Soru: DD'de Şifreleme (DARE) Nasıl Yapılandırılır?
Cevap: DARE Şifrelemesi, DD'de aşağıdaki adımlarla yapılandırılabilir:
Şifreleme Lisansı Ekleme
Güvenlik Görevlisi ekleme ve Güvenlik Görevlisi Yetkilerini etkinleştirme
Şifrelemeyi Etkinleştir
1) Şifreleme Lisansı Ekleyin:
Geçerli bir Şifreleme lisansına sahip bir lisans dosyası ekleyin.
Mevcut lisans dosyasını kullanarak DD deki elicense belgesini güncellemek için aşağıdaki komutu kullanın.
elicense güncellemesi
2) Güvenlik Görevlisi Ekleyin ve SO Yetkilerini Etkinleştirin:a) Şu komutu kullanarak "güvenlik" rolüne sahip bir kullanıcı ekleyin:
Kullanıcı Ekle, Secuser Rolü, Güvenlik
b) Aşağıdaki komutu kullanarak kurulumda Güvenlik Sorumlusu Yetkilendirmesini etkinleştirin:
Yetkilendirme İlkesi Kümesi Güvenlik Görevlisi Etkin
3. DARE Şifrelemesini Etkinleştir:
Şu komutu kullanarak DARE Şifrelemeyi etkinleştirin:
Filesys şifrelemeyi etkinleştirme
Soru: Hareketsiz veri şifreleme özelliği hangi platformları destekler?
Cevap: Hareketsiz veri şifreleme özelliği, Encryption Disablement Project (EDP) sistemleri hariç tüm Data Domain sistemlerinde desteklenir.
Soru: Kullanıcı, verilerini DD de açık metin olarak nasıl depolayabilir?
Cevap: Kullanıcı, kurulumda Şifrelemenin kapalı olduğunu onaylayarak verilerin açık metin olarak kaydedildiğinden ve DD de şifrelenmediğinden emin olabilir.
Kullanıcılar şu komutu kullanarak DD de şifrelemeyi devre dışı bırakabilir:
FILESYS şifrelemeyi devre dışı bırakmak
Soru: Hareketsiz veri şifreleme özelliği ile hangi yedekleme uygulamaları/protokolleri desteklenir?
Cevap: DD DARE özelliği, temel yedekleme uygulamasından veya DD tarafından kullanılan protokolden bağımsızdır.
Question: Data Domain sistemi üzerinde hangi şifreleme algoritmaları seçilebilir?
Cevap: DD Şifreleme yazılımı, Şifre Bloku Zincirleme (CBC) veya Galois Sayaç Modu (GCM) kullanan AES 128 veya 256 bit algoritmasını destekler.
GCM, simetrik anahtar şifreleme bloğu şifreleri için bir işlem modudur. Hem kimlik doğrulama hem de gizlilik (gizlilik) sağlamak için tasarlanmış kimliği doğrulanmış bir şifreleme algoritmasıdır. Adından da anlaşılacağı gibi, GCM, iyi bilinen sayaç şifreleme modunu yeni Galois kimlik doğrulama moduyla birleştirir. GCM'nin kimlik doğrulama yönü, şifrelenen verilerin Data Domain sistemi tarafından yapıldığını ve başka yollarla "enjekte edilmediğini" garanti eder. Bu, verilerin şifrelendiği CBC'den farklıdır (gizlilik yönü), ancak şifrelenmiş verilerin gerçekliğine ilişkin bir kontrol yoktur.
CBC modunda, her düz metin bloğu şifrelenmeden önce bir önceki şifreli metin bloğuna özeldir VEYA eklenir. Bu şekilde, her şifreli metin bloğu, o noktaya kadar işlenen tüm düz metin bloklarına bağlıdır. Ayrıca, her mesajı benzersiz kılmak için ilk blokta bir başlatma vektörü kullanılmalıdır. CBC, yalnızca şifreleme yoluyla verilerin gizliliğini (gizliliğini) garanti eder. Şifreleme algoritmasının veya işleminin kimlik doğrulaması yapılmaz.
Soru: DD'deki şifreleme algoritmasını nasıl değiştirebiliriz?
Cevap: Kurulumda belirli bir şifreleme algoritması ayarlamak istiyorsanız aşağıdaki komutu kullanın.
Filesys Şifreleme Algoritma Seti
Example:
# filesys encryption algorithm set {aes_128_cbc | aes_256_cbc | aes_128_gcm | aes_256_gcm}
Soru: Şifreleme etkinleştirildikten sonra şifrelemenin önceden var olan veriler üzerinde yapıldığından nasıl emin olabiliriz?
Cevap: Aşağıdaki komutu kullanarak DDFS'yi önceden var olan verileri şifrelemeye zorlayabiliriz:
# filesys encryption apply-changes
Bu, bir sonraki temizleme döngüsünü normalden önemli ölçüde daha uzun ve daha fazla kaynak yoğun hale getirir.
Soru: DD'de şifrelemeyi nasıl devre dışı bırakırız?
Cevap: Şifrelemeyi devre dışı bırakma komutunu kullanarak DD'de şifreleme özelliğini devre dışı bırakın:
FILESYS şifrelemeyi devre dışı bırakmak
Bu, yalnızca gelen G/Ç için şifrelemeyi devre dışı bırakır. Mevcut şifrelenmiş veriler, apply-changes kullanılarak manuel olarak şifresi çözülene kadar şifrelenmiş olarak kalır.
Soru: Hangi şifreleme komutlarının etkili olması için DD dosya sisteminin yeniden başlatılması gerekir?
Cevap: Aşağıdaki şifreleme komutlarının etkin olabilmesi için DD dosya sisteminin yeniden başlatılması gerekir:
FILESYS Şifrelemeyi Etkinleştirme/Devre Dışı Bırakma - Data Domain sisteminde şifrelemeyi etkinleştirir/devre dışı bırakır.
Filesys Şifreleme Algoritma Seti - Kullanıcının bir şifreleme algoritması seçmesine izin verir.
Filesys Şifreleme Algoritması Sıfırlama - Şifreleme algoritmasını CBC modunda (varsayılan) AES 256'ya sıfırlar.
Soru: Hangi şifreleme komutlarının ayarlanması/kullanılması için Data Domain dosya sisteminin devre dışı bırakılması gerekir?
Cevap: Aşağıdaki şifreleme komutları, ayarlamak veya kullanmak için Data Domain dosya sisteminin devre dışı bırakılmasını gerektirir:
Şifreleme anahtar parolası değişikliği
Şifreleme kilitleme/kilidini açma
Soru: DD Şifrelemesi tüm DD sistemlerinde destekleniyor mu?
Cevap: DD Şifreleme yazılımı seçeneği, şifrelemenin etkinleştirilmesine izin vermeyen sistemler olan ve genellikle Rusya bölgesindeki sistemlerde satılan bir şifreleme devre dışı bırakma projesi (EDP) değilse DD sistemlerinde desteklenir.
Soru: DD sistemlerinde kriptografi nasıl yapılır?
