Es uzrakstÄ«ju Å”o pÄrskatu (vai, ja vÄlaties, salÄ«dzinÄÅ”anas rokasgrÄmatu), kad man tika uzdots salÄ«dzinÄt vairÄkas ierÄ«ces no dažÄdiem pÄrdevÄjiem. TurklÄt Ŕīs ierÄ«ces piederÄja dažÄdÄm klasÄm. Man bija jÄsaprot visu Å”o ierÄ«Äu arhitektÅ«ra un Ä«paŔības un jÄizveido ākoordinÄtu sistÄmaā salÄ«dzinÄÅ”anai. Es priecÄÅ”os, ja mans pÄrskats kÄdam palÄ«dzÄs:
- Izprotiet Å”ifrÄÅ”anas ierÄ«Äu aprakstus un specifikÄcijas
- AtŔķiriet āpapÄ«raā raksturlielumus no tiem, kas patieÅ”Äm ir svarÄ«gi reÄlajÄ dzÄ«vÄ
- PÄrsniedziet parasto pÄrdevÄju klÄstu un iekļaujiet visus produktus, kas ir piemÄroti problÄmas risinÄÅ”anai
- Sarunu laikÄ uzdodiet pareizos jautÄjumus
- SastÄdÄ«t konkursa prasÄ«bas (RFP)
- Saprotiet, kÄdas Ä«paŔības bÅ«s jÄupurÄ, izvÄloties noteiktu ierÄ«ces modeli
Ko var novÄrtÄt
PrincipÄ Å”Ä« pieeja ir piemÄrojama jebkurai atseviŔķai ierÄ«cei, kas piemÄrota tÄ«kla trafika Å”ifrÄÅ”anai starp attÄliem Ethernet segmentiem (starpvietÅu Å”ifrÄÅ”ana). Tas ir, ākastesā atseviÅ”Ä·Ä gadÄ«jumÄ (labi, mÄs Å”eit iekļausim arÄ« Å”asijas asmeÅus/moduļus), kas caur vienu vai vairÄkiem Ethernet portiem ir savienoti ar lokÄlo (universitÄtes) Ethernet tÄ«klu ar neÅ”ifrÄtu trafiku un caur cits(-i) kanÄla/tÄ«kla ports(-i), caur kuru jau Å”ifrÄtÄ trafika tiek pÄrsÅ«tÄ«ta uz citiem attÄliem segmentiem. Å Ädu Å”ifrÄÅ”anas risinÄjumu var izvietot privÄtÄ vai operatora tÄ«klÄ, izmantojot dažÄda veida ātransportuā (tumÅ”Äs Ŕķiedras, frekvenÄu dalÄ«Å”anas iekÄrtas, komutÄcijas Ethernet, kÄ arÄ« āpseidovadusā, kas izvadÄ«ti tÄ«klÄ ar atŔķirÄ«gu marÅ”rutÄÅ”anas arhitektÅ«ru, visbiežÄk MPLS ), ar vai bez VPN tehnoloÄ£ijas.
TÄ«kla Å”ifrÄÅ”ana sadalÄ«tÄ Ethernet tÄ«klÄ
PaÅ”as ierÄ«ces var bÅ«t vai nu specializÄjies (paredzÄts tikai Å”ifrÄÅ”anai) vai daudzfunkcionÄls (hibrÄ«ds, saplÅ«st), tas ir, veicot arÄ« citas funkcijas (piemÄram, ugunsmÅ«ris vai marÅ”rutÄtÄjs). DažÄdi pÄrdevÄji klasificÄ savas ierÄ«ces dažÄdÄs klasÄs/kategorijÄs, taÄu tam nav nozÄ«mes ā svarÄ«gi ir tikai tas, vai tie var Å”ifrÄt starpvietÅu trafiku un kÄdas Ä«paŔības tÄm piemÄ«t.
Katram gadÄ«jumam atgÄdinu, ka ātÄ«kla Å”ifrÄÅ”anaā, ādatplÅ«smas Å”ifrÄÅ”anaā, āÅ”ifrÄtÄjsā ir neformÄli termini, lai gan bieži tiek lietoti. VisticamÄk, jÅ«s tos neatradÄ«sit Krievijas noteikumos (ieskaitot tos, kas ievieÅ” GOST).
Å ifrÄÅ”anas lÄ«meÅi un pÄrraides režīmi
Pirms sÄkam aprakstÄ«t paÅ”as Ä«paŔības, kuras tiks izmantotas novÄrtÄÅ”anai, mums vispirms ir jÄsaprot viena svarÄ«ga lieta, proti, āÅ”ifrÄÅ”anas lÄ«menisā. IevÄroju, ka tas bieži tiek minÄts gan oficiÄlajos pÄrdevÄju dokumentos (aprakstos, rokasgrÄmatÄs utt.), gan neformÄlÄs diskusijÄs (pÄrrunÄs, apmÄcÄ«bÄs). Tas ir, Ŕķiet, ka visi ļoti labi zina, par ko mÄs runÄjam, bet es personÄ«gi biju liecinieks zinÄmai neskaidrÄ«bai.
TÄtad, kas ir āÅ”ifrÄÅ”anas lÄ«menisā? Ir skaidrs, ka mÄs runÄjam par OSI/ISO atsauces tÄ«kla modeļa slÄÅa numuru, kurÄ notiek Å”ifrÄÅ”ana. MÄs lasÄm GOST R ISO 7498-2ā99 āInformÄcijas tehnoloÄ£ija. AtvÄrto sistÄmu savienoÅ”ana. Pamata atsauces modelis. 2. daļa. InformÄcijas droŔības arhitektÅ«ra. No Ŕī dokumenta var saprast, ka konfidencialitÄtes pakalpojuma lÄ«menis (viens no tÄ nodroÅ”inÄÅ”anas mehÄnismiem ir Å”ifrÄÅ”ana) ir protokola lÄ«menis, kura pakalpojuma datu bloks (āpayloadā, lietotÄja dati) ir Å”ifrÄts. KÄ arÄ« rakstÄ«ts standartÄ, pakalpojumu var nodroÅ”inÄt gan tajÄ paÅ”Ä lÄ«menÄ«, āpats par seviā, gan ar zemÄka lÄ«meÅa palÄ«dzÄ«bu (tÄ, piemÄram, tas visbiežÄk tiek ieviests MACsec) .
