วิธีการประเมินและเปรียบเทียบอุปกรณ์เข้ารหัสอีเทอร์เน็ต

ฉันเขียนบทวิจารณ์นี้ (หรือหากคุณต้องการ คู่มือการเปรียบเทียบ) เมื่อฉันได้รับมอบหมายให้เปรียบเทียบอุปกรณ์หลายเครื่องจากผู้ขายหลายราย นอกจากนี้ อุปกรณ์เหล่านี้ยังอยู่ในคลาสที่ต่างกัน ฉันต้องเข้าใจสถาปัตยกรรมและคุณลักษณะของอุปกรณ์เหล่านี้ทั้งหมด และสร้าง “ระบบพิกัด” เพื่อการเปรียบเทียบ ฉันจะดีใจถ้าบทวิจารณ์ของฉันช่วยใครบางคน:

• ทำความเข้าใจคำอธิบายและข้อมูลจำเพาะของอุปกรณ์เข้ารหัส
• แยกแยะคุณลักษณะของ "กระดาษ" จากคุณลักษณะที่มีความสำคัญในชีวิตจริง
• ไปไกลกว่ากลุ่มผู้ขายปกติและรวมไว้ในการพิจารณาผลิตภัณฑ์ใด ๆ ที่เหมาะสมสำหรับการแก้ปัญหา
• ถามคำถามที่ถูกต้องในระหว่างการเจรจา
• ร่างข้อกำหนดการประกวดราคา (RFP)
• ทำความเข้าใจว่าคุณสมบัติใดที่จะต้องเสียสละหากเลือกอุปกรณ์รุ่นใดรุ่นหนึ่ง

สิ่งที่สามารถประเมินได้

โดยหลักการแล้ว วิธีการนี้สามารถใช้ได้กับอุปกรณ์แบบสแตนด์อโลนใดๆ ก็ตามที่เหมาะสำหรับการเข้ารหัสการรับส่งข้อมูลเครือข่ายระหว่างส่วนอีเธอร์เน็ตระยะไกล (การเข้ารหัสข้ามไซต์) นั่นคือ “กล่อง” ในอีกกรณีหนึ่ง (เอาล่ะ เราจะรวมเบลด/โมดูลสำหรับแชสซีไว้ที่นี่ด้วย) ซึ่งเชื่อมต่อผ่านพอร์ตอีเทอร์เน็ตตั้งแต่หนึ่งพอร์ตขึ้นไปไปยังเครือข่ายอีเธอร์เน็ตภายใน (วิทยาเขต) ที่มีการรับส่งข้อมูลที่ไม่ได้เข้ารหัส และผ่าน พอร์ตอื่นไปยังช่อง/เครือข่ายซึ่งมีการส่งการรับส่งข้อมูลที่เข้ารหัสไว้แล้วไปยังส่วนระยะไกลอื่น ๆ โซลูชันการเข้ารหัสดังกล่าวสามารถนำไปใช้ในเครือข่ายส่วนตัวหรือเครือข่ายผู้ให้บริการผ่าน "การขนส่ง" ประเภทต่างๆ (ไฟเบอร์สีเข้ม อุปกรณ์แบ่งความถี่ สวิตซ์อีเธอร์เน็ต รวมถึง "สายเทียม" ที่วางผ่านเครือข่ายที่มีสถาปัตยกรรมการกำหนดเส้นทางที่แตกต่างกัน ซึ่งส่วนใหญ่มักเป็น MPLS ) มีหรือไม่มีเทคโนโลยี VPN

การเข้ารหัสเครือข่ายในเครือข่ายอีเธอร์เน็ตแบบกระจาย

อุปกรณ์เองก็สามารถเป็นได้ทั้ง เฉพาะทาง (มีไว้สำหรับการเข้ารหัสโดยเฉพาะ) หรือมัลติฟังก์ชั่น (ไฮบริด มาบรรจบกัน) ซึ่งก็คือการทำหน้าที่อื่นๆ ด้วย (เช่น ไฟร์วอลล์หรือเราเตอร์) ผู้จำหน่ายหลายรายจัดประเภทอุปกรณ์ของตนออกเป็นคลาส/หมวดหมู่ที่แตกต่างกัน แต่นั่นไม่สำคัญ สิ่งเดียวที่สำคัญคือพวกเขาสามารถเข้ารหัสการรับส่งข้อมูลข้ามไซต์ได้หรือไม่ และมีลักษณะเฉพาะใดบ้าง

ในกรณีที่ฉันขอเตือนคุณว่า "การเข้ารหัสเครือข่าย", "การเข้ารหัสการรับส่งข้อมูล", "ตัวเข้ารหัส" เป็นคำศัพท์ที่ไม่เป็นทางการ แม้ว่าจะมักใช้กันก็ตาม คุณน่าจะไม่พบสิ่งเหล่านี้ในข้อบังคับของรัสเซีย (รวมถึงข้อบังคับที่แนะนำ GOST)

ระดับการเข้ารหัสและโหมดการส่งข้อมูล

ก่อนที่เราจะเริ่มอธิบายคุณลักษณะที่จะใช้สำหรับการประเมิน ก่อนอื่นเราจะต้องเข้าใจสิ่งสำคัญอย่างหนึ่งก่อน นั่นคือ "ระดับการเข้ารหัส" ฉันสังเกตเห็นว่ามีการกล่าวถึงบ่อยครั้งทั้งในเอกสารของผู้จำหน่ายอย่างเป็นทางการ (ในคำอธิบาย คู่มือ ฯลฯ) และในการสนทนาอย่างไม่เป็นทางการ (ในการเจรจา การฝึกอบรม) นั่นคือดูเหมือนว่าทุกคนจะรู้ดีว่าเรากำลังพูดถึงอะไร แต่โดยส่วนตัวแล้วฉันเห็นความสับสนอยู่บ้าง

แล้ว “ระดับการเข้ารหัส” คืออะไร? เป็นที่ชัดเจนว่าเรากำลังพูดถึงจำนวนของเลเยอร์โมเดลเครือข่ายอ้างอิง OSI/ISO ที่เกิดการเข้ารหัส เราอ่าน GOST R ISO 7498-2–99 “เทคโนโลยีสารสนเทศ การเชื่อมต่อโครงข่ายของระบบเปิด โมเดลอ้างอิงพื้นฐาน ส่วนที่ 2 สถาปัตยกรรมความปลอดภัยของข้อมูล” จากเอกสารนี้สามารถเข้าใจได้ว่าระดับของบริการการรักษาความลับ (หนึ่งในกลไกในการให้บริการซึ่งก็คือการเข้ารหัส) คือระดับของโปรโตคอล บล็อกข้อมูลบริการ ("เพย์โหลด" ข้อมูลผู้ใช้) ที่ถูกเข้ารหัส ตามที่เขียนไว้ในมาตรฐาน บริการสามารถให้บริการได้ทั้งในระดับเดียวกัน "ในตัวมันเอง" และด้วยความช่วยเหลือของระดับที่ต่ำกว่า (ตัวอย่างเช่น วิธีนี้มักนำไปใช้ใน MACsec) .

