Data Domain : Authentification et chiffrement globaux DD Boost

Summary: Cet article fournit des informations sur l’authentification et le chiffrement globaux de DD Boost, qui sont extraites des dernières informations à jour de la documentation DD OS 7.13 boost. Dans ce guide, « système PowerProtect DD », « système de protection » ou simplement « système » désigne les appliances PowerProtect DD Series exécutant DD OS 7.4 ou une version ultérieure et les systèmes PowerProtect DD précédents. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Le chiffrement et l’authentification Boost dépendent de la compatibilité du client. Consultez les informations et les tableaux ci-dessous.
Vous pouvez spécifier les paramètres d’authentification et de chiffrement de trois manières, décrites plus loin dans ce document.

Réinitialisation de la puissance de chiffrement globale et effacement des erreurs dans Dell Data Domain.

Durée : 00:03:32 (hh :mm :ss)
Lorsqu’ils sont disponibles, les paramètres de langue des sous-titres peuvent être choisis à l’aide de l’icône CC de ce lecteur vidéo.

Chiffrement à la volée
Le chiffrement à la volée permet aux applications de chiffrer la sauvegarde à la volée ou de restaurer les données via le LAN à partir du système de protection. Cette fonctionnalité a été introduite pour offrir une capacité de transport de données plus sécurisée.
Lorsqu’elle est configurée, le client peut utiliser TLS pour chiffrer la session entre le client et le système de protection. La suite de chiffrement spécifique utilisée est la suivante dans le tableau ci-dessous.

La suite de chiffrement spécifique utilisée est soit ADH-AES256-SHA, si l’option de chiffrement élevé est sélectionnée, soit ADHAES128-SHA, si l’option de chiffrement moyen est sélectionnée.

DD Boost Client 3.3 à 7.0 et 7.5 et versions ultérieures

  DDOS 7.5 et versions ultérieures
    Chiffrement moyen Chiffrement élevé
DD Boost Client 3.3 à 7.0 et DD Boost ANON ADH-AES128-GCM-SHA256 ADH-AES256-GCM-SHA384
Client 7.5 et versions ultérieures Certificats unidirectionnels ou bidirectionnels DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 3.3 à 7.0 et 7.5 et versions ultérieures (suite)

  DDOS 7.4 et versions antérieures
    Chiffrement moyen Chiffrement élevé
DD Boost Client 3.3 à 7.0 et DD Boost ANON ADH-AES128-SHA ADH-AES256--SHA
Client 7.5 et versions ultérieures Certificats unidirectionnels ou bidirectionnels DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

DD Boost Client 7.1 à 7.4

  DDOS 7.5 et versions ultérieures
DD Boost Client 7.1 à 7.4   Chiffrement moyen Chiffrement élevé
ANON ADH-AES128-SHA ADH-AES256--SHA
Certificats unidirectionnels ou bidirectionnels DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 7.1 à 7.4 (suite)

  DDOS 7.4 et versions antérieures
DD Boost Client 7.1 à 7.4   Chiffrement moyen Chiffrement élevé
ANON ADH-AES128-SHA ADH-AES256--SHA
Certificats unidirectionnels ou bidirectionnels DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

 

Pour DDOS 7.12 et versions ultérieures, le mode d’authentification est défini sur aucun et la puissance de chiffrement est moyenne par défaut pour les nouvelles installations.

Les options globales par défaut sont rétrocompatibles, ce qui signifie que :

  •  Vous n’avez pas besoin de mettre à jour la bibliothèque DD Boost. Tous les clients et applications existants fonctionnent de la même manière avec les paramètres par défaut des nouvelles options.
  • Les clients et les applications qui utilisent des certificats avec TLS (Transport Layer Security) peuvent continuer à fonctionner sans aucune modification.

Authentification et chiffrement
globauxDD Boost offre des options globales d’authentification et de chiffrement pour protéger les systèmes contre les attaques de l’intercepteur (MITM).
Les options globales garantissent la protection des nouveaux clients, mais vous permettent également de configurer des valeurs différentes pour chaque client. En outre, les paramètres du client ne peuvent que renforcer la sécurité, et non la réduire.
La définition du mode d’authentification global et de la force de chiffrement définit des niveaux minimaux d’authentification et de chiffrement. Toutes les tentatives de connexion par tous les clients doivent atteindre ou dépasser ces niveaux.

