ProHoster > Blog > башкаруу > Ethernet шифрлөө түзмөктөрүн кантип баалоо жана салыштыруу керек

Ethernet шифрлөө түзмөктөрүн кантип баалоо жана салыштыруу керек

Мен бул сын-пикирди (же кааласаңыз, салыштыруу колдонмосун) ар кандай сатуучулардын бир нече түзмөктөрүн салыштыруу тапшырмасы болгондо жаздым. Мындан тышкары, бул аппараттар ар кандай класстарга таандык болгон. Мен бул түзүлүштөрдүн архитектурасын жана өзгөчөлүктөрүн түшүнүп, салыштыруу үчүн “координаттар системасын” түзүшүм керек болчу. Эгерде менин кароом кимдир бирөөлөргө жардам берсе, мен кубанычтамын:

  • Шифрлөөчү түзүлүштөрдүн сүрөттөмөлөрүн жана спецификацияларын түшүнүңүз
  • "Кагаз" мүнөздөмөлөрүн чыныгы жашоодо маанилүү болгон мүнөздөмөлөрдөн айырмалагыла
  • сатуучулардын кадимки топтомун чегинен чыгып, көйгөйдү чечүү үчүн ылайыктуу болгон бардык продукттарды эске алуу
  • Сүйлөшүүлөр учурунда туура суроолорду бериңиз
  • Тендердик талаптарды түзүү (RFP)
  • Белгилүү бир түзүлүш модели тандалган болсо, кандай мүнөздөмөлөрдү курмандыкка чалууга туура келерин түшүнүңүз

Эмнени баалоого болот

Негизи, бул ыкма алыскы Ethernet сегменттеринин ортосундагы тармактык трафикти шифрлөө үчүн ылайыктуу (сайттар аралык шифрлөө) ар кандай өз алдынча түзүлүштөргө тиешелүү. Башкача айтканда, өзүнчө кутучадагы "кутулар" (макул, биз бул жерде шасси үчүн лебеддерди/модульдарды да кошобуз), алар бир же бир нече Ethernet порттору аркылуу шифрленбеген трафик менен жергиликтүү (кампус) Ethernet тармагына жана аркылуу буга чейин шифрленген трафик башка алыскы сегменттерге өткөрүлө турган каналга/тармакка башка порт(тар). Мындай шифрлөө чечими жеке же оператор тармагында "транспорттун" ар кандай түрлөрү (караңгы була, жыштык бөлүштүрүү жабдуулары, коммутацияланган Ethernet, ошондой эле башка маршрутташтыруу архитектурасы менен тармак аркылуу коюлган "псевдовирлер", көбүнчө MPLS) аркылуу жайгаштырылышы мүмкүн. ), VPN технологиясы менен же болбосо.

Ethernet шифрлөө түзмөктөрүн кантип баалоо жана салыштыруу керек
Бөлүштүрүлгөн Ethernet тармагында тармактык шифрлөө

Аппараттардын өзү да болушу мүмкүн адистештирилген (шифрлөө үчүн гана арналган) же көп функциялуу (гибриддик, конвергент), башкача айтканда, башка функцияларды да аткаруу (мисалы, брандмауэр же роутер). Ар кандай сатуучулар өз түзмөктөрүн ар кандай класстарга/категорияларга классификациялашат, бирок бул маанилүү эмес - бир гана маанилүү нерсе, алар сайттар аралык трафикти шифрлей алабы жана алар кандай мүнөздөмөлөргө ээ.

Болгондо да, мен "тармактык шифрлөө", "трафик шифрлөө", "шифрлөөчү" көп колдонулса да, расмий эмес терминдер экенин эскертем. Сиз аларды орус ченемдеринен (анын ичинде ГОСТ киргизген) таба албайсыз.

Шифрлөө деңгээли жана өткөрүү режимдери

Баалоо үчүн колдонула турган мүнөздөмөлөрдүн өзүн сүрөттөп баштоодон мурун, биз адегенде бир маанилүү нерсени, тактап айтканда, "шифрлөө деңгээлин" түшүнүшүбүз керек. Байкашымча, ал расмий сатуучулардын документтеринде да (сүрөттөрдө, колдонмолордо ж.б.) жана формалдуу эмес талкууларда да (сүйлөшүүлөрдө, тренингдерде) көп айтылат. Башкача айтканда, эмне жөнүндө сөз болуп жатканын баары жакшы билет окшойт, бирок мен жеке өзүм кандайдыр бир башаламандыкка күбө болдум.

Ошентип, "шифрлөө деңгээли" деген эмне? Биз шифрлөө пайда болгон OSI/ISO маалымдама тармак моделинин катмарынын саны жөнүндө сөз болуп жатканы түшүнүктүү. ГОСТ Р ISO 7498-2–99 «Маалыматтык технологиялар. Ачык системалардын өз ара байланышы. Негизги шилтеме модели. 2-бөлүк. Маалыматтык коопсуздук архитектурасы». Бул документтен конфиденциалдык кызматтын деңгээли (камсыз кылуу механизмдеринин бири шифрлөө) протоколдун деңгээли экенин түшүнсө болот, анын кызматтык маалыматтар блогу («пайдалуу жүк», колдонуучунун маалыматтары) шифрленген. Стандартта да жазылгандай, кызмат бир эле деңгээлде да, "өз алдынча" да, төмөнкү деңгээлдин жардамы менен да көрсөтүлүшү мүмкүн (мисалы, ал көбүнчө MACsecте ишке ашырылат) .