Cevap: Şifreleme, DDOS'ta OpenSSL ve RSA BSafe (RSA BSafe, DD sistemleri tarafından bekleyen verileri şifrelemek için kullanılan FIPS 140-2 onaylı şifreleme kitaplığıdır) kitaplıkları kullanılarak yapılır.
Soru: Sistemde BSafe'in hangi sürümü kullanılıyor?
Cevap: DDOS 7.10'dan itibaren, kullanılan BSafe sürümleri "BSAFE Micro Edition Suite 4.4.0.0" ve "BSAFE Crypto-C Micro Edition: 4.1.4.0"
Soru: DDOS'ta şifrelemeyi yapılandırmak için kullanılabilir kullanıcı arayüzleri nelerdir?
Cevap: Şifreleme; CLI, UI veya REST API'leri kullanılarak yapılandırılabilir. DDOS 8.0 sürümünden itibaren eklenen REST API desteği.
Soru: Verilerin seçici olarak şifrelenmesi mümkün mü? Yalnızca bir MTree veya dosya mı beğendiniz?
Cevap: Seçici şifreleme mümkün DEĞİLDİR. Şifreleme yalnızca sistem genelinde etkinleştirilebilir veya devre dışı bırakılabilir, seçici olarak etkinleştirilemez. Bulut desteğine sahip sistemler için şifreleme, bulut katmanında ve bulut birimi ayrıntı düzeyinde etkinleştirilebilir veya devre dışı bırakılabilir.
Soru: Bir varlık kimlik doğrulaması yaptığında, veri dosyasında, programlarda veya kimlik doğrulama dizinlerinde olduğu gibi, açık metin olarak veya zayıf şifreler altında iletilen veya saklanan şifreleme anahtarları veya hesap parolaları var mı?
Cevap: Kesinlikle hayır.
Soru: Sistemde OpenSSL'nin hangi sürümü kullanılıyor?
Cevap: DDOS 7.10 sürümünden itibaren openssl sürümü "OpenSSL 1.0.2zd-fips"
Question: Hareketsiz veri şifrelemesi, kullanıcılardan ve uygulamalardan gelen veri erişimine karşı nasıl koruma sağlar?
Cevap:
Soru: Tekilleştirmeden sonra şifreleme olacak mı?
Cevap: Evet, tekilleştirilmiş verilerde şifreleme gerçekleşir. Veriler diskte depolanmadan önce şifrelenir.
Soru: Data Domain, verilerin güvenliğini nasıl sağlar?
Cevap: Veriler, hareketsiz verilerin şifrelenmesi özelliği kullanılarak güvence altına alınır. Buna ek olarak, aygıt çıkarıldığında (kafa değiştirme, dosya sistemi kilitleme) anahtar parolası sistemden kaldırılır. Bu anahtar parolası, şifreleme anahtarlarını şifrelemek için kullanılır, böylece veriler daha fazla korunur.
Soru: Şifreleme ile hangi uyarılar oluşturulur?
Cevap: Uyarılar aşağıdaki durumlarda oluşturulur:
Soru: DDOS için herhangi bir güvenlik sertifikası var mı?
Cevap: Data domain sistemleri FIPS 140-2 uyumluluğunu karşılar.
Soru: Şifreleme anahtarı nerede saklanır?
Cevap: Şifreleme anahtarları, DDOS sistemindeki bir toplama bölümünde kalıcı olarak depolanır.
Soru: Birisi bir Data Domain sisteminden bir sabit sürücü çıkarırsa bu sistemdeki verilerin şifresini çözebilir misiniz?
Cevap: Şifreleme anahtarları, sistem başlığında depolanan sistem anahtar parolası kullanılarak şifrelenir. Şifreleme anahtarları diskte depolansa bile sistem anahtar parolası olmadan şifreleme anahtarlarının şifresi çözülemez. Bu nedenle, verileri şifrelemek için kullanılan anahtarı bilmeden, bir sabit sürücüden şifre çözme mümkün değildir.
Soru: Kurtarma için, özellikle de olağanüstü durum kurtarma için hangi şifreleme anahtarları ve parolalar gereklidir?
Cevap: Anahtarlar güvenli bir dosyada dışa aktarılabilir ve sistemin dışında tutulabilir. Bu dosyanın kurtarılması mühendislik yardımı ile yapılır. Ayrıca kurtarma sırasında müşterinin, anahtarları dışa aktarma komutu sırasında kullandığı anahtar parolasını bilmesi gerekir.
Soru: Sistemi uzak konuma aktarmadan önce dosya sistemini kilitleme.
Cevap: Bunun için prosedür aşağıdadır:
Dosya sistemini devre dışı bırakın:
sysadmin@itrdc-DD630-42# filesys disable
Dosya sistemini kilitleyin ve yeni bir anahtar parolası girin (Bunun için yukarıdaki güvenlik kullanıcısı tarafından kimlik doğrulaması gerekir):
sysadmin@itrdc-DD630-42# filesys şifreleme kilidi
Bu komut, 'güvenlik' rolüne sahip bir kullanıcı tarafından yetkilendirme gerektirir.
Lütfen böyle bir kullanıcı için kimlik bilgilerini aşağıda sunun.
Username: secuser
Password:
Geçerli anahtar parolasını girin:
Yeni anahtar parolası girin:
Yeni anahtar parolasını yeniden girin:
Parolalar eşleşti.
Dosya sistemi artık kilitlenir.
Yeni anahtar parolası kaybolmamalı veya unutulmamalıdır . Bu anahtar parolası olmadan dosya sisteminin kilidi açılamaz, yani DDR'deki verilere erişilemez. Uzak bir konuma ulaştığında sistemin kilidini açmak için aşağıdaki komutu kullanın:
sysadmin@itrdc-DD630-42# filesys encryption unlock
Bu komut, 'güvenlik' rolüne sahip bir kullanıcı tarafından yetkilendirme gerektirir.
Lütfen böyle bir kullanıcı için kimlik bilgilerini aşağıda sunun.
Kullanıcı adı: secuser
Password:Parolayı girin:
Anahtar parolası doğrulandı. Dosya sistemini başlatmak için 'filesys enable' komutunu kullanın.
Dosya sistemi artık etkinleştirilebilir ve normal şekilde kullanılabilir
Soru: Depolama temizleme komutunun dosya sistemi şifrelemesiyle herhangi bir ilişkisi var mı?
Cevap: Hayır, dosya sistemi şifreleme ve depolama temizleme iki bağımsız özelliktir.
Soru: EDP (şifreleme devre dışı bırakma projesi) sisteminde kablolu şifreleme üzerinden şifreleme destekleniyor mu?
Cevap: EDP sisteminde Rest Şifreli Verileri (DARE) veya kablo üzerinden şifrelemeyi (çoğaltma veya ddboost ile) etkinleştiremiyoruz.
Soru: Sistem anahtar parolası nedir?
Cevap: DDOS, sistem düzeyinde bir anahtar parolası belirleyerek sistem içinde kimlik bilgilerinin güvenliğini sağlama özelliğine sahiptir. Anahtar parolası, makine tarafından kullanılabilen bir AES 256 şifreleme anahtarı oluşturmak için kullanılan, akıllı kart gibi insan tarafından okunabilen (anlaşılabilir) bir anahtardır.
İki avantaj sağlar:
Anahtar parolası, Data Domain depolama sisteminin gizli bir bölümünde dahili olarak depolanır. Bu, Data Domain sisteminin önyüklemesini ve yönetici müdahalesi olmadan veri erişimi sağlamaya devam etmesini sağlar.
Anahtar parolası oluşturma veya değiştirme:
Soru: Anahtar parolası ne zaman kullanılır?
Cevap: Sistem anahtar parolası; dosya sistemi şifrelemesi, bulut erişimi, sertifika yönetimi, Boost belirteçleri, ölçeği genişletilebilen ortamlarda sistem yapılandırma modülleri ve lisanslama bilgilerini içeren çeşitli DDOS bileşenleri tarafından birincil anahtar olarak kullanılır. DDOS yazılımı, bu sistem anahtar parolasını ayarlamak ve değiştirmek için mekanizmalar sağlar. Ayrıca, sistem anahtar parolasının diskte depolanıp depolanmayacağını kontrol etmek için seçenekler de sağlar. Bu seçenek, özellikle DD sistemi taşınırken gelişmiş güvenlik için kullanılır.
Soru: DD sisteminin güvenli aktarımı için anahtar parolası nasıl kullanılır?
Cevap: İşlem, kullanıcının anahtar parolasını değiştirerek dosya sistemini kilitlemesine olanak tanıyan "filesys encryption lock" komutunu kullanır. Kullanıcı, şifreleme anahtarını yeniden şifreleyen yeni bir anahtar parolası girer ancak yeni anahtar parolası saklanmaz. filesys encryption unlock" komutu kullanılarak dosya sisteminin kilidi açılana kadar şifreleme anahtarları kurtarılamaz.
İşlem, Confluence Lab Güvenlik Yapılandırma Kılavuzu'nda açıklanmıştır.
Soru: Anahtar parolası değişirse ne olur? Verilere yine de erişebilir miyim?
Cevap: Evet, anahtar parolasını değiştirmek temel Data Domain sistemi şifreleme anahtarını değiştirmez, yalnızca şifreleme anahtarının şifrelenmesini değiştirir. Bu nedenle, veri erişimi etkilenmez.
Soru: Sistemde bir passphrase ayarlanıp ayarlanmadığını nasıl sorgulayabiliriz?
Cevap: Sistemde bir anahtar parolası ayarlanmışsa "system passphrase set" komutunu çalıştırmak, anahtar parolasının önceden ayarlanmış olduğunu belirten bir hata verir.
Soru: Anahtar parolası kaybolur veya unutulursa ne olur?
Cevap: Kutu kilitliyken müşteri anahtar parolasını kaybederse verilerini kaybeder. Ona erişmenin arka kapısı veya alternatif bir yolu yoktur. Bu anahtar parolasını yönetmek için iyi bir süreç olmazsa bu durum yanlışlıkla gerçekleşebilir ve kullanıcı anahtarı veya verileri kurtaramaz. Ancak, sistemin entegre koruma mekanizmaları nedeniyle şifrelenmiş anahtar asla kaybolmaz veya bozulmaz.
Soru: Unutulan sistem anahtar parolasını sıfırlamak için herhangi bir mekanizma var mı?
Cevap: Sistem anahtar parolası, Müşteri Desteği aracılığıyla yalnızca belirli senaryolarda zorla sıfırlanabilir. DDOS 7.2'de tanıtılan zorla güncelleme mekanizması bunun için yalnızca belirli koşullar karşılandığında kullanılabilir. Daha fazla ayrıntı, 20983 numaralı KB makalesi, Data Domain: DDOS v7.2 veya sonraki sürümlerde kayıp sistem anahtar parolasını sıfırlama (makaleyi görüntülemek için Dell Support'da oturum açmak gerekir)
Question: Sistem anahtar parolasını DD sisteminde depolamaktan kaçınma seçeneği var mı?
Cevap: Sistem anahtar parolası varsayılan olarak Data Domain sistemi üzerinde gizli bir konumda saklanır. Bunu değiştirmek ve anahtar parolasının diskte depolanmasını önlemek için "sistem anahtar parolası seçeneği diskte depo" sistem seçeneği kullanılabilir.
Üst düzey komut:
system# filesys encryption embedded-key-manager <option>
Soru: Yerleşik Anahtar Yöneticisi ile anahtar döndürme destekleniyor mu?
Cevap: Evet, Embedded Key Manager ile Data Domain sistemi başına anahtar dönüşü desteklenir. Yönetici, kullanıcı arayüzü veya CLI aracılığıyla bir anahtar rotasyon dönemi (haftalık veya aylık) ayarlayabilir.
Soru: Yerleşik anahtar yönetimi işlevi için ücret alınır mı?
Cevap: Bu işlev için ücret alınmaz. Bu işlev, standart DD Encryption yazılım lisansı seçeneğinin bir parçası olarak dahildir.
Soru: Müşteri yerel anahtar yönetiminden harici anahtar yönetimine (EKM) geçebilir mi?
Yanıtla
Key-ID Key MUID State Key Manger Type 1 be1 Deactivated DataDomain 2 49664EE855DF71CB7DC08309414C2B4C76ECB112C8D10368C37966E4E2E38A68 Activated-RW KeySecure
Soru: Anahtar döndürmeyi devre dışı bıraktığımızda veya etkinleştirdiğimizde ne olur?
Cevap:
Soru: DD de hangi harici anahtar yöneticileri desteklenir?
Cevap: Aşağıdaki harici kilit yöneticileri destekliyoruz:
Soru: Harici anahtar yöneticisi ile entegrasyonu etkinleştirmek için ayrı bir lisans gerekiyor mu?
Cevap: Evet, External Key Manager'ı DD ile entegre etmek için ilgili satıcıdan ayrı bir lisans gerekir.
Soru: Aynı anda kaç kilit yönetici destek veriyor?
Cevap: Bir DD sisteminde herhangi bir zamanda yalnızca bir anahtar yöneticisi etkin olabilir.
Soru: KMIP Harici Anahtar Yöneticisi'ni yapılandırma hakkında daha fazla bilgiyi nerede bulabilirim?
Cevap: DDOS İçin KMIP Entegrasyon Rehberi, DD tarafından desteklenen farklı harici anahtar yöneticilerini yapılandırmak için ayrıntılı bilgiler içerir.
Soru: DD'de Harici Anahtar Yöneticileri için sertifikalar nasıl yönetilir?
Cevap: Harici anahtar yöneticisini yapılandırırken bir CA sertifikası (CA sertifikası kendinden imzalı bir sertifika olabilir veya üçüncü tarafça imzalanmış olabilir) ve ana bilgisayar sertifikası oluşturmamız gerekir. Harici Anahtar yöneticisi sunucusunda yapılandırma tamamlandıktan sonra, kullanıcıların CA sertifikasını ve Ana Bilgisayar sertifikasını DD sistemine içe aktarması gerekir. Ardından harici anahtar yöneticisini yapılandırır ve etkinleştiririz.
