ProHoster > Блог > басқарма > Ethernet шифрлау құрылғыларын қалай бағалауға және салыстыруға болады

Ethernet шифрлау құрылғыларын қалай бағалауға және салыстыруға болады

Мен бұл шолуды (немесе қаласаңыз, салыстыру нұсқаулығын) әртүрлі жеткізушілердің бірнеше құрылғыларын салыстыру тапсырылған кезде жаздым. Сонымен қатар, бұл құрылғылар әртүрлі сыныптарға қатысты. Маған осы құрылғылардың барлығының архитектурасы мен сипаттамаларын түсініп, салыстыру үшін «координаттар жүйесін» құру керек болды. Менің шолуым біреуге көмектессе, қуанамын:

  • Шифрлау құрылғыларының сипаттамалары мен сипаттамаларын түсіну
  • «Қағаз» сипаттамаларын нақты өмірде маңызды болып табылатындардан ажыратыңыз
  • Жеткізушілердің әдеттегі жиынтығынан шығып, мәселені шешуге қолайлы кез келген өнімдерді ескеріңіз
  • Келіссөздер кезінде дұрыс сұрақтар қойыңыз
  • Тендерлік талаптарды ресімдеу (RFP)
  • Құрылғының белгілі бір үлгісі таңдалса, қандай сипаттамаларды құрбан ету керектігін түсініңіз

Нені бағалауға болады

Негізінде, бұл тәсіл қашықтағы Ethernet сегменттері арасындағы желілік трафикті шифрлау үшін қолайлы кез келген дербес құрылғыларға қолданылады (сайтаралық шифрлау). Яғни, шифрланбаған трафигі бар жергілікті (кампус) Ethernet желісіне бір немесе бірнеше Ethernet порттары арқылы қосылған жеке корпустағы «жәшіктер» (жақсы, біз шассиге арналған пышақтарды/модульдерді де қосамыз). шифрланған трафик басқа, қашықтағы сегменттерге жіберілетін арнаға/желіге басқа порт(тар). Мұндай шифрлау шешімін жеке немесе операторлық желіде «тасымалдаудың» әртүрлі түрлері (қараңғы талшық, жиілікті бөлу жабдығы, коммутациялық Ethernet, сондай-ақ басқа маршруттау архитектурасы бар желі арқылы салынған «псевдовирлер», көбінесе MPLS) арқылы орналастыруға болады. ), VPN технологиясы бар немесе онсыз.

Ethernet шифрлау құрылғыларын қалай бағалауға және салыстыруға болады
Бөлінген Ethernet желісіндегі желілік шифрлау

Құрылғылардың өзі де болуы мүмкін мамандандырылған (тек шифрлауға арналған) немесе көп функциялы (гибридті, конвергентті), яғни басқа функцияларды да орындайды (мысалы, желіаралық қалқан немесе маршрутизатор). Әртүрлі жеткізушілер өз құрылғыларын әртүрлі сыныптарға/санаттарға жіктейді, бірақ бұл маңызды емес - жалғыз маңызды нәрсе - олар торапаралық трафикті шифрлай алады ма және олардың қандай сипаттамалары бар.

«Желілік шифрлау», «трафикті шифрлау», «шифрлау» жиі қолданылатынына қарамастан, бейресми терминдер екенін еске саламын. Сіз оларды ресейлік ережелерден (соның ішінде ГОСТ енгізетіндерден) таба алмайсыз.

Шифрлау деңгейлері және тасымалдау режимдері

Бағалау үшін қолданылатын сипаттамалардың өзін сипаттауды бастамас бұрын, алдымен бір маңызды нәрсені, атап айтқанда «шифрлау деңгейін» түсінуіміз керек. Байқағаным, бұл туралы ресми сатушы құжаттарында да (сипаттамаларда, нұсқаулықтарда және т.б.), бейресми талқылауларда да (келіссөздерде, тренингтерде) жиі айтылады. Яғни, біздің не айтып жатқанымызды бәрі жақсы білетін сияқты, бірақ мен өз басым біраз түсінбеушіліктердің куәсі болдым.

Сонымен, «шифрлау деңгейі» дегеніміз не? Шифрлау орын алатын OSI/ISO анықтамалық желі моделінің деңгейінің саны туралы айтып отырғанымыз анық. Біз ГОСТ Р ISO 7498-2–99 «Ақпараттық технология. Ашық жүйелердің өзара байланысы. Негізгі анықтамалық модель. 2-бөлім. Ақпараттық қауіпсіздік архитектурасы». Бұл құжаттан конфиденциалдылық қызметінің деңгейі (беру тетіктерінің бірі шифрлау) сервистік деректер блогы («пайдалы жүктеме», пайдаланушы деректері) шифрланған хаттама деңгейі екенін түсінуге болады. Стандартта жазылғандай, қызмет бір деңгейде де, «өздігінен» де, төменгі деңгейдің көмегімен де ұсынылуы мүмкін (мысалы, ол көбінесе MACsec жүйесінде осылай жүзеге асырылады) .

