Kif Evalwa u Qabbel l-Apparat ta 'Encryption Ethernet

Jien ktibt din ir-reviżjoni (jew, jekk tippreferi, gwida ta 'tqabbil) meta kont inkarigat li nqabbel diversi apparati minn bejjiegħa differenti. Barra minn hekk, dawn l-apparati kienu jappartjenu għal klassijiet differenti. Kelli nifhem l-arkitettura u l-karatteristiċi ta 'dawn l-apparati kollha u noħloq "sistema ta' koordinati" għal tqabbil. Inkun kuntent jekk ir-reviżjoni tiegħi tgħin lil xi ħadd:

• Jifhmu d-deskrizzjonijiet u l-ispeċifikazzjonijiet ta 'tagħmir ta' encryption
• Iddistingwi l-karatteristiċi tal-“karta” minn dawk li huma verament importanti fil-ħajja reali
• Mur lil hinn mis-sett tas-soltu ta 'bejjiegħa u inkludi f'kunsiderazzjoni kwalunkwe prodotti li huma adattati biex issolvi l-problema
• Staqsi l-mistoqsijiet it-tajba waqt in-negozjati
• Tfassal rekwiżiti għall-offerti (RFP)
• Ifhem liema karatteristiċi se jkollhom jiġu sagrifikati jekk jintgħażel ċertu mudell ta 'apparat

X'jista' jiġi evalwat

Fil-prinċipju, l-approċċ huwa applikabbli għal kwalunkwe apparat awtonomu adattat għall-ikkriptaġġ tat-traffiku tan-netwerk bejn segmenti Ethernet remoti (kriptaġġ bejn is-sit). Jiġifieri, "kaxxi" f'każ separat (okay, aħna ser jinkludu wkoll xfafar/moduli għax-chassis hawn), li huma konnessi permezz ta 'port Ethernet wieħed jew aktar ma' netwerk Ethernet lokali (kampus) bi traffiku mhux encrypted, u permezz port(i) ieħor(i) għall-kanal/netwerk li permezz tagħhom it-traffiku diġà kkodifikat jiġi trażmess lil segmenti oħra remoti. Soluzzjoni ta’ kriptaġġ bħal din tista’ tiġi skjerata f’netwerk privat jew ta’ operatur permezz ta’ tipi differenti ta’ “trasport” (fibra skura, tagħmir ta’ diviżjoni tal-frekwenza, Ethernet switched, kif ukoll “psewdowires” imqiegħda permezz ta’ netwerk b’arkitettura ta’ rotta differenti, ħafna drabi MPLS ), bi jew mingħajr teknoloġija VPN.

Kriptaġġ tan-netwerk f'netwerk Ethernet distribwit

Il-mezzi nfushom jistgħu jkunu jew speċjalizzati (maħsuba esklussivament għall-kriptaġġ), jew multifunzjonali (ibridu, konverġenti), jiġifieri, twettaq ukoll funzjonijiet oħra (pereżempju, firewall jew router). Bejjiegħa differenti jikklassifikaw it-tagħmir tagħhom fi klassijiet/kategoriji differenti, iżda dan ma jimpurtax - l-unika ħaġa importanti hija jekk jistgħux jikkriptaw it-traffiku bejn is-sit, u liema karatteristiċi għandhom.

Fil-każ, infakkarkom li "kriptaġġ tan-netwerk", "kodifikazzjoni tat-traffiku", "encryptor" huma termini informali, għalkemm ħafna drabi jintużaw. X'aktarx mhux se ssibhom fir-regolamenti Russi (inklużi dawk li jintroduċu GOSTs).

Livelli ta 'kriptaġġ u modi ta' trasmissjoni

Qabel ma nibdew niddeskrivu l-karatteristiċi nfushom li se jintużaw għall-evalwazzjoni, l-ewwel ser ikollna nifhmu ħaġa waħda importanti, jiġifieri l-"livell ta 'encryption." Innotajt li ħafna drabi tissemma kemm f'dokumenti uffiċjali tal-bejjiegħ (f'deskrizzjonijiet, manwali, eċċ.) kif ukoll f'diskussjonijiet informali (f'negozjati, taħriġ). Jiġifieri kulħadd jidher li jaf tajjeb ħafna fuq xiex qed nitkellmu, imma jien personalment rajt xi konfużjoni.

Allura x'inhu "livell ta 'encryption"? Huwa ċar li qed nitkellmu dwar in-numru tas-saff tal-mudell tan-netwerk ta 'referenza OSI/ISO li fih iseħħ l-encryption. Naqraw GOST R ISO 7498-2–99 “Teknoloġija tal-informazzjoni. Interkonnessjoni ta' sistemi miftuħa. Mudell bażiku ta' referenza. Parti 2. Arkitettura tas-sigurtà tal-informazzjoni.” Minn dan id-dokument jista 'jinftiehem li l-livell ta' servizz ta 'kunfidenzjalità (wieħed mill-mekkaniżmi għall-provvista li huwa l-encryption) huwa l-livell tal-protokoll, li l-blokk tad-dejta tas-servizz ("payload", data tal-utent) tiegħu huwa encrypted. Peress li huwa miktub ukoll fl-istandard, is-servizz jista 'jiġi pprovdut kemm fl-istess livell, "waħdu", kif ukoll bl-għajnuna ta' livell aktar baxx (dan huwa kif, pereżempju, l-aktar spiss jiġi implimentat f'MACsec) .