Иш жүзүндө, тармак аркылуу шифрленген маалыматты берүүнүн эки режими мүмкүн (IPsec дароо эле эске түшөт, бирок ошол эле режимдер башка протоколдордо да кездешет). IN транспорт (кээде жергиликтүү деп да аталат) режим гана шифрленген кызмат маалыматтар блогу, ал эми баштар "ачык", шифрленбеген бойдон калат (кээде шифрлөө алгоритминин кызматтык маалыматы менен кошумча талаалар кошулуп, башка талаалар өзгөртүлүп, кайра эсептелинет). IN туннель баары бирдей режим протокол маалымат блогу (башкача айтканда, пакеттин өзү) шифрленген жана ошол эле же андан жогорку деңгээлдеги кызматтык маалымат блогунда инкапсуляцияланган, башкача айтканда, жаңы аталыштар менен курчалган.

Шифрлөө деңгээли кандайдыр бир өткөрүү режими менен айкалышта жакшы да, жаман да эмес, ошондуктан, мисалы, транспорттук режимдеги L3 туннель режиминдеги L2ге караганда жакшыраак деп айтууга болбойт. Жөн гана түзмөктөр бааланган мүнөздөмөлөрдүн көбү алардан көз каранды. Мисалы, ийкемдүүлүк жана шайкештик. Транспорттук режимде L1 (бит агымынын реле), L2 (кадрларды алмаштыруу) жана L3 (пакеттик маршрутташтыруу) тармагында иштөө үчүн сизге бирдей же андан жогору деңгээлде шифрлөөчү чечимдер керек (антпесе дарек маалыматы шифрленет жана маалыматтар көздөгөн жерине жетпейт) жана туннель режими бул чектөөнү жеңет (башка маанилүү мүнөздөмөлөрдү курмандыкка чалса да).

Ethernet шифрлөө түзмөктөрүн кантип баалоо жана салыштыруу керек
Транспорт жана туннель L2 шифрлөө режимдери

Эми мүнөздөмөлөрдү талдоого өтөбүз.

кирешелүүлүк

Тармак шифрлөө үчүн, аткаруу татаал, көп өлчөмдүү түшүнүк болуп саналат. Белгилүү бир модель бир аткаруу мүнөздөмөсү боюнча жогору болсо, экинчисинде төмөн болуп калат. Ошондуктан, шифрлөөнүн бардык компоненттерин жана алардын тармактын жана аны колдонгон тиркемелердин иштешине тийгизген таасирин карап чыгуу ар дайым пайдалуу. Бул жерде биз машинага окшоштук келтирсек болот, ал үчүн максималдуу ылдамдык гана маанилүү эмес, ошондой эле "жүздөргө" тездетүү убактысы, күйүүчү май керектөө жана башкалар. Сатуучу компаниялар жана алардын потенциалдуу кардарлары иштин мүнөздөмөлөрүнө чоң көңүл бурушат. Эреже катары, шифрлөөчү түзмөктөр сатуучу саптарындагы аткаруунун негизинде рейтингге ээ.

Өндүрүш түзмөктө аткарылган тармактык жана криптографиялык операциялардын татаалдыгынан (анын ичинде бул милдеттерди канчалык деңгээлде параллелдүү жана түтүктөшсө болот), ошондой эле аппараттык камсыздоонун иштешине жана микропрограмманын сапатына көз каранды экени түшүнүктүү. Ошондуктан, эски моделдер кыйла жемиштүү аппараттык каражаттарды колдонушат, кээде аны кошумча процессорлор жана эстутум модулдары менен жабдууга болот. Криптографиялык функцияларды ишке ашыруу үчүн бир нече ыкмалар бар: жалпы максаттуу борбордук процессордо (CPU), колдонмого тиешелүү интегралдык микросхемада (ASIC) же талаада программалануучу логикалык интегралдык схемада (FPGA). Ар бир ыкманын жакшы жана жаман жактары бар. Мисалы, процессордо шифрлөө алгоритмин колдоо үчүн атайын нускамалар жок болсо (же алар колдонулбаса) процессор шифрлөө түйшүгү болуп калышы мүмкүн. Адистештирилген чиптерде ийкемдүүлүк жок; аларды аткарууну жакшыртуу, жаңы функцияларды кошуу же алсыздыктарды жок кылуу үчүн дайыма эле "жаңылоо" мүмкүн эмес. Мындан тышкары, аларды пайдалануу өндүрүштүн чоң көлөмү менен гана пайдалуу болот. Ошондуктан "алтын орто" абдан популярдуу болуп калды - FPGA (орус тилинде FPGA) колдонуу. Дал FPGAларда криптографиялык тездеткичтер жасалат - криптографиялык операцияларды колдоо үчүн орнотулган же плагиндүү адистештирилген аппараттык модулдар.