Іс жүзінде желі арқылы шифрланған ақпаратты берудің екі режимі мүмкін (IPsec бірден ойға келеді, бірақ дәл осындай режимдер басқа хаттамаларда да кездеседі). IN тасымалдау (кейде жергілікті деп те аталады) режимі тек шифрланған қызмет көрсету деректер блогы, ал тақырыптар «ашық», шифрланбаған күйде қалады (кейде шифрлау алгоритмінің қызметтік ақпараты бар қосымша өрістер қосылады, ал басқа өрістер өзгертіліп, қайта есептеледі). IN туннель барлығы бірдей режим хаттама деректер блогы (яғни пакеттің өзі) шифрланған және сол немесе одан жоғары деңгейдегі сервистік деректер блогында инкапсуляцияланған, яғни ол жаңа тақырыптармен қоршалған.

Шифрлау деңгейінің өзі кейбір тасымалдау режимімен үйлескенде жақсы да, жаман да емес, сондықтан, мысалы, көлік режиміндегі L3 туннель режиміндегі L2-ге қарағанда жақсы деп айтуға болмайды. Құрылғылар бағаланатын сипаттамалардың көпшілігі оларға байланысты. Мысалы, икемділік пен үйлесімділік. Тасымалдау режимінде L1 (разрядты ағын релесі), L2 (кадрларды ауыстыру) және L3 (пакеттерді бағыттау) желісінде жұмыс істеу үшін сізге бірдей немесе одан жоғары деңгейде шифрлайтын шешімдер қажет (әйтпесе мекенжай ақпараты шифрланады және деректер тағайындалған жерге жетпейді) және туннель режимі бұл шектеуді еңсереді (бірақ басқа маңызды сипаттарды құрбан етеді).

Ethernet шифрлау құрылғыларын қалай бағалауға және салыстыруға болады
Көлік және туннель L2 шифрлау режимдері

Енді сипаттамаларды талдауға көшейік.

өнімділік

Желіні шифрлау үшін өнімділік күрделі, көп өлшемді ұғым болып табылады. Белгілі бір модель бір өнімділік сипаттамасы бойынша жоғары болса, екіншісінде төмен болады. Сондықтан шифрлау өнімділігінің барлық құрамдастарын және олардың желінің және оны пайдаланатын қолданбалардың өнімділігіне әсерін қарастыру әрқашан пайдалы. Мұнда біз автомобильге ұқсастық жасай аламыз, ол үшін максималды жылдамдық маңызды ғана емес, сонымен қатар «жүздегенге» жеделдету уақыты, отын шығыны және т.б. Жеткізушілер мен олардың әлеуетті тұтынушылары өнімділік сипаттамаларына үлкен көңіл бөледі. Әдетте, шифрлау құрылғылары жеткізуші желілеріндегі өнімділік негізінде жіктеледі.

Өнімділік құрылғыда орындалатын желілік және криптографиялық операциялардың күрделілігіне де (оның ішінде бұл тапсырмаларды параллельдеуге және конвейерге салуға болатындығына), сондай-ақ аппараттық құралдың өнімділігі мен микробағдарлама сапасына байланысты екені анық. Сондықтан ескі модельдер өнімдірек аппараттық құралдарды пайдаланады, кейде оны қосымша процессорлармен және жад модульдерімен жабдықтауға болады. Криптографиялық функцияларды іске асырудың бірнеше тәсілдері бар: жалпы мақсаттағы орталық өңдеу блогында (CPU), қолданбалы интегралды схемада (ASIC) немесе өрісте бағдарламаланатын логикалық интегралдық схемада (FPGA). Әрбір тәсілдің оң және теріс жақтары бар. Мысалы, процессор шифрлаудың тығырыққа тірелуі мүмкін, әсіресе процессорда шифрлау алгоритмін қолдауға арналған арнайы нұсқаулар болмаса (немесе олар пайдаланылмаса). Мамандандырылған чиптердің икемділігі жоқ; өнімділікті жақсарту, жаңа функцияларды қосу немесе осалдықтарды жою үшін оларды «жаңарту» әрқашан мүмкін емес. Сонымен қатар, оларды пайдалану үлкен өндіріс көлемімен ғана тиімді болады. Сондықтан «алтын орта» танымал болды - FPGA (орыс тілінде FPGA) пайдалану. Дәл FPGA-да криптографиялық жеделдеткіштер деп аталатындар жасалады - криптографиялық операцияларды қолдауға арналған кірістірілген немесе қосылатын мамандандырылған аппараттық модульдер.

