Data Domain: Autenticazione e crittografia globali di DD Boost

Summary: Questo articolo fornisce informazioni sull'autenticazione globale e sulla crittografia di DD Boost, ricavate dalle informazioni aggiornate più recenti contenute nella documentazione di DD OS 7.13 Boost. In questa guida, con i termini "sistema PowerProtect DD", "sistema di protezione" o semplicemente "sistema" si fa riferimento ad appliance PowerProtect DD che eseguono DD OS 7.4 o versioni successive e ai sistemi PowerProtect DD precedenti. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Il boost della crittografia e dell'autenticazione dipende dalla compatibilità del client. Esaminare le informazioni e le tabelle riportate di seguito.
È possibile specificare le impostazioni di autenticazione e crittografia in tre modi, descritti più avanti in questo documento.

Come ripristinare la potenza della crittografia globale e cancellare gli errori in Dell Data Domain.

Durata: 00:03:32 (hh:mm:ss)
Se disponibili, è possibile scegliere le impostazioni della lingua dei sottotitoli (sottotitoli) utilizzando l'icona CC su questo lettore video.

Crittografia in-flight
La crittografia in-flight consente alle applicazioni di crittografare il backup in-flight o ripristinare i dati tramite LAN dal sistema di protezione. Questa funzione è stata introdotta per offrire una funzionalità di trasporto dei dati più sicura.
Se configurato, il client può utilizzare TLS per crittografare la sessione tra il client e il sistema di protezione. La suite di crittografia specifica utilizzata è indicata nella tabella riportata di seguito.

La suite di crittografia specifica utilizzata è ADH-AES256-SHA, se è selezionata l'opzione di crittografia elevata o ADHAES128-SHA, se è selezionata l'opzione di crittografia media .

DD Boost Client da 3.3 a 7.0 e 7.5 e versioni successive

  DDOS 7.5 e versioni successive
    Crittografia di tipo medium Crittografia di tipo high
DD Boost Client da 3.3 a 7.0 e DD Boost ANON ADH-AES128-GCM-SHA256 ADH-AES256-GCM-SHA384
Client 7.5 e versioni successive Certificati unidirezionali o bidirezionali DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client da 3.3 a 7.0 e 7.5 e versioni successive (continua)

  DDOS 7.4 e versioni precedenti
    Crittografia di tipo medium Crittografia di tipo high
DD Boost Client da 3.3 a 7.0 e DD Boost ANON ADH-AES128-SHA ADH-AES256--SHA
Client 7.5 e versioni successive Certificati unidirezionali o bidirezionali DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

Client DD Boost da 7.1 a 7.4

  DDOS 7.5 e versioni successive
Client DD Boost da 7.1 a 7.4   Crittografia di tipo medium Crittografia di tipo high
ANON ADH-AES128-SHA ADH-AES256--SHA
Certificati unidirezionali o bidirezionali DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

Client DD Boost da 7.1 a 7.4 (continua)

  DDOS 7.4 e versioni precedenti
Client DD Boost da 7.1 a 7.4   Crittografia di tipo medium Crittografia di tipo high
ANON ADH-AES128-SHA ADH-AES256--SHA
Certificati unidirezionali o bidirezionali DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

 

Per DDOS 7.12 e versioni successive, la modalità di autenticazione è none e il livello di crittografia è medio per impostazione predefinita per le nuove installazioni.

Le impostazioni predefinite a livello globale sono compatibili con le versioni precedenti, ovvero:

  •  Non è necessario aggiornare la libreria DD Boost. Tutti i client e le applicazioni esistenti operano allo stesso modo con le impostazioni predefinite delle nuove opzioni.
  • I client e le applicazioni che utilizzano certificati con Transport Layer Security (TLS) possono continuare a funzionare senza modifiche.

Autenticazione e crittografia
globaliDD Boost offre opzioni di autenticazione e crittografia globali per difendere i sistemi dagli attacchi MITM (Man-in-the-Middle).
Le opzioni globali garantiscono la protezione dei nuovi client, ma consentono anche di configurare valori diversi per ogni client. Inoltre, le impostazioni client possono solo rafforzare la sicurezza, non ridurla.
L'impostazione della modalità di autenticazione globale e del livello di crittografia stabilisce i livelli minimi di autenticazione e crittografia. Tutti i tentativi di connessione da parte di tutti i client devono soddisfare o superare questi livelli.

