Kā novērtēt un salīdzināt Ethernet šifrēšanas ierīces

Es uzrakstīju šo pārskatu (vai, ja vēlaties, salīdzināšanas rokasgrāmatu), kad man tika uzdots salīdzināt vairākas ierīces no dažādiem pārdevējiem. Turklāt šīs ierīces piederēja dažādām klasēm. Man bija jāsaprot visu šo ierīču arhitektūra un īpašības un jāizveido “koordinātu sistēma” salīdzināšanai. Es priecāšos, ja mans pārskats kādam palīdzēs:

• Izprotiet šifrēšanas ierīču aprakstus un specifikācijas
• Atšķiriet “papīra” raksturlielumus no tiem, kas patiešām ir svarīgi reālajā dzīvē
• Pārsniedziet parasto pārdevēju klāstu un iekļaujiet visus produktus, kas ir piemēroti problēmas risināšanai
• Sarunu laikā uzdodiet pareizos jautājumus
• Sastādīt konkursa prasības (RFP)
• Saprotiet, kādas īpašības būs jāupurē, izvēloties noteiktu ierīces modeli

Ko var novērtēt

Principā šī pieeja ir piemērojama jebkurai atsevišķai ierīcei, kas piemērota tīkla trafika šifrēšanai starp attāliem Ethernet segmentiem (starpvietņu šifrēšana). Tas ir, “kastes” atsevišķā gadījumā (labi, mēs šeit iekļausim arī šasijas asmeņus/moduļus), kas caur vienu vai vairākiem Ethernet portiem ir savienoti ar lokālo (universitātes) Ethernet tīklu ar nešifrētu trafiku un caur cits(-i) kanāla/tīkla ports(-i), caur kuru jau šifrētā trafika tiek pārsūtīta uz citiem attāliem segmentiem. Šādu šifrēšanas risinājumu var izvietot privātā vai operatora tīklā, izmantojot dažāda veida “transportu” (tumšās šķiedras, frekvenču dalīšanas iekārtas, komutācijas Ethernet, kā arī “pseidovadus”, kas izvadīti tīklā ar atšķirīgu maršrutēšanas arhitektūru, visbiežāk MPLS ), ar vai bez VPN tehnoloģijas.

Tīkla šifrēšana sadalītā Ethernet tīklā

Pašas ierīces var būt vai nu specializējies (paredzēts tikai šifrēšanai) vai daudzfunkcionāls (hibrīds, saplūst), tas ir, veicot arī citas funkcijas (piemēram, ugunsmūris vai maršrutētājs). Dažādi pārdevēji klasificē savas ierīces dažādās klasēs/kategorijās, taču tam nav nozīmes – svarīgi ir tikai tas, vai tie var šifrēt starpvietņu trafiku un kādas īpašības tām piemīt.

Katram gadījumam atgādinu, ka “tīkla šifrēšana”, “datplūsmas šifrēšana”, “šifrētājs” ir neformāli termini, lai gan bieži tiek lietoti. Visticamāk, jūs tos neatradīsit Krievijas noteikumos (ieskaitot tos, kas ievieš GOST).

Šifrēšanas līmeņi un pārraides režīmi

Pirms sākam aprakstīt pašas īpašības, kuras tiks izmantotas novērtēšanai, mums vispirms ir jāsaprot viena svarīga lieta, proti, “šifrēšanas līmenis”. Ievēroju, ka tas bieži tiek minēts gan oficiālajos pārdevēju dokumentos (aprakstos, rokasgrāmatās utt.), gan neformālās diskusijās (pārrunās, apmācībās). Tas ir, šķiet, ka visi ļoti labi zina, par ko mēs runājam, bet es personīgi biju liecinieks zināmai neskaidrībai.

Tātad, kas ir “šifrēšanas līmenis”? Ir skaidrs, ka mēs runājam par OSI/ISO atsauces tīkla modeļa slāņa numuru, kurā notiek šifrēšana. Mēs lasām GOST R ISO 7498-2–99 “Informācijas tehnoloģija. Atvērto sistēmu savienošana. Pamata atsauces modelis. 2. daļa. Informācijas drošības arhitektūra. No šī dokumenta var saprast, ka konfidencialitātes pakalpojuma līmenis (viens no tā nodrošināšanas mehānismiem ir šifrēšana) ir protokola līmenis, kura pakalpojuma datu bloks (“payload”, lietotāja dati) ir šifrēts. Kā arī rakstīts standartā, pakalpojumu var nodrošināt gan tajā pašā līmenī, “pats par sevi”, gan ar zemāka līmeņa palīdzību (tā, piemēram, tas visbiežāk tiek ieviests MACsec) .