ในทางปฏิบัติ เป็นไปได้สองโหมดในการส่งข้อมูลที่เข้ารหัสผ่านเครือข่าย (IPsec อยู่ในใจทันที แต่ก็พบโหมดเดียวกันในโปรโตคอลอื่นด้วย) ใน ขนส่ง (บางครั้งเรียกว่าโหมดเนทิฟ) จะได้รับการเข้ารหัสเท่านั้น บริการ บล็อกข้อมูลและส่วนหัวยังคง "เปิด" ไม่ได้เข้ารหัส (บางครั้งมีการเพิ่มฟิลด์เพิ่มเติมพร้อมข้อมูลบริการของอัลกอริธึมการเข้ารหัส และฟิลด์อื่น ๆ ได้รับการแก้ไขและคำนวณใหม่) ใน อุโมงค์ โหมดเดียวกันทั้งหมด มาตรการ บล็อกข้อมูล (นั่นคือแพ็กเก็ตเอง) จะถูกเข้ารหัสและห่อหุ้มไว้ในบล็อกข้อมูลบริการในระดับเดียวกันหรือสูงกว่า กล่าวคือ มันถูกล้อมรอบด้วยส่วนหัวใหม่

ระดับการเข้ารหัสนั้นใช้ร่วมกับโหมดการส่งข้อมูลบางโหมดนั้นไม่ดีหรือไม่ดี ดังนั้นจึงไม่สามารถพูดได้ เช่น L3 ในโหมดการขนส่งดีกว่า L2 ในโหมดทันเนล เพียงแต่ว่าคุณสมบัติหลายประการในการประเมินอุปกรณ์นั้นขึ้นอยู่กับคุณสมบัติเหล่านั้น ตัวอย่างเช่น ความยืดหยุ่นและความเข้ากันได้ หากต้องการทำงานในเครือข่าย L1 (บิตสตรีมรีเลย์), L2 (การสลับเฟรม) และ L3 (การกำหนดเส้นทางแพ็กเก็ต) ในโหมดการขนส่ง คุณต้องมีโซลูชันที่เข้ารหัสในระดับเดียวกันหรือสูงกว่า (ไม่เช่นนั้นข้อมูลที่อยู่จะถูกเข้ารหัสและข้อมูลจะ ไม่ถึงปลายทางที่ตั้งใจไว้) และโหมดทันเนลก็เอาชนะข้อจำกัดนี้ (แม้ว่าจะต้องเสียสละคุณลักษณะที่สำคัญอื่น ๆ ก็ตาม)

โหมดการเข้ารหัสการขนส่งและทันเนล L2

ตอนนี้เรามาดูการวิเคราะห์ลักษณะกันดีกว่า

การปฏิบัติ

สำหรับการเข้ารหัสเครือข่าย ประสิทธิภาพเป็นแนวคิดที่ซับซ้อนและมีหลายมิติ มันเกิดขึ้นที่โมเดลบางรุ่น แม้จะเหนือกว่าในลักษณะประสิทธิภาพอย่างหนึ่ง แต่ก็ด้อยกว่าในอีกรูปแบบหนึ่ง ดังนั้นจึงเป็นประโยชน์เสมอที่จะพิจารณาองค์ประกอบทั้งหมดของประสิทธิภาพการเข้ารหัสและผลกระทบต่อประสิทธิภาพของเครือข่ายและแอปพลิเคชันที่ใช้งาน ที่นี่เราสามารถเปรียบเทียบกับรถยนต์ ซึ่งไม่เพียงแต่ความเร็วสูงสุดเท่านั้นที่สำคัญ แต่ยังรวมถึงเวลาเร่งความเร็วเป็น "ร้อย" การสิ้นเปลืองน้ำมันเชื้อเพลิง และอื่นๆ บริษัทผู้จัดจำหน่ายและผู้มีโอกาสเป็นลูกค้าให้ความสำคัญกับคุณลักษณะด้านประสิทธิภาพเป็นอย่างมาก ตามกฎแล้ว อุปกรณ์เข้ารหัสจะได้รับการจัดอันดับตามประสิทธิภาพในกลุ่มผู้จำหน่าย

เป็นที่ชัดเจนว่าประสิทธิภาพขึ้นอยู่กับทั้งความซับซ้อนของเครือข่ายและการดำเนินการเข้ารหัสลับที่ทำบนอุปกรณ์ (รวมถึงงานเหล่านี้ที่สามารถขนานและไปป์ไลน์ได้ดีเพียงใด) รวมถึงประสิทธิภาพของฮาร์ดแวร์และคุณภาพของเฟิร์มแวร์ ดังนั้นรุ่นเก่าจึงใช้ฮาร์ดแวร์ที่มีประสิทธิภาพมากกว่าบางครั้งก็เป็นไปได้ที่จะติดตั้งโปรเซสเซอร์และโมดูลหน่วยความจำเพิ่มเติม มีหลายวิธีในการใช้ฟังก์ชันการเข้ารหัส: บนหน่วยประมวลผลกลาง (CPU) สำหรับการใช้งานทั่วไป วงจรรวมเฉพาะแอปพลิเคชัน (ASIC) หรือวงจรรวมลอจิกที่ตั้งโปรแกรมได้ภาคสนาม (FPGA) แต่ละวิธีมีข้อดีและข้อเสีย ตัวอย่างเช่น CPU อาจกลายเป็นคอขวดในการเข้ารหัส โดยเฉพาะอย่างยิ่งหากโปรเซสเซอร์ไม่มีคำสั่งพิเศษเพื่อรองรับอัลกอริธึมการเข้ารหัส (หรือหากไม่ได้ใช้งาน) ชิปเฉพาะทางขาดความยืดหยุ่น ไม่สามารถ "รีเฟรช" ชิปเหล่านี้ได้เสมอไปเพื่อปรับปรุงประสิทธิภาพ เพิ่มฟังก์ชันใหม่ หรือกำจัดช่องโหว่ นอกจากนี้การใช้งานจะทำกำไรได้เมื่อมีปริมาณการผลิตจำนวนมากเท่านั้น นั่นคือสาเหตุที่ "ค่าเฉลี่ยสีทอง" ได้รับความนิยมอย่างมาก - การใช้ FPGA (FPGA ในภาษารัสเซีย) มันอยู่บน FPGA ที่เรียกว่าตัวเร่งการเข้ารหัสลับถูกสร้างขึ้น - โมดูลฮาร์ดแวร์พิเศษในตัวหรือปลั๊กอินเพื่อรองรับการดำเนินการเข้ารหัส