Біз айтып отырғандықтан желі шифрлау үшін шешімдердің өнімділігі басқа желілік құрылғылармен бірдей мөлшерде өлшенуі керек - өткізу қабілеті, кадрдың жоғалу пайызы және кідіріс. Бұл мәндер RFC 1242-де анықталған. Айтпақшы, бұл RFC-де жиі айтылған кідіріс вариациясы (життер) туралы ештеңе жазылмаған. Бұл шамаларды қалай өлшеуге болады? Мен желілік шифрлау үшін арнайы кез келген стандарттарда (ресми немесе бейресми, мысалы, RFC) бекітілген әдістемені таппадым. RFC 2544 стандартында бекітілген желілік құрылғыларға арналған әдістемені қолдану қисынды болар еді.Көптеген жеткізушілер оны ұстанады – көп, бірақ барлығы емес. Мысалы, олар сынақ трафигін екеуінің орнына тек бір бағытта жібереді, мысалы ұсынылады стандартты. Бәрібір.

Желілік шифрлау құрылғыларының өнімділігін өлшеу әлі де өзіндік сипаттамаларға ие. Біріншіден, барлық өлшеулерді жұп құрылғылар үшін жүргізу дұрыс: шифрлау алгоритмдері симметриялы болғанымен, шифрлау және шифрды шешу кезіндегі кешігулер мен пакеттік жоғалтулар міндетті түрде бірдей болмайды. Екіншіден, екі конфигурацияны салыстыра отырып, дельтаны, желілік шифрлаудың соңғы желі өнімділігіне әсерін өлшеу мағынасы бар: шифрлау құрылғыларынсыз және олармен. Немесе желілік шифрлаудан басқа бірнеше функцияларды біріктіретін гибридті құрылғылар сияқты, шифрлау өшірілген және қосылған. Бұл әсер әртүрлі болуы мүмкін және шифрлау құрылғыларының қосылу схемасына, жұмыс режимдеріне және соңында трафиктің сипатына байланысты болады. Атап айтқанда, көптеген өнімділік параметрлері пакеттердің ұзындығына байланысты, сондықтан әртүрлі шешімдердің өнімділігін салыстыру үшін пакеттердің ұзындығына байланысты осы параметрлердің графиктері жиі пайдаланылады немесе IMIX қолданылады - трафикті пакеттер бойынша бөлу ұзындығы, бұл шамамен нақтыны көрсетеді. Егер біз бірдей негізгі конфигурацияны шифрлаусыз салыстыратын болсақ, біз бұл айырмашылықтарға кірмей-ақ басқаша жүзеге асырылған желілік шифрлау шешімдерін салыстыра аламыз: L2-мен L3, сақтау және қайта жіберу ) кесіндімен, конвергентпен мамандандырылған, ГОСТ-пен AES және т.б.

Ethernet шифрлау құрылғыларын қалай бағалауға және салыстыруға болады
Өнімділікті тексеруге арналған қосылым диаграммасы

Адамдар назар аударатын бірінші сипаттама - шифрлау құрылғысының «жылдамдығы», яғни өткізу қабілеті оның желілік интерфейстерінің (өткізу қабілеті), разрядтың жылдамдығы. Ол интерфейстер қолдайтын желі стандарттарымен анықталады. Ethernet үшін әдеттегі сандар 1 Гбит/с және 10 Гбит/с. Бірақ, біз білетіндей, кез келген желіде максималды теориялық өткізу қабілеті (өткізу қабілеті) оның әрбір деңгейінде әрқашан аз өткізу қабілеттілігі бар: өткізу қабілеттілігінің бір бөлігі кадраралық интервалдармен, қызмет тақырыптарымен және т.б. «жейді». Егер құрылғы желілік интерфейстің толық жылдамдығымен трафикті қабылдауға, өңдеуге (біздің жағдайда шифрлауға немесе шифрды шешуге) және жіберуге қабілетті болса, яғни желі моделінің осы деңгейі үшін максималды теориялық өткізу қабілеті бар болса, онда ол айтылады. жұмыс істеу желі жылдамдығында. Ол үшін құрылғы кез келген өлшемдегі және кез келген жиіліктегі пакеттерді жоғалтпауы немесе тастамауы керек. Егер шифрлау құрылғысы желі жылдамдығымен жұмыс істеуді қолдамаса, оның максималды өткізу қабілеті әдетте секундына бірдей гигабитпен көрсетіледі (кейде пакеттердің ұзындығын көрсетеді - пакеттер неғұрлым қысқа болса, өткізу қабілеті әдетте төмен болады). Максималды өткізу қабілеті максималды екенін түсіну өте маңызды шығын жоқ (тіпті құрылғы өзі арқылы трафикті жоғары жылдамдықпен «сорғыза» алса да, бірақ сонымен бірге кейбір пакеттерді жоғалтады). Сондай-ақ, кейбір жеткізушілер порттардың барлық жұптары арасындағы жалпы өткізу қабілеттілігін өлшейтінін ескеріңіз, сондықтан барлық шифрланған трафик бір порт арқылы өтетін болса, бұл сандар көп нәрсені білдірмейді.

Желілік жылдамдықта (немесе басқаша айтқанда, пакетті жоғалтпай) жұмыс істеу қай жерде маңызды? Өткізу жылдамдығы жоғары, кешігуі жоғары сілтемелерде (мысалы, спутниктік), жоғары тасымалдау жылдамдығын қолдау үшін үлкен TCP терезесінің өлшемі орнатылуы керек және пакеттердің жоғалуы желі өнімділігін күрт төмендетеді.

Бірақ барлық өткізу қабілеттілігі пайдалы деректерді тасымалдау үшін пайдаланылмайды. деп аталатындармен санасуымыз керек үстеме шығындар (үстеме) өткізу қабілеті. Бұл шифрлау құрылғысының өткізу қабілетінің (пайызбен немесе бір пакетке байт ретінде) іс жүзінде ысырап болатын бөлігі (қолданба деректерін тасымалдау үшін пайдалану мүмкін емес). Үстеме шығындар, біріншіден, шифрланған желі пакеттеріндегі деректер өрісінің көлемінің ұлғаюына (қосымша, «толтыру») байланысты (шифрлау алгоритміне және оның жұмыс режиміне байланысты) туындайды. Екіншіден, пакет тақырыптарының ұзындығының ұлғаюына байланысты (туннель режимі, шифрлау протоколының қызметтік кірістіруі, шифр мен беру режимінің протоколы мен жұмыс режиміне байланысты симуляциялық кірістіру және т.б.) - әдетте бұл үстеме шығындар ең маңызды және олар бірінші кезекте назар аударады. Үшіншіден, деректер бірлігінің максималды өлшемінен (MTU) асқан кезде дестелердің фрагментациясына байланысты (егер желі MTU-дан асатын пакетті оның тақырыптарын қайталай отырып, екіге бөлуге қабілетті болса). Төртіншіден, шифрлау құрылғылары арасындағы желіде қосымша сервистік (басқару) трафиктің пайда болуына байланысты (кілт алмасу, туннель орнату және т.б. үшін). Арна сыйымдылығы шектеулі жерде төмен үстеме шығындар маңызды. Бұл әсіресе шағын пакеттерден келетін трафикте айқын көрінеді, мысалы, дауыс – үстеме шығындар арна жылдамдығының жартысынан көбін «жеп қоюы» мүмкін!

Ethernet шифрлау құрылғыларын қалай бағалауға және салыстыруға болады
Өткізу қабілеті

Ақырында, одан да көп кідіріс енгізілді – желілік шифрлаусыз және желілік шифрлаусыз деректерді беру арасындағы желілік кідірістің (мәліметтердің желіге кіруінен одан шығуына дейінгі уақыт) айырмашылығы (секундының үлесінде). Жалпы айтқанда, желінің кідірісі («кідіріс») неғұрлым төмен болса, шифрлау құрылғылары енгізетін кідіріс соғұрлым маңыздырақ болады. Кешігу шифрлау операциясының өзімен (шифрлау алгоритміне, блок ұзындығына және шифрдың жұмыс режиміне, сондай-ақ оны бағдарламалық қамтамасыз етуде іске асыру сапасына байланысты) және құрылғыдағы желілік пакетті өңдеу арқылы енгізіледі. . Енгізілген кідіріс пакетті өңдеу режиміне (өткізу немесе сақтау және қайта жіберу) және платформаның өнімділігіне байланысты (FPGA немесе ASIC-те аппараттық құралды іске асыру әдетте процессордағы бағдарламалық құралды іске асырудан жылдамырақ). L2/L3 шифрлау құрылғылары жиі біріктірілгендіктен, L4 шифрлауы әрқашан дерлік L3 немесе L4 шифрлаудан төмен кідіріске ие. Мысалы, жоғары жылдамдықты Ethernet шифрлағыштары FPGA-де іске асырылған және L2-де шифрланғанда, шифрлау операциясына байланысты кідіріс өте аз болады - кейде шифрлау жұп құрылғыларда қосылғанда, олар енгізетін жалпы кідіріс тіпті азаяды! Төмен кідіріс жалпы арна кідірістерімен, соның ішінде километрге шамамен 5 мкс болатын таралу кідірісімен салыстыруға болатын жерде маңызды. Яғни, қалалық масштабтағы желілер үшін (ондаған километр) микросекундтар көп нәрсені шеше алады деп айта аламыз. Мысалы, дерекқорды синхронды репликациялау, жоғары жиілікті сауда, бірдей блокчейн үшін.

Ethernet шифрлау құрылғыларын қалай бағалауға және салыстыруға болады
Енгізілген кідіріс

Масштабтылық

Үлкен бөлінген желілерге мыңдаған түйіндер мен желілік құрылғылар, жүздеген жергілікті желі сегменттері кіруі мүмкін. Шифрлау шешімдері таратылған желінің өлшемі мен топологиясына қосымша шектеулер қоймауы маңызды. Бұл ең алдымен хост пен желі мекенжайларының максималды санына қатысты. Мұндай шектеулер, мысалы, көп нүктелі шифрланған желі топологиясын (тәуелсіз қауіпсіз қосылымдармен немесе туннельдермен) немесе таңдамалы шифрлауды (мысалы, протокол нөмірі немесе VLAN арқылы) жүзеге асыру кезінде кездесуі мүмкін. Егер бұл жағдайда желі мекенжайлары (MAC, IP, VLAN идентификаторы) жолдар саны шектелген кестеде кілттер ретінде пайдаланылса, онда бұл шектеулер осы жерде пайда болады.

Сонымен қатар, үлкен желілерде жиі бірнеше құрылымдық қабаттар болады, олардың әрқайсысы өзінің адрестеу схемасын және өзінің маршруттау саясатын жүзеге асыратын негізгі желіні қосады. Бұл тәсілді жүзеге асыру үшін арнайы кадр пішімдері (мысалы, Q-in-Q немесе MAC-in-MAC) және маршрутты анықтау хаттамалары жиі пайдаланылады. Мұндай желілерді құруға кедергі келтірмеу үшін шифрлау құрылғылары мұндай кадрлармен дұрыс жұмыс істеуі керек (яғни, бұл мағынада масштабтау үйлесімділікті білдіреді - бұл төменде толығырақ).

Икемділік

Мұнда біз әртүрлі конфигурацияларды, қосылу схемаларын, топологияларды және басқаларды қолдау туралы айтып отырмыз. Мысалы, Carrier Ethernet технологияларына негізделген коммутацияланған желілер үшін бұл әртүрлі виртуалды қосылым түрлерін (E-Line, E-LAN, E-Tree), әртүрлі қызмет түрлерін (порт және VLAN арқылы) және әртүрлі көлік технологияларын қолдауды білдіреді. (олар жоғарыда аталған). Яғни, құрылғы сызықтық («нүктеден нүктеге») және көп нүктелі режимдерде де жұмыс істей алуы, әртүрлі VLAN үшін бөлек туннельдерді орнатуы және қауіпсіз арна ішінде пакеттерді тапсырыстан тыс жеткізуге мүмкіндік беруі керек. Әртүрлі шифрлау режимдерін (соның ішінде мазмұн аутентификациясы бар немесе онсыз) және әртүрлі пакеттік жіберу режимдерін таңдау мүмкіндігі ағымдағы жағдайларға байланысты күш пен өнімділік арасындағы теңгерімді сақтауға мүмкіндік береді.

Жабдықтары бір ұйымға тиесілі (немесе оған жалға алынған) жеке желілерді де, әртүрлі сегменттерін әртүрлі компаниялар басқаратын операторлық желілерді де қолдау маңызды. Шешім үйде де, үшінші тараппен де (басқарылатын қызмет үлгісін пайдалану) басқаруға мүмкіндік берсе жақсы. Операторлық желілерде тағы бір маңызды функция - трафикі бірдей шифрлау құрылғылары жиынтығы арқылы өтетін жеке тұтынушыларды (абоненттерді) криптографиялық оқшаулау түріндегі көп жалға алуды (әртүрлі тұтынушылармен бөлісу) қолдау. Бұл әдетте әрбір тұтынушы үшін кілттер мен сертификаттардың бөлек жиынтықтарын пайдалануды талап етеді.

Құрылғы белгілі бір сценарий үшін сатып алынған болса, онда бұл мүмкіндіктердің барлығы өте маңызды болмауы мүмкін - құрылғы сізге қазір қажет нәрсені қолдайтынына көз жеткізіңіз. Бірақ егер шешім болашақ сценарийлерді қолдау үшін «өсу үшін» сатып алынса және «корпоративтік стандарт» ретінде таңдалса, икемділік артық болмайды - әсіресе әртүрлі өндірушілердің құрылғыларының өзара әрекеттесуіне шектеулерді ескере отырып ( бұл туралы толығырақ төменде).

Қарапайымдылық және ыңғайлылық

Қызмет көрсетудің қарапайымдылығы да көп факторлы ұғым болып табылады. Шамамен, бұл белгілі бір біліктіліктегі мамандардың шешімді оның өмірлік циклінің әртүрлі кезеңдерінде қолдау үшін жұмсайтын жалпы уақыты деп айта аламыз. Егер ешқандай шығындар болмаса және орнату, конфигурациялау және пайдалану толығымен автоматты болса, онда шығындар нөлге тең және ыңғайлылық абсолютті болады. Әрине, бұл нақты әлемде болмайды. Ақылға қонымды жуықтау үлгі болып табылады «сымдағы түйін» шифрлау құрылғыларын қосу және өшіру желі конфигурациясына қолмен немесе автоматты өзгертулерді қажет етпейтін мөлдір қосылым. Сонымен қатар, шешімге қызмет көрсету жеңілдетілді: шифрлау функциясын қауіпсіз қосуға және өшіруге болады, ал қажет болған жағдайда құрылғыны желілік кабель арқылы «айнап өтуге» болады (яғни желілік жабдықтың порттарын тікелей қосыңыз). ол қосылды). Рас, бір кемшілік бар - шабуылдаушы да солай істей алады. «Сымдағы түйін» принципін жүзеге асыру үшін тек трафикті ғана емес ескеру қажет деректер қабатыбірақ басқару және басқару деңгейлері – құрылғылар олар үшін мөлдір болуы керек. Сондықтан мұндай трафикті шифрлау құрылғылары арасында желіде трафиктің осы түрлерінің алушылары болмаған кезде ғана шифрлауға болады, өйткені ол жойылса немесе шифрланса, шифрлауды қосқанда немесе өшірген кезде желі конфигурациясы өзгеруі мүмкін. Шифрлау құрылғысы физикалық деңгей сигнализациясы үшін де мөлдір болуы мүмкін. Атап айтқанда, сигнал жоғалған кезде ол бұл жоғалтуды (яғни таратқыштарды өшіру) сигнал бағыты бойынша алға және артқа («өзі үшін») жіберуі керек.

Ақпараттық қауіпсіздік және АТ департаменттері, атап айтқанда желілік департамент арасындағы өкілеттіктерді бөлуде қолдау көрсету де маңызды. Шифрлау шешімі ұйымның кіруді басқару және аудит үлгісін қолдауы керек. Күнделікті операцияларды орындау үшін әртүрлі бөлімдер арасындағы өзара әрекеттесу қажеттілігін барынша азайту керек. Сондықтан тек шифрлау функцияларын қолдайтын және желілік операциялар үшін мүмкіндігінше ашық болатын мамандандырылған құрылғылар үшін ыңғайлылық тұрғысынан артықшылық бар. Қарапайым сөзбен айтқанда, ақпараттық қауіпсіздік қызметкерлері желі параметрлерін өзгерту үшін «желі мамандарына» хабарласуға негіз болмауы керек. Және олар, өз кезегінде, желіге қызмет көрсету кезінде шифрлау параметрлерін өзгерту қажет болмауы керек.

Басқа фактор - басқару құралдарының мүмкіндіктері мен ыңғайлылығы. Олар көрнекі, логикалық болуы керек, параметрлерді импорттауды-экспорттауды, автоматтандыруды және т.б. Сіз қандай басқару опциялары бар екеніне (әдетте олардың жеке басқару ортасы, веб-интерфейс және пәрмен жолы) және олардың әрқайсысында қандай функциялар жиынтығы бар (шектеулер бар) дереу назар аударуыңыз керек. Маңызды функция - қолдау диапазоннан тыс (диапазоннан тыс) басқару, яғни бөлінген басқару желісі арқылы және топ ішінде (диапазондағы) басқару, яғни пайдалы трафик берілетін ортақ желі арқылы. Басқару құралдары барлық қалыптан тыс жағдайларды, соның ішінде ақпараттық қауіпсіздік инциденттерін көрсетуі керек. Кәдімгі, қайталанатын операциялар автоматты түрде орындалуы керек. Бұл ең алдымен негізгі басқаруға қатысты. Олар автоматты түрде жасалуы/таралуы керек. PKI қолдауы үлкен плюс.

үйлесімділік

Яғни, құрылғының желі стандарттарымен үйлесімділігі. Оның үстіне, бұл IEEE сияқты беделді ұйымдар қабылдаған өнеркәсіптік стандарттарды ғана емес, сонымен қатар Cisco сияқты сала көшбасшыларының меншікті хаттамаларын білдіреді. Үйлесімділікті қамтамасыз етудің екі негізгі жолы бар: не арқылы мөлдірлік, немесе арқылы айқын қолдау хаттамалар (шифрлау құрылғысы белгілі бір протокол үшін желі түйіндерінің біріне айналғанда және осы протоколдың басқару трафигін өңдегенде). Желілермен үйлесімділік басқару хаттамаларының орындалуының толықтығы мен дұрыстығына байланысты. PHY деңгейінің әртүрлі опцияларын (жылдамдық, тасымалдау ортасы, кодтау схемасы), кез келген MTU-мен әртүрлі форматтағы Ethernet кадрларын, әртүрлі L3 қызмет протоколдарын (ең алдымен TCP/IP отбасы) қолдау маңызды.

Транспаренттілік мутация механизмдері (шифрлағыштар арасындағы трафиктегі ашық тақырыптардың мазмұнын уақытша өзгерту), өткізіп жіберу (жеке пакеттер шифрланбаған кезде) және шифрлау басындағы шегініс (дестелердің әдетте шифрланған өрістері шифрланбаған кезде) арқылы қамтамасыз етіледі.

Ethernet шифрлау құрылғыларын қалай бағалауға және салыстыруға болады
Транспаренттілік қалай қамтамасыз етіледі

Сондықтан, әрқашан нақты протоколға қолдау көрсетудің нақты қалай қамтамасыз етілетінін тексеріңіз. Көбінесе мөлдір режимде қолдау ыңғайлы және сенімді.

Өзара әрекеттестік

Бұл да үйлесімділік, бірақ басқа мағынада, атап айтқанда шифрлау құрылғыларының басқа үлгілерімен, соның ішінде басқа өндірушілердің үлгілерімен бірге жұмыс істеу мүмкіндігі. Көп нәрсе шифрлау хаттамаларының стандарттау жағдайына байланысты. L1-де жалпы қабылданған шифрлау стандарттары жоқ.

Ethernet желілерінде L2 шифрлау үшін 802.1ae (MACsec) стандарты бар, бірақ ол қолданылмайды. басынан аяғына дейін (ұшты-ұшты) және интерпорт, «хоп-хоп» шифрлауы және оның бастапқы нұсқасында таратылған желілерде пайдалануға жарамсыз, сондықтан оның меншікті кеңейтімдері осы шектеуді еңсеретін пайда болды (әрине, басқа өндірушілердің жабдықтарымен өзара әрекеттесуіне байланысты). Рас, 2018 жылы таратылған желілерді қолдау 802.1ae стандартына қосылды, бірақ әлі күнге дейін ГОСТ шифрлау алгоритмдерінің жиынтықтарына қолдау жоқ. Сондықтан, меншікті, стандартты емес L2 шифрлау хаттамалары, әдетте, жоғары тиімділікпен (атап айтқанда, өткізу қабілеттілігінің төмендігімен) және икемділігімен (шифрлау алгоритмдері мен режимдерін өзгерту мүмкіндігі) ерекшеленеді.

Жоғары деңгейлерде (L3 және L4) танылған стандарттар, ең алдымен, IPsec және TLS бар, бірақ мұнда да оңай емес. Бұл стандарттардың әрқайсысы әр түрлі нұсқалары мен кеңейтімдері қажет немесе іске асыру үшін міндетті емес хаттамалар жиынтығы болып табылады. Сонымен қатар, кейбір өндірушілер өздерінің меншікті шифрлау протоколдарын L3/L4 жүйесінде пайдалануды жөн көреді. Сондықтан, көп жағдайда сіз толық өзара әрекеттестікке сенбеуіңіз керек, бірақ кем дегенде бір өндірушінің әртүрлі модельдері мен әртүрлі ұрпақтары арасындағы өзара әрекеттесу қамтамасыз етілгені маңызды.

Сенімділік

Әртүрлі шешімдерді салыстыру үшін сәтсіздіктер арасындағы орташа уақытты немесе қолжетімділік коэффициентін пайдалануға болады. Егер бұл сандар қол жетімді болмаса (немесе оларға сенім жоқ болса), онда сапалы салыстыруды жасауға болады. Ыңғайлы басқаруы бар құрылғылардың артықшылығы (конфигурация қателерінің қаупі аз), мамандандырылған шифрлағыштар (сол себепті), сондай-ақ ақаулықты анықтау және жою үшін аз уақытты қажет ететін шешімдер, соның ішінде бүкіл түйіндердің «ыстық» сақтық көшірмесін жасау және құрылғылар.

құны

Құнға келетін болсақ, көптеген АТ шешімдері сияқты, иеленудің жалпы құнын салыстыру мағынасы бар. Оны есептеу үшін сізге дөңгелекті қайта ойлап табудың қажеті жоқ, бірақ кез келген қолайлы әдістемені (мысалы, Gartner компаниясынан) және кез келген калькуляторды (мысалы, ұйымда ТШО есептеу үшін бұрыннан қолданылған) пайдаланыңыз. Желілік шифрлау шешімі үшін иеленудің жалпы құны мынадан тұратыны анық тікелей шешімнің өзін сатып алу немесе жалға алу шығындары, хостинг жабдығына арналған инфрақұрылым және орналастыру, басқару және техникалық қызмет көрсету шығындары (үй ішінде немесе үшінші тарап қызметтері түрінде), сондай-ақ жанама шешімнің тоқтап қалуынан болатын шығындар (түпкі пайдаланушының өнімділігін жоғалтудан туындаған). Бір ғана нәзіктік бар шығар. Шешімнің өнімділік әсерін әртүрлі жолдармен қарастыруға болады: өнімділікті жоғалтудан туындаған жанама шығындар немесе желілік құралдарды сатып алуға/жаңартуға және техникалық қызмет көрсетуге арналған «виртуалды» тікелей шығындар ретінде желі өнімділігінің жоғалуын өтейтін желіні пайдалану нәтижесінде шифрлау. Қалай болғанда да, жеткілікті дәлдікпен есептеу қиын шығындарды есептеуден тыс қалдырған дұрыс: осылайша түпкілікті құнға деген сенімділік артады. Және, әдеттегідей, кез келген жағдайда, ТШО-ның әртүрлі құрылғыларын оларды пайдаланудың нақты сценарийі үшін - нақты немесе әдеттегідей салыстыру мағынасы бар.

