ProHoster > Blog > İdarə > Ethernet Şifrələmə Cihazlarını necə qiymətləndirmək və müqayisə etmək olar

Ethernet Şifrələmə Cihazlarını necə qiymətləndirmək və müqayisə etmək olar

Mən bu rəyi (və ya istəsəniz, müqayisə təlimatı) müxtəlif təchizatçılardan bir neçə cihazı müqayisə etmək tapşırığı aldığım zaman yazdım. Bundan əlavə, bu cihazlar müxtəlif siniflərə aid idi. Mən bütün bu cihazların arxitekturasını və xüsusiyyətlərini başa düşməli və müqayisə üçün “koordinat sistemi” yaratmalı idim. Baxışım kiməsə kömək etsə, şad olaram:

  • Şifrələmə cihazlarının təsvirlərini və spesifikasiyalarını anlayın
  • "Kağız" xüsusiyyətlərini real həyatda həqiqətən vacib olanlardan fərqləndirin
  • Adi satıcılar dəstindən kənara çıxın və problemi həll etmək üçün uyğun olan hər hansı bir məhsulu nəzərə alın
  • Danışıqlar zamanı düzgün suallar verin
  • Tender tələblərini tərtib etmək (RFP)
  • Müəyyən bir cihaz modeli seçilərsə, hansı xüsusiyyətlərin qurban veriləcəyini anlayın

Nə qiymətləndirmək olar

Prinsipcə, yanaşma uzaq Ethernet seqmentləri arasında şəbəkə trafikini şifrələmək üçün uyğun olan hər hansı müstəqil cihazlara tətbiq olunur (saytlararası şifrələmə). Yəni, ayrı bir qutuda olan "qutular" (yaxşı, biz burada şassi üçün bıçaqlar/modulları da daxil edəcəyik), onlar bir və ya bir neçə Ethernet portu vasitəsilə şifrələnməmiş trafiki olan yerli (kampus) Ethernet şəbəkəsinə qoşulurlar. artıq şifrələnmiş trafikin digər, uzaq seqmentlərə ötürüldüyü kanal/şəbəkə üçün başqa port(lar). Belə bir şifrələmə həlli fərdi və ya operator şəbəkəsində müxtəlif növ "nəqliyyat" (qaranlıq lif, tezlik bölgüsü avadanlığı, kommutasiya edilmiş Ethernet, həmçinin fərqli marşrutlaşdırma arxitekturasına malik bir şəbəkə vasitəsilə çəkilmiş "psevdoirlər", çox vaxt MPLS) vasitəsilə yerləşdirilə bilər. ), VPN texnologiyası ilə və ya olmadan.

Ethernet Şifrələmə Cihazlarını necə qiymətləndirmək və müqayisə etmək olar
Paylanmış Ethernet şəbəkəsində şəbəkə şifrələməsi

Cihazların özləri də ola bilər ixtisaslaşmış (yalnız şifrələmə üçün nəzərdə tutulub) və ya çoxfunksiyalı (hibrid, konvergent), yəni digər funksiyaları da yerinə yetirir (məsələn, firewall və ya marşrutlaşdırıcı). Fərqli satıcılar öz cihazlarını müxtəlif siniflərə/kateqoriyalara təsnif edir, lakin bunun əhəmiyyəti yoxdur - yeganə vacib olan onların saytlararası trafiki şifrələyə bilib-bilməyəcəyi və hansı xüsusiyyətlərə malik olmasıdır.

Hər halda, xatırladıram ki, “şəbəkə şifrələməsi”, “trafik şifrələməsi”, “şifrələmə” qeyri-rəsmi terminlərdir, baxmayaraq ki, onlar tez-tez istifadə olunur. Çox güman ki, onları Rusiya qaydalarında tapa bilməyəcəksiniz (GOST-ları təqdim edənlər də daxil olmaqla).

Şifrələmə səviyyələri və ötürmə rejimləri

Qiymətləndirmə üçün istifadə ediləcək xüsusiyyətlərin özünü təsvir etməyə başlamazdan əvvəl, ilk növbədə bir vacib şeyi, yəni "şifrələmə səviyyəsini" başa düşməliyik. Müşahidə etdim ki, bu, həm rəsmi satıcı sənədlərində (təsvirlərdə, təlimatlarda və s.), həm də qeyri-rəsmi müzakirələrdə (danışıqlarda, təlimlərdə) tez-tez qeyd olunur. Yəni, deyəsən, hamı nədən danışdığımızı çox yaxşı bilir, amma mən şəxsən bəzi çaşqınlığın şahidi oldum.

Beləliklə, "şifrələmə səviyyəsi" nədir? Aydındır ki, söhbət şifrələmənin baş verdiyi OSI/ISO istinad şəbəkəsi modeli təbəqəsinin sayından gedir. GOST R ISO 7498-2–99 “İnformasiya texnologiyası. Açıq sistemlərin qarşılıqlı əlaqəsi. Əsas istinad modeli. Hissə 2. İnformasiya təhlükəsizliyi arxitekturası”. Bu sənəddən başa düşmək olar ki, məxfilik xidmətinin səviyyəsi (təminetmə mexanizmlərindən biri şifrələmədir) xidmət məlumat bloku (“faydalı yük”, istifadəçi məlumatları) şifrələnmiş protokolun səviyyəsidir. Standartda da yazıldığı kimi, xidmət həm eyni səviyyədə, həm "özlüyündə", həm də daha aşağı səviyyənin köməyi ilə təqdim edilə bilər (məsələn, MACsec-də ən çox belə həyata keçirilir) .

Təcrübədə bir şəbəkə üzərindən şifrələnmiş məlumatın ötürülməsinin iki rejimi mümkündür (İPsec dərhal ağla gəlir, lakin eyni rejimlər digər protokollarda da mövcuddur). IN nəqliyyat (bəzən yerli adlanır) rejim yalnız şifrələnir xidmət məlumat bloku və başlıqlar "açıq", şifrələnməmiş qalır (bəzən şifrələmə alqoritminin xidmət məlumatları olan əlavə sahələr əlavə olunur və digər sahələr dəyişdirilir və yenidən hesablanır). IN tunel hamısı eyni rejim protokol məlumat bloku (yəni paketin özü) eyni və ya daha yüksək səviyyəli xidmət məlumat blokunda şifrələnir və kapsullaşdırılır, yəni yeni başlıqlarla əhatə olunur.

Bəzi ötürmə rejimi ilə birlikdə şifrələmə səviyyəsinin özü nə yaxşı, nə də pisdir, buna görə də, məsələn, nəqliyyat rejimində L3-ün tunel rejimində L2-dən daha yaxşı olduğunu söyləmək olmaz. Sadəcə olaraq, cihazların qiymətləndirildiyi bir çox xüsusiyyət onlardan asılıdır. Məsələn, çeviklik və uyğunluq. Nəqliyyat rejimində L1 (bit axını relayı), L2 (çərçivənin dəyişdirilməsi) və L3 (paket marşrutlaşdırma) şəbəkəsində işləmək üçün sizə eyni və ya daha yüksək səviyyədə şifrələyən həllər lazımdır (əks halda ünvan məlumatı şifrələnəcək və verilənlər nəzərdə tutulan yerə çatmır) və tunel rejimi bu məhdudiyyəti dəf edir (baxmayaraq ki, digər mühüm xüsusiyyətləri qurban verir).

Ethernet Şifrələmə Cihazlarını necə qiymətləndirmək və müqayisə etmək olar
Nəqliyyat və tunel L2 şifrələmə rejimləri

İndi xüsusiyyətlərin təhlilinə keçək.

Məhsuldarlıq

Şəbəkə şifrələməsi üçün performans mürəkkəb, çoxölçülü anlayışdır. Belə olur ki, müəyyən bir model bir performans xarakteristikasında üstün olsa da, digərində aşağıdır. Buna görə də, şifrələmə performansının bütün komponentlərini və onların şəbəkənin və ondan istifadə edən proqramların işinə təsirini nəzərə almaq həmişə faydalıdır. Burada təkcə maksimum sürət deyil, həm də “yüzlərlə” sürətlənmə vaxtı, yanacaq sərfiyyatı və s. vacib olan bir avtomobillə bənzətmə çəkə bilərik. Satıcı şirkətlər və onların potensial müştəriləri performans xüsusiyyətlərinə böyük diqqət yetirirlər. Bir qayda olaraq, şifrələmə cihazları satıcı xətlərindəki performansa görə sıralanır.

Aydındır ki, performans həm cihazda yerinə yetirilən şəbəkə və kriptoqrafik əməliyyatların mürəkkəbliyindən (o cümlədən, bu vəzifələrin nə qədər paralel və boru xətti ilə birləşdirilə biləcəyindən), həm də aparatın performansından və proqram təminatının keyfiyyətindən asılıdır. Buna görə də, köhnə modellər daha məhsuldar aparatlardan istifadə edir, bəzən onu əlavə prosessorlar və yaddaş modulları ilə təchiz etmək mümkündür. Kriptoqrafik funksiyaları yerinə yetirmək üçün bir neçə yanaşma var: ümumi təyinatlı mərkəzi prosessorda (CPU), tətbiq üçün xüsusi inteqral sxemdə (ASIC) və ya sahədə proqramlaşdırıla bilən məntiq inteqral sxemində (FPGA). Hər bir yanaşmanın müsbət və mənfi tərəfləri var. Məsələn, prosessor, xüsusən də prosessorda şifrələmə alqoritmini dəstəkləmək üçün xüsusi təlimatlar olmadıqda (və ya onlardan istifadə edilmədikdə) şifrləmə darboğazına çevrilə bilər. İxtisaslaşdırılmış çiplərdə çeviklik yoxdur; performansı yaxşılaşdırmaq, yeni funksiyalar əlavə etmək və ya zəiflikləri aradan qaldırmaq üçün onları “yenidən yandırmaq” həmişə mümkün olmur. Bundan əlavə, onların istifadəsi yalnız böyük istehsal həcmləri ilə sərfəli olur. Buna görə "qızıl orta" bu qədər populyarlaşdı - FPGA (rus dilində FPGA) istifadəsi. Məhz FPGA-larda kriptoqrafik sürətləndiricilər hazırlanır - kriptoqrafik əməliyyatları dəstəkləmək üçün quraşdırılmış və ya plug-in ixtisaslaşdırılmış aparat modulları.

Madam ki, biz danışırıq şəbəkə şifrələmə, məntiqlidir ki, həllərin performansı digər şəbəkə cihazları ilə eyni miqdarda ölçülməlidir - ötürmə qabiliyyəti, çərçivə itkisi faizi və gecikmə. Bu dəyərlər RFC 1242-də müəyyən edilmişdir. Yeri gəlmişkən, bu RFC-də tez-tez qeyd olunan gecikmə dəyişməsi (jitter) haqqında heç bir şey yazılmır. Bu miqdarları necə ölçmək olar? Mən heç bir standartda (RFC kimi rəsmi və ya qeyri-rəsmi) xüsusi olaraq şəbəkə şifrələməsi üçün təsdiq edilmiş metodologiya tapmadım. RFC 2544 standartında təsbit edilmiş şəbəkə qurğuları üçün metodologiyadan istifadə etmək məntiqli olardı.Bir çox təchizatçılar ona əməl edirlər – çoxları, lakin hamısı deyil. Məsələn, test trafikini hər ikisi əvəzinə yalnız bir istiqamətə göndərirlər tövsiyə standart. Hər halda.

Şəbəkə şifrələmə cihazlarının performansının ölçülməsi hələ də öz xüsusiyyətlərinə malikdir. Birincisi, bir cüt cihaz üçün bütün ölçmələri aparmaq düzgündür: şifrələmə alqoritmləri simmetrik olsa da, şifrələmə və şifrənin açılması zamanı gecikmələr və paket itkiləri mütləq bərabər olmayacaqdır. İkincisi, iki konfiqurasiyanı müqayisə edərək, deltanı, şəbəkə şifrələməsinin son şəbəkə performansına təsirini ölçmək mənasızdır: şifrələmə cihazları olmadan və onlarla. Yaxud, şəbəkə şifrələməsi ilə yanaşı, bir neçə funksiyanı birləşdirən hibrid cihazlarda olduğu kimi, şifrələmə söndürülmüş və aktivdir. Bu təsir müxtəlif ola bilər və şifrələmə cihazlarının qoşulma sxemindən, iş rejimlərindən və nəhayət, trafikin xarakterindən asılıdır. Xüsusilə, bir çox performans parametrləri paketlərin uzunluğundan asılıdır, buna görə də müxtəlif həllərin performansını müqayisə etmək üçün paketlərin uzunluğundan asılı olaraq bu parametrlərin qrafiklərindən tez-tez istifadə olunur və ya IMIX istifadə olunur - trafikin paket üzrə paylanması. uzunluğu, təxminən realı əks etdirir. Şifrələmə olmadan eyni əsas konfiqurasiyanı müqayisə etsək, bu fərqlərə girmədən fərqli şəkildə həyata keçirilən şəbəkə şifrələmə həllərini müqayisə edə bilərik: L2 ilə L3, saxla və irəli ) kəsmə ilə, konvergentlə ixtisaslaşmış, QOST ilə AES və s.

Ethernet Şifrələmə Cihazlarını necə qiymətləndirmək və müqayisə etmək olar
Performans testi üçün əlaqə diaqramı

İnsanların diqqət yetirdiyi ilk xüsusiyyət şifrələmə cihazının "sürətidir", yəni bant onun şəbəkə interfeyslərinin (bant genişliyi), bit axını sürəti. İnterfeyslər tərəfindən dəstəklənən şəbəkə standartları ilə müəyyən edilir. Ethernet üçün adi nömrələr 1 Gbps və 10 Gbps-dir. Ancaq bildiyimiz kimi, istənilən şəbəkədə maksimum nəzəri ötürmə qabiliyyəti (keçirmə qabiliyyəti) onun hər bir səviyyəsində həmişə daha az bant genişliyi var: bant genişliyinin bir hissəsi interframe intervalları, xidmət başlıqları və s. ilə "yeyir". Bir cihaz şəbəkə interfeysinin tam sürətində, yəni şəbəkə modelinin bu səviyyəsi üçün maksimum nəzəri ötürmə qabiliyyəti ilə trafiki qəbul etmək, emal etmək (bizim vəziyyətimizdə şifrələmə və ya şifrəni açmaq) və ötürmək qabiliyyətinə malikdirsə, o zaman deyilir. işləmək xətt sürətində. Bunun üçün cihazın istənilən ölçüdə və istənilən tezlikdə paketləri itirməməsi və ya atmaması lazımdır. Şifrələmə cihazı xətt sürətində işləməyi dəstəkləmirsə, onun maksimum ötürmə qabiliyyəti adətən saniyədə eyni gigabitlə müəyyən edilir (bəzən paketlərin uzunluğunu göstərir - paketlər nə qədər qısa olsa, ötürmə qabiliyyəti ümumiyyətlə aşağı olur). Maksimum ötürmə qabiliyyətinin maksimum olduğunu başa düşmək çox vacibdir itki yoxdur (hətta cihaz daha yüksək sürətlə trafiki "nasos" edə bilsə də, eyni zamanda bəzi paketləri itirir). Həmçinin, unutmayın ki, bəzi satıcılar bütün cüt portlar arasında ümumi ötürmə qabiliyyətini ölçürlər, ona görə də bütün şifrələnmiş trafik bir portdan keçərsə, bu rəqəmlər çox şey demək deyil.

Xətt sürətində (və ya başqa sözlə, paket itkisi olmadan) işləmək xüsusilə harada vacibdir? Yüksək ötürmə sürətini saxlamaq üçün böyük TCP pəncərə ölçüsünün təyin edilməli olduğu və paket itkisinin şəbəkə performansını kəskin şəkildə aşağı saldığı yüksək bant genişliyi, yüksək gecikmə (peyk kimi) bağlantılarında.

Lakin bütün bant genişliyi faydalı məlumatları ötürmək üçün istifadə edilmir. Biz deyilənlərlə hesablaşmalıyıq qaimə məsrəfləri (yerüstü) bant genişliyi. Bu, şifrələmə cihazının ötürmə qabiliyyətinin (paket başına faiz və ya bayt kimi) faktiki olaraq sərf edilən hissəsidir (tətbiq məlumatlarını ötürmək üçün istifadə edilə bilməz). Yerüstü xərclər, ilk növbədə, şifrələnmiş şəbəkə paketlərində (şifrələmə alqoritmi və iş rejimindən asılı olaraq) məlumat sahəsinin ölçüsünün artması (əlavə, "doldurma") səbəbindən yaranır. İkincisi, paket başlıqlarının uzunluğunun artması səbəbindən (tunel rejimi, şifrələmə protokolunun xidmətə daxil edilməsi, simulyasiyanın daxil edilməsi və s. protokoldan və şifrənin iş rejimindən və ötürmə rejimindən asılı olaraq) - adətən bu əlavə xərclər ən əhəmiyyətlidir və ilk növbədə diqqət yetirirlər. Üçüncüsü, maksimum məlumat vahidi ölçüsünü (MTU) aşdıqda paketlərin parçalanması səbəbindən (şəbəkə MTU-dan çox olan paketi başlıqlarını təkrarlayaraq ikiyə bölməyi bacarırsa). Dördüncüsü, şifrələmə qurğuları arasında şəbəkədə əlavə xidmət (nəzarət) trafikinin yaranması ilə əlaqədar (açar mübadiləsi, tunel quraşdırılması və s. üçün). Kanal tutumunun məhdud olduğu yerlərdə aşağı yerüstü yük vacibdir. Bu, xüsusilə kiçik paketlərdən gələn trafikdə, məsələn, səsdə aydın görünür - burada əlavə xərclər kanal sürətinin yarısından çoxunu "yeyə bilər"!

Ethernet Şifrələmə Cihazlarını necə qiymətləndirmək və müqayisə etmək olar
Ötürmə qabiliyyəti

Nəhayət, daha çox var ləngimə təqdim etdi – şəbəkənin şifrlənməsi olmadan və şifrələmə ilə ötürülməsi arasında şəbəkə gecikməsində (məlumatların şəbəkəyə daxil olmasından onu tərk etməsinə qədər keçən vaxt) fərq (saniyənin fraksiyaları ilə). Ümumiyyətlə, şəbəkənin gecikmə müddəti (“gecikmə”) nə qədər az olarsa, şifrələmə cihazları tərəfindən təqdim edilən gecikmə bir o qədər kritik olur. Gecikmə şifrələmə əməliyyatının özü (şifrələmə alqoritmindən, blok uzunluğundan və şifrənin iş rejimindən, həmçinin proqram təminatında həyata keçirilməsinin keyfiyyətindən asılı olaraq) və şəbəkə paketinin cihazda emalı ilə təqdim olunur. . Təqdim olunan gecikmə həm paketin işlənməsi rejimindən (keçid və ya saxlama və ötürmə), həm də platformanın performansından asılıdır (FPGA və ya ASIC-də aparat tətbiqi ümumiyyətlə CPU-da proqram təminatının tətbiqindən daha sürətlidir). L2/L3 şifrələmə cihazlarının tez-tez birləşdiyinə görə L4 şifrələməsi demək olar ki, həmişə L3 və ya L4 şifrələməsindən daha az gecikməyə malikdir. Məsələn, FPGA-larda tətbiq olunan və L2-də şifrələnən yüksək sürətli Ethernet şifrələyiciləri ilə şifrələmə əməliyyatı ilə bağlı gecikmə olduqca kiçik olur - bəzən bir cüt cihazda şifrələmə aktiv olduqda, onların təqdim etdiyi ümumi gecikmə hətta azalır! Aşağı gecikmə, hər kilometrə təxminən 5 μs olan yayılma gecikməsi də daxil olmaqla ümumi kanal gecikmələri ilə müqayisə oluna bilən hallarda vacibdir. Yəni deyə bilərik ki, şəhər miqyaslı şəbəkələr üçün (on kilometrlərlə) mikrosaniyələr çox şey həll edə bilər. Məsələn, verilənlər bazasının sinxron replikasiyası, yüksək tezlikli ticarət, eyni blokçeyn üçün.

Ethernet Şifrələmə Cihazlarını necə qiymətləndirmək və müqayisə etmək olar
Təqdim olunan gecikmə

Ölçeklenebilirlik

Böyük paylanmış şəbəkələrə minlərlə qovşaq və şəbəkə qurğuları, yüzlərlə yerli şəbəkə seqmentləri daxil ola bilər. Şifrələmə həllərinin paylanmış şəbəkənin ölçüsünə və topologiyasına əlavə məhdudiyyətlər qoymaması vacibdir. Bu, ilk növbədə host və şəbəkə ünvanlarının maksimum sayına aiddir. Bu cür məhdudiyyətlərə, məsələn, çoxnöqtəli şifrələnmiş şəbəkə topologiyası (müstəqil təhlükəsiz bağlantılar və ya tunellər ilə) və ya seçmə şifrələmə (məsələn, protokol nömrəsi və ya VLAN ilə) həyata keçirilərkən rast gəlinə bilər. Bu halda şəbəkə ünvanları (MAC, IP, VLAN ID) cərgə sayının məhdud olduğu cədvəldə açar kimi istifadə olunursa, bu məhdudiyyətlər burada görünür.

Bundan əlavə, böyük şəbəkələr çox vaxt bir neçə struktur təbəqəyə, o cümlədən əsas şəbəkəyə malikdir və onların hər biri öz ünvanlama sxemini və öz marşrutlaşdırma siyasətini həyata keçirir. Bu yanaşmanı həyata keçirmək üçün xüsusi çərçivə formatları (məsələn, Q-in-Q və ya MAC-in-MAC kimi) və marşrut təyinetmə protokollarından tez-tez istifadə olunur. Bu cür şəbəkələrin qurulmasına mane olmamaq üçün şifrələmə cihazları bu cür çərçivələri düzgün idarə etməlidir (yəni bu mənada miqyaslılıq uyğunluq demək olacaq - aşağıda daha ətraflı).

Esneklik

Burada müxtəlif konfiqurasiyaların, əlaqə sxemlərinin, topologiyaların və digər şeylərin dəstəklənməsindən danışırıq. Məsələn, Carrier Ethernet texnologiyalarına əsaslanan kommutasiya edilmiş şəbəkələr üçün bu, müxtəlif növ virtual əlaqələrə (E-Line, E-LAN, E-Tree), müxtəlif xidmət növlərinə (həm port, həm də VLAN vasitəsilə) və müxtəlif nəqliyyat texnologiyalarına dəstək deməkdir. (onlar artıq yuxarıda sadalanıb). Yəni, cihaz həm xətti (“nöqtədən nöqtəyə”), həm də çoxnöqtəli rejimlərdə işləməli, müxtəlif VLAN-lar üçün ayrıca tunellər qurmalı və təhlükəsiz kanal daxilində paketlərin sıradankənar çatdırılmasına imkan verməlidir. Müxtəlif şifrə rejimlərini (o cümlədən məzmunun autentifikasiyası ilə və ya olmayan) və müxtəlif paket ötürmə rejimlərini seçmək imkanı cari şərtlərdən asılı olaraq güc və performans arasında tarazlıq yaratmağa imkan verir.

Həm avadanlıqları bir təşkilata məxsus olan (və ya ona icarəyə verilmiş) özəl şəbəkələri, həm də müxtəlif seqmentləri müxtəlif şirkətlər tərəfindən idarə olunan operator şəbəkələrini dəstəkləmək də vacibdir. Həll həm daxili, həm də üçüncü tərəf (idarə olunan xidmət modelindən istifadə etməklə) idarə etməyə imkan verirsə, yaxşıdır. Operator şəbəkələrində digər mühüm funksiya, trafiki eyni şifrələmə cihazları dəstindən keçən fərdi müştərilərin (abunəçilərin) kriptoqrafik izolyasiyası şəklində çoxlu icarəyə (müxtəlif müştərilər tərəfindən paylaşma) dəstəkdir. Bu, adətən, hər bir müştəri üçün ayrıca açar və sertifikat dəstlərinin istifadəsini tələb edir.

Müəyyən bir ssenari üçün cihaz satın alınarsa, bütün bu xüsusiyyətlər çox vacib olmaya bilər - sadəcə cihazın hazırda sizə lazım olanı dəstəklədiyinə əmin olmalısınız. Ancaq gələcək ssenariləri dəstəkləmək üçün bir həll "böyümək üçün" alınırsa və "korporativ standart" kimi seçilirsə, çeviklik artıq olmaz - xüsusən də müxtəlif təchizatçıların cihazlarının qarşılıqlı fəaliyyətinə məhdudiyyətlər nəzərə alınmaqla ( bu barədə daha ətraflı aşağıda).

Sadəlik və rahatlıq

Xidmətin asanlığı da çoxfaktorlu anlayışdır. Təxminən deyə bilərik ki, bu, həyat dövrünün müxtəlif mərhələlərində həlli dəstəkləmək üçün tələb olunan müəyyən bir ixtisasa sahib mütəxəssislərin sərf etdiyi ümumi vaxtdır. Heç bir xərc yoxdursa və quraşdırma, konfiqurasiya və istismar tamamilə avtomatikdirsə, o zaman xərclər sıfırdır və rahatlıq mütləqdir. Təbii ki, bu real dünyada baş vermir. Ağlabatan yaxınlaşma bir modeldir "tel üzərində düyün" (məftildə çarpma) və ya şəffaf əlaqə, burada şifrələmə cihazlarının əlavə edilməsi və söndürülməsi şəbəkə konfiqurasiyasında heç bir əl ilə və ya avtomatik dəyişikliklər tələb etmir. Eyni zamanda, həllin saxlanması sadələşdirilir: şifrələmə funksiyasını etibarlı şəkildə yandıra və söndürə bilərsiniz və lazım olduqda cihazı şəbəkə kabeli ilə "yandan" keçə bilərsiniz (yəni birbaşa şəbəkə avadanlığının portlarını birləşdirin. bağlı idi). Düzdür, bir çatışmazlıq var - təcavüzkar da eyni şeyi edə bilər. "Bir tel üzərində düyün" prinsipini həyata keçirmək üçün təkcə trafiki nəzərə almaq lazımdır məlumat qatıLakin nəzarət və idarəetmə təbəqələri – cihazlar onlar üçün şəffaf olmalıdır. Buna görə də, bu cür trafik yalnız şifrələmə cihazları arasında şəbəkədə bu cür trafikin alıcıları olmadıqda şifrələnə bilər, çünki atılırsa və ya şifrələnirsə, şifrələməni aktivləşdirdiyiniz və ya söndürdüyünüz zaman şəbəkə konfiqurasiyası dəyişə bilər. Şifrələmə cihazı fiziki səviyyə siqnalı üçün də şəffaf ola bilər. Xüsusilə, siqnal itirildikdə, bu itkini (yəni ötürücülərini söndürün) siqnal istiqamətində irəli-geri (“özü üçün”) ötürməlidir.

İnformasiya təhlükəsizliyi və İT departamentləri, xüsusən də şəbəkə şöbəsi arasında səlahiyyət bölgüsündə dəstək də vacibdir. Şifrələmə həlli təşkilatın girişə nəzarət və audit modelini dəstəkləməlidir. Rutin əməliyyatları yerinə yetirmək üçün müxtəlif şöbələr arasında qarşılıqlı əlaqəyə ehtiyac minimuma endirilməlidir. Buna görə də, yalnız şifrələmə funksiyalarını dəstəkləyən və şəbəkə əməliyyatları üçün mümkün qədər şəffaf olan ixtisaslaşmış cihazlar üçün rahatlıq baxımından bir üstünlük var. Sadə dillə desək, informasiya təhlükəsizliyi işçilərinin şəbəkə parametrlərini dəyişdirmək üçün “şəbəkə mütəxəssisləri” ilə əlaqə saxlamağa heç bir əsası olmamalıdır. Və onlar, öz növbəsində, şəbəkəni saxlayarkən şifrələmə parametrlərini dəyişdirməyə ehtiyac duymamalıdırlar.

Başqa bir amil nəzarət vasitələrinin imkanları və rahatlığıdır. Onlar vizual, məntiqli olmalı, parametrlərin idxal-ixracını, avtomatlaşdırmanı və s. Dərhal hansı idarəetmə seçimlərinin mövcud olduğuna (adətən öz idarəetmə mühiti, veb interfeysi və əmr xətti) və onların hər birinin hansı funksiyalar dəstinə (məhdudiyyətlər var) diqqət yetirməlisiniz. Əhəmiyyətli bir funksiya dəstəkdir qrupdan kənar (diapazondan kənar) nəzarət, yəni xüsusi idarəetmə şəbəkəsi vasitəsilə və qrupda (in-band) nəzarət, yəni faydalı trafikin ötürüldüyü ümumi şəbəkə vasitəsilə. İdarəetmə alətləri informasiya təhlükəsizliyi insidentləri də daxil olmaqla, bütün anormal vəziyyətləri siqnal etməlidir. Rutin, təkrarlanan əməliyyatlar avtomatik olaraq yerinə yetirilməlidir. Bu, ilk növbədə əsas idarəetmə ilə bağlıdır. Onlar avtomatik olaraq yaradılmalı/paylanılmalıdır. PKI dəstəyi böyük bir artıdır.

Uyumluluk

Yəni cihazın şəbəkə standartlarına uyğunluğu. Üstəlik, bu, təkcə IEEE kimi nüfuzlu təşkilatlar tərəfindən qəbul edilmiş sənaye standartları deyil, həm də Cisco kimi sənaye liderlərinin mülkiyyət protokolları deməkdir. Uyğunluğu təmin etməyin iki əsas yolu var: ya vasitəsilə şəffaflıq, və ya vasitəsilə açıq dəstək protokollar (şifrələmə cihazı müəyyən bir protokol üçün şəbəkə qovşaqlarından birinə çevrildikdə və bu protokolun nəzarət trafikini emal etdikdə). Şəbəkələrlə uyğunluq nəzarət protokollarının həyata keçirilməsinin tamlığından və düzgünlüyündən asılıdır. PHY səviyyəsi (sürət, ötürmə mühiti, kodlaşdırma sxemi), istənilən MTU ilə müxtəlif formatlı Ethernet çərçivələri, müxtəlif L3 xidmət protokolları (ilk növbədə TCP/IP ailəsi) üçün müxtəlif variantları dəstəkləmək vacibdir.

Şəffaflıq mutasiya mexanizmləri (şifrələyicilər arasında trafikdə açıq başlıqların məzmununun müvəqqəti dəyişdirilməsi), atlama (ayrı-ayrı paketlər şifrələnməmiş qaldıqda) və şifrələmənin başlanğıcının girintisi (paketlərin adətən şifrələnmiş sahələri şifrələnmədikdə) mexanizmləri vasitəsilə təmin edilir.

Ethernet Şifrələmə Cihazlarını necə qiymətləndirmək və müqayisə etmək olar
Şəffaflıq necə təmin edilir

Buna görə də, həmişə müəyyən bir protokol üçün dəstəyin necə təmin olunduğunu yoxlayın. Çox vaxt şəffaf rejimdə dəstək daha rahat və etibarlıdır.

Qarşılıqlı işləklik

Bu, həm də uyğunluqdur, lakin fərqli mənada, yəni digər istehsalçıların da daxil olmaqla, şifrələmə cihazlarının digər modelləri ilə birlikdə işləmək imkanı. Şifrələmə protokollarının standartlaşdırılması vəziyyətindən çox şey asılıdır. L1-də sadəcə olaraq ümumi qəbul edilmiş şifrələmə standartları yoxdur.

Ethernet şəbəkələrində L2 şifrələməsi üçün 802.1ae (MACsec) standartı mövcuddur, lakin o, istifadə etmir. kəsişmə (uçdan-uca) və interport, "hop-by-hop" şifrələməsi və orijinal versiyasında paylanmış şəbəkələrdə istifadə üçün yararsızdır, buna görə də bu məhdudiyyəti aradan qaldıran mülkiyyət genişləndirmələri ortaya çıxdı (əlbəttə ki, digər istehsalçıların avadanlıqları ilə qarşılıqlı əlaqə səbəbindən). Düzdür, 2018-ci ildə paylanmış şəbəkələrə dəstək 802.1ae standartına əlavə edildi, lakin hələ də GOST şifrələmə alqoritm dəstləri üçün dəstək yoxdur. Buna görə də, mülkiyyətli, qeyri-standart L2 şifrələmə protokolları, bir qayda olaraq, daha yüksək səmərəlilik (xüsusən, daha aşağı bant genişliyi) və çeviklik (şifrələmə alqoritmlərini və rejimlərini dəyişdirmək imkanı) ilə fərqlənir.

Daha yüksək səviyyələrdə (L3 və L4) tanınmış standartlar var, ilk növbədə IPsec və TLS, lakin burada da o qədər də sadə deyil. Fakt budur ki, bu standartların hər biri həyata keçirilməsi üçün tələb olunan və ya isteğe bağlı olan müxtəlif versiyaları və genişləndirmələri olan protokollar toplusudur. Bundan əlavə, bəzi istehsalçılar L3/L4-də öz xüsusi şifrələmə protokollarından istifadə etməyi üstün tuturlar. Buna görə də, əksər hallarda tam qarşılıqlı fəaliyyətə etibar etməməlisiniz, lakin ən azı eyni istehsalçının müxtəlif modelləri və müxtəlif nəsilləri arasında qarşılıqlı əlaqənin təmin edilməsi vacibdir.

Etibarlılıq

Müxtəlif həlləri müqayisə etmək üçün ya uğursuzluqlar arasındakı orta vaxtdan, ya da mövcudluq faktorundan istifadə edə bilərsiniz. Əgər bu rəqəmlər mövcud deyilsə (yaxud onlara inam yoxdursa), onda keyfiyyətlə müqayisə aparmaq olar. Rahat idarəetmə ilə cihazların üstünlüyü (konfiqurasiya xətaları riski azdır), ixtisaslaşmış şifrələyicilər (eyni səbəbdən), həmçinin nasazlığı aşkar etmək və aradan qaldırmaq üçün minimum vaxta malik həllər, o cümlədən bütün qovşaqların və qovşaqların "isti" ehtiyat nüsxəsini çıxarmaq vasitələri olacaq. cihazlar.

dəyəri

Xərclərə gəldikdə, əksər İT həlləri kimi, sahibliyin ümumi dəyərini müqayisə etmək məntiqlidir. Bunu hesablamaq üçün təkəri yenidən ixtira etmək lazım deyil, lakin hər hansı uyğun metodologiyadan (məsələn, Gartner-dən) və hər hansı bir kalkulyatordan (məsələn, TCO-nu hesablamaq üçün təşkilatda artıq istifadə olunan) istifadə edin. Aydındır ki, şəbəkə şifrələmə həlli üçün ümumi sahiblik dəyəri ibarətdir birbaşa həllin özünün satın alınması və ya icarəsi xərcləri, avadanlığın yerləşdirilməsi üçün infrastruktur və yerləşdirmə, idarəetmə və texniki xidmət xərcləri (istər evdə, istərsə də üçüncü tərəf xidmətləri şəklində), habelə dolayı həllin dayandırılmasından yaranan xərclər (son istifadəçi məhsuldarlığının itirilməsi nəticəsində). Yəqin ki, yalnız bir incəlik var. Həllin performansa təsiri müxtəlif yollarla nəzərdən keçirilə bilər: ya məhsuldarlığın itirilməsi nəticəsində yaranan dolayı xərclər, ya da şəbəkə alətlərinin alınması/təkmilləşdirilməsi və saxlanması üçün “virtual” birbaşa xərclər kimi şifrələmə. İstənilən halda, kifayət qədər dəqiqliklə hesablanması çətin olan məsrəflər ən yaxşı hesablamadan kənarda qalır: bu yolla son dəyərə daha çox inam yaranacaq. Həmişə olduğu kimi, hər halda, TCO tərəfindən fərqli cihazları onların istifadəsinin müəyyən bir ssenarisi üçün müqayisə etmək mantiqidir - real və ya tipik.

Davamlılıq

Və son xüsusiyyət həllin davamlılığıdır. Əksər hallarda davamlılıq yalnız müxtəlif həlləri müqayisə etməklə keyfiyyətcə qiymətləndirilə bilər. Unutmamalıyıq ki, şifrələmə cihazları təkcə bir vasitə deyil, həm də qorunma obyektidir. Onlar müxtəlif təhlükələrə məruz qala bilərlər. Ön planda məxfiliyin pozulması, mesajların çoxaldılması və dəyişdirilməsi ilə bağlı təhdidlər dayanır. Bu təhdidlər şifrənin və ya onun ayrı-ayrı rejimlərinin zəiflikləri, şifrələmə protokollarındakı boşluqlar vasitəsilə (o cümlədən əlaqənin qurulması və açarların yaradılması/paylanması mərhələlərində) həyata keçirilə bilər. Üstünlük, şifrələmə alqoritmini dəyişdirməyə və ya şifrə rejimini dəyişdirməyə imkan verən həllər (ən azı bir proqram yeniləməsi vasitəsilə), ən tam şifrələməni təmin edən, təcavüzkardan təkcə istifadəçi məlumatlarını deyil, həm də ünvan və digər xidmət məlumatlarını gizlədən həllər üçün olacaqdır. , eləcə də təkcə şifrələməni deyil, həm də mesajları təkrar istehsal və modifikasiyadan qoruyan texniki həllər. Standartlarda təsbit edilmiş bütün müasir şifrələmə alqoritmləri, elektron imzalar, açarların yaradılması və s. üçün gücün eyni olduğunu qəbul etmək olar (əks halda kriptoqrafiyanın vəhşiliyində sadəcə olaraq itə bilərsiniz). Bunlar mütləq GOST alqoritmləri olmalıdırmı? Burada hər şey sadədir: tətbiq ssenarisi CIPF üçün FSB sertifikatını tələb edirsə (və Rusiyada bu, ən çox belədir; əksər şəbəkə şifrələmə ssenariləri üçün bu doğrudur), onda biz yalnız sertifikatlaşdırılmışlar arasında seçim edirik. Əgər yoxsa, sertifikatı olmayan cihazları nəzərdən keçirməyin mənası yoxdur.

Başqa bir təhlükə sındırma təhlükəsi, cihazlara icazəsiz giriş (o cümlədən işin xaricində və daxilində fiziki giriş yolu ilə). Təhlükə vasitəsilə həyata keçirilə bilər
icrada zəifliklər - hardware və kodda. Buna görə də, şəbəkə vasitəsilə minimal "hücum səthi" olan, fiziki girişdən qorunan qapaqlı həllər (müdaxilə sensorları, zonddan qorunma və qapaq açıldıqda əsas məlumatların avtomatik sıfırlanması ilə), eləcə də proqram təminatının yenilənməsinə imkan verən həllər olacaq. kodda zəifliyin məlum olduğu halda üstünlük. Başqa bir yol var: əgər müqayisə edilən bütün cihazlarda FSB sertifikatları varsa, o zaman sertifikatın verildiyi CIPF sinfi sındırmaya qarşı müqavimətin göstəricisi sayıla bilər.

Nəhayət, başqa bir təhlükə növü quraşdırma və istismar zamanı səhvlərdir, ən təmiz formada insan amili. Bu, çox vaxt təcrübəli “şəbəkə mütəxəssislərinə” yönəlmiş və “adi”, ümumi informasiya təhlükəsizliyi mütəxəssisləri üçün çətinlik yarada bilən konverged həllər üzərində ixtisaslaşmış şifrələyicilərin daha bir üstünlüyünü göstərir.

Yekunlaşdırma

Prinsipcə, burada müxtəlif cihazları müqayisə etmək üçün bir növ inteqral göstərici təklif etmək olar, məsələn,

$$display$$K_j=∑p_i r_{ij}$$display$$

burada p indikatorun çəkisi, r isə cihazın bu göstəriciyə görə dərəcəsidir və yuxarıda sadalanan xüsusiyyətlərdən hər hansı birini “atomik” göstəricilərə bölmək olar. Belə bir düstur, məsələn, əvvəlcədən razılaşdırılmış qaydalara uyğun olaraq tender təkliflərini müqayisə edərkən faydalı ola bilər. Ancaq sadə bir masa ilə əldə edə bilərsiniz

Xarakteristikası
Cihaz 1
Cihaz 2
...
Cihaz N

Ötürmə qabiliyyəti
+
+

+ + +

Yerüstü məsrəflər
+
++

+ + +

Gecikmə
+
+

++

Ölçeklenebilirlik
+ + +
+

+ + +

Esneklik
+ + +
++

+

Qarşılıqlı işləklik
++
+

+

Uyumluluk
++
++

+ + +

Sadəlik və rahatlıq
+
+

++

xətaya dözümlülük
+ + +
+ + +

++

dəyəri
++
+ + +

+

Davamlılıq
++
++

+ + +

Suallara və konstruktiv tənqidlərə cavab verməkdən məmnun olaram.

Mənbə: www.habr.com

Добавить комментарий