నేను ఈ సమీక్షను వ్రాసాను (లేదా, మీరు కావాలనుకుంటే, ఒక పోలిక మార్గదర్శిని) నేను వివిధ విక్రేతల నుండి అనేక పరికరాలను పోల్చడానికి పని చేసినప్పుడు. అదనంగా, ఈ పరికరాలు వివిధ తరగతులకు చెందినవి. నేను ఈ అన్ని పరికరాల నిర్మాణం మరియు లక్షణాలను అర్థం చేసుకోవాలి మరియు పోలిక కోసం "కోఆర్డినేట్ సిస్టమ్"ని సృష్టించాలి. నా సమీక్ష ఎవరికైనా సహాయపడితే నేను సంతోషిస్తాను:
- ఎన్క్రిప్షన్ పరికరాల వివరణలు మరియు స్పెసిఫికేషన్లను అర్థం చేసుకోండి
- నిజ జీవితంలో నిజంగా ముఖ్యమైన వాటి నుండి "కాగితం" లక్షణాలను వేరు చేయండి
- సాధారణ విక్రేతల సెట్ను దాటి, సమస్యను పరిష్కరించడానికి తగిన ఉత్పత్తులను పరిగణనలోకి తీసుకోండి
- చర్చల సమయంలో సరైన ప్రశ్నలను అడగండి
- టెండర్ అవసరాలను గీయండి (RFP)
- నిర్దిష్ట పరికర నమూనాను ఎంచుకున్నట్లయితే ఏ లక్షణాలను త్యాగం చేయవలసి ఉంటుందో అర్థం చేసుకోండి
ఏమి అంచనా వేయవచ్చు
సూత్రప్రాయంగా, రిమోట్ ఈథర్నెట్ విభాగాల (క్రాస్-సైట్ ఎన్క్రిప్షన్) మధ్య నెట్వర్క్ ట్రాఫిక్ను గుప్తీకరించడానికి అనువైన ఏదైనా స్వతంత్ర పరికరాలకు ఈ విధానం వర్తిస్తుంది. అంటే, ఒక ప్రత్యేక సందర్భంలో “బాక్స్లు” (సరే, మేము ఇక్కడ చట్రం కోసం బ్లేడ్లు/మాడ్యూల్లను కూడా చేర్చుతాము), ఇవి ఒకటి లేదా అంతకంటే ఎక్కువ ఈథర్నెట్ పోర్ట్ల ద్వారా ఎన్క్రిప్ట్ చేయని ట్రాఫిక్తో స్థానిక (క్యాంపస్) ఈథర్నెట్ నెట్వర్క్కు కనెక్ట్ చేయబడ్డాయి మరియు దీని ద్వారా ఛానెల్/నెట్వర్క్కు మరొక పోర్ట్(లు) ద్వారా ఇప్పటికే ఎన్క్రిప్ట్ చేయబడిన ట్రాఫిక్ ఇతర, రిమోట్ విభాగాలకు ప్రసారం చేయబడుతుంది. ఇటువంటి ఎన్క్రిప్షన్ సొల్యూషన్ను ప్రైవేట్ లేదా ఆపరేటర్ నెట్వర్క్లో వివిధ రకాల “ట్రాన్స్పోర్ట్” (డార్క్ ఫైబర్, ఫ్రీక్వెన్సీ డివిజన్ పరికరాలు, స్విచ్డ్ ఈథర్నెట్, అలాగే “సూడో వైర్లు” వేరొక రూటింగ్ ఆర్కిటెక్చర్తో నెట్వర్క్ ద్వారా అమర్చవచ్చు, చాలా తరచుగా MPLS. ), VPN సాంకేతికతతో లేదా లేకుండా.
పంపిణీ చేయబడిన ఈథర్నెట్ నెట్వర్క్లో నెట్వర్క్ ఎన్క్రిప్షన్
పరికరాలు తమను తాము గాని ఉండవచ్చు ప్రత్యేకత (ప్రత్యేకంగా ఎన్క్రిప్షన్ కోసం ఉద్దేశించబడింది), లేదా మల్టీఫంక్షనల్ (హైబ్రిడ్, కలుస్తాయి), అంటే, ఇతర విధులను కూడా నిర్వహిస్తుంది (ఉదాహరణకు, ఫైర్వాల్ లేదా రూటర్). వేర్వేరు విక్రేతలు తమ పరికరాలను వివిధ తరగతులు/కేటగిరీలుగా వర్గీకరిస్తారు, కానీ ఇది పట్టింపు లేదు - వారు క్రాస్-సైట్ ట్రాఫిక్ను గుప్తీకరించగలరా మరియు వారికి ఎలాంటి లక్షణాలు ఉన్నాయి అనేది మాత్రమే ముఖ్యమైన విషయం.
ఒకవేళ, “నెట్వర్క్ ఎన్క్రిప్షన్”, “ట్రాఫిక్ ఎన్క్రిప్షన్”, “ఎన్క్రిప్టర్” అనధికారిక పదాలు, అయినప్పటికీ అవి తరచుగా ఉపయోగించబడుతున్నాయని నేను మీకు గుర్తు చేస్తున్నాను. మీరు వాటిని రష్యన్ నిబంధనలలో (GOSTలను పరిచయం చేసే వాటితో సహా) ఎక్కువగా కనుగొనలేరు.
గుప్తీకరణ స్థాయిలు మరియు ప్రసార మోడ్లు
మూల్యాంకనం కోసం ఉపయోగించబడే లక్షణాలను వివరించడం ప్రారంభించే ముందు, మనం మొదట ఒక ముఖ్యమైన విషయాన్ని అర్థం చేసుకోవాలి, అవి “ఎన్క్రిప్షన్ స్థాయి”. ఇది తరచుగా అధికారిక విక్రేత పత్రాలలో (వివరణలు, మాన్యువల్లు మొదలైనవి) మరియు అనధికారిక చర్చలలో (చర్చలు, శిక్షణలలో) ప్రస్తావించబడుతుందని నేను గమనించాను. అంటే, మనం ఏమి మాట్లాడుతున్నామో అందరికీ బాగా తెలుసు, కాని నేను వ్యక్తిగతంగా కొంత గందరగోళాన్ని చూశాను.
కాబట్టి "ఎన్క్రిప్షన్ స్థాయి" అంటే ఏమిటి? మేము గుప్తీకరణ జరిగే OSI/ISO రిఫరెన్స్ నెట్వర్క్ మోడల్ లేయర్ సంఖ్య గురించి మాట్లాడుతున్నామని స్పష్టంగా తెలుస్తుంది. మేము GOST R ISO 7498-2–99 “సమాచార సాంకేతికతను చదువుతాము. ఓపెన్ సిస్టమ్స్ యొక్క ఇంటర్కనెక్షన్. ప్రాథమిక సూచన నమూనా. పార్ట్ 2. ఇన్ఫర్మేషన్ సెక్యూరిటీ ఆర్కిటెక్చర్." ఈ పత్రం నుండి గోప్యతా సేవ స్థాయి (గుప్తీకరణను అందించే మెకానిజమ్లలో ఒకటి) ప్రోటోకాల్ స్థాయి, సేవా డేటా బ్లాక్ (“పేలోడ్”, వినియోగదారు డేటా) గుప్తీకరించబడిందని అర్థం చేసుకోవచ్చు. ఇది ప్రమాణంలో కూడా వ్రాయబడినందున, సేవను ఒకే స్థాయిలో, “స్వంతంగా” మరియు తక్కువ స్థాయి సహాయంతో అందించవచ్చు (ఉదాహరణకు, ఇది చాలా తరచుగా MACsecలో అమలు చేయబడుతుంది) .