Praksē ir iespējami divi šifrētas informācijas pārsūtīšanas režīmi tīklā (tūlīt prātā nāk IPsec, bet tādi paši režīmi ir sastopami arī citos protokolos). IN transports (dažreiz saukts arī par vietējo) režīms ir tikai šifrēts apkalpošana datu bloku, un galvenes paliek “atvērtas”, nešifrētas (dažkārt tiek pievienoti papildu lauki ar šifrēšanas algoritma pakalpojumu informāciju, un citi lauki tiek pārveidoti un pārrēķināti). IN tunelis viss vienāds režīms protokols datu bloks (tas ir, pati pakete) ir šifrēta un iekapsulēta tāda paša vai augstāka līmeņa pakalpojuma datu blokā, tas ir, to ieskauj jaunas galvenes.

Pats šifrēšanas līmenis kombinācijā ar kādu pārraides režīmu nav ne labs, ne slikts, tāpēc nevar teikt, piemēram, ka L3 transporta režīmā ir labāks par L2 tuneļa režīmā. No tiem ir atkarīgi daudzi parametri, pēc kuriem ierīces tiek novērtētas. Piemēram, elastība un savietojamība. Lai strādātu tīklā L1 (bitu straumes relejs), L2 (kadru pārslēgšana) un L3 (pakešu maršrutēšana) transporta režīmā, ir nepieciešami risinājumi, kas šifrē tādā pašā vai augstākā līmenī (pretējā gadījumā adreses informācija tiks šifrēta un dati tiks šifrēti nesasniedz paredzēto galamērķi), un tuneļa režīms pārvar šo ierobežojumu (lai gan tiek upurētas citas svarīgas īpašības).

Transporta un tuneļa L2 šifrēšanas režīmi

Tagad pāriesim pie raksturlielumu analīzes.

Производительность

Tīkla šifrēšanai veiktspēja ir sarežģīts, daudzdimensionāls jēdziens. Gadās, ka konkrēts modelis ir pārāks par vienu veiktspējas raksturlielumu, bet citā ir zemāks. Tāpēc vienmēr ir lietderīgi apsvērt visus šifrēšanas veiktspējas komponentus un to ietekmi uz tīkla un lietojumprogrammu, kas to izmanto, veiktspēju. Šeit var izdarīt analoģiju ar automašīnu, kurai ir svarīgs ne tikai maksimālais ātrums, bet arī paātrinājuma laiks līdz “simtiem”, degvielas patēriņš utt. Pārdevēju uzņēmumi un to potenciālie klienti pievērš lielu uzmanību veiktspējas īpašībām. Parasti šifrēšanas ierīces tiek ranžētas, pamatojoties uz veiktspēju piegādātāju līnijās.

Ir skaidrs, ka veiktspēja ir atkarīga gan no ierīcē veikto tīkla un kriptogrāfijas darbību sarežģītības (tostarp no tā, cik labi šos uzdevumus var paralēli un konveijera veidā), kā arī no aparatūras veiktspējas un programmaparatūras kvalitātes. Tāpēc vecāki modeļi izmanto produktīvāku aparatūru, dažreiz to var aprīkot ar papildu procesoriem un atmiņas moduļiem. Ir vairākas pieejas kriptogrāfijas funkciju ieviešanai: vispārēja pielietojuma centrālajā procesora blokā (CPU), lietojumprogrammai specifiskā integrālajā shēmā (ASIC) vai laukā programmējamā loģiskā integrālajā shēmā (FPGA). Katrai pieejai ir savi plusi un mīnusi. Piemēram, centrālais procesors var kļūt par šifrēšanas vājo vietu, it īpaši, ja procesoram nav specializētu instrukciju šifrēšanas algoritma atbalstam (vai ja tās netiek izmantotas). Specializētajām mikroshēmām trūkst elastības, tās ne vienmēr ir iespējams “atsvaidzināt”, lai uzlabotu veiktspēju, pievienotu jaunas funkcijas vai novērstu ievainojamības. Turklāt to izmantošana kļūst izdevīga tikai ar lieliem ražošanas apjomiem. Tāpēc "zelta vidusceļš" ir kļuvis tik populārs - FPGA (krievu valodā FPGA) izmantošana. Tieši uz FPGA tiek izgatavoti tā sauktie kriptogrāfijas paātrinātāji - iebūvēti vai spraudņi specializēti aparatūras moduļi kriptogrāfijas darbību atbalstam.

Tā kā mēs runājam par tīklu šifrēšanu, loģiski, ka risinājumu veiktspēja jāmēra tādos pašos daudzumos kā citām tīkla ierīcēm - caurlaidspēja, kadru zuduma procents un latentums. Šīs vērtības ir definētas RFC 1242. Starp citu, šajā RFC nekas nav rakstīts par bieži pieminēto aizkaves variāciju (trīce). Kā izmērīt šos daudzumus? Es neesmu atradis metodiku, kas būtu apstiprināta nevienā standartā (oficiālā vai neoficiālā, piemēram, RFC) īpaši tīkla šifrēšanai. Loģiski būtu izmantot metodiku tīkla ierīcēm, kas ietverta standartā RFC 2544. To ievēro daudzi pārdevēji – daudzi, bet ne visi. Piemēram, viņi sūta testa trafiku tikai vienā virzienā, nevis abos, piemēram ieteicams standarta. Vienalga.

Tīkla šifrēšanas ierīču veiktspējas mērīšanai joprojām ir savas īpašības. Pirmkārt, ir pareizi veikt visus mērījumus ierīču pārim: lai gan šifrēšanas algoritmi ir simetriski, aizkaves un pakešu zudumi šifrēšanas un atšifrēšanas laikā ne vienmēr būs vienādi. Otrkārt, ir lietderīgi izmērīt delta, tīkla šifrēšanas ietekmi uz galīgo tīkla veiktspēju, salīdzinot divas konfigurācijas: bez šifrēšanas ierīcēm un ar tām. Vai arī, kā tas ir gadījumā ar hibrīdierīcēm, kas papildus tīkla šifrēšanai apvieno vairākas funkcijas, izslēdzot un ieslēdzot šifrēšanu. Šī ietekme var būt dažāda un atkarīga no šifrēšanas ierīču savienojuma shēmas, darbības režīmiem un, visbeidzot, no trafika veida. Jo īpaši daudzi veiktspējas parametri ir atkarīgi no pakešu garuma, tāpēc dažādu risinājumu veiktspējas salīdzināšanai bieži tiek izmantoti šo parametru grafiki atkarībā no pakešu garuma vai arī tiek izmantots IMIX - trafika sadalījums pa paketēm. garumi, kas aptuveni atspoguļo reālo. Ja salīdzinām vienu un to pašu pamata konfigurāciju bez šifrēšanas, mēs varam salīdzināt tīkla šifrēšanas risinājumus, kas ieviesti atšķirīgi, neiedziļinoties šajās atšķirībās: L2 ar L3, store-and-forward ) ar izgriezumu, specializēts ar konverģentu, GOST ar AES un tā tālāk.

Savienojuma shēma veiktspējas pārbaudei

Pirmā īpašība, kurai cilvēki pievērš uzmanību, ir šifrēšanas ierīces “ātrums”. joslas platums tīkla saskarņu (joslas platums), bitu plūsmas ātrums. To nosaka tīkla standarti, kurus atbalsta saskarnes. Ethernet standarta skaitļi ir 1 Gbps un 10 Gbps. Bet, kā mēs zinām, jebkurā tīklā maksimālais teorētiskais caurlaidspēja (caurlaidspēja) katrā no tās līmeņiem vienmēr ir mazāks joslas platums: daļu joslas platuma "apēda" starpkadru intervāli, pakalpojumu galvenes utt. Ja ierīce spēj uztvert, apstrādāt (mūsu gadījumā šifrēt vai atšifrēt) un pārraidīt trafiku ar pilnu tīkla interfeisa ātrumu, tas ir, ar maksimālo teorētisko caurlaidspēju šim tīkla modeļa līmenim, tad tiek teikts strādāt līnijas ātrumā. Lai to izdarītu, ir nepieciešams, lai ierīce nezaudētu un neizmestu jebkura izmēra un frekvences paketes. Ja šifrēšanas ierīce neatbalsta darbību ar līnijas ātrumu, tad tās maksimālā caurlaidspēja parasti tiek norādīta tajos pašos gigabitos sekundē (dažkārt norādot pakešu garumu - jo īsākas paketes, jo caurlaidspēja parasti ir zemāka). Ir ļoti svarīgi saprast, ka maksimālā caurlaidspēja ir maksimālā nekādu zaudējumu (pat ja ierīce var “pumpēt” trafiku caur sevi ar lielāku ātrumu, bet tajā pašā laikā pazaudējot dažas paketes). Tāpat ņemiet vērā, ka daži pārdevēji mēra kopējo caurlaidspēju starp visiem portu pāriem, tāpēc šiem skaitļiem nav lielas nozīmes, ja visa šifrētā trafika notiek caur vienu portu.