PraksÄ ir iespÄjami divi Å”ifrÄtas informÄcijas pÄrsÅ«tÄ«Å”anas režīmi tÄ«klÄ (tÅ«lÄ«t prÄtÄ nÄk IPsec, bet tÄdi paÅ”i režīmi ir sastopami arÄ« citos protokolos). IN transports (dažreiz saukts arÄ« par vietÄjo) režīms ir tikai Å”ifrÄts apkalpoÅ”ana datu bloku, un galvenes paliek āatvÄrtasā, neÅ”ifrÄtas (dažkÄrt tiek pievienoti papildu lauki ar Å”ifrÄÅ”anas algoritma pakalpojumu informÄciju, un citi lauki tiek pÄrveidoti un pÄrrÄÄ·inÄti). IN tunelis viss vienÄds režīms protokols datu bloks (tas ir, pati pakete) ir Å”ifrÄta un iekapsulÄta tÄda paÅ”a vai augstÄka lÄ«meÅa pakalpojuma datu blokÄ, tas ir, to ieskauj jaunas galvenes.
Pats Å”ifrÄÅ”anas lÄ«menis kombinÄcijÄ ar kÄdu pÄrraides režīmu nav ne labs, ne slikts, tÄpÄc nevar teikt, piemÄram, ka L3 transporta režīmÄ ir labÄks par L2 tuneļa režīmÄ. No tiem ir atkarÄ«gi daudzi parametri, pÄc kuriem ierÄ«ces tiek novÄrtÄtas. PiemÄram, elastÄ«ba un savietojamÄ«ba. Lai strÄdÄtu tÄ«klÄ L1 (bitu straumes relejs), L2 (kadru pÄrslÄgÅ”ana) un L3 (pakeÅ”u marÅ”rutÄÅ”ana) transporta režīmÄ, ir nepiecieÅ”ami risinÄjumi, kas Å”ifrÄ tÄdÄ paÅ”Ä vai augstÄkÄ lÄ«menÄ« (pretÄjÄ gadÄ«jumÄ adreses informÄcija tiks Å”ifrÄta un dati tiks Å”ifrÄti nesasniedz paredzÄto galamÄrÄ·i), un tuneļa režīms pÄrvar Å”o ierobežojumu (lai gan tiek upurÄtas citas svarÄ«gas Ä«paŔības).
Transporta un tuneļa L2 Å”ifrÄÅ”anas režīmi
Tagad pÄriesim pie raksturlielumu analÄ«zes.
ŠŃŠ¾ŠøŠ·Š²Š¾Š“ŠøŃŠµŠ»ŃŠ½Š¾ŃŃŃ
TÄ«kla Å”ifrÄÅ”anai veiktspÄja ir sarežģīts, daudzdimensionÄls jÄdziens. GadÄs, ka konkrÄts modelis ir pÄrÄks par vienu veiktspÄjas raksturlielumu, bet citÄ ir zemÄks. TÄpÄc vienmÄr ir lietderÄ«gi apsvÄrt visus Å”ifrÄÅ”anas veiktspÄjas komponentus un to ietekmi uz tÄ«kla un lietojumprogrammu, kas to izmanto, veiktspÄju. Å eit var izdarÄ«t analoÄ£iju ar automaŔīnu, kurai ir svarÄ«gs ne tikai maksimÄlais Ätrums, bet arÄ« paÄtrinÄjuma laiks lÄ«dz āsimtiemā, degvielas patÄriÅÅ” utt. PÄrdevÄju uzÅÄmumi un to potenciÄlie klienti pievÄrÅ” lielu uzmanÄ«bu veiktspÄjas Ä«paŔībÄm. Parasti Å”ifrÄÅ”anas ierÄ«ces tiek ranžÄtas, pamatojoties uz veiktspÄju piegÄdÄtÄju lÄ«nijÄs.
Ir skaidrs, ka veiktspÄja ir atkarÄ«ga gan no ierÄ«cÄ veikto tÄ«kla un kriptogrÄfijas darbÄ«bu sarežģītÄ«bas (tostarp no tÄ, cik labi Å”os uzdevumus var paralÄli un konveijera veidÄ), kÄ arÄ« no aparatÅ«ras veiktspÄjas un programmaparatÅ«ras kvalitÄtes. TÄpÄc vecÄki modeļi izmanto produktÄ«vÄku aparatÅ«ru, dažreiz to var aprÄ«kot ar papildu procesoriem un atmiÅas moduļiem. Ir vairÄkas pieejas kriptogrÄfijas funkciju ievieÅ”anai: vispÄrÄja pielietojuma centrÄlajÄ procesora blokÄ (CPU), lietojumprogrammai specifiskÄ integrÄlajÄ shÄmÄ (ASIC) vai laukÄ programmÄjamÄ loÄ£iskÄ integrÄlajÄ shÄmÄ (FPGA). Katrai pieejai ir savi plusi un mÄ«nusi. PiemÄram, centrÄlais procesors var kļūt par Å”ifrÄÅ”anas vÄjo vietu, it Ä«paÅ”i, ja procesoram nav specializÄtu instrukciju Å”ifrÄÅ”anas algoritma atbalstam (vai ja tÄs netiek izmantotas). SpecializÄtajÄm mikroshÄmÄm trÅ«kst elastÄ«bas, tÄs ne vienmÄr ir iespÄjams āatsvaidzinÄtā, lai uzlabotu veiktspÄju, pievienotu jaunas funkcijas vai novÄrstu ievainojamÄ«bas. TurklÄt to izmantoÅ”ana kļūst izdevÄ«ga tikai ar lieliem ražoÅ”anas apjomiem. TÄpÄc "zelta vidusceļŔ" ir kļuvis tik populÄrs - FPGA (krievu valodÄ FPGA) izmantoÅ”ana. TieÅ”i uz FPGA tiek izgatavoti tÄ sauktie kriptogrÄfijas paÄtrinÄtÄji - iebÅ«vÄti vai spraudÅi specializÄti aparatÅ«ras moduļi kriptogrÄfijas darbÄ«bu atbalstam.