Queste misure non sono abilitate per impostazione predefinita; Le impostazioni devono essere modificate manualmente.

Le impostazioni predefinite a livello globale sono compatibili con le versioni precedenti, ovvero:

  • Non è necessario aggiornare la libreria DD Boost.
    Tutti i client e le applicazioni esistenti funzionano allo stesso modo con le impostazioni predefinite delle nuove opzioni.
  • Non vi è alcun impatto sulle prestazioni perché non è presente alcuna crittografia aggiuntiva.
  • I client e le applicazioni che utilizzano certificati con Transport Layer Security (TLS) possono continuare a funzionare senza modifiche.
    se le impostazioni globali sono diverse dalle impostazioni predefinite, potrebbe essere necessario aggiornare i client esistenti.

Metodi di impostazione dell'autenticazione e della crittografia
È possibile specificare le impostazioni di autenticazione e crittografia in tre modi.

  • Richiesta di
    connessione A tale scopo, utilizzare il metodo ddp_connect_with_config API nell'applicazione client.
  • Impostazioni
    in base al client A tale scopo, utilizzare i comandi CLI sul sistema di protezione.
  • Impostazioni
    globali A tale scopo, utilizzare i comandi CLI sul sistema di protezione.

Se vengono impostati sia valori specifici per client che valori globali, viene applicata l'impostazione più avanzata o più elevata. Ogni client che tenta di connettersi utilizzando una configurazione di autenticazione o crittografia più debole viene respinto.

Impostazioni di autenticazione e crittografia
È possibile prendere in considerazione diversi fattori quando si decidono le impostazioni di autenticazione e crittografia. Tuttavia, si consiglia di scegliere sempre l'impostazione più elevata disponibile per il livello massimo di sicurezza.
Il livello massimo di sicurezza influisce sulle prestazioni. In un ambiente controllato in cui non è richiesta la massima sicurezza, è possibile utilizzare altre impostazioni.

Impostazioni globali
L'impostazione globale determina i livelli minimi di autenticazione e crittografia. I tentativi di connessione che non soddisfano questi criteri hanno esito negativo.

Impostazioni specifiche per client
Se l'impostazione è definita per client, l'impostazione scelta deve essere uguale o maggiore dell'impostazione di autenticazione massima per client e dell'impostazione di autenticazione massima globale.
Ad esempio:

  • Se un client è configurato in modo da richiedere two-way password l'autenticazione e l'impostazione di autenticazione globale sono two-way TLSPoi two-way TLS È necessario utilizzare l'autenticazione.
  • Se il client è configurato con l'impostazione di autenticazione two-way TLS e l'impostazione globale è two-way passwordsPoi two-way TLS deve essere utilizzato.

Valori specificati dal chiamante
Se i valori specificati dal chiamante sono inferiori alle impostazioni globali o specifiche per client, la connessione non è consentita. Tuttavia, se i valori specificati dal chiamante sono superiori alle impostazioni globali o per client, la connessione viene effettuata utilizzando i valori specificati dal chiamante.
Ad esempio, se il chiamante specifica two-way-password Tuttavia, il valore globale o per client è two-way, il tentativo di connessione non riesce. Tuttavia, se il chiamante ha specificato two-way e i valori globali e per cliente sono two-way-password, two-way viene utilizzata l'autenticazione.

Opzioni di autenticazione e crittografia
È possibile selezionare una delle tre impostazioni consentite per le impostazioni globali e di autenticazione e crittografia.
Per le impostazioni specifiche per client, sono consentite cinque impostazioni di autenticazione e tre impostazioni di crittografia (le stesse impostazioni di crittografia utilizzate a livello globale).

i valori di autenticazione e crittografia devono essere impostati contemporaneamente a causa di dipendenze.

Opzioni di autenticazione e crittografia globali
Sono disponibili diverse opzioni con global-authentication-mode e global-encryption-strength.

Impostazioni di autenticazione
Il seguente elenco classifica i valori di autenticazione dal più debole al più avanzato:

  1. none
    Non sicuro; Questa è l'impostazione predefinita.