Ces mesures ne sont pas activées par défaut ; Les paramètres doivent être modifiés manuellement.

Les options globales par défaut sont rétrocompatibles, ce qui signifie que :

  • Vous n’avez pas besoin de mettre à jour la bibliothèque DD Boost.
    Tous les clients et applications existants fonctionnent de la même manière avec les paramètres par défaut des nouvelles options.
  • Il n’y a aucun impact sur les performances, car il n’y a pas de chiffrement supplémentaire.
  • Les clients et les applications qui utilisent des certificats avec TLS (Transport Layer Security) peuvent continuer à fonctionner sans aucune modification.
    si les paramètres globaux sont différents des paramètres par défaut, les clients existants doivent peut-être être mis à jour.

Méthodes de définition de l’authentification et du chiffrement
Vous pouvez spécifier les paramètres d’authentification et de chiffrement de trois manières.

  • Demande de connexion
    Pour ce faire, utilisez la commande ddp_connect_with_config API dans l’application client.

  • Pour ce faire, utilisez les commandes CLI sur le système de protection.

  • Pour ce faire, utilisez les commandes CLI sur le système de protection.

Si des valeurs par client et globales sont définies, le paramètre plus fort ou plus élevé est appliqué. Tout client qui tente de se connecter avec un paramètre d’authentification ou de chiffrement plus faible est rejeté.

Paramètres d’authentification et de chiffrement
Vous pouvez prendre en compte plusieurs facteurs lorsque vous décidez des paramètres d’authentification et de chiffrement. Toutefois, il est recommandé de toujours choisir le paramètre maximal disponible pour une sécurité maximale.
La sécurité maximale peut avoir un impact sur la performance. Si vous disposez d’un environnement contrôlé dans lequel une sécurité maximale n’est pas requise, vous pouvez utiliser d’autres paramètres.

Paramètres globaux
Le paramètre global détermine les niveaux minimaux d’authentification et de chiffrement. Les tentatives de connexion qui ne répondent pas à ces critères échouent.

Paramètres par client
Si le paramètre est défini pour chaque client, le paramètre que vous choisissez doit correspondre ou être supérieur au paramètre d’authentification par client maximal et au paramètre d’authentification global maximal.
Par exemple :

  • Si un client est configuré pour nécessiter two-way password authentification et le paramètre d’authentification global est two-way TLSPuis two-way TLS L’authentification doit être utilisée.
  • Si le client est configuré avec le paramètre d’authentification two-way TLS et le paramètre global est two-way passwordsPuis two-way TLS doivent être utilisées.

Valeurs spécifiées par l’appelant
Si les valeurs spécifiées par l’appelant sont inférieures aux paramètres globaux ou par client, la connexion n’est pas autorisée. Toutefois, si les valeurs spécifiées par l’appelant sont supérieures aux paramètres globaux ou par client, la connexion est établie à l’aide des valeurs spécifiées par l’appelant.
Par exemple, si l’appelant spécifie two-way-password Mais la valeur globale ou par client est two-way, la tentative de connexion échoue. Toutefois, si l’appelant a spécifié two-way Les valeurs globales et par client sont les suivantes : two-way-password, two-way L’authentification est utilisée.

Options d’authentification et de chiffrement
Vous pouvez sélectionner l’un des trois paramètres autorisés pour les paramètres globaux et d’authentification et de chiffrement.
Pour les paramètres par client, cinq paramètres d’authentification et trois paramètres de chiffrement sont autorisés (les mêmes paramètres de chiffrement que pour les paramètres globaux).

les valeurs d’authentification et de chiffrement doivent être définies simultanément en raison des dépendances.

Options d’authentification et de chiffrement globales
Vous disposez d’un large choix d’options pour global-authentication-mode et global-encryption-strength.

Paramètres d’authentification
La liste suivante classe les valeurs d’authentification de la plus faible à la plus forte :

  1. none
    Non sécurisé ; Il s’agit du paramètre par défaut.

  2. anonymous
    Cette option n’est pas sécurisée contre les attaques MITM.
    Les données en cours de transfert sont chiffrées.

  3. one-way
    Cette méthode nécessite l’utilisation de certificats.
    Ce n’est pas sécurisé contre les attaques MITM.
    Les données en cours de transfert sont chiffrées.

