Napisao sam ovu recenziju (ili, ako želite, vodič za poređenje) kada sam imao zadatak da uporedim nekoliko uređaja različitih proizvođača. Osim toga, ovi uređaji su pripadali različitim klasama. Morao sam razumjeti arhitekturu i karakteristike svih ovih uređaja i napraviti “koordinatni sistem” za poređenje. Biće mi drago ako moja recenzija nekome pomogne:
- Razumjeti opise i specifikacije uređaja za šifriranje
- Razlikujte „papirne“ karakteristike od onih koje su zaista važne u stvarnom životu
- Idite dalje od uobičajenog skupa dobavljača i uključite u razmatranje sve proizvode koji su prikladni za rješavanje problema
- Postavljajte prava pitanja tokom pregovora
- Sastaviti tenderske uslove (RFP)
- Shvatite koje karakteristike će se morati žrtvovati ako se odabere određeni model uređaja
Šta se može proceniti
U principu, pristup je primjenjiv na sve samostalne uređaje pogodne za šifriranje mrežnog prometa između udaljenih Ethernet segmenata (cross-site enkripcija). Odnosno, „kutije“ u posebnom slučaju (u redu, ovde ćemo takođe uključiti blejdove/module za šasiju), koji su povezani preko jednog ili više Ethernet portova na lokalnu (kampus) Ethernet mrežu sa nešifrovanim saobraćajem, i preko drugi port(ovi) na kanal/mrežu preko kojih se već šifrovani saobraćaj prenosi na druge, udaljene segmente. Takvo rješenje za enkripciju može se implementirati u privatnu ili operatersku mrežu kroz različite vrste "transporta" (tamno vlakno, oprema za podjelu frekvencija, komutirani Ethernet, kao i "pseudožice" položene kroz mrežu s različitom arhitekturom rutiranja, najčešće MPLS ), sa ili bez VPN tehnologije.
Mrežno šifriranje u distribuiranoj Ethernet mreži
Sami uređaji mogu biti bilo koji specijalizovana (namijenjen isključivo za enkripciju) ili multifunkcionalni (hibrid, konvergentan), odnosno obavljanje drugih funkcija (na primjer, zaštitni zid ili ruter). Različiti proizvođači klasifikuju svoje uređaje u različite klase/kategorije, ali to nije bitno – važno je samo da li mogu da šifruju saobraćaj na različitim lokacijama i koje karakteristike imaju.
Za svaki slučaj, podsjećam da su “mrežna enkripcija”, “šifriranje saobraćaja”, “šifriranje” neformalni termini, iako se često koriste. Najvjerovatnije ih nećete naći u ruskim propisima (uključujući one koji uvode GOST-ove).
Nivoi šifriranja i načini prijenosa
Prije nego što počnemo da opisujemo same karakteristike koje će se koristiti za evaluaciju, prvo ćemo morati razumjeti jednu važnu stvar, a to je „nivo šifriranja“. Primijetio sam da se često spominje kako u službenim dokumentima dobavljača (u opisima, priručnicima, itd.), tako i u neformalnim diskusijama (na pregovorima, obukama). Odnosno, izgleda da svi dobro znaju o čemu pričamo, ali sam lično bio svjedok neke zabune.
Dakle, šta je "nivo šifriranja"? Jasno je da je riječ o broju sloja referentnog mrežnog modela OSI/ISO na kojem dolazi do enkripcije. Čitamo GOST R ISO 7498-2–99 „Informaciona tehnologija. Međusobno povezivanje otvorenih sistema. Osnovni referentni model. Dio 2. Arhitektura informacione sigurnosti.” Iz ovog dokumenta se može shvatiti da je nivo usluge povjerljivosti (jedan od mehanizama za pružanje kojeg je enkripcija) nivo protokola, čiji je blok podataka usluge („korisno opterećenje“, korisnički podaci) šifriran. Kako piše i u standardu, usluga se može pružati kako na istom nivou, "sam od sebe", tako i uz pomoć nižeg nivoa (ovako se npr. najčešće implementira u MACsec-u) .
U praksi su moguća dva načina prenošenja šifriranih informacija preko mreže (odmah mi pada na pamet IPsec, ali isti načini se nalaze iu drugim protokolima). IN transport (ponekad se naziva i izvorni) način rada je samo šifriran usluga blok podataka, a zaglavlja ostaju „otvorena“, nešifrovana (ponekad se dodaju dodatna polja sa servisnim informacijama algoritma za šifrovanje, a druga polja se modifikuju i ponovo izračunavaju). IN tunel isti način svi protokol blok podataka (odnosno sam paket) je šifrovan i enkapsuliran u servisni blok podataka istog ili višeg nivoa, odnosno okružen je novim zaglavljima.
Sam nivo enkripcije u kombinaciji sa nekim načinom prenosa nije ni dobar ni loš, pa se ne može reći, na primer, da je L3 u transportnom režimu bolji od L2 u tunelskom režimu. Jednostavno, mnoge karakteristike po kojima se uređaji ocjenjuju zavise od njih. Na primjer, fleksibilnost i kompatibilnost. Za rad u mreži L1 (prenos bitnog toka), L2 (promjena okvira) i L3 (usmjeravanje paketa) u transportnom načinu, potrebna su vam rješenja koja šifriraju na istom ili višem nivou (u suprotnom će informacije o adresi biti šifrirane i podaci će ne stigne na svoje željeno odredište), a tunelski način prevazilazi ovo ograničenje (iako žrtvuje druge važne karakteristike).
Transportni i tunelski L2 načini šifriranja
Sada pređimo na analizu karakteristika.
Produktivnost
Za mrežno šifriranje, performanse su složeni, višedimenzionalni koncept. Dešava se da je određeni model, iako je superioran u jednoj osobini performansi, inferioran u drugoj. Stoga je uvijek korisno razmotriti sve komponente performansi enkripcije i njihov utjecaj na performanse mreže i aplikacija koje je koriste. Ovdje možemo povući analogiju s automobilom, za koji nije važna samo maksimalna brzina, već i vrijeme ubrzanja do "stotine", potrošnja goriva i tako dalje. Kompanije dobavljača i njihovi potencijalni kupci posvećuju veliku pažnju karakteristikama performansi. Po pravilu, uređaji za šifriranje se rangiraju na osnovu performansi u linijama dobavljača.
Jasno je da performanse zavise i od složenosti mrežnih i kriptografskih operacija koje se izvode na uređaju (uključujući koliko dobro ovi zadaci mogu biti paralelizirani i cijevni), kao i od performansi hardvera i kvaliteta firmvera. Stoga stariji modeli koriste produktivniji hardver, ponekad ga je moguće opremiti dodatnim procesorima i memorijskim modulima. Postoji nekoliko pristupa implementaciji kriptografskih funkcija: na centralnoj procesorskoj jedinici opće namjene (CPU), specifičnom integriranom kolu (ASIC) ili logičkom integriranom kolu koje se može programirati na terenu (FPGA). Svaki pristup ima svoje prednosti i nedostatke. Na primjer, CPU može postati usko grlo kod enkripcije, posebno ako procesor nema specijalizirane instrukcije koje podržavaju algoritam šifriranja (ili ako se ne koriste). Specijaliziranim čipovima nedostaje fleksibilnost; nije ih uvijek moguće "promijeniti" da bi se poboljšale performanse, dodale nove funkcije ili eliminisale ranjivosti. Osim toga, njihova upotreba postaje isplativa samo uz velike količine proizvodnje. Zato je "zlatna sredina" postala toliko popularna - upotreba FPGA (FPGA na ruskom). Na FPGA se izrađuju takozvani kripto akceleratori - ugrađeni ili plug-in specijalizirani hardverski moduli za podršku kriptografskim operacijama.
Od kada govorimo o mreže enkripcije, logično je da se performanse rješenja mjere u istim količinama kao i kod ostalih mrežnih uređaja – propusnost, postotak gubitka okvira i latencija. Ove vrijednosti su definirane u RFC 1242. Inače, u ovom RFC-u ništa ne piše o često spominjanoj varijaciji kašnjenja (jitteru). Kako izmjeriti ove količine? Nisam pronašao metodologiju odobrenu ni u jednom standardu (zvaničnom ili nezvaničnom kao što je RFC) posebno za mrežno šifriranje. Bilo bi logično koristiti metodologiju za mrežne uređaje sadržanu u standardu RFC 2544. Mnogi dobavljači je slijede – mnogi, ali ne svi. Na primjer, šalju probni promet samo u jednom smjeru umjesto u oba, na primjer preporučeno standard. U svakom slučaju.
Mjerenje performansi uređaja za mrežno šifriranje i dalje ima svoje karakteristike. Prvo, ispravno je izvršiti sva mjerenja za par uređaja: iako su algoritmi šifriranja simetrični, kašnjenja i gubici paketa tokom enkripcije i dešifriranja neće nužno biti jednaki. Drugo, ima smisla izmjeriti delta, utjecaj mrežne enkripcije na konačne performanse mreže, upoređujući dvije konfiguracije: bez uređaja za šifriranje i sa njima. Ili, kao što je slučaj sa hibridnim uređajima, koji kombinuju nekoliko funkcija pored mrežnog šifrovanja, sa isključenim i uključenim šifrovanjem. Ovaj uticaj može biti različit i zavisi od šeme povezivanja uređaja za šifrovanje, od režima rada i konačno, od prirode saobraćaja. Konkretno, mnogi parametri performansi zavise od dužine paketa, zbog čega se za poređenje performansi različitih rješenja često koriste grafikoni ovih parametara u zavisnosti od dužine paketa ili se koristi IMIX - distribucija prometa po paketu dužine, što približno odražava stvarnu. Ako uporedimo istu osnovnu konfiguraciju bez enkripcije, možemo uporediti rješenja za mrežno šifriranje implementirana na različite načine, a da ne ulazimo u ove razlike: L2 sa L3, pohrani-i-proslijedi ) sa presekom, specijalizovano sa konvergentnim, GOST sa AES-om i tako dalje.
Dijagram povezivanja za testiranje performansi
Prva karakteristika na koju ljudi obraćaju pažnju je „brzina“ uređaja za šifrovanje, tj propusni opseg (propusnost) njegovih mrežnih interfejsa, brzina protoka bitova. Određeno je mrežnim standardima koje podržavaju sučelja. Za Ethernet, uobičajeni brojevi su 1 Gbps i 10 Gbps. Ali, kao što znamo, u bilo kojoj mreži maksimalno teoretski propusknaâ sposobnost (propusnost) na svakom od njegovih nivoa uvijek je manji propusni opseg: dio propusnog opsega "pojedu" interframe intervali, servisna zaglavlja itd. Ako je uređaj sposoban primati, obrađivati (u našem slučaju šifrirati ili dešifrirati) i prenositi promet punom brzinom mrežnog sučelja, odnosno s maksimalnom teoretskom propusnošću za ovaj nivo mrežnog modela, onda se kaže da radim linijskom brzinom. Da biste to učinili, potrebno je da uređaj ne gubi ili ne odbacuje pakete bilo koje veličine i na bilo kojoj frekvenciji. Ako uređaj za šifriranje ne podržava rad pri brzini linije, tada je njegova maksimalna propusnost obično navedena u istim gigabitima u sekundi (ponekad označavajući dužinu paketa - što su paketi kraći, to je obično niža propusnost). Vrlo je važno shvatiti da je maksimalna propusnost maksimalna nema gubitka (čak i ako uređaj može da "pumpa" saobraćaj kroz sebe većom brzinom, ali istovremeno gubi neke pakete). Također, imajte na umu da neki dobavljači mjere ukupnu propusnost između svih parova portova, tako da ovi brojevi ne znače mnogo ako sav šifrirani promet prolazi kroz jedan port.
Gdje je posebno važno raditi brzinom linije (ili, drugim riječima, bez gubitka paketa)? U vezama velike propusnosti i velike latencije (kao što je satelit), gdje se mora postaviti velika veličina TCP prozora da bi se održale velike brzine prijenosa i gdje gubitak paketa dramatično smanjuje performanse mreže.
Ali ne koristi se sav propusni opseg za prijenos korisnih podataka. Moramo računati sa tzv režijski troškovi (overhead) propusni opseg. Ovo je dio propusnosti uređaja za šifriranje (kao postotak ili bajtova po paketu) koji se zapravo troši (ne može se koristiti za prijenos podataka aplikacije). Režijski troškovi nastaju, prije svega, zbog povećanja veličine (dodavanja, „punjenja“) polja podataka u šifriranim mrežnim paketima (ovisno o algoritmu šifriranja i njegovom načinu rada). Drugo, zbog povećanja dužine zaglavlja paketa (tunelski način rada, servisno umetanje protokola za šifriranje, umetanje simulacije itd. ovisno o protokolu i načinu rada šifre i načina prijenosa) - obično su ovi režijski troškovi najvažniji, a oni prvo obraćaju pažnju. Treće, zbog fragmentacije paketa kada je maksimalna veličina jedinice podataka (MTU) premašena (ako je mreža u mogućnosti da podijeli paket koji premašuje MTU na dva, duplirajući njegova zaglavlja). Četvrto, zbog pojave dodatnog servisnog (kontrolnog) saobraćaja na mreži između uređaja za šifrovanje (za razmjenu ključeva, instalaciju tunela i sl.). Niski troškovi su važni tamo gdje je kapacitet kanala ograničen. Ovo je posebno vidljivo u saobraćaju iz malih paketa, na primjer, glasovnih – gdje režijski troškovi mogu „pojesti“ više od polovine brzine kanala!
Propusnost
Konačno, ima još uvedeno kašnjenje – razlika (u djelićima sekunde) u mrežnom kašnjenju (vrijeme koje je potrebno da podaci prođu od ulaska u mrežu do izlaska iz nje) između prijenosa podataka bez i sa mrežnom enkripcijom. Uopšteno govoreći, što je manja latencija (“latencija”) mreže, to kritičnije postaje kašnjenje koje unose uređaji za šifrovanje. Kašnjenje se unosi samom operacijom šifriranja (ovisno o algoritmu šifriranja, dužini bloka i načinu rada šifre, kao i o kvaliteti njegove implementacije u softveru), te obradom mrežnog paketa u uređaju. . Uvedeno kašnjenje zavisi i od načina obrade paketa (pass-through ili store-and-forward) i od performansi platforme (hardverska implementacija na FPGA ili ASIC-u je generalno brža od implementacije softvera na CPU). L2 enkripcija gotovo uvijek ima manje kašnjenje od L3 ili L4 enkripcije, zbog činjenice da su uređaji za šifriranje L3/L4 često konvergirani. Na primjer, sa brzim Ethernet enkriptorima implementiranim na FPGA i šifriranjem na L2, kašnjenje zbog operacije enkripcije je potpuno malo - ponekad kada je šifriranje omogućeno na par uređaja, ukupno kašnjenje koje oni uvode čak se smanjuje! Niska latencija je važna tamo gdje je uporediva sa ukupnim kašnjenjima kanala, uključujući kašnjenje širenja, koje je približno 5 μs po kilometru. Odnosno, možemo reći da za mreže urbanih razmera (prečnika desetina kilometara) mikrosekunde mogu mnogo odlučiti. Na primjer, za sinkronu replikaciju baze podataka, visokofrekventno trgovanje, isti blockchain.
Uvedeno kašnjenje
Skalabilnost
Velike distribuirane mreže mogu uključivati hiljade čvorova i mrežnih uređaja, stotine segmenata lokalne mreže. Važno je da rješenja za šifriranje ne nameću dodatna ograničenja na veličinu i topologiju distribuirane mreže. Ovo se prvenstveno odnosi na maksimalan broj host i mrežnih adresa. Takva ograničenja se mogu naići, na primjer, kada se implementira multipoint šifrirana mrežna topologija (sa nezavisnim sigurnim vezama ili tunelima) ili selektivno šifriranje (na primjer, brojem protokola ili VLAN). Ako se u ovom slučaju mrežne adrese (MAC, IP, VLAN ID) koriste kao ključevi u tabeli u kojoj je broj redova ograničen, tada se ova ograničenja pojavljuju ovdje.
Osim toga, velike mreže često imaju nekoliko strukturnih slojeva, uključujući osnovnu mrežu, od kojih svaki implementira svoju vlastitu šemu adresiranja i vlastitu politiku rutiranja. Za implementaciju ovog pristupa često se koriste posebni formati okvira (kao što su Q-in-Q ili MAC-in-MAC) i protokoli za određivanje rute. Kako ne bi ometali izgradnju takvih mreža, uređaji za šifriranje moraju ispravno rukovati takvim okvirima (to jest, u tom smislu, skalabilnost će značiti kompatibilnost - o tome više u nastavku).
Fleksibilnost
Ovdje govorimo o podršci raznim konfiguracijama, šemama povezivanja, topologijama i drugim stvarima. Na primjer, za komutirane mreže bazirane na Carrier Ethernet tehnologijama, to znači podršku za različite vrste virtualnih veza (E-Line, E-LAN, E-Tree), različite vrste usluga (i po portu i VLAN) i različite transportne tehnologije (već su gore navedeni). Odnosno, uređaj mora biti sposoban da radi i u linearnom (“od tačke do tačke”) iu multipoint modu, uspostavi odvojene tunele za različite VLAN-ove i dozvoli isporuku paketa van reda unutar sigurnog kanala. Mogućnost odabira različitih načina šifriranja (uključujući sa ili bez provjere autentičnosti sadržaja) i različitih načina prijenosa paketa omogućava vam da uspostavite ravnotežu između snage i performansi ovisno o trenutnim uvjetima.
Također je važno podržati kako privatne mreže, čija je oprema u vlasništvu jedne organizacije (ili joj je iznajmljena), tako i operaterske mreže čijim različitim segmentima upravljaju različite kompanije. Dobro je ako rješenje omogućava upravljanje i unutar kuće i od strane treće strane (koristeći model upravljane usluge). U mrežama operatera, još jedna važna funkcija je podrška za multi-tenancy (dijeljenje od strane različitih korisnika) u obliku kriptografske izolacije pojedinačnih korisnika (pretplatnika) čiji promet prolazi kroz isti skup uređaja za šifriranje. Ovo obično zahtijeva korištenje zasebnih setova ključeva i certifikata za svakog kupca.
Ako je uređaj kupljen za određeni scenario, onda sve ove karakteristike možda nisu od velike važnosti - samo trebate biti sigurni da uređaj podržava ono što vam je sada potrebno. Ali ako se rješenje kupi „za rast“, da podrži i buduće scenarije, i bude izabrano kao „korporativni standard“, onda fleksibilnost neće biti suvišna – posebno uzimajući u obzir ograničenja interoperabilnosti uređaja različitih proizvođača ( više o tome u nastavku).
Jednostavnost i praktičnost
Lakoća usluge je takođe multifaktorski koncept. Otprilike, možemo reći da je ovo ukupno vrijeme koje potroše stručnjaci određene kvalifikacije potrebno da podrže rješenje u različitim fazama njegovog životnog ciklusa. Ako nema troškova, a instalacija, konfiguracija i rad su potpuno automatski, onda su troškovi nula, a pogodnost apsolutna. Naravno, to se ne dešava u stvarnom svetu. Razumna aproksimacija je model "čvor na žici" (bump-in-the-wire), ili transparentna veza, u kojoj dodavanje i onemogućavanje uređaja za šifriranje ne zahtijeva nikakve ručne ili automatske promjene u mrežnoj konfiguraciji. Istovremeno, održavanje rješenja je pojednostavljeno: možete bezbedno uključiti i isključiti funkciju enkripcije, a ako je potrebno, jednostavno "zaobići" uređaj mrežnim kablom (odnosno direktno povezati one portove mrežne opreme na koje bilo je povezano). Istina, postoji jedan nedostatak - napadač može učiniti isto. Za implementaciju principa „čvor na žici“ potrebno je uzeti u obzir ne samo promet sloj podatakaAli slojevi kontrole i upravljanja – uređaji moraju biti transparentni za njih. Stoga se takav promet može šifrirati samo kada nema primatelja ovih vrsta prometa u mreži između uređaja za šifriranje, jer ako se odbaci ili šifrira, onda kada omogućite ili onemogućite enkripciju, konfiguracija mreže se može promijeniti. Uređaj za šifriranje također može biti transparentan za signalizaciju fizičkog sloja. Konkretno, kada se signal izgubi, on mora prenijeti ovaj gubitak (to jest, isključiti svoje odašiljače) naprijed-nazad („za sebe“) u smjeru signala.
Podrška u podjeli nadležnosti između odjela za sigurnost informacija i IT odjela, posebno odjela za mrežu, također je važna. Rešenje za šifrovanje mora podržavati organizacioni model kontrole pristupa i revizije. Treba minimizirati potrebu za interakcijom između različitih odjela za obavljanje rutinskih operacija. Stoga postoji prednost u smislu pogodnosti za specijalizirane uređaje koji podržavaju isključivo funkcije šifriranja i koji su što je moguće transparentniji za mrežne operacije. Jednostavno rečeno, zaposleni u informacijskoj sigurnosti ne bi trebali imati razloga da kontaktiraju „stručnjake za mrežu“ kako bi promijenili mrežne postavke. A oni, zauzvrat, ne bi trebali imati potrebu za promjenom postavki šifriranja prilikom održavanja mreže.
Drugi faktor su mogućnosti i praktičnost kontrola. Oni bi trebali biti vizualni, logični, omogućiti uvoz-izvoz postavki, automatizaciju itd. Trebali biste odmah obratiti pažnju na to koje su opcije upravljanja dostupne (obično vlastito okruženje za upravljanje, web interfejs i komandna linija) i koji skup funkcija svaka od njih ima (postoje ograničenja). Važna funkcija je podrška van opsega (vanpojasni) upravljanje, odnosno preko namjenske kontrolne mreže, i in-band (in-band) kontrola, odnosno preko zajedničke mreže kroz koju se prenosi koristan saobraćaj. Alati za upravljanje moraju signalizirati sve abnormalne situacije, uključujući incidente u vezi s informacijskom sigurnošću. Rutinske operacije koje se ponavljaju treba da se izvode automatski. Ovo se prvenstveno odnosi na upravljanje ključevima. Oni bi se trebali generirati/distribuirati automatski. PKI podrška je veliki plus.
kompatibilnost
Odnosno, kompatibilnost uređaja sa mrežnim standardima. Štaviše, to ne znači samo industrijske standarde koje su usvojile autoritativne organizacije kao što je IEEE, već i vlasničke protokole lidera u industriji, kao što je Cisco. Postoje dva glavna načina da se osigura kompatibilnost: bilo kroz transparentnost, ili kroz eksplicitna podrška protokoli (kada uređaj za šifriranje postane jedan od mrežnih čvorova za određeni protokol i obrađuje kontrolni promet ovog protokola). Kompatibilnost sa mrežama zavisi od kompletnosti i ispravnosti implementacije kontrolnih protokola. Važno je podržati različite opcije za PHY nivo (brzina, prenosni medij, šema kodiranja), Ethernet okvire različitih formata sa bilo kojim MTU, različite L3 servisne protokole (prvenstveno TCP/IP familija).
Transparentnost se osigurava kroz mehanizme mutacije (privremeno mijenjanje sadržaja otvorenih zaglavlja u prometu između enkriptora), preskakanja (kada pojedinačni paketi ostaju nešifrirani) i uvlačenja početka enkripcije (kada normalno šifrirana polja paketa nisu šifrirana).
Kako se osigurava transparentnost
Stoga uvijek provjerite kako je točno pružena podrška za određeni protokol. Često je podrška u transparentnom načinu praktičnija i pouzdanija.
Interoperabilnost
Ovo je također kompatibilnost, ali u drugačijem smislu, odnosno mogućnost zajedničkog rada s drugim modelima uređaja za šifriranje, uključujući i one drugih proizvođača. Mnogo toga zavisi od stanja standardizacije protokola za šifrovanje. Jednostavno ne postoje općeprihvaćeni standardi šifriranja na L1.
Postoji 2ae (MACsec) standard za L802.1 enkripciju na Ethernet mrežama, ali on ne koristi s kraja na kraj (od kraja do kraja), i interport, “hop-by-hop” enkripcija, a u svojoj originalnoj verziji nije pogodna za upotrebu u distribuiranim mrežama, pa su se pojavile njene vlasničke ekstenzije koje prevazilaze ovo ograničenje (naravno, zbog interoperabilnosti sa opremom drugih proizvođača). Istina, 2018. je standardu 802.1ae dodana podrška za distribuirane mreže, ali još uvijek nema podrške za skupove algoritama za šifriranje GOST. Stoga se vlasnički, nestandardni L2 protokoli šifriranja, u pravilu, razlikuju po većoj efikasnosti (posebno, nižim opterećenjima propusnosti) i fleksibilnosti (mogućnost promjene algoritama i načina šifriranja).
Na višim nivoima (L3 i L4) postoje priznati standardi, prvenstveno IPsec i TLS, ali ni ovdje to nije tako jednostavno. Činjenica je da je svaki od ovih standarda skup protokola, svaki sa različitim verzijama i proširenjima potrebnim ili opcionim za implementaciju. Osim toga, neki proizvođači radije koriste svoje vlasničke protokole za šifriranje na L3/L4. Stoga u većini slučajeva ne treba računati na potpunu interoperabilnost, ali je važno da se barem osigura interakcija između različitih modela i različitih generacija istog proizvođača.
Pouzdanost
Da biste uporedili različita rješenja, možete koristiti ili srednje vrijeme između kvarova ili faktor dostupnosti. Ako ovi brojevi nisu dostupni (ili nema povjerenja u njih), onda se može napraviti kvalitativno poređenje. Prednosti će imati uređaji sa praktičnim upravljanjem (manji rizik od grešaka u konfiguraciji), specijalizirani enkriptori (iz istog razloga), kao i rješenja s minimalnim vremenom za otkrivanje i otklanjanje kvara, uključujući sredstva za „vruće“ sigurnosne kopije cijelih čvorova i uređaja.
trošak
Što se tiče troškova, kao i kod većine IT rješenja, ima smisla uporediti ukupne troškove vlasništva. Da biste ga izračunali, ne morate ponovo izmišljati točak, već koristite bilo koju prikladnu metodologiju (na primjer, od Gartnera) i bilo koji kalkulator (na primjer, onaj koji se već koristi u organizaciji za izračunavanje TCO-a). Jasno je da se za rješenje mrežne enkripcije ukupan trošak vlasništva sastoji od direktno troškove kupovine ili iznajmljivanja samog rješenja, infrastrukturu za hosting opremu i troškove implementacije, administracije i održavanja (bilo da se radi o in-house ili u obliku usluga treće strane), kao i indirektno troškovi zbog zastoja rješenja (uzrokovanih gubitkom produktivnosti krajnjeg korisnika). Vjerovatno postoji samo jedna suptilnost. Utjecaj rješenja na performanse može se posmatrati na različite načine: ili kao indirektni troškovi uzrokovani gubitkom produktivnosti, ili kao „virtualni“ direktni troškovi kupovine/nadogradnje i održavanja mrežnih alata koji kompenziraju gubitak mrežnih performansi uslijed korištenja enkripcija. U svakom slučaju, troškove koje je teško izračunati s dovoljnom preciznošću najbolje je izostaviti iz proračuna: na taj način će biti više povjerenja u konačnu vrijednost. I, kao i obično, u svakom slučaju, ima smisla upoređivati različite uređaje prema TCO-u za određeni scenario njihove upotrebe - stvarni ili tipični.
Perzistentnost
I posljednja karakteristika je postojanost rješenja. U većini slučajeva, trajnost se može kvalitativno procijeniti samo poređenjem različitih rješenja. Moramo imati na umu da uređaji za šifriranje nisu samo sredstvo, već i objekt zaštite. Mogu biti izloženi raznim prijetnjama. U prvom planu su prijetnje kršenjem povjerljivosti, reprodukcije i modifikacije poruka. Ove prijetnje se mogu realizirati kroz ranjivosti šifre ili njenih pojedinačnih načina, kroz ranjivosti u protokolima šifriranja (uključujući i faze uspostavljanja veze i generiranja/distribucije ključeva). Prednost će biti za rješenja koja omogućavaju promjenu algoritma šifriranja ili promjenu načina šifriranja (barem putem ažuriranja firmvera), rješenja koja pružaju najpotpuniju enkripciju, skrivajući od napadača ne samo korisničke podatke, već i adresu i druge servisne informacije , kao i tehnička rješenja koja ne samo da šifriraju, već i štite poruke od reprodukcije i modifikacije. Za sve moderne algoritme šifriranja, elektronske potpise, generiranje ključeva itd., koji su sadržani u standardima, može se pretpostaviti da je snaga ista (inače se jednostavno možete izgubiti u divljini kriptografije). Trebaju li to nužno biti GOST algoritmi? Ovdje je sve jednostavno: ako scenarij aplikacije zahtijeva FSB certifikat za CIPF (a u Rusiji je to najčešće slučaj; za većinu scenarija mrežne enkripcije to je istina), onda biramo samo između certificiranih. Ako ne, onda nema smisla isključivati uređaje bez certifikata iz razmatranja.
Još jedna prijetnja je prijetnja hakovanja, neovlaštenog pristupa uređajima (uključujući fizički pristup izvan i unutar kućišta). Prijetnja se može izvršiti putem
ranjivosti u implementaciji - u hardveru i kodu. Stoga će rješenja s minimalnom „površinom napada“ preko mreže, sa kućištima zaštićenim od fizičkog pristupa (sa senzorima upada, zaštitom od sonde i automatskim resetiranjem ključnih informacija kada se kućište otvori), kao i ona koja omogućavaju ažuriranje firmvera imati prednost u slučaju da ranjivost u kodu postane poznata. Postoji još jedan način: ako svi uređaji koji se uspoređuju imaju FSB certifikate, onda se CIPF klasa za koju je certifikat izdat može smatrati pokazateljem otpornosti na hakiranje.
Konačno, druga vrsta prijetnje su greške tokom podešavanja i rada, ljudski faktor u svom najčistijem obliku. Ovo pokazuje još jednu prednost specijaliziranih enkriptora u odnosu na konvergentna rješenja, koja su često usmjerena na iskusne „mrežne stručnjake“ i mogu uzrokovati poteškoće „običnim“, općim stručnjacima za sigurnost informacija.
Sumiranje
U principu, ovdje bi bilo moguće predložiti neku vrstu integralnog indikatora za poređenje različitih uređaja, nešto slično
$$display$$K_j=∑p_i r_{ij}$$display$$
gdje je p težina indikatora, a r rang uređaja prema ovom indikatoru, a bilo koja od gore navedenih karakteristika može se podijeliti na “atomske” indikatore. Takva formula bi mogla biti korisna, na primjer, kada se uporede tenderski prijedlozi prema unaprijed dogovorenim pravilima. Ali možete proći sa jednostavnim stolom kao što je
Характеристика
Uređaj 1
Uređaj 2
...
Uređaj N
Propusnost
+
+
+++
Režije
+
++
+++
Kašnjenje
+
+
++
Skalabilnost
+++
+
+++
Fleksibilnost
+++
++
+
Interoperabilnost
++
+
+
kompatibilnost
++
++
+++
Jednostavnost i praktičnost
+
+
++
tolerancije grešaka
+++
+++
++
trošak
++
+++
+
Perzistentnost
++
++
+++
Rado ću odgovoriti na pitanja i konstruktivne kritike.
izvor: www.habr.com