ఆచరణలో, నెట్వర్క్ ద్వారా గుప్తీకరించిన సమాచారాన్ని ప్రసారం చేసే రెండు మోడ్లు సాధ్యమే (IPsec వెంటనే గుర్తుకు వస్తుంది, కానీ అదే మోడ్లు ఇతర ప్రోటోకాల్లలో కూడా కనిపిస్తాయి). IN రవాణా (కొన్నిసార్లు స్థానికంగా కూడా పిలుస్తారు) మోడ్ ఎన్క్రిప్ట్ చేయబడింది సేవ డేటా బ్లాక్, మరియు హెడర్లు “ఓపెన్”, ఎన్క్రిప్ట్ చేయబడవు (కొన్నిసార్లు ఎన్క్రిప్షన్ అల్గోరిథం యొక్క సేవా సమాచారంతో అదనపు ఫీల్డ్లు జోడించబడతాయి మరియు ఇతర ఫీల్డ్లు సవరించబడతాయి మరియు తిరిగి లెక్కించబడతాయి). IN సొరంగం అన్నీ ఒకే మోడ్ ప్రోటోకాల్ డేటా బ్లాక్ (అనగా, ప్యాకెట్ కూడా) అదే లేదా అంతకంటే ఎక్కువ స్థాయి సర్వీస్ డేటా బ్లాక్లో గుప్తీకరించబడింది మరియు ఎన్క్యాప్సులేట్ చేయబడింది, అంటే దాని చుట్టూ కొత్త హెడర్లు ఉంటాయి.
కొన్ని ట్రాన్స్మిషన్ మోడ్తో కలిపి ఎన్క్రిప్షన్ స్థాయి మంచిది లేదా చెడు కాదు, కాబట్టి ట్రాన్స్పోర్ట్ మోడ్లోని L3 టన్నెల్ మోడ్లో L2 కంటే మెరుగైనదని చెప్పలేము. పరికరాలను విశ్లేషించే అనేక లక్షణాలు వాటిపై ఆధారపడి ఉంటాయి. ఉదాహరణకు, వశ్యత మరియు అనుకూలత. ట్రాన్స్పోర్ట్ మోడ్లో నెట్వర్క్ L1 (బిట్ స్ట్రీమ్ రిలే), L2 (ఫ్రేమ్ స్విచింగ్) మరియు L3 (ప్యాకెట్ రూటింగ్)లో పని చేయడానికి, మీకు అదే లేదా అంతకంటే ఎక్కువ స్థాయిలో ఎన్క్రిప్ట్ చేసే సొల్యూషన్లు అవసరం (లేకపోతే చిరునామా సమాచారం ఎన్క్రిప్ట్ చేయబడుతుంది మరియు డేటా ఉంటుంది దాని ఉద్దేశించిన గమ్యాన్ని చేరుకోలేదు), మరియు టన్నెల్ మోడ్ ఈ పరిమితిని అధిగమిస్తుంది (ఇతర ముఖ్యమైన లక్షణాలను త్యాగం చేసినప్పటికీ).
రవాణా మరియు టన్నెల్ L2 ఎన్క్రిప్షన్ మోడ్లు
ఇప్పుడు లక్షణాలను విశ్లేషించడానికి వెళ్దాం.
ఉత్పాదకత
నెట్వర్క్ ఎన్క్రిప్షన్ కోసం, పనితీరు అనేది సంక్లిష్టమైన, బహుమితీయ భావన. ఒక నిర్దిష్ట మోడల్, ఒక పనితీరు లక్షణంలో ఉన్నతమైనది అయితే, మరొకదానిలో తక్కువగా ఉంటుంది. అందువల్ల, ఎన్క్రిప్షన్ పనితీరు యొక్క అన్ని భాగాలను మరియు నెట్వర్క్ పనితీరుపై మరియు దానిని ఉపయోగించే అనువర్తనాలపై వాటి ప్రభావాన్ని పరిగణనలోకి తీసుకోవడం ఎల్లప్పుడూ ఉపయోగకరంగా ఉంటుంది. ఇక్కడ మనం కారుతో సారూప్యతను గీయవచ్చు, దీని కోసం గరిష్ట వేగం మాత్రమే ముఖ్యమైనది, కానీ "వందల" కు త్వరణం సమయం, ఇంధన వినియోగం మొదలైనవి. విక్రేత కంపెనీలు మరియు వారి సంభావ్య కస్టమర్లు పనితీరు లక్షణాలపై గొప్ప శ్రద్ధ చూపుతారు. నియమం ప్రకారం, ఎన్క్రిప్షన్ పరికరాలు విక్రేత లైన్లలో పనితీరు ఆధారంగా ర్యాంక్ చేయబడతాయి.
పరికరంలో నిర్వహించబడే నెట్వర్కింగ్ మరియు క్రిప్టోగ్రాఫిక్ ఆపరేషన్ల సంక్లిష్టత (ఈ పనులు ఎంతవరకు సమాంతరంగా మరియు పైప్లైన్ చేయబడవచ్చు అనే దానితో సహా), అలాగే హార్డ్వేర్ పనితీరు మరియు ఫర్మ్వేర్ నాణ్యతపై పనితీరు ఆధారపడి ఉంటుందని స్పష్టంగా తెలుస్తుంది. అందువల్ల, పాత నమూనాలు మరింత ఉత్పాదక హార్డ్వేర్ను ఉపయోగిస్తాయి; కొన్నిసార్లు అదనపు ప్రాసెసర్లు మరియు మెమరీ మాడ్యూల్లతో దీన్ని సన్నద్ధం చేయడం సాధ్యపడుతుంది. క్రిప్టోగ్రాఫిక్ ఫంక్షన్లను అమలు చేయడానికి అనేక విధానాలు ఉన్నాయి: సాధారణ-ప్రయోజన సెంట్రల్ ప్రాసెసింగ్ యూనిట్ (CPU), అప్లికేషన్-స్పెసిఫిక్ ఇంటిగ్రేటెడ్ సర్క్యూట్ (ASIC) లేదా ఫీల్డ్-ప్రోగ్రామబుల్ లాజిక్ ఇంటిగ్రేటెడ్ సర్క్యూట్ (FPGA). ప్రతి విధానం దాని లాభాలు మరియు నష్టాలు ఉన్నాయి. ఉదాహరణకు, CPU ఎన్క్రిప్షన్ అడ్డంకిగా మారుతుంది, ప్రత్యేకించి ప్రాసెసర్లో ఎన్క్రిప్షన్ అల్గారిథమ్కు మద్దతు ఇవ్వడానికి ప్రత్యేక సూచనలు లేనట్లయితే (లేదా అవి ఉపయోగించబడకపోతే). ప్రత్యేకమైన చిప్లు వశ్యతను కలిగి ఉండవు; పనితీరును మెరుగుపరచడానికి, కొత్త ఫంక్షన్లను జోడించడానికి లేదా దుర్బలత్వాలను తొలగించడానికి వాటిని "రిఫ్లాష్" చేయడం ఎల్లప్పుడూ సాధ్యం కాదు. అదనంగా, వాటి ఉపయోగం పెద్ద ఉత్పత్తి వాల్యూమ్లతో మాత్రమే లాభదాయకంగా మారుతుంది. అందుకే “గోల్డెన్ మీన్” బాగా ప్రాచుర్యం పొందింది - FPGA (రష్యన్లో FPGA) వాడకం. క్రిప్టో యాక్సిలరేటర్లు అని పిలవబడేవి FPGAలలో తయారు చేయబడ్డాయి - క్రిప్టోగ్రాఫిక్ కార్యకలాపాలకు మద్దతు ఇవ్వడానికి అంతర్నిర్మిత లేదా ప్లగ్-ఇన్ ప్రత్యేక హార్డ్వేర్ మాడ్యూల్స్.
