من این بررسی (یا اگر ترجیح می دهید، راهنمای مقایسه) را زمانی نوشتم که وظیفه مقایسه چندین دستگاه از فروشندگان مختلف را داشتم. علاوه بر این، این دستگاه ها متعلق به کلاس های مختلفی بودند. من باید معماری و ویژگی های همه این دستگاه ها را درک می کردم و یک "سیستم مختصات" برای مقایسه ایجاد می کردم. خوشحال می شوم اگر نظر من به کسی کمک کند:
- توضیحات و مشخصات دستگاه های رمزگذاری را درک کنید
- ویژگی های "کاغذی" را از آنهایی که در زندگی واقعی بسیار مهم هستند، متمایز کنید
- فراتر از مجموعه معمول فروشندگان بروید و محصولاتی را که برای حل مشکل مناسب هستند در نظر بگیرید
- در حین مذاکره سوالات درست بپرسید
- تنظیم شرایط مناقصه (RFP)
- درک کنید که در صورت انتخاب یک مدل دستگاه خاص، چه ویژگی هایی باید قربانی شوند
چه چیزی قابل ارزیابی است
در اصل، این رویکرد برای هر دستگاه مستقل مناسب برای رمزگذاری ترافیک شبکه بین بخش های اترنت راه دور (رمزگذاری بین سایتی) قابل اجرا است. یعنی «جعبهها» در یک مورد جداگانه (خوب، ما در اینجا تیغهها/ماژولهای شاسی را نیز اضافه میکنیم)، که از طریق یک یا چند پورت اترنت به شبکه محلی اترنت (پردیس) با ترافیک رمزگذاری نشده و از طریق پورت(های) دیگری به کانال/شبکه ای که از طریق آن ترافیک رمزگذاری شده قبلی به بخش های دیگر و از راه دور منتقل می شود. چنین راه حل رمزگذاری را می توان در یک شبکه خصوصی یا اپراتور از طریق انواع مختلف "حمل و نقل" (فیبر تاریک، تجهیزات تقسیم فرکانس، اترنت سوئیچ شده، و همچنین "شبه ها" در شبکه ای با معماری مسیریابی متفاوت، اغلب MPLS، مستقر کرد. ، با یا بدون فناوری VPN.
رمزگذاری شبکه در یک شبکه اترنت توزیع شده
خود دستگاه ها می توانند هر دو باشند تخصصی (به طور انحصاری برای رمزگذاری در نظر گرفته شده است)، یا چند منظوره (هیبرید، همگرا، یعنی انجام سایر عملکردها (مثلاً فایروال یا روتر). فروشندگان مختلف دستگاههای خود را به کلاسها/دستههای مختلف طبقهبندی میکنند، اما این مهم نیست - تنها نکته مهم این است که آیا آنها میتوانند ترافیک بینسایتی را رمزگذاری کنند و چه ویژگیهایی دارند.
فقط در مورد، به شما یادآوری می کنم که "رمزگذاری شبکه"، "رمزگذاری ترافیک"، "رمزگذار" اصطلاحات غیررسمی هستند، اگرچه اغلب استفاده می شوند. شما به احتمال زیاد آنها را در مقررات روسیه (از جمله مواردی که GOST ها را معرفی می کنند) پیدا نخواهید کرد.
سطوح رمزگذاری و حالت های انتقال
قبل از شروع به توصیف خود ویژگی هایی که برای ارزیابی استفاده می شوند، ابتدا باید یک چیز مهم را درک کنیم، یعنی "سطح رمزگذاری". متوجه شدم که هم در اسناد رسمی فروشنده (در توضیحات، راهنماها و غیره) و هم در بحث های غیررسمی (در مذاکرات، آموزش ها) به آن اشاره می شود. یعنی به نظر می رسد همه به خوبی می دانند در مورد چه چیزی صحبت می کنیم، اما من شخصا شاهد سردرگمی هایی بودم.
بنابراین "سطح رمزگذاری" چیست؟ واضح است که ما در مورد تعداد لایه مدل شبکه مرجع OSI/ISO صحبت می کنیم که در آن رمزگذاری رخ می دهد. ما GOST R ISO 7498-2-99 "فناوری اطلاعات" را خواندیم. اتصال سیستم های باز مدل مرجع پایه بخش 2. معماری امنیت اطلاعات. از این سند می توان فهمید که سطح سرویس محرمانه (یکی از مکانیسم های ارائه که رمزگذاری است) سطح پروتکل است که بلوک داده سرویس ("بارگذاری" ، داده های کاربر) آن رمزگذاری شده است. همانطور که در استاندارد نیز نوشته شده است، این سرویس می تواند هم در همان سطح، "به تنهایی" و هم با کمک یک سطح پایین تر ارائه شود (مثلاً اینگونه است که اغلب در MACsec پیاده سازی می شود) .
در عمل، دو حالت انتقال اطلاعات رمزگذاری شده از طریق شبکه امکان پذیر است (IPsec بلافاصله به ذهن می رسد، اما همان حالت ها در پروتکل های دیگر نیز یافت می شود). که در حمل و نقل حالت (گاهی اوقات بومی نیز نامیده می شود) فقط رمزگذاری شده است سرویس بلوکی از دادهها، و سرصفحهها "باز" و رمزگذاری نشده باقی میمانند (گاهی فیلدهای اضافی با اطلاعات سرویس الگوریتم رمزگذاری اضافه میشوند و فیلدهای دیگر اصلاح و دوباره محاسبه میشوند). که در تونل همه حالت یکسان پروتکل بلوک داده (یعنی خود بسته) رمزگذاری شده و در یک بلوک داده سرویس هم سطح یا بالاتر محصور می شود، یعنی توسط هدرهای جدید احاطه شده است.
خود سطح رمزگذاری در ترکیب با برخی از حالتهای انتقال نه خوب است و نه بد، بنابراین نمیتوان گفت که مثلاً L3 در حالت انتقال بهتر از L2 در حالت تونل است. فقط بسیاری از ویژگی هایی که دستگاه ها توسط آن ها ارزیابی می شوند به آنها بستگی دارد. به عنوان مثال، انعطاف پذیری و سازگاری. برای کار در شبکه L1 (رله جریان بیت)، L2 (سوئیچینگ فریم) و L3 (مسیریابی بسته) در حالت انتقال، به راه حل هایی نیاز دارید که در سطح یکسان یا بالاتر رمزگذاری کنند (در غیر این صورت اطلاعات آدرس رمزگذاری می شود و داده ها رمزگذاری می شوند. به مقصد مورد نظر خود نرسد)، و حالت تونل بر این محدودیت غلبه می کند (البته سایر ویژگی های مهم را قربانی می کند).
حالت های رمزگذاری L2 حمل و نقل و تونل
حالا بیایید به تحلیل ویژگی ها بپردازیم.
کارایی
برای رمزگذاری شبکه، عملکرد یک مفهوم پیچیده و چند بعدی است. این اتفاق می افتد که یک مدل خاص، در حالی که در یک ویژگی عملکرد برتر است، در دیگری پایین تر است. بنابراین، همیشه در نظر گرفتن تمام اجزای عملکرد رمزگذاری و تأثیر آنها بر عملکرد شبکه و برنامه های کاربردی که از آن استفاده می کنند مفید است. در اینجا می توانیم قیاسی با یک ماشین ترسیم کنیم که برای آن نه تنها حداکثر سرعت مهم است، بلکه زمان شتاب تا "صدها" ، مصرف سوخت و غیره نیز مهم است. شرکت های فروشنده و مشتریان بالقوه آنها به ویژگی های عملکرد توجه زیادی دارند. به عنوان یک قاعده، دستگاه های رمزگذاری بر اساس عملکرد در خطوط فروشنده رتبه بندی می شوند.
واضح است که عملکرد هم به پیچیدگی عملیات شبکه و رمزنگاری انجام شده روی دستگاه (از جمله اینکه چقدر می توان این وظایف را موازی کرد و خط لوله کرد) و هم به عملکرد سخت افزار و کیفیت سیستم عامل بستگی دارد. بنابراین، مدلهای قدیمیتر از سختافزار پربازدهتری استفاده میکنند؛ گاهی اوقات میتوان آن را به پردازندهها و ماژولهای حافظه اضافی مجهز کرد. چندین رویکرد برای اجرای توابع رمزنگاری وجود دارد: در یک واحد پردازش مرکزی همه منظوره (CPU)، مدار مجتمع ویژه برنامه (ASIC)، یا مدار مجتمع منطقی قابل برنامه ریزی میدانی (FPGA). هر رویکردی مزایا و معایب خود را دارد. به عنوان مثال، CPU می تواند به یک گلوگاه رمزگذاری تبدیل شود، به خصوص اگر پردازنده دستورالعمل های تخصصی برای پشتیبانی از الگوریتم رمزگذاری نداشته باشد (یا اگر از آنها استفاده نشود). تراشههای تخصصی فاقد انعطافپذیری هستند؛ همیشه نمیتوان آنها را برای بهبود عملکرد، افزودن عملکردهای جدید یا حذف آسیبپذیریها «بازتاب» کرد. علاوه بر این، استفاده از آنها فقط با حجم تولید زیاد سودآور می شود. به همین دلیل است که "میانگین طلایی" بسیار محبوب شده است - استفاده از FPGA (FPGA در روسی). بر روی FPGA است که به اصطلاح شتاب دهنده های رمزنگاری ساخته می شوند - ماژول های سخت افزاری تخصصی داخلی یا پلاگین برای پشتیبانی از عملیات رمزنگاری.
از آنجایی که ما در مورد آن صحبت می کنیم شبکه رمزگذاری، منطقی است که عملکرد راه حل ها باید در مقادیر مشابه سایر دستگاه های شبکه - توان عملیاتی، درصد افت فریم و تاخیر اندازه گیری شود. این مقادیر در RFC 1242 تعریف شده اند. به هر حال، چیزی در مورد تغییرات تاخیری که اغلب ذکر شده است (jitter) در این RFC نوشته نشده است. چگونه این مقادیر را اندازه گیری کنیم؟ من متدولوژی تایید شده در هیچ استانداردی (رسمی یا غیر رسمی مانند RFC) به طور خاص برای رمزگذاری شبکه پیدا نکردم. منطقی است که از روش برای دستگاه های شبکه مندرج در استاندارد RFC 2544 استفاده شود. بسیاری از فروشندگان از آن پیروی می کنند - بسیاری، اما نه همه. به عنوان مثال، آنها ترافیک آزمایشی را به جای هر دو، فقط در یک جهت ارسال می کنند توصیه شده استاندارد به هر حال.
اندازه گیری عملکرد دستگاه های رمزگذاری شبکه هنوز ویژگی های خاص خود را دارد. اولاً، انجام همه اندازهگیریها برای یک جفت دستگاه صحیح است: اگرچه الگوریتمهای رمزگذاری متقارن هستند، تأخیرها و تلفات بسته در طول رمزگذاری و رمزگشایی لزوماً برابر نیستند. در مرحله دوم، اندازه گیری دلتا، تأثیر رمزگذاری شبکه بر عملکرد نهایی شبکه، با مقایسه دو پیکربندی: بدون دستگاه های رمزگذاری و با آنها، منطقی است. یا همانطور که در مورد دستگاه های هیبریدی وجود دارد، که چندین عملکرد را علاوه بر رمزگذاری شبکه، با رمزگذاری خاموش و روشن ترکیب می کنند. این تأثیر می تواند متفاوت باشد و به طرح اتصال دستگاه های رمزگذاری، به حالت های عملیاتی و در نهایت به ماهیت ترافیک بستگی دارد. به طور خاص، بسیاری از پارامترهای عملکرد به طول بسته ها بستگی دارند، به همین دلیل است که برای مقایسه عملکرد راه حل های مختلف، اغلب از نمودارهای این پارامترها بسته به طول بسته ها استفاده می شود، یا از IMIX استفاده می شود - توزیع ترافیک بر اساس بسته. طول، که تقریبا منعکس کننده واقعی است. اگر همان پیکربندی اولیه را بدون رمزگذاری مقایسه کنیم، میتوانیم راهحلهای رمزگذاری شبکه را که بهصورت متفاوت اجرا شدهاند، بدون وارد شدن به این تفاوتها مقایسه کنیم: L2 با L3، ذخیره و ارسال) با برش، تخصصی با همگرا، GOST با AES و غیره.
نمودار اتصال برای تست عملکرد
اولین مشخصه ای که مردم به آن توجه می کنند "سرعت" دستگاه رمزگذاری است، یعنی پهنای باند (پهنای باند) رابط های شبکه آن، نرخ جریان بیت. توسط استانداردهای شبکه ای که توسط رابط ها پشتیبانی می شوند تعیین می شود. برای اترنت، اعداد معمول 1 گیگابیت بر ثانیه و 10 گیگابیت در ثانیه هستند. اما، همانطور که می دانیم، در هر شبکه حداکثر نظری است توان (خروجی) در هر یک از سطوح آن، همیشه پهنای باند کمتری وجود دارد: بخشی از پهنای باند توسط فواصل میان فریم، هدرهای سرویس، و غیره "خورده" می شود. اگر دستگاهی قادر به دریافت، پردازش (در مورد ما رمزگذاری یا رمزگشایی) و انتقال ترافیک با سرعت کامل رابط شبکه باشد، یعنی با حداکثر توان عملیاتی نظری برای این سطح از مدل شبکه، گفته می شود. کار کردن با سرعت خط. برای این کار لازم است که دستگاه بسته ها را در هر اندازه و با هر فرکانسی گم نکند یا دور نریزد. اگر دستگاه رمزگذاری از عملکرد با سرعت خط پشتیبانی نمی کند، حداکثر توان آن معمولاً در همان گیگابیت در ثانیه مشخص می شود (گاهی اوقات طول بسته ها را نشان می دهد - هر چه بسته ها کوتاه تر باشند، معمولاً توان عملیاتی کمتری دارند). درک این نکته بسیار مهم است که حداکثر توان حداکثر است بدون از دست دادن (حتی اگر دستگاه بتواند ترافیک را با سرعت بیشتری از طریق خود پمپ کند، اما در عین حال برخی از بسته ها را از دست بدهد). همچنین، توجه داشته باشید که برخی از فروشندگان کل توان عملیاتی بین تمام جفت پورت ها را اندازه گیری می کنند، بنابراین اگر تمام ترافیک رمزگذاری شده از طریق یک پورت انجام می شود، این اعداد معنی زیادی ندارند.
در کجاها کار با سرعت خط (یا به عبارت دیگر بدون از دست دادن بسته) اهمیت ویژه ای دارد؟ در پیوندهای با پهنای باند بالا و تأخیر بالا (مانند ماهواره)، که در آن یک پنجره TCP بزرگ باید برای حفظ سرعت انتقال بالا تنظیم شود، و جایی که از دست دادن بسته ها به طور چشمگیری عملکرد شبکه را کاهش می دهد.
اما تمام پهنای باند برای انتقال داده های مفید استفاده نمی شود. ما باید با به اصطلاح حساب کنیم هزینه های سربار پهنای باند (سربار). این بخشی از توان عملیاتی دستگاه رمزگذاری (به صورت درصد یا بایت در هر بسته) است که در واقع تلف می شود (نمی توان برای انتقال داده های برنامه استفاده کرد). هزینه های سربار اولاً به دلیل افزایش اندازه (افزودن، "پر کردن") میدان داده در بسته های شبکه رمزگذاری شده (بسته به الگوریتم رمزگذاری و حالت عملکرد آن) ایجاد می شود. ثانیاً به دلیل افزایش طول هدر بسته ها (حالت تونل، درج سرویس پروتکل رمزگذاری، درج شبیه سازی و غیره بسته به پروتکل و نحوه عملکرد رمز و حالت انتقال) - معمولاً این هزینه های سربار عبارتند از مهم ترین، و آنها ابتدا توجه می کنند. ثالثاً، به دلیل تکه تکه شدن بسته ها هنگامی که از حداکثر اندازه واحد داده (MTU) فراتر رفته است (اگر شبکه بتواند بسته ای را که از MTU بیشتر است به دو قسمت تقسیم کند و هدرهای آن را کپی کند). چهارم، به دلیل ظاهر شدن سرویس (کنترل) ترافیک اضافی در شبکه بین دستگاه های رمزگذاری (برای تعویض کلید، نصب تونل و غیره). سربار پایین در جایی که ظرفیت کانال محدود است مهم است. این امر بهویژه در ترافیک بستههای کوچک، بهعنوان مثال، صدا مشهود است - جایی که هزینههای سربار میتواند بیش از نیمی از سرعت کانال را «تخریب» کند!
توان
در نهایت، موارد بیشتری وجود دارد تاخیر معرفی کرد - تفاوت (در کسری از ثانیه) در تاخیر شبکه (زمانی که طول می کشد تا داده ها از ورود به شبکه به خروج از آن سپری شوند) بین انتقال داده بدون رمزگذاری شبکه و با آن. به طور کلی، هرچه تأخیر («تأخیر») شبکه کمتر باشد، تأخیر معرفی شده توسط دستگاههای رمزگذاری بحرانیتر میشود. تاخیر توسط خود عملیات رمزگذاری (بسته به الگوریتم رمزگذاری، طول بلوک و نحوه عملکرد رمز و همچنین کیفیت اجرای آن در نرم افزار) و پردازش بسته شبکه در دستگاه ایجاد می شود. . تأخیر معرفیشده هم به حالت پردازش بسته (عبور یا ذخیره و ارسال) و هم به عملکرد پلتفرم بستگی دارد (اجرای سختافزار در یک FPGA یا ASIC عموماً سریعتر از پیادهسازی نرمافزار روی CPU است). رمزگذاری L2 تقریباً همیشه تاخیر کمتری نسبت به رمزگذاری L3 یا L4 دارد، به این دلیل که دستگاه های رمزگذاری L3/L4 اغلب همگرا هستند. به عنوان مثال، با استفاده از رمزگذارهای اترنت پرسرعت بر روی FPGA و رمزگذاری در L2، تأخیر ناشی از عملیات رمزگذاری بسیار ناچیز است - گاهی اوقات وقتی رمزگذاری روی یک جفت دستگاه فعال می شود، کل تأخیر معرفی شده توسط آنها حتی کاهش می یابد! تأخیر کم در جایی که قابل مقایسه با تأخیرهای کانال کلی است، از جمله تأخیر انتشار، که تقریباً 5 میکرو ثانیه در هر کیلومتر است، مهم است. یعنی میتوان گفت که برای شبکههای در مقیاس شهری (به عرض دهها کیلومتر)، میکروثانیهها میتوانند خیلی تصمیم بگیرند. به عنوان مثال، برای تکرار همزمان پایگاه داده، تجارت با فرکانس بالا، همان بلاک چین.
تاخیر معرفی شد
مقیاس پذیری
شبکه های توزیع شده بزرگ می توانند شامل هزاران گره و دستگاه شبکه، صدها بخش شبکه محلی باشند. مهم است که راه حل های رمزگذاری محدودیت های اضافی را بر روی اندازه و توپولوژی شبکه توزیع شده اعمال نکنند. این در درجه اول برای حداکثر تعداد آدرس های میزبان و شبکه اعمال می شود. چنین محدودیتهایی ممکن است، برای مثال، هنگام پیادهسازی توپولوژی شبکه رمزگذاریشده چند نقطهای (با اتصالات امن مستقل، یا تونلها) یا رمزگذاری انتخابی (مثلاً با شماره پروتکل یا VLAN) مواجه شوند. اگر در این مورد آدرس های شبکه (MAC، IP، VLAN ID) به عنوان کلید در جدولی که تعداد ردیف ها در آن محدود است استفاده شود، این محدودیت ها در اینجا ظاهر می شوند.
علاوه بر این، شبکه های بزرگ اغلب دارای چندین لایه ساختاری از جمله شبکه اصلی هستند که هر یک از آنها طرح آدرس دهی و خط مشی مسیریابی خود را پیاده سازی می کنند. برای پیاده سازی این رویکرد، فرمت های فریم ویژه (مانند Q-in-Q یا MAC-in-MAC) و پروتکل های تعیین مسیر اغلب استفاده می شود. برای جلوگیری از ایجاد چنین شبکههایی، دستگاههای رمزگذاری باید به درستی چنین فریمهایی را مدیریت کنند (یعنی از این نظر، مقیاسپذیری به معنای سازگاری خواهد بود - در ادامه به آنها میپردازیم).
انعطاف پذیری
در اینجا ما در مورد پشتیبانی از تنظیمات مختلف، طرح های اتصال، توپولوژی ها و موارد دیگر صحبت می کنیم. به عنوان مثال، برای شبکههای سوئیچشده مبتنی بر فناوریهای اترنت حامل، این به معنای پشتیبانی از انواع مختلف اتصالات مجازی (E-Line، E-LAN، E-Tree)، انواع مختلف خدمات (هر دو توسط پورت و VLAN) و فناوریهای مختلف حمل و نقل است. (آنها قبلاً در بالا ذکر شده اند). به این معنا که دستگاه باید بتواند در هر دو حالت خطی ("نقطه به نقطه") و چند نقطه کار کند، تونل های جداگانه ای برای VLAN های مختلف ایجاد کند، و اجازه تحویل خارج از نظم بسته ها را در یک کانال امن بدهد. توانایی انتخاب حالت های مختلف رمزگذاری (از جمله با یا بدون احراز هویت محتوا) و حالت های مختلف انتقال بسته به شما این امکان را می دهد که بسته به شرایط فعلی تعادلی بین قدرت و عملکرد برقرار کنید.
همچنین پشتیبانی از شبکههای خصوصی که تجهیزات آن متعلق به یک سازمان است (یا به آن اجاره داده میشود) و شبکههای اپراتور که بخشهای مختلف آن توسط شرکتهای مختلف مدیریت میشوند، مهم است. خوب است اگر راه حل به مدیریت هم در داخل و هم توسط شخص ثالث (با استفاده از مدل خدمات مدیریت شده) اجازه دهد. در شبکه های اپراتور، یکی دیگر از عملکردهای مهم، پشتیبانی از چند اجاره (به اشتراک گذاری توسط مشتریان مختلف) در قالب جداسازی رمزنگاری از مشتریان فردی (مشترکین) است که ترافیک آنها از مجموعه دستگاه های رمزگذاری یکسانی عبور می کند. این معمولاً مستلزم استفاده از مجموعههای جداگانه کلیدها و گواهیها برای هر مشتری است.
اگر دستگاهی برای یک سناریوی خاص خریداری شده است، ممکن است همه این ویژگی ها خیلی مهم نباشند - فقط باید مطمئن شوید که دستگاه از آنچه اکنون نیاز دارید پشتیبانی می کند. اما اگر راه حلی "برای رشد" خریداری شود تا از سناریوهای آینده نیز پشتیبانی کند، و به عنوان "استاندارد شرکتی" انتخاب شود، انعطاف پذیری اضافی نخواهد بود - به ویژه با در نظر گرفتن محدودیت ها در قابلیت همکاری دستگاه ها از فروشندگان مختلف ( بیشتر در این مورد در زیر).
سادگی و راحتی
سهولت خدمات نیز یک مفهوم چند عاملی است. تقریباً می توان گفت که این کل زمان صرف شده توسط متخصصان با صلاحیت خاص است که برای پشتیبانی از یک راه حل در مراحل مختلف چرخه عمر آن لازم است. اگر هیچ هزینه ای وجود نداشته باشد و نصب، پیکربندی و عملکرد کاملاً خودکار باشد، هزینه ها صفر و راحتی مطلق است. البته در دنیای واقعی این اتفاق نمی افتد. یک تقریب معقول یک مدل است "گره روی سیم" (bump-in-the-wire) یا اتصال شفاف، که در آن افزودن و غیرفعال کردن دستگاه های رمزگذاری نیازی به تغییر دستی یا خودکار در پیکربندی شبکه ندارد. در عین حال، حفظ راه حل ساده می شود: می توانید با خیال راحت عملکرد رمزگذاری را روشن و خاموش کنید، و در صورت لزوم، به سادگی دستگاه را با کابل شبکه "دور زدن" کنید (یعنی مستقیماً آن پورت های تجهیزات شبکه را که به آنها متصل می شوند، متصل کنید. متصل بود). درست است، یک اشکال وجود دارد - یک مهاجم می تواند همین کار را انجام دهد. برای اجرای اصل "گره روی سیم"، لازم است نه تنها ترافیک را در نظر بگیرید لایه دادهاما لایه های کنترل و مدیریت - دستگاه ها باید برای آنها شفاف باشند. بنابراین، چنین ترافیکی تنها زمانی میتواند رمزگذاری شود که هیچ گیرندهای از این نوع ترافیک در شبکه بین دستگاههای رمزگذاری وجود نداشته باشد، زیرا اگر دور انداخته یا رمزگذاری شود، زمانی که رمزگذاری را فعال یا غیرفعال میکنید، ممکن است پیکربندی شبکه تغییر کند. دستگاه رمزگذاری همچنین می تواند برای سیگنال دهی لایه فیزیکی شفاف باشد. به ویژه، هنگامی که یک سیگنال از دست میرود، باید این تلفات (یعنی فرستندههای آن را خاموش کند) به عقب و جلو ("برای خودش") در جهت سیگنال ارسال کند.
پشتیبانی در تقسیم اختیارات بین بخش های امنیت اطلاعات و فناوری اطلاعات، به ویژه بخش شبکه، نیز مهم است. راه حل رمزگذاری باید از مدل کنترل دسترسی و ممیزی سازمان پشتیبانی کند. نیاز به تعامل بین بخش های مختلف برای انجام عملیات معمول باید به حداقل برسد. بنابراین، از نظر راحتی برای دستگاه های تخصصی که به طور انحصاری از توابع رمزگذاری پشتیبانی می کنند و تا حد امکان برای عملیات شبکه شفاف هستند، یک مزیت وجود دارد. به زبان ساده، کارمندان امنیت اطلاعات نباید دلیلی برای تماس با «متخصصان شبکه» برای تغییر تنظیمات شبکه داشته باشند. و آنها به نوبه خود نیازی به تغییر تنظیمات رمزگذاری هنگام نگهداری شبکه ندارند.
عامل دیگر قابلیت ها و راحتی کنترل ها است. آنها باید بصری، منطقی، واردات و صادرات تنظیمات، اتوماسیون و غیره باشند. شما باید فوراً به گزینههای مدیریتی در دسترس (معمولاً محیط مدیریت، رابط وب و خط فرمان خود) توجه کنید و هر کدام از آنها چه مجموعهای از عملکردها دارند (محدودیتهایی وجود دارد). یک عملکرد مهم پشتیبانی است خارج از گروه کنترل (خارج از باند)، یعنی از طریق یک شبکه کنترل اختصاصی، و داخل باند کنترل (در باند)، یعنی از طریق یک شبکه مشترک که از طریق آن ترافیک مفید منتقل می شود. ابزارهای مدیریتی باید همه موقعیتهای غیرعادی، از جمله حوادث امنیت اطلاعات را نشان دهند. عملیات معمول و تکراری باید به صورت خودکار انجام شود. این در درجه اول به مدیریت کلید مربوط می شود. آنها باید به طور خودکار تولید / توزیع شوند. پشتیبانی PKI یک مزیت بزرگ است.
سازگاری
یعنی سازگاری دستگاه با استانداردهای شبکه. علاوه بر این، این نه تنها به معنای استانداردهای صنعتی پذیرفته شده توسط سازمان های معتبر مانند IEEE، بلکه پروتکل های اختصاصی رهبران صنعت مانند سیسکو است. دو راه اصلی برای اطمینان از سازگاری وجود دارد: یا از طریق شفافیت، یا از طریق پشتیبانی صریح پروتکل ها (زمانی که یک دستگاه رمزگذاری به یکی از گره های شبکه برای یک پروتکل خاص تبدیل می شود و ترافیک کنترل این پروتکل را پردازش می کند). سازگاری با شبکه ها به کامل بودن و صحت اجرای پروتکل های کنترلی بستگی دارد. پشتیبانی از گزینه های مختلف برای سطح PHY (سرعت، رسانه انتقال، طرح رمزگذاری)، فریم های اترنت با فرمت های مختلف با هر MTU، پروتکل های مختلف خدمات L3 (عمدتاً خانواده TCP/IP) مهم است.
شفافیت از طریق مکانیسمهای جهش (تغییر موقت محتویات سرصفحههای باز در ترافیک بین رمزگذارها)، پرش (زمانی که بستههای جداگانه بدون رمز باقی میمانند) و تورفتگی ابتدای رمزگذاری (زمانی که فیلدهای رمزگذاری شده بستهها رمزگذاری نشدهاند) تضمین میشود.
چگونه شفافیت تضمین می شود
بنابراین، همیشه نحوه پشتیبانی از یک پروتکل خاص را بررسی کنید. اغلب پشتیبانی در حالت شفاف راحت تر و قابل اعتمادتر است.
قابلیت همکاری
این نیز سازگاری است، اما به معنای دیگری، یعنی توانایی کار با مدلهای دیگر دستگاههای رمزگذاری، از جمله مدلهای تولیدکنندگان دیگر. خیلی به وضعیت استاندارد پروتکل های رمزگذاری بستگی دارد. به سادگی هیچ استاندارد رمزگذاری پذیرفته شده ای در L1 وجود ندارد.
استاندارد 2ae (MACsec) برای رمزگذاری L802.1 در شبکه های اترنت وجود دارد، اما از آن استفاده نمی کند. مقطعی (پایان به انتها)، و interport، رمزگذاری "هاپ به هاپ" و در نسخه اصلی آن برای استفاده در شبکه های توزیع شده نامناسب است، بنابراین پسوندهای اختصاصی آن ظاهر شده است که بر این محدودیت غلبه کرده است (البته به دلیل قابلیت همکاری با تجهیزات سایر سازندگان). درست است، در سال 2018، پشتیبانی از شبکه های توزیع شده به استاندارد 802.1ae اضافه شد، اما هنوز هیچ پشتیبانی از مجموعه الگوریتم های رمزگذاری GOST وجود ندارد. بنابراین، پروتکل های رمزگذاری اختصاصی و غیر استاندارد L2، به عنوان یک قاعده، با کارایی بیشتر (به ویژه، سربار پهنای باند کمتر) و انعطاف پذیری (توانایی تغییر الگوریتم ها و حالت های رمزگذاری) متمایز می شوند.
در سطوح بالاتر (L3 و L4) استانداردهای شناخته شده ای وجود دارد، در درجه اول IPsec و TLS، اما در اینجا نیز به این سادگی نیست. واقعیت این است که هر یک از این استانداردها مجموعه ای از پروتکل ها هستند که هر کدام دارای نسخه ها و پسوندهای متفاوتی هستند که برای پیاده سازی مورد نیاز یا اختیاری هستند. علاوه بر این، برخی از تولیدکنندگان ترجیح می دهند از پروتکل های رمزگذاری اختصاصی خود در L3/L4 استفاده کنند. بنابراین، در بیشتر موارد نباید روی قابلیت همکاری کامل حساب کنید، اما مهم است که حداقل از تعامل بین مدلهای مختلف و نسلهای مختلف همان سازنده اطمینان حاصل شود.
قابلیت اطمینان
برای مقایسه راه حل های مختلف، می توانید از میانگین زمان بین خرابی ها یا فاکتور در دسترس بودن استفاده کنید. اگر این اعداد در دسترس نیستند (یا اعتمادی به آنها وجود ندارد)، می توان مقایسه کیفی انجام داد. دستگاههای با مدیریت راحت دارای مزیت (خطر کمتر خطاهای پیکربندی)، رمزگذارهای تخصصی (به همین دلیل)، و همچنین راهحلهایی با حداقل زمان برای شناسایی و از بین بردن خرابی هستند، از جمله ابزارهای پشتیبانگیری «هات» از کل گرهها و دستگاه ها
هزینه
وقتی صحبت از هزینه به میان می آید، مانند اکثر راه حل های فناوری اطلاعات، مقایسه کل هزینه مالکیت منطقی است. برای محاسبه آن، لازم نیست چرخ را دوباره اختراع کنید، بلکه از هر روش مناسب (مثلاً از گارتنر) و هر ماشین حسابی (مثلاً ماشینی که قبلاً در سازمان برای محاسبه TCO استفاده شده است) استفاده کنید. واضح است که برای راه حل رمزگذاری شبکه، کل هزینه مالکیت شامل است مستقیم هزینه های خرید یا اجاره خود راه حل، زیرساخت برای تجهیزات میزبانی و هزینه های استقرار، مدیریت و نگهداری (چه در داخل و چه در قالب خدمات شخص ثالث) و همچنین غیر مستقیم هزینه های ناشی از خرابی راه حل (ناشی از از دست دادن بهره وری کاربر نهایی). احتمالا فقط یک نکته ظریف وجود دارد. تأثیر عملکرد راه حل را می توان به روش های مختلفی در نظر گرفت: یا به عنوان هزینه های غیرمستقیم ناشی از بهره وری از دست رفته، یا به عنوان هزینه های مستقیم "مجازی" خرید/ ارتقاء و نگهداری ابزارهای شبکه که افت عملکرد شبکه را به دلیل استفاده از رمزگذاری در هر صورت، هزینه هایی که محاسبه آنها با دقت کافی دشوار است، بهتر است از محاسبه حذف شوند: به این ترتیب اطمینان بیشتری نسبت به ارزش نهایی وجود خواهد داشت. و، طبق معمول، در هر صورت، منطقی است که دستگاه های مختلف را با TCO برای یک سناریوی خاص استفاده از آنها - واقعی یا معمولی، مقایسه کنیم.
پایداری
و آخرین ویژگی تداوم راه حل است. در بیشتر موارد، دوام را تنها با مقایسه راه حل های مختلف می توان از نظر کیفی ارزیابی کرد. باید به یاد داشته باشیم که دستگاه های رمزگذاری نه تنها یک وسیله، بلکه یک هدف محافظتی نیز هستند. آنها ممکن است در معرض تهدیدات مختلفی قرار گیرند. تهدید به نقض محرمانه بودن، بازتولید و اصلاح پیام ها در خط مقدم قرار دارد. این تهدیدها را میتوان از طریق آسیبپذیریهای رمز یا حالتهای فردی آن، از طریق آسیبپذیری در پروتکلهای رمزگذاری (از جمله در مراحل برقراری اتصال و تولید/توزیع کلید) تحقق بخشید. مزیت راه حل هایی است که امکان تغییر الگوریتم رمزگذاری یا تغییر حالت رمزگذاری (حداقل از طریق به روز رسانی سیستم عامل) را فراهم می کند، راه حل هایی که کامل ترین رمزگذاری را ارائه می دهند، نه تنها داده های کاربر، بلکه آدرس و سایر اطلاعات سرویس را نیز از مهاجم پنهان می کنند. و همچنین راهحلهای فنی که نه تنها رمزگذاری میکنند، بلکه از پیامها در برابر پخش مجدد و تغییر محافظت میکنند. برای همه الگوریتم های رمزگذاری مدرن، امضاهای الکترونیکی، تولید کلید و غیره که در استانداردها گنجانده شده اند، می توان قدرت را یکسان فرض کرد (در غیر این صورت می توانید به سادگی در طبیعت رمزنگاری گم شوید). آیا اینها لزوما باید الگوریتم های GOST باشند؟ همه چیز در اینجا ساده است: اگر سناریوی برنامه به گواهی FSB برای CIPF نیاز دارد (و در روسیه اغلب چنین است؛ برای اکثر سناریوهای رمزگذاری شبکه این درست است)، پس ما فقط بین سناریوهای تأیید شده انتخاب می کنیم. در غیر این صورت، حذف دستگاههای بدون گواهی از بررسی فایدهای ندارد.
تهدید دیگر تهدید هک، دسترسی غیرمجاز به دستگاه ها (از جمله از طریق دسترسی فیزیکی به بیرون و داخل کیس) است. تهدید را می توان از طریق انجام داد
آسیب پذیری در پیاده سازی - در سخت افزار و کد. بنابراین، راه حل هایی با حداقل "سطح حمله" از طریق شبکه، با محفظه های محافظت شده از دسترسی فیزیکی (با سنسورهای نفوذ، حفاظت کاوشگر و بازنشانی خودکار اطلاعات کلیدی هنگام باز شدن محفظه)، و همچنین راه حل هایی که امکان به روز رسانی سیستم عامل را فراهم می کنند، دارای خواهند بود. یک مزیت در صورتی که یک آسیب پذیری در کد مشخص شود. راه دیگری وجود دارد: اگر همه دستگاه های مورد مقایسه دارای گواهی FSB باشند، کلاس CIPF که گواهی برای آن صادر شده است را می توان نشانگر مقاومت در برابر هک در نظر گرفت.
در نهایت، نوع دیگری از تهدید، خطاهای حین راه اندازی و عملیات است که عامل انسانی در خالص ترین شکل آن است. این نشان دهنده مزیت دیگری از رمزگذارهای تخصصی نسبت به راه حل های همگرا است، که اغلب برای "متخصصان شبکه" باتجربه هدف قرار می گیرند و می توانند برای متخصصان امنیت اطلاعات عمومی "معمولی" مشکلاتی ایجاد کنند.
خلاصه کردن
در اصل، در اینجا می توان نوعی شاخص انتگرال را برای مقایسه دستگاه های مختلف پیشنهاد کرد، چیزی شبیه به
$$display$$K_j=∑p_i r_{ij}$$display$$
که در آن p وزن نشانگر و r رتبه دستگاه مطابق با این نشانگر است و هر یک از ویژگی های ذکر شده در بالا را می توان به شاخص های "اتمی" تقسیم کرد. چنین فرمولی می تواند مفید باشد، برای مثال، هنگام مقایسه پیشنهادات مناقصه بر اساس قوانین از پیش توافق شده. اما شما می توانید با یک میز ساده مانند
توصیف شخصیت
دستگاه 1
دستگاه 2
...
دستگاه N
توان
+
+
+ + +
سربار
+
++
+ + +
تاخیر انداختن
+
+
++
مقیاس پذیری
+ + +
+
+ + +
انعطاف پذیری
+ + +
++
+
قابلیت همکاری
++
+
+
سازگاری
++
++
+ + +
سادگی و راحتی
+
+
++
تحمل خطا
+ + +
+ + +
++
هزینه
++
+ + +
+
پایداری
++
++
+ + +
خوشحال می شوم به سوالات و انتقادات سازنده پاسخ دهم.
منبع: www.habr.com