Fil-prattika, żewġ modi ta 'trażmissjoni ta' informazzjoni kriptata fuq netwerk huma possibbli (IPsec immedjatament tiġi f'moħħna, iżda l-istess modi jinstabu wkoll fi protokolli oħra). IN trasport (xi kultant imsejħa wkoll indiġeni) il-mod huwa encrypted biss servizz blokk ta 'data, u l-intestaturi jibqgħu "miftuħa", mhux encrypted (xi kultant jiżdiedu oqsma addizzjonali b'informazzjoni tas-servizz tal-algoritmu ta' encryption, u oqsma oħra huma modifikati u kkalkulati mill-ġdid). IN mina istess mod kollha protokoll il-blokk tad-dejta (jiġifieri, il-pakkett innifsu) huwa encrypted u inkapsulat fi blokk tad-dejta tas-servizz tal-istess livell jew ogħla, jiġifieri, huwa mdawwar b'intestaturi ġodda.

Il-livell ta 'kriptaġġ innifsu flimkien ma' xi mod ta 'trażmissjoni la huwa tajjeb u lanqas ħażin, għalhekk ma jistax jingħad, pereżempju, li L3 fil-mod tat-trasport huwa aħjar minn L2 fil-modalità mina. Huwa biss li ħafna mill-karatteristiċi li bihom l-apparati jiġu evalwati jiddependu minnhom. Per eżempju, flessibilità u kompatibilità. Biex taħdem f'netwerk L1 (bit stream relay), L2 (frame switching) u L3 (packet routing) fil-mod tat-trasport, għandek bżonn soluzzjonijiet li jikkriptaw fl-istess livell jew ogħla (inkella l-informazzjoni tal-indirizz tkun encrypted u d-data se ma jilħaqx id-destinazzjoni maħsuba tiegħu), u l-modalità mina tegħleb din il-limitazzjoni (għalkemm tissagrifika karatteristiċi importanti oħra).

Modi ta' encryption tat-trasport u tal-mina L2

Issa ejja ngħaddu għall-analiżi tal-karatteristiċi.

Produttività

Għall-kriptaġġ tan-netwerk, il-prestazzjoni hija kunċett kumpless u multidimensjonali. Jiġri li ċertu mudell, filwaqt li superjuri f'karatteristika ta 'prestazzjoni waħda, huwa inferjuri f'ieħor. Għalhekk, huwa dejjem utli li tikkunsidra l-komponenti kollha tal-prestazzjoni tal-kriptaġġ u l-impatt tagħhom fuq il-prestazzjoni tan-netwerk u l-applikazzjonijiet li jużawh. Hawnhekk nistgħu niġbed analoġija ma 'karozza, li għaliha mhux biss il-veloċità massima hija importanti, iżda wkoll il-ħin ta' aċċelerazzjoni għal "mijiet", il-konsum tal-fjuwil, eċċ. Il-kumpaniji tal-bejjiegħa u l-klijenti potenzjali tagħhom jagħtu attenzjoni kbira lill-karatteristiċi tal-prestazzjoni. Bħala regola, l-apparati ta 'kodifikazzjoni huma kklassifikati abbażi tal-prestazzjoni fil-linji tal-bejjiegħ.

Huwa ċar li l-prestazzjoni tiddependi kemm fuq il-kumplessità tan-netwerking u l-operazzjonijiet kriptografiċi mwettqa fuq l-apparat (inkluż kemm dawn il-kompiti jistgħu jiġu parallelizzati u pipelined sew), kif ukoll fuq il-prestazzjoni tal-ħardwer u l-kwalità tal-firmware. Għalhekk, mudelli anzjani jużaw ħardwer aktar produttiv; xi drabi huwa possibbli li tiġi mgħammra bi proċessuri u moduli tal-memorja addizzjonali. Hemm diversi approċċi biex jiġu implimentati funzjonijiet kriptografiċi: fuq unità ta 'proċessar ċentrali (CPU) għal skopijiet ġenerali, ċirkwit integrat speċifiku għall-applikazzjoni (ASIC), jew ċirkwit integrat ta' loġika programmabbli fuq il-post (FPGA). Kull approċċ għandu l-vantaġġi u l-iżvantaġġi tiegħu. Pereżempju, is-CPU jista 'jsir ostakolu tal-kriptaġġ, speċjalment jekk il-proċessur ma jkollux struzzjonijiet speċjalizzati biex jappoġġja l-algoritmu tal-kriptaġġ (jew jekk ma jintużawx). Iċ-ċipep speċjalizzati m'għandhomx flessibilità; mhux dejjem ikun possibbli li jiġu "flash" biex itejbu l-prestazzjoni, iżidu funzjonijiet ġodda, jew jeliminaw il-vulnerabbiltajiet. Barra minn hekk, l-użu tagħhom isir profittabbli biss b'volumi kbar ta 'produzzjoni. Huwa għalhekk li l-"medja tad-deheb" saret tant popolari - l-użu ta 'FPGA (FPGA bir-Russu). Huwa fuq l-FPGAs li jsiru l-hekk imsejħa aċċeleraturi kripto - moduli ta 'hardware speċjalizzati built-in jew plug-in għall-appoġġ ta' operazzjonijiet kriptografiċi.