మేము మాట్లాడుతున్నాము కాబట్టి నెట్వర్క్ ఎన్క్రిప్షన్, ఇతర నెట్వర్క్ పరికరాల కోసం పరిష్కారాల పనితీరును అదే పరిమాణంలో కొలవాలి - నిర్గమాంశ, ఫ్రేమ్ నష్టం శాతం మరియు జాప్యం. ఈ విలువలు RFC 1242లో నిర్వచించబడ్డాయి. అయితే, ఈ RFCలో తరచుగా ప్రస్తావించబడిన ఆలస్యం వైవిధ్యం (జిట్టర్) గురించి ఏమీ వ్రాయబడలేదు. ఈ పరిమాణాలను ఎలా కొలవాలి? నెట్వర్క్ ఎన్క్రిప్షన్ కోసం ప్రత్యేకంగా ఏ ప్రమాణాలలో (RFC వంటి అధికారిక లేదా అనధికారికంగా) ఆమోదించబడిన పద్ధతిని నేను కనుగొనలేదు. RFC 2544 ప్రమాణంలో పొందుపరచబడిన నెట్వర్క్ పరికరాల కోసం పద్దతిని ఉపయోగించడం లాజికల్గా ఉంటుంది. చాలా మంది విక్రేతలు దీనిని అనుసరిస్తారు - చాలా మంది, కానీ అందరూ కాదు. ఉదాహరణకు, వారు టెస్ట్ ట్రాఫిక్ను రెండింటికి బదులుగా ఒకే దిశలో పంపుతారు సిఫార్సు చేయబడింది ప్రమాణం. ఏమైనా.
నెట్వర్క్ ఎన్క్రిప్షన్ పరికరాల పనితీరును కొలవడం ఇప్పటికీ దాని స్వంత లక్షణాలను కలిగి ఉంది. ముందుగా, ఒక జత పరికరాల కోసం అన్ని కొలతలను నిర్వహించడం సరైనది: ఎన్క్రిప్షన్ అల్గారిథమ్లు సుష్టంగా ఉన్నప్పటికీ, ఎన్క్రిప్షన్ మరియు డిక్రిప్షన్ సమయంలో ఆలస్యం మరియు ప్యాకెట్ నష్టాలు తప్పనిసరిగా సమానంగా ఉండవు. రెండవది, రెండు కాన్ఫిగరేషన్లను పోల్చి చూస్తే, డెల్టా, చివరి నెట్వర్క్ పనితీరుపై నెట్వర్క్ ఎన్క్రిప్షన్ ప్రభావాన్ని కొలవడం అర్ధమే: ఎన్క్రిప్షన్ పరికరాలు లేకుండా మరియు వాటితో. లేదా, హైబ్రిడ్ పరికరాల విషయంలో వలె, నెట్వర్క్ ఎన్క్రిప్షన్తో పాటు అనేక ఫంక్షన్లను మిళితం చేస్తుంది, ఎన్క్రిప్షన్ ఆఫ్ మరియు ఆన్ చేయబడి ఉంటుంది. ఈ ప్రభావం భిన్నంగా ఉంటుంది మరియు ఎన్క్రిప్షన్ పరికరాల కనెక్షన్ స్కీమ్పై, ఆపరేటింగ్ మోడ్లపై మరియు చివరకు ట్రాఫిక్ స్వభావంపై ఆధారపడి ఉంటుంది. ప్రత్యేకించి, అనేక పనితీరు పారామితులు ప్యాకెట్ల పొడవుపై ఆధారపడి ఉంటాయి, అందుకే వివిధ పరిష్కారాల పనితీరును పోల్చడానికి, ప్యాకెట్ల పొడవును బట్టి ఈ పారామితుల గ్రాఫ్లు తరచుగా ఉపయోగించబడతాయి లేదా IMIX ఉపయోగించబడుతుంది - ప్యాకెట్ ద్వారా ట్రాఫిక్ పంపిణీ పొడవులు, ఇది సుమారుగా వాస్తవాన్ని ప్రతిబింబిస్తుంది. మేము ఎన్క్రిప్షన్ లేకుండా అదే ప్రాథమిక కాన్ఫిగరేషన్ను పోల్చినట్లయితే, ఈ తేడాలు రాకుండా విభిన్నంగా అమలు చేయబడిన నెట్వర్క్ ఎన్క్రిప్షన్ సొల్యూషన్లను పోల్చవచ్చు: L2తో L3, స్టోర్-అండ్-ఫార్వర్డ్ ) కట్-త్రూతో, కన్వర్జెంట్తో ప్రత్యేకత, AESతో GOST మరియు మొదలైనవి.
పనితీరు పరీక్ష కోసం కనెక్షన్ రేఖాచిత్రం
ప్రజలు శ్రద్ధ వహించే మొదటి లక్షణం ఎన్క్రిప్షన్ పరికరం యొక్క "వేగం", అంటే బ్యాండ్విడ్త్ (బ్యాండ్విడ్త్) దాని నెట్వర్క్ ఇంటర్ఫేస్లు, బిట్ ఫ్లో రేట్. ఇది ఇంటర్ఫేస్ల ద్వారా మద్దతు ఇచ్చే నెట్వర్క్ ప్రమాణాల ద్వారా నిర్ణయించబడుతుంది. ఈథర్నెట్ కోసం, సాధారణ సంఖ్యలు 1 Gbps మరియు 10 Gbps. కానీ, మనకు తెలిసినట్లుగా, ఏదైనా నెట్వర్క్లో గరిష్ట సైద్ధాంతిక నిర్గమాంశ (నిర్గమాంశ) దాని ప్రతి స్థాయిలో ఎల్లప్పుడూ తక్కువ బ్యాండ్విడ్త్ ఉంటుంది: బ్యాండ్విడ్త్లో కొంత భాగం ఇంటర్ఫ్రేమ్ విరామాలు, సర్వీస్ హెడర్లు మరియు మొదలైన వాటి ద్వారా “తినేస్తుంది”. ఒక పరికరం నెట్వర్క్ ఇంటర్ఫేస్ యొక్క పూర్తి వేగంతో ట్రాఫిక్ను స్వీకరించడం, ప్రాసెస్ చేయడం (మా విషయంలో, ఎన్క్రిప్ట్ చేయడం లేదా డీక్రిప్టింగ్ చేయడం) మరియు ట్రాఫిక్ను ప్రసారం చేయగల సామర్థ్యాన్ని కలిగి ఉంటే, అంటే, నెట్వర్క్ మోడల్ యొక్క ఈ స్థాయికి గరిష్ట సైద్ధాంతిక నిర్గమాంశతో, అది చెప్పబడింది. పని చేయాలి లైన్ వేగంతో. దీన్ని చేయడానికి, పరికరం ఏ పరిమాణంలో మరియు ఏ పౌనఃపున్యం వద్ద ప్యాకెట్లను కోల్పోదు లేదా విస్మరించదు. ఎన్క్రిప్షన్ పరికరం లైన్ వేగంతో ఆపరేషన్కు మద్దతు ఇవ్వకపోతే, దాని గరిష్ట నిర్గమాంశ సాధారణంగా సెకనుకు అదే గిగాబిట్లలో పేర్కొనబడుతుంది (కొన్నిసార్లు ప్యాకెట్ల పొడవును సూచిస్తుంది - ప్యాకెట్లు తక్కువగా ఉంటే, నిర్గమాంశ సాధారణంగా ఉంటుంది). గరిష్ట నిర్గమాంశ గరిష్టంగా ఉందని అర్థం చేసుకోవడం చాలా ముఖ్యం నష్టాలు లేవు (పరికరం అధిక వేగంతో ట్రాఫిక్ను "పంప్" చేయగలిగినప్పటికీ, అదే సమయంలో కొన్ని ప్యాకెట్లను కోల్పోయినా). అలాగే, కొంతమంది విక్రేతలు అన్ని జతల పోర్ట్ల మధ్య మొత్తం నిర్గమాంశను కొలుస్తారని గుర్తుంచుకోండి, కాబట్టి ఎన్క్రిప్ట్ చేయబడిన ట్రాఫిక్ అంతా ఒకే పోర్ట్ గుండా వెళుతున్నట్లయితే ఈ సంఖ్యలకు పెద్దగా అర్థం ఉండదు.