TÄ kÄ mÄs runÄjam par tÄ«klu Å”ifrÄÅ”anu, loÄ£iski, ka risinÄjumu veiktspÄja jÄmÄra tÄdos paÅ”os daudzumos kÄ citÄm tÄ«kla ierÄ«cÄm - caurlaidspÄja, kadru zuduma procents un latentums. Å Ä«s vÄrtÄ«bas ir definÄtas RFC 1242. Starp citu, Å”ajÄ RFC nekas nav rakstÄ«ts par bieži pieminÄto aizkaves variÄciju (trÄ«ce). KÄ izmÄrÄ«t Å”os daudzumus? Es neesmu atradis metodiku, kas bÅ«tu apstiprinÄta nevienÄ standartÄ (oficiÄlÄ vai neoficiÄlÄ, piemÄram, RFC) Ä«paÅ”i tÄ«kla Å”ifrÄÅ”anai. LoÄ£iski bÅ«tu izmantot metodiku tÄ«kla ierÄ«cÄm, kas ietverta standartÄ RFC 2544. To ievÄro daudzi pÄrdevÄji ā daudzi, bet ne visi. PiemÄram, viÅi sÅ«ta testa trafiku tikai vienÄ virzienÄ, nevis abos, piemÄram ieteicams standarta. Vienalga.
TÄ«kla Å”ifrÄÅ”anas ierÄ«Äu veiktspÄjas mÄrÄ«Å”anai joprojÄm ir savas Ä«paŔības. PirmkÄrt, ir pareizi veikt visus mÄrÄ«jumus ierÄ«Äu pÄrim: lai gan Å”ifrÄÅ”anas algoritmi ir simetriski, aizkaves un pakeÅ”u zudumi Å”ifrÄÅ”anas un atÅ”ifrÄÅ”anas laikÄ ne vienmÄr bÅ«s vienÄdi. OtrkÄrt, ir lietderÄ«gi izmÄrÄ«t delta, tÄ«kla Å”ifrÄÅ”anas ietekmi uz galÄ«go tÄ«kla veiktspÄju, salÄ«dzinot divas konfigurÄcijas: bez Å”ifrÄÅ”anas ierÄ«cÄm un ar tÄm. Vai arÄ«, kÄ tas ir gadÄ«jumÄ ar hibrÄ«dierÄ«cÄm, kas papildus tÄ«kla Å”ifrÄÅ”anai apvieno vairÄkas funkcijas, izslÄdzot un ieslÄdzot Å”ifrÄÅ”anu. Å Ä« ietekme var bÅ«t dažÄda un atkarÄ«ga no Å”ifrÄÅ”anas ierÄ«Äu savienojuma shÄmas, darbÄ«bas režīmiem un, visbeidzot, no trafika veida. Jo Ä«paÅ”i daudzi veiktspÄjas parametri ir atkarÄ«gi no pakeÅ”u garuma, tÄpÄc dažÄdu risinÄjumu veiktspÄjas salÄ«dzinÄÅ”anai bieži tiek izmantoti Å”o parametru grafiki atkarÄ«bÄ no pakeÅ”u garuma vai arÄ« tiek izmantots IMIX - trafika sadalÄ«jums pa paketÄm. garumi, kas aptuveni atspoguļo reÄlo. Ja salÄ«dzinÄm vienu un to paÅ”u pamata konfigurÄciju bez Å”ifrÄÅ”anas, mÄs varam salÄ«dzinÄt tÄ«kla Å”ifrÄÅ”anas risinÄjumus, kas ieviesti atŔķirÄ«gi, neiedziļinoties Å”ajÄs atŔķirÄ«bÄs: L2 ar L3, store-and-forward ) ar izgriezumu, specializÄts ar konverÄ£entu, GOST ar AES un tÄ tÄlÄk.
Savienojuma shÄma veiktspÄjas pÄrbaudei
PirmÄ Ä«paŔība, kurai cilvÄki pievÄrÅ” uzmanÄ«bu, ir Å”ifrÄÅ”anas ierÄ«ces āÄtrumsā. joslas platums tÄ«kla saskarÅu (joslas platums), bitu plÅ«smas Ätrums. To nosaka tÄ«kla standarti, kurus atbalsta saskarnes. Ethernet standarta skaitļi ir 1 Gbps un 10 Gbps. Bet, kÄ mÄs zinÄm, jebkurÄ tÄ«klÄ maksimÄlais teorÄtiskais caurlaidspÄja (caurlaidspÄja) katrÄ no tÄs lÄ«meÅiem vienmÄr ir mazÄks joslas platums: daļu joslas platuma "apÄda" starpkadru intervÄli, pakalpojumu galvenes utt. Ja ierÄ«ce spÄj uztvert, apstrÄdÄt (mÅ«su gadÄ«jumÄ Å”ifrÄt vai atÅ”ifrÄt) un pÄrraidÄ«t trafiku ar pilnu tÄ«kla interfeisa Ätrumu, tas ir, ar maksimÄlo teorÄtisko caurlaidspÄju Å”im tÄ«kla modeļa lÄ«menim, tad tiek teikts strÄdÄt lÄ«nijas ÄtrumÄ. Lai to izdarÄ«tu, ir nepiecieÅ”ams, lai ierÄ«ce nezaudÄtu un neizmestu jebkura izmÄra un frekvences paketes. Ja Å”ifrÄÅ”anas ierÄ«ce neatbalsta darbÄ«bu ar lÄ«nijas Ätrumu, tad tÄs maksimÄlÄ caurlaidspÄja parasti tiek norÄdÄ«ta tajos paÅ”os gigabitos sekundÄ (dažkÄrt norÄdot pakeÅ”u garumu - jo Ä«sÄkas paketes, jo caurlaidspÄja parasti ir zemÄka). Ir ļoti svarÄ«gi saprast, ka maksimÄlÄ caurlaidspÄja ir maksimÄlÄ nekÄdu zaudÄjumu (pat ja ierÄ«ce var āpumpÄtā trafiku caur sevi ar lielÄku Ätrumu, bet tajÄ paÅ”Ä laikÄ pazaudÄjot dažas paketes). TÄpat Åemiet vÄrÄ, ka daži pÄrdevÄji mÄra kopÄjo caurlaidspÄju starp visiem portu pÄriem, tÄpÄc Å”iem skaitļiem nav lielas nozÄ«mes, ja visa Å”ifrÄtÄ trafika notiek caur vienu portu.
Kur ir Ä«paÅ”i svarÄ«gi darboties ar lÄ«nijas Ätrumu (vai, citiem vÄrdiem sakot, bez pakeÅ”u zuduma)? Liela joslas platuma un liela latentuma saitÄs (piemÄram, satelÄ«ts), kur ir jÄiestata liels TCP loga izmÄrs, lai uzturÄtu augstu pÄrraides Ätrumu, un kur pakeÅ”u zudums krasi samazina tÄ«kla veiktspÄju.