Peress li qed nitkellmu netwerk encryption, huwa loġiku li l-prestazzjoni tas-soluzzjonijiet għandha titkejjel fl-istess kwantitajiet bħal għal apparati tan-netwerk oħra - throughput, persentaġġ ta 'telf ta' qafas u latency. Dawn il-valuri huma definiti fl-RFC 1242. Mill-mod, xejn mhu miktub dwar il-varjazzjoni tad-dewmien (jitter) li tissemma spiss f'dan l-RFC. Kif tkejjel dawn il-kwantitajiet? Ma sibtx metodoloġija approvata fl-ebda standard (uffiċjali jew mhux uffiċjali bħal RFC) speċifikament għall-encryption tan-netwerk. Ikun loġiku li tintuża l-metodoloġija għall-apparati tan-netwerk minquxa fl-istandard RFC 2544. Bosta bejjiegħa jsegwuha - ħafna, iżda mhux kollha. Pereżempju, jibagħtu traffiku tat-test f'direzzjoni waħda biss minflok it-tnejn, bħal irrakkomandat standard. Xorta waħda.

Il-kejl tal-prestazzjoni ta 'apparati ta' kriptaġġ tan-netwerk għad għandu l-karatteristiċi tiegħu stess. L-ewwelnett, huwa korrett li jitwettaq il-kejl kollu għal par ta 'apparati: għalkemm l-algoritmi ta' encryption huma simetriċi, dewmien u telf ta 'pakketti waqt encryption u decryption mhux neċessarjament ikunu ugwali. It-tieni nett, jagħmel sens li titkejjel id-delta, l-impatt tal-kriptaġġ tan-netwerk fuq il-prestazzjoni finali tan-netwerk, billi tqabbel żewġ konfigurazzjonijiet: mingħajr apparat ta 'kodifikazzjoni u magħhom. Jew, kif inhu l-każ ta 'apparati ibridi, li jgħaqqdu diversi funzjonijiet minbarra l-encryption tan-netwerk, bl-encryption mitfija u mixgħula. Din l-influwenza tista 'tkun differenti u tiddependi fuq l-iskema ta' konnessjoni tal-apparati ta 'encryption, fuq il-modi operattivi, u finalment, fuq in-natura tat-traffiku. B'mod partikolari, ħafna parametri tal-prestazzjoni jiddependu fuq it-tul tal-pakketti, u huwa għalhekk li, biex titqabbel il-prestazzjoni ta 'soluzzjonijiet differenti, ħafna drabi jintużaw graffs ta' dawn il-parametri skont it-tul tal-pakketti, jew jintuża IMIX - id-distribuzzjoni tat-traffiku b'pakkett tulijiet, li bejn wieħed u ieħor jirrifletti dak reali. Jekk inqabblu l-istess konfigurazzjoni bażika mingħajr encryption, nistgħu nqabblu soluzzjonijiet ta 'encryption tan-netwerk implimentati b'mod differenti mingħajr ma nidħlu f'dawn id-differenzi: L2 ma' L3, store-and-forward ) b'cut-through, speċjalizzati b'konverġenti, GOST b'AES eċċ.

Dijagramma tal-konnessjoni għall-ittestjar tal-prestazzjoni

L-ewwel karatteristika li n-nies jagħtu attenzjoni għaliha hija l-"veloċità" tal-apparat ta 'kodifikazzjoni, jiġifieri bandwidth (bandwidth) ta 'l-interfaces tan-netwerk tagħha, rata tal-fluss tal-bit. Huwa determinat mill-istandards tan-netwerk li huma appoġġjati mill-interfaces. Għall-Ethernet, in-numri tas-soltu huma 1 Gbps u 10 Gbps. Iżda, kif nafu, fi kwalunkwe netwerk il-massimu teoretiku throughput (throughput) f'kull wieħed mill-livelli tiegħu dejjem ikun hemm inqas bandwidth: parti mill-bandwidth hija "eaten up" minn intervalli interframe, headers tas-servizz, eċċ. Jekk apparat huwa kapaċi li jirċievi, jipproċessa (fil-każ tagħna, jikkripta jew jiddeċifra) u jittrasmetti traffiku bil-veloċità sħiħa tal-interface tan-netwerk, jiġifieri, bil-fluss massimu teoretiku għal dan il-livell tal-mudell tan-netwerk, allura jingħad li tkun qed taħdem fil-veloċità tal-linja. Biex tagħmel dan, huwa meħtieġ li l-apparat ma jitlifx jew jarmi pakketti fi kwalunkwe daqs u fi kwalunkwe frekwenza. Jekk l-apparat ta 'kodifikazzjoni ma jappoġġax tħaddim b'veloċità tal-linja, allura l-fluss massimu tiegħu huwa ġeneralment speċifikat fl-istess gigabits kull sekonda (xi kultant jindika t-tul tal-pakketti - aktar ma jkunu iqsar il-pakketti, iktar ikun baxx il-fluss normalment). Huwa importanti ħafna li wieħed jifhem li l-fluss massimu huwa l-massimu ebda telf (anki jekk l-apparat jista '"pomp" traffiku minnu nnifsu b'veloċità ogħla, iżda fl-istess ħin jitlef xi pakketti). Ukoll, kun konxju li xi bejjiegħa jkejlu t-trażmissjoni totali bejn il-pari kollha ta 'portijiet, għalhekk dawn in-numri ma jfissirx ħafna jekk it-traffiku kollu kriptat ikun għaddej minn port wieħed.

Fejn huwa speċjalment importanti li topera b'veloċità tal-linja (jew, fi kliem ieħor, mingħajr telf ta' pakkett)? F'links b'wisa' ta 'frekwenza għolja, b'latenza għolja (bħal satellita), fejn id-daqs kbir tat-tieqa TCP għandu jiġi ssettjat biex iżomm veloċitajiet ta' trażmissjoni għolja, u fejn it-telf tal-pakketti jnaqqas b'mod drammatiku l-prestazzjoni tan-netwerk.

