta cpnameval CP kurtarma işleminin bir parçası olarak buluta yansıtılır ve şifreleme anahtarları cpnameval. Ardından, ddr_key_util aracı anahtarları kurtarmak için kullanılır.

Not: Olağanüstü durum kurtarma için Müşteri Destek yardımı gerekir.

Soru: Şifreleme yalnızca bulut katmanı için etkinleştirildiğinde veri taşıma işlemi çalıştırılabilir mi?

Cevap: Hayır, veri taşıma işleminin çalışması için şifrelemenin hem bulutta hem de aktif katmanlarda etkinleştirilmesi gerekir.

Soru: Bulut katmanıyla harici anahtar yöneticisi kullanılabilir mi?

Cevap: Evet, harici anahtar yöneticisi bulut katmanıyla kullanılabilir. Bu özellik DDOS 7.8'den itibaren desteklenir. Tüm işlemler (aktif katman için kullanılan bir anahtarı yok etme veya silme hariç) harici anahtar yöneticisi açısından bulut katmanı için de geçerlidir.

Şifreleme ve Çöp Toplama

Soru: Çöp toplama (GC) süreci DARE'de nasıl bir rol oynar? Şifrelemeyi ilk kez etkinleştirirken performansı etkiler mi?

Cevap: DARE'nin ilk kez etkinleştirilmesi GC performansını etkiler. GC çalıştırıldığında, diskteki mevcut kapsayıcılardan verileri okur ve yeni kapsayıcılara yazar. DARE etkinleştirildikten sonra bu verilerin yeniden sıkıştırılmadan, şifrelenmeden ve diske geri yazılmadan önce okunması, şifresinin çözülmesi ve sıkıştırılmamış hale getirilmesi gerekebilir. Önemli miktarda önceden var olan verinin bulunduğu bir Data Domain'de şifreleme etkinleştirildiğinde ve 'filesys encryption apply-changes' komutu çalıştırılırsa, bir sonraki GC döngüsü sistemdeki tüm mevcut verileri şifrelemeye çalışır. Bu, tüm verilerin okunması, sıkıştırılmaması, sıkıştırılması, şifrelenmesi ve diske yazılması gerektiği anlamına gelir. Sonuç olarak, çalıştırdıktan sonra ilk GC 'filesys encryption apply-changes' normalden daha uzun sürebilir. Data Domain sistemi dolmadan temizleme işleminin tamamlanmasına izin vermek için Data Domain sisteminde yeterli boş alan bulunduğundan emin olun (aksi takdirde yedeklemeler başarısız olur).

Soru: Devam eden temiz döngülerin performans üzerinde bir etkisi var mı?

Cevap: Evet, performansı etkileyen bir durum var. Bu etki genellikle temizlenme döngüleri arasında alınan ve geri yüklenen veri miktarına bağlıdır.

Soru: Mevcut verileri şifrelemek ne kadar sürer?

Zamanı tahmin etmek için bu KB makalesini kullanın: Data Domain: Bekleyen şifrelemenin ne kadar süreyle uygulanacağını hesaplama.

Şifreleme ve Headswap

Soru: DARE yapılandırılmış bir Data Domain de bir kafa değiştirme işlemi gerçekleşirse disklere yeni ana ünite takıldığında erişilemez mi?

Cevap: Şifreleme anahtarı Data Domain sistem kafasına bağlı değildir. Bu nedenle diskler başka bir Data Domain kafasına taşınabilir ve anahtara hala orada erişilebilir. Dosya sistemi yeni kafada kilitlenir ve 'filesys encryption unlock' komutuna bağlanın ve sistem parolasını girin.

Soru: Kafa değiştirme işlemi sırasında parola kaybolursa ne olur?

Cevap: Anahtar parolası kaybolursa eski başlığı bağlayın ve anahtar parolasını sıfırlamak için destekle birlikte çalışın. Ardından yeni kafaya geri bağlanın ve kafa değiştirme prosedürünü tamamlayın.

Şifreleme ve Performans

Soru: DARE kullanıldığında depolama tüketimi üzerinde gözlemlenen etki nedir?

Cevap: Depolama tüketimi üzerindeki etki, bazı şifreleme parametrelerinin kullanıcı verileriyle depolanmasıyla ilişkili yaklaşık %1 ek yük ile ihmal edilebilir düzeydedir.

Soru: DARE kullanıldığında üretilen iş (yazma ve okuma) üzerinde gözlemlenen etki nedir?

Cevap: Şifreleme kullanıldığında alma aktarım hızı üzerindeki etki, protokole ve platforma göre değişebilir. Genel olarak, aşağıdaki yüzdeler toplam aktarım hızındaki konservatif performans düşüşleridir:

CBC Modu

İlk Dolu: Yazma işlemlerinde ~%10 performans düşüşü
Artımlı: Yazma işlemlerinde ~%5 performans düşüşü
Geri yükler: Okumalarda %5-20 performans düşüşü

GCM Modu

İlk Dolu: Yazma işlemlerinde %10-20 performans düşüşü
Artımlı: Yazma işlemlerinde %5-10 performans düşüşü
Geri yükler: Okumalarda %5-20 performans düşüşü

Bu numaralar, bekleyen veri şifrelemesi ek yüküne özgüdür. Kablo üzerinden şifreleme ayrı olarak hesaplanır.

En İyi Uygulamalar

Soru: Anahtar rotasyon ilkesiyle ilgili en iyi uygulamalar nelerdir?

Cevap: Otomatik anahtar döndürme politikası varsayılan olarak etkin değildir. Şifreleme anahtarlarının sık sık döndürülmesi önerilir. Sistem harici bir KMIP anahtar yöneticisiyle yapılandırıldığında, gelecekteki anahtar güvenliği ihlali senaryolarını ele almak için anahtarların sık sık döndürülmesi önerilir. KMIP, bulut katmanıyla yapılandırıldığında önerilen anahtar dönüş aralığı haftalıktır; KMIP yalnızca aktif katman için yapılandırıldığında önerilen anahtar döndürme politikası aylıktır. Ancak bu, alım hızına bağlı olarak artırılabilir veya azaltılabilir. Yerleşik anahtar yöneticisi yapılandırılmışsa 1-3 ay arasında bir anahtar rotasyon politikası önerilir.

Soru: Birçok Data Domain için aynı KMIP sunucusu kullanılıyorsa KMIP anahtar sınıfı ile ilgili en iyi uygulamalar nelerdir?

Cevap: Aynı KMIP sunucusunu kullandıklarında her Data Domain için ayrı bir anahtar sınıfına sahip olmaları önerilir. Bu şekilde, bir sistemde yapılan anahtar dönüşü, diğer sistemlerde bulunan anahtarın durumunu etkilemez.

Additional Information

Data Domain Şifreleme ile ilgili diğer belgeleri (Yönetici Rehberi, Komut Referans Rehberi ve Güvenlik Yapılandırma Rehberi) burada bulabilirsiniz: PowerProtect ve Data Domain temel belgeleri

Şu videoyu izleyin: