Data Domain. Глобальная аутентификация и шифрование DD Boost

Summary: В этой статье представлена информация о глобальной аутентификации и шифровании DD Boost, которая взята из последней актуальной информации из документации по DD OS 7.13 Boost. В настоящем руководстве PowerProtect DD System под «системой защиты» или просто «системой» понимаются устройства PowerProtect DD Series, работающие под управлением DD OS 7.4 или более поздней версии и более ранние версии систем PowerProtect DD. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Повышение уровня шифрования и аутентификации зависит от совместимости клиента. Ознакомьтесь с информацией и таблицами ниже.
Параметры аутентификации и шифрования можно задать тремя способами, описанными далее в этом документе.

Как сбросить глобальную стойкость шифрования и очистить ошибки в Dell Data Domain.

Продолжительность: 00:03:32 (чч:мм:сс)Если
доступно, языковые настройки субтитров можно выбрать с помощью значка CC в этом видеопроигрывателе.

Шифрование в процессе работы
. Позволяет приложениям шифровать резервное копирование в процессе работы или восстанавливать данные по сети LAN из системы защиты. Эта функция реализована для возможности более безопасной передачи данных.
При настройке клиент может использовать протокол TLS для шифрования сессии между клиентом и системой защиты. Конкретный используемый пакет алгоритмов шифрования приведен в таблице ниже.

В качестве конкретного пакета шифрования используется ADH-AES256-SHA, если выбран параметр «Высокое шифрование», или ADHAES128-SHA, если выбран вариант «Среднее шифрование».

DD Boost Client 3.3 обновлен до версии 7.0 и 7.5 после 7.5

  DDOS 7.5 и более поздних версий
    Encryption Medium Encryption High
DD Boost Client 3.3 обновлен до версии 7.0 и DD Boost ANON ADH-AES128-GCM-SHA256 ADH-AES256-GCM-SHA384
Client 7.5 и более поздних версий Односторонние или двусторонние сертификаты DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client 3.3 обновлен до версии 7.0 и 7.5 после 7.5 (продолжение)

  DDOS 7.4 и более поздних версий
    Encryption Medium Encryption High
DD Boost Client 3.3 обновлен до версии 7.0 и DD Boost ANON ADH-AES128-SHA ADH-AES256--SHA
Client 7.5 и более поздних версий Односторонние или двусторонние сертификаты DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

DD Boost Client c версии 7.1 до 7.4

  DDOS 7.5 и более поздних версий
DD Boost Client c версии 7.1 до 7.4   Encryption Medium Encryption High
ANON ADH-AES128-SHA ADH-AES256--SHA
Односторонние или двусторонние сертификаты DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-GCM-SHA384

DD Boost Client c версии 7.1 до 7.4 (продолжение)

  DDOS 7.4 и более поздних версий
DD Boost Client c версии 7.1 до 7.4   Encryption Medium Encryption High
ANON ADH-AES128- SHA ADH-AES256-- SHA
Односторонние или двусторонние сертификаты DHE-RSA-AES128-SHA DHE-RSA-AES256-SHA

 

Для DDOS 7.12 и более поздних версий режим аутентификации— нет , а уровень шифрования по умолчанию средний .

Глобальные параметры по умолчанию обратно совместимы, и это означает:

  •  Обновление библиотеки DD Boost не требуется. Все существующие клиенты и приложения работают одинаково с параметрами по умолчанию новых настроек.
  • Клиенты и приложения, использующие сертификаты с безопасностью транспортного уровня (TLS), могут продолжать работать без изменений.

Глобальная аутентификация и шифрование
DD Boost предлагает варианты глобальной аутентификации и шифрования для защиты систем от атак типа «человек посередине» (MITM).
Глобальные параметры обеспечивают защиту новых клиентов, но также позволяют настраивать разные значения для каждого клиента. Кроме того, параметры клиента могут только повысить безопасность, а не снизить ее уровень.
Настройка режима глобальной аутентификации и надежности шифрования формирует минимальные уровни обоих параметров. Все попытки подключения всех клиентов должны соответствовать этим уровням или превышать их.

Эти меры не включены по умолчанию; Настройки необходимо изменить вручную.

Глобальные параметры по умолчанию обратно совместимы, и это означает:

  • Обновлять библиотеку DD Boost не нужно.
    Все существующие клиенты и приложения работают аналогичным образом с настройками по умолчанию для новых параметров.
  • Это не влияет на производительность, так как не добавлено шифрование.
  • Клиенты и приложения, использующие сертификаты с безопасностью транспортного уровня (TLS), могут продолжать работать без изменений.
    Если глобальные параметры отличаются от параметров по умолчанию, существующие клиенты, вероятно, потребуют обновления.

Способы настройки аутентификации и шифрования
Можно указать параметры аутентификации и шифрования тремя способами.

  • Запрос
    подключения Это можно сделать с помощью команды ddp_connect_with_config API в клиентском приложении.
  • Параметры
    для каждого клиента Это можно сделать с помощью команд интерфейса командной строки в системе защиты.
  • Глобальные параметры
    Это можно сделать с помощью команд интерфейса командной строки в системе защиты.

Если заданы значения параметров как для каждого клиента, так и для глобальных параметров, применяется более надежное или высокое значение. Отклоняется любой клиент, который пытается подключиться с более слабым параметром аутентификации или шифрования.

Параметры аутентификации и шифрования
При выборе параметров аутентификации и шифрования можно учитывать несколько факторов. Однако для обеспечения максимальной безопасности рекомендуется всегда выбирать максимально доступный параметр.
Максимальная безопасность влияет на производительность. Если у вас есть контролируемая среда, в которой максимальная безопасность не требуется, можно использовать другие параметры.

Глобальные параметры
Глобальный параметр определяет минимальные уровни аутентификации и шифрования. Попытки подключения, не соответствующие этим критериям, завершаются сбоем.

Параметры для каждого клиента
Если параметр определен для каждого клиента, выбранный параметр должен совпадать или превышать значение максимального параметра аутентификации для каждого клиента и максимального параметра глобальной аутентификации.
Например:

  • Если клиент настроен так, чтобы требовать two-way password Authentication и параметром глобальной проверки подлинности является two-way TLSЗатем two-way TLS Необходимо использовать аутентификацию.
  • Если для клиента настроен параметр проверки подлинности two-way TLS А глобальная настройка — two-way passwordsЗатем two-way TLS должны использоваться.

Значения, заданные обратившимся по телефону пользователем
Если значения, заданные обратившимся по телефону пользователем, меньше глобальных параметров или параметров для каждого клиента, то соединение не будет разрешено. Однако, если значения, указанные вызывающим абонентом, выше, чем глобальные параметры или параметры для каждого клиента, соединение устанавливается с использованием значений, указанных вызывающим объектом.
Например, если вызывающий объект указывает two-way-password Однако глобальное значение или значение для каждого клиента равно two-way, попытка подключения завершается сбоем. Однако, если вызывающий объект указал two-way Глобальные и клиентские значения two-way-password, two-way Используется аутентификация.

Настройки аутентификации и шифрования
Вы можете выбрать один из трех доступных режимов для глобальных параметров, а также для параметров аутентификации и шифрования.
Для параметров каждого клиента допустимо пять параметров аутентификации и три параметра шифрования (те же параметры шифрования, что и для глобальных параметров).

Значения аутентификации и шифрования задаются одновременно ввиду зависимостей.

Настройки глобальной аутентификации и шифрования
Вам доступен целый ряд вариантов на выбор с global-authentication-mode и global-encryption-strength.

Параметры аутентификации
Ниже приведен список значений аутентификации, от самых незащищенных до наиболее надежных:

  1. none
    Не безопасен; Это настройка по умолчанию.

  2. anonymous
    Этот параметр не защищен от атак MITM.
    Данные во время полета шифруются.

  3. one-way
    Этот метод требует использования сертификатов.
    Это не обеспечивает защиту от атак MITM.
    Данные во время полета шифруются.

  4. two-way-password
    Этот параметр защищен от атак MITM.
    Данные во время полета шифруются.

  5. two-way
    Для этого параметра требуется наличие пользователя сертификатов.
    Это самый безопасный вариант, защищающий от атак MITM.
    Данные во время полета шифруются.

Имейте в виду, что anonymous и one-way Можно использовать только для индивидуальных настроек клиента, но не для глобальных параметров.

Параметры аутентификации
Ниже приведен список значений шифрования, от самых незащищенных до наиболее надежных:

  1. none
    Не безопасен; Это настройка по умолчанию.
    Может быть указан только в том случае, если для аутентификации установлено значение «none».

  2. medium
    Использование AES 128 и SHA-1

  3. high
    Использование AES 256 и SHA-1

Как medium и high использовать SHA-1 в зависимости от версии клиента и режима аутентификации. Дополнительные сведения см. в таблице Шифрование данных на лету.

Глобальная аутентификация
Три варианта режима-глобальной-аутентификации обеспечивают разные уровни безопасности и обратной совместимости.
Значения глобальной аутентификации и шифрования можно задавать только с помощью команд интерфейса командной строки (CLI) на сервере DD Boost. Команды интерфейса командной строки, которые используются для задания этих значений, описаны в следующих разделах.

нет

ddboost option set global-authentication-mode none
global-encryption-strength none

Это наименее безопасный, но наиболее совместимый с предыдущими версиями вариант.
Можно выбрать none если ваша система предъявляет критические требования к производительности и вам не нужна защита от MITM-атак.
Ваша система может работать так же, как и раньше, без какого-либо снижения производительности из-за TLS.
Если для аутентификации выбран другой параметр, отличный от none, параметр шифрования не может быть none.

Двусторонний пароль

ddboost option set global-authentication-mode two-way-password
global-encryption-strength {medium | high}

Метод с использованием двустороннего пароля проводит двустороннюю аутентификацию через TLS с общим ключом (PSK). Аутентификация клиента и системы защиты выполняются с использованием ранее установленных паролей. Если выбран этот вариант, все данные и сообщения между клиентом и системой защиты шифруются.
Это единственный безопасный вариант, доступный в DD Boost для OpenStorage и полностью защищенный от атак посредника (MITM).
Надежность шифрования должна быть средней или высокой.
Аутентификация с двусторонним паролем уникальна, поскольку это единственный метод, который защищен от MITM и может выполняться без указания обратившимся по телефону пользователем.

Двусторонний

ddboost option set global-authentication-mode two-way
global-encryption-strength {medium | high}

Это самый безопасный вариант.
Вариант «two-way» использует протокол TLS с сертификатами. Двусторонняя аутентификация обеспечивается с помощью сертификатов, предоставленных приложением.
Этот параметр совместим с действующим использованием сертификатов. Установка значения глобальной проверки подлинности two-way Требуется, чтобы все приложения, подключенные к системе защиты, поддерживали и предоставляли сертификаты.
Любое приложение, которое не поддерживает сертификаты и не указывает двустороннюю проверку подлинности и предоставляет сертификаты через ddp_connect_with_config Сбой API.

Вариант двусторонней аутентификации недоступен в DD Boost для OpenStorage. Если для режима глобальной аутентификации установлено значение two-way, все приложения OST завершаются сбоем.

Сценарии обратной совместимости.
Более старый клиент и новая система защиты
В этом случае приложение, использующее библиотеку Boost, используется с DDOS 6.1 или более поздней версии. В этом сценарии клиент не может выполнять аутентификацию с двусторонним паролем, что имеет следующие последствия:

  • Для любых глобальных настроек аутентификации должно быть установлено значение none или two-way так как клиент не может выполнить two-way-password Проверки подлинности.
    Параметры аутентификации для каждого клиента могут иметь любое значение, кроме: two-way-password по той же причине.
  • Любые глобальные параметры или параметры для каждого клиента со значением «two-way password» приводят к сбою приложений с более старыми клиентскими библиотеками.
  • Новая система защиты поддерживает существующие протоколы подключения для старых клиентов.

Новый клиент и старая система
защитыСтарая система защиты не может работать two-way-password Аутентификация, которая имеет следующие последствия:

  • Параметры глобальной аутентификации или шифрования отсутствуют.
  • Для параметра проверки подлинности системы защиты каждого клиента не может быть задано значение two-way password.
  • Сначала клиент попытается использовать новый протокол подключения или RPC. В случае сбоя клиент возвращается к старому протоколу.
  • Клиент может подключаться с другими методами аутентификации, кроме two-way-password.

Примеры
настроек аутентификации и шифрованияВ следующих таблицах приведены примеры, в которых параметры указываются с помощью вызовов, параметров для каждого клиента и глобальных параметров, а также могут ли эти параметры быть успешными.
В этих примерах предполагается, что клиент DD Boost подключен к системе защиты с DDOS 6.1 или более поздней версии. Ни один из этих примеров не относится к описанным в разделе «Сценарии обратной совместимости».

Если для глобального параметра или параметров для каждого клиента требуется двусторонняя аутентификация, обратившийся по телефону клиент должен указать это и предоставить необходимые сертификаты.

Один параметр

Указание при обращении по телефону Параметры для каждого клиента Глобальные параметры Используемые значения
None None None УСПЕШНО
Аутентификация: нет
Шифрование: нет
Аутентификация: двусторонний пароль
Шифрование: среднее		 None None УСПЕШНАЯ
аутентификация: двусторонний пароль
Шифрование: среднее
None Аутентификация: двусторонний пароль
Шифрование: среднее		 None УСПЕШНАЯ
аутентификация: двусторонний пароль
Шифрование: среднее
None None Аутентификация: two-way password Шифрование: medium УСПЕШНАЯ
аутентификация: двусторонний пароль
Шифрование: среднее
None None Аутентификация: двусторонняя
Шифрование: высокий		 FAILS
Требуются двусторонний и высокий.
Клиент должен указать двусторонний и предоставить сертификаты.
Аутентификация: two-way Шифрование: high None None УСПЕШНАЯ
аутентификация: двустороннее
шифрование: высокий

Несколько параметров

Указание при обращении по телефону Параметры для каждого клиента Глобальные параметры Используемые значения
Аутентификация: двусторонняя
Шифрование: средняя		 None Аутентификация: двусторонняя
Шифрование: высокий		 СБОЙ Требуются значения «two-way» и «high».
None Аутентификация: двусторонняя
Шифрование: высокий		 Аутентификация: двусторонний пароль
Шифрование: среднее		 FAILS Требуются двусторонний и высокий.
Клиент должен указать двусторонний и предоставить сертификаты.
Аутентификация: двусторонняя
Шифрование: высокий		 Аутентификация: двусторонний пароль
Шифрование: высокое		 Аутентификация: двусторонняя
Шифрование: средняя		 УСПЕШНАЯ аутентификация: двустороннее
шифрование: высокий
None Аутентификация: двусторонний пароль
Шифрование: среднее		 Аутентификация: двусторонняя
Шифрование: средняя		 FAILS Требуются двусторонний и средний.
Клиент должен указать двусторонний и предоставить сертификаты.
Аутентификация: двусторонняя
Шифрование: высокий		 Аутентификация: двусторонняя
Шифрование: средняя		 Аутентификация: двусторонняя
Шифрование: средняя		 УСПЕШНАЯ аутентификация: двустороннее
шифрование: высокий

 

Additional Information

Data Domain. Режим аутентификации по умолчанию для DDBoost Clients не обеспечивает шифрование сетевого трафика.
Data Domain — управление сертификатами для DD Boost

 

Affected Products

Data Domain
Article Properties
Article Number: 000222809
Article Type: How To
Last Modified: 25 Mar 2026
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.