Iżda mhux il-bandwidth kollu jintuża biex tittrasferixxi data utli. Irridu nikkunsidraw l-hekk imsejħa spejjeż ġenerali (overhead) bandwidth. Din hija l-porzjon tal-produzzjoni tal-apparat ta' encryption (bħala perċentwal jew bytes għal kull pakkett) li fil-fatt tinħela (ma tistax tintuża biex tittrasferixxi d-dejta tal-applikazzjoni). Spejjeż ġenerali jinqalgħu, l-ewwelnett, minħabba żieda fid-daqs (żieda, "mili") tal-qasam tad-dejta f'pakketti tan-netwerk encrypted (skond l-algoritmu ta 'kodifikazzjoni u l-mod operattiv tiegħu). It-tieni nett, minħabba ż-żieda fit-tul ta 'l-intestaturi tal-pakketti (mod tal-mina, inserzjoni tas-servizz tal-protokoll ta' encryption, inserzjoni ta 'simulazzjoni, eċċ. Skont il-protokoll u l-mod ta' tħaddim taċ-ċifra u l-mod ta 'trasmissjoni) - ġeneralment dawn l-ispejjeż ġenerali huma l- l-aktar sinifikanti, u jagħtu attenzjoni l-ewwel. It-tielet nett, minħabba l-frammentazzjoni tal-pakketti meta jinqabeż id-daqs massimu tal-unità tad-dejta (MTU) (jekk in-netwerk ikun kapaċi jaqsam pakkett li jaqbeż l-MTU fi tnejn, u jidduplika l-headers tiegħu). Ir-raba ', minħabba d-dehra ta 'servizz addizzjonali (kontroll) traffiku fuq in-netwerk bejn apparati ta' encryption (għall-iskambju taċ-ċavetta, installazzjoni ta 'mina, eċċ.). Overhead baxx huwa importanti fejn il-kapaċità tal-kanal hija limitata. Dan huwa speċjalment evidenti fit-traffiku minn pakketti żgħar, pereżempju, vuċi - fejn l-ispejjeż ġenerali jistgħu "jieklu" aktar minn nofs il-veloċità tal-kanal!

Bandwidth

Fl-aħħarnett, hemm aktar introduċa dewmien – id-differenza (fi frazzjonijiet ta' sekonda) fid-dewmien tan-netwerk (iż-żmien li jieħu biex id-data tgħaddi mid-dħul fin-netwerk għal-ħruġ minnu) bejn it-trażmissjoni tad-data mingħajr u bil-kriptaġġ tan-netwerk. B'mod ġenerali, iktar ma tkun baxxa l-latency ("latency") tan-netwerk, iktar issir kritika l-latency introdotta mill-apparati ta 'encryption. Id-dewmien huwa introdott mill-operazzjoni ta 'kodifikazzjoni nnifisha (skont l-algoritmu ta' kriptaġġ, it-tul tal-blokk u l-mod ta 'tħaddim taċ-ċifra, kif ukoll fuq il-kwalità tal-implimentazzjoni tiegħu fis-softwer), u l-ipproċessar tal-pakkett tan-netwerk fl-apparat. . Il-latency introdotta tiddependi kemm fuq il-mod tal-ipproċessar tal-pakkett (pass-through jew store-and-forward) kif ukoll il-prestazzjoni tal-pjattaforma (l-implimentazzjoni tal-hardware fuq FPGA jew ASIC hija ġeneralment aktar mgħaġġla mill-implimentazzjoni tas-softwer fuq CPU). Il-kriptaġġ L2 kważi dejjem għandu latenza aktar baxxa minn encryption L3 jew L4, minħabba l-fatt li l-apparati ta 'kodifikazzjoni L3/L4 ħafna drabi huma konverġenti. Pereżempju, b'encryptors Ethernet ta 'veloċità għolja implimentati fuq FPGAs u encrypting fuq L2, id-dewmien minħabba l-operazzjoni ta' encryption huwa żgħir ħafna - xi kultant meta l-encryption hija attivata fuq par ta 'apparati, id-dewmien totali introdott minnhom saħansitra jonqos! Latenza baxxa hija importanti fejn hija komparabbli mad-dewmien ġenerali tal-kanali, inkluż id-dewmien tal-propagazzjoni, li huwa bejn wieħed u ieħor 5 μs kull kilometru. Jiġifieri, nistgħu ngħidu li għal netwerks fuq skala urbana (għexieren ta 'kilometri madwar), mikrosekondi jistgħu jiddeċiedu ħafna. Per eżempju, għal replikazzjoni ta 'database sinkronika, kummerċ ta' frekwenza għolja, l-istess blockchain.

Dewmien introdott

Skalabbiltà

Netwerks imqassma kbar jistgħu jinkludu ħafna eluf ta 'nodi u tagħmir tan-netwerk, mijiet ta' segmenti tan-netwerk lokali. Huwa importanti li s-soluzzjonijiet ta' kriptaġġ ma jimponux restrizzjonijiet addizzjonali fuq id-daqs u t-topoloġija tan-netwerk distribwit. Dan japplika primarjament għan-numru massimu ta' indirizzi tal-host u tan-netwerk. Limitazzjonijiet bħal dawn jistgħu jiltaqgħu magħhom, pereżempju, meta tiġi implimentata topoloġija ta' netwerk ikkodifikat b'ħafna punti (b'konnessjonijiet siguri indipendenti, jew mini) jew encryption selettiva (pereżempju, bin-numru tal-protokoll jew VLAN). Jekk f'dan il-każ l-indirizzi tan-netwerk (MAC, IP, VLAN ID) jintużaw bħala ċwievet f'tabella li fiha n-numru ta 'ringieli huwa limitat, allura dawn ir-restrizzjonijiet jidhru hawn.

Barra minn hekk, netwerks kbar ħafna drabi jkollhom diversi saffi strutturali, inkluż in-netwerk ewlieni, li kull wieħed minnhom jimplimenta l-iskema ta 'indirizzar tiegħu stess u l-politika tar-rotot tiegħu stess. Biex timplimenta dan l-approċċ, ħafna drabi jintużaw formati ta 'qafas speċjali (bħal Q-in-Q jew MAC-in-MAC) u protokolli ta' routing. Sabiex ma jimpedixxux il-kostruzzjoni ta 'netwerks bħal dawn, apparati ta' encryption għandhom jimmaniġġjaw b'mod korrett tali frejms (jiġifieri, f'dan is-sens, iskalabbiltà se tfisser kompatibilità - aktar dwar dak hawn taħt).

Flessibilità

Hawnhekk qed nitkellmu dwar l-appoġġ ta 'diversi konfigurazzjonijiet, skemi ta' konnessjoni, topoloġiji u affarijiet oħra. Pereżempju, għal netwerks switched ibbażati fuq teknoloġiji Carrier Ethernet, dan ifisser appoġġ għal tipi differenti ta’ konnessjonijiet virtwali (E-Line, E-LAN, E-Tree), tipi differenti ta’ servizz (kemm bil-port kif ukoll VLAN) u teknoloġiji differenti tat-trasport (dawn diġà elenkati hawn fuq). Jiġifieri, l-apparat għandu jkun jista 'jopera kemm fil-modi lineari ("punt għal punt") kif ukoll b'modi multipunt, jistabbilixxi mini separati għal VLANs differenti, u jippermetti kunsinna ta' pakketti barra mill-ordni fi ħdan kanal sikur. Il-ħila li tagħżel modi taċ-ċifrar differenti (inkluż bi jew mingħajr awtentikazzjoni tal-kontenut) u modi differenti ta 'trażmissjoni ta' pakketti tippermettilek li ssib bilanċ bejn is-saħħa u l-prestazzjoni skont il-kundizzjonijiet attwali.

Huwa importanti wkoll li jiġu appoġġjati kemm netwerks privati, li t-tagħmir tagħhom huwa proprjetà ta' organizzazzjoni waħda (jew mikrija lilha), kif ukoll netwerks tal-operaturi, li s-segmenti differenti tagħhom huma ġestiti minn kumpaniji differenti. Huwa tajjeb jekk is-soluzzjoni tippermetti ġestjoni kemm internament kif ukoll minn parti terza (bl-użu ta 'mudell ta' servizz amministrat). Fin-netwerks tal-operaturi, funzjoni importanti oħra hija l-appoġġ għal multi-kiri (kondiviżjoni minn klijenti differenti) fil-forma ta 'iżolament kriptografiku ta' klijenti individwali (abbonati) li t-traffiku tagħhom jgħaddi mill-istess sett ta 'apparat ta' encryption. Dan tipikament jeħtieġ l-użu ta 'settijiet separati ta' ċwievet u ċertifikati għal kull klijent.

Jekk apparat jinxtara għal xenarju speċifiku, allura dawn il-karatteristiċi kollha jistgħu ma jkunux importanti ħafna - għandek bżonn biss li tiżgura li l-apparat jappoġġja dak li għandek bżonn issa. Iżda jekk tinxtara soluzzjoni "għal tkabbir", biex tappoġġja xenarji futuri wkoll, u tintgħażel bħala "standard korporattiv", allura l-flessibbiltà ma tkunx superfluwa - speċjalment meta jitqiesu r-restrizzjonijiet fuq l-interoperabbiltà ta 'apparati minn bejjiegħa differenti ( aktar dwar dan hawn taħt).

Sempliċità u konvenjenza

Il-faċilità tas-servizz hija wkoll kunċett multifatturali. Bejn wieħed u ieħor, nistgħu ngħidu li dan huwa l-ħin totali mgħoddi minn speċjalisti ta 'ċerta kwalifika meħtieġa biex jappoġġjaw soluzzjoni fi stadji differenti taċ-ċiklu tal-ħajja tagħha. Jekk ma jkunx hemm spejjeż, u l-installazzjoni, il-konfigurazzjoni u l-operat huma kompletament awtomatiċi, allura l-ispejjeż huma żero u l-konvenjenza hija assoluta. Naturalment, dan ma jseħħx fid-dinja reali. Approssimazzjoni raġonevoli hija mudell "għoqda fuq wajer" (bump-in-the-wire), jew konnessjoni trasparenti, li fiha ż-żieda u d-diżattivazzjoni ta 'apparati ta' encryption ma teħtieġ l-ebda tibdil manwali jew awtomatiku fil-konfigurazzjoni tan-netwerk. Fl-istess ħin, iż-żamma tas-soluzzjoni hija ssimplifikata: tista 'tixgħel u titfi b'mod sikur il-funzjoni ta' encryption, u jekk meħtieġ, sempliċement "bypass" l-apparat b'kejbil tan-netwerk (jiġifieri, qabbad direttament dawk il-portijiet tat-tagħmir tan-netwerk li magħhom kien konness). Veru, hemm żvantaġġ wieħed - attakkant jista 'jagħmel l-istess. Biex timplimenta l-prinċipju "node on a wire", huwa meħtieġ li jitqies mhux biss it-traffiku saff tad-dataImma saffi ta' kontroll u ġestjoni – l-apparati għandhom ikunu trasparenti għalihom. Għalhekk, traffiku bħal dan jista 'jiġi encrypted biss meta ma jkun hemm l-ebda riċevitur ta' dawn it-tipi ta 'traffiku fin-netwerk bejn l-apparati ta' encryption, peress li jekk jintrema jew encrypted, allura meta inti tippermetti jew tiddiżattiva l-encryption, il-konfigurazzjoni tan-netwerk tista 'tinbidel. L-apparat ta 'kodifikazzjoni jista' wkoll ikun trasparenti għas-sinjalar tas-saff fiżiku. B'mod partikolari, meta sinjal jintilef, għandu jittrasmetti dan it-telf (jiġifieri, itfi t-trasmettituri tiegħu) 'l quddiem u lura ("għalih innifsu") fid-direzzjoni tas-sinjal.

L-appoġġ fid-diviżjoni tal-awtorità bejn id-dipartimenti tas-sigurtà tal-informazzjoni u tal-IT, b'mod partikolari d-dipartiment tan-netwerk, huwa importanti wkoll. Is-soluzzjoni tal-kriptaġġ għandha tappoġġja l-kontroll tal-aċċess tal-organizzazzjoni u l-mudell tal-verifika. Il-ħtieġa għal interazzjoni bejn dipartimenti differenti biex iwettqu operazzjonijiet ta 'rutina għandha tiġi minimizzata. Għalhekk, hemm vantaġġ f'termini ta 'konvenjenza għal apparati speċjalizzati li jappoġġjaw esklussivament funzjonijiet ta' encryption u huma trasparenti kemm jista 'jkun għall-operazzjonijiet tan-netwerk. Fi kliem sempliċi, l-impjegati tas-sigurtà tal-informazzjoni m'għandux ikollhom raġuni biex jikkuntattjaw "speċjalisti tan-netwerk" biex jibdlu s-settings tan-netwerk. U dawk, min-naħa tagħhom, m'għandux ikollhom il-ħtieġa li jibdlu l-issettjar tal-kriptaġġ meta jżommu n-netwerk.

Fattur ieħor huwa l-kapaċitajiet u l-konvenjenza tal-kontrolli. Għandhom ikunu viżwali, loġiċi, jipprovdu importazzjoni-esportazzjoni ta 'settings, awtomazzjoni, eċċ. Għandek immedjatament tagħti attenzjoni għal liema għażliet ta 'ġestjoni huma disponibbli (ġeneralment l-ambjent ta' ġestjoni tagħhom stess, l-interface tal-web u l-linja tal-kmand) u liema sett ta 'funzjonijiet kull wieħed minnhom għandu (hemm limitazzjonijiet). Funzjoni importanti hija l-appoġġ barra mill-banda kontroll (barra mill-banda), jiġifieri, permezz ta’ netwerk ta’ kontroll iddedikat, u fil-banda kontroll (in-band), jiġifieri permezz ta' netwerk komuni li permezz tiegħu jiġi trażmess traffiku utli. L-għodod ta' ġestjoni għandhom jindikaw is-sitwazzjonijiet anormali kollha, inklużi l-inċidenti tas-sigurtà tal-informazzjoni. Operazzjonijiet ta' rutina u ripetittivi għandhom jitwettqu awtomatikament. Dan jirrigwarda primarjament il-ġestjoni ewlenin. Għandhom jiġu ġġenerati/imqassma awtomatikament. L-appoġġ tal-PKI huwa vantaġġ kbir.

Kompatibbiltà

Jiġifieri, il-kompatibilità tal-apparat mal-istandards tan-netwerk. Barra minn hekk, dan ifisser mhux biss standards industrijali adottati minn organizzazzjonijiet awtorevoli bħal IEEE, iżda wkoll protokolli proprjetarji ta 'mexxejja tal-industrija, bħal Cisco. Hemm żewġ modi ewlenin biex tiġi żgurata l-kompatibilità: jew permezz trasparenza, jew permezz appoġġ espliċitu protokolli (meta apparat ta 'kodifikazzjoni jsir wieħed min-nodi tan-netwerk għal ċertu protokoll u jipproċessa t-traffiku ta' kontroll ta 'dan il-protokoll). Il-kompatibilità man-netwerks tiddependi fuq il-kompletezza u l-korrettezza tal-implimentazzjoni tal-protokolli ta 'kontroll. Huwa importanti li jiġu appoġġjati għażliet differenti għal-livell PHY (veloċità, mezz ta 'trażmissjoni, skema ta' kodifikazzjoni), frames Ethernet ta 'formati differenti bi kwalunkwe MTU, protokolli ta' servizz L3 differenti (primarjament il-familja TCP/IP).

It-trasparenza hija żgurata permezz tal-mekkaniżmi ta 'mutazzjoni (bdil temporanju tal-kontenut ta' headers miftuħa fit-traffiku bejn encryptors), taqbeż (meta pakketti individwali jibqgħu mhux encrypted) u indentazzjoni tal-bidu tal-encryption (meta l-oqsma normalment encrypted tal-pakketti ma jkunux encrypted).

Kif tiġi żgurata t-trasparenza

Għalhekk, dejjem iċċekkja eżattament kif jingħata appoġġ għal protokoll partikolari. Ħafna drabi l-appoġġ fil-modalità trasparenti huwa aktar konvenjenti u affidabbli.

Interoperabbiltà

Din hija wkoll kompatibilità, iżda f'sens differenti, jiġifieri l-abbiltà li taħdem flimkien ma 'mudelli oħra ta' tagħmir ta 'encryption, inklużi dawk minn manifatturi oħra. Jiddependi ħafna fuq l-istat ta 'standardizzazzjoni tal-protokolli ta' encryption. Sempliċement m'hemm l-ebda standard ta' kriptaġġ ġeneralment aċċettat fuq L1.

Hemm standard 2ae (MACsec) għal encryption L802.1 fuq netwerks Ethernet, iżda ma jużax tarf sa tarf (tarf sa tarf), u interport, encryption "hop-by-hop", u fil-verżjoni oriġinali tagħha mhix adattata għall-użu f'netwerks distribwiti, għalhekk dehru l-estensjonijiet proprjetarji tagħha li jegħlbu din il-limitazzjoni (naturalment, minħabba l-interoperabilità ma 'tagħmir minn manifatturi oħra). Veru, fl-2018, l-appoġġ għal netwerks distribwiti ġie miżjud mal-istandard 802.1ae, iżda għad m'hemm l-ebda appoġġ għal settijiet ta 'algoritmi ta' encryption GOST. Għalhekk, protokolli ta 'kodifikazzjoni L2 proprjetarji, mhux standard, bħala regola, huma distinti minn effiċjenza akbar (b'mod partikolari, overhead ta' bandwidth aktar baxx) u flessibilità (il-kapaċità li jinbidlu l-algoritmi u l-modi ta 'encryption).

F'livelli ogħla (L3 u L4) hemm standards rikonoxxuti, primarjament IPsec u TLS, iżda hawnhekk ukoll mhux daqshekk sempliċi. Il-fatt hu li kull wieħed minn dawn l-istandards huwa sett ta 'protokolli, kull wieħed b'verżjonijiet u estensjonijiet differenti meħtieġa jew fakultattivi għall-implimentazzjoni. Barra minn hekk, xi manifatturi jippreferu jużaw il-protokolli ta 'encryption proprjetarji tagħhom fuq L3/L4. Għalhekk, fil-biċċa l-kbira tal-każijiet m'għandekx toqgħod fuq interoperabbiltà sħiħa, iżda huwa importanti li tal-inqas tkun żgurata l-interazzjoni bejn mudelli differenti u ġenerazzjonijiet differenti tal-istess manifattur.

Affidabilità

Biex tqabbel soluzzjonijiet differenti, tista 'tuża jew il-ħin medju bejn il-fallimenti jew il-fattur tad-disponibbiltà. Jekk dawn in-numri ma jkunux disponibbli (jew ma jkunx hemm fiduċja fihom), allura jista 'jsir paragun kwalitattiv. Apparati b'ġestjoni konvenjenti se jkollhom vantaġġ (inqas riskju ta 'żbalji ta' konfigurazzjoni), encryptors speċjalizzati (għall-istess raġuni), kif ukoll soluzzjonijiet b'ħin minimu biex jiskopru u jeliminaw falliment, inklużi mezzi ta 'backup "sħun" ta' nodi sħaħ u apparat.

Cost

Fejn tidħol l-ispiża, bħal fil-biċċa l-kbira tas-soluzzjonijiet tal-IT, jagħmel sens li titqabbel l-ispiża totali tas-sjieda. Biex tikkalkulaha, m'għandekx għalfejn tivvinta mill-ġdid ir-rota, iżda tuża kwalunkwe metodoloġija xierqa (pereżempju, minn Gartner) u kwalunkwe kalkulatur (per eżempju, dik li diġà tintuża fl-organizzazzjoni biex tikkalkula TCO). Huwa ċar li għal soluzzjoni ta 'kriptaġġ tan-netwerk, l-ispiża totali tas-sjieda tikkonsisti minn dirett l-ispejjeż tax-xiri jew tal-kiri tas-soluzzjoni nnifisha, l-infrastruttura għall-hosting tat-tagħmir u l-ispejjeż tal-iskjerament, l-amministrazzjoni u l-manutenzjoni (kemm jekk interni jew fil-forma ta’ servizzi ta’ partijiet terzi), kif ukoll indiretti spejjeż minn waqfien tas-soluzzjoni (ikkawżat minn telf ta’ produttività tal-utent aħħari). Probabbilment hemm sottilità waħda biss. L-impatt fuq il-prestazzjoni tas-soluzzjoni jista’ jitqies b’modi differenti: jew bħala spejjeż indiretti kkawżati minn produttività mitlufa, jew bħala spejjeż diretti “virtwali” għax-xiri/titjib u ż-żamma ta’ għodod tan-netwerk li jikkumpensaw għat-telf tal-prestazzjoni tan-netwerk minħabba l-użu ta’ encryption. Fi kwalunkwe każ, l-ispejjeż li huma diffiċli biex jiġu kkalkulati bi preċiżjoni suffiċjenti huma l-aħjar li jitħallew barra mill-kalkolu: b'dan il-mod ikun hemm aktar fiduċja fil-valur finali. U, bħas-soltu, fi kwalunkwe każ, jagħmel sens li tqabbel apparati differenti minn TCO għal xenarju speċifiku tal-użu tagħhom - reali jew tipiku.

Persistenza

U l-aħħar karatteristika hija l-persistenza tas-soluzzjoni. Fil-biċċa l-kbira tal-każijiet, id-durabilità tista' tiġi evalwata biss b'mod kwalitattiv billi jitqabblu soluzzjonijiet differenti. Irridu niftakru li l-apparati ta 'encryption mhumiex biss mezz, iżda wkoll oġġett ta' protezzjoni. Jistgħu jkunu esposti għal diversi theddid. Fuq quddiem hemm it-theddid ta’ ksur tal-kunfidenzjalità, riproduzzjoni u modifika tal-messaġġi. Dawn it-theddidiet jistgħu jiġu realizzati permezz ta 'vulnerabbiltajiet taċ-ċifra jew il-modi individwali tiegħu, permezz ta' vulnerabbiltajiet fil-protokolli ta 'encryption (inkluż fl-istadji tal-istabbiliment ta' konnessjoni u l-ġenerazzjoni/distribuzzjoni taċ-ċwievet). Il-vantaġġ se jkun għal soluzzjonijiet li jippermettu li tinbidel l-algoritmu tal-kriptaġġ jew li jaqilbu l-mod taċ-ċifra (mill-inqas permezz ta 'aġġornament tal-firmware), soluzzjonijiet li jipprovdu l-aktar encryption kompluta, ħabi mill-attakkant mhux biss data tal-utent, iżda wkoll indirizz u informazzjoni oħra tas-servizz , kif ukoll soluzzjonijiet tekniċi li mhux biss jikkriptaw, iżda wkoll jipproteġu l-messaġġi mir-riproduzzjoni u l-modifika. Għall-algoritmi kollha ta 'kodifikazzjoni moderni, firem elettroniċi, ġenerazzjoni taċ-ċavetta, eċċ., Li huma minquxa fl-istandards, is-saħħa tista' tiġi preżunta li hija l-istess (inkella tista 'sempliċement tintilef fl-ambjent naturali tal-kriptografija). Dawn għandhom neċessarjament ikunu algoritmi GOST? Hawnhekk kollox huwa sempliċi: jekk ix-xenarju ta 'applikazzjoni jeħtieġ ċertifikazzjoni FSB għal CIPF (u fir-Russja dan huwa l-aktar spiss il-każ; għal ħafna xenarji ta' kriptaġġ tan-netwerk dan huwa minnu), allura aħna nagħżlu biss bejn dawk iċċertifikati. Jekk le, allura m'hemm l-ebda punt li teskludi apparati mingħajr ċertifikati mill-konsiderazzjoni.

Theddida oħra hija t-theddida ta 'hacking, aċċess mhux awtorizzat għal apparati (inkluż permezz ta' aċċess fiżiku barra u ġewwa l-każ). It-theddida tista 'titwettaq permezz
vulnerabbiltajiet fl-implimentazzjoni - fil-ħardwer u l-kodiċi. Għalhekk, soluzzjonijiet b'"wiċċ ta' attakk" minimu permezz tan-netwerk, b'kompartimenti protetti minn aċċess fiżiku (b'sensors ta' intrużjoni, protezzjoni ta' probing u reset awtomatiku tal-informazzjoni ewlenija meta jinfetaħ l-egħluq), kif ukoll dawk li jippermettu aġġornamenti tal-firmware se jkollhom vantaġġ fil-każ li vulnerabbiltà fil-kodiċi ssir magħrufa. Hemm mod ieħor: jekk l-apparati kollha li qed jitqabblu għandhom ċertifikati FSB, allura l-klassi CIPF li għaliha nħareġ iċ-ċertifikat tista 'titqies bħala indikatur ta' reżistenza għall-hacking.

Fl-aħħarnett, tip ieħor ta 'theddida hija l-iżbalji waqt is-setup u t-tħaddim, il-fattur uman fl-aktar forma pura tiegħu. Dan juri vantaġġ ieħor ta 'encryptors speċjalizzati fuq soluzzjonijiet konverġenti, li ħafna drabi huma mmirati lejn "speċjalisti tan-netwerk" imħawwar u jistgħu jikkawżaw diffikultajiet għal speċjalisti "ordinarji" tas-sigurtà tal-informazzjoni ġenerali.

Fil-qosor

Fil-prinċipju, hawnhekk ikun possibbli li jiġi propost xi tip ta 'indikatur integrali għat-tqabbil ta' apparati differenti, xi ħaġa simili

$$display$$K_j=∑p_i r_{ij}$$display$$

fejn p huwa l-piż ta 'l-indikatur, u r huwa l-grad ta' l-apparat skond dan l-indikatur, u kwalunkwe mill-karatteristiċi elenkati hawn fuq jistgħu jinqasmu f'indikaturi "atomiċi". Formula bħal din tista' tkun utli, pereżempju, meta jitqabblu proposti għal offerti skont regoli miftiehma minn qabel. Imma tista 'tmur ma' tabella sempliċi bħal

Karatterizzazzjoni
Apparat 1
Apparat 2
...
Apparat N

Bandwidth
+
+

+ + +

Spejjeż ġenerali
+
++

+ + +

Dewmien
+
+

++

Skalabbiltà
+ + +
+

+ + +

Flessibilità
+ + +
++

+

Interoperabbiltà
++
+

+

Kompatibbiltà
++
++

+ + +

Sempliċità u konvenjenza
+
+

++

tolleranza għall-ħsarat
+ + +
+ + +

++

Cost
++
+ + +

+

Persistenza
++
++

+ + +

Inkun kuntent li nwieġeb mistoqsijiet u kritika kostruttiva.

Sors: www.habr.com