Биз айтып жаткандыктан тармак шифрлөөдө, чечимдердин иштеши башка тармактык түзүлүштөрдөгүдөй эле өлчөмдө өлчөнө турганы логикалуу - өткөрүү жөндөмдүүлүгү, кадрдын жоготуу пайызы жана кечигүү. Бул баалуулуктар RFC 1242де аныкталган. Айтмакчы, бул RFCде көп айтылган кечигүү вариациясы (jitter) жөнүндө эч нерсе жазылган эмес. Бул өлчөмдөрдү кантип өлчөө керек? Мен тармактык шифрлөө үчүн атайын эч кандай стандарттарда (расмий же расмий эмес, мисалы, RFC) бекитилген методологияны тапкан жокмун. RFC 2544 стандартында бекитилген тармактык түзүлүштөр үчүн методологияны колдонуу логикага туура келет.Көптөгөн сатуучулар аны карманышат – көп, бирок баары эмес. Мисалы, алар тесттик трафикти экөөнүн тең ордуна бир гана багытта жөнөтүшөт сунушталат стандарт. Баары бир.

Тармактык шифрлөөчү түзүлүштөрдүн өндүрүмдүүлүгүн өлчөө дагы эле өзүнүн өзгөчөлүктөрүнө ээ. Биринчиден, бир жуп түзмөк үчүн бардык өлчөөлөрдү жүргүзүү туура: шифрлөө алгоритмдери симметриялуу болсо да, шифрлөө жана чечмелөө учурундагы кечигүү жана пакеттик жоготуулар сөзсүз түрдө бирдей болбойт. Экинчиден, эки конфигурацияны: шифрлөөчү түзүлүштөрсүз жана алар менен салыштырып, дельтаны, тармактык шифрлөөнүн акыркы тармактын иштешине тийгизген таасирин өлчөө мааниси бар. Же, тармактык шифрлөөдөн тышкары бир нече функцияларды бириктирген гибриддик түзүлүштөрдөгүдөй, шифрлөө өчүрүлгөн жана күйгүзүлгөн. Бул таасир ар кандай болушу мүмкүн жана шифрлөөчү түзүлүштөрдүн туташуу схемасына, иштөө режимдерине жана акырында, трафиктин мүнөзүнө жараша болот. Атап айтканда, көптөгөн аткаруу параметрлери пакеттердин узундугунан көз каранды, ошондуктан ар кандай чечимдердин натыйжалуулугун салыштыруу үчүн пакеттердин узундугуна жараша бул параметрлердин графиктери көп колдонулат, же IMIX колдонулат - пакеттер боюнча трафикти бөлүштүрүү. узундуктар, бул болжол менен чыныгыны чагылдырат. Эгерде биз бир эле негизги конфигурацияны шифрлөөсүз салыштырсак, анда биз тармактык шифрлөө чечимдерин бул айырмачылыктарга кирбестен салыштыра алабыз: L2 L3 менен, сактоо жана алдыга ) кесүү менен, конвергент менен адистештирилген, ГОСТ менен AES жана башкалар.

Ethernet шифрлөө түзмөктөрүн кантип баалоо жана салыштыруу керек
Ишти текшерүү үчүн туташуу диаграммасы

Адамдар көңүл бурган биринчи өзгөчөлүк - бул шифрлөөчү түзүлүштүн "тездиги", б.а өткөрүү жөндөмдүүлүгү анын тармак интерфейстеринин (өткөрүү жөндөмдүүлүгү), бит агымынын ылдамдыгы. Бул интерфейстер тарабынан колдоого алынган тармак стандарттары менен аныкталат. Ethernet үчүн кадимки сандар 1 Гбит/сек жана 10 Гбит/сек. Бирок, биз билгендей, ар кандай тармакта максималдуу теориялык өткөрүү жөндөмдүүлүгү (өткөрүү жөндөмдүүлүгү) анын ар бир деңгээлинде дайыма азыраак өткөрүү жөндөмдүүлүгү бар: өткөрүү жөндөмдүүлүгүнүн бир бөлүгү кадр аралык интервалдар, кызматтын аталыштары ж.б.у.с. Эгерде аппарат тармак интерфейсинин толук ылдамдыгында трафикти кабыл алууга, кайра иштетүүгө (биздин учурда, шифрлөө же шифрлөө) жана өткөрүүгө жөндөмдүү болсо, башкача айтканда, тармак моделинин ушул деңгээли үчүн максималдуу теориялык өткөрүү жөндөмдүүлүгү менен, анда мындай деп айтылат иштөө үчүн линия ылдамдыгында. Бул үчүн, аппарат каалаган өлчөмдө жана ар кандай жыштыктагы пакеттерди жоготпоосу же таштабашы керек. Эгерде шифрлөөчү түзүлүш линия ылдамдыгында иштөөнү колдобосо, анда анын максималдуу өткөрүү жөндөмдүүлүгү, адатта, секундасына бирдей гигабиттерде көрсөтүлөт (кээде пакеттердин узундугун көрсөтүү менен - ​​пакеттер канчалык кыска болсо, өткөрүү жөндөмдүүлүгү демейде ошончолук төмөн болот). Бул максималдуу өткөрүү максималдуу экенин түшүнүү үчүн абдан маанилүү болуп саналат жоготуу жок (аппарат өзү аркылуу трафикти жогорку ылдамдыкта "соргулай", бирок ошол эле учурда кээ бир пакеттерди жоготуп алса да). Ошондой эле, кээ бир сатуучулар порттордун бардык жуптарынын ортосундагы жалпы өткөрүү жөндөмдүүлүгүн өлчөй турганын эске алыңыз, андыктан бардык шифрленген трафик бир порт аркылуу өтүп жатса, бул сандар көп мааниге ээ эмес.