Bet ne viss joslas platums tiek izmantots noderÄ«gu datu pÄrsÅ«tÄ«Å”anai. JÄrÄÄ·inÄs ar t.s pieskaitÄmÄs izmaksas (gaisvadu) joslas platums. Å Ä« ir Å”ifrÄÅ”anas ierÄ«ces caurlaidspÄjas daļa (procentos vai baitos katrÄ paketÄ), kas faktiski tiek iztÄrÄta (nevar izmantot lietojumprogrammu datu pÄrsÅ«tÄ«Å”anai). PieskaitÄmÄs izmaksas, pirmkÄrt, rodas, palielinoties datu lauka izmÄram (papildinÄÅ”anai, āpiepildÄ«Å”anaiā) Å”ifrÄtÄs tÄ«kla paketÄs (atkarÄ«bÄ no Å”ifrÄÅ”anas algoritma un tÄ darbÄ«bas režīma). OtrkÄrt, sakarÄ ar pakeÅ”u galveÅu garuma palielinÄÅ”anos (tuneļa režīms, Å”ifrÄÅ”anas protokola servisa ievietoÅ”ana, simulÄcijas ievietoÅ”ana utt. atkarÄ«bÄ no protokola un Å”ifra darbÄ«bas režīma un pÄrraides režīma) - parasti Ŕīs pieskaitÄmÄs izmaksas ir nozÄ«mÄ«gÄkie, un viÅi vispirms pievÄrÅ” uzmanÄ«bu. TreÅ”kÄrt, pakeÅ”u sadrumstalotÄ«bas dÄļ, kad tiek pÄrsniegts maksimÄlais datu vienÄ«bas lielums (MTU) (ja tÄ«kls spÄj sadalÄ«t paketi, kas pÄrsniedz MTU, divÄs daļÄs, dublÄjot tÄs galvenes). CeturtkÄrt, sakarÄ ar papildu pakalpojumu (kontroles) trafika parÄdÄ«Å”anos tÄ«klÄ starp Å”ifrÄÅ”anas ierÄ«cÄm (atslÄgu apmaiÅai, tuneļa uzstÄdÄ«Å”anai utt.). Zemas pieskaitÄmÄs izmaksas ir svarÄ«gas, ja kanÄla jauda ir ierobežota. Tas ir Ä«paÅ”i redzams trafikÄ no mazÄm paketÄm, piemÄram, balss, kur pieskaitÄmÄs izmaksas var "apÄst" vairÄk nekÄ pusi no kanÄla Ätruma!
Joslas platums
Visbeidzot, ir vairÄk ieviesta kavÄÅ”anÄs ā atŔķirÄ«ba (sekundes daļÄs) tÄ«kla aizkavÄ (laiks, kas nepiecieÅ”ams, lai dati pÄriet no ienÄkÅ”anas tÄ«klÄ lÄ«dz izieÅ”anai no tÄ) starp datu pÄrraidi bez tÄ«kla Å”ifrÄÅ”anas un ar tÄ«kla Å”ifrÄÅ”anu. VispÄrÄ«gi runÄjot, jo mazÄks ir tÄ«kla latentums (ālatentsā), jo kritiskÄks kļūst Å”ifrÄÅ”anas ierÄ«Äu ieviestais latentums. Aizkavi ievieÅ” pati Å”ifrÄÅ”anas darbÄ«ba (atkarÄ«bÄ no Å”ifrÄÅ”anas algoritma, bloka garuma un Å”ifra darbÄ«bas veida, kÄ arÄ« no tÄ ievieÅ”anas programmatÅ«ras kvalitÄtes) un tÄ«kla paketes apstrÄdes ierÄ«cÄ. . Ieviestais latentums ir atkarÄ«gs gan no pakeÅ”u apstrÄdes režīma (pÄrsÅ«tÄ«Å”ana vai saglabÄÅ”ana un pÄrsÅ«tÄ«Å”ana), gan no platformas veiktspÄjas (aparatÅ«ras ievieÅ”ana FPGA vai ASIC parasti ir ÄtrÄka nekÄ programmatÅ«ras ievieÅ”ana CPU). L2 Å”ifrÄÅ”anai gandrÄ«z vienmÄr ir mazÄks latentums nekÄ L3 vai L4 Å”ifrÄÅ”anai, jo L3/L4 Å”ifrÄÅ”anas ierÄ«ces bieži tiek konverÄ£Ätas. PiemÄram, ar ÄtrdarbÄ«giem Ethernet Å”ifrÄtÄjiem, kas ieviesti uz FPGA un Å”ifrÄjot L2, aizkave Å”ifrÄÅ”anas darbÄ«bas dÄļ ir izzÅ«doÅ”i maza - dažreiz, kad Å”ifrÄÅ”ana ir iespÄjota ierÄ«Äu pÄrÄ«, to kopÄjÄ aizkave pat samazinÄs! Zems latentums ir svarÄ«gs, ja tas ir salÄ«dzinÄms ar kopÄjo kanÄlu aizkavi, tostarp izplatÄ«Å”anÄs aizkavi, kas ir aptuveni 5 Ī¼s uz kilometru. Tas ir, mÄs varam teikt, ka pilsÄtas mÄroga tÄ«kliem (vairÄkiem desmitiem kilometru) mikrosekundes var daudz izŔķirt. PiemÄram, sinhronai datu bÄzes replikÄcijai, augstfrekvences tirdzniecÄ«bai, tÄ pati blokÄ·Äde.
Ieviesta kavÄÅ”anÄs
MÄrogojamÄ«ba
Lieli izplatÄ«ti tÄ«kli var ietvert daudzus tÅ«kstoÅ”us mezglu un tÄ«kla ierÄ«Äu, simtiem lokÄlÄ tÄ«kla segmentu. Ir svarÄ«gi, lai Å”ifrÄÅ”anas risinÄjumi neuzliktu papildu ierobežojumus izplatÄ«tÄ tÄ«kla izmÄram un topoloÄ£ijai. Tas galvenokÄrt attiecas uz maksimÄlo resursdatora un tÄ«kla adreÅ”u skaitu. Å Ädi ierobežojumi var rasties, piemÄram, ievieÅ”ot daudzpunktu Å”ifrÄtu tÄ«kla topoloÄ£iju (ar neatkarÄ«giem droÅ”iem savienojumiem vai tuneļiem) vai selektÄ«vu Å”ifrÄÅ”anu (piemÄram, pÄc protokola numura vai VLAN). Ja Å”ajÄ gadÄ«jumÄ tÄ«kla adreses (MAC, IP, VLAN ID) tiek izmantotas kÄ atslÄgas tabulÄ, kurÄ rindu skaits ir ierobežots, tad Å”ie ierobežojumi parÄdÄs Å”eit.
TurklÄt lieliem tÄ«kliem bieži ir vairÄki strukturÄlie slÄÅi, tostarp pamattÄ«kls, no kuriem katrs Ä«steno savu adresÄcijas shÄmu un savu marÅ”rutÄÅ”anas politiku. Lai Ä«stenotu Å”o pieeju, bieži tiek izmantoti Ä«paÅ”i kadru formÄti (piemÄram, Q-in-Q vai MAC-in-MAC) un marÅ”ruta noteikÅ”anas protokoli. Lai netraucÄtu Å”Ädu tÄ«klu izbÅ«vi, Å”ifrÄÅ”anas ierÄ«cÄm ir pareizi jÄapstrÄdÄ Å”Ädi kadri (tas ir, Å”ajÄ ziÅÄ mÄrogojamÄ«ba nozÄ«mÄs saderÄ«bu ā vairÄk par to tÄlÄk).
Elastīgums
Å eit mÄs runÄjam par dažÄdu konfigurÄciju, savienojumu shÄmu, topoloÄ£iju un citu lietu atbalstÄ«Å”anu. PiemÄram, komutÄtajiem tÄ«kliem, kuru pamatÄ ir Carrier Ethernet tehnoloÄ£ijas, tas nozÄ«mÄ atbalstu dažÄda veida virtuÄlajiem savienojumiem (E-Line, E-LAN, E-Tree), dažÄda veida pakalpojumiem (gan ar portu, gan VLAN) un dažÄdÄm transporta tehnoloÄ£ijÄm. (tie jau ir uzskaitÄ«ti iepriekÅ”). Tas nozÄ«mÄ, ka ierÄ«cei jÄspÄj darboties gan lineÄrÄ (āno punkta lÄ«dz punktamā), gan vairÄku punktu režīmos, jÄizveido atseviŔķi tuneļi dažÄdiem VLAN un jÄļauj pakeÅ”u piegÄde Ärpus kÄrtÄ«bas droÅ”Ä kanÄlÄ. IespÄja izvÄlÄties dažÄdus Å”ifrÄÅ”anas režīmus (tostarp ar vai bez satura autentifikÄcijas) un dažÄdus pakeÅ”u pÄrraides režīmus ļauj atrast lÄ«dzsvaru starp stiprumu un veiktspÄju atkarÄ«bÄ no paÅ”reizÄjiem apstÄkļiem.
SvarÄ«gi ir arÄ« atbalstÄ«t gan privÄtos tÄ«klus, kuru iekÄrtas pieder vienai organizÄcijai (vai tai ir nomÄtas), gan operatoru tÄ«klus, kuru dažÄdus segmentus pÄrvalda dažÄdi uzÅÄmumi. Ir labi, ja risinÄjums ļauj pÄrvaldÄ«t gan iekÅ”Äji, gan treÅ”Ä puse (izmantojot pÄrvaldÄ«to pakalpojumu modeli). Operatoru tÄ«klos vÄl viena svarÄ«ga funkcija ir atbalsts vairÄku Ä«rÄÅ”anai (dažÄdu klientu koplietoÅ”ana) atseviŔķu klientu (abonentu) kriptogrÄfiskas izolÄcijas veidÄ, kuru trafiks iet caur vienu un to paÅ”u Å”ifrÄÅ”anas ierÄ«Äu komplektu. Å im nolÅ«kam katram klientam parasti ir jÄizmanto atseviŔķas atslÄgu un sertifikÄtu kopas.
Ja ierÄ«ce ir iegÄdÄta konkrÄtam scenÄrijam, tad visas Ŕīs funkcijas var nebÅ«t Ä«paÅ”i svarÄ«gas ā jums tikai jÄpÄrliecinÄs, vai ierÄ«ce atbalsta to, kas jums Å”obrÄ«d ir nepiecieÅ”ams. Bet, ja risinÄjums tiek iegÄdÄts āizaugsmeiā, lai atbalstÄ«tu arÄ« nÄkotnes scenÄrijus, un izvÄlÄts par ākorporatÄ«vo standartuā, tad elastÄ«ba nebÅ«s lieka ā Ä«paÅ”i Åemot vÄrÄ dažÄdu ražotÄju ierÄ«Äu savietojamÄ«bas ierobežojumus ( vairÄk par to zemÄk).
VienkÄrŔība un ÄrtÄ«bas
ApkalpoÅ”anas vienkÄrŔība ir arÄ« daudzfaktorÄls jÄdziens. Aptuveni var teikt, ka tas ir kopÄjais noteiktas kvalifikÄcijas speciÄlistu pavadÄ«tais laiks, kas nepiecieÅ”ams risinÄjuma atbalstam dažÄdos tÄ dzÄ«ves cikla posmos. Ja nav izmaksu un uzstÄdÄ«Å”ana, konfigurÄÅ”ana un darbÄ«ba notiek pilnÄ«bÄ automÄtiski, tad izmaksas ir nulle un ÄrtÄ«bas ir absolÅ«tas. Protams, reÄlajÄ pasaulÄ tas nenotiek. SaprÄtÄ«gs tuvinÄjums ir modelis "mezgls uz stieples" (bump-in-the-wire) vai caurspÄ«dÄ«gs savienojums, kurÄ Å”ifrÄÅ”anas ierÄ«Äu pievienoÅ”anai un atspÄjoÅ”anai nav nepiecieÅ”amas nekÄdas manuÄlas vai automÄtiskas izmaiÅas tÄ«kla konfigurÄcijÄ. TajÄ paÅ”Ä laikÄ risinÄjuma uzturÄÅ”ana ir vienkÄrÅ”ota: jÅ«s varat droÅ”i ieslÄgt un izslÄgt Å”ifrÄÅ”anas funkciju un, ja nepiecieÅ”ams, vienkÄrÅ”i āapietā ierÄ«ci ar tÄ«kla kabeli (tas ir, tieÅ”i savienot tos tÄ«kla aprÄ«kojuma portus, kuriem tas bija savienots). Tiesa, ir viens trÅ«kums ā uzbrucÄjs var rÄ«koties tÄpat. Lai Ä«stenotu principu āmezgls uz vadaā, ir jÄÅem vÄrÄ ne tikai satiksme datu slÄnisBet kontroles un pÄrvaldÄ«bas slÄÅi ā ierÄ«cÄm jÄbÅ«t tÄm caurspÄ«dÄ«gÄm. TÄpÄc Å”Ädu trafiku var Å”ifrÄt tikai tad, ja tÄ«klÄ starp Å”ifrÄÅ”anas ierÄ«cÄm nav Å”Äda veida trafika adresÄtu, jo, ja tÄ tiek izmesta vai Å”ifrÄta, tad, iespÄjojot vai atspÄjojot Å”ifrÄÅ”anu, tÄ«kla konfigurÄcija var mainÄ«ties. Å ifrÄÅ”anas ierÄ«ce var bÅ«t arÄ« caurspÄ«dÄ«ga fiziskÄ slÄÅa signalizÄcijai. Jo Ä«paÅ”i, ja signÄls tiek pazaudÄts, tam ir jÄpÄrraida Å”is zudums (tas ir, jÄizslÄdz raidÄ«tÄji) uz priekÅ”u un atpakaļ (āsevā) signÄla virzienÄ.
SvarÄ«gs ir arÄ« atbalsts varas sadalÄ starp informÄcijas droŔības un IT departamentiem, jo āāÄ«paÅ”i tÄ«kla nodaļu. Å ifrÄÅ”anas risinÄjumam ir jÄatbalsta organizÄcijas piekļuves kontroles un audita modelis. NepiecieÅ”amÄ«ba pÄc mijiedarbÄ«bas starp dažÄdiem departamentiem, lai veiktu ikdienas darbÄ«bas, ir jÄsamazina. TÄpÄc ir priekÅ”rocÄ«bas ÄrtÄ«bas ziÅÄ specializÄtÄm ierÄ«cÄm, kas atbalsta tikai Å”ifrÄÅ”anas funkcijas un ir pÄc iespÄjas caurspÄ«dÄ«gÄkas tÄ«kla darbÄ«bÄm. VienkÄrÅ”i sakot, informÄcijas droŔības darbiniekiem nevajadzÄtu bÅ«t iemeslam sazinÄties ar ātÄ«kla speciÄlistiemā, lai mainÄ«tu tÄ«kla iestatÄ«jumus. Un tiem, savukÄrt, nevajadzÄtu mainÄ«t Å”ifrÄÅ”anas iestatÄ«jumus, uzturot tÄ«klu.
VÄl viens faktors ir vadÄ«bas ierÄ«Äu iespÄjas un ÄrtÄ«bas. Tiem jÄbÅ«t vizuÄliem, loÄ£iskiem, jÄnodroÅ”ina iestatÄ«jumu imports-eksports, automatizÄcija utt. NekavÄjoties jÄpievÄrÅ” uzmanÄ«ba tam, kÄdas pÄrvaldÄ«bas iespÄjas ir pieejamas (parasti sava pÄrvaldÄ«bas vide, tÄ«mekļa saskarne un komandrinda) un kÄds funkciju komplekts ir katrai no tÄm (ir ierobežojumi). SvarÄ«ga funkcija ir atbalsts Ärpus joslas (Ärpus joslas) kontrole, tas ir, izmantojot Ä«paÅ”u vadÄ«bas tÄ«klu, un joslÄ (joslÄ) kontrole, tas ir, izmantojot kopÄ«gu tÄ«klu, caur kuru tiek pÄrraidÄ«ta noderÄ«ga trafika. PÄrvaldÄ«bas rÄ«kiem jÄsignalizÄ par visÄm neparastajÄm situÄcijÄm, tostarp informÄcijas droŔības incidentiem. RegulÄras, atkÄrtotas darbÄ«bas jÄveic automÄtiski. Tas galvenokÄrt attiecas uz atslÄgu pÄrvaldÄ«bu. Tie ir jÄÄ£enerÄ/izplata automÄtiski. PKI atbalsts ir liels pluss.
Savienojamība
Tas ir, ierÄ«ces saderÄ«ba ar tÄ«kla standartiem. TurklÄt tas nozÄ«mÄ ne tikai industriÄlos standartus, ko pieÅÄmuÅ”as tÄdas autoritatÄ«vas organizÄcijas kÄ IEEE, bet arÄ« nozares lÄ«deru, piemÄram, Cisco, patentÄtus protokolus. Ir divi galvenie veidi, kÄ nodroÅ”inÄt saderÄ«bu: vai nu caur pÄrredzamÄ«ba, vai caur skaidru atbalstu protokoli (kad Å”ifrÄÅ”anas ierÄ«ce kļūst par vienu no noteikta protokola tÄ«kla mezgliem un apstrÄdÄ Å”Ä« protokola vadÄ«bas trafiku). SaderÄ«ba ar tÄ«kliem ir atkarÄ«ga no vadÄ«bas protokolu ievieÅ”anas pilnÄ«guma un pareizÄ«bas. Ir svarÄ«gi atbalstÄ«t dažÄdas iespÄjas PHY lÄ«menim (Ätrums, pÄrraides vide, kodÄÅ”anas shÄma), dažÄdu formÄtu Ethernet rÄmji ar jebkuru MTU, dažÄdi L3 pakalpojumu protokoli (galvenokÄrt TCP/IP saime).
CaurspÄ«dÄ«gumu nodroÅ”ina mutÄcijas (atvÄrto galveÅu satura Ä«slaicÄ«ga maiÅa trafikÄ starp Å”ifrÄtÄjiem), izlaiÅ”anas (kad atseviŔķas paketes paliek neÅ”ifrÄtas) un Å”ifrÄÅ”anas sÄkuma atkÄpes (kad parasti Å”ifrÄtie pakeÅ”u lauki netiek Å”ifrÄti) mehÄnismi.
KÄ tiek nodroÅ”inÄta pÄrredzamÄ«ba
TÄpÄc vienmÄr precÄ«zi pÄrbaudiet, kÄ tiek nodroÅ”inÄts atbalsts konkrÄtam protokolam. Bieži vien atbalsts caurspÄ«dÄ«gÄ režīmÄ ir ÄrtÄks un uzticamÄks.
Savietojamība
TÄ ir arÄ« saderÄ«ba, taÄu citÄ nozÄ«mÄ, proti, iespÄja strÄdÄt kopÄ ar citiem Å”ifrÄÅ”anas ierÄ«Äu modeļiem, tostarp citu ražotÄju modeļiem. Daudz kas ir atkarÄ«gs no Å”ifrÄÅ”anas protokolu standartizÄcijas stÄvokļa. L1 vienkÄrÅ”i nav vispÄrpieÅemtu Å”ifrÄÅ”anas standartu.
Ir 2ae (MACsec) standarts L802.1 Å”ifrÄÅ”anai Ethernet tÄ«klos, taÄu tas neizmanto no gala lÄ«dz galam (no gala lÄ«dz galam) un interport, āhop-by-hopā Å”ifrÄÅ”ana, un tÄ sÄkotnÄjÄ versijÄ nav piemÄrota izmantoÅ”anai izplatÄ«tajos tÄ«klos, tÄpÄc ir parÄdÄ«juÅ”ies tÄ patentÄtie paplaÅ”inÄjumi, kas pÄrvar Å”o ierobežojumu (protams, sadarbspÄjas ar citu ražotÄju iekÄrtÄm dÄļ). Tiesa, 2018. gadÄ 802.1ae standartam tika pievienots atbalsts izplatÄ«tajiem tÄ«kliem, taÄu joprojÄm nav atbalsta GOST Å”ifrÄÅ”anas algoritmu komplektiem. TÄpÄc patentÄtie, nestandarta L2 Å”ifrÄÅ”anas protokoli, kÄ likums, izceļas ar lielÄku efektivitÄti (jo Ä«paÅ”i mazÄku joslas platumu) un elastÄ«bu (spÄju mainÄ«t Å”ifrÄÅ”anas algoritmus un režīmus).
AugstÄkajos lÄ«meÅos (L3 un L4) ir atzÄ«ti standarti, galvenokÄrt IPsec un TLS, taÄu arÄ« Å”eit tas nav tik vienkÄrÅ”i. Fakts ir tÄds, ka katrs no Å”iem standartiem ir protokolu kopums, un katram ir dažÄdas versijas un paplaÅ”inÄjumi, kas nepiecieÅ”ami vai neobligÄti ievieÅ”anai. TurklÄt daži ražotÄji izvÄlas izmantot savus patentÄtos Å”ifrÄÅ”anas protokolus L3/L4. TÄpÄc vairumÄ gadÄ«jumu nevajadzÄtu rÄÄ·inÄties ar pilnÄ«gu savietojamÄ«bu, bet ir svarÄ«gi, lai tiktu nodroÅ”inÄta vismaz mijiedarbÄ«ba starp dažÄdiem modeļiem un viena un tÄ paÅ”a ražotÄja dažÄdÄm paaudzÄm.
Uzticamība
Lai salÄ«dzinÄtu dažÄdus risinÄjumus, varat izmantot vidÄjo laiku starp kļūmÄm vai pieejamÄ«bas faktoru. Ja Å”ie skaitļi nav pieejami (vai tiem nav uzticÄ«bas), tad var veikt kvalitatÄ«vu salÄ«dzinÄjumu. IerÄ«cÄm ar Ärtu pÄrvaldÄ«bu bÅ«s priekÅ”rocÄ«ba (mazÄks konfigurÄcijas kļūdu risks), specializÄti Å”ifrÄtÄji (tÄ paÅ”a iemesla dÄļ), kÄ arÄ« risinÄjumi ar minimÄlu laiku kļūmes noteikÅ”anai un novÄrÅ”anai, ieskaitot visu mezglu ākarstÄsā dublÄÅ”anas lÄ«dzekļus un ierÄ«ces.
IzmaksÄt
RunÄjot par izmaksÄm, tÄpat kÄ vairumam IT risinÄjumu, ir lietderÄ«gi salÄ«dzinÄt kopÄjÄs Ä«paÅ”uma izmaksas. Lai to aprÄÄ·inÄtu, jums nav jÄizgudro ritenis no jauna, bet jÄizmanto jebkura piemÄrota metodika (piemÄram, no Gartner) un jebkurÅ” kalkulators (piemÄram, tas, kas jau tiek izmantots organizÄcijÄ TCO aprÄÄ·inÄÅ”anai). Ir skaidrs, ka tÄ«kla Å”ifrÄÅ”anas risinÄjumam kopÄjÄs Ä«paÅ”uma izmaksas sastÄv no tieÅ”s paÅ”a risinÄjuma iegÄdes vai nomas izmaksas, aprÄ«kojuma mitinÄÅ”anas infrastruktÅ«ra un izvietoÅ”anas, administrÄÅ”anas un uzturÄÅ”anas izmaksas (neatkarÄ«gi no tÄ, vai tÄs ir paÅ”as vai treÅ”Äs puses pakalpojumu veidÄ), kÄ arÄ« no netieÅ”s izmaksas no risinÄjuma dÄ«kstÄves (ko izraisa galalietotÄja produktivitÄtes zudums). IespÄjams, ir tikai viens smalkums. RisinÄjuma ietekmi uz veiktspÄju var aplÅ«kot dažÄdos veidos: vai nu kÄ netieÅ”Äs izmaksas, ko rada zaudÄta produktivitÄte, vai arÄ« kÄ āvirtuÄlasā tieÅ”Äs tÄ«kla rÄ«ku iegÄdes/jauninÄÅ”anas un uzturÄÅ”anas izmaksas, kas kompensÄ tÄ«kla veiktspÄjas zudumu, ko izraisa Å”ifrÄÅ”ana. JebkurÄ gadÄ«jumÄ izdevumus, kurus ir grÅ«ti pietiekami precÄ«zi aprÄÄ·inÄt, vislabÄk ir izlaist no aprÄÄ·ina: tÄdÄjÄdi bÅ«s lielÄka pÄrliecÄ«ba par galÄ«go vÄrtÄ«bu. Un, kÄ parasti, jebkurÄ gadÄ«jumÄ ir lietderÄ«gi salÄ«dzinÄt dažÄdas ierÄ«ces pÄc TCO konkrÄtam to izmantoÅ”anas scenÄrijam - reÄlam vai tipiskam.
Noturība
Un pÄdÄjÄ Ä«paŔība ir risinÄjuma noturÄ«ba. VairumÄ gadÄ«jumu izturÄ«bu var novÄrtÄt tikai kvalitatÄ«vi, salÄ«dzinot dažÄdus risinÄjumus. JÄatceras, ka Å”ifrÄÅ”anas ierÄ«ces ir ne tikai lÄ«dzeklis, bet arÄ« aizsardzÄ«bas objekts. ViÅi var tikt pakļauti dažÄdiem draudiem. PriekÅ”plÄnÄ ir draudi pÄrkÄpt konfidencialitÄti, reproducÄt un modificÄt ziÅojumus. Å os draudus var realizÄt, izmantojot Å”ifra vai tÄ atseviŔķu režīmu ievainojamÄ«bas, Å”ifrÄÅ”anas protokolu ievainojamÄ«bas (tostarp savienojuma izveides un atslÄgu Ä£enerÄÅ”anas/izplatÄ«Å”anas stadijÄs). PriekÅ”rocÄ«ba bÅ«s risinÄjumiem, kas ļauj mainÄ«t Å”ifrÄÅ”anas algoritmu vai pÄrslÄgt Å”ifrÄÅ”anas režīmu (vismaz caur programmaparatÅ«ras atjauninÄjumu), risinÄjumiem, kas nodroÅ”ina vispilnÄ«gÄko Å”ifrÄÅ”anu, slÄpjot no uzbrucÄja ne tikai lietotÄja datus, bet arÄ« adreses un citu pakalpojumu informÄciju. , kÄ arÄ« tehniskus risinÄjumus, kas ne tikai Å”ifrÄ, bet arÄ« pasargÄ ziÅas no pavairoÅ”anas un pÄrveidoÅ”anas. Visiem mÅ«sdienu standartos ietvertajiem Å”ifrÄÅ”anas algoritmiem, elektroniskajiem parakstiem, atslÄgu Ä£enerÄÅ”anai u.c. spÄku var pieÅemt, ka tÄ ir vienÄda (pretÄjÄ gadÄ«jumÄ var vienkÄrÅ”i apmaldÄ«ties kriptogrÄfijas mežonÄ«). Vai tiem obligÄti jÄbÅ«t GOST algoritmiem? Å eit viss ir vienkÄrÅ”i: ja lietojumprogrammas scenÄrijam ir nepiecieÅ”ama FSB sertifikÄcija CIPF (un KrievijÄ tas visbiežÄk notiek; lielÄkajai daļai tÄ«kla Å”ifrÄÅ”anas scenÄriju tas ir taisnÄ«ba), tad mÄs izvÄlamies tikai starp sertificÄtiem. Ja nÄ, tad nav jÄgas izslÄgt no izskatÄ«Å”anas ierÄ«ces bez sertifikÄtiem.
VÄl viens drauds ir uzlauÅ”anas draudi, nesankcionÄta piekļuve ierÄ«cÄm (tostarp ar fizisku piekļuvi korpusa Ärpusei un iekÅ”pusei). Draudi var tikt Ä«stenoti caur
ievainojamÄ«bas ievieÅ”anÄ - aparatÅ«rÄ un kodÄ. TÄpÄc risinÄjumiem ar minimÄlu "uzbrukuma virsmu" tÄ«klÄ, ar korpusiem, kas aizsargÄti no fiziskas piekļuves (ar ielauÅ”anÄs sensoriem, zondÄÅ”anas aizsardzÄ«bu un automÄtisku galvenÄs informÄcijas atiestatÄ«Å”anu, kad korpuss tiek atvÄrts), kÄ arÄ« tiem, kas ļauj atjauninÄt programmaparatÅ«ru priekÅ”rocÄ«ba, ja kļūst zinÄma koda ievainojamÄ«ba. Ir vÄl viens veids: ja visÄm salÄ«dzinÄmajÄm ierÄ«cÄm ir FSB sertifikÄti, tad CIPF klasi, kurai sertifikÄts tika izsniegts, var uzskatÄ«t par noturÄ«bas pret uzlauÅ”anu indikatoru.
Visbeidzot, cita veida draudi ir kļūdas iestatÄ«Å”anas un darbÄ«bas laikÄ, cilvÄka faktors tÄ tÄ«rÄkajÄ formÄ. Tas parÄda vÄl vienu specializÄto Å”ifrÄtÄju priekÅ”rocÄ«bu salÄ«dzinÄjumÄ ar konverÄ£Ätajiem risinÄjumiem, kas bieži vien ir paredzÄti pieredzÄjuÅ”iem "tÄ«kla speciÄlistiem" un var radÄ«t grÅ«tÄ«bas "parastiem", vispÄrÄ«giem informÄcijas droŔības speciÄlistiem.
Apkopojot
PrincipÄ Å”eit varÄtu piedÄvÄt kaut kÄdu integrÄlu indikatoru dažÄdu ierÄ«Äu salÄ«dzinÄÅ”anai, kaut ko lÄ«dzÄ«gu
$$displejs$$K_j=āp_i r_{ij}$$displejs$$
kur p ir indikatora svars un r ir ierÄ«ces rangs saskaÅÄ ar Å”o rÄdÄ«tÄju, un jebkuru no iepriekÅ” uzskaitÄ«tajiem raksturlielumiem var iedalÄ«t āatomuā indikatoros. Å Äda formula varÄtu noderÄt, piemÄram, salÄ«dzinot konkursa piedÄvÄjumus pÄc iepriekÅ” saskaÅotiem noteikumiem. Bet jÅ«s varat iztikt ar vienkÄrÅ”u tabulu, piemÄram
RaksturoŔana
1. ierīce
2. ierīce
...
Ierīce N
Joslas platums
+
+
+ + +
PieskaitÄmÄs izmaksas
+
++
+ + +
KavÄÅ”anÄs
+
+
++
MÄrogojamÄ«ba
+ + +
+
+ + +
Elastīgums
+ + +
++
+
Savietojamība
++
+
+
Savienojamība
++
++
+ + +
VienkÄrŔība un ÄrtÄ«bas
+
+
++
kļūdu tolerance
+ + +
+ + +
++
IzmaksÄt
++
+ + +
+
Noturība
++
++
+ + +
LabprÄt atbildÄÅ”u uz jautÄjumiem un konstruktÄ«vu kritiku.
Avots: www.habr.com