เนื่องจากเราจะพูดถึง เครือข่าย การเข้ารหัส เป็นตรรกะที่ควรวัดประสิทธิภาพของโซลูชันในปริมาณเดียวกันกับอุปกรณ์เครือข่ายอื่น ๆ - ปริมาณงาน เปอร์เซ็นต์ของการสูญเสียเฟรม และเวลาแฝง ค่าเหล่านี้ถูกกำหนดไว้ใน RFC 1242 อย่างไรก็ตาม ไม่มีการเขียนเกี่ยวกับการเปลี่ยนแปลงความล่าช้า (กระวนกระวายใจ) ที่มักกล่าวถึงใน RFC นี้ จะวัดปริมาณเหล่านี้ได้อย่างไร? ฉันไม่พบวิธีการที่ได้รับอนุมัติในมาตรฐานใดๆ (เป็นทางการหรือไม่เป็นทางการ เช่น RFC) สำหรับการเข้ารหัสเครือข่ายโดยเฉพาะ คงจะสมเหตุสมผลถ้าใช้วิธีการสำหรับอุปกรณ์เครือข่ายที่ประดิษฐานอยู่ในมาตรฐาน RFC 2544 ผู้จำหน่ายหลายรายปฏิบัติตาม - จำนวนมาก แต่ไม่ใช่ทั้งหมด ตัวอย่างเช่น พวกเขาส่งการเข้าชมทดสอบไปในทิศทางเดียวเท่านั้น แทนที่จะเป็นทั้งสองทิศทาง เช่น ที่แนะนำ มาตรฐาน. ถึงอย่างไร.

การวัดประสิทธิภาพของอุปกรณ์เข้ารหัสเครือข่ายยังคงมีลักษณะเฉพาะของตัวเอง ประการแรก การดำเนินการวัดทั้งหมดสำหรับอุปกรณ์คู่หนึ่งนั้นถูกต้อง แม้ว่าอัลกอริธึมการเข้ารหัสจะสมมาตร ความล่าช้าและการสูญเสียแพ็กเก็ตระหว่างการเข้ารหัสและถอดรหัสไม่จำเป็นต้องเท่ากัน ประการที่สอง มันสมเหตุสมผลที่จะวัดเดลต้า ผลกระทบของการเข้ารหัสเครือข่ายต่อประสิทธิภาพเครือข่ายขั้นสุดท้าย โดยเปรียบเทียบการกำหนดค่าสองแบบ: โดยไม่มีอุปกรณ์เข้ารหัสและกับอุปกรณ์เหล่านั้น หรือในกรณีของอุปกรณ์ไฮบริดซึ่งรวมฟังก์ชันหลายอย่างนอกเหนือจากการเข้ารหัสเครือข่าย โดยปิดและเปิดการเข้ารหัส อิทธิพลนี้อาจแตกต่างออกไปและขึ้นอยู่กับรูปแบบการเชื่อมต่อของอุปกรณ์เข้ารหัส โหมดการทำงาน และสุดท้าย ขึ้นอยู่กับลักษณะของการรับส่งข้อมูล โดยเฉพาะอย่างยิ่งพารามิเตอร์ประสิทธิภาพจำนวนมากขึ้นอยู่กับความยาวของแพ็กเก็ตซึ่งเป็นเหตุผลว่าทำไมในการเปรียบเทียบประสิทธิภาพของโซลูชันที่แตกต่างกันกราฟของพารามิเตอร์เหล่านี้มักจะใช้ขึ้นอยู่กับความยาวของแพ็กเก็ตหรือใช้ IMIX - การกระจายการรับส่งข้อมูลตามแพ็กเก็ต ความยาวซึ่งประมาณสะท้อนถึงของจริง หากเราเปรียบเทียบการกำหนดค่าพื้นฐานเดียวกันโดยไม่มีการเข้ารหัส เราก็สามารถเปรียบเทียบโซลูชันการเข้ารหัสเครือข่ายที่ใช้งานแตกต่างกันโดยไม่ต้องคำนึงถึงความแตกต่างเหล่านี้: L2 กับ L3, การจัดเก็บและส่งต่อ ) ด้วยการตัดผ่าน, เชี่ยวชาญกับคอนเวอร์เจนต์, GOST กับ AES และอื่นๆ

แผนภาพการเชื่อมต่อสำหรับการทดสอบประสิทธิภาพ

ลักษณะแรกที่ผู้คนให้ความสนใจคือ “ความเร็ว” ของอุปกรณ์เข้ารหัสนั่นคือ แบนด์วิดธ์ (แบนด์วิธ) ของอินเทอร์เฟซเครือข่าย อัตราการไหลของบิต ถูกกำหนดโดยมาตรฐานเครือข่ายที่อินเทอร์เฟซรองรับ สำหรับอีเธอร์เน็ต ตัวเลขปกติคือ 1 Gbps และ 10 Gbps แต่อย่างที่เราทราบกันดีว่าในเครือข่ายใด ๆ มีทฤษฎีสูงสุด ปริมาณงาน (ปริมาณงาน) ในแต่ละระดับจะมีแบนด์วิดท์น้อยกว่าเสมอ: ส่วนหนึ่งของแบนด์วิดท์ถูก "กินเข้าไป" ตามช่วงเวลาของอินเตอร์เฟรม ส่วนหัวของบริการ และอื่นๆ หากอุปกรณ์สามารถรับ ประมวลผล (ในกรณีของเรา เข้ารหัสหรือถอดรหัส) และส่งการรับส่งข้อมูลด้วยความเร็วเต็มของอินเทอร์เฟซเครือข่าย นั่นคือด้วยปริมาณงานทางทฤษฎีสูงสุดสำหรับโมเดลเครือข่ายระดับนี้ ก็จะมีการกล่าวกันว่า ที่จะทำงาน ที่ความเร็วบรรทัด. ในการดำเนินการนี้ อุปกรณ์จะต้องไม่สูญเสียหรือละทิ้งแพ็กเก็ตทุกขนาดและทุกความถี่ หากอุปกรณ์เข้ารหัสไม่รองรับการทำงานที่ความเร็วสาย โดยปกติปริมาณงานสูงสุดจะระบุเป็นกิกะบิตต่อวินาทีเท่ากัน (บางครั้งระบุความยาวของแพ็กเก็ต - ยิ่งแพ็กเก็ตสั้นลง ปริมาณงานก็จะยิ่งต่ำลง) สิ่งสำคัญมากคือต้องเข้าใจว่าปริมาณงานสูงสุดคือสูงสุด ไม่มีการสูญเสีย (แม้ว่าอุปกรณ์จะสามารถ "สูบฉีด" การรับส่งข้อมูลผ่านตัวมันเองด้วยความเร็วสูงกว่า แต่ในขณะเดียวกันก็สูญเสียแพ็กเก็ตบางส่วนไปพร้อมกัน) นอกจากนี้ โปรดทราบว่าผู้จำหน่ายบางรายจะวัดปริมาณงานทั้งหมดระหว่างคู่พอร์ตทั้งหมด ดังนั้นตัวเลขเหล่านี้จึงไม่มีความหมายมากนักหากการรับส่งข้อมูลที่เข้ารหัสทั้งหมดผ่านพอร์ตเดียว

การทำงานที่ความเร็วของสายมีความสำคัญเป็นพิเศษตรงไหน (หรืออีกนัยหนึ่งคือ โดยไม่สูญเสียแพ็กเก็ต) ในลิงก์ที่มีแบนด์วิธสูง เวลาแฝงสูง (เช่น ดาวเทียม) ซึ่งต้องตั้งค่าขนาดหน้าต่าง TCP ขนาดใหญ่เพื่อรักษาความเร็วในการรับส่งข้อมูลที่สูง และในกรณีที่การสูญเสียแพ็กเก็ตจะลดประสิทธิภาพของเครือข่ายลงอย่างมาก

แต่ไม่ใช่ว่าแบนด์วิดท์ทั้งหมดจะถูกนำมาใช้ในการถ่ายโอนข้อมูลที่เป็นประโยชน์ เราต้องคำนึงถึงสิ่งที่เรียกว่า ต้นทุนค่าโสหุ้ย (โอเวอร์เฮด) แบนด์วิธ นี่คือส่วนของปริมาณงานของอุปกรณ์เข้ารหัส (เป็นเปอร์เซ็นต์หรือไบต์ต่อแพ็กเก็ต) ที่สูญเปล่าจริง (ไม่สามารถใช้ในการถ่ายโอนข้อมูลแอปพลิเคชัน) ประการแรกต้นทุนค่าโสหุ้ยเกิดขึ้นเนื่องจากการเพิ่มขนาด (เพิ่มเติม "การบรรจุ") ของช่องข้อมูลในแพ็กเก็ตเครือข่ายที่เข้ารหัส (ขึ้นอยู่กับอัลกอริธึมการเข้ารหัสและโหมดการทำงานของมัน) ประการที่สอง เนื่องจากการเพิ่มขึ้นของความยาวของส่วนหัวของแพ็กเก็ต (โหมดทันเนล การแทรกบริการของโปรโตคอลการเข้ารหัส การแทรกการจำลอง ฯลฯ ขึ้นอยู่กับโปรโตคอลและโหมดการทำงานของการเข้ารหัสและโหมดการส่งสัญญาณ) - โดยปกติแล้วต้นทุนค่าโสหุ้ยเหล่านี้คือ ที่สำคัญที่สุดและพวกเขาให้ความสนใจเป็นอันดับแรก ประการที่สาม เนื่องจากการกระจายตัวของแพ็กเก็ตเมื่อเกินขนาดหน่วยข้อมูลสูงสุด (MTU) (หากเครือข่ายสามารถแยกแพ็กเก็ตที่เกิน MTU ออกเป็นสองส่วน โดยทำซ้ำส่วนหัว) ประการที่สี่ เนื่องจากลักษณะของบริการเพิ่มเติม (การควบคุม) การรับส่งข้อมูลบนเครือข่ายระหว่างอุปกรณ์เข้ารหัส (สำหรับการแลกเปลี่ยนคีย์ การติดตั้งทันเนล ฯลฯ) ค่าใช้จ่ายต่ำเป็นสิ่งสำคัญเมื่อความจุของช่องสัญญาณมีจำกัด โดยเฉพาะอย่างยิ่งจะเห็นได้ชัดเจนในการรับส่งข้อมูลจากแพ็กเก็ตขนาดเล็ก เช่น เสียง ซึ่งต้นทุนค่าโสหุ้ยสามารถ "กิน" ความเร็วช่องสัญญาณได้มากกว่าครึ่งหนึ่ง!