లైన్ వేగంతో (లేదా, ఇతర మాటలలో, ప్యాకెట్ నష్టం లేకుండా) పనిచేయడం ఎక్కడ ముఖ్యం? అధిక-బ్యాండ్విడ్త్లో, హై-లేటెన్సీ లింక్లు (ఉదాహరణకు శాటిలైట్), అధిక ప్రసార వేగాన్ని నిర్వహించడానికి పెద్ద TCP విండో పరిమాణాన్ని తప్పనిసరిగా సెట్ చేయాలి మరియు ప్యాకెట్ నష్టం నెట్వర్క్ పనితీరును నాటకీయంగా తగ్గిస్తుంది.
కానీ ఉపయోగకరమైన డేటాను బదిలీ చేయడానికి అన్ని బ్యాండ్విడ్త్లు ఉపయోగించబడవు. అని పిలవబడే వాటితో మనం లెక్కించాలి ఓవర్ హెడ్ ఖర్చులు (ఓవర్ హెడ్) బ్యాండ్విడ్త్. ఇది ఎన్క్రిప్షన్ పరికరం యొక్క నిర్గమాంశ భాగం (ఒక ప్యాకెట్కు శాతం లేదా బైట్లుగా) వాస్తవానికి వృధా అవుతుంది (అప్లికేషన్ డేటాను బదిలీ చేయడానికి ఉపయోగించబడదు). గుప్తీకరించిన నెట్వర్క్ ప్యాకెట్లలో (ఎన్క్రిప్షన్ అల్గోరిథం మరియు దాని ఆపరేటింగ్ మోడ్పై ఆధారపడి) డేటా ఫీల్డ్ యొక్క పరిమాణం (అదనపు, "స్టఫింగ్") పెరుగుదల కారణంగా ఓవర్హెడ్ ఖర్చులు తలెత్తుతాయి. రెండవది, ప్యాకెట్ హెడర్ల పొడవు పెరగడం వల్ల (టన్నెల్ మోడ్, ఎన్క్రిప్షన్ ప్రోటోకాల్ సర్వీస్ ఇన్సర్షన్, సిమ్యులేషన్ ఇన్సర్షన్ మొదలైనవి. ప్రోటోకాల్ మరియు సైఫర్ మరియు ట్రాన్స్మిషన్ మోడ్ యొక్క ఆపరేషన్ మోడ్పై ఆధారపడి) - సాధారణంగా ఈ ఓవర్హెడ్ ఖర్చులు చాలా ముఖ్యమైనది, మరియు వారు మొదట శ్రద్ధ చూపుతారు. మూడవదిగా, గరిష్ట డేటా యూనిట్ పరిమాణం (MTU) మించిపోయినప్పుడు ప్యాకెట్ల ఫ్రాగ్మెంటేషన్ కారణంగా (నెట్వర్క్ MTU కంటే ఎక్కువ ప్యాకెట్ను రెండుగా విభజించగలిగితే, దాని హెడర్లను నకిలీ చేస్తుంది). నాల్గవది, ఎన్క్రిప్షన్ పరికరాల మధ్య నెట్వర్క్లో అదనపు సేవ (నియంత్రణ) ట్రాఫిక్ కనిపించడం వల్ల (కీ మార్పిడి, టన్నెల్ ఇన్స్టాలేషన్ మొదలైనవి). ఛానెల్ సామర్థ్యం పరిమితంగా ఉన్న చోట తక్కువ ఓవర్హెడ్ ముఖ్యం. చిన్న ప్యాకెట్ల నుండి వచ్చే ట్రాఫిక్లో ఇది ప్రత్యేకంగా స్పష్టంగా కనిపిస్తుంది, ఉదాహరణకు, వాయిస్ - ఇక్కడ ఓవర్హెడ్ ఖర్చులు ఛానెల్ వేగంలో సగానికి పైగా "తినవచ్చు"!
సామర్థ్యాన్ని
చివరగా, ఇంకా ఎక్కువ ఉంది ఆలస్యం ప్రవేశపెట్టింది – నెట్వర్క్ ఎన్క్రిప్షన్ లేకుండా మరియు దానితో డేటా ట్రాన్స్మిషన్ మధ్య నెట్వర్క్ ఆలస్యం (నెట్వర్క్లోకి ప్రవేశించడం నుండి డేటా పాస్ చేయడానికి పట్టే సమయం) తేడా (సెకను భిన్నాలలో). సాధారణంగా చెప్పాలంటే, నెట్వర్క్ యొక్క జాప్యం ("లేటెన్సీ") తక్కువగా ఉంటే, ఎన్క్రిప్షన్ పరికరాల ద్వారా ప్రవేశపెట్టబడిన జాప్యం మరింత క్లిష్టమైనది. ఎన్క్రిప్షన్ ఆపరేషన్ ద్వారా ఆలస్యం పరిచయం చేయబడింది (ఎన్క్రిప్షన్ అల్గోరిథం, బ్లాక్ పొడవు మరియు సాంకేతికలిపి యొక్క ఆపరేషన్ మోడ్, అలాగే సాఫ్ట్వేర్లో దాని అమలు నాణ్యతపై ఆధారపడి), మరియు పరికరంలోని నెట్వర్క్ ప్యాకెట్ యొక్క ప్రాసెసింగ్ . ప్రవేశపెట్టిన జాప్యం ప్యాకెట్ ప్రాసెసింగ్ మోడ్ (పాస్-త్రూ లేదా స్టోర్-అండ్-ఫార్వర్డ్) మరియు ప్లాట్ఫారమ్ పనితీరు రెండింటిపై ఆధారపడి ఉంటుంది (FPGA లేదా ASICలో హార్డ్వేర్ అమలు సాధారణంగా CPUలో సాఫ్ట్వేర్ అమలు కంటే వేగంగా ఉంటుంది). L2 గుప్తీకరణ దాదాపు ఎల్లప్పుడూ L3 లేదా L4 ఎన్క్రిప్షన్ కంటే తక్కువ జాప్యాన్ని కలిగి ఉంటుంది, ఎందుకంటే L3/L4 ఎన్క్రిప్షన్ పరికరాలు తరచుగా కలుస్తాయి. ఉదాహరణకు, అధిక-వేగవంతమైన ఈథర్నెట్ ఎన్క్రిప్టర్లు FPGAలపై అమలు చేయబడి మరియు L2లో ఎన్క్రిప్ట్ చేయడంతో, ఎన్క్రిప్షన్ ఆపరేషన్ కారణంగా ఆలస్యం చాలా తక్కువగా ఉంటుంది - కొన్నిసార్లు ఒక జత పరికరాలలో ఎన్క్రిప్షన్ ప్రారంభించబడినప్పుడు, అవి ప్రవేశపెట్టిన మొత్తం ఆలస్యం కూడా తగ్గుతుంది! ప్రచారం ఆలస్యంతో సహా మొత్తం ఛానెల్ ఆలస్యంతో పోల్చదగిన చోట తక్కువ జాప్యం ముఖ్యం, ఇది కిలోమీటరుకు దాదాపు 5 μs. అంటే, పట్టణ స్థాయి నెట్వర్క్ల కోసం (పదుల కిలోమీటర్లు), మైక్రోసెకన్లు చాలా నిర్ణయించగలవని మేము చెప్పగలం. ఉదాహరణకు, సింక్రోనస్ డేటాబేస్ రెప్లికేషన్, హై-ఫ్రీక్వెన్సీ ట్రేడింగ్, అదే బ్లాక్చెయిన్.
ఆలస్యం ప్రవేశపెట్టారు
స్కేలబిలిటీ
పెద్ద పంపిణీ నెట్వర్క్లు అనేక వేల నోడ్లు మరియు నెట్వర్క్ పరికరాలు, వందలకొద్దీ స్థానిక నెట్వర్క్ విభాగాలను కలిగి ఉంటాయి. ఎన్క్రిప్షన్ సొల్యూషన్స్ పంపిణీ చేయబడిన నెట్వర్క్ యొక్క పరిమాణం మరియు టోపోలాజీపై అదనపు పరిమితులను విధించకపోవడం ముఖ్యం. ఇది ప్రాథమికంగా గరిష్ట సంఖ్యలో హోస్ట్ మరియు నెట్వర్క్ చిరునామాలకు వర్తిస్తుంది. ఉదాహరణకు, మల్టీపాయింట్ ఎన్క్రిప్టెడ్ నెట్వర్క్ టోపోలాజీ (స్వతంత్ర సురక్షిత కనెక్షన్లు లేదా టన్నెల్స్తో) లేదా సెలెక్టివ్ ఎన్క్రిప్షన్ (ఉదాహరణకు, ప్రోటోకాల్ నంబర్ లేదా VLAN ద్వారా) అమలు చేస్తున్నప్పుడు ఇటువంటి పరిమితులు ఎదురవుతాయి. ఈ సందర్భంలో నెట్వర్క్ చిరునామాలు (MAC, IP, VLAN ID) వరుసల సంఖ్య పరిమితం చేయబడిన పట్టికలో కీలుగా ఉపయోగించబడితే, ఈ పరిమితులు ఇక్కడ కనిపిస్తాయి.
అదనంగా, పెద్ద నెట్వర్క్లు తరచుగా కోర్ నెట్వర్క్తో సహా అనేక నిర్మాణ పొరలను కలిగి ఉంటాయి, వీటిలో ప్రతి ఒక్కటి దాని స్వంత చిరునామా పథకాన్ని మరియు దాని స్వంత రూటింగ్ విధానాన్ని అమలు చేస్తుంది. ఈ విధానాన్ని అమలు చేయడానికి, ప్రత్యేక ఫ్రేమ్ ఫార్మాట్లు (Q-in-Q లేదా MAC-in-MAC వంటివి) మరియు రూట్ డిటర్మినేషన్ ప్రోటోకాల్లు తరచుగా ఉపయోగించబడతాయి. అటువంటి నెట్వర్క్ల నిర్మాణానికి ఆటంకం కలిగించకుండా ఉండటానికి, ఎన్క్రిప్షన్ పరికరాలు అటువంటి ఫ్రేమ్లను సరిగ్గా నిర్వహించాలి (అంటే, ఈ కోణంలో, స్కేలబిలిటీ అంటే అనుకూలతను సూచిస్తుంది - దిగువన ఉన్నదానిలో మరింత).
వశ్యత
ఇక్కడ మేము వివిధ కాన్ఫిగరేషన్లు, కనెక్షన్ స్కీమ్లు, టోపోలాజీలు మరియు ఇతర విషయాలకు మద్దతు ఇవ్వడం గురించి మాట్లాడుతున్నాము. ఉదాహరణకు, క్యారియర్ ఈథర్నెట్ టెక్నాలజీల ఆధారంగా మారిన నెట్వర్క్ల కోసం, వివిధ రకాల వర్చువల్ కనెక్షన్లు (E-లైన్, E-LAN, E-Tree), వివిధ రకాల సేవలు (పోర్ట్ మరియు VLAN ద్వారా రెండూ) మరియు విభిన్న రవాణా సాంకేతికతలకు మద్దతు (అవి ఇప్పటికే పైన జాబితా చేయబడ్డాయి). అంటే, పరికరం తప్పనిసరిగా లీనియర్ (“పాయింట్-టు-పాయింట్”) మరియు మల్టీపాయింట్ మోడ్లు రెండింటిలోనూ పనిచేయగలగాలి, విభిన్న VLANల కోసం ప్రత్యేక టన్నెల్లను ఏర్పాటు చేయాలి మరియు సురక్షిత ఛానెల్లో ప్యాకెట్ల అవుట్-ఆఫ్-ఆర్డర్ డెలివరీని అనుమతించాలి. విభిన్న సాంకేతికలిపి మోడ్లను (కంటెంట్ అథెంటికేషన్తో సహా లేదా లేకుండా) మరియు విభిన్న ప్యాకెట్ ట్రాన్స్మిషన్ మోడ్లను ఎంచుకోగల సామర్థ్యం ప్రస్తుత పరిస్థితులపై ఆధారపడి బలం మరియు పనితీరు మధ్య సమతుల్యతను సాధించడానికి మిమ్మల్ని అనుమతిస్తుంది.
ప్రైవేట్ నెట్వర్క్లు రెండింటికి మద్దతు ఇవ్వడం కూడా చాలా ముఖ్యం, వీటిలో పరికరాలు ఒక సంస్థ (లేదా దానికి అద్దెకు ఇవ్వబడ్డాయి) మరియు ఆపరేటర్ నెట్వర్క్లు, వీటిలో వివిధ విభాగాలు వేర్వేరు కంపెనీలచే నిర్వహించబడతాయి. పరిష్కారం ఇంట్లో మరియు మూడవ పక్షం (నిర్వహించబడే సేవా నమూనాను ఉపయోగించి) నిర్వహణను అనుమతించినట్లయితే ఇది మంచిది. ఆపరేటర్ నెట్వర్క్లలో, ఒకే విధమైన ఎన్క్రిప్షన్ పరికరాల గుండా ట్రాఫిక్ వెళ్లే వ్యక్తిగత కస్టమర్ల (చందాదారులు) క్రిప్టోగ్రాఫిక్ ఐసోలేషన్ రూపంలో బహుళ-అద్దెకు (వివిధ కస్టమర్లచే భాగస్వామ్యం) మద్దతు ఇవ్వడం మరొక ముఖ్యమైన విధి. ఇది సాధారణంగా ప్రతి కస్టమర్ కోసం ప్రత్యేక సెట్ల కీలు మరియు ధృవపత్రాలను ఉపయోగించడం అవసరం.
పరికరాన్ని నిర్దిష్ట దృష్టాంతం కోసం కొనుగోలు చేసినట్లయితే, ఈ లక్షణాలన్నీ చాలా ముఖ్యమైనవి కాకపోవచ్చు - పరికరం ఇప్పుడు మీకు అవసరమైన దానికి మద్దతు ఇస్తుందని మీరు నిర్ధారించుకోవాలి. కానీ భవిష్యత్ దృశ్యాలకు మద్దతు ఇవ్వడానికి “పెరుగుదల కోసం” ఒక పరిష్కారాన్ని కొనుగోలు చేసి, “కార్పొరేట్ ప్రమాణం”గా ఎంచుకుంటే, వశ్యత నిరుపయోగంగా ఉండదు - ప్రత్యేకించి వివిధ విక్రేతల నుండి పరికరాల పరస్పర చర్యపై పరిమితులను పరిగణనలోకి తీసుకుంటే ( దీని గురించి మరింత క్రింద).
సరళత మరియు సౌలభ్యం
సేవ యొక్క సౌలభ్యం కూడా ఒక మల్టిఫ్యాక్టోరియల్ భావన. సుమారుగా, ఇది దాని జీవిత చక్రంలోని వివిధ దశలలో పరిష్కారానికి మద్దతు ఇవ్వడానికి అవసరమైన నిర్దిష్ట అర్హత కలిగిన నిపుణులు గడిపిన మొత్తం సమయం అని మేము చెప్పగలం. ఖర్చులు లేనట్లయితే మరియు ఇన్స్టాలేషన్, కాన్ఫిగరేషన్ మరియు ఆపరేషన్ పూర్తిగా ఆటోమేటిక్గా ఉంటే, అప్పుడు ఖర్చులు సున్నా మరియు సౌలభ్యం సంపూర్ణంగా ఉంటుంది. వాస్తవానికి, ఇది వాస్తవ ప్రపంచంలో జరగదు. సహేతుకమైన ఉజ్జాయింపు అనేది ఒక నమూనా "తీగ మీద ముడి" (బంప్-ఇన్-ది-వైర్), లేదా పారదర్శక కనెక్షన్, దీనిలో ఎన్క్రిప్షన్ పరికరాలను జోడించడం మరియు నిలిపివేయడం కోసం నెట్వర్క్ కాన్ఫిగరేషన్కు ఎటువంటి మాన్యువల్ లేదా ఆటోమేటిక్ మార్పులు అవసరం లేదు. అదే సమయంలో, పరిష్కారాన్ని నిర్వహించడం సరళీకృతం చేయబడింది: మీరు ఎన్క్రిప్షన్ ఫంక్షన్ను సురక్షితంగా ఆన్ మరియు ఆఫ్ చేయవచ్చు మరియు అవసరమైతే, పరికరాన్ని నెట్వర్క్ కేబుల్తో “బైపాస్” చేయవచ్చు (అనగా, నెట్వర్క్ పరికరాల పోర్ట్లను నేరుగా కనెక్ట్ చేయండి. అది కనెక్ట్ చేయబడింది). నిజమే, ఒక లోపం ఉంది - దాడి చేసే వ్యక్తి కూడా అదే చేయగలడు. "నోడ్ ఆన్ వైర్" సూత్రాన్ని అమలు చేయడానికి, ట్రాఫిక్ మాత్రమే కాకుండా పరిగణనలోకి తీసుకోవడం అవసరం డేటా లేయర్కానీ నియంత్రణ మరియు నిర్వహణ పొరలు - పరికరాలు వారికి పారదర్శకంగా ఉండాలి. అందువల్ల, ఎన్క్రిప్షన్ పరికరాల మధ్య నెట్వర్క్లో ఈ రకమైన ట్రాఫిక్ను స్వీకరించేవారు లేనప్పుడు మాత్రమే అటువంటి ట్రాఫిక్ ఎన్క్రిప్ట్ చేయబడుతుంది, ఎందుకంటే అది విస్మరించబడినా లేదా గుప్తీకరించబడినా, మీరు ఎన్క్రిప్షన్ను ప్రారంభించినప్పుడు లేదా నిలిపివేసినప్పుడు, నెట్వర్క్ కాన్ఫిగరేషన్ మారవచ్చు. ఎన్క్రిప్షన్ పరికరం భౌతిక లేయర్ సిగ్నలింగ్కు కూడా పారదర్శకంగా ఉంటుంది. ప్రత్యేకించి, ఒక సిగ్నల్ పోయినప్పుడు, అది తప్పనిసరిగా ఈ నష్టాన్ని (అంటే, దాని ట్రాన్స్మిటర్లను ఆఫ్ చేయండి) సిగ్నల్ దిశలో ముందుకు వెనుకకు (“తన కోసం”) ప్రసారం చేయాలి.
సమాచార భద్రత మరియు IT విభాగాలు, ప్రత్యేకించి నెట్వర్క్ విభాగం మధ్య అధికార విభజనలో మద్దతు కూడా ముఖ్యమైనది. ఎన్క్రిప్షన్ సొల్యూషన్ తప్పనిసరిగా సంస్థ యొక్క యాక్సెస్ నియంత్రణ మరియు ఆడిటింగ్ మోడల్కు మద్దతివ్వాలి. సాధారణ కార్యకలాపాలను నిర్వహించడానికి వివిధ విభాగాల మధ్య పరస్పర చర్య యొక్క అవసరాన్ని తగ్గించాలి. అందువల్ల, ఎన్క్రిప్షన్ ఫంక్షన్లకు ప్రత్యేకంగా మద్దతు ఇచ్చే మరియు నెట్వర్క్ కార్యకలాపాలకు వీలైనంత పారదర్శకంగా ఉండే ప్రత్యేక పరికరాల కోసం సౌలభ్యం పరంగా ప్రయోజనం ఉంది. సరళంగా చెప్పాలంటే, నెట్వర్క్ సెట్టింగ్లను మార్చడానికి సమాచార భద్రతా ఉద్యోగులు "నెట్వర్క్ నిపుణుల"ని సంప్రదించడానికి ఎటువంటి కారణం ఉండకూడదు. మరియు అవి, నెట్వర్క్ను నిర్వహించేటప్పుడు ఎన్క్రిప్షన్ సెట్టింగ్లను మార్చవలసిన అవసరం లేదు.
మరొక అంశం నియంత్రణల సామర్థ్యాలు మరియు సౌలభ్యం. అవి దృశ్యమానంగా, తార్కికంగా ఉండాలి, సెట్టింగ్ల దిగుమతి-ఎగుమతి, ఆటోమేషన్ మొదలైనవాటిని అందించాలి. ఏ నిర్వహణ ఎంపికలు అందుబాటులో ఉన్నాయి (సాధారణంగా వారి స్వంత నిర్వహణ వాతావరణం, వెబ్ ఇంటర్ఫేస్ మరియు కమాండ్ లైన్) మరియు వాటిలో ప్రతి ఒక్కటి ఏ విధమైన విధులను కలిగి ఉన్నాయి (పరిమితులు ఉన్నాయి) మీరు వెంటనే శ్రద్ధ వహించాలి. ఒక ముఖ్యమైన విధి మద్దతు బ్యాండ్ వెలుపల (బ్యాండ్ వెలుపల) నియంత్రణ, అంటే, ప్రత్యేక నియంత్రణ నెట్వర్క్ ద్వారా మరియు ఇన్-బ్యాండ్ (ఇన్-బ్యాండ్) నియంత్రణ, అంటే సాధారణ నెట్వర్క్ ద్వారా ఉపయోగకరమైన ట్రాఫిక్ ప్రసారం చేయబడుతుంది. నిర్వహణ సాధనాలు సమాచార భద్రతా సంఘటనలతో సహా అన్ని అసాధారణ పరిస్థితులను తప్పనిసరిగా సూచిస్తాయి. సాధారణ, పునరావృత కార్యకలాపాలు స్వయంచాలకంగా నిర్వహించబడాలి. ఇది ప్రధానంగా కీలక నిర్వహణకు సంబంధించినది. అవి స్వయంచాలకంగా ఉత్పత్తి చేయబడాలి/పంపిణీ చేయబడాలి. PKI మద్దతు ఒక పెద్ద ప్లస్.
అనుకూలత
అంటే, నెట్వర్క్ ప్రమాణాలతో పరికరం యొక్క అనుకూలత. అంతేకాకుండా, దీని అర్థం IEEE వంటి అధికార సంస్థలచే అవలంబించబడిన పారిశ్రామిక ప్రమాణాలు మాత్రమే కాదు, Cisco వంటి పరిశ్రమ నాయకుల యాజమాన్య ప్రోటోకాల్లు కూడా. అనుకూలతను నిర్ధారించడానికి రెండు ప్రధాన మార్గాలు ఉన్నాయి: గాని ద్వారా పారదర్శకత, లేదా ద్వారా స్పష్టమైన మద్దతు ప్రోటోకాల్లు (ఒక ఎన్క్రిప్షన్ పరికరం ఒక నిర్దిష్ట ప్రోటోకాల్ కోసం నెట్వర్క్ నోడ్లలో ఒకటిగా మారినప్పుడు మరియు ఈ ప్రోటోకాల్ యొక్క నియంత్రణ ట్రాఫిక్ను ప్రాసెస్ చేసినప్పుడు). నెట్వర్క్లతో అనుకూలత నియంత్రణ ప్రోటోకాల్ల అమలు యొక్క సంపూర్ణత మరియు ఖచ్చితత్వంపై ఆధారపడి ఉంటుంది. PHY స్థాయి (స్పీడ్, ట్రాన్స్మిషన్ మీడియం, ఎన్కోడింగ్ స్కీమ్), ఏదైనా MTUతో విభిన్న ఫార్మాట్ల ఈథర్నెట్ ఫ్రేమ్లు, విభిన్న L3 సర్వీస్ ప్రోటోకాల్లు (ప్రధానంగా TCP/IP కుటుంబం) కోసం విభిన్న ఎంపికలకు మద్దతు ఇవ్వడం ముఖ్యం.
మ్యుటేషన్ (ఎన్క్రిప్టర్ల మధ్య ట్రాఫిక్లో ఓపెన్ హెడర్ల కంటెంట్లను తాత్కాలికంగా మార్చడం), స్కిప్పింగ్ (వ్యక్తిగత ప్యాకెట్లు ఎన్క్రిప్ట్ చేయబడనప్పుడు) మరియు ఎన్క్రిప్షన్ ప్రారంభంలో ఇండెంటేషన్ (సాధారణంగా ప్యాకెట్ల గుప్తీకరించిన ఫీల్డ్లు ఎన్క్రిప్ట్ చేయబడనప్పుడు) ద్వారా పారదర్శకత నిర్ధారిస్తుంది.
పారదర్శకత ఎలా నిర్ధారిస్తుంది
అందువల్ల, నిర్దిష్ట ప్రోటోకాల్కు మద్దతు ఎలా అందించబడుతుందో ఎల్లప్పుడూ తనిఖీ చేయండి. తరచుగా పారదర్శక రీతిలో మద్దతు మరింత సౌకర్యవంతంగా మరియు నమ్మదగినది.
పరస్పర చర్య
ఇది కూడా అనుకూలత, కానీ వేరే అర్థంలో, ఇతర తయారీదారుల నుండి సహా ఇతర ఎన్క్రిప్షన్ పరికరాలతో కలిసి పని చేసే సామర్థ్యం. ఎన్క్రిప్షన్ ప్రోటోకాల్ల ప్రామాణీకరణ స్థితిపై చాలా ఆధారపడి ఉంటుంది. L1లో సాధారణంగా ఆమోదించబడిన ఎన్క్రిప్షన్ ప్రమాణాలు లేవు.
ఈథర్నెట్ నెట్వర్క్లలో L2 ఎన్క్రిప్షన్ కోసం 802.1ae (MACsec) ప్రమాణం ఉంది, కానీ అది ఉపయోగించదు పూర్తిగా (ఎండ్-టు-ఎండ్), మరియు ఇంటర్పోర్ట్, “హాప్-బై-హాప్” ఎన్క్రిప్షన్, మరియు దాని అసలు సంస్కరణలో పంపిణీ చేయబడిన నెట్వర్క్లలో ఉపయోగించడానికి అనుచితమైనది, కాబట్టి ఈ పరిమితిని అధిగమించే దాని యాజమాన్య పొడిగింపులు కనిపించాయి (వాస్తవానికి, ఇతర తయారీదారుల పరికరాలతో పరస్పర చర్య కారణంగా). నిజమే, 2018లో, పంపిణీ చేయబడిన నెట్వర్క్లకు మద్దతు 802.1ae ప్రమాణానికి జోడించబడింది, అయితే GOST ఎన్క్రిప్షన్ అల్గారిథమ్ సెట్లకు ఇప్పటికీ మద్దతు లేదు. అందువల్ల, యాజమాన్య, ప్రామాణికం కాని L2 ఎన్క్రిప్షన్ ప్రోటోకాల్లు, ఒక నియమం వలె, ఎక్కువ సామర్థ్యం (ముఖ్యంగా, తక్కువ బ్యాండ్విడ్త్ ఓవర్హెడ్) మరియు ఫ్లెక్సిబిలిటీ (ఎన్క్రిప్షన్ అల్గారిథమ్లు మరియు మోడ్లను మార్చగల సామర్థ్యం) ద్వారా వేరు చేయబడతాయి.
ఉన్నత స్థాయిలలో (L3 మరియు L4) గుర్తించబడిన ప్రమాణాలు ఉన్నాయి, ప్రధానంగా IPsec మరియు TLS, కానీ ఇక్కడ కూడా ఇది అంత సులభం కాదు. వాస్తవం ఏమిటంటే, ఈ ప్రమాణాలలో ప్రతి ఒక్కటి ప్రోటోకాల్ల సమితి, ప్రతి ఒక్కటి వేర్వేరు సంస్కరణలు మరియు పొడిగింపులు అవసరం లేదా అమలు కోసం ఐచ్ఛికం. అదనంగా, కొంతమంది తయారీదారులు తమ యాజమాన్య ఎన్క్రిప్షన్ ప్రోటోకాల్లను L3/L4లో ఉపయోగించడానికి ఇష్టపడతారు. అందువల్ల, చాలా సందర్భాలలో మీరు పూర్తి ఇంటర్ఆపెరాబిలిటీని లెక్కించకూడదు, అయితే వేర్వేరు నమూనాలు మరియు ఒకే తయారీదారు యొక్క వివిధ తరాల మధ్య కనీసం పరస్పర చర్య నిర్ధారించబడటం ముఖ్యం.
విశ్వసనీయత
విభిన్న పరిష్కారాలను సరిపోల్చడానికి, మీరు వైఫల్యాల మధ్య సగటు సమయాన్ని లేదా లభ్యత కారకాన్ని ఉపయోగించవచ్చు. ఈ సంఖ్యలు అందుబాటులో లేకుంటే (లేదా వాటిపై నమ్మకం లేకుంటే), అప్పుడు గుణాత్మక పోలిక చేయవచ్చు. అనుకూలమైన నిర్వహణతో కూడిన పరికరాలకు ప్రయోజనం (కాన్ఫిగరేషన్ లోపాల ప్రమాదం తక్కువ), ప్రత్యేక ఎన్క్రిప్టర్లు (అదే కారణంతో), అలాగే పూర్తి నోడ్ల “హాట్” బ్యాకప్ సాధనాలతో సహా వైఫల్యాన్ని గుర్తించి తొలగించడానికి కనీస సమయంతో పరిష్కారాలు ఉంటాయి. పరికరాలు.
ఖర్చు
ఖర్చు విషయానికి వస్తే, చాలా IT సొల్యూషన్ల మాదిరిగానే, యాజమాన్యం యొక్క మొత్తం వ్యయాన్ని పోల్చడం అర్ధమే. దీన్ని లెక్కించడానికి, మీరు చక్రాన్ని తిరిగి ఆవిష్కరించాల్సిన అవసరం లేదు, కానీ ఏదైనా తగిన పద్దతిని (ఉదాహరణకు, గార్ట్నర్ నుండి) మరియు ఏదైనా కాలిక్యులేటర్ను ఉపయోగించండి (ఉదాహరణకు, TCOను లెక్కించడానికి సంస్థలో ఇప్పటికే ఉపయోగించినది). నెట్వర్క్ ఎన్క్రిప్షన్ సొల్యూషన్ కోసం, యాజమాన్యం యొక్క మొత్తం ఖర్చు ఉంటుంది ప్రత్యక్షంగా పరిష్కారాన్ని కొనుగోలు చేయడం లేదా అద్దెకు తీసుకోవడం, హోస్టింగ్ పరికరాలు మరియు విస్తరణ ఖర్చులు, పరిపాలన మరియు నిర్వహణ ఖర్చులు (ఇంట్లో లేదా థర్డ్-పార్టీ సేవల రూపంలో), అలాగే పరోక్షంగా పరిష్కారం పనికిరాని సమయం నుండి ఖర్చులు (తుది-వినియోగదారు ఉత్పాదకత కోల్పోవడం వలన). బహుశా ఒకే ఒక సూక్ష్మభేదం ఉంది. పరిష్కారం యొక్క పనితీరు ప్రభావాన్ని వివిధ మార్గాల్లో పరిగణించవచ్చు: కోల్పోయిన ఉత్పాదకత వలన ఏర్పడే పరోక్ష ఖర్చులు లేదా "వర్చువల్" నెట్వర్క్ సాధనాలను కొనుగోలు చేయడం/అప్గ్రేడ్ చేయడం మరియు నిర్వహించడం వంటి వాటి వినియోగం కారణంగా నెట్వర్క్ పనితీరు నష్టాన్ని భర్తీ చేసే ప్రత్యక్ష ఖర్చులు ఎన్క్రిప్షన్. ఏదైనా సందర్భంలో, తగినంత ఖచ్చితత్వంతో గణించడం కష్టతరమైన ఖర్చులు గణన నుండి ఉత్తమంగా వదిలివేయబడతాయి: ఈ విధంగా తుది విలువపై మరింత విశ్వాసం ఉంటుంది. మరియు, ఎప్పటిలాగే, ఏదైనా సందర్భంలో, TCO ద్వారా వివిధ పరికరాలను వాటి ఉపయోగం యొక్క నిర్దిష్ట దృష్టాంతంలో సరిపోల్చడం అర్ధమే - నిజమైన లేదా విలక్షణమైనది.
దృఢత్వం
మరియు చివరి లక్షణం పరిష్కారం యొక్క పట్టుదల. చాలా సందర్భాలలో, వివిధ పరిష్కారాలను పోల్చడం ద్వారా మాత్రమే మన్నికను గుణాత్మకంగా అంచనా వేయవచ్చు. గుప్తీకరణ పరికరాలు ఒక సాధనం మాత్రమే కాదు, రక్షణ వస్తువు కూడా అని మనం గుర్తుంచుకోవాలి. వారు వివిధ బెదిరింపులకు గురికావచ్చు. గోప్యత ఉల్లంఘన, సందేశాల పునరుత్పత్తి మరియు సవరణల బెదిరింపులు ముందంజలో ఉన్నాయి. ఈ బెదిరింపులను సాంకేతికలిపి లేదా దాని వ్యక్తిగత మోడ్ల యొక్క దుర్బలత్వాల ద్వారా, ఎన్క్రిప్షన్ ప్రోటోకాల్లలోని దుర్బలత్వాల ద్వారా గ్రహించవచ్చు (కనెక్షన్ని స్థాపించడం మరియు కీలను ఉత్పత్తి చేయడం/పంపిణీ చేయడం వంటి దశలతో సహా). ఎన్క్రిప్షన్ అల్గారిథమ్ను మార్చడం లేదా సాంకేతికలిపి మోడ్ను మార్చడం (కనీసం ఫర్మ్వేర్ అప్డేట్ ద్వారా), అత్యంత పూర్తి ఎన్క్రిప్షన్ను అందించే సొల్యూషన్లు, దాడి చేసేవారి నుండి వినియోగదారు డేటా మాత్రమే కాకుండా చిరునామా మరియు ఇతర సేవా సమాచారాన్ని కూడా దాచడం ద్వారా ప్రయోజనం ఉంటుంది. , అలాగే సాంకేతిక పరిష్కారాలు ఎన్క్రిప్ట్ చేయడమే కాకుండా, పునరుత్పత్తి మరియు మార్పుల నుండి సందేశాలను కూడా రక్షిస్తాయి. ప్రమాణాలలో పొందుపరచబడిన అన్ని ఆధునిక ఎన్క్రిప్షన్ అల్గారిథమ్లు, ఎలక్ట్రానిక్ సంతకాలు, కీ ఉత్పత్తి మొదలైన వాటి కోసం, బలం ఒకే విధంగా ఉంటుందని భావించవచ్చు (లేకపోతే మీరు గూఢ లిపి శాస్త్రం యొక్క వైల్డ్లలో కోల్పోవచ్చు). ఇవి తప్పనిసరిగా GOST అల్గారిథమ్లుగా ఉండాలా? ఇక్కడ ప్రతిదీ చాలా సులభం: అప్లికేషన్ దృష్టాంతంలో CIPF కోసం FSB సర్టిఫికేషన్ అవసరమైతే (మరియు రష్యాలో ఇది చాలా తరచుగా జరుగుతుంది; చాలా నెట్వర్క్ ఎన్క్రిప్షన్ దృశ్యాలకు ఇది నిజం), అప్పుడు మేము ధృవీకరించబడిన వాటి మధ్య మాత్రమే ఎంచుకుంటాము. కాకపోతే, పరిశీలన నుండి సర్టిఫికేట్లు లేని పరికరాలను మినహాయించడంలో అర్థం లేదు.
మరొక ముప్పు హ్యాకింగ్ ముప్పు, పరికరాలకు అనధికారిక యాక్సెస్ (కేసు వెలుపల మరియు లోపల భౌతిక యాక్సెస్ ద్వారా సహా). ముప్పు ద్వారా నిర్వహించవచ్చు
అమలులో దుర్బలత్వాలు - హార్డ్వేర్ మరియు కోడ్లో. అందువల్ల, నెట్వర్క్ ద్వారా కనిష్ట "దాడి ఉపరితలం"తో, భౌతిక యాక్సెస్ నుండి రక్షించబడిన ఎన్క్లోజర్లతో (చొరబాటు సెన్సార్లతో, ప్రోబింగ్ ప్రొటెక్షన్ మరియు ఎన్క్లోజర్ తెరిచినప్పుడు కీ సమాచారం యొక్క ఆటోమేటిక్ రీసెట్) అలాగే ఫర్మ్వేర్ అప్డేట్లను అనుమతించేవి కోడ్లోని దుర్బలత్వం తెలిసిన సందర్భంలో ఒక ప్రయోజనం. మరొక మార్గం ఉంది: పోల్చిన అన్ని పరికరాలు FSB సర్టిఫికేట్లను కలిగి ఉంటే, అప్పుడు సర్టిఫికేట్ జారీ చేయబడిన CIPF తరగతి హ్యాకింగ్కు ప్రతిఘటన యొక్క సూచికగా పరిగణించబడుతుంది.
చివరగా, మరొక రకమైన ముప్పు సెటప్ మరియు ఆపరేషన్ సమయంలో లోపాలు, దాని స్వచ్ఛమైన రూపంలో మానవ కారకం. ఇది కన్వర్జ్డ్ సొల్యూషన్ల కంటే ప్రత్యేకమైన ఎన్క్రిప్టర్ల యొక్క మరొక ప్రయోజనాన్ని చూపుతుంది, ఇవి తరచుగా అనుభవజ్ఞులైన "నెట్వర్క్ నిపుణులు"ని లక్ష్యంగా చేసుకుంటాయి మరియు "సాధారణ", సాధారణ సమాచార భద్రతా నిపుణులకు ఇబ్బందులను కలిగిస్తాయి.
సంగ్రహంగా
సూత్రప్రాయంగా, ఇక్కడ వివిధ పరికరాలను పోల్చడానికి ఒక రకమైన సమగ్ర సూచికను ప్రతిపాదించడం సాధ్యమవుతుంది
$$display$$K_j=∑p_i r_{ij}$$display$$
ఇక్కడ p అనేది సూచిక యొక్క బరువు, మరియు r అనేది ఈ సూచిక ప్రకారం పరికరం యొక్క ర్యాంక్, మరియు పైన జాబితా చేయబడిన ఏవైనా లక్షణాలను "అణు" సూచికలుగా విభజించవచ్చు. అటువంటి ఫార్ములా ఉపయోగకరంగా ఉంటుంది, ఉదాహరణకు, ముందుగా అంగీకరించిన నిబంధనల ప్రకారం టెండర్ ప్రతిపాదనలను పోల్చినప్పుడు. కానీ మీరు ఒక సాధారణ పట్టికతో పొందవచ్చు
Характеристика
పరికరం 1
పరికరం 2
...
పరికరం ఎన్
సామర్థ్యాన్ని
+
+
+++
ఓవర్ హెడ్స్
+
++
+++
ఆలస్యం
+
+
++
స్కేలబిలిటీ
+++
+
+++
వశ్యత
+++
++
+
పరస్పర చర్య
++
+
+
అనుకూలత
++
++
+++
సరళత మరియు సౌలభ్యం
+
+
++
తప్పు సహనం
+++
+++
++
ఖర్చు
++
+++
+
దృఢత్వం
++
++
+++
ప్రశ్నలకు మరియు నిర్మాణాత్మక విమర్శలకు సమాధానం ఇవ్వడానికి నేను సంతోషిస్తాను.
మూలం: www.habr.com