Қарсыласу

Ал соңғы сипаттама – шешімнің тұрақтылығы. Көп жағдайда төзімділікті әртүрлі шешімдерді салыстыру арқылы ғана сапалы бағалауға болады. Шифрлау құрылғылары тек құрал ғана емес, сонымен қатар қорғау объектісі екенін есте ұстауымыз керек. Олар әртүрлі қауіптерге ұшырауы мүмкін. Алдыңғы қатарда құпиялылықты бұзу, хабарламаларды көбейту және өзгерту қаупі бар. Бұл қауіптер шифрдың немесе оның жеке режимдерінің осалдықтары арқылы, шифрлау хаттамаларындағы осалдықтар арқылы (соның ішінде қосылымды орнату және кілттерді генерациялау/тарату кезеңдерінде) жүзеге асырылуы мүмкін. Артықшылығы шифрлау алгоритмін өзгертуге немесе шифрлау режимін ауыстыруға (кем дегенде микробағдарламаны жаңарту арқылы) мүмкіндік беретін шешімдер үшін, ең толық шифрлауды қамтамасыз ететін, шабуылдаушыдан пайдаланушы деректерін ғана емес, сонымен қатар мекенжай және басқа да қызмет ақпаратын жасыратын шешімдер үшін болады. , сондай-ақ тек шифрлауды ғана емес, сонымен қатар хабарларды көбейту мен өзгертуден қорғайтын техникалық шешімдер. Стандарттарда бекітілген барлық заманауи шифрлау алгоритмдері, электрондық қолтаңбалар, кілттерді генерациялау және т.б. үшін күш бірдей деп болжауға болады (әйтпесе криптографияның жабайы табиғатында адасып қалуыңыз мүмкін). Бұл міндетті түрде ГОСТ алгоритмдері болуы керек пе? Мұнда бәрі қарапайым: егер қолданба сценарийі CIPF үшін FSB сертификатын қажет етсе (және Ресейде бұл жиі кездеседі; көптеген желілік шифрлау сценарийлері үшін бұл дұрыс), онда біз тек сертификатталғандарды таңдаймыз. Олай болмаса, сертификаттары жоқ құрылғыларды қараудан шығарудың қажеті жоқ.

Тағы бір қауіп - бұзу қаупі, құрылғыларға рұқсатсыз кіру (соның ішінде корпустың сыртында және ішіне физикалық қол жеткізу арқылы). Қауіпті арқылы жүзеге асырылуы мүмкін
іске асырудағы осалдықтар – аппараттық құралда және кодта. Сондықтан, желі арқылы минималды «шабуыл беті» бар, физикалық қол жеткізуден қорғалған қоршаулары бар (интрузия сенсорларымен, зондтаудан қорғау және қоршау ашылған кезде негізгі ақпаратты автоматты түрде қалпына келтірумен), сондай-ақ микробағдарламаны жаңартуға мүмкіндік беретін шешімдер болады. кодтағы осалдық белгілі болған жағдайда артықшылық. Басқа жол бар: егер салыстырылатын барлық құрылғыларда FSB сертификаттары болса, онда сертификат берілген CIPF класын бұзуға қарсылық көрсеткіші деп санауға болады.

Ақырында, қауіп-қатердің тағы бір түрі - орнату және пайдалану кезіндегі қателер, оның таза түрінде адам факторы. Бұл көбінесе тәжірибелі «желі мамандарына» бағытталған және «қарапайым», жалпы ақпараттық қауіпсіздік мамандары үшін қиындықтар тудыруы мүмкін конвергентті шешімдерден мамандандырылған шифрлағыштардың тағы бір артықшылығын көрсетеді.

Қорытындылау

Негізінде, мұнда әртүрлі құрылғыларды салыстыру үшін қандай да бір интегралды көрсеткішті ұсынуға болады, мысалы

$$дисплей$$K_j=∑p_i r_{ij}$$дисплей$$

мұндағы p – индикатордың салмағы, ал r – осы көрсеткішке сәйкес құрылғының дәрежесі және жоғарыда аталған сипаттамалардың кез келгенін «атомдық» көрсеткіштерге бөлуге болады. Мұндай формула, мысалы, алдын ала келісілген ережелер бойынша тендерлік ұсыныстарды салыстыру кезінде пайдалы болуы мүмкін. Бірақ сіз қарапайым кестемен жұмыс істей аласыз

Сипаттамалары
1 құрылғы
2 құрылғы
...
Құрылғы N

Өткізу қабілеті
+
+

+++

Есептік шығындар
+
++

+++

Кешіктірілді
+
+

++

Масштабтылық
+++
+

+++

Икемділік
+++
++

+

Өзара әрекеттестік
++
+

+

үйлесімділік
++
++

+++

Қарапайымдылық және ыңғайлылық
+
+

++

ақауларға төзімділік
+++
+++

++

құны
++
+++

+

Қарсыласу
++
++

+++

Сұрақтар мен сындарлы сынға қуана жауап беремін.

Ақпарат көзі: www.habr.com

пікір қалдыру