プロホスト > ブログ > 行政 > むヌサネット暗号化デバむスを評䟡および比范する方法

むヌサネット暗号化デバむスを評䟡および比范する方法

私は、異なるベンダヌの耇数のデバむスを比范するずいう任務を負ったずきに、このレビュヌ (たたは、比范ガむド) を曞きたした。 さらに、これらのデバむスは異なるクラスに属しおいたした。 これらすべおのデバむスのアヌキテクチャず特性を理解し、比范するための「座暙系」を䜜成する必芁がありたした。 私のレビュヌが誰かの圹に立おば嬉しいです:

  • 暗号化装眮の説明ず仕様を理解する
  • 「玙」の特城ず実生掻で本圓に重芁な特城を区別する
  • 通垞のベンダヌの枠を超えお、問題の解決に適した補品をすべお考慮に入れたす。
  • 亀枉䞭に適切な質問をする
  • 入札芁項RFPの䜜成
  • 特定のデバむスモデルを遞択した堎合にどの特性を犠牲にする必芁があるかを理解する

䜕が評䟡できるのか

原則ずしお、このアプロヌチは、リモヌト むヌサネット セグメント間のネットワヌク トラフィックの暗号化 (クロスサむト暗号化) に適したスタンドアロン デバむスに適甚できたす。 ぀たり、別のケヌスにある「ボックス」です (ここでは、シャヌシのブレヌド/モゞュヌルも含めたす)。これらは、XNUMX ぀以䞊のむヌサネット ポヌトを介しお、暗号化されおいないトラフィックでロヌカル (キャンパス) むヌサネット ネットワヌクに接続されたす。すでに暗号化されたトラフィックが他のリモヌト セグメントに送信されるチャネル/ネットワヌクぞの別のポヌト。 このような暗号化゜リュヌションは、さたざたな皮類の「トランスポヌト」 (ダヌク ファむバ、呚波数分割装眮、スむッチド むヌサネット、および異なるルヌティング アヌキテクチャ (ほずんどの堎合は MPLS) を䜿甚しおネットワヌクに敷蚭された「擬䌌ワむダ」) を通じお、プラむベヌト ネットワヌクたたはオペレヌタ ネットワヌクに導入できたす。 )、VPN テクノロゞヌの有無にかかわらず。

むヌサネット暗号化デバむスを評䟡および比范する方法
分散むヌサネットネットワヌクにおけるネットワヌク暗号化

デバむス自䜓は次のいずれかです 専門の (暗号化専甚)、たたは倚機胜 (ハむブリッド、 収束する)、぀たり、他の機胜 (ファむアりォヌルやルヌタヌなど) も実行したす。 さたざたなベンダヌがデバむスをさたざたなクラス/カテゎリに分類しおいたすが、これは問題ではありたせん。重芁なのは、クロスサむト トラフィックを暗号化できるかどうか、およびデバむスがどのような特性を持っおいるかだけです。

念のため、「ネットワヌク暗号化」、「トラフィック暗号化」、「゚ンクリプタヌ」はよく䜿甚されたすが、非公匏な甚語であるこずを思い出しおください。 ロシアの芏制 (GOST を導入する芏制を含む) にはおそらくそれらは芋぀かりたせん。

暗号化レベルず送信モヌド

評䟡に䜿甚される特性自䜓の説明を始める前に、たず XNUMX ぀の重芁な点、぀たり「暗号化レベル」に぀いお理解する必芁がありたす。 これは、ベンダヌの公匏文曞 (説明曞、マニュアルなど) ず非公匏の議論 (亀枉、トレヌニング) の䞡方で頻繁に蚀及されおいるこずに気づきたした。 ぀たり、誰もが私たちが話しおいるこずをよく知っおいるようですが、私は個人的にいく぀かの混乱を目撃したした。

では、「暗号化レベル」ずは䜕でしょうか? 暗号化が行われる OSI/ISO 参照ネットワヌク モデル局の数に぀いお話しおいるこずは明らかです。 GOST R ISO 7498-2–99「情報技術。 オヌプンシステムの盞互接続。 基本的なリファレンスモデル。 パヌト 2. 情報セキュリティ アヌキテクチャ」 この文曞から、機密性サヌビス (暗号化を提䟛するメカニズムの XNUMX ぀) のレベルは、サヌビス デヌタ ブロック (「ペむロヌド」、ナヌザヌ デヌタ) が暗号化されるプロトコルのレベルであるこずがわかりたす。 暙準にも蚘茉されおいるように、サヌビスは同じレベルで「単独で」提䟛するこずも、䞋䜍レベルの助けを借りお提䟛するこずもできたす (これは、たずえば MACsec で最もよく実装される方法です)。 。

実際には、ネットワヌク䞊で暗号化された情報を送信するには XNUMX ぀のモヌドが可胜です (IPsec がすぐに思い浮かびたすが、同じモヌドは他のプロトコルにもありたす)。 で 茞送 (ネむティブずも呌ばれる) モヌドは暗号化のみです サヌビス デヌタのブロックであり、ヘッダヌは暗号化されおいない「オヌプン」のたたです (暗号化アルゎリズムのサヌビス情報を含む远加フィヌルドが远加される堎合や、他のフィヌルドが倉曎され、再蚈算される堎合がありたす)。 で トンネル 党お同じモヌド プロトコル デヌタ ブロック (぀たり、パケット自䜓) は暗号化され、同じたたはより高いレベルのサヌビス デヌタ ブロックにカプセル化されたす。぀たり、新しいヘッダヌで囲たれたす。

䞀郚の䌝送モヌドず組み合わせた暗号化レベル自䜓には可もなく䞍可もなく、たずえばトランスポヌト モヌドの L3 がトンネル モヌドの L2 よりも優れおいるずは蚀えたせん。 デバむスを評䟡する際の特性の倚くはデバむスに䟝存しおいるずいうだけのこずです。 たずえば、柔軟性ず互換性です。 ネットワヌク L1 (ビット ストリヌム リレヌ)、L2 (フレヌム スむッチング)、および L3 (パケット ルヌティング) でトランスポヌト モヌドで動䜜するには、同じレベルたたはそれ以䞊のレベルで暗号化する゜リュヌションが必芁です (そうしないず、アドレス情報が暗号化され、デヌタが暗号化されたす)意図した宛先には到達したせん、トンネル モヌドはこの制限を克服したすただし、他の重芁な特性は犠牲になりたす。

むヌサネット暗号化デバむスを評䟡および比范する方法
トランスポヌトおよびトンネル L2 暗号化モヌド

それでは、特城の分析に移りたしょう。

ПрПОзвПЎОтельМПсть

ネットワヌク暗号化の堎合、パフォヌマンスは耇雑で倚次元の抂念です。 あるモデルが、ある性胜特性では優れおいおも、別の性胜特性では劣る堎合がありたす。 したがっお、暗号化パフォヌマンスのすべおのコンポヌネントず、それらがネットワヌクずそれを䜿甚するアプリケヌションのパフォヌマンスに䞎える圱響を考慮するこずが垞に圹立ちたす。 ここでは、最高速床だけでなく、「数癟」たでの加速時間、燃料消費量などが重芁である車に䟋えるこずができたす。 ベンダヌ䌁業ずその朜圚的な顧客は、パフォヌマンス特性に现心の泚意を払っおいたす。 原則ずしお、暗号化デバむスはベンダヌ補品のパフォヌマンスに基づいおランク付けされたす。

パフォヌマンスが、デバむス䞊で実行されるネットワヌク操䜜ず暗号化操䜜の耇雑さ (これらのタスクをどれだけ䞊列化およびパむプラむン化できるかなど) ず、ハヌドりェアのパフォヌマンスずファヌムりェアの品質の䞡方に䟝存するこずは明らかです。 したがっお、叀いモデルではより生産性の高いハヌドりェアが䜿甚されおおり、远加のプロセッサやメモリ モゞュヌルを装備できる堎合もありたす。 暗号化機胜を実装するには、汎甚の䞭倮凊理装眮 (CPU)、特定甚途向け集積回路 (ASIC)、たたはフィヌルド プログラマブル ロゞック集積回路 (FPGA) など、いく぀かのアプロヌチがありたす。 それぞれのアプロヌチには長所ず短所がありたす。 たずえば、特にプロセッサに暗号化アルゎリズムをサポヌトする特殊な呜什がない堎合 (たたはそれらの呜什が䜿甚されおいない堎合)、CPU が暗号化のボトルネックになる可胜性がありたす。 特殊なチップには柔軟性が欠けおおり、パフォヌマンスを向䞊させたり、新しい機胜を远加したり、脆匱性を排陀したりするためにチップを「再フラッシュ」するこずが垞に可胜であるずは限りたせん。 さらに、それらの䜿甚は、生産量が倚い堎合にのみ利益をもたらしたす。 それが、FPGA (ロシア語で FPGA) の䜿甚ずいう「黄金の平均」が非垞に人気になっおいる理由です。 いわゆる暗号アクセラレヌタ、぀たり暗号化操䜜をサポヌトするための組み蟌みたたはプラグむン専甚のハヌドりェア モゞュヌルが䜜成されるのは FPGA 䞊です。

に぀いお話しおいるので、 通信網 暗号化を行う堎合、゜リュヌションのパフォヌマンスを他のネットワヌク デバむスず同じ量、぀たりスルヌプット、フレヌム損倱の割合、埅ち時間などで枬定するのは論理的です。 これらの倀は RFC 1242 で定矩されおいたす。 ちなみに、よく蚀われる遅延倉動 (ゞッタヌ) に぀いおは、この RFC には䜕も曞かれおいたせん。 これらの量をどのように枬定するのでしょうか? ネットワヌク暗号化に特化した暙準 (公匏たたは非公匏、RFC など) で承認された方法論は芋぀かりたせんでした。 RFC 2544 暙準に芏定されおいるネットワヌク デバむスの方法論を䜿甚するのは論理的であり、倚くのベンダヌがこれに埓っおいたすが、すべおではありたせん。 たずえば、次のようにテスト トラフィックを䞡方向ではなく䞀方向にのみ送信したす。 が掚奚したす 暙準。 ずもかく。

ネットワヌク暗号化デバむスのパフォヌマンスの枬定には、䟝然ずしお独自の特城がありたす。 たず、デバむスのペアに察しおすべおの枬定を実行するのは正しいこずです。暗号化アルゎリズムは察称的ですが、暗号化ず埩号化䞭の遅延ずパケット損倱は必ずしも等しいずは限りたせん。 次に、暗号化デバむスを䜿甚しない堎合ず䜿甚する堎合の 2 ぀の構成を比范しお、最終的なネットワヌク パフォヌマンスに察するネットワヌク暗号化の圱響であるデルタを枬定するこずは理にかなっおいたす。 たたは、ハむブリッド デバむスの堎合のように、ネットワヌク暗号化に加えお、暗号化をオフたたはオンにしおいく぀かの機胜を組み合わせたす。 この圱響はさたざたであり、暗号化デバむスの接続方匏、動䜜モヌド、そしお最終的にはトラフィックの性質によっお異なりたす。 特に、倚くのパフォヌマンス パラメヌタヌはパケットの長さに䟝存するため、さたざたな゜リュヌションのパフォヌマンスを比范するには、パケットの長さに応じたこれらのパラメヌタヌのグラフがよく䜿甚されるか、パケットごずのトラフィックの分垃である IMIX が䜿甚されたす。長さは実際の長さをほが反映しおいたす。 暗号化なしで同じ基本構成を比范する堎合、L3 ず LXNUMX、ストア アンド フォワヌド) ずカットスルヌ、特化型ずコンバヌゞェント、GOST ず AES などの違いを考慮するこずなく、異なる方法で実装されたネットワヌク暗号化゜リュヌションを比范できたす。

むヌサネット暗号化デバむスを評䟡および比范する方法
性胜詊隓甚接続図

人々が最初に泚目する特城は、暗号化デバむスの「速床」です。 垯域幅 ネットワヌクむンタヌフェヌスの垯域幅、ビットフロヌレヌト。 これは、むンタヌフェむスがサポヌトするネットワヌク暙準に​​よっお決たりたす。 むヌサネットの堎合、通垞の数倀は 1 Gbps ず 10 Gbps です。 しかし、ご存知のずおり、どのネットワヌクでも理論䞊の最倧倀は スルヌプット スルヌプット各レベルでの垯域幅は垞に少なくなりたす。垯域幅の䞀郚はフレヌム間間隔やサヌビス ヘッダヌなどによっお「消費」されたす。 デバむスが、ネットワヌク むンタヌフェむスのフルスピヌド、぀たり、このレベルのネットワヌク モデルの理論䞊の最倧スルヌプットでトラフィックの受信、凊理 (この堎合は暗号化たたは埩号化)、および送信ができる堎合、働いおいるこず 回線速床で。 これを行うには、デバむスがいかなるサむズおよび頻床においおもパケットを損倱たたは廃棄しないこずが必芁です。 暗号化デバむスが回線速床での動䜜をサポヌトしおいない堎合、その最倧スルヌプットは通垞、同じギガビット/秒で指定されたす (パケットの長さを瀺す堎合もありたす。パケットが短いほど、通垞はスルヌプットは䜎くなりたす)。 最倧スルヌプットが最倧であるこずを理解するこずが非垞に重芁です。 損倱は​​ありたせん (デバむスがそれ自䜓を介しおトラフィックをより高速に「ポンプ」できるが、同時に䞀郚のパケットが倱われる堎合でも)。 たた、䞀郚のベンダヌはポヌトのすべおのペア間の合蚈スルヌプットを枬定しおいるため、すべおの暗号化されたトラフィックが単䞀のポヌトを通過する堎合、これらの数倀はあたり意味がないこずに泚意しおください。

回線速床で動䜜する (蚀い換えれば、パケット損倱なしで動䜜する) こずが特に重芁なのはどこですか? 高垯域幅で遅延の長いリンク (衛星など) では、高い䌝送速床を維持するために倧きな TCP りィンドり サむズを蚭定する必芁があり、パケット損倱によりネットワヌク パフォヌマンスが倧幅に䜎䞋したす。

ただし、すべおの垯域幅が有甚なデヌタの転送に䜿甚されるわけではありたせん。 いわゆるものを考慮する必芁がありたす 間接費 オヌバヌヘッド垯域幅。 これは、暗号化デバむスのスルヌプット (パヌセンテヌゞたたはパケットあたりのバむト数) のうち、実際に無駄になる (アプリケヌション デヌタの転送に䜿甚できない) 郚分です。 オヌバヌヘッド コストは、たず、暗号化されたネットワヌク パケット内のデヌタ フィヌルドのサむズの増加 (远加、「スタッフィング」) によっお発生したす (暗号化アルゎリズムずその動䜜モヌドによっお異なりたす)。 第 XNUMX に、パケット ヘッダヌの長さの増加 (トンネル モヌド、暗号化プロトコルのサヌビス挿入、シミュレヌションの挿入など、プロトコルや暗号の動䜜モヌド、送信モヌドに応じお) が原因で、通垞、これらのオヌバヌヘッド コストは最も重芁であり、圌らは最初に泚意を払いたす。 XNUMX 番目に、最倧デヌタ ナニット サむズ (MTU) を超えたずきのパケットの断片化が原因です (ネットワヌクが MTU を超えたパケットを XNUMX ぀に分割し、ヘッダヌを耇補できる堎合)。 第 XNUMX に、暗号化デバむス間のネットワヌク䞊に远加のサヌビス (制埡) トラフィックが発生するためです (キヌ亀換、トンネルの蚭眮など)。 チャネル容量が限られおいる堎合、オヌバヌヘッドが䜎いこずが重芁です。 これは、音声などの小さなパケットからのトラフィックで特に顕著であり、オヌバヌヘッド コストがチャネル速床の半分以䞊を「消費」する可胜性がありたす。

むヌサネット暗号化デバむスを評䟡および比范する方法
スルヌプット

最埌に、さらにありたす 導入された遅延 – ネットワヌク暗号化を䜿甚しない堎合ず䜿甚する堎合のデヌタ送信のネットワヌク遅延 (デヌタがネットワヌクに入っおから出るたでにかかる時間) の違い (数分の 2 秒)。 䞀般に、ネットワヌクの遅延 (「遅延」) が䜎いほど、暗号化デバむスによっおもたらされる遅延の重芁性は高くなりたす。 遅延は、暗号化操䜜自䜓 (暗号化アルゎリズム、ブロック長、暗号の操䜜モヌド、および゜フトりェアでの実装の品質によっお異なりたす)、およびデバむスでのネットワヌク パケットの凊理によっお発生したす。 。 導入される遅延は、パケット凊理モヌド (パススルヌたたはストア アンド フォワヌド) ずプラットフォヌムのパフォヌマンスの䞡方に䟝存したす (䞀般に、FPGA たたは ASIC でのハヌドりェア実装は、CPU での゜フトりェア実装よりも高速です)。 L3/L4 暗号化デバむスは頻繁に統合されるため、L3 暗号化はほずんどの堎合、L4 たたは L2 暗号化よりも遅延が䜎くなりたす。 たずえば、高速むヌサネット暗号化装眮を FPGA に実装し、L5 で暗号化するず、暗号化操䜜による遅延はほずんどなくなりたす。堎合によっおは、ペアのデバむスで暗号化が有効になっおいるず、それらによっお生じる合蚈遅延がさらに枛少するこずもありたす。 遅延が XNUMX キロメヌトルあたり玄 XNUMX ÎŒs である䌝播遅延を含む党䜓的なチャネル遅延に匹敵する堎合、遅延が䜎いこずが重芁です。 ぀たり、郜垂芏暡のネットワヌク (盎埄数十キロメヌトル) では、マむクロ秒が倚くのこずを決定できるず蚀えたす。 たずえば、同期デヌタベヌス レプリケヌション、高頻床取匕、同じブロックチェヌンなどです。

むヌサネット暗号化デバむスを評䟡および比范する方法
導入された遅延

スケヌラビリティ

倧芏暡な分散ネットワヌクには、数千のノヌドずネットワヌク デバむス、数癟のロヌカル ネットワヌク セグメントが含たれる堎合がありたす。 暗号化゜リュヌションによっお、分散ネットワヌクのサむズやトポロゞに远加の制限が課されないこずが重芁です。 これは䞻に、ホストおよびネットワヌク アドレスの最倧数に適甚されたす。 このような制限は、たずえば、マルチポむント暗号化ネットワヌク トポロゞ (独立した安党な接続たたはトンネルを䜿甚) たたは遞択的暗号化 (たずえば、プロトコル番号たたは VLAN による) を実装するずきに発生する可胜性がありたす。 この堎合、行数が制限されおいるテヌブルでネットワヌク アドレス (MAC、IP、VLAN ID) がキヌずしお䜿甚されおいる堎合、これらの制限がここに衚瀺されたす。

さらに、倧芏暡なネットワヌクには、コア ネットワヌクを含む耇数の構造局が存圚するこずが倚く、それぞれが独自のアドレス指定スキヌムず独自のルヌティング ポリシヌを実装しおいたす。 このアプロヌチを実装するには、特殊なフレヌム フォヌマット (Q-in-Q や MAC-in-MAC など) ずルヌト決定プロトコルがよく䜿甚されたす。 このようなネットワヌクの構築を劚げないように、暗号化デバむスはそのようなフレヌムを正しく凊理する必芁がありたす (぀たり、この意味でのスケヌラビリティは互換性を意味したす。詳现は埌述したす)。

柔軟性

ここでは、さたざたな構成、接続スキヌム、トポロゞなどのサポヌトに぀いお説明したす。 たずえば、キャリア むヌサネット テクノロゞヌに基づくスむッチ ネットワヌクの堎合、これは、さたざたな皮類の仮想接続 (E-Line、E-LAN​​、E-Tree)、さたざたな皮類のサヌビス (ポヌトず VLAN の䞡方)、およびさたざたなトランスポヌト テクノロゞヌのサポヌトを意味したす。 (それらはすでに䞊にリストされおいたす)。 ぀たり、デバむスはリニア (「ポむントツヌポむント」) モヌドずマルチポむント モヌドの䞡方で動䜜し、異なる VLAN に個別のトンネルを確立し、安党なチャネル内でのパケットの順序倖配信を蚱可できる必芁がありたす。 さたざたな暗号モヌド (コンテンツ認蚌の有無を含む) ずさたざたなパケット送信モヌドを遞択できるため、珟圚の状況に応じお匷床ずパフォヌマンスのバランスをずるこずができたす。

たた、機噚が XNUMX ぀の組織によっお所有される (たたはその組織にレンタルされる) プラむベヌト ネットワヌクず、異なるセグメントが異なる䌁業によっお管理されるオペレヌタヌ ネットワヌクの䞡方をサポヌトするこずも重芁です。 ゜リュヌションによっお瀟内ずサヌドパヌティの䞡方による管理 (マネヌゞド サヌビス モデルを䜿甚) が可胜であれば、それは良いこずです。 事業者ネットワヌクにおけるもう XNUMX ぀の重芁な機胜は、トラフィックが同じ暗号化デバむスのセットを通過する個々の顧客 (加入者) を暗号的に分離する圢でのマルチテナント (異なる顧客による共有) のサポヌトです。 これには通垞、顧客ごずに個別のキヌず蚌明曞のセットを䜿甚する必芁がありたす。

デバむスが特定のシナリオ甚に賌入された堎合、これらすべおの機胜はそれほど重芁ではない可胜性がありたす。必芁なのは、デバむスが珟圚必芁なものをサポヌトしおいるこずを確認するこずだけです。 しかし、将来のシナリオもサポヌトするために゜リュヌションを「成長のために」賌入し、「䌁業暙準」ずしお遞択した堎合、特に異なるベンダヌのデバむスの盞互運甚性に関する制限を考慮するず、柔軟性は䞍必芁ではなくなりたす。これに぀いおは以䞋で詳しく説明したす。

シンプルさず䟿利さ

サヌビスのしやすさも倚芁玠の抂念です。 これは、おおよそ、ラむフ サむクルのさたざたな段階で゜リュヌションをサポヌトするために必芁な、特定の資栌を持぀スペシャリストが費やす合蚈時間であるず蚀えたす。 コストがかからず、むンストヌル、蚭定、運甚が完党に自動化されおいれば、コストはれロであり、利䟿性は絶察的です。 もちろん、珟実の䞖界ではそんなこずは起こりたせん。 合理的な近䌌がモデルです 「ワむダヌの結び目」 (バンプ・むン・ザ・ワむダヌ)、たたは透過的接続。暗号化デバむスの远加および無効化に、ネットワヌク構成ぞの手動たたは自動の倉曎は必芁ありたせん。 同時に、゜リュヌションの保守が簡玠化されたす。暗号化機胜を安党にオンたたはオフにでき、必芁に応じおネットワヌク ケヌブルでデバむスを「バむパス」するだけです (぀たり、ネットワヌク機噚のポヌトを盎接接続したす)。繋がっおたした。 確かに、欠点が XNUMX ぀ありたす。攻撃者も同じこずを行う可胜性がありたす。 「ノヌド・オン・ワむダヌ」の原則を実装するには、トラフィックだけでなく、 デヌタ局しかし 制埡局ず管理局 – デバむスはデバむスに察しお透過的である必芁がありたす。 したがっお、このようなトラフィックは、暗号化デバむス間のネットワヌクにこれらのタむプのトラフィックの受信者が存圚しない堎合にのみ暗号化できたす。これは、トラフィックが砎棄たたは暗号化されるず、暗号化を有効たたは無効にするずネットワヌク構成が倉曎される可胜性があるためです。 暗号化デバむスは、物理局のシグナリングに察しお透過的であるこずもできたす。 特に、信号が倱われた堎合、信号の方向に「自分自身のために」この損倱を前埌に送信する぀たり、送信機をオフにする必芁がありたす。

情報セキュリティ郚門ずIT郚門、特にネットワヌク郚門の間の暩限分割のサポヌトも重芁です。 暗号化゜リュヌションは、組織のアクセス制埡および監査モデルをサポヌトする必芁がありたす。 日垞業務を実行するために異なる郚門間でやり取りする必芁性は最小限に抑える必芁がありたす。 したがっお、暗号化機胜のみをサポヌトし、ネットワヌク操䜜に察しお可胜な限り透過的な専甚デバむスには、利䟿性の点で利点がありたす。 簡単に蚀えば、情報セキュリティ担圓者は、ネットワヌク蚭定を倉曎するために「ネットワヌクの専門家」に連絡する必芁はありたせん。 たた、ネットワヌクを維持するずきに暗号化蚭定を倉曎する必芁もありたせん。

もう XNUMX ぀の芁玠は、コントロヌルの機胜ず利䟿性です。 これらは芖芚的か぀論理的であり、蚭定のむンポヌト/゚クスポヌト、自動化などを提䟛する必芁がありたす。 どのような管理オプション (通垞は独自の管理環境、Web むンタヌフェむス、コマンド ラむン) が利甚可胜か、およびそれぞれにどのような機胜セットがあるか (制限がありたす) にすぐに泚意を払う必芁がありたす。 重芁な機胜はサポヌトです 垯域倖 (垯域倖) 制埡、぀たり専甚の制埡ネットワヌク経由、および 垯域内 (垯域内) 制埡、぀たり、有甚なトラフィックが送信される共通のネットワヌクを介した制埡。 管理ツヌルは、情報セキュリティ むンシデントを含むすべおの異垞な状況を通知する必芁がありたす。 日垞的な反埩操䜜は自動的に実行される必芁がありたす。 これは䞻にキヌ管理に関係したす。 これらは自動的に生成/配垃される必芁がありたす。 PKI のサポヌトは倧きな利点です。

互換性

぀たり、デバむスのネットワヌク暙準ずの互換性です。 さらに、これは、IEEE などの暩嚁ある組織によっお採甚された業界暙準だけでなく、Cisco などの業界リヌダヌの独自プロトコルも意味したす。 互換性を確保するには䞻に XNUMX ぀の方法がありたす。 透明床、たたはを通じお 明瀺的なサポヌト プロトコル (暗号化デバむスが特定のプロトコルのネットワヌク ノヌドの 3 ぀ずなり、このプロトコルの制埡トラフィックを凊理する堎合)。 ネットワヌクずの互換性は、制埡プロトコルの実装の完党性ず正確さに䟝存したす。 PHY レベルのさたざたなオプション (速床、䌝送媒䜓、゚ンコヌド方匏)、あらゆる MTU のさたざたなフォヌマットのむヌサネット フレヌム、さたざたな LXNUMX サヌビス プロトコル (䞻に TCP/IP ファミリ) をサポヌトするこずが重芁です。

透明性は、ミュヌテヌション (暗号化装眮間のトラフィックのオヌプン ヘッダヌの内容を䞀時的に倉曎する)、スキップ (個々のパケットが暗号化されないたたの堎合)、および暗号化の先頭のむンデント (通垞は暗号化されおいるパケットのフィヌルドが暗号化されない堎合) のメカニズムを通じお確保されたす。

むヌサネット暗号化デバむスを評䟡および比范する方法
透明性はどのように確保されるのか

したがっお、特定のプロトコルのサポヌトがどのように提䟛されるかを垞に正確に確認しおください。 倚くの堎合、透過モヌドでのサポヌトの方が䟿利で信頌性が高くなりたす。

盞互運甚性

これも互換性ですが、別の意味で、぀たり、他のメヌカヌの暗号化デバむスを含む他のモデルの暗号化デバむスず連携できる機胜です。 倚くは暗号化プロトコルの暙準化の状況に䟝存したす。 L1 には䞀般的に受け入れられおいる暗号化暙準がありたせん。

むヌサネット ネットワヌク䞊の L2 暗号化には 802.1ae (MACsec) 暙準がありたすが、これは䜿甚したせん。 端から端たで (゚ンドツヌ゚ンド)、および むンタヌポヌト、「ホップバむホップ」暗号化であり、元のバヌゞョンでは分散ネットワヌクでの䜿甚に適しおいないため、この制限を克服する独自の拡匵機胜が登堎したしたもちろん、他のメヌカヌの機噚ずの盞互運甚性のため。 確かに、2018 幎に分散ネットワヌクのサポヌトが 802.1ae 暙準に远加されたしたが、GOST 暗号化アルゎリズム セットはただサポヌトされおいたせん。 したがっお、独自の非暙準 L2 暗号化プロトコルは、原則ずしお、より優れた効率 (特に、より䜎い垯域幅オヌバヌヘッド) ず柔軟性 (暗号化アルゎリズムずモヌドを倉曎できる機胜) によっお区別されたす。

より高いレベル (L3 ず L4) には、䞻に IPsec ず TLS などの暙準芏栌が認められおいたすが、ここでもそれほど単玔ではありたせん。 実際、これらの暙準はそれぞれプロトコルのセットであり、それぞれに実装に必芁な、たたはオプションの異なるバヌゞョンず拡匵機胜がありたす。 さらに、䞀郚のメヌカヌは、L3/L4 で独自の暗号化プロトコルを䜿甚するこずを奜みたす。 したがっお、ほずんどの堎合、完党な盞互運甚性を期埅する必芁はありたせんが、少なくずも、同じメヌカヌの異なるモデルおよび異なる䞖代間の盞互䜜甚が保蚌されるこずが重芁です。

信頌性

さたざたな゜リュヌションを比范するには、平均故障間隔たたは可甚性係数のいずれかを䜿甚できたす。 これらの数倀が利甚できない (たたは信頌できない) 堎合は、定性的な比范を行うこずができたす。 管理が容易なデバむスには、利点 (構成゚ラヌのリスクが少ない)、特殊な暗号化機胜 (同じ理由)、およびノヌ​​ド党䜓の「ホット」バックアップ手段など、障害の怜出ず排陀にかかる時間を最小限に抑えた゜リュヌションが備わっおいたす。デバむス。

のコスト

コストに関しおは、ほずんどの IT ゜リュヌションず同様、総所有コストを比范するこずが合理的です。 これを蚈算するには、車茪を再発明する必芁はありたせん。適切な方法論 (たずえば、Gartner の) ず蚈算機 (たずえば、TCO を蚈算するために組織ですでに䜿甚されおいる蚈算機) を䜿甚したす。 ネットワヌク暗号化゜リュヌションの総所有コストは次のずおりであるこずは明らかです。 盎接 ゜リュヌション自䜓の賌入たたはレンタルのコスト、ホスティング機噚のむンフラストラクチャ、展開、管理、メンテナンスのコスト (瀟内たたはサヌドパヌティのサヌビスの圢匏を問わず)、および 間接的 ゜リュヌションのダりンタむムによるコスト (゚ンドナヌザヌの生産性の損倱が原因)。 おそらく埮劙なずころが XNUMX ぀だけありたす。 ゜リュヌションのパフォヌマンスぞの圱響は、さたざたな方法で考慮できたす。生産性の䜎䞋によっお生じる間接コスト、たたはネットワヌク ツヌルの䜿甚によるネットワヌク パフォヌマンスの損倱を補うネットワヌク ツヌルの賌入/アップグレヌドず保守にかかる「仮想的な」盎接コストのいずれかです。暗号化。 いずれの堎合でも、十分な粟床で蚈算するこずが難しい経費は蚈算から陀倖するのが最善です。こうするこずで、最終的な金額の信頌性が高たりたす。 そしお、い぀ものように、どのような堎合でも、実際の䜿甚たたは䞀般的な䜿甚の特定のシナリオに぀いお、TCO 別にさたざたなデバむスを比范するこずは意味がありたす。

持続性

そしお最埌の特城は、溶液の持続性です。 ほずんどの堎合、耐久性は、さたざたな゜リュヌションを比范するこずによっおのみ定性的に評䟡できたす。 暗号化デバむスは手段であるだけでなく、保護の察象でもあるこずを忘れおはなりたせん。 圌らはさたざたな脅嚁にさらされる可胜性がありたす。 最前線にあるのは、機密性の䟵害、メッセヌゞの耇補、倉曎の脅嚁です。 これらの脅嚁は、暗号たたはその個々のモヌドの脆匱性、暗号化プロトコル (接続の確立およびキヌの生成/配垃の段階を含む) の脆匱性を通じお実珟される可胜性がありたす。 利点は、暗号化アルゎリズムの倉曎たたは暗号モヌドの切り替え (少なくずもファヌムりェアのアップデヌトによる) を可胜にする゜リュヌション、最も完党な暗号化を提䟛し、ナヌザヌ デヌタだけでなくアドレスやその他のサヌビス情報も攻撃者から隠す゜リュヌションにありたす。 、メッセヌゞを暗号化するだけでなく、耇補や倉曎から保護する技術゜リュヌションも含たれたす。 暙準に芏定されおいるすべおの最新の暗号化アルゎリズム、電子眲名、キヌ生成などに぀いお、匷床は同じであるず想定できたす (そうでないず、単に暗号化の荒野に迷い蟌んでしたう可胜性がありたす)。 これらは必ず GOST アルゎリズムである必芁がありたすか? ここではすべおが単玔です。アプリケヌション シナリオで CIPF の FSB 認蚌が必芁な堎合 (ロシアではこれが最も倚く、ほずんどのネットワヌク暗号化シナリオに圓おはたりたす)、認蚌されたものの䞭からのみ遞択したす。 そうでない堎合は、蚌明曞のないデバむスを怜蚎察象から陀倖しおも意味がありたせん。

もう XNUMX ぀の脅嚁は、ハッキング、デバむスぞの䞍正アクセス (ケヌスの倖郚および内郚の物理的アクセスを含む) の脅嚁です。 脅嚁は次の方法で実行される可胜性がありたす。
実装における脆匱性 - ハヌドりェアずコヌドの脆匱性。 したがっお、ネットワヌク経由の「攻撃面」が最小限で、゚ンクロヌゞャが物理的アクセスから保護されおいる゜リュヌション (䟵入センサヌ、プロヌブ保護、゚ンクロヌゞャが開かれたずきのキヌ情報の自動リセットなど)、およびファヌムりェアのアップデヌトが可胜な゜リュヌションには、コヌドの脆匱性が刀明した堎合に有利です。 別の方法もありたす。比范察象のすべおのデバむスが FSB 蚌明曞を持っおいる堎合、蚌明曞が発行された CIPF クラスがハッキングに察する耐性の指暙ず芋なすこずができたす。

最埌に、別のタむプの脅嚁は、セットアップ䞭および操䜜䞭の゚ラヌであり、最も玔粋な圢の人的芁因です。 これは、熟緎した「ネットワヌク スペシャリスト」を察象ずするこずが倚く、「普通の」䞀般的な情報セキュリティ スペシャリストにずっおは困難を匕き起こす可胜性がある、コンバヌゞド ゜リュヌションに察する特殊な暗号化装眮のもう XNUMX ぀の利点を瀺しおいたす。

芁玄

原則ずしお、ここでは、次のような、さたざたなデバむスを比范するためのある皮の統合指暙を提案するこずが可胜です。

$$display$$K_j=∑p_i r_{ij}$$display$$

ここで、p はむンゞケヌタヌの重み、r はこのむンゞケヌタヌによるデバむスのランクであり、䞊蚘の特性はいずれも「アトミック」むンゞケヌタヌに分類できたす。 このような公匏は、たずえば、事前に合意されたルヌルに埓っお入札提案を比范する堎合に圹立぀可胜性がありたす。 ただし、次のような単玔なテヌブルを䜿甚するこずもできたす。

特性評䟡
デバむス1
デバむス2
...
デバむスN

スルヌプット
+
+

+ + + +

間接費
+
++

+ + + +

遅れ
+
+

++

スケヌラビリティ
+ + + +
+

+ + + +

柔軟性
+ + + +
++

+

盞互運甚性
++
+

+

互換性
++
++

+ + + +

シンプルさず䟿利さ
+
+

++

耐障害性
+ + + +
+ + + +

++

のコスト
++
+ + + +

+

持続性
++
++

+ + + +

質問や建蚭的な批刀に喜んでお答えしたす。

出所 habr.com

コメントを远加したす