Кайсы жерде линия ылдамдыгы менен иштөө өзгөчө маанилүү (же башкача айтканда пакетти жоготпостон)? Жогорку өткөрүү ылдамдыгын кармап туруу үчүн чоң TCP терезесинин өлчөмү коюлушу керек болгон жана пакеттин жоголушу тармактын иштешин кескин төмөндөтүүчү жогорку өткөрүү ылдамдыгы, кечиктирилген шилтемелерде (мисалы, спутник).

Бирок бардык өткөрүү жөндөмдүүлүгү пайдалуу маалыматтарды өткөрүү үчүн колдонулбайт. деп аталган менен эсептешүүгө туура келет кошумча чыгымдар (жогорку) өткөрүү жөндөмдүүлүгү. Бул шифрлөөчү түзүлүштүн өткөрүү жөндөмдүүлүгүнүн үлүшү (пайызда же бир пакетте байт) иш жүзүндө текке кеткен (колдонмо маалыматтарын өткөрүү үчүн колдонулбайт). Кошумча чыгымдар, биринчиден, шифрленген тармак пакеттеринде (шифрлөө алгоритмине жана анын иштөө режимине жараша) маалымат талаасынын көлөмүнүн (кошумча, "толтурулган") көбөйүшүнө байланыштуу келип чыгат. Экинчиден, пакеттердин аталыштарынын узундугунун көбөйүшүнө байланыштуу (туннель режими, шифрлөө протоколун сервистик киргизүү, симуляциялык киргизүү ж.б. протоколго жана шифрдин иштөө режимине жана берүү режимине жараша) - эреже катары, бул кошумча чыгымдар абдан маанилүү жана алар биринчи көңүл бурушат. Үчүнчүдөн, маалымат бирдигинин максималдуу өлчөмү (MTU) ашып кеткенде пакеттердин фрагменттелишине байланыштуу (эгерде тармак MTUдан ашкан пакетти экиге бөлүп, анын аталыштарын кайталай алса). Төртүнчүдөн, шифрлөөчү түзүлүштөрдүн ортосундагы тармакта кошумча сервистик (башкаруу) трафиктин пайда болушуна байланыштуу (ачкыч алмашуу, туннель орнотуу ж.б. үчүн). Каналдын сыйымдуулугу чектелүү болгон жерде төмөн ашыкча чыгым маанилүү. Бул, айрыкча, кичинекей пакеттерден келген трафикте айкын көрүнүп турат, мисалы, үн - бул жерде кошумча чыгымдар каналдын ылдамдыгынын жарымынан көбүн "жеп" алат!

Ethernet шифрлөө түзмөктөрүн кантип баалоо жана салыштыруу керек
кубаттуулугу

Акыр-аягы, дагы бар кечиктирүү киргизилген – тармактын кечигүүдөгү айырмасы (секунддун бөлчөктөрүндө) (тармакка киргенден андан чыгууга чейинки убакыт) маалыматтарды шифрлөөсүз жана тармактык шифрлөө менен берүү. Жалпысынан алганда, тармактын кечигүү мөөнөтү («кетүү») канчалык төмөн болсо, шифрлөөчү түзүлүштөр киргизген күтүү ошончолук критикалык болот. Кечигүүнү шифрлөө операциясынын өзү (шифрлөө алгоритмине, блоктун узундугуна жана шифрдин иштөө режимине, ошондой эле программалык камсыздоодо ишке ашыруунун сапатына жараша) жана тармактык пакетти түзмөктө иштетүү аркылуу киргизет. . Киргизилген кечигүү пакетти иштетүү режимине (өтүү же сактоо жана алдыга) жана платформанын иштешине (FPGA же ASICде аппараттык камсыздоону ишке ашыруу процессордогу программалык камсыздоону ишке ашырууга караганда көбүнчө тезирээк) көз каранды. L2 шифрлөө дээрлик ар дайым L3 же L4 шифрлөөсүнө караганда кечигүү азыраак болот, анткени L3/L4 шифрлөөчү түзмөктөр көбүнчө конвергацияланган. Мисалы, FPGAларда жана L2де шифрлөөдө ишке ашырылган жогорку ылдамдыктагы Ethernet шифрлөөчүлөрү менен шифрлөө операциясынан улам кечигүү өтө аз болот - кээде бир жуп түзмөктө шифрлөө иштетилгенде, алар киргизген жалпы кечигүү азаят! Төмөнкү кечиктирүү каналдын жалпы кечигүүлөрү менен, анын ичинде ар бир километрге болжол менен 5 мкс болгон таралуу кечигүүсүнө салыштырылганда маанилүү. Башкача айтканда, шаардык масштабдагы тармактар ​​үчүн (ондогон километр) микросекунддар көп нерсени чече алат деп айта алабыз. Мисалы, синхрондуу маалымат базасын репликациялоо үчүн, жогорку жыштыктагы соода, ошол эле блокчейн.

Ethernet шифрлөө түзмөктөрүн кантип баалоо жана салыштыруу керек
Киргизилген кечигүү

Масштабдуулук

Чоң бөлүштүрүлгөн тармактар ​​миңдеген түйүндөрдү жана тармактык түзүлүштөрдү, жүздөгөн локалдык тармак сегменттерин камтышы мүмкүн. Шифрлөө чечимдери бөлүштүрүлгөн тармактын көлөмүнө жана топологиясына кошумча чектөөлөрдү киргизбөөсү маанилүү. Бул биринчи кезекте хост жана тармак даректеринин максималдуу санына тиешелүү. Мындай чектөөлөр, мисалы, көп чекиттүү шифрленген тармак топологиясын (көз карандысыз коопсуз туташуулар же туннелдер менен) же тандалма шифрлөө (мисалы, протоколдун номери же VLAN боюнча) ишке ашырууда кездешүүсү мүмкүн. Эгерде бул учурда тармак даректери (MAC, IP, VLAN ID) саптардын саны чектелген таблицада ачкыч катары колдонулса, анда бул чектөөлөр бул жерде пайда болот.