แบนด์วิดท์

ในที่สุดก็มีอีก ทำให้เกิดความล่าช้า – ความแตกต่าง (เป็นเศษส่วนของวินาที) ในความล่าช้าของเครือข่าย (เวลาที่ใช้สำหรับข้อมูลในการส่งผ่านจากการเข้าสู่เครือข่ายไปยังออก) ระหว่างการส่งข้อมูลโดยไม่ใช้การเข้ารหัสเครือข่าย โดยทั่วไป ยิ่งเวลาแฝง (“เวลาแฝง”) ของเครือข่ายต่ำลง เวลาแฝงที่เกิดจากอุปกรณ์เข้ารหัสก็จะยิ่งมีความสำคัญมากขึ้นเท่านั้น ความล่าช้าเกิดขึ้นจากการดำเนินการเข้ารหัส (ขึ้นอยู่กับอัลกอริธึมการเข้ารหัส ความยาวบล็อกและโหมดการทำงานของการเข้ารหัส รวมถึงคุณภาพของการใช้งานในซอฟต์แวร์) และการประมวลผลแพ็กเก็ตเครือข่ายในอุปกรณ์ . เวลาแฝงที่เกิดขึ้นนั้นขึ้นอยู่กับทั้งโหมดการประมวลผลแพ็คเก็ต (ส่งผ่านหรือจัดเก็บและส่งต่อ) และประสิทธิภาพของแพลตฟอร์ม (การใช้งานฮาร์ดแวร์บน FPGA หรือ ASIC โดยทั่วไปจะเร็วกว่าการใช้งานซอฟต์แวร์บน CPU) การเข้ารหัส L2 มักจะมีเวลาแฝงต่ำกว่าการเข้ารหัส L3 หรือ L4 เกือบทุกครั้ง เนื่องจากอุปกรณ์เข้ารหัส L3/L4 มักจะมารวมกัน ตัวอย่างเช่น ด้วยการใช้ตัวเข้ารหัสอีเธอร์เน็ตความเร็วสูงบน FPGA และการเข้ารหัสบน L2 ความล่าช้าเนื่องจากการดำเนินการเข้ารหัสจึงน้อยมาก - บางครั้งเมื่อเปิดใช้งานการเข้ารหัสบนอุปกรณ์คู่หนึ่ง ความล่าช้าทั้งหมดที่เกิดขึ้นจากอุปกรณ์เหล่านี้ก็ลดลงด้วยซ้ำ! เวลาแฝงต่ำเป็นสิ่งสำคัญเมื่อเทียบได้กับความล่าช้าของช่องสัญญาณโดยรวม รวมถึงความล่าช้าในการแพร่กระจายซึ่งอยู่ที่ประมาณ 5 μs ต่อกิโลเมตร นั่นคือเราสามารถพูดได้ว่าสำหรับเครือข่ายระดับเมือง (หลายสิบกิโลเมตร) ไมโครวินาทีสามารถตัดสินใจได้มาก ตัวอย่างเช่น สำหรับการจำลองฐานข้อมูลแบบซิงโครนัส การซื้อขายความถี่สูง บล็อกเชนเดียวกัน

แนะนำความล่าช้า

ความสามารถในการปรับขนาด

เครือข่ายแบบกระจายขนาดใหญ่สามารถประกอบด้วยโหนดและอุปกรณ์เครือข่ายนับพันรายการ และเซ็กเมนต์เครือข่ายท้องถิ่นหลายร้อยรายการ สิ่งสำคัญคือโซลูชันการเข้ารหัสจะต้องไม่กำหนดข้อจำกัดเพิ่มเติมเกี่ยวกับขนาดและโทโพโลยีของเครือข่ายแบบกระจาย สิ่งนี้ใช้กับจำนวนโฮสต์และที่อยู่เครือข่ายสูงสุดเป็นหลัก ข้อจำกัดดังกล่าวอาจพบได้ ตัวอย่างเช่น เมื่อใช้โทโพโลยีเครือข่ายที่เข้ารหัสแบบหลายจุด (ด้วยการเชื่อมต่อที่ปลอดภัยหรืออุโมงค์ที่เป็นอิสระ) หรือการเข้ารหัสแบบเลือก (เช่น ตามหมายเลขโปรโตคอลหรือ VLAN) หากในกรณีนี้ที่อยู่เครือข่าย (MAC, IP, VLAN ID) ถูกใช้เป็นคีย์ในตารางที่มีการจำกัดจำนวนแถว ข้อจำกัดเหล่านี้จะปรากฏที่นี่

นอกจากนี้ เครือข่ายขนาดใหญ่มักจะมีชั้นโครงสร้างหลายชั้น รวมถึงเครือข่ายหลัก ซึ่งแต่ละชั้นใช้รูปแบบการกำหนดที่อยู่ของตัวเองและนโยบายการกำหนดเส้นทางของตัวเอง เพื่อนำแนวทางนี้ไปใช้ มักใช้รูปแบบเฟรมพิเศษ (เช่น Q-in-Q หรือ MAC-in-MAC) และโปรโตคอลการกำหนดเส้นทาง เพื่อไม่ให้ขัดขวางการสร้างเครือข่ายดังกล่าว อุปกรณ์เข้ารหัสจะต้องจัดการกับเฟรมดังกล่าวอย่างถูกต้อง (นั่นคือ ในแง่นี้ ความสามารถในการปรับขนาดจะหมายถึงความเข้ากันได้ - มีรายละเอียดเพิ่มเติมด้านล่าง)

มีความยืดหยุ่น

ที่นี่เรากำลังพูดถึงการสนับสนุนการกำหนดค่า รูปแบบการเชื่อมต่อ โทโพโลยี และอื่นๆ อีกมากมาย ตัวอย่างเช่น สำหรับเครือข่ายสวิตช์ที่ใช้เทคโนโลยี Carrier Ethernet นี่หมายถึงการรองรับการเชื่อมต่อเสมือนประเภทต่างๆ (E-Line, E-LAN, E-Tree) บริการประเภทต่างๆ (ทั้งทางพอร์ตและ VLAN) และเทคโนโลยีการขนส่งที่แตกต่างกัน (พวกเขาระบุไว้ข้างต้นแล้ว) นั่นคืออุปกรณ์จะต้องสามารถทำงานทั้งในโหมดเชิงเส้น (“จุดต่อจุด”) และโหมดหลายจุด สร้างช่องทางแยกสำหรับ VLAN ที่แตกต่างกัน และอนุญาตให้ส่งแพ็กเก็ตที่ไม่อยู่ในลำดับภายในช่องทางที่ปลอดภัย ความสามารถในการเลือกโหมดการเข้ารหัสที่แตกต่างกัน (รวมถึงที่มีหรือไม่มีการรับรองความถูกต้องของเนื้อหา) และโหมดการส่งแพ็กเก็ตที่แตกต่างกัน ช่วยให้คุณสามารถสร้างสมดุลระหว่างความแรงและประสิทธิภาพโดยขึ้นอยู่กับสภาวะปัจจุบัน

สิ่งสำคัญคือต้องสนับสนุนทั้งเครือข่ายส่วนตัว ซึ่งเป็นอุปกรณ์ที่เป็นขององค์กรหนึ่ง (หรือเช่า) และเครือข่ายผู้ให้บริการ ส่วนต่างๆ ที่ได้รับการจัดการโดยบริษัทต่างๆ จะดีถ้าโซลูชันนี้อนุญาตให้มีการจัดการทั้งภายในองค์กรและโดยบุคคลที่สาม (โดยใช้โมเดลบริการที่มีการจัดการ) ในเครือข่ายผู้ให้บริการ ฟังก์ชั่นที่สำคัญอีกประการหนึ่งคือการสนับสนุนการเช่าหลายราย (การแบ่งปันโดยลูกค้าที่แตกต่างกัน) ในรูปแบบของการแยกการเข้ารหัสของลูกค้าแต่ละราย (สมาชิก) ซึ่งมีการรับส่งข้อมูลผ่านอุปกรณ์เข้ารหัสชุดเดียวกัน โดยทั่วไปต้องใช้ชุดคีย์และใบรับรองแยกกันสำหรับลูกค้าแต่ละราย

หากซื้ออุปกรณ์สำหรับสถานการณ์เฉพาะ คุณลักษณะทั้งหมดเหล่านี้อาจไม่สำคัญมากนัก คุณเพียงแค่ต้องแน่ใจว่าอุปกรณ์รองรับสิ่งที่คุณต้องการในตอนนี้ แต่หากซื้อโซลูชัน "เพื่อการเติบโต" เพื่อรองรับสถานการณ์ในอนาคตเช่นกัน และเลือกเป็น "มาตรฐานองค์กร" ความยืดหยุ่นก็จะไม่ฟุ่มเฟือย โดยเฉพาะอย่างยิ่งเมื่อคำนึงถึงข้อจำกัดในการทำงานร่วมกันของอุปกรณ์จากผู้ขายต่างๆ ( เพิ่มเติมเกี่ยวกับเรื่องนี้ด้านล่าง)

เรียบง่ายและสะดวกสบาย

ความง่ายในการบริการก็เป็นแนวคิดที่มีหลายปัจจัยเช่นกัน โดยโดยประมาณแล้ว เราสามารถพูดได้ว่านี่คือเวลาทั้งหมดที่ผู้เชี่ยวชาญใช้ตามคุณสมบัติที่กำหนดในการสนับสนุนโซลูชันในช่วงต่างๆ ของวงจรชีวิต หากไม่มีค่าใช้จ่าย และการติดตั้ง การกำหนดค่า และการทำงานเป็นแบบอัตโนมัติทั้งหมด ต้นทุนจะเป็นศูนย์และความสะดวกสบายจะเป็นเลิศ แน่นอนว่าสิ่งนี้ไม่ได้เกิดขึ้นในโลกแห่งความเป็นจริง การประมาณที่สมเหตุสมผลคือแบบจำลอง "ปมบนลวด" (bump-in-the-wire) หรือการเชื่อมต่อแบบโปร่งใส ซึ่งการเพิ่มและปิดใช้งานอุปกรณ์เข้ารหัสไม่จำเป็นต้องทำการเปลี่ยนแปลงการกำหนดค่าเครือข่ายด้วยตนเองหรืออัตโนมัติ ในเวลาเดียวกัน การบำรุงรักษาโซลูชันนั้นง่ายขึ้น: คุณสามารถเปิดและปิดฟังก์ชันการเข้ารหัสได้อย่างปลอดภัย และหากจำเป็น เพียง "บายพาส" อุปกรณ์ด้วยสายเคเบิลเครือข่าย (นั่นคือ เชื่อมต่อโดยตรงพอร์ตเหล่านั้นของอุปกรณ์เครือข่ายที่ มันเชื่อมต่ออยู่) จริงอยู่ มีข้อเสียเปรียบอยู่ประการหนึ่ง - ผู้โจมตีสามารถทำเช่นเดียวกันได้ ในการใช้หลักการ "โหนดบนสาย" จำเป็นต้องคำนึงถึงไม่เพียงแต่การรับส่งข้อมูลเท่านั้น ชั้นข้อมูลแต่ ชั้นการควบคุมและการจัดการ – อุปกรณ์จะต้องมีความโปร่งใส ดังนั้นการรับส่งข้อมูลดังกล่าวสามารถเข้ารหัสได้ก็ต่อเมื่อไม่มีผู้รับการรับส่งข้อมูลประเภทนี้ในเครือข่ายระหว่างอุปกรณ์เข้ารหัส เนื่องจากหากถูกละทิ้งหรือเข้ารหัส เมื่อคุณเปิดหรือปิดใช้งานการเข้ารหัส การกำหนดค่าเครือข่ายอาจเปลี่ยนแปลง อุปกรณ์เข้ารหัสยังสามารถโปร่งใสสำหรับการส่งสัญญาณในชั้นกายภาพ โดยเฉพาะอย่างยิ่ง เมื่อสัญญาณหายไป มันจะต้องส่งการสูญเสียนี้ (นั่นคือ ปิดเครื่องส่งสัญญาณ) ไปมา (“สำหรับตัวมันเอง”) ในทิศทางของสัญญาณ

การสนับสนุนการแบ่งแยกอำนาจระหว่างแผนกรักษาความปลอดภัยข้อมูลและแผนกไอที โดยเฉพาะแผนกเครือข่ายก็มีความสำคัญเช่นกัน โซลูชันการเข้ารหัสจะต้องสนับสนุนการควบคุมการเข้าถึงและแบบจำลองการตรวจสอบขององค์กร ความจำเป็นในการมีปฏิสัมพันธ์ระหว่างแผนกต่างๆ เพื่อดำเนินการตามปกติควรลดลง ดังนั้นจึงมีข้อได้เปรียบในแง่ของความสะดวกสบายสำหรับอุปกรณ์พิเศษที่รองรับฟังก์ชันการเข้ารหัสโดยเฉพาะและมีความโปร่งใสในการดำเนินงานเครือข่ายมากที่สุด พูดง่ายๆ ก็คือ พนักงานรักษาความปลอดภัยข้อมูลไม่ควรมีเหตุผลที่จะติดต่อ “ผู้เชี่ยวชาญด้านเครือข่าย” เพื่อเปลี่ยนการตั้งค่าเครือข่าย และในทางกลับกันก็ไม่จำเป็นต้องเปลี่ยนการตั้งค่าการเข้ารหัสเมื่อดูแลเครือข่าย

อีกปัจจัยหนึ่งคือความสามารถและความสะดวกของการควบคุม ควรเป็นภาพ ตรรกะ ให้การนำเข้าและส่งออกการตั้งค่า ระบบอัตโนมัติ และอื่นๆ คุณควรใส่ใจทันทีว่ามีตัวเลือกการจัดการใดบ้าง (โดยปกติจะเป็นสภาพแวดล้อมการจัดการ เว็บอินเตอร์เฟส และบรรทัดคำสั่ง) และชุดฟังก์ชันที่แต่ละตัวเลือกมี (มีข้อจำกัด) ฟังก์ชั่นที่สำคัญคือการสนับสนุน นอกวง การควบคุม (นอกย่านความถี่) กล่าวคือ ผ่านเครือข่ายการควบคุมเฉพาะ และ ในวง การควบคุม (ในวง) นั่นคือผ่านเครือข่ายทั่วไปซึ่งมีการส่งข้อมูลการรับส่งข้อมูลที่เป็นประโยชน์ เครื่องมือการจัดการจะต้องส่งสัญญาณสถานการณ์ที่ผิดปกติทั้งหมด รวมถึงเหตุการณ์ด้านความปลอดภัยของข้อมูล การดำเนินการประจำและซ้ำๆ ควรดำเนินการโดยอัตโนมัติ สิ่งนี้เกี่ยวข้องกับการจัดการหลักเป็นหลัก ควรสร้าง/แจกจ่ายโดยอัตโนมัติ การสนับสนุน PKI ถือเป็นข้อดีอย่างมาก

ความเข้ากันได้

นั่นคือความเข้ากันได้ของอุปกรณ์กับมาตรฐานเครือข่าย ยิ่งไปกว่านั้น นี่ไม่เพียงหมายถึงมาตรฐานอุตสาหกรรมที่องค์กรที่เชื่อถือได้ เช่น IEEE นำมาใช้เท่านั้น แต่ยังรวมถึงโปรโตคอลที่เป็นกรรมสิทธิ์ของผู้นำในอุตสาหกรรม เช่น Cisco อีกด้วย มีสองวิธีหลักในการรับรองความเข้ากันได้: ผ่าน ความโปร่งใสหรือผ่าน การสนับสนุนที่ชัดเจน โปรโตคอล (เมื่ออุปกรณ์เข้ารหัสกลายเป็นหนึ่งในโหนดเครือข่ายสำหรับโปรโตคอลบางตัวและประมวลผลการรับส่งข้อมูลการควบคุมของโปรโตคอลนี้) ความเข้ากันได้กับเครือข่ายขึ้นอยู่กับความสมบูรณ์และความถูกต้องของการใช้โปรโตคอลควบคุม สิ่งสำคัญคือต้องรองรับตัวเลือกต่างๆ สำหรับระดับ PHY (ความเร็ว สื่อในการส่งข้อมูล รูปแบบการเข้ารหัส) เฟรมอีเธอร์เน็ตที่มีรูปแบบต่างกันด้วย MTU ใดๆ โปรโตคอลบริการ L3 ที่แตกต่างกัน (โดยหลักคือตระกูล TCP/IP)

มั่นใจในความโปร่งใสผ่านกลไกของการกลายพันธุ์ (การเปลี่ยนแปลงเนื้อหาของส่วนหัวที่เปิดชั่วคราวในการรับส่งข้อมูลระหว่างตัวเข้ารหัส) การข้าม (เมื่อแพ็กเก็ตแต่ละแพ็กเก็ตยังคงไม่ได้เข้ารหัส) และการเยื้องจุดเริ่มต้นของการเข้ารหัส (เมื่อฟิลด์แพ็กเก็ตที่เข้ารหัสตามปกติไม่ได้เข้ารหัส)

มั่นใจได้ถึงความโปร่งใสแค่ไหน

ดังนั้นควรตรวจสอบเสมอว่ามีการรองรับโปรโตคอลเฉพาะอย่างไร การสนับสนุนในโหมดโปร่งใสมักจะสะดวกและเชื่อถือได้มากกว่า

การทำงานร่วมกัน

นี่ก็เป็นความเข้ากันได้เช่นกัน แต่ในแง่ที่ต่างออกไป กล่าวคือ ความสามารถในการทำงานร่วมกับอุปกรณ์เข้ารหัสรุ่นอื่น รวมถึงอุปกรณ์จากผู้ผลิตรายอื่นด้วย ขึ้นอยู่กับสถานะของมาตรฐานของโปรโตคอลการเข้ารหัสเป็นอย่างมาก ไม่มีมาตรฐานการเข้ารหัสที่ยอมรับโดยทั่วไปใน L1

มีมาตรฐาน 2ae (MACsec) สำหรับการเข้ารหัส L802.1 บนเครือข่ายอีเธอร์เน็ต แต่ไม่ได้ใช้ จบสิ้น (จากต้นจนจบ) และ ส่งออกการเข้ารหัสแบบ "hop-by-hop" และในเวอร์ชันดั้งเดิมนั้นไม่เหมาะสมสำหรับใช้ในเครือข่ายแบบกระจาย ดังนั้นส่วนขยายที่เป็นกรรมสิทธิ์จึงปรากฏว่าเอาชนะข้อจำกัดนี้ (แน่นอน เนื่องจากความสามารถในการทำงานร่วมกันกับอุปกรณ์จากผู้ผลิตรายอื่น) จริงอยู่ที่ในปี 2018 มีการเพิ่มการรองรับเครือข่ายแบบกระจายในมาตรฐาน 802.1ae แต่ยังไม่มีการรองรับชุดอัลกอริธึมการเข้ารหัส GOST ดังนั้นตามกฎแล้วโปรโตคอลการเข้ารหัส L2 ที่เป็นกรรมสิทธิ์และไม่ได้มาตรฐานจึงมีความโดดเด่นด้วยประสิทธิภาพที่มากขึ้น (โดยเฉพาะค่าใช้จ่ายแบนด์วิธที่ต่ำกว่า) และความยืดหยุ่น (ความสามารถในการเปลี่ยนอัลกอริธึมและโหมดการเข้ารหัส)

ในระดับที่สูงกว่า (L3 และ L4) จะมีมาตรฐานที่ได้รับการยอมรับ โดยหลักๆ คือ IPsec และ TLS แต่ที่นี่ก็ไม่ง่ายเช่นกัน ความจริงก็คือแต่ละมาตรฐานเหล่านี้เป็นชุดของโปรโตคอล ซึ่งแต่ละมาตรฐานมีเวอร์ชันและส่วนขยายที่แตกต่างกันซึ่งจำเป็นหรือเป็นทางเลือกสำหรับการนำไปปฏิบัติ นอกจากนี้ ผู้ผลิตบางรายยังต้องการใช้โปรโตคอลการเข้ารหัสที่เป็นกรรมสิทธิ์ของตนบน L3/L4 ดังนั้นในกรณีส่วนใหญ่คุณไม่ควรวางใจในการทำงานร่วมกันอย่างสมบูรณ์ แต่สิ่งสำคัญคือต้องมีการโต้ตอบระหว่างรุ่นที่แตกต่างกันและรุ่นที่แตกต่างกันของผู้ผลิตรายเดียวกัน

ความเชื่อถือได้

หากต้องการเปรียบเทียบโซลูชันต่างๆ คุณสามารถใช้เวลาเฉลี่ยระหว่างความล้มเหลวหรือปัจจัยความพร้อมใช้งานได้ หากไม่มีตัวเลขเหล่านี้ (หรือไม่น่าเชื่อถือ) ก็สามารถทำการเปรียบเทียบเชิงคุณภาพได้ อุปกรณ์ที่มีการจัดการที่สะดวกจะมีข้อได้เปรียบ (ความเสี่ยงน้อยกว่าของข้อผิดพลาดในการกำหนดค่า) ตัวเข้ารหัสพิเศษ (ด้วยเหตุผลเดียวกัน) รวมถึงโซลูชันที่มีเวลาน้อยที่สุดในการตรวจจับและกำจัดความล้มเหลว รวมถึงวิธีการสำรองข้อมูลแบบ "ร้อน" ของโหนดทั้งหมดและ อุปกรณ์

ค่าใช้จ่ายของ

เมื่อพูดถึงเรื่องต้นทุน เช่นเดียวกับโซลูชันไอทีส่วนใหญ่ การเปรียบเทียบราคาต้นทุนรวมในการเป็นเจ้าของก็สมเหตุสมผล ในการคำนวณ คุณไม่จำเป็นต้องประดิษฐ์วงล้อขึ้นมาใหม่ แต่ใช้วิธีการที่เหมาะสม (เช่น จาก Gartner) และเครื่องคิดเลขใดๆ (เช่น วิธีที่ใช้ในองค์กรอยู่แล้วในการคำนวณ TCO) เห็นได้ชัดว่าสำหรับโซลูชันการเข้ารหัสเครือข่าย ต้นทุนรวมในการเป็นเจ้าของประกอบด้วย โดยตรง ค่าใช้จ่ายในการซื้อหรือเช่าโซลูชัน โครงสร้างพื้นฐานสำหรับการโฮสต์อุปกรณ์ และค่าใช้จ่ายในการปรับใช้ การดูแลระบบ และการบำรุงรักษา (ไม่ว่าจะเป็นภายในหรือในรูปแบบของบริการของบุคคลที่สาม) ตลอดจน ทางอ้อม ต้นทุนจากการหยุดทำงานของโซลูชัน (เกิดจากการสูญเสียประสิทธิภาพการทำงานของผู้ใช้ปลายทาง) อาจมีความละเอียดอ่อนเพียงอย่างเดียวเท่านั้น ผลกระทบต่อประสิทธิภาพของโซลูชันสามารถพิจารณาได้หลายวิธี: ไม่ว่าจะเป็นต้นทุนทางอ้อมที่เกิดจากการสูญเสียประสิทธิภาพการทำงาน หรือเป็นต้นทุนโดยตรง “เสมือน” ในการจัดซื้อ/อัปเกรดและบำรุงรักษาเครื่องมือเครือข่ายที่ชดเชยการสูญเสียประสิทธิภาพของเครือข่ายอันเนื่องมาจากการใช้ การเข้ารหัส ไม่ว่าในกรณีใด ค่าใช้จ่ายที่ยากต่อการคำนวณด้วยความแม่นยำเพียงพอควรละเว้นจากการคำนวณ วิธีนี้จะทำให้มีความมั่นใจในมูลค่าสุดท้ายมากขึ้น และตามปกติ ไม่ว่าในกรณีใดก็ตาม การเปรียบเทียบอุปกรณ์ต่างๆ ตาม TCO สำหรับสถานการณ์การใช้งานเฉพาะ - จริงหรือทั่วไป

ความทนทาน

และลักษณะสุดท้ายคือการคงอยู่ของการแก้ปัญหา ในกรณีส่วนใหญ่ ความทนทานสามารถประเมินได้ในเชิงคุณภาพโดยการเปรียบเทียบโซลูชันต่างๆ เท่านั้น เราต้องจำไว้ว่าอุปกรณ์เข้ารหัสไม่ได้เป็นเพียงวิธีการเท่านั้น แต่ยังเป็นเป้าหมายในการป้องกันด้วย พวกเขาอาจเผชิญกับภัยคุกคามต่างๆ ภัยคุกคามต่อการละเมิดการรักษาความลับ การทำซ้ำ และการแก้ไขข้อความอยู่ในแนวหน้า ภัยคุกคามเหล่านี้สามารถรับรู้ได้ผ่านช่องโหว่ของการเข้ารหัสหรือแต่ละโหมด ผ่านช่องโหว่ในโปรโตคอลการเข้ารหัส (รวมถึงในขั้นตอนของการสร้างการเชื่อมต่อและสร้าง/กระจายคีย์) ข้อได้เปรียบคือโซลูชันที่อนุญาตให้เปลี่ยนอัลกอริธึมการเข้ารหัสหรือเปลี่ยนโหมดการเข้ารหัส (อย่างน้อยก็ผ่านการอัพเดตเฟิร์มแวร์) โซลูชันที่ให้การเข้ารหัสที่สมบูรณ์ที่สุด ซ่อนตัวจากผู้โจมตีไม่เพียงแต่ข้อมูลผู้ใช้ แต่ยังรวมถึงที่อยู่และข้อมูลบริการอื่น ๆ รวมถึงโซลูชันด้านเทคนิคที่ไม่เพียงแต่เข้ารหัสเท่านั้น แต่ยังปกป้องข้อความจากการทำซ้ำและแก้ไขอีกด้วย สำหรับอัลกอริธึมการเข้ารหัสที่ทันสมัย ​​ลายเซ็นอิเล็กทรอนิกส์ การสร้างคีย์ ฯลฯ ซึ่งประดิษฐานอยู่ในมาตรฐาน ความเข้มแข็งสามารถสันนิษฐานได้ว่าจะเหมือนกัน (ไม่เช่นนั้นคุณอาจหลงