Data Domain: Globale DD Boost-Authentifizierung und -Verschlüsselung

Boost-Verschlüsselung und -Authentifizierung hängen von der Clientkompatibilität ab. Lesen Sie die Informationen und Tabellen unten.
Sie können Authentifizierungs- und Verschlüsselungseinstellungen auf drei Arten festlegen, die im weiteren Verlauf dieses Dokuments beschrieben werden.

In-Flight-Verschlüsselung
Mit der In-Flight-Verschlüsselung können Anwendungen In-Flight-Backup- oder -Wiederherstellungsdaten aus dem Schutzsystem über LAN verschlüsseln. Diese Funktion wurde eingeführt, um eine sicherere Datenübertragung zu gewährleisten.
Wenn sie konfiguriert ist, kann der Client die Sitzung zwischen dem Client und dem Schutzsystem mittels TLS verschlüsseln. Die verwendete Verschlüsselungssuite ist in der folgenden Tabelle aufgeführt.

DD Boost-Client 3.3 bis 7.0 und 7.5 und höher

DD Boost-Client 3.3 bis 7.0 und 7.5 und höher (Fortsetzung)

DD Boost-Client 7.1 bis 7.4

DD Boost-Client 7.1 bis 7.4 (Fortsetzung)

Bei DDOS 7.12 und höher ist der Authentifizierungsmodusnone und die Verschlüsselungsstärke für Neuinstallationen standardmäßig medium .

Die globalen Standardoptionen sind abwärtskompatibel, d. h.:

•  Sie müssen die DD Boost-Bibliothek nicht aktualisieren. Alle bestehenden Clients und Anwendungen funktionieren auf dieselbe Weise mit den Standardeinstellungen der neuen Optionen.
• Clients und Anwendungen, die Zertifikate mit TLS (Transport Layer Security) verwenden, können weiterhin ohne Änderungen ausgeführt werden.

Globale Authentifizierung und Verschlüsselung
DD Boost bietet globale Authentifizierungs- und Verschlüsselungsoptionen, um Systeme vor Man-in-the-Middle-Angriffen (MITM) zu schützen.
Die globalen Optionen sorgen dafür, dass neue Clients geschützt werden, ermöglichen aber auch die Konfiguration unterschiedlicher Werte für jeden Client. Darüber hinaus kann mit den Client-Einstellungen die Sicherheit nur verstärkt und nicht verringert werden.
Durch Festlegen des globalen Authentifizierungsmodus und der Verschlüsselungsstärke werden Mindestanforderungen für die Authentifizierung und Verschlüsselung festgelegt. Alle Verbindungsversuche von Clients müssen diese Anforderungen erfüllen oder übertreffen.

Die globalen Standardoptionen sind abwärtskompatibel, d. h.:

• Sie müssen die DD Boost-Bibliothek nicht aktualisieren.
  Alle vorhandenen Clients und Anwendungen funktionieren auf die gleiche Weise mit den Standardeinstellungen der neuen Optionen.
• Es gibt keine Auswirkungen auf die Performance, da keine zusätzliche Verschlüsselung vorhanden ist.
• Clients und Anwendungen, die Zertifikate mit TLS (Transport Layer Security) verwenden, können weiterhin ohne Änderungen ausgeführt werden.
  Wenn sich die globalen Einstellungen von den Standardeinstellungen unterscheiden, müssen vorhandene Clients möglicherweise aktualisiert werden.

Methoden zum Festlegen von Authentifizierung und Verschlüsselung
Sie können die Authentifizierungs- und Verschlüsselungseinstellungen auf drei Arten festlegen.

• Verbindungsanfrage
  Sie tun dies, indem Sie die Schaltfläche ddp_connect_with_config API in der Clientanwendung.
• Clienteinstellungen
  Dazu verwenden Sie CLI-Befehle auf dem Schutzsystem.
• Globale Einstellungen
  Dazu verwenden Sie CLI-Befehle auf dem Schutzsystem.

Wenn sowohl Client-spezifische Einstellungen als auch globale Werte festgelegt sind, wird die stärkere bzw. höhere Einstellung erzwungen. Jeder Client, der versucht, eine Verbindung mit einer schwächeren Authentifizierungs- oder Verschlüsselungseinstellung herzustellen, wird abgelehnt.

Authentifizierungs- und Verschlüsselungseinstellungen
Sie können bei der Auswahl der Authentifizierungs- und Verschlüsselungseinstellungen mehrere Faktoren berücksichtigen. Es wird jedoch empfohlen, immer die höchste verfügbare Einstellung für maximale Sicherheit zu wählen.
Die maximale Sicherheitsstufe wirkt sich jedoch auf die Performance aus. Wenn Sie eine kontrollierte Umgebung haben, in der keine maximale Sicherheit erforderlich ist, sollten Sie möglicherweise andere Einstellungen verwenden.

Globale Einstellungen
Die globalen Einstellungen legen die Mindestanforderungen für die Authentifizierung und Verschlüsselung fest. Verbindungsversuche, die diese Kriterien nicht erfüllen, schlagen fehl.

Client-spezifische Einstellungen
Wenn die Einstellungen pro Client festgelegt werden, muss die von Ihnen ausgewählte Einstellung entweder mit der höchsten Authentifizierungseinstellung pro Client und der höchsten globalen Authentifizierungseinstellung übereinstimmen oder diese übertreffen.
Zum Beispiel:

• Wenn ein Client so konfiguriert ist, dass er two-way password Authentifizierung und die globale Authentifizierungseinstellung ist two-way TLSDann two-way TLS Authentifizierung muss verwendet werden.
• Wenn der Client mit der Authentifizierungseinstellung konfiguriert ist two-way TLS und die globale Einstellung ist two-way passwordsDann two-way TLS verwendet werden.

Vom Aufrufer angegebene Werte
Wenn die vom Aufrufer angegebenen Werte niedriger als die globalen oder die Client-spezifischen Einstellungen sind, ist die Verbindung nicht zulässig. Wenn jedoch die vom Aufrufer angegebenen Werte höher sind als die globalen oder Clienteinstellungen, wird die Verbindung mit den vom Aufrufer angegebenen Werten hergestellt.
Wenn der Aufrufer z. B. two-way-password Aber entweder der globale oder der Wert pro Client ist two-wayklicken, schlägt der Verbindungsversuch fehl. Wenn der Aufrufer jedoch two-way Die globalen und Clientwerte lauten wie folgt: two-way-password, two-way Authentifizierung wird verwendet.

Authentifizierungs- und Verschlüsselungsoptionen
Sie können eine von drei zulässigen Einstellungen sowohl für die globalen als auch für die Authentifizierungs- und Verschlüsselungseinstellungen auswählen.
Für die Client-spezifischen Einstellungen sind fünf Authentifizierungseinstellungen und drei Verschlüsselungseinstellungen (dieselben Verschlüsselungseinstellungen wie für die globalen Einstellungen) zulässig.

Globale Authentifizierungs- und Verschlüsselungsoptionen
Sie haben mit den Optionen global-authentication-mode und global-encryption-strength eine Reihe von Auswahlmöglichkeiten.

Authentifizierungseinstellungen
In der folgenden Liste werden die Authentifizierungswerte von am schwächsten bis am stärksten aufgeführt:

1. none
   Nicht sicher; Dies ist die Standardeinstellung.

2. anonymous
   Diese Option ist nicht sicher vor MITM-Angriffen.
   In-Flight-Daten werden verschlüsselt.

3. one-way
   Diese Methode erfordert die Verwendung von Zertifikaten.
   Dies ist nicht sicher vor MITM-Angriffen.
   In-Flight-Daten werden verschlüsselt.

4. two-way-password
   Diese Option schützt vor MITM-Angriffen.
   In-Flight-Daten werden verschlüsselt.

5. two-way
   Diese Option erfordert den Nutzer von Zertifikaten.
   Dies ist die sicherste Option und schützt vor MITM-Angriffen.
   In-Flight-Daten werden verschlüsselt.

Verschlüsselungseinstellungen
In der folgenden Liste werden die Verschlüsselungswerte von am schwächsten bis am stärksten aufgeführt:

1. none
   Nicht sicher; Dies ist die Standardeinstellung.
   Kann nur angegeben werden, wenn die Authentifizierung "none" ist.

2. medium
   Verwendet AES 128 und SHA-1

3. high
   Nutzt AES 256 und SHA-1

Globale Authentifizierung
Die drei global-authentication-mode-Optionen bieten unterschiedliche Stufen an Schutz und Abwärtskompatibilität.
Die globalen Authentifizierungs- und Verschlüsselungswerte können nur über CLI-Befehle (Befehlszeilenschnittstelle) auf dem DD Boost-Server festgelegt werden. Die CLI-Befehle für die Festlegung dieser Werte werden in den folgenden Abschnitten beschrieben.