Мындан тышкары, чоң тармактар ​​көбүнчө бир нече структуралык катмарларга ээ, анын ичинде негизги тармак, алардын ар бири өзүнүн даректүү схемасын жана өзүнүн маршруттук саясатын ишке ашырат. Бул ыкманы ишке ашыруу үчүн көбүнчө атайын кадр форматтары (мисалы, Q-in-Q же MAC-in-MAC) жана маршруттук протоколдор колдонулат. Мындай тармактарды курууга тоскоол болбошу үчүн, шифрлөөчү түзүлүштөр мындай кадрларды туура иштетиши керек (башкача айтканда, бул мааниде масштабдуулук шайкештикти билдирет - төмөндө бул жөнүндө көбүрөөк).

ийкемдүүлүк

Бул жерде ар кандай конфигурацияларды, байланыш схемаларын, топологияларды жана башка нерселерди колдоо жөнүндө сөз болуп жатат. Мисалы, Carrier Ethernet технологияларына негизделген коммутацияланган тармактар ​​үчүн бул виртуалдык туташуулардын ар кандай түрлөрүн (E-Line, E-LAN, E-Tree), кызматтын ар кандай түрлөрүн (порт жана VLAN аркылуу) жана ар кандай транспорттук технологияларды колдоону билдирет. (алар буга чейин жогоруда саналып өткөн). Башкача айтканда, түзмөк сызыктуу ("чекиттен чекитке") жана көп чекиттүү режимдерде иштей алышы керек, ар кандай VLAN үчүн өзүнчө туннелдерди түзүшү керек жана коопсуз каналдын ичинде пакеттерди кезексиз жеткирүүгө мүмкүнчүлүк бериши керек. Ар кандай шифрдик режимдерди (анын ичинде мазмундун аутентификациясы бар же жок) жана башка пакеттик берүү режимдерин тандоо мүмкүнчүлүгү учурдагы шарттарга жараша күч менен аткаруунун ортосундагы балансты түзүүгө мүмкүндүк берет.

Жабдуулары бир уюмга таандык (же ага ижарага алынган) жеке тармактарды да, ар кандай сегменттери ар кандай компаниялар тарабынан башкарылуучу оператордук тармактарды да колдоо маанилүү. Чечим үйдө да, үчүнчү тарап тарабынан да башкарууга мүмкүндүк берсе жакшы болот (башкарылган кызмат моделин колдонуу менен). Оператордук тармактарда дагы бир маанилүү функция болуп трафики бир эле шифрлөөчү түзүлүштөр аркылуу өткөн жеке кардарларды (абоненттерди) криптографиялык обочолонтуу түрүндөгү көп ижарага алууну (ар түрдүү кардарлар менен бөлүшүүнү) колдоо саналат. Бул, адатта, ар бир кардар үчүн ачкычтардын жана сертификаттардын өзүнчө топтомун колдонууну талап кылат.

Эгер түзмөк белгилүү бир сценарий үчүн сатылып алынса, анда бул функциялардын бардыгы анча маанилүү эмес болушу мүмкүн - сиз жөн гана аппарат азыр сизге керектүү нерсени колдой тургандыгын текшеришиңиз керек. Бирок, эгерде чечим келечектеги сценарийлерди колдоо үчүн "өсүү үчүн" сатылып алынса жана "корпоративдик стандарт" катары тандалса, анда ийкемдүүлүк ашыкча болбойт - айрыкча, ар кандай сатуучулардын шаймандарынын иштешине болгон чектөөлөрдү эске алуу менен ( бул тууралуу төмөндө).

Жөнөкөйлүк жана ыңгайлуулук

Тейлөөнүн жеңилдиги да көп факторлуу түшүнүк. Болжол менен, бул анын жашоо циклинин ар кандай этаптарында чечимди колдоо үчүн зарыл болгон белгилүү бир квалификациядагы адистер тарабынан сарпталган жалпы убакыт деп айта алабыз. Эгерде эч кандай чыгымдар жок болсо жана орнотуу, конфигурациялоо жана иштетүү толугу менен автоматтык болсо, анда чыгымдар нөлгө барабар жана ыңгайлуулук абсолюттук болуп саналат. Албетте, бул реалдуу дүйнөдө болбойт. Акылга сыярлык жакындоо - бул модель "зымдагы түйүн" шифрлөөчү түзүлүштөрдү кошуу жана өчүрүү тармак конфигурациясын кол менен же автоматтык түрдө өзгөртүүнү талап кылбаган ачык туташуу. Ошол эле учурда, чечимди тейлөө жөнөкөйлөштүрүлөт: сиз шифрлөө функциясын коопсуз күйгүзүп жана өчүрө аласыз, жана зарыл болсо, жөн гана тармак кабели менен аппаратты "айлап" өтүңүз (б.а. тармактык жабдуулардын портторун түздөн-түз туташтырыңыз). ал туташтырылган). Ырас, бир кемчилиги бар - чабуулчу да ошондой кыла алат. "Зымдагы түйүн" принцибин ишке ашыруу үчүн трафикти гана эмес, эске алуу зарыл маалымат катмарыбирок башкаруу жана башкаруу катмарлары – түзмөктөр алар үчүн ачык болушу керек. Демек, мындай трафикти шифрлөөчү түзүлүштөрдүн ортосунда тармакта трафиктин бул түрлөрүн алуучулар жок болгондо гана шифрлөөгө болот, анткени ал ташталса же шифрленген болсо, анда сиз шифрлөөнү иштеткенде же өчүргөндө, тармактын конфигурациясы өзгөрүшү мүмкүн. Шифрлөөчү түзүлүш физикалык катмардын сигнализациясы үчүн да ачык болушу мүмкүн. Тактап айтканда, сигнал жоголгондо, бул жоготууну (б.а. өткөргүчтөрүн өчүрүү) сигналдын багыты боюнча алдыга жана артка («өзү үчүн») өткөрүп бериши керек.

Маалыматтык коопсуздук жана IT бөлүмдөрүнүн, атап айтканда, тармактык бөлүмдүн ортосунда ыйгарым укуктарды бөлүштүрүүдө колдоо көрсөтүү да маанилүү. Шифрлөө чечими уюмдун кирүү мүмкүнчүлүгүн көзөмөлдөө жана аудит моделин колдоого тийиш. Күнүмдүк операцияларды аткаруу үчүн ар кандай бөлүмдөрдүн ортосундагы өз ара аракеттенүүнүн зарылдыгы минималдуу болушу керек. Демек, шифрлөө функцияларын гана колдогон жана тармактык операциялар үчүн мүмкүн болушунча ачык-айкын болгон адистештирилген түзүлүштөр үчүн ыңгайлуулук жагынан артыкчылык бар. Жөнөкөй сөз менен айтканда, маалыматтык коопсуздук кызматкерлери тармак жөндөөлөрүн өзгөртүү үчүн "тармак адистерине" кайрылууга эч кандай негиз болбошу керек. Жана алар, өз кезегинде, тармакты тейлөөдө шифрлөө жөндөөлөрүн өзгөртүүгө муктаж болбошу керек.

Дагы бир фактор - бул башкаруу элементтеринин мүмкүнчүлүктөрү жана ыңгайлуулугу. Алар визуалдык, логикалык болушу керек, орнотууларды импорттоо-экспорттоо, автоматташтыруу ж.б.у.с. Сиз дароо кандай башкаруу варианттары бар экенине (көбүнчө алардын башкаруу чөйрөсү, веб-интерфейс жана буйрук сабы) жана алардын ар биринде кандай функциялар бар экенине (чектөөлөр бар) көңүл бурушуңуз керек. Маанилүү функция - колдоо топтан тышкары (тилкеден тышкары) башкаруу, башкача айтканда, атайын башкаруу тармагы аркылуу жана тобунда (in-band) башкаруу, башкача айтканда, пайдалуу трафик өткөрүлө турган жалпы тармак аркылуу. Башкаруу куралдары бардык анормалдуу кырдаалдарды, анын ичинде маалыматтык коопсуздук инциденттерин белгилөөгө тийиш. Кадимки, кайталануучу операциялар автоматтык түрдө аткарылышы керек. Бул биринчи кезекте негизги башкарууга тиешелүү. Алар автоматтык түрдө түзүлүшү/таратылышы керек. PKI колдоосу чоң плюс.

шайкештик

Башкача айтканда, түзмөктүн тармак стандарттарына шайкештиги. Мындан тышкары, бул IEEE сыяктуу абройлуу уюмдар тарабынан кабыл алынган өнөр жай стандарттарын гана эмес, ошондой эле Cisco сыяктуу тармактын лидерлеринин проприетардык протоколдорун билдирет. Шайкештикти камсыз кылуунун эки негизги жолу бар: же аркылуу тунуктук, же аркылуу ачык колдоо протоколдор (шифрлөөчү түзүлүш белгилүү бир протокол үчүн тармак түйүндөрүнүн бирине айланганда жана бул протоколдун башкаруу трафигин иштеткенде). Тармактар ​​менен шайкештик башкаруу протоколдорун ишке ашыруунун толуктугунан жана тууралыгынан көз каранды. PHY деңгээлинин ар кандай варианттарын (тездик, берүү чөйрөсү, коддоо схемасы), ар кандай MTU менен ар кандай форматтагы Ethernet фреймдерин, ар кандай L3 кызмат протоколдорун (биринчи кезекте TCP/IP үй-бүлөсү) колдоо маанилүү.

Айкындуулук мутация механизмдери (шифрлөөчүлөр ортосундагы трафиктеги ачык аталыштардын мазмунун убактылуу өзгөртүү), өткөрүп жиберүү (жеке пакеттер шифрленбеген бойдон калууда) жана шифрлөөнүн башталышын чегинүү (демейде пакеттердин шифрленген талаалары шифрленбеген учурда) аркылуу камсыз кылынат.

Ethernet шифрлөө түзмөктөрүн кантип баалоо жана салыштыруу керек
Кантип ачык-айкындуулук камсыз кылынат

Ошондуктан, ар дайым конкреттүү протоколго колдоо көрсөтүү кандайча так текшерилет. Көп учурда ачык режимде колдоо ыңгайлуу жана ишенимдүү.

Өз ара аракеттенүү

Бул да шайкештик, бирок башка мааниде, тактап айтканда, башка өндүрүүчүлөрдүн, анын ичинде шифрлөөчү түзүлүштөрдүн башка моделдери менен иштөө мүмкүнчүлүгү. Көп нерсе шифрлөө протоколдорун стандартташтыруу абалынан көз каранды. L1 боюнча жалпы кабыл алынган шифрлөө стандарттары жок.

Ethernet тармактарында L2 шифрлөө үчүн 802.1ae (MACsec) стандарты бар, бирок аны колдонбойт. кайчылаш кесүү (аягына чейин) жана интерпорт, "хоп-хоп" шифрлөө жана анын баштапкы версиясында бөлүштүрүлгөн тармактарда колдонууга жараксыз, ошондуктан бул чектөөнү жеңген анын менчик кеңейтүүлөрү пайда болду (албетте, башка өндүрүүчүлөрдүн жабдуулары менен өз ара иштешүүнүн аркасында). Ырас, 2018-жылы бөлүштүрүлгөн тармактарды колдоо 802.1ae стандартына кошулган, бирок ГОСТ шифрлөө алгоритмдеринин топтомдорун колдоо дагы деле жок. Ошондуктан, проприетардык, стандарттуу эмес L2 шифрлөө протоколдору, эреже катары, көбүрөөк эффективдүүлүгү (атап айтканда, өткөрүү жөндөмдүүлүгүнүн төмөндүгү) жана ийкемдүүлүгү (шифрлөө алгоритмдерин жана режимдерин өзгөртүү мүмкүнчүлүгү) менен айырмаланат.

Жогорку деңгээлде (L3 жана L4) таанылган стандарттар бар, биринчи кезекте IPsec жана TLS, бирок бул жерде да жөнөкөй эмес. Чындыгында, бул стандарттардын ар бири протоколдордун жыйындысы болуп саналат, алардын ар бири ар кандай версиялары жана кеңейтүүлөрү талап кылынган же ишке ашыруу үчүн милдеттүү эмес. Мындан тышкары, кээ бир өндүрүүчүлөр L3/L4 боюнча менчик шифрлөө протоколдорун колдонууну каалашат. Ошондуктан, көпчүлүк учурларда сиз толук өз ара аракеттенүү мүмкүнчүлүгүнө ишенбешиңиз керек, бирок, жок эле дегенде, бир өндүрүүчүнүн ар кандай моделдери менен ар кандай муундарынын ортосундагы өз ара аракеттенүү камсыздалганы маанилүү.

ишенимдүүлүк

Ар кандай чечимдерди салыштыруу үчүн, каталардын ортосундагы орточо убакытты же жеткиликтүүлүк факторун колдонсоңуз болот. Эгерде бул сандар жок болсо (же аларга ишеним жок), анда сапаттык салыштыруу жүргүзүүгө болот. Ыңгайлуу башкаруусу бар түзмөктөр артыкчылыкка ээ болот (конфигурация каталарынын коркунучу азыраак), адистештирилген шифрлөөчүлөр (ошол эле себеп менен), ошондой эле катаны аныктоо жана жоюу үчүн минималдуу убакытты талап кылган чечимдер, анын ичинде бүт түйүндөрдүн "ысык" резервдик көчүрмөсү жана түзмөктөр.

баасы

Көпчүлүк IT чечимдериндей эле, нарк жөнүндө сөз болгондо, ээлик кылуунун жалпы наркын салыштыруу акылга сыярлык. Аны эсептөө үчүн дөңгөлөктү кайра ойлоп табуунун кажети жок, бирок ар кандай ылайыктуу методологияны (мисалы, Gartner компаниясынан) жана каалаган калькуляторду (мисалы, ТКОну эсептөө үчүн уюмда мурунтан эле колдонулган) колдонуңуз. Тармактык шифрлөө чечими үчүн ээлик кылуунун жалпы наркы ушундан турганы түшүнүктүү түз чечимдин өзүн сатып алуу же ижарага алуу боюнча чыгымдар, жабдыктарды жайгаштыруу үчүн инфраструктура жана жайгаштыруу, башкаруу жана тейлөө боюнча чыгымдар (үй ичинде болобу же үчүнчү тараптын кызматтары түрүндө болобу), ошондой эле кыйыр чечимдин токтоп калуусунан келип чыккан чыгымдар (акыркы колдонуучунун өндүрүмдүүлүгүн жоготуу менен шартталган). Балким, бир гана кылдаттык бар. Чечүүнүн натыйжалуулугун ар кандай жолдор менен кароого болот: же өндүрүмдүүлүктүн жоголушу менен шартталган кыйыр чыгымдар, же тармактык инструменттерди сатып алуу/жаңыртуу жана тейлөө боюнча түз чыгымдар катары, же тармактын натыйжалуулугун колдонуудан улам жоготуулардын ордун толтуруу. шифрлөө. Кандай болгон күндө да, жетиштүү тактык менен эсептөө кыйын болгон чыгашалар эсепке кирбей калганы жакшы: ушундай жол менен акыркы мааниге көбүрөөк ишеним пайда болот. Жана, адаттагыдай эле, кандай болгон күндө да, ТКОнун ар кандай түзүлүштөрүн аларды колдонуунун конкреттүү сценарийи үчүн салыштыруу мааниси бар - реалдуу же типтүү.

узактык

Ал эми акыркы өзгөчөлүгү - чечимдин туруктуулугу. Көпчүлүк учурларда, чыдамкайлык ар кандай чечимдерди салыштыруу менен гана сапаттык баалоого болот. Шифрлөөчү түзүлүштөр каражат гана эмес, коргоо объектиси да экенин унутпашыбыз керек. Алар ар кандай коркунучтарга дуушар болушу мүмкүн. Биринчи планда купуялуулукту бузуу, билдирүүлөрдү кайра чыгаруу жана өзгөртүү коркунучтары турат. Бул коркунучтар шифрдин же анын айрым режимдеринин алсыздыгы аркылуу, шифрлөө протоколдорундагы алсыздыктар аркылуу (анын ичинде байланышты түзүү жана ачкычтарды түзүү/таратуу стадияларында) ишке ашырылышы мүмкүн. Артыкчылыгы шифрлөө алгоритмин өзгөртүүгө же шифр режимин которууга (жок дегенде микропрограмманы жаңыртуу аркылуу) мүмкүндүк берүүчү чечимдер үчүн, эң толук шифрлөөнү камсыз кылуучу чечимдер, чабуулчудан колдонуучунун маалыматтарын гана эмес, ошондой эле дарек жана башка кызматтык маалыматтарды жашырат. , ошондой эле шифрлөө гана эмес, ошондой эле билдирүүлөрдү кайра чыгаруудан жана өзгөртүүдөн коргогон техникалык чечимдер. Стандарттарда бекитилген бардык заманбап шифрлөө алгоритмдери, электрондук кол тамгалар, ачкыч генерациясы ж.б. үчүн күч бирдей деп болжолдоого болот (антпесе криптографиянын жапайы чөйрөсүндө адашып кетишиңиз мүмкүн). Бул сөзсүз түрдө ГОСТ алгоритмдери болушу керекпи? Бул жерде бардыгы жөнөкөй: эгерде колдонмо сценарийи CIPF үчүн ФСБ сертификатын талап кылса (жана Россияда бул көбүнчө ушундай болот; көпчүлүк тармактык шифрлөө сценарийлери үчүн бул туура), анда биз тастыкталгандардын арасынан гана тандайбыз. Эгерде андай болбосо, анда сертификаттары жок түзмөктөрдү кароодон чыгаруунун мааниси жок.

Дагы бир коркунуч - бул хакерлик коркунучу, түзмөктөргө уруксатсыз кирүү (анын ичинде корпустун сыртында жана ичинде физикалык жетүү аркылуу). Коркунуч аркылуу ишке ашырылышы мүмкүн
ишке ашырууда алсыздыктар - аппараттык жана код. Демек, тармак аркылуу минималдуу "чабуул бети" бар, физикалык кирүүдөн корголгон каптамалары бар (интрузия сенсорлору, зонддоочу коргоо жана корпус ачылганда негизги маалыматты автоматтык түрдө баштапкы абалга келтирүү менен), ошондой эле микропрограмманы жаңыртууга мүмкүндүк берүүчү чечимдер болот. коддогу алсыздык белгилүү болгон учурда артыкчылык. Дагы бир жолу бар: эгерде салыштырылып жаткан бардык түзмөктөрдө ФСБ сертификаттары бар болсо, анда сертификат берилген CIPF классы хакерликке каршылык көрсөтүүнүн көрсөткүчү катары каралышы мүмкүн.

Акыр-аягы, коркунучтун дагы бир түрү - жөндөө жана эксплуатация учурундагы каталар, анын таза түрүндө адам фактору. Бул адистештирилген шифрлөөчүлөрдүн конвергенттик чечимдерге караганда дагы бир артыкчылыгын көрсөтүп турат, алар көбүнчө тажрыйбалуу “тармактык адистерге” багытталган жана “катардагы”, жалпы маалымат коопсуздугу боюнча адистер үчүн кыйынчылыктарды жаратышы мүмкүн.

Өкүм чыгаруу

Негизи, бул жерде ар кандай түзүлүштөрдү салыштыруу үчүн кандайдыр бир интегралдык көрсөткүчтү сунуштоого болот, мисалы

$$дисплей$$K_j=∑p_i r_{ij}$$дисплей$$

мында р - индикатордун салмагы, ал эми r - бул көрсөткүч боюнча түзүлүштүн даражасы жана жогоруда саналып өткөн мүнөздөмөлөрдүн кайсынысын болбосун "атомдук" көрсөткүчкө бөлүүгө болот. Мындай формула, мисалы, алдын ала макулдашылган эрежелер боюнча тендердик сунуштарды салыштырганда пайдалуу болушу мүмкүн. Бирок сиз жөнөкөй үстөл менен ала аласыз

өзгөчөлүк
Аппарат 1
Аппарат 2
...
Аппарат Н

кубаттуулугу
+
+

+++

Кошумча чыгымдар
+
++

+++

кармоо
+
+

++

Масштабдуулук
+++
+

+++

ийкемдүүлүк
+++
++

+

Өз ара аракеттенүү
++
+

+

шайкештик
++
++

+++

Жөнөкөйлүк жана ыңгайлуулук
+
+

++

катага сабырдуулук
+++
+++

++

баасы
++
+++

+

узактык
++
++

+++

Суроолорго жана конструктивдүү сынга жооп берүүгө кубанычта болом.

Source: www.habr.com

Комментарий кошуу