ProHoster > blog > Gweinyddiaeth > Sut i Werthuso a Cymharu Dyfeisiau Amgryptio Ethernet

Sut i Werthuso a Cymharu Dyfeisiau Amgryptio Ethernet

Ysgrifennais yr adolygiad hwn (neu, os yw'n well gennych, ganllaw cymharu) pan gefais y dasg o gymharu sawl dyfais gan wahanol werthwyr. Yn ogystal, roedd y dyfeisiau hyn yn perthyn i wahanol ddosbarthiadau. Roedd yn rhaid i mi ddeall pensaernïaeth a nodweddion yr holl ddyfeisiadau hyn a chreu “system gydgysylltu” er mwyn cymharu. Byddaf yn falch os bydd fy adolygiad yn helpu rhywun:

  • Deall disgrifiadau a manylebau dyfeisiau amgryptio
  • Gwahaniaethwch rhwng nodweddion “papur” a'r rhai sy'n wirioneddol bwysig mewn bywyd go iawn
  • Ewch y tu hwnt i'r set arferol o werthwyr a chynnwys i ystyriaeth unrhyw gynhyrchion sy'n addas ar gyfer datrys y broblem
  • Gofynnwch y cwestiynau cywir yn ystod y trafodaethau
  • Paratoi gofynion tendro (RFP)
  • Deall pa nodweddion y bydd yn rhaid eu haberthu os dewisir model dyfais penodol

Yr hyn y gellir ei asesu

Mewn egwyddor, mae'r dull yn berthnasol i unrhyw ddyfeisiau annibynnol sy'n addas ar gyfer amgryptio traffig rhwydwaith rhwng segmentau Ethernet anghysbell (amgryptio traws-safle). Hynny yw, “blychau” mewn achos ar wahân (iawn, byddwn hefyd yn cynnwys llafnau / modiwlau ar gyfer y siasi yma), sydd wedi'u cysylltu trwy un neu fwy o borthladdoedd Ethernet â rhwydwaith Ethernet lleol (campws) gyda thraffig heb ei amgryptio, a thrwy porthladd(oedd) arall i sianel/rhwydwaith y mae traffig sydd eisoes wedi'i amgryptio yn cael ei drosglwyddo drwyddo i segmentau anghysbell eraill. Gellir defnyddio datrysiad amgryptio o'r fath mewn rhwydwaith preifat neu weithredwr trwy wahanol fathau o “gludo” (ffibr tywyll, offer rhannu amledd, Ethernet wedi'i newid, yn ogystal â “pseudowires” wedi'u gosod trwy rwydwaith gyda phensaernïaeth llwybro gwahanol, MPLS yn amlaf ), gyda neu heb dechnoleg VPN.

Sut i Werthuso a Cymharu Dyfeisiau Amgryptio Ethernet
Amgryptio rhwydwaith mewn rhwydwaith Ethernet dosbarthedig

Gall y dyfeisiau eu hunain fod naill ai arbenigol (a fwriedir ar gyfer amgryptio yn unig), neu amlswyddogaethol (hybrid, cydgyfeiriol), hynny yw, hefyd yn cyflawni swyddogaethau eraill (er enghraifft, wal dân neu lwybrydd). Mae gwahanol werthwyr yn dosbarthu eu dyfeisiau i wahanol ddosbarthiadau / categorïau, ond nid yw hyn o bwys - yr unig beth pwysig yw a allant amgryptio traffig traws-safle, a pha nodweddion sydd ganddynt.

Rhag ofn, rwy’n eich atgoffa bod “amgryptio rhwydwaith”, “amgryptio traffig”, “amgryptio” yn dermau anffurfiol, er eu bod yn cael eu defnyddio’n aml. Mae'n debyg na fyddwch yn dod o hyd iddynt yn rheoliadau Rwsia (gan gynnwys y rhai sy'n cyflwyno GOSTs).

Lefelau amgryptio a dulliau trosglwyddo

Cyn i ni ddechrau disgrifio'r nodweddion eu hunain a fydd yn cael eu defnyddio ar gyfer gwerthuso, yn gyntaf bydd yn rhaid i ni ddeall un peth pwysig, sef y "lefel amgryptio". Sylwais ei fod yn cael ei grybwyll yn aml mewn dogfennau gwerthwr swyddogol (mewn disgrifiadau, llawlyfrau, ac ati) ac mewn trafodaethau anffurfiol (mewn trafodaethau, sesiynau hyfforddi). Hynny yw, mae'n ymddangos bod pawb yn gwybod yn iawn am beth yr ydym yn siarad, ond yn bersonol gwelais rywfaint o ddryswch.

Felly beth yw “lefel amgryptio”? Mae'n amlwg ein bod yn sôn am nifer yr haen model rhwydwaith cyfeirio OSI/ISO lle mae amgryptio yn digwydd. Rydym yn darllen GOST R ISO 7498-2-99 “Technoleg gwybodaeth. Cydgysylltu systemau agored. Model cyfeirio sylfaenol. Rhan 2. Pensaernïaeth diogelwch gwybodaeth.” O'r ddogfen hon gellir deall mai lefel y gwasanaeth cyfrinachedd (un o'r mecanweithiau ar gyfer darparu sef amgryptio) yw lefel y protocol, y mae bloc data'r gwasanaeth ("llwyth cyflog", data defnyddwyr) ohono wedi'i amgryptio. Fel y mae hefyd wedi'i ysgrifennu yn y safon, gellir darparu'r gwasanaeth ar yr un lefel, “ar ei ben ei hun,” a gyda chymorth lefel is (dyma sut, er enghraifft, y caiff ei weithredu amlaf yn MACsec) .

Yn ymarferol, mae dau ddull o drosglwyddo gwybodaeth wedi'i hamgryptio dros rwydwaith yn bosibl (mae IPsec yn dod i'r meddwl ar unwaith, ond mae'r un moddau hefyd i'w cael mewn protocolau eraill). YN trafnidiaeth (a elwir weithiau hefyd yn frodorol) modd ei amgryptio yn unig gwasanaeth bloc o ddata, ac mae'r penawdau'n parhau i fod yn “agored”, heb eu hamgryptio (weithiau ychwanegir meysydd ychwanegol gyda gwybodaeth gwasanaeth yr algorithm amgryptio, a chaiff meysydd eraill eu haddasu a'u hailgyfrifo). YN twnel un modd i gyd protocol mae'r bloc data (hynny yw, y pecyn ei hun) wedi'i amgryptio a'i grynhoi mewn bloc data gwasanaeth o'r un lefel neu lefel uwch, hynny yw, mae penawdau newydd yn ei amgylchynu.

Nid yw'r lefel amgryptio ei hun mewn cyfuniad â rhywfaint o fodd trosglwyddo yn dda nac yn ddrwg, felly ni ellir dweud, er enghraifft, bod L3 mewn modd trafnidiaeth yn well na L2 yn y modd twnnel. Dim ond bod llawer o'r nodweddion y mae dyfeisiau'n cael eu gwerthuso yn dibynnu arnynt. Er enghraifft, hyblygrwydd a chydnawsedd. I weithio mewn rhwydwaith L1 (cyfnewid llif did), L2 (newid ffrâm) a L3 (llwybro pecyn) yn y modd trafnidiaeth, mae angen atebion arnoch sy'n amgryptio ar yr un lefel neu lefel uwch (fel arall bydd y wybodaeth cyfeiriad yn cael ei hamgryptio a bydd y data peidio â chyrraedd ei gyrchfan arfaethedig), ac mae'r modd twnnel yn goresgyn y cyfyngiad hwn (er yn aberthu nodweddion pwysig eraill).

Sut i Werthuso a Cymharu Dyfeisiau Amgryptio Ethernet
Dulliau amgryptio trafnidiaeth a thwnnel L2

Nawr, gadewch i ni symud ymlaen i ddadansoddi'r nodweddion.

Cynhyrchiant

Ar gyfer amgryptio rhwydwaith, mae perfformiad yn gysyniad cymhleth, aml-ddimensiwn. Mae'n digwydd bod model penodol, er ei fod yn well mewn un nodwedd perfformiad, yn israddol mewn un arall. Felly, mae bob amser yn ddefnyddiol ystyried holl gydrannau perfformiad amgryptio a'u heffaith ar berfformiad y rhwydwaith a'r cymwysiadau sy'n ei ddefnyddio. Yma gallwn dynnu cyfatebiaeth â char, y mae nid yn unig y cyflymder uchaf yn bwysig ar ei gyfer, ond hefyd amser cyflymu i "gannoedd", defnydd o danwydd, ac ati. Mae cwmnïau gwerthu a'u cwsmeriaid posibl yn rhoi sylw mawr i nodweddion perfformiad. Fel rheol, mae dyfeisiau amgryptio yn cael eu rhestru yn seiliedig ar berfformiad mewn llinellau gwerthwr.

Mae'n amlwg bod perfformiad yn dibynnu ar gymhlethdod y rhwydweithio a gweithrediadau cryptograffig a gyflawnir ar y ddyfais (gan gynnwys pa mor dda y gellir cyfochrog a phiblinellu'r tasgau hyn), yn ogystal ag ar berfformiad y caledwedd ac ansawdd y firmware. Felly, mae modelau hŷn yn defnyddio caledwedd mwy cynhyrchiol; weithiau mae'n bosibl ei arfogi â phroseswyr ychwanegol a modiwlau cof. Mae sawl dull o weithredu swyddogaethau cryptograffig: ar uned brosesu ganolog gyffredinol (CPU), cylched integredig cais-benodol (ASIC), neu gylched integredig rhesymeg rhaglenadwy maes (FPGA). Mae gan bob dull ei fanteision a'i anfanteision. Er enghraifft, gall y CPU ddod yn dagfa amgryptio, yn enwedig os nad oes gan y prosesydd gyfarwyddiadau arbenigol i gefnogi'r algorithm amgryptio (neu os na chânt eu defnyddio). Nid oes gan sglodion arbenigol hyblygrwydd; nid yw bob amser yn bosibl eu “hail-fflachio” i wella perfformiad, ychwanegu swyddogaethau newydd, neu ddileu gwendidau. Yn ogystal, mae eu defnydd yn dod yn broffidiol yn unig gyda chyfeintiau cynhyrchu mawr. Dyna pam mae'r “cymedr aur” wedi dod mor boblogaidd - y defnydd o FPGA (FPGA yn Rwsieg). Ar FPGAs y gwneir yr hyn a elwir yn gyflymwyr crypto - modiwlau caledwedd arbenigol adeiledig neu ategyn ar gyfer cefnogi gweithrediadau cryptograffig.

Gan ein bod yn sôn am rhwydwaith amgryptio, mae'n rhesymegol y dylid mesur perfformiad datrysiadau yn yr un symiau ag ar gyfer dyfeisiau rhwydwaith eraill - trwygyrch, canran colled ffrâm a hwyrni. Diffinnir y gwerthoedd hyn yn RFC 1242. Gyda llaw, nid oes dim wedi'i ysgrifennu am yr amrywiad oedi a grybwyllir yn aml (jitter) yn y Clwb Rygbi hwn. Sut i fesur y meintiau hyn? Nid wyf wedi dod o hyd i fethodoleg a gymeradwywyd mewn unrhyw safonau (swyddogol neu answyddogol fel RFC) yn benodol ar gyfer amgryptio rhwydwaith. Byddai'n rhesymegol defnyddio'r fethodoleg ar gyfer dyfeisiau rhwydwaith sydd wedi'u hymgorffori yn safon RFC 2544. Mae llawer o werthwyr yn ei ddilyn - llawer, ond nid pob un. Er enghraifft, maen nhw'n anfon traffig prawf i un cyfeiriad yn unig yn lle'r ddau, fel argymhellir safonol. Beth bynnag.

Mae gan fesur perfformiad dyfeisiau amgryptio rhwydwaith ei nodweddion ei hun o hyd. Yn gyntaf, mae'n gywir gwneud yr holl fesuriadau ar gyfer pâr o ddyfeisiau: er bod yr algorithmau amgryptio yn gymesur, ni fydd oedi a cholledion pecynnau yn ystod amgryptio a dadgryptio o reidrwydd yn gyfartal. Yn ail, mae'n gwneud synnwyr i fesur y delta, effaith amgryptio rhwydwaith ar berfformiad terfynol y rhwydwaith, gan gymharu dau ffurfweddiad: heb ddyfeisiau amgryptio a gyda nhw. Neu, fel sy'n wir am ddyfeisiau hybrid, sy'n cyfuno sawl swyddogaeth yn ogystal ag amgryptio rhwydwaith, gydag amgryptio wedi'i ddiffodd ac ymlaen. Gall y dylanwad hwn fod yn wahanol ac yn dibynnu ar gynllun cysylltiad y dyfeisiau amgryptio, ar y dulliau gweithredu, ac yn olaf, ar natur y traffig. Yn benodol, mae llawer o baramedrau perfformiad yn dibynnu ar hyd pecynnau, a dyna pam, i gymharu perfformiad gwahanol atebion, mae graffiau o'r paramedrau hyn yn dibynnu ar hyd y pecynnau yn cael eu defnyddio'n aml, neu defnyddir IMIX - dosbarthiad traffig fesul pecyn hyd, sydd fwy neu lai yn adlewyrchu'r un go iawn. Os byddwn yn cymharu'r un ffurfweddiad sylfaenol heb amgryptio, gallwn gymharu datrysiadau amgryptio rhwydwaith a weithredir yn wahanol heb fynd i'r gwahaniaethau hyn: L2 gyda L3, storfa ac ymlaen ) gyda thorri trwodd, arbenigol gyda chydgyfeiriol, GOST gydag AES ac yn y blaen.

Sut i Werthuso a Cymharu Dyfeisiau Amgryptio Ethernet
Diagram cysylltiad ar gyfer profi perfformiad

Y nodwedd gyntaf y mae pobl yn talu sylw iddi yw "cyflymder" y ddyfais amgryptio, hynny yw lled band (lled band) ei ryngwynebau rhwydwaith, cyfradd llif didau. Fe'i pennir gan y safonau rhwydwaith a gefnogir gan y rhyngwynebau. Ar gyfer Ethernet, y niferoedd arferol yw 1 Gbps a 10 Gbps. Ond, fel y gwyddom, mewn unrhyw rwydwaith yr uchafswm damcaniaethol trwybwn (trwybwn) ar bob un o'i lefelau mae llai o led band bob amser: mae rhan o'r lled band yn cael ei “fwyta i fyny” gan gyfyngau rhwng ffrâm, penawdau gwasanaeth, ac ati. Os yw dyfais yn gallu derbyn, prosesu (yn ein hachos ni, amgryptio neu ddadgryptio) a throsglwyddo traffig ar gyflymder llawn y rhyngwyneb rhwydwaith, hynny yw, gyda'r mewnbwn damcaniaethol uchaf ar gyfer y lefel hon o'r model rhwydwaith, yna dywedir i fod yn gweithio ar gyflymder llinell. I wneud hyn, mae'n angenrheidiol nad yw'r ddyfais yn colli nac yn taflu pecynnau o unrhyw faint ac ar unrhyw amlder. Os nad yw'r ddyfais amgryptio yn cefnogi gweithrediad ar gyflymder llinell, yna mae ei uchafswm trwygyrch fel arfer yn cael ei nodi yn yr un gigabits yr eiliad (weithiau'n nodi hyd y pecynnau - po fyrraf yw'r pecynnau, yr isaf yw'r trwybwn fel arfer). Mae'n bwysig iawn deall mai'r trwybwn mwyaf yw'r uchafswm dim colled (hyd yn oed os gall y ddyfais "bwmpio" traffig trwy ei hun ar gyflymder uwch, ond ar yr un pryd yn colli rhai pecynnau). Hefyd, byddwch yn ymwybodol bod rhai gwerthwyr yn mesur cyfanswm y trwybwn rhwng pob pâr o borthladdoedd, felly nid yw'r niferoedd hyn yn golygu llawer os yw'r holl draffig wedi'i amgryptio yn mynd trwy un porthladd.

Ble mae'n arbennig o bwysig gweithredu ar gyflymder llinell (neu, mewn geiriau eraill, heb golli pecyn)? Mewn lled band uchel, cysylltiadau hwyrni uchel (fel lloeren), lle mae'n rhaid gosod maint ffenestr TCP mawr i gynnal cyflymder trosglwyddo uchel, a lle mae colli pecynnau yn lleihau perfformiad rhwydwaith yn ddramatig.

Ond ni ddefnyddir yr holl led band i drosglwyddo data defnyddiol. Mae'n rhaid i ni gyfrif gyda'r hyn a elwir gorbenion (uwchben) lled band. Dyma'r gyfran o fewnbwn y ddyfais amgryptio (fel canran neu beit fesul pecyn) sy'n cael ei wastraffu mewn gwirionedd (ni ellir ei ddefnyddio i drosglwyddo data cymhwysiad). Mae costau gorbenion yn codi, yn gyntaf, oherwydd cynnydd ym maint (ychwanegiad, “stwffio”) y maes data mewn pecynnau rhwydwaith wedi'u hamgryptio (yn dibynnu ar yr algorithm amgryptio a'i ddull gweithredu). Yn ail, oherwydd y cynnydd yn hyd penawdau pecyn (modd twnnel, gwasanaeth mewnosod y protocol amgryptio, mewnosod efelychu, ac ati yn dibynnu ar brotocol a dull gweithredu'r cipher a'r modd trosglwyddo) - fel arfer y costau gorbenion hyn yw'r mwyaf arwyddocaol, ac maent yn talu sylw yn gyntaf. Yn drydydd, oherwydd darnio pecynnau pan eir y tu hwnt i uchafswm maint yr uned ddata (MTU) (os yw'r rhwydwaith yn gallu rhannu pecyn sy'n fwy na'r MTU yn ddau, gan ddyblygu ei benawdau). Yn bedwerydd, oherwydd ymddangosiad traffig gwasanaeth (rheoli) ychwanegol ar y rhwydwaith rhwng dyfeisiau amgryptio (ar gyfer cyfnewid allweddol, gosod twnnel, ac ati). Mae gorbenion isel yn bwysig lle mae cynhwysedd sianel yn gyfyngedig. Mae hyn yn arbennig o amlwg mewn traffig o becynnau bach, er enghraifft, llais – lle gall costau gorbenion “fwyta” mwy na hanner cyflymder y sianel!

Sut i Werthuso a Cymharu Dyfeisiau Amgryptio Ethernet
Lled band

Yn olaf, mae mwy cyflwyno oedi – y gwahaniaeth (mewn ffracsiynau o eiliad) mewn oedi rhwydwaith (yr amser y mae'n ei gymryd i ddata basio o fynd i mewn i'r rhwydwaith i'w adael) rhwng trosglwyddo data heb a chydag amgryptio rhwydwaith. Yn gyffredinol, po isaf yw hwyrni (“latency”) y rhwydwaith, y mwyaf hanfodol y daw'r hwyrni a gyflwynir gan ddyfeisiau amgryptio. Cyflwynir yr oedi gan y gweithrediad amgryptio ei hun (yn dibynnu ar yr algorithm amgryptio, hyd bloc a dull gweithredu'r cipher, yn ogystal ag ansawdd ei weithrediad yn y meddalwedd), a phrosesu'r pecyn rhwydwaith yn y ddyfais . Mae'r hwyrni a gyflwynir yn dibynnu ar y dull prosesu pecynnau (pasio drwodd neu storio-ac-ymlaen) a pherfformiad y platfform (mae gweithredu caledwedd ar FPGA neu ASIC yn gyffredinol yn gyflymach na gweithredu meddalwedd ar CPU). Mae gan amgryptio L2 bron bob amser hwyrni is nag amgryptio L3 neu L4, oherwydd bod dyfeisiau amgryptio L3/L4 yn aml yn cydgyfeirio. Er enghraifft, gydag amgryptio Ethernet cyflym yn cael ei weithredu ar FPGAs ac amgryptio ar L2, mae'r oedi oherwydd y gweithrediad amgryptio yn ddiflannol o fach - weithiau pan fydd amgryptio yn cael ei alluogi ar bâr o ddyfeisiau, mae cyfanswm yr oedi a gyflwynir ganddynt hyd yn oed yn lleihau! Mae hwyrni isel yn bwysig lle gellir ei gymharu ag oedi cyffredinol yn y sianel, gan gynnwys oedi ymlediad, sef tua 5 μs y cilomedr. Hynny yw, gallwn ddweud y gall microseconds benderfynu llawer ar rwydweithiau ar raddfa drefol (degau o gilometrau ar draws). Er enghraifft, ar gyfer dyblygu cronfa ddata cydamserol, masnachu amledd uchel, yr un blockchain.

Sut i Werthuso a Cymharu Dyfeisiau Amgryptio Ethernet
Wedi cyflwyno oedi

Scalability

Gall rhwydweithiau dosbarthedig mawr gynnwys miloedd lawer o nodau a dyfeisiau rhwydwaith, cannoedd o segmentau rhwydwaith lleol. Mae'n bwysig nad yw datrysiadau amgryptio yn gosod cyfyngiadau ychwanegol ar faint a thopoleg y rhwydwaith dosbarthedig. Mae hyn yn berthnasol yn bennaf i uchafswm nifer y cyfeiriadau gwesteiwr a rhwydwaith. Gellir dod ar draws cyfyngiadau o'r fath, er enghraifft, wrth weithredu topoleg rhwydwaith aml-bwynt wedi'i amgryptio (gyda chysylltiadau diogel annibynnol, neu dwneli) neu amgryptio dethol (er enghraifft, yn ôl rhif protocol neu VLAN). Os defnyddir cyfeiriadau rhwydwaith yn yr achos hwn (MAC, IP, VLAN ID) fel allweddi mewn tabl lle mae nifer y rhesi yn gyfyngedig, yna mae'r cyfyngiadau hyn yn ymddangos yma.

Yn ogystal, yn aml mae gan rwydweithiau mawr sawl haen strwythurol, gan gynnwys y rhwydwaith craidd, y mae pob un ohonynt yn gweithredu ei gynllun cyfeirio ei hun a'i bolisi llwybro ei hun. Er mwyn gweithredu'r dull hwn, defnyddir fformatau ffrâm arbennig (fel Q-in-Q neu MAC-in-MAC) a phrotocolau pennu llwybr yn aml. Er mwyn peidio â rhwystro adeiladu rhwydweithiau o'r fath, rhaid i ddyfeisiau amgryptio drin fframiau o'r fath yn gywir (hynny yw, yn yr ystyr hwn, bydd scalability yn golygu cydnawsedd - mwy ar yr hyn isod).

Hyblygrwydd

Yma rydym yn sôn am gefnogi gwahanol ffurfweddiadau, cynlluniau cysylltu, topolegau a phethau eraill. Er enghraifft, ar gyfer rhwydweithiau switsh yn seiliedig ar dechnolegau Carrier Ethernet, mae hyn yn golygu cefnogaeth ar gyfer gwahanol fathau o gysylltiadau rhithwir (E-Line, E-LAN, E-Tree), gwahanol fathau o wasanaeth (yn ôl porthladd a VLAN) a thechnolegau trafnidiaeth gwahanol. (maent eisoes wedi'u rhestru uchod). Hynny yw, rhaid i'r ddyfais allu gweithredu mewn moddau llinellol ("pwynt-i-bwynt") ac aml-bwynt, sefydlu twneli ar wahân ar gyfer gwahanol VLANs, a chaniatáu danfon pecynnau allan o drefn o fewn sianel ddiogel. Mae'r gallu i ddewis gwahanol ddulliau seiffr (gan gynnwys gyda neu heb ddilysu cynnwys) a gwahanol ddulliau trosglwyddo pecynnau yn caniatáu ichi gael cydbwysedd rhwng cryfder a pherfformiad yn dibynnu ar yr amodau presennol.

Mae hefyd yn bwysig cefnogi rhwydweithiau preifat, y mae eu hoffer yn eiddo i un sefydliad (neu eu rhentu iddo), a rhwydweithiau gweithredwyr, y mae gwahanol rannau ohonynt yn cael eu rheoli gan gwmnïau gwahanol. Mae’n dda os yw’r ateb yn caniatáu rheolaeth fewnol a chan drydydd parti (gan ddefnyddio model gwasanaeth a reolir). Mewn rhwydweithiau gweithredwyr, swyddogaeth bwysig arall yw cefnogaeth ar gyfer aml-denantiaeth (rhannu gan wahanol gwsmeriaid) ar ffurf ynysu cryptograffig cwsmeriaid unigol (tanysgrifwyr) y mae eu traffig yn mynd trwy'r un set o ddyfeisiau amgryptio. Mae hyn fel arfer yn gofyn am ddefnyddio setiau ar wahân o allweddi a thystysgrifau ar gyfer pob cwsmer.

Os prynir dyfais ar gyfer senario benodol, yna efallai na fydd yr holl nodweddion hyn yn bwysig iawn - does ond angen i chi sicrhau bod y ddyfais yn cefnogi'r hyn sydd ei angen arnoch chi nawr. Ond os prynir datrysiad “ar gyfer twf”, i gefnogi senarios yn y dyfodol hefyd, ac yn cael ei ddewis fel “safon gorfforaethol”, yna ni fydd hyblygrwydd yn ddiangen - yn enwedig o ystyried y cyfyngiadau ar ryngweithredu dyfeisiau gan wahanol werthwyr ( mwy am hyn isod).

Symlrwydd a chyfleustra

Mae rhwyddineb gwasanaeth hefyd yn gysyniad aml-ffactor. Yn fras, gallwn ddweud mai dyma gyfanswm yr amser a dreulir gan arbenigwyr ar gymhwyster penodol sy'n ofynnol i gefnogi datrysiad ar wahanol gamau o'i gylch bywyd. Os nad oes unrhyw gostau, a bod gosod, cyfluniad a gweithrediad yn gwbl awtomatig, yna mae'r costau'n sero ac mae'r cyfleustra yn absoliwt. Wrth gwrs, nid yw hyn yn digwydd yn y byd go iawn. Mae brasamcan rhesymol yn fodel "cwlwm ar wifren" (lwmp-yn-y-wifren), neu gysylltiad tryloyw, lle nad oes angen unrhyw newidiadau llaw neu awtomatig i gyfluniad y rhwydwaith ar gyfer ychwanegu ac analluogi dyfeisiau amgryptio. Ar yr un pryd, mae cynnal yr ateb yn cael ei symleiddio: gallwch chi droi'r swyddogaeth amgryptio ymlaen ac i ffwrdd yn ddiogel, ac os oes angen, dim ond "ffordd osgoi" y ddyfais gyda chebl rhwydwaith (hynny yw, cysylltu'n uniongyrchol y porthladdoedd hynny o'r offer rhwydwaith y mae roedd yn gysylltiedig). Yn wir, mae yna un anfantais - gall ymosodwr wneud yr un peth. Er mwyn gweithredu'r egwyddor "nod ar wifren", mae angen ystyried nid traffig yn unig haen ddataOnd haenau rheoli a rheoli – rhaid i ddyfeisiau fod yn dryloyw iddynt. Felly, dim ond pan nad oes unrhyw dderbynwyr o'r mathau hyn o draffig yn y rhwydwaith rhwng y dyfeisiau amgryptio y gellir amgryptio traffig o'r fath, oherwydd os caiff ei daflu neu ei amgryptio, yna pan fyddwch yn galluogi neu'n analluogi amgryptio, gall cyfluniad y rhwydwaith newid. Gall y ddyfais amgryptio hefyd fod yn dryloyw i signalau haen gorfforol. Yn benodol, pan fydd signal yn cael ei golli, rhaid iddo drosglwyddo'r golled hon (hynny yw, diffodd ei drosglwyddyddion) yn ôl ac ymlaen (“drosto'i hun”) i gyfeiriad y signal.

Mae cefnogaeth i rannu awdurdod rhwng yr adrannau diogelwch gwybodaeth a TG, yn enwedig yr adran rhwydwaith, hefyd yn bwysig. Rhaid i'r datrysiad amgryptio gefnogi model rheoli mynediad ac archwilio'r sefydliad. Dylid lleihau'r angen am ryngweithio rhwng gwahanol adrannau i gyflawni gweithrediadau arferol. Felly, mae mantais o ran hwylustod dyfeisiau arbenigol sy'n cefnogi swyddogaethau amgryptio yn unig ac sydd mor dryloyw â phosibl i weithrediadau rhwydwaith. Yn syml, ni ddylai fod gan weithwyr diogelwch gwybodaeth unrhyw reswm i gysylltu ag “arbenigwyr rhwydwaith” i newid gosodiadau rhwydwaith. Ac ni ddylai'r rheini, yn eu tro, fod â'r angen i newid gosodiadau amgryptio wrth gynnal y rhwydwaith.

Ffactor arall yw galluoedd a chyfleustra'r rheolyddion. Dylent fod yn weledol, yn rhesymegol, yn darparu mewnforio-allforio gosodiadau, awtomeiddio, ac ati. Dylech roi sylw ar unwaith i ba opsiynau rheoli sydd ar gael (fel arfer eu hamgylchedd rheoli eu hunain, rhyngwyneb gwe a llinell orchymyn) a pha set o swyddogaethau sydd gan bob un ohonynt (mae yna gyfyngiadau). Swyddogaeth bwysig yw cefnogaeth allan-o-band rheolaeth (y tu allan i'r band), hynny yw, trwy rwydwaith rheoli penodedig, a mewn-band rheolaeth (mewn band), hynny yw, trwy rwydwaith cyffredin y mae traffig defnyddiol yn cael ei drosglwyddo drwyddo. Rhaid i offer rheoli ddangos pob sefyllfa annormal, gan gynnwys digwyddiadau diogelwch gwybodaeth. Dylid cyflawni gweithrediadau arferol, ailadroddus yn awtomatig. Mae hyn yn ymwneud yn bennaf â rheolaeth allweddol. Dylent gael eu cynhyrchu/dosbarthu'n awtomatig. Mae cefnogaeth PKI yn fantais fawr.

Cysondeb

Hynny yw, a yw'r ddyfais yn gydnaws â safonau rhwydwaith. Ar ben hynny, mae hyn yn golygu nid yn unig safonau diwydiannol a fabwysiadwyd gan sefydliadau awdurdodol megis IEEE, ond hefyd protocolau perchnogol arweinwyr diwydiant, megis Cisco. Mae dwy brif ffordd o sicrhau cydnawsedd: naill ai drwodd tryloywder, neu drwy cefnogaeth amlwg protocolau (pan fydd dyfais amgryptio yn dod yn un o nodau rhwydwaith ar gyfer protocol penodol ac yn prosesu traffig rheoli'r protocol hwn). Mae cydnawsedd â rhwydweithiau yn dibynnu ar gyflawnrwydd a chywirdeb gweithredu protocolau rheoli. Mae'n bwysig cefnogi gwahanol opsiynau ar gyfer lefel PHY (cyflymder, cyfrwng trawsyrru, cynllun amgodio), fframiau Ethernet o wahanol fformatau gydag unrhyw MTU, protocolau gwasanaeth L3 gwahanol (y teulu TCP / IP yn bennaf).

Sicrheir tryloywder trwy fecanweithiau treiglo (newid cynnwys penawdau agored dros dro mewn traffig rhwng amgryptio), sgipio (pan fydd pecynnau unigol yn parhau heb eu hamgryptio) a mewnoliad dechrau amgryptio (pan nad yw meysydd pecynnau sydd wedi'u hamgryptio fel arfer wedi'u hamgryptio).

Sut i Werthuso a Cymharu Dyfeisiau Amgryptio Ethernet
Sut mae tryloywder yn cael ei sicrhau

Felly, gwiriwch bob amser yn union sut y darperir cymorth ar gyfer protocol penodol. Yn aml mae cefnogaeth mewn modd tryloyw yn fwy cyfleus a dibynadwy.

Cydweithrediad

Mae hyn hefyd yn gydnaws, ond mewn ystyr gwahanol, sef y gallu i gydweithio â modelau eraill o ddyfeisiau amgryptio, gan gynnwys y rhai gan weithgynhyrchwyr eraill. Mae llawer yn dibynnu ar gyflwr safoni protocolau amgryptio. Yn syml, nid oes unrhyw safonau amgryptio a dderbynnir yn gyffredinol ar L1.

Mae safon 2ae (MACsec) ar gyfer amgryptio L802.1 ar rwydweithiau Ethernet, ond nid yw'n defnyddio pen-i-ben (pen-i-ben), a interport, amgryptio “hop-by-hop”, ac yn ei fersiwn wreiddiol yn anaddas i'w ddefnyddio mewn rhwydweithiau dosbarthedig, felly mae ei estyniadau perchnogol wedi ymddangos sy'n goresgyn y cyfyngiad hwn (wrth gwrs, oherwydd rhyngweithrededd ag offer gan weithgynhyrchwyr eraill). Yn wir, yn 2018, ychwanegwyd cefnogaeth ar gyfer rhwydweithiau dosbarthedig at y safon 802.1ae, ond nid oes cefnogaeth o hyd i setiau algorithm amgryptio GOST. Felly, mae protocolau amgryptio L2 perchnogol, ansafonol, fel rheol, yn cael eu gwahaniaethu gan fwy o effeithlonrwydd (yn arbennig, lled band is uwchben) a hyblygrwydd (y gallu i newid algorithmau a moddau amgryptio).

Ar lefelau uwch (L3 a L4) mae safonau cydnabyddedig, IPsec a TLS yn bennaf, ond yma hefyd nid yw mor syml. Y ffaith yw bod pob un o'r safonau hyn yn set o brotocolau, pob un â fersiynau ac estyniadau gwahanol yn ofynnol neu'n ddewisol i'w gweithredu. Yn ogystal, mae'n well gan rai gweithgynhyrchwyr ddefnyddio eu protocolau amgryptio perchnogol ar L3 / L4. Felly, yn y rhan fwyaf o achosion ni ddylech ddibynnu ar ryngweithredu cyflawn, ond mae'n bwysig o leiaf sicrhau rhyngweithio rhwng gwahanol fodelau a chenedlaethau gwahanol o'r un gwneuthurwr.

Dibynadwyedd

I gymharu gwahanol atebion, gallwch ddefnyddio naill ai amser cymedrig rhwng methiannau neu ffactor argaeledd. Os nad yw'r niferoedd hyn ar gael (neu os nad oes ymddiriedaeth ynddynt), yna gellir gwneud cymhariaeth ansoddol. Bydd gan ddyfeisiau â rheolaeth gyfleus fantais (llai o risg o wallau cyfluniad), amgryptio arbenigol (am yr un rheswm), yn ogystal ag atebion gydag ychydig iawn o amser i ganfod a dileu methiant, gan gynnwys dull “poeth” wrth gefn o nodau cyfan a dyfeisiau.

Cost

O ran cost, fel gyda'r rhan fwyaf o atebion TG, mae'n gwneud synnwyr i gymharu cyfanswm cost perchnogaeth. Er mwyn ei gyfrifo, nid oes angen i chi ailddyfeisio'r olwyn, ond defnyddiwch unrhyw fethodoleg addas (er enghraifft, gan Gartner) ac unrhyw gyfrifiannell (er enghraifft, yr un sydd eisoes yn cael ei ddefnyddio yn y sefydliad i gyfrifo TCO). Mae'n amlwg, ar gyfer datrysiad amgryptio rhwydwaith, bod cyfanswm cost perchnogaeth yn cynnwys uniongyrchol costau prynu neu rentu’r datrysiad ei hun, seilwaith ar gyfer cynnal offer a chostau lleoli, gweinyddu a chynnal a chadw (boed yn fewnol neu ar ffurf gwasanaethau trydydd parti), yn ogystal â anuniongyrchol costau o amser segur datrysiad (a achosir gan golli cynhyrchiant defnyddiwr terfynol). Mae'n debyg mai dim ond un cynildeb sydd. Gellir ystyried effaith perfformiad y datrysiad mewn gwahanol ffyrdd: naill ai fel costau anuniongyrchol a achosir gan gynhyrchiant a gollwyd, neu fel costau uniongyrchol “rhithwir” o brynu/uwchraddio a chynnal offer rhwydwaith sy'n gwneud iawn am golli perfformiad rhwydwaith oherwydd y defnydd o amgryptio. Beth bynnag, mae'n well gadael treuliau sy'n anodd eu cyfrifo'n ddigon manwl gywir allan o'r cyfrifiad: fel hyn bydd mwy o hyder yn y gwerth terfynol. Ac, yn ôl yr arfer, beth bynnag, mae'n gwneud synnwyr i gymharu dyfeisiau gwahanol yn ôl TCO ar gyfer senario penodol o'u defnydd - real neu nodweddiadol.

Agwedd

A'r nodwedd olaf yw dyfalbarhad yr ateb. Yn y rhan fwyaf o achosion, dim ond trwy gymharu gwahanol atebion y gellir asesu gwydnwch. Rhaid inni gofio bod dyfeisiau amgryptio nid yn unig yn fodd, ond hefyd yn wrthrych amddiffyniad. Gallant fod yn agored i wahanol fygythiadau. Ar flaen y gad mae'r bygythiadau o dorri cyfrinachedd, atgynhyrchu ac addasu negeseuon. Gellir gwireddu'r bygythiadau hyn trwy wendidau'r seiffr neu ei foddau unigol, trwy wendidau mewn protocolau amgryptio (gan gynnwys yn y camau o sefydlu cysylltiad a chynhyrchu / dosbarthu allweddi). Y fantais fydd atebion sy'n caniatáu newid yr algorithm amgryptio neu newid y modd cipher (o leiaf trwy ddiweddariad firmware), datrysiadau sy'n darparu'r amgryptio mwyaf cyflawn, gan guddio rhag yr ymosodwr nid yn unig data defnyddwyr, ond hefyd cyfeiriad a gwybodaeth gwasanaeth arall , yn ogystal ag atebion technegol sydd nid yn unig yn amgryptio, ond hefyd yn amddiffyn negeseuon rhag atgynhyrchu ac addasu. Ar gyfer yr holl algorithmau amgryptio modern, llofnodion electronig, cynhyrchu allweddi, ac ati, sydd wedi'u hymgorffori mewn safonau, gellir tybio bod y cryfder yr un peth (fel arall gallwch chi fynd ar goll yn wyllt cryptograffeg). A ddylai'r rhain o reidrwydd fod yn algorithmau GOST? Mae popeth yn syml yma: os yw senario'r cais yn gofyn am ardystiad FSB ar gyfer CIPF (ac yn Rwsia mae hyn yn wir yn fwyaf aml; ar gyfer y rhan fwyaf o senarios amgryptio rhwydwaith mae hyn yn wir), yna dim ond rhwng rhai ardystiedig y byddwn yn dewis. Os na, yna nid oes diben eithrio dyfeisiau heb dystysgrifau rhag cael eu hystyried.

Bygythiad arall yw'r bygythiad o hacio, mynediad anawdurdodedig i ddyfeisiau (gan gynnwys trwy fynediad corfforol y tu allan a'r tu mewn i'r achos). Gellir cyflawni'r bygythiad trwy
gwendidau wrth weithredu - mewn caledwedd a chod. Felly, bydd datrysiadau gydag “arwyneb ymosodiad” lleiaf posibl trwy'r rhwydwaith, gyda llociau wedi'u diogelu rhag mynediad corfforol (gyda synwyryddion ymwthiad, amddiffyniad treiddgar ac ailosod gwybodaeth allweddol yn awtomatig pan fydd y lloc yn cael ei agor), yn ogystal â'r rhai sy'n caniatáu diweddariadau firmware wedi mantais pe bai bregusrwydd yn y cod yn dod yn hysbys. Mae yna ffordd arall: os oes gan yr holl ddyfeisiau sy'n cael eu cymharu dystysgrifau FSB, yna gellir ystyried y dosbarth CIPF y cyhoeddwyd y dystysgrif ar ei gyfer yn ddangosydd ymwrthedd i hacio.

Yn olaf, math arall o fygythiad yw gwallau yn ystod gosod a gweithredu, y ffactor dynol yn ei ffurf buraf. Mae hyn yn dangos mantais arall o amgryptio arbenigol dros atebion cydgyfeiriol, sydd yn aml wedi'u hanelu at “arbenigwyr rhwydwaith” profiadol a gallant achosi anawsterau i arbenigwyr diogelwch gwybodaeth cyffredinol “cyffredin”.

I grynhoi

Mewn egwyddor, yma byddai'n bosibl cynnig rhyw fath o ddangosydd annatod ar gyfer cymharu gwahanol ddyfeisiadau, rhywbeth tebyg

$$display$$K_j=∑p_i r_{ij}$$display$$

lle p yw pwysau'r dangosydd, ac r yw rheng y ddyfais yn ôl y dangosydd hwn, a gellir rhannu unrhyw un o'r nodweddion a restrir uchod yn ddangosyddion "atomig". Gallai fformiwla o’r fath fod yn ddefnyddiol, er enghraifft, wrth gymharu cynigion tendro yn unol â rheolau y cytunwyd arnynt ymlaen llaw. Ond gallwch chi fynd heibio gyda thabl syml fel

Nodweddu
Dyfais 1
Dyfais 2
...
Dyfais N

Lled band
+
+

+ + +

Gorbenion
+
++

+ + +

Oedi
+
+

++

Scalability
+ + +
+

+ + +

Hyblygrwydd
+ + +
++

+

Cydweithrediad
++
+

+

Cysondeb
++
++

+ + +

Symlrwydd a chyfleustra
+
+

++

goddefgarwch fai
+ + +
+ + +

++

Cost
++
+ + +

+

Agwedd
++
++

+ + +

Byddaf yn hapus i ateb cwestiynau a beirniadaeth adeiladol.

Ffynhonnell: hab.com

Ychwanegu sylw