Keine

ddboost option set global-authentication-mode none
global-encryption-strength none

Dies ist die unsicherste Option, aber die mit der höchsten Abwärtskompatibilität.
Sie können Folgendes auswählen: none wenn Ihr System wichtige Leistungsanforderungen hat und Sie keinen Schutz vor MITM-Angriffen benötigen.
Ihr System kann auf die gleiche Weise wie zuvor betrieben werden, ohne dass es zu Leistungseinbußen aufgrund von TLS kommt.
Wenn Sie eine andere Einstellung für die Authentifizierung auswählen als nonekann die Verschlüsselungseinstellung nicht none.

two-way-password

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Die „two-way password“-Methode führt eine bidirektionale Authentifizierung über TLS mit Pre-shared Key-(PSK-)Authentifizierung durch. Sowohl der Client als auch das Schutzsystem werden mit den zuvor festgelegten Kennwörtern authentifiziert. Wenn diese Option ausgewählt ist, werden alle Daten und Nachrichten zwischen dem Client und dem Schutzsystem verschlüsselt.
Diese Option ist die einzige sichere Option für DD Boost for OpenStorage und schützt vollständig vor Man-in-the-Middle-Angriffen (MITM).
Die Verschlüsselungsstärke muss entweder „medium“ oder „high“ lauten.
Die bidirektionale Kennwortauthentifizierung ist einzigartig, da sie die einzige Methode ist, die sowohl vor MITM schützt als auch ohne Angabe vom Aufrufer erfolgen kann.

bidirektional

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Dies ist die sicherste Option.
Bei der bidirektionalen Option wird TLS mit Zertifikaten verwendet. Die bidirektionale Authentifizierung wird mithilfe von Zertifikaten erreicht, die von der Anwendung bereitgestellt werden.
Diese Einstellung ist kompatibel mit der bestehenden Verwendung von Zertifikaten. Festlegen der globalen Authentifizierung auf two-way Erfordert, dass alle Anwendungen, die mit dem Schutzsystem verbunden sind, Zertifikate unterstützen und bereitstellen.
Jede Anwendung, die keine Zertifikate unterstützt und keine bidirektionale Authentifizierung angibt und Zertifikate über die ddp_connect_with_config API schlägt fehl.

Abwärtskompatibilitätsszenarien
Älterer Client und neues Schutzsystem
In diesem Fall wird eine Anwendung mit einer Boost-Bibliothek mit DDOS 6.1 oder höher eingesetzt. In diesem Szenario kann der Client keine bidirektionale Kennwortauthentifizierung durchführen, was die folgenden Auswirkungen hat:

• Alle globalen Authentifizierungseinstellungen müssen festgelegt sein auf: none oder two-way Da der Client keine two-way-password Authentifizierung.
  Clientauthentifizierungseinstellungen können einen beliebigen Wert mit Ausnahme von two-way-password aus dem gleichen Grund.
• Alle globalen oder Client-spezifischen Einstellungen mit „two-way password“ führen dazu, dass Anwendungen mit älteren Client-Bibliotheken fehlschlagen.
• Das neue Schutzsystem unterstützt vorhandene Verbindungsprotokolle für ältere Clients.

Neuer Client und älteres Schutzsystem
Das ältere Schutzsystem kann keine two-way-password Authentifizierung, die folgende Auswirkungen hat:

• Es gibt keine globalen Authentifizierungs- oder Verschlüsselungseinstellungen.
• Die Clientauthentifizierungseinstellung des Schutzsystems kann nicht two-way password.
• Der Client versucht zunächst, das neue Verbindungsprotokoll oder RPC zu verwenden. Bei einem Ausfall kehrt der Client zum alten Protokoll zurück.
• Der Client kann eine Verbindung mit anderen Authentifizierungsmethoden herstellen, mit Ausnahme von two-way-password.

Beispiele für
Authentifizierungs- und VerschlüsselungseinstellungenDie folgenden Tabellen zeigen Beispiele, in denen Einstellungen mithilfe von Aufrufen, Clienteinstellungen und globalen Einstellungen angegeben werden, und ob diese Einstellungen erfolgreich sein können.
In diesen Beispielen wird davon ausgegangen, dass Sie über eine DD Boost-Clientverbindung zu einem Schutzsystem mit DDOS 6.1 oder höher verfügen. Diese Beispiele gelten nicht für die unter „Abwärtskompatibilitätsszenarien“ beschriebenen Situationen.

Eine Einstellung

Mehrere Einstellungen

Data Domain: Standardauthentifizierungsmodus für DDBoost-Clients bietet keine Übertragungsverschlüsselung
Data Domain – Managen von Zertifikaten für DD Boost