  4. two-way-password
    Cette option est sécurisée contre les attaques MITM.
    Les données en cours de transfert sont chiffrées.

  5. two-way
    Cette option nécessite l’utilisateur de certificats.
    Il s’agit de l’option la plus sécurisée et elle est sécurisée contre les attaques MITM.
    Les données en cours de transfert sont chiffrées.

N’oubliez pas que anonymous et one-way Sont uniquement autorisées pour les paramètres par client, pas pour les paramètres globaux.

Paramètres de chiffrement
La liste suivante classe les valeurs de chiffrement de la plus faible à la plus forte :

  1. none
    Non sécurisé ; Il s’agit du paramètre par défaut.
    Ne peut être spécifié que si l’authentification est définie sur « none ».

  2. medium
    Utilise AES 128 et SHA-1

  3. high
    Utilise AES 256 et SHA-1

Les deux medium et high Utilisez SHA-1 en fonction de la version du client et du mode d’authentification. Pour plus d’informations, reportez-vous au tableau Chiffrement à la volée.

Authentification globale
Les trois options de global-authentication-mode offrent différents niveaux de protection et de compatibilité descendante.
Les valeurs d’authentification et de chiffrement globaux ne peuvent être définies que via les commandes de l’interface de ligne de commande (CLI) sur DD Boost Server. Les commandes CLI que vous utilisez pour définir ces valeurs sont décrites dans les sections suivantes.

aucune

ddboost option set global-authentication-mode none
global-encryption-strength none

Il s’agit de l’option la moins sécurisée, mais la plus compatible en amont.
Vous pouvez sélectionner none si votre système a des exigences cruciales en matière de performances et que vous n’avez pas besoin de protection contre les attaques MITM.
Votre système peut fonctionner de la même manière qu’avant sans subir aucune dégradation de performances en raison de TLS.
Si vous sélectionnez un paramètre différent pour l’authentification none, le paramètre de chiffrement ne peut pas être none.

two-way-password

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

La méthode de mot de passe bidirectionnel effectue une authentification bidirectionnelle à l’aide de TLS avec authentification par clé prépartagée (PSK). Le client et le système de protection sont authentifiés à l’aide des mots de passe précédemment établis. Lorsque cette option est sélectionnée, toutes les données et les messages entre le client et le système de protection sont chiffrés.
Cette option est la seule option sécurisée disponible avec DD Boost for OpenStorage et protège entièrement contre les attaques de l’homme du milieu (MITM).
La force du chiffrement doit être moyenne ou élevée.
L’authentification par mot de passe bidirectionnel est unique, car elle est la seule méthode à la fois sécurisée contre les attaques MITM et pouvant être réalisée sans que l’appelant n’ait besoin de spécifier cette option.

bidirectionnel

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Il s’agit de l’option la plus sécurisée.
L’option bidirectionnelle utilise TLS avec des certificats. L’authentification bidirectionnelle est obtenue à l’aide des certificats fournis par l’application.
Ce paramètre est compatible avec l’utilisation existante de certificats. Définition de l’authentification globale sur two-way Nécessite que toutes les applications qui se connectent au système de protection prennent en charge et fournissent des certificats.
Toute application qui ne prend pas en charge les certificats, qui ne spécifie pas d’authentification bidirectionnelle et qui fournit des certificats via le ddp_connect_with_config Échec de l’API.

l’option d’authentification bidirectionnelle n’est pas disponible avec DD Boost for OpenStorage. Si le mode d’authentification globale est défini sur two-way, toutes les applications OST échouent.

Scénarios de rétrocompatibilité
Ancien client et nouveau système de protection
Dans ce cas, une application utilisant une bibliothèque Boost est utilisée avec DDOS 6.1 ou version ultérieure. Dans ce scénario, le client ne peut pas effectuer une authentification par mot de passe bidirectionnel, d’où les ramifications suivantes :

  • Tous les paramètres d’authentification généraux doivent être définis sur none ou two-way Étant donné que le client ne peut pas exécuter two-way-password Authentification.
    Les paramètres d’authentification par client peuvent être n’importe quelle valeur, sauf : two-way-password pour la même raison.
  • Tous les paramètres globaux ou par client du mot de passe bidirectionnel entraînent l’échec des applications avec des bibliothèques clientes plus anciennes.
  • Le nouveau système de protection prend en charge les protocoles de connexion existants pour les anciens clients.