Kur ir īpaši svarīgi darboties ar līnijas ātrumu (vai, citiem vārdiem sakot, bez pakešu zuduma)? Liela joslas platuma un liela latentuma saitēs (piemēram, satelīts), kur ir jāiestata liels TCP loga izmērs, lai uzturētu augstu pārraides ātrumu, un kur pakešu zudums krasi samazina tīkla veiktspēju.

Bet ne viss joslas platums tiek izmantots noderīgu datu pārsūtīšanai. Jārēķinās ar t.s pieskaitāmās izmaksas (gaisvadu) joslas platums. Šī ir šifrēšanas ierīces caurlaidspējas daļa (procentos vai baitos katrā paketē), kas faktiski tiek iztērēta (nevar izmantot lietojumprogrammu datu pārsūtīšanai). Pieskaitāmās izmaksas, pirmkārt, rodas, palielinoties datu lauka izmēram (papildināšanai, “piepildīšanai”) šifrētās tīkla paketēs (atkarībā no šifrēšanas algoritma un tā darbības režīma). Otrkārt, sakarā ar pakešu galveņu garuma palielināšanos (tuneļa režīms, šifrēšanas protokola servisa ievietošana, simulācijas ievietošana utt. atkarībā no protokola un šifra darbības režīma un pārraides režīma) - parasti šīs pieskaitāmās izmaksas ir nozīmīgākie, un viņi vispirms pievērš uzmanību. Treškārt, pakešu sadrumstalotības dēļ, kad tiek pārsniegts maksimālais datu vienības lielums (MTU) (ja tīkls spēj sadalīt paketi, kas pārsniedz MTU, divās daļās, dublējot tās galvenes). Ceturtkārt, sakarā ar papildu pakalpojumu (kontroles) trafika parādīšanos tīklā starp šifrēšanas ierīcēm (atslēgu apmaiņai, tuneļa uzstādīšanai utt.). Zemas pieskaitāmās izmaksas ir svarīgas, ja kanāla jauda ir ierobežota. Tas ir īpaši redzams trafikā no mazām paketēm, piemēram, balss, kur pieskaitāmās izmaksas var "apēst" vairāk nekā pusi no kanāla ātruma!

Joslas platums

Visbeidzot, ir vairāk ieviesta kavēšanās – atšķirība (sekundes daļās) tīkla aizkavē (laiks, kas nepieciešams, lai dati pāriet no ienākšanas tīklā līdz iziešanai no tā) starp datu pārraidi bez tīkla šifrēšanas un ar tīkla šifrēšanu. Vispārīgi runājot, jo mazāks ir tīkla latentums (“latents”), jo kritiskāks kļūst šifrēšanas ierīču ieviestais latentums. Aizkavi ievieš pati šifrēšanas darbība (atkarībā no šifrēšanas algoritma, bloka garuma un šifra darbības veida, kā arī no tā ieviešanas programmatūras kvalitātes) un tīkla paketes apstrādes ierīcē. . Ieviestais latentums ir atkarīgs gan no pakešu apstrādes režīma (pārsūtīšana vai saglabāšana un pārsūtīšana), gan no platformas veiktspējas (aparatūras ieviešana FPGA vai ASIC parasti ir ātrāka nekā programmatūras ieviešana CPU). L2 šifrēšanai gandrīz vienmēr ir mazāks latentums nekā L3 vai L4 šifrēšanai, jo L3/L4 šifrēšanas ierīces bieži tiek konverģētas. Piemēram, ar ātrdarbīgiem Ethernet šifrētājiem, kas ieviesti uz FPGA un šifrējot L2, aizkave šifrēšanas darbības dēļ ir izzūdoši maza - dažreiz, kad šifrēšana ir iespējota ierīču pārī, to kopējā aizkave pat samazinās! Zems latentums ir svarīgs, ja tas ir salīdzināms ar kopējo kanālu aizkavi, tostarp izplatīšanās aizkavi, kas ir aptuveni 5 μs uz kilometru. Tas ir, mēs varam teikt, ka pilsētas mēroga tīkliem (vairākiem desmitiem kilometru) mikrosekundes var daudz izšķirt. Piemēram, sinhronai datu bāzes replikācijai, augstfrekvences tirdzniecībai, tā pati blokķēde.

Ieviesta kavēšanās

Mērogojamība

Lieli izplatīti tīkli var ietvert daudzus tūkstošus mezglu un tīkla ierīču, simtiem lokālā tīkla segmentu. Ir svarīgi, lai šifrēšanas risinājumi neuzliktu papildu ierobežojumus izplatītā tīkla izmēram un topoloģijai. Tas galvenokārt attiecas uz maksimālo resursdatora un tīkla adrešu skaitu. Šādi ierobežojumi var rasties, piemēram, ieviešot daudzpunktu šifrētu tīkla topoloģiju (ar neatkarīgiem drošiem savienojumiem vai tuneļiem) vai selektīvu šifrēšanu (piemēram, pēc protokola numura vai VLAN). Ja šajā gadījumā tīkla adreses (MAC, IP, VLAN ID) tiek izmantotas kā atslēgas tabulā, kurā rindu skaits ir ierobežots, tad šie ierobežojumi parādās šeit.

Turklāt lieliem tīkliem bieži ir vairāki strukturālie slāņi, tostarp pamattīkls, no kuriem katrs īsteno savu adresācijas shēmu un savu maršrutēšanas politiku. Lai īstenotu šo pieeju, bieži tiek izmantoti īpaši kadru formāti (piemēram, Q-in-Q vai MAC-in-MAC) un maršruta noteikšanas protokoli. Lai netraucētu šādu tīklu izbūvi, šifrēšanas ierīcēm ir pareizi jāapstrādā šādi kadri (tas ir, šajā ziņā mērogojamība nozīmēs saderību — vairāk par to tālāk).

Elastīgums

Šeit mēs runājam par dažādu konfigurāciju, savienojumu shēmu, topoloģiju un citu lietu atbalstīšanu. Piemēram, komutētajiem tīkliem, kuru pamatā ir Carrier Ethernet tehnoloģijas, tas nozīmē atbalstu dažāda veida virtuālajiem savienojumiem (E-Line, E-LAN, E-Tree), dažāda veida pakalpojumiem (gan ar portu, gan VLAN) un dažādām transporta tehnoloģijām. (tie jau ir uzskaitīti iepriekš). Tas nozīmē, ka ierīcei jāspēj darboties gan lineārā (“no punkta līdz punktam”), gan vairāku punktu režīmos, jāizveido atsevišķi tuneļi dažādiem VLAN un jāļauj pakešu piegāde ārpus kārtības drošā kanālā. Iespēja izvēlēties dažādus šifrēšanas režīmus (tostarp ar vai bez satura autentifikācijas) un dažādus pakešu pārraides režīmus ļauj atrast līdzsvaru starp stiprumu un veiktspēju atkarībā no pašreizējiem apstākļiem.

Svarīgi ir arī atbalstīt gan privātos tīklus, kuru iekārtas pieder vienai organizācijai (vai tai ir nomātas), gan operatoru tīklus, kuru dažādus segmentus pārvalda dažādi uzņēmumi. Ir labi, ja risinājums ļauj pārvaldīt gan iekšēji, gan trešā puse (izmantojot pārvaldīto pakalpojumu modeli). Operatoru tīklos vēl viena svarīga funkcija ir atbalsts vairāku īrēšanai (dažādu klientu koplietošana) atsevišķu klientu (abonentu) kriptogrāfiskas izolācijas veidā, kuru trafiks iet caur vienu un to pašu šifrēšanas ierīču komplektu. Šim nolūkam katram klientam parasti ir jāizmanto atsevišķas atslēgu un sertifikātu kopas.

Ja ierīce ir iegādāta konkrētam scenārijam, tad visas šīs funkcijas var nebūt īpaši svarīgas – jums tikai jāpārliecinās, vai ierīce atbalsta to, kas jums šobrīd ir nepieciešams. Bet, ja risinājums tiek iegādāts “izaugsmei”, lai atbalstītu arī nākotnes scenārijus, un izvēlēts par “korporatīvo standartu”, tad elastība nebūs lieka – īpaši ņemot vērā dažādu ražotāju ierīču savietojamības ierobežojumus ( vairāk par to zemāk).

Vienkāršība un ērtības

Apkalpošanas vienkāršība ir arī daudzfaktorāls jēdziens. Aptuveni var teikt, ka tas ir kopējais noteiktas kvalifikācijas speciālistu pavadītais laiks, kas nepieciešams risinājuma atbalstam dažādos tā dzīves cikla posmos. Ja nav izmaksu un uzstādīšana, konfigurēšana un darbība notiek pilnībā automātiski, tad izmaksas ir nulle un ērtības ir absolūtas. Protams, reālajā pasaulē tas nenotiek. Saprātīgs tuvinājums ir modelis "mezgls uz stieples" (bump-in-the-wire) vai caurspīdīgs savienojums, kurā šifrēšanas ierīču pievienošanai un atspējošanai nav nepieciešamas nekādas manuālas vai automātiskas izmaiņas tīkla konfigurācijā. Tajā pašā laikā risinājuma uzturēšana ir vienkāršota: jūs varat droši ieslēgt un izslēgt šifrēšanas funkciju un, ja nepieciešams, vienkārši “apiet” ierīci ar tīkla kabeli (tas ir, tieši savienot tos tīkla aprīkojuma portus, kuriem tas bija savienots). Tiesa, ir viens trūkums – uzbrucējs var rīkoties tāpat. Lai īstenotu principu “mezgls uz vada”, ir jāņem vērā ne tikai satiksme datu slānisBet kontroles un pārvaldības slāņi – ierīcēm jābūt tām caurspīdīgām. Tāpēc šādu trafiku var šifrēt tikai tad, ja tīklā starp šifrēšanas ierīcēm nav šāda veida trafika adresātu, jo, ja tā tiek izmesta vai šifrēta, tad, iespējojot vai atspējojot šifrēšanu, tīkla konfigurācija var mainīties. Šifrēšanas ierīce var būt arī caurspīdīga fiziskā slāņa signalizācijai. Jo īpaši, ja signāls tiek pazaudēts, tam ir jāpārraida šis zudums (tas ir, jāizslēdz raidītāji) uz priekšu un atpakaļ (“sev”) signāla virzienā.

Svarīgs ir arī atbalsts varas sadalē starp informācijas drošības un IT departamentiem, jo ​​īpaši tīkla nodaļu. Šifrēšanas risinājumam ir jāatbalsta organizācijas piekļuves kontroles un audita modelis. Nepieciešamība pēc mijiedarbības starp dažādiem departamentiem, lai veiktu ikdienas darbības, ir jāsamazina. Tāpēc ir priekšrocības ērtības ziņā specializētām ierīcēm, kas atbalsta tikai šifrēšanas funkcijas un ir pēc iespējas caurspīdīgākas tīkla darbībām. Vienkārši sakot, informācijas drošības darbiniekiem nevajadzētu būt iemeslam sazināties ar “tīkla speciālistiem”, lai mainītu tīkla iestatījumus. Un tiem, savukārt, nevajadzētu mainīt šifrēšanas iestatījumus, uzturot tīklu.

Vēl viens faktors ir vadības ierīču iespējas un ērtības. Tiem jābūt vizuāliem, loģiskiem, jānodrošina iestatījumu imports-eksports, automatizācija utt. Nekavējoties jāpievērš uzmanība tam, kādas pārvaldības iespējas ir pieejamas (parasti sava pārvaldības vide, tīmekļa saskarne un komandrinda) un kāds funkciju komplekts ir katrai no tām (ir ierobežojumi). Svarīga funkcija ir atbalsts ārpus joslas (ārpus joslas) kontrole, tas ir, izmantojot īpašu vadības tīklu, un joslā (joslā) kontrole, tas ir, izmantojot kopīgu tīklu, caur kuru tiek pārraidīta noderīga trafika. Pārvaldības rīkiem jāsignalizē par visām neparastajām situācijām, tostarp informācijas drošības incidentiem. Regulāras, atkārtotas darbības jāveic automātiski. Tas galvenokārt attiecas uz atslēgu pārvaldību. Tie ir jāģenerē/izplata automātiski. PKI atbalsts ir liels pluss.

Savienojamība

Tas ir, ierīces saderība ar tīkla standartiem. Turklāt tas nozīmē ne tikai industriālos standartus, ko pieņēmušas tādas autoritatīvas organizācijas kā IEEE, bet arī nozares līderu, piemēram, Cisco, patentētus protokolus. Ir divi galvenie veidi, kā nodrošināt saderību: vai nu caur pārredzamība, vai caur skaidru atbalstu protokoli (kad šifrēšanas ierīce kļūst par vienu no noteikta protokola tīkla mezgliem un apstrādā šī protokola vadības trafiku). Saderība ar tīkliem ir atkarīga no vadības protokolu ieviešanas pilnīguma un pareizības. Ir svarīgi atbalstīt dažādas iespējas PHY līmenim (ātrums, pārraides vide, kodēšanas shēma), dažādu formātu Ethernet rāmji ar jebkuru MTU, dažādi L3 pakalpojumu protokoli (galvenokārt TCP/IP saime).

Caurspīdīgumu nodrošina mutācijas (atvērto galveņu satura īslaicīga maiņa trafikā starp šifrētājiem), izlaišanas (kad atsevišķas paketes paliek nešifrētas) un šifrēšanas sākuma atkāpes (kad parasti šifrētie pakešu lauki netiek šifrēti) mehānismi.

Kā tiek nodrošināta pārredzamība

Tāpēc vienmēr precīzi pārbaudiet, kā tiek nodrošināts atbalsts konkrētam protokolam. Bieži vien atbalsts caurspīdīgā režīmā ir ērtāks un uzticamāks.

Savietojamība

Tā ir arī saderība, taču citā nozīmē, proti, iespēja strādāt kopā ar citiem šifrēšanas ierīču modeļiem, tostarp citu ražotāju modeļiem. Daudz kas ir atkarīgs no šifrēšanas protokolu standartizācijas stāvokļa. L1 vienkārši nav vispārpieņemtu šifrēšanas standartu.

Ir 2ae (MACsec) standarts L802.1 šifrēšanai Ethernet tīklos, taču tas neizmanto no gala līdz galam (no gala līdz galam) un interport, “hop-by-hop” šifrēšana, un tā sākotnējā versijā nav piemērota izmantošanai izplatītajos tīklos, tāpēc ir parādījušies tā patentētie paplašinājumi, kas pārvar šo ierobežojumu (protams, sadarbspējas ar citu ražotāju iekārtām dēļ). Tiesa, 2018. gadā 802.1ae standartam tika pievienots atbalsts izplatītajiem tīkliem, taču joprojām nav atbalsta GOST šifrēšanas algoritmu komplektiem. Tāpēc patentētie, nestandarta L2 šifrēšanas protokoli, kā likums, izceļas ar lielāku efektivitāti (jo īpaši mazāku joslas platumu) un elastību (spēju mainīt šifrēšanas algoritmus un režīmus).

Augstākajos līmeņos (L3 un L4) ir atzīti standarti, galvenokārt IPsec un TLS, taču arī šeit tas nav tik vienkārši. Fakts ir tāds, ka katrs no šiem standartiem ir protokolu kopums, un katram ir dažādas versijas un paplašinājumi, kas nepieciešami vai neobligāti ieviešanai. Turklāt daži ražotāji izvēlas izmantot savus patentētos šifrēšanas protokolus L3/L4. Tāpēc vairumā gadījumu nevajadzētu rēķināties ar pilnīgu savietojamību, bet ir svarīgi, lai tiktu nodrošināta vismaz mijiedarbība starp dažādiem modeļiem un viena un tā paša ražotāja dažādām paaudzēm.

Uzticamība

Lai salīdzinātu dažādus risinājumus, varat izmantot vidējo laiku starp kļūmēm vai pieejamības faktoru. Ja šie skaitļi nav pieejami (vai tiem nav uzticības), tad var veikt kvalitatīvu salīdzinājumu. Ierīcēm ar ērtu pārvaldību būs priekšrocība (mazāks konfigurācijas kļūdu risks), specializēti šifrētāji (tā paša iemesla dēļ), kā arī risinājumi ar minimālu laiku kļūmes noteikšanai un novēršanai, ieskaitot visu mezglu “karstās” dublēšanas līdzekļus un ierīces.

Izmaksāt

Runājot par izmaksām, tāpat kā vairumam IT risinājumu, ir lietderīgi salīdzināt kopējās īpašuma izmaksas. Lai to aprēķinātu, jums nav jāizgudro ritenis no jauna, bet jāizmanto jebkura piemērota metodika (piemēram, no Gartner) un jebkurš kalkulators (piemēram, tas, kas jau tiek izmantots organizācijā TCO aprēķināšanai). Ir skaidrs, ka tīkla šifrēšanas risinājumam kopējās īpašuma izmaksas sastāv no tiešs paša risinājuma iegādes vai nomas izmaksas, aprīkojuma mitināšanas infrastruktūra un izvietošanas, administrēšanas un uzturēšanas izmaksas (neatkarīgi no tā, vai tās ir pašas vai trešās puses pakalpojumu veidā), kā arī no netiešs izmaksas no risinājuma dīkstāves (ko izraisa galalietotāja produktivitātes zudums). Iespējams, ir tikai viens smalkums. Risinājuma ietekmi uz veiktspēju var aplūkot dažādos veidos: vai nu kā netiešās izmaksas, ko rada zaudēta produktivitāte, vai arī kā “virtuālas” tiešās tīkla rīku iegādes/jaunināšanas un uzturēšanas izmaksas, kas kompensē tīkla veiktspējas zudumu, ko izraisa šifrēšana. Jebkurā gadījumā izdevumus, kurus ir grūti pietiekami precīzi aprēķināt, vislabāk ir izlaist no aprēķina: tādējādi būs lielāka pārliecība par galīgo vērtību. Un, kā parasti, jebkurā gadījumā ir lietderīgi salīdzināt dažādas ierīces pēc TCO konkrētam to izmantošanas scenārijam - reālam vai tipiskam.

Noturība

Un pēdējā īpašība ir risinājuma noturība. Vairumā gadījumu izturību var novērtēt tikai kvalitatīvi, salīdzinot dažādus risinājumus. Jāatceras, ka šifrēšanas ierīces ir ne tikai līdzeklis, bet arī aizsardzības objekts. Viņi var tikt pakļauti dažādiem draudiem. Priekšplānā ir draudi pārkāpt konfidencialitāti, reproducēt un modificēt ziņojumus. Šos draudus var realizēt, izmantojot šifra vai tā atsevišķu režīmu ievainojamības, šifrēšanas protokolu ievainojamības (tostarp savienojuma izveides un atslēgu ģenerēšanas/izplatīšanas stadijās). Priekšrocība būs risinājumiem, kas ļauj mainīt šifrēšanas algoritmu vai pārslēgt šifrēšanas režīmu (vismaz caur programmaparatūras atjauninājumu), risinājumiem, kas nodrošina vispilnīgāko šifrēšanu, slēpjot no uzbrucēja ne tikai lietotāja datus, bet arī adreses un citu pakalpojumu informāciju. , kā arī tehniskus risinājumus, kas ne tikai šifrē, bet arī pasargā ziņas no pavairošanas un pārveidošanas. Visiem mūsdienu standartos ietvertajiem šifrēšanas algoritmiem, elektroniskajiem parakstiem, atslēgu ģenerēšanai u.c. spēku var pieņemt, ka tā ir vienāda (pretējā gadījumā var vienkārši apmaldīties kriptogrāfijas mežonī). Vai tiem obligāti jābūt GOST algoritmiem? Šeit viss ir vienkārši: ja lietojumprogrammas scenārijam ir nepieciešama FSB sertifikācija CIPF (un Krievijā tas visbiežāk notiek; lielākajai daļai tīkla šifrēšanas scenāriju tas ir taisnība), tad mēs izvēlamies tikai starp sertificētiem. Ja nē, tad nav jēgas izslēgt no izskatīšanas ierīces bez sertifikātiem.

Vēl viens drauds ir uzlaušanas draudi, nesankcionēta piekļuve ierīcēm (tostarp ar fizisku piekļuvi korpusa ārpusei un iekšpusei). Draudi var tikt īstenoti caur
ievainojamības ieviešanā - aparatūrā un kodā. Tāpēc risinājumiem ar minimālu "uzbrukuma virsmu" tīklā, ar korpusiem, kas aizsargāti no fiziskas piekļuves (ar ielaušanās sensoriem, zondēšanas aizsardzību un automātisku galvenās informācijas atiestatīšanu, kad korpuss tiek atvērts), kā arī tiem, kas ļauj atjaunināt programmaparatūru priekšrocība, ja kļūst zināma koda ievainojamība. Ir vēl viens veids: ja visām salīdzināmajām ierīcēm ir FSB sertifikāti, tad CIPF klasi, kurai sertifikāts tika izsniegts, var uzskatīt par noturības pret uzlaušanu indikatoru.

Visbeidzot, cita veida draudi ir kļūdas iestatīšanas un darbības laikā, cilvēka faktors tā tīrākajā formā. Tas parāda vēl vienu specializēto šifrētāju priekšrocību salīdzinājumā ar konverģētajiem risinājumiem, kas bieži vien ir paredzēti pieredzējušiem "tīkla speciālistiem" un var radīt grūtības "parastiem", vispārīgiem informācijas drošības speciālistiem.

Apkopojot

Principā šeit varētu piedāvāt kaut kādu integrālu indikatoru dažādu ierīču salīdzināšanai, kaut ko līdzīgu

$$displejs$$K_j=∑p_i r_{ij}$$displejs$$

kur p ir indikatora svars un r ir ierīces rangs saskaņā ar šo rādītāju, un jebkuru no iepriekš uzskaitītajiem raksturlielumiem var iedalīt “atomu” indikatoros. Šāda formula varētu noderēt, piemēram, salīdzinot konkursa piedāvājumus pēc iepriekš saskaņotiem noteikumiem. Bet jūs varat iztikt ar vienkāršu tabulu, piemēram

Raksturošana
1. ierīce
2. ierīce
...
Ierīce N

Joslas platums
+
+

+ + +

Pieskaitāmās izmaksas
+
++

+ + +

Kavēšanās
+
+

++

Mērogojamība
+ + +
+

+ + +

Elastīgums
+ + +
++

+

Savietojamība
++
+

+

Savienojamība
++
++

+ + +

Vienkāršība un ērtības
+
+

++

kļūdu tolerance
+ + +
+ + +

++

Izmaksāt
++
+ + +

+

Noturība
++
++

+ + +

Labprāt atbildēšu uz jautājumiem un konstruktīvu kritiku.

Avots: www.habr.com