  2. anonymous
    Questa opzione non è sicura contro gli attacchi MITM.
    I dati in esecuzione sono crittografati.

  3. one-way
    Questo metodo richiede l'utilizzo di certificati.
    Questa opzione non è sicura contro gli attacchi MITM.
    I dati in esecuzione sono crittografati.

  4. two-way-password
    Questa opzione è sicura contro gli attacchi MITM.
    I dati in esecuzione sono crittografati.

  5. two-way
    Questa opzione richiede l'utilizzo di certificati.
    Questa è l'opzione più sicura ed è sicura contro gli attacchi MITM.
    I dati in esecuzione sono crittografati.

Tenere presente che anonymous e one-way Sono consentiti solo per le impostazioni in base al client, non per le impostazioni globali.

Impostazioni di crittografia
Il seguente elenco classifica i valori di crittografia dal più debole al più avanzato:

  1. none
    Non sicuro; Questa è l'impostazione predefinita.
    Può essere specificato solo se l'autenticazione è "none".

  2. medium
    Utilizza AES 128 e SHA-1

  3. high
    Utilizza AES 256 e SHA-1

Entrambi medium e high utilizzare SHA-1 a seconda della versione del client e della modalità di autenticazione. Per ulteriori informazioni, consultare la tabella Crittografia in esecuzione.

Autenticazione globale
Le tre opzioni di global-authentication-mode offrono diversi livelli di protezione e compatibilità con le versioni precedenti.
I valori di autenticazione e crittografia globali possono essere impostati solo tramite comandi CLI sul server DD Boost. I comandi CLI utilizzati per impostare questi valori sono descritti nelle sezioni seguenti.

Nessuna

ddboost option set global-authentication-mode none
global-encryption-strength none

Questa è l'opzione meno sicura, ma più compatibile con le versioni precedenti.
È possibile selezionare none se il sistema presenta requisiti di prestazioni cruciali e non è necessaria la protezione da attacchi MITM.
Il sistema può funzionare allo stesso modo di prima senza subire alcuna riduzione delle prestazioni a causa di TLS.
Se si seleziona un'impostazione per l'autenticazione diversa da none, l'impostazione di crittografia non può essere none.

password bidirezionale

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Il metodo "two-way password" esegue l'autenticazione bidirezionale mediante TLS con autenticazione tramite chiave pre-condivisa (PSK). Sia il client che il sistema di protezione vengono autenticati utilizzando le password stabilite in precedenza. Quando questa opzione è selezionata, tutti i dati e i messaggi tra il client e il sistema di protezione vengono crittografati.
Si tratta dell'unica opzione sicura disponibile con DD Boost for OpenStorage e protegge completamente da attacchi man-in-the-middle (MITM).
Il livello di crittografia deve essere medium o high.
L'autenticazione di tipo "two-way password" è univoca perché è l'unico metodo che protegge da MITM e che può essere eseguito senza che il chiamante lo specifichi.

Bidirezionale

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Questa è l'opzione più sicura.
L'opzione "two-way" utilizza TLS con certificati. L'autenticazione di tipo "two-way" viene ottenuta utilizzando i certificati forniti dall'applicazione.
Questa impostazione è compatibile con l'uso di certificati esistenti. Impostazione dell'autenticazione globale su two-way Richiede che tutte le applicazioni che si connettono al sistema di protezione supportino e forniscano certificati.
Qualsiasi applicazione che non supporta i certificati e non specifica l'autenticazione bidirezionale e fornisce certificati tramite ddp_connect_with_config API non riuscita.

l'opzione di autenticazione "two-way" non è disponibile con DD Boost for OpenStorage. Se la modalità di autenticazione globale è impostata su two-way, tutte le applicazioni OST hanno esito negativo.

Scenari di compatibilità con le versioni precedenti
Client precedente e nuovo sistema di protezione
In questo caso, un'applicazione che utilizza una libreria Boost viene utilizzata con DDOS 6.1 o versioni successive. In questo scenario, il client non può eseguire l'autenticazione di tipo "two-way password", con le seguenti conseguenze:

  • Tutte le impostazioni di autenticazione globali devono essere impostate su none oppure two-way poiché il client non è in grado di eseguire two-way-password Autenticazione.
    Le impostazioni di autenticazione in base al client possono essere qualsiasi valore, tranne two-way-password per lo stesso motivo.
  • Qualsiasi impostazione globale o specifica per client di "two-way password" causa l'errore delle applicazioni con librerie client meno recenti.
  • Il nuovo sistema di protezione supporta i protocolli di connessione esistenti per i client meno recenti.

Client nuovo e sistema
di protezione datatoIl sistema di protezione obsoleto non è in grado di eseguire two-way-password autenticazione, che presenta le seguenti ramificazioni:

  • Non sono presenti impostazioni globali di autenticazione o crittografia.
  • L'impostazione di autenticazione del sistema di protezione in base al client non può essere two-way password.
  • Il client tenterà prima di utilizzare il nuovo protocollo di connessione o RPC. In caso di errore, il client torna al protocollo precedente.
  • Il client può connettersi con altri metodi di autenticazione, ad eccezione di two-way-password.

Esempi
di impostazioni di autenticazione e crittografiaLe tabelle seguenti mostrano esempi in cui le impostazioni vengono specificate utilizzando le chiamate, le impostazioni in base al client e le impostazioni globali, e se tali impostazioni possono avere esito positivo.
Questi esempi presuppongono che si disponga di una connessione client DD Boost a un sistema di protezione con DDOS 6.1 o versione successiva. Questi esempi non si applicano alle situazioni descritte in Scenari di compatibilità con le versioni precedenti.

se la configurazione globale o specifica per client richiede un'autenticazione di tipo "two-way", il chiamante deve specificare tale requisito e fornire i certificati necessari.

Un'unica impostazione

La chiamata specifica Impostazioni specifiche per client Impostazioni globali Valori utilizzati
None None None SUCCEEDS
Autenticazione: nessuna
Crittografia: nessuna
Autenticazione: password
bidirezionale Crittografia: media		 None None ESITO POSITIVO
Autenticazione: password
bidirezionale Crittografia: media
None Autenticazione: password
bidirezionale Crittografia: media		 None ESITO POSITIVO
Autenticazione: password
bidirezionale Crittografia: media
None None Autenticazione: two-way-password Crittografia: medium ESITO POSITIVO
Autenticazione: password
bidirezionale Crittografia: media
None None Autenticazione: bidirezionale
Crittografia: alta		 FAILS
Sono richieste bidirezionali e alte.
Il client deve specificare un bidirezionale e fornire i certificati.
Autenticazione: two-way Crittografia: high None None ESITO POSITIVO
Autenticazione: bidirezionale
Crittografia: alta

Più impostazioni

La chiamata specifica Impostazioni specifiche per client Impostazioni globali Valori utilizzati
Autenticazione: bidirezionale
Crittografia: media		 None Autenticazione: bidirezionale
Crittografia: alta		 ESITO NEGATIVO Sono necessarie le opzioni two-way e high.
None Autenticazione: bidirezionale
Crittografia: alta		 Autenticazione: password
bidirezionale Crittografia: media		 FAILS Sono richieste bidirezionali e alte.
Il client deve specificare un bidirezionale e fornire i certificati.
Autenticazione: bidirezionale
Crittografia: alta		 Autenticazione: password
bidirezionale Crittografia: alta		 Autenticazione: bidirezionale
Crittografia: media		 ESITO POSITIVO Autenticazione: bidirezionale
Crittografia: alta
None Autenticazione: password
bidirezionale Crittografia: media		 Autenticazione: bidirezionale
Crittografia: media		 NON RIESCE Sono richiesti bidirezionale e medio.
Il client deve specificare un bidirezionale e fornire i certificati.
Autenticazione: bidirezionale
Crittografia: alta		 Autenticazione: bidirezionale
Crittografia: media		 Autenticazione: bidirezionale
Crittografia: media		 ESITO POSITIVO Autenticazione: bidirezionale
Crittografia: alta

 

Additional Information

Data Domain: La modalità di autenticazione predefinita per i client DD Boost non fornisce la crittografia via cavo
Data Domain: Gestione dei certificati per DD Boost

 

Affected Products

Data Domain
Article Properties
Article Number: 000222809
Article Type: How To
Last Modified: 25 Mar 2026
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.