Nouveau client et ancien système
de protectionL’ancien système de protection ne peut pas fonctionner two-way-password l’authentification, qui a les ramifications suivantes :

  • Il n’existe aucun paramètre d’authentification ou de chiffrement global.
  • Le paramètre d’authentification du système de protection par client ne peut pas être two-way password.
  • Le client tente d’abord d’utiliser le nouveau protocole de connexion ou RPC. En cas d’échec, le client revient à l’ancien protocole.
  • Le client peut se connecter à l’aide d’autres méthodes d’authentification, à l’exception de two-way-password.

Exemples
de paramètres d’authentification et de chiffrementLes tableaux suivants présentent des exemples dans lesquels les paramètres sont spécifiés à l’aide d’appels, de paramètres par client et de paramètres globaux, et indiquent si ces paramètres peuvent réussir.
Ces exemples supposent que vous disposez d’une connexion client DD Boost à un système de protection exécutant DDOS 6.1 ou une version ultérieure. Ces exemples ne s’appliquent à aucune des situations décrites dans Scénarios de rétrocompatibilité.

si le paramètre global ou par client nécessite une authentification bidirectionnelle, l’appelant doit la spécifier et fournir les certificats nécessaires.

Un paramètre

L’appel spécifie Paramètres par client Paramètres globaux Valeurs utilisées
Aucune Aucune Aucune RÉUSSIT
Authentification : aucune
Chiffrement : aucune
Authentification : mot de passe
bidirectionnel Chiffrement : moyen		 Aucune Aucune RÉUSSIT
Authentification : mot de passe
bidirectionnel Chiffrement : moyen
Aucune Authentification : mot de passe
bidirectionnel Chiffrement : moyen		 Aucune RÉUSSIT
Authentification : mot de passe
bidirectionnel Chiffrement : moyen
Aucune Aucune Authentification : mot de passe bidirectionnel Chiffrement : moyen RÉUSSIT
Authentification : mot de passe
bidirectionnel Chiffrement : moyen
Aucune Aucune Authentification : bidirectionnelle
Chiffrement : élevé		 ÉCHEC
: Des valeurs d’authentification bidirectionnelle et élevée sont requises.
Le client doit spécifier une authentification bidirectionnelle et fournir des certificats.
Authentification : bidirectionnel Chiffrement : élevé Aucune Aucune RÉUSSIT
Authentification : bidirectionnelle
Chiffrement : élevé

Plusieurs paramètres

L’appel spécifie Paramètres par client Paramètres globaux Valeurs utilisées
Authentification : bidirectionnelle
Chiffrement : moyen		 Aucune Authentification : bidirectionnelle
Chiffrement : élevé		 ÉCHEC Les valeurs « bidirectionnel » et « élevé » sont requises.
Aucune Authentification : bidirectionnelle
Chiffrement : élevé		 Authentification : mot de passe
bidirectionnel Chiffrement : moyen		 ÉCHEC : Des valeurs d’authentification bidirectionnelle et élevée sont requises.
Le client doit spécifier une authentification bidirectionnelle et fournir des certificats.
Authentification : bidirectionnelle
Chiffrement : élevé		 Authentification : mot de passe
bidirectionnel Chiffrement : élevé		 Authentification : bidirectionnelle
Chiffrement : moyen		 RÉUSSIT Authentification : bidirectionnelle
Chiffrement : élevé
Aucune Authentification : mot de passe
bidirectionnel Chiffrement : moyen		 Authentification : bidirectionnelle
Chiffrement : moyen		 ÉCHEC : Des valeurs bidirectionnelles et moyennes sont requises.
Le client doit spécifier une authentification bidirectionnelle et fournir des certificats.
Authentification : bidirectionnelle
Chiffrement : élevé		 Authentification : bidirectionnelle
Chiffrement : moyen		 Authentification : bidirectionnelle
Chiffrement : moyen		 RÉUSSIT Authentification : bidirectionnelle
Chiffrement : élevé

 

Additional Information

Data Domain : Le mode d’authentification par défaut pour les clients DDBoost ne fournit pas de chiffrement sur le réseau.
Data Domain : gestion des certificats pour DD Boost

 

Affected Products

Data Domain
Article Properties
Article Number: 000222809
Article Type: How To
Last Modified: 25 Mar 2026
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.