Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste Überarbeitung Beide Seiten der Revision
de:services:storage_services:backup:tsm:anleitungen:tls [2018/12/10 11:45]
bnachtw [Beispiele]
de:services:storage_services:backup:tsm:anleitungen:tls [2020/06/10 14:49]
bnachtw [TLS für die Serverkommunikation]
Zeile 3: Zeile 3:
 Anmerkung: Anmerkung:
  
-Üblicherweise empfahl die GWDG die Nutzung der Datenverschlüsselung anstelle der TLS-Transportverschlüsselung,​ da dies ein paar Vorteile bietet:+Üblicherweise empfahl die GWDG die Nutzung der Datenverschlüsselung anstelle der SSL/TLS-Transportverschlüsselung,​ da dies ein paar Vorteile bietet:
   * Die Daten sind auf dem **gesamten** Weg vom Client bis zum Band verschlüsselt   * Die Daten sind auf dem **gesamten** Weg vom Client bis zum Band verschlüsselt
   * seitens der GWDG besteht **keine** Möglichkeit,​ Einblick in die Daten nehmen zu können.   * seitens der GWDG besteht **keine** Möglichkeit,​ Einblick in die Daten nehmen zu können.
Zeile 12: Zeile 12:
   * Es sind lediglich die Daten verschlüsselt,​ die Client-Server-Kommunikation ist **prinzipiell abhörbar**,​ z.B. über Arp-Angriffe im Subnetz des Clienten oder des Servers.   * Es sind lediglich die Daten verschlüsselt,​ die Client-Server-Kommunikation ist **prinzipiell abhörbar**,​ z.B. über Arp-Angriffe im Subnetz des Clienten oder des Servers.
   * Die Kompression der verschlüsselten Daten durch die Bandlaufwerke ist um ca. 10% weniger effektiv, es werden etwas mehr Bänder benötigt.   * Die Kompression der verschlüsselten Daten durch die Bandlaufwerke ist um ca. 10% weniger effektiv, es werden etwas mehr Bänder benötigt.
-  * DeDuplikation ist für verschlüsselte Daten kaum effektiv nutzbar -- diese Technik kommt bei der GWDG aber nicht zum Einsatz.+  * DeDuplikation ist für verschlüsselte Daten kaum effektiv nutzbar -- diese Technik kommt aber bei der GWDG (bisher) ​nicht zum Einsatz.
  
-Umgekehrt verhält es sich bei der Nutzung von TLS als Transportverschlüsselung.+Umgekehrt verhält es sich bei der Nutzung von SSL/TLS als Transportverschlüsselung.
  
 Vorteile: Vorteile:
Zeile 22: Zeile 22:
  
 Nachteile: Nachteile:
-  * Die Daten liegen unverschlüsselt und damit //nur// durch die üblichen IT-Sicherheitsmaßnahmen der GWDG geschützt auf den TSM-Servern.+  * Die Daten liegen unverschlüsselt und damit //nur// durch die üblichen IT-Sicherheitsmaßnahmen der GWDG geschützt auf den SP-Servern.
   * Teilweise erhebliche Rechenlast für die Ver- bzw. Entschlüsselung der Daten.   * Teilweise erhebliche Rechenlast für die Ver- bzw. Entschlüsselung der Daten.
 +
 +Mit den SP-Versionen 8 und neuer hat sich die IBM für einen weiteren Ansatz entschieden:​
 +  * die Kontroll-Sessions (z.B. Knotennamen + Password, Dateilisten) werden TLS-verschlüsselt (siehe auch die WICHTIG-Box)
 +  * die Übertragung der eigentlichen Backupdaten erfolgt weiterhin unverschlüsselt.
 +Letztendlich werden damit die Vorteile aus Transport- und Client-Verschlüsselung kombiniert:
 +  * die eigentlichen Daten werden bereits auf dem Client verschlüsselt und liegen bei der GWDG *immer* verschlüselt vor
 +  * die Kommunikation zwischen Client und Server werden TSL-transportverschlüsselt.
 </​WRAP>​ </​WRAP>​
 <WRAP center round important 90%> <WRAP center round important 90%>
-Aufgrund ​der Umsetzung des Prinzips "​Privacy-by-default"​ in TSM/ISPdas in den Versionen ab 7.1.8 bzw. 8.1.2 die Nutzung von SSL/TLS **zwingend ​vorschreibt**, wird auch die GWDG sukzessive die Verschlüsselung zunächst anbieten ​und vermutlich ab 2019 obligatorisch einführen.+Mit der Umsetzung des Prinzips "​Privacy-by-default"​ in TSM/SPhat IBM in den Versionen ab 7.1.8 bzw. 8.1.2 die Nutzung von SSL/TLS **zwingend ​eingeführt**. Vermutlich aufgrund der damit einhergehenden Aufwände und Probleme gibt seit Version 8.1.5 //TOFU//also //​T//​rust_//​O//​n_//​F//​irst_//​U//​se,​ d.h. SP-Clients in den Versionen 8.1.5 und neuer akzeptieren bei der ersten Verbindung ​die Serverzertifikate ​und installieren sie selbstständig -- ohne Eingriff des Nutzers. 
 +Die GWDG wird daher alle SP-Server direkt von Version 7.1.7 auf 8.1.9 (oder neuer) umstellen, so dass alle Clients neuer 8.1.5 dank TOFU TLS nutzen können =)
 </​WRAP>​ </​WRAP>​