Soru: CA nedir?
Cevap: Sertifika Yetkilisi (CA), eşler arasında başlangıçta güvenilen paylaşılan varlık olarak hareket eder ve her iki tarafın da diğerine güvenmesini sağlamak için imzalı sertifikalar verir. Sertifika genellikle bir sunucunun veya istemcinin kimliği olarak işlev görür.
Soru: Yerel CA imzalı sertifika nedir, CA imzalı sertifika nedir?
Cevap: CA imzalı sertifika, genel olarak güvenilen bir sertifika yetkilisi (CA) tarafından verilen ve imzalanan bir sertifikadır. CA imzalı bir sertifikaya otomatik olarak güvenilir. Özel imzalama anahtarı Anahtar Yöneticisi sisteminde depolandığı için yerel CA, imzalı sertifikalar verebilir. Dış CA, özel anahtarı saklamaz. Bunun yerine, harici CA, sistem içindeki çeşitli arayüzler ve hizmetler için güvenilir bir varlık olarak kullanılır.
Soru: DD'de sertifika imzalama isteği nasıl oluşturulur?
Cevap: Data Domain Sisteminde, aşağıdaki CLI komutunu kullanarak CSR yi oluşturun. Bu şekilde, özel anahtar hiçbir zaman harici Anahtar yöneticisine gösterilmez.
adminaccess sertifikası sertifika imzalama isteği
Soru: Kilit Yöneticiler arasında geçiş yapmak mümkün mü?
Cevap: Harici Anahtar Yöneticisi ile Yerleşik Anahtar Yöneticisi arasında sorunsuz bir şekilde geçiş yapılabilir. Ancak Yerleşik Anahtar Yöneticisi'nden Harici Anahtar Yöneticileri'ne geçiş, uygun sertifika kurulumu ve yapılandırması gerektirir. İki Harici Anahtar Yöneticisi arasında geçiş yapma (örneğin: KMIP-CipherTrust, DSM-CipherTrust, CipherTrust to GKLM) de izin verilir. Anahtar Yöneticisi anahtarlarının geçişi de desteklenir (Daha fazla ayrıntı için KMIP entegrasyon rehberine bakın).
Soru: Harici Anahtar Yöneticisi bağlantısı kesilirse ne olur? O zaman verilerime erişilebilir mi?
Cevap: Evet, anahtarların kopyasını DD sisteminde de sakladığımız için anahtar yöneticisine bağlanamadığımızda verilere erişmeye devam edebiliriz. Harici anahtar yöneticisi ile bağlantı olmadığında yeni anahtarlar oluşturulamaz veya anahtar durumları senkronize edilemez.
Soru: Anahtarları DD'de depolamaktan kaçınmanın ve yalnızca Harici Anahtar Yöneticisi'nde saklamanın bir yolu var mı?
Cevap: Anahtarların bir kopyasını her zaman DIA amacıyla DD sisteminde saklarız. Bu ayar değiştirilemez.
Soru: KMIP ile entegrasyonun performansı etkilediği görülür mü?
Cevap: Hayır, harici Anahtar Yöneticileri kullanılması performansı etkilemez.
Soru: Ortamdaki belirli Data Domain'ler için KMIP çözümünden faydalanmak mümkün mü?
Cevap: Evet, müşteriler Data Domain sistemleri için uygun şifreleme metodolojisini seçme konusunda tam esnekliğe sahiptir. Bazı Data Domain sistemlerinde Data Domain'in yerleşik anahtar yöneticisinden ve kendi ortamlarındaki diğer Data Domain sistemlerinde KMIP kullanarak şifreleme anahtarı rotasyonundan yararlanmaya devam edebilirler.
Soru: Data Domain - KMIP iletişimi güvenli mi?
Cevap: Evet, Data Domain, TLS ile X509 sertifikası karşılıklı kimliği doğrulanmış oturumlar üzerinden iletişim kurar. Kullanıcı, uygun X509 sertifikasını Data Domain sistemine içe aktarmak için Data Domain CLI'yı kullanabilir. Bu sertifika daha sonra DD ve KMIP arasında güvenli kanalı oluşturmak için kullanılır.
Soru: DD Şifreleme seçeneğinde hangi anahtar yönetimi özellikleri mevcuttur?
Cevap: Birden fazla şifreleme anahtarının üretimi, dağıtımı ve yaşam döngüsü yönetimi bir anahtar yöneticisi tarafından kontrol edilir. Bir koruma sistemi, yerleşik anahtar yöneticisini veya KMIP şikayeti harici anahtar yöneticisini kullanabilir. Aynı anda yalnızca bir anahtar yöneticisi etkin olabilir. Bir koruma sisteminde şifreleme etkinleştirildiğinde, Yerleşik Anahtar Yöneticisi varsayılan olarak etkinleşir. Harici Anahtar Yöneticisi yapılandırılmışsa yerleşik anahtar yöneticisinin yerini alır ve manuel olarak devre dışı bırakılıncaya kadar etkin kalır. Yerleşik Anahtar Yöneticisi'nden Harici Anahtar Yöneticisi'ne veya bunun tam tersine geçiş yapmak, sisteme yeni bir anahtar eklenmesine neden olur ve 7.1 sürümünden itibaren dosya sisteminin yeniden başlatılmasını gerektirmez.
Soru: Data Domain sistemindeki farklı anahtar durumları nelerdir?
Data Domain sistemindeki farklı anahtar durumları aşağıdaki gibidir:
Soru: Şifreleme anahtarları olağanüstü durum kurtarma için dışa aktarılabilir mi?
Cevap: Anahtarlar aşağıdaki komut kullanılarak manuel olarak dışa aktarılabilir.
filesys encryption keys export
DD sistemi, yeni bir anahtar eklendiğinde veya sistemden herhangi bir anahtar silindiğinde de varsayılan olarak anahtarları dışa aktarır.
Dışa aktarılan dosyalar /ddr/var/.security içinde bulunur ve bu şifrelenmiş bir biçimdedir. Bu dosya daha sonra DDR'den kopyalanmalı ve daha sonra herhangi bir felaket kurtarma koşulunda kullanılabilecek güvenli bir konumda saklanmalıdır.
Not: Geri yükleme işlemi, karşılaşılan olağanüstü durumun türüne bağlı olduğundan olağanüstü durum kurtarma için anahtarların içe aktarılması Müşteri Destek Birimi müdahalesini gerektirir. Aşağıdaki komutu kullanarak dışa aktarılan anahtar dosyasını içe aktarabiliriz.
Filesys şifreleme anahtarları içe aktarma <dosya adı>
Soru: KMIP tarafından oluşturulan anahtar Data Domain sisteminde depolanıyor mu?
Cevap: Evet, KMIP'den elde edilen şifreleme anahtarı Data Domain sisteminde şifrelenmiş bir şekilde depolanır.
Soru: KMIP cihazındaki anahtar durumu değişikliği Data Domain sistemine nasıl uygulanır?
Cevap: Anahtar senkronizasyonu günlük olarak gerçekleşir. Yeni bir anahtar mevcutsa veya anahtarın durumu değiştirilirse, senkronizasyon yerel anahtar tablosunu güncelleştirir. DD, her gün gece yarısı KMIP'den önemli güncellemeler alır.
Soru: DD ve KMIP arasında anahtar durumlarını manuel olarak senkronize etmek mümkün müdür?
Cevap: Evet, Data Domain CLI veya UI, DD ve KMIP arasındaki anahtar durumlarını manuel olarak senkronize etmek için kullanılabilir. "filesys encryption keys sync" bunun için kullanılan komuttur.
Soru: DD'nin KMIP'den önemli güncelleştirmeleri aldığı zamanı değiştirmek mümkün müdür?
Cevap: Hayır, DD'nin KMIP'den önemli güncelleştirmeleri alacağı zamanı değiştirmek mümkün değildir.
Soru: Data Domain sistemi tarafından desteklenen anahtar sayısına bir sınır var mı?
Cevap: DDOS 7.8'den itibaren, Data Domain sistemi herhangi bir zamanda sistemde maksimum 1024 anahtara sahip olabilir. Enabled-RW'de yalnızca bir anahtar vardır ve anahtarların geri kalanı başka herhangi bir durumda olabilir.
Soru: Data Domain sistemlerinde farklı veri kümeleri için farklı anahtarlar kullanılabilir mi? Bu yapılandırılabilir mi?
Cevap: Hayır, sistemde aynı anda yalnızca bir etkin anahtarı destekliyoruz ve tüm gelen veriler geçerli etkin anahtar kullanılarak şifreleniyor. Anahtarlar, M ağaçları gibi daha ince bir ayrıntı düzeyinde kontrol edilemez.
Soru: Maksimum anahtar sınırına ulaşıldığında herhangi bir bildirim var mı?
Cevap: Evet, en fazla 1024 anahtar sınırına ulaşıldığında bir uyarı tetiklenir.
Soru: Maksimum anahtar sınırıyla ilgili uyarıyı nasıl temizleyebilirim?
Cevap: Maksimum anahtar sınırı uyarısını temizlemek için anahtarlardan birinin silinmesi gerekir.
Soru: Data Domain sistemindeki belirli bir anahtarla ilişkili veri miktarını görebiliyor muyuz?
Cevap: Evet, bu DD'de görülebilir ancak KMIP sunucusunda görülemez. Kullanıcı, belirli bir anahtarla ilişkili veri miktarını görmek için Data Domain CLI'yı ve kullanıcı arayüzünü kullanabilir.
Soru: DD sistemindeki anahtarların yaşını görebilir miyiz?
Cevap: Evet, kullanıcı arayüzü kullanılarak EKM tuşlarıyla görülebilir.
Soru: Yeni anahtarın etkin hale getirilmesi için zaman aşımına uğramış olsa bile eski anahtar çalışıyor mu?
Cevap: Şifreleme anahtarları için sona erme tarihi yoktur. Eski anahtarlar, anahtar döndürüldükten sonra salt okunur anahtarlar haline gelir ve DDOS'de kalır.
Soru: Data Domain sisteminde şifreleme anahtarıyla ilişkili veri yoksa şifreleme anahtarı otomatik olarak silinir mi?
Cevap: Hayır, anahtar otomatik olarak silinmez. Kullanıcı, DD CLI veya kullanıcı arayüzünü kullanarak anahtarı açıkça silmelidir.
Soru: Data Domain sisteminde anahtarla ilişkili veriler olsa da anahtar silinebilir mi?
Cevap: Hayır, bir anahtarla ilişkili herhangi bir veri varsa bu anahtar silinemez. Kendisiyle ilişkili veriler içeren bir anahtarı silmek için verilerin başka bir anahtarla yeniden şifrelenmesi gerekir.
Soru: KMIP'de bir anahtar silinirse bu anahtar Data Domain'in anahtar listesinden de silinir mi?
Cevap: Hayır, kullanıcının DD CLI veya kullanıcı arayüzünü kullanarak anahtarı bağımsız olarak silmesi gerekir.
Soru: Çok siteli bir Data Domain ortamında, her konumda bir KMIP gerekli midir?
Cevap: Hayır, Data Domain'i olan her sitede bir KMIP olması gerekli değildir. Bir KMIP sunucusunu işaret edebiliriz. Aynı KMIP sunucusunu kullanan her DD sistemi için ayrı bir anahtar sınıfı olması önerilir.
Soru: Bir anahtarın güvenliği ihlal edilirse, eski anahtarla şifrelenen verileri almak için bir işlemimiz var mı?
Cevap: Bu durumda müşterinin, KMIP sunucusunda anahtarı güvenliği ihlal edilmiş olarak işaretlemesi gerekir. Ardından DDOS sisteminde "filesys encryption keys sync" komutunu çalıştırın, ardından "filesys encryption apply-changes" komutunu çalıştırın ve ardından GC yi (filesys clean) çalıştırın. GC çalıştırması, güvenliği ihlal edilmiş anahtarla şifrelenmiş tüm verileri daha yeni bir anahtar kullanarak yeniden şifreler. GC tamamlandıktan sonra, anahtar durumu güvenliği ihlal edildi-yok edildi olarak değiştirilir. Daha sonra bu anahtarı silebilir.
Soru: DD Çoğaltma, DD Şifreleme yazılımı seçeneğiyle destekleniyor ve birlikte çalışıyor mu?
Cevap: Evet, DD Çoğaltma, DD Şifreleme seçeneğiyle kullanılabilir, böylece şifrelenmiş verilerin tüm farklı çoğaltma türleri kullanılarak çoğaltılmasına olanak tanır. Her çoğaltma formu şifreleme ile benzersiz bir şekilde çalışır ve aynı güvenlik seviyesini sunar.
Soru: Şifrelemenin kullanılması için hem kaynak hem hedef sistemlerde aynı DD OS sürümünün çalıştırılması gerekir mi?
Cevap: Çoğaltma uyumluluk matrisi (uyumluluk matrisi için yönetici kılavuzuna bakın) mevcutsa kaynak ve hedef, DARE'i çoğaltmayla kullanmak için farklı DDOS sürümünde olabilir.
Soru: Çoğaltma, şifreleme ile nasıl çalışır?
Cevap: Bu, hangi çoğaltma biçiminin kullanıldığına bağlıdır.
Yapılandırılan çoğaltma MREPL veya MFR ise:
MREPL veya MFR kullanılıyorsa DD Şifreleme, müşterinin ne elde etmek istediğine bağlı olarak kaynak veya hedefte bağımsız olarak lisanslanabilir veya etkinleştirilebilir.
Yapılandırılmış çoğaltma CRREPL ise:
Toplama çoğaltmasında, hem kaynak hem de hedef sistemler aynı DDOS sürümünü çalıştırıyor olmalıdır. Bu nedenle, şifreleme her ikisinde de etkinleştirilmeli veya devre dışı bırakılmalıdır. Şifreleme yapılandırmasında da uyumsuzluk olamaz. Şifreleme anahtarları kaynak ve hedef ile aynıdır.
Soru: Hedef anahtarı kaynak Data Domain sisteminde süresiz olarak mı depolanıyor?
Cevap: Hedefin şifreleme anahtarı hiçbir zaman kaynak Data Domain sisteminde depolanmaz. Yalnızca çoğaltma oturumu aktifken bellekte (şifrelenmiş) tutulur. Bu, toplama çoğaltması dışındaki tüm çoğaltma tipleri için geçerlidir. Toplama çoğaltmasında (CREPL) kaynak ve hedefte aynı şifreleme anahtarı kümesi mevcuttur.
Soru: Çoğaltma bağlamı oluşturulduktan sonra CREPL sisteminde şifreleme etkinleştirilebilir mi?
Cevap: Evet, bu durumda şifreleme hem kaynakta hem de hedefte etkinleştirilmelidir. Şifreleme, çoğaltma bağlamı devre dışı bırakılarak kaynak ve hedefte etkinleştirilebilir. Çoğaltılan tüm yeni segmentler çoğaltmada şifrelenir. Şifreleme etkinleştirilmeden önce replikada yer alan tüm segmentler şifrelenmemiş durumda bırakılır.
Soru: DD Şifrelemesi, DD Çoğaltma yazılımı seçeneğindeki kablo üzerinden şifreleme özelliğiyle eş zamanlı olarak etkinleştirilebilir mi?
Cevap: Evet, farklı güvenlik hedeflerine ulaşmak için hem kablolu şifreleme hem de D@RE aynı anda etkinleştirilebilir.
Soru: Hem DD Şifreleme yazılımı seçeneği hem de DD Çoğaltma yazılımı seçeneğindeki kablo üzerinden şifreleme özelliği aynı anda etkinleştirilirse ne olur?
Cevap: İlk kaynak, hedef şifreleme anahtarını kullanarak verileri şifreler. Daha sonra zaten şifrelenmiş olan veriler, bu verileri hedefine gönderirken kablo üzerinden şifreleme nedeniyle ikinci kez şifrelenir. Hedefte, kablo üzerinden şifre çözme işlemi tamamlandıktan sonra, veriler hedefin şifreleme anahtarı kullanılarak şifrelenmiş şifrelenmiş bir biçimde saklanacaktır.
Soru: Şifreleme kaynak ve hedefte etkinleştirildiğinde anahtar parolasının her ikisinde de aynı olması gerekir mi?
Cevap: Yapılandırılmış çoğaltma toplama çoğaltması (CREPL) ise anahtar parolası aynı olmalıdır. Diğer çoğaltma türlerinde (MREPL, MFR gibi) anahtar parolası kaynak ve hedef açısından farklı olabilir.
Soru: Hedefte şifreleme etkinleştirildiğinde (soru CRREPL için geçerli değildir), hem çoğaltılmış veriler hem de başka bir erişim noktasından gelen veriler (örneğin yerel yedekleme yoluyla) şifrelenir mi? Yalnızca çoğaltılmış dizinlerin şifrelendiği ve diğer erişimlerin şifrelenmediği çoğaltmada ikisini ayırmanın bir yolu var mı?
Cevap: Hayır, tüm veriler giriş noktasından bağımsız olarak replikada (hedefte) şifrelenir. Şifreleme yalnızca MTree veya dizin düzeyinde ayrıntı düzeyinde etkinleştirilemez veya devre dışı bırakılamaz.
Soru: MREPL veya MFR sırasında kaynak ve hedef arasında anahtar değişimi nasıl yapılır?
Cevap: Çoğaltmanın ilişkilendirme aşamasında hedef makine, geçerli şifreleme algoritmasını ve anahtar bilgilerini kaynağa güvenli bir şekilde iletir. Çoğaltma bağlamlarının kimliği her zaman paylaşılan bir gizli anahtarla doğrulanır. Bu paylaşılan gizli anahtar, bir Diffie-Hellman anahtar değişimi protokolü kullanarak bir "oturum" anahtarı oluşturmak için kullanılır. Bu oturum anahtarı, Data Domain sistemi şifreleme anahtarını şifrelemek ve şifresini çözmek için kullanılır.
Soru: Çoğaltma trafiğinin şifrelenmesiyle ilgili olarak Data Domain'in "kablo üzerinden şifreleme" özelliği için ne tür bir şifreleme algoritması kullanılır?
Cevap: Çoğaltma kimlik doğrulama modu "tek yönlü" veya "iki yönlü" olarak ayarlandığında, oturum anahtarı değişimi için DHE (Ephemeral Diffie-Hellman) kullanılır. Sunucu kimlik doğrulaması RSA kullanılarak gerçekleşir. AES 256 bit GCM şifresi, çoğaltılmış verileri kablo üzerinden kapsüllemek için kullanılır. Şifreleme kapsülleme katmanı, hedef sisteme indiğinde hemen kaldırılır.
Tek yol, yalnızca hedef sertifikanın sertifikalı olduğunu gösterir. İki yöntem, hem kaynak hem de hedef sertifikaların doğrulandığını gösterir. Kimlik doğrulama modunu kullanmadan önce karşılıklı güven sağlanmalı ve şifrelemenin devam etmesi için bağlantının her iki tarafının da bu özelliği etkinleştirmesi gerekir.
Çoğaltma kimlik doğrulama modu "anonim" olarak ayarlandığında, oturum anahtarı değişimi için Anonim Diffie-Hellman (ADH) kullanılır, ancak bu durumda kaynak ve hedef, anahtar değişiminden önce birbirinin kimliğini doğrulamaz. Ayrıca, kimlik doğrulama modu belirtilmezse varsayılan olarak anonim kullanılır.
Soru: Dosya sistemi yeniden başlatılmadan anahtar döndürme her türlü çoğaltmayla çalışır mı?
Cevap: Dosya sistemi yeniden başlatılmadan anahtar döndürme, DREPL (DREPL desteği zaten sona erdi) ve delta çoğaltması (LBO olarak da bilinir) hariç tüm çoğaltma türleriyle çalışırQuestion
: Sertifikaların veya PKI anahtar çiftlerinin yokluğunda, anahtar değişimi sırasında hedefin şifreleme anahtarı nasıl korunur?
Cevap: Tüm Data Domain çoğaltma çiftleri arasında, Diffie-Hellman anahtar değişimi kullanarak paylaşılan bir oturum anahtarı oluşturmak için kullanılan paylaşılan bir gizli anahtar vardır. Bu paylaşılan anahtar, hedefin şifreleme anahtarını şifrelemek için kullanılır.
Çoğaltma kimlik doğrulaması için kullanılan paylaşılan gizli anahtar ile Diffie-Hellman anahtar değişimi protokolü kullanılarak ayrılan paylaşılan oturum anahtarı arasında fark vardır. Çoğaltma kimlik doğrulaması için kullanılan paylaşılan gizli anahtar, iki Data Domain sistemi ilk kez bir çoğaltma bağlamı oluşturmak istediğinde Data Domain yazılımı tarafından oluşturulur. Ayrıca, koda gömülü parametreler kullanılarak değiş tokuş edilen bir Diffie-Hellman aracılığıyla da kararlaştırılır. Bu, iki sistem arasındaki her çoğaltma oturumunun kimliğini doğrulamak için sistemlerde kalıcı olarak depolanır. Çoğaltma oturum anahtarı (hedefin şifreleme anahtarını şifrelemek için kullanılan anahtar), önceden oluşturulmuş paylaşılan gizli anahtarla başka bir Diffie-Hellman değişimi kullanılarak oluşturulur ve böylece güvenli anahtar değişim protokolünü yönlendirir. Bu anahtar kalıcı değildir ve yalnızca çoğaltma bağlamı etkinken kullanılabilir.
Soru: Bir çoğaltma çiftinin her iki Data Domain'inin de aynı harici anahtar yöneticisi (KMIP anahtar yöneticisi gibi) çözümünü kullanması gerekir mi yoksa sistemlerden biri harici anahtar yöneticisini, diğeri ise yerleşik anahtar yöneticisini kullanabilir mi?
Cevap: Bir toplama çoğaltma çifti dışında, bir çoğaltma çifti içindeki her iki sistemin de aynı anahtar yöneticisini kullanması gerekmez.
Toplama çoğaltması ile her iki Data Domain sistemi de aynı anahtar yöneticisiyle yapılandırılmalıdır. Ancak bu durumda da tek kaynak, anahtarları anahtar yöneticisiyle senkronize etmektir ve bu anahtarlar da hedefe gönderilir. Diğer çoğaltma tiplerinde, kaynak ve hedef ile farklı anahtar yöneticileri kullanılabilir.
Soru: Şifrelemenin etkin olduğu sistemlerde veri geçişi destekleniyor mu?
Cevap: Evet, şifrelemenin etkin olduğu sistemlerde veri geçişi desteklenir. Veri geçişi başlatılmadan önce kaynak ve hedef sistemlerde şifreleme yapılandırması bir önkoşul olarak eşleştirilmelidir. Ayrıca, geçiş başlatılmadan önce DIA amacıyla kaynak sistemdeki şifreleme anahtarlarının dışa aktarılması ve yedeklenmesi önerilir.
Soru: Veri geçişi, şifrelemenin etkin olduğu sistemlerde hem aktif katman hem de bulut katmanı geçişi için destekleniyor mu?
Cevap: Evet, şifrelemenin etkin olduğu sistemlerde hem aktif katman hem de bulut katmanı geçişi için veri geçişi desteklenir. Kontrol edilen önkoşul özniteliklerinin listesi, şifrelemenin etkin olduğu katmana bağlı olarak uygulanır.
Soru: Taşıma işleminin bir parçası olarak hangi şifreleme ayarları korunur?
Cevap: Şifrelenmiş veriler ve şifreleme anahtarları olduğu gibi geçirilir ancak başarılı veri geçişi için şifreleme anahtarı yöneticisi, sistem anahtar parolası ve diğer şifreleme yapılandırmaları gibi ayarların manuel olarak doğrulanması ve eşleştirilmesi gerekir. Mevcut tüm anahtar yöneticisi sertifikaları da hedef sisteme aktarılır. Şifreleme anahtarı yöneticisi yapılandırması, geçiş sonrasında hedef sistemde yeniden ayarlanmalıdır.
Soru: Geçiş sırasında kaynak ve hedef arasında hangi şifreleme uyumluluğu denetimleri yapılır?
Cevap: Sistem anahtar parolası, şifreleme durumu ve anahtar yöneticisi yapılandırma ayrıntıları, sistem FIPS modu ayarları, geçişin başarılı olması için kaynak ve hedef sistemlerde aynı olması gereken Şifreleme ayarlarından bazılarıdır. Bu KB makalesi 183040, Data Domain: Bulut Özellikli DD Sistemleri için Geçiş Prosedürü (makaleyi görüntülemek için Dell Support'ta oturum açmanız gerekir), bulut özellikli sistemler arasında geçiş adımlarını ayrıntılı olarak açıklar. Aynı ayarlar yalnızca aktif katman geçişi için de geçerlidir.
Soru: Encryption Disablement Project ayarı açıkken sistemler arasında geçiş destekleniyor mu?
Cevap: Her ikisi de EDP ise veya her ikisi de EDP değilse iki sistem arasında veri geçişi desteklenir. Kablo üzerinde şifreleme açıkça kapatılmışsa bir EDP sisteminden EDP olmayan bir sisteme veri geçişine izin verilir. (MIGRATION_ENCRYPTION sysparam kullanılarak)
Soru: Bulut katmanı için şifreleme destekleniyor mu?
Cevap: Evet, şifreleme bulut katmanında desteklenir. Varsayılan olarak, şifreleme bulut katmanında devre dışıdır. Cloud enable" komutu, bulut katmanında şifrelemeyi etkinleştirmek isteyip istemediğimizi seçmemizi ister.
Soru: KMIP ve Harici Anahtar Yöneticileri bulut katmanı ile destekleniyor mu?
Cevap: Evet, KMIP ve Harici Anahtar Yöneticileri, DDOS 7.8'den itibaren bulut katmanıyla desteklenir.
Soru: Bulutta şifreleme hangi ayrıntı düzeyinde etkinleştirilebilir?
Cevap: Şifreleme, her bulut biriminde ve her katmanda bağımsız olarak etkinleştirilebilir ve devre dışı bırakılabilir.
Soru: Bulut birimlerinin bağımsız anahtarları var mı?
Cevap: Hayır, anahtar yönetimi DD'de hem aktif hem de bulut katmanları için ortaktır. Şifreleme etkinleştirildiğinde anahtarlar ilgili birime/katmana/cp ye kopyalanır. Şifreleme bulutta değil etkin durumda etkinleştirilirse etkin katman anahtarları buluta yansıtılmaz ve bunun tersi de geçerlidir. Bu, bulut birimleri için de geçerlidir. (Örneğin: CP1'de şifreleme etkindir ve CP2'de şifreleme etkin değildir; bu durumda CP1 anahtarları CP2'ye yansıtılmaz.)
Soru: Anahtarlar bulutta silinebilir mi?
Cevap: Hayır, buluttan anahtar silme işlemi desteklenmez.
Soru: Bulut birimleri için veri şifreleme anahtarları nerede yönetilir?
Cevap: Anahtarlar bir cp ile ilişkilendirilir ve her bulut birimi farklı bir cp'dir. Tüm cp'lerdeki anahtarların bir kopyası etkin cp'de saklanır.
Soru: Olağanüstü durum kurtarma sırasında bulut anahtarlarını nasıl kurtarabiliriz?
Cevap: cpnameval, CP kurtarma işleminin bir parçası olarak buluta yansıtılır, şifreleme anahtarları cpnameval'e kurtarılacaktır. Şimdi anahtarları kurtarmak için ddr_key_util aracı çalıştırmalıyız.
Not: Olağanüstü durum kurtarma, Müşteri Desteği müdahalesi gerektirir.
Soru: Şifreleme yalnızca bulut katmanında etkinleştirildiğinde veri taşıma işlemi yapabilir miyiz?
Cevap: Hayır, veri taşıma için hem bulut hem de aktif katmanlarda şifrelemeyi etkinleştirmemiz gerekir.
Soru: Bulut katmanında harici anahtar yöneticisini etkinleştirebilir miyiz?
Cevap: Evet, harici anahtar yöneticisi bulut katmanında etkinleştirilebilir. Bu özellik 7.8 ve sonrasında desteklenmektedir. Aktif katman için geçerli olan yok etme veya silme anahtarı dışındaki tüm işlemler harici anahtar yöneticisi açısından bulut katmanı için de geçerlidir.
Soru: Genel Temizleme işlemi, Beklemede Şifreleme'de nasıl bir rol oynar ve şifrelemeyi ilk kez etkinleştirirken performansı etkiler mi?
Cevap: Bekleyen veri şifrelemesinin ilk kez etkinleştirilmesi, genel temizleme performansını etkiler. Bunun nedeni, diskteki mevcut konteynerlerden okunması ve yeni konteynerlere yazılması gereken verilerin yeniden sıkıştırılmadan, şifrelenmeden ve diske geri yazılmadan önce okunmasını, şifresinin çözülmesini ve sıkıştırılmamış hale getirilmesini gerektirebilmesidir. Önemli miktarda önceden var olan veriyi tutan bir DD de şifreleme etkinleştirildiğinde ve "filesys encryption apply-changes" komutu çalıştırıldığında, sonraki genel temizleme döngüsü sistemdeki tüm mevcut verileri şifrelemeye çalışır. Bu, tüm verilerin okunması, sıkıştırılmaması, sıkıştırılması, şifrelenmesi ve diske yazılması gerektiği anlamına gelir. Sonuç olarak, "filesys encryption apply-changes" çalıştırıldıktan sonraki ilk genel temizleme döngüsü normalden daha uzun sürebilir. Müşteriler, DD sistemi dolmadan temizliğin tamamlanmasına izin vermek için DD sistemlerinde yeterli boş alan bulunduğundan emin olmalıdır (aksi takdirde yedeklemeler başarısız olur).
Soru: Devam eden temizleme/geri yükleme döngülerinin performansı etkileyen bir etkisi var mı?
Cevap: Evet, performans üzerinde bir etkisi vardır ve bu etki genellikle temizleme döngüleri arasında alınan/geri yüklenen veri miktarına bağlıdır.
Soru: Mevcut verilerimi şifrelemek ne kadar sürer?
Zamanı tahmin etmek için bu KB makalesini kullanın, Data Domain: Bekleyen şifrelemenin ne kadar süreyle uygulanacağını hesaplama.
Soru: Müşteri, şifreleme etkinleştirildiğinde bir kafa arızalanırsa diski başka bir Data Domain sistemine taşıyıp diske erişebilir mi?
Cevap: Şifreleme anahtarı Data Domain sistem kafasına bağlı değildir. Bu nedenle diskleri başka bir Data Domain sistem kafasına taşıyabilirsiniz ve anahtara buradan erişilebilir. Yeni bir Data Domain sistem başlığında dosya sistemi kilitlenir, bu nedenle "filesys encryption unlock" komutuyla parolayı girmeniz gerekir.
Soru: Bir müşteri, kafa değiştirme işlemi sırasında parolasını unutursa ne olur?
Cevap: Bu süre zarfında, eski kafayı bağlayabilir ve anahtar parolasını sıfırlamak için destekle birlikte çalışabilir ve ardından yeni kafaya geri bağlanabilir ve kafa değiştirme prosedürünü tamamlayabilirler.
Soru: Şifreleme kullanıldığında depolama tüketimi üzerinde gözlemlenen etki nedir?
Cevap: Bazı şifreleme parametrelerinin kullanıcı verileriyle depolanmasıyla ilişkili kabaca yüzde 1'lik ek yük ile ihmal edilebilir düzeydedir.
Soru: Hareketsiz veri şifrelemesi kullanıldığında üretilen iş (yazma ve okuma) üzerinde gözlemlenen etki nedir?
Cevap: Şifreleme kullanıldığında alma aktarım hızı üzerindeki etki, protokole ve platforma göre değişebilir. Genel olarak, aşağıdaki yüzdeler toplam aktarım hızındaki konservatif performans düşüşleridir:CBC Modu
İlk Tam:
Yazma İşlemlerinde
~%10 performans düşüşü Artımlı: Yazma İşlemlerinde ~%5 performans düşüşü Geri Yüklemeler
: READ'lerde
%5 - 20 performans düşüşü GCM Modu
First Full: Yazma İşlemlerinde
%10 - 20 performans düşüşü Artımlı: Yazma İşlemlerinde
%5-10 performans düşüşü Geri Yüklemeler: READ'lerde %5 - 20 performans düşüşü
Bu numaralar, bekleyen veri şifrelemesinin ek yüküne özeldir (kablo üzerinden şifreleme ayrıca hesaplanır)
Soru: Anahtar rotasyon ilkesiyle ilgili en iyi uygulamalar nelerdir?
Cevap: Otomatik anahtar döndürme politikası varsayılan olarak etkin değildir. Müşteri bunu etkinleştirdi. Şifreleme anahtarlarının sık sık döndürülmesi önerilir. Sistem harici bir KMIP anahtar yöneticisiyle yapılandırıldığında, gelecekteki anahtar güvenliği ihlali senaryolarını ele almak için anahtarların sık sık döndürülmesi önerilir. KMIP bulut katmanıyla yapılandırıldığında önerilen anahtar döndürme aralığı 1 haftadır ve KMIP yalnızca aktif katmanda yapılandırıldığında önerilen anahtar döndürme politikası 1 aydır. Ancak, alım hızına bağlı olarak müşteri, anahtar dönüş sıklığını da artırabilir veya azaltabilir. Yerleşik anahtar yöneticisi yapılandırılmışsa 1 - 3 ay arasında herhangi bir yerde anahtar rotasyonu politikası önerilir.
Soru: Bir müşteri birçok DD sistemi için aynı KMIP sunucusunu kullanıyorsa KMIP anahtar sınıfı ile ilgili en iyi uygulamalar nelerdir?
Cevap: Aynı KMIP sunucusunu kullanan her DD sistemi için ayrı bir anahtar sınıfı olması önerilir. Bu şekilde, bir DDOS sisteminde yapılan anahtar döndürme, diğer DDOS sisteminde bulunan anahtarın durumunu etkilemez.
Daha fazla bilgi için DELL EMC PowerProtect DD Serisi Cihazlar: Şifreleme Yazılımı (delltechnologies.com)
Şifreleme: Teknik Rapor PowerProtect DD Serisi Cihazlar: Şifreleme Yazılımı
DD Şifreleme ile ilgili diğer belgeler (Yönetici Rehberi, Komut Referans Rehberi ve Güvenlik Yapılandırma Rehberi) 126375. makale, PowerProtect ve Data Domain temel belgelerinde bulunabilir.
KMIP Entegrasyon Rehberi ve Uyumluluk Matrisi
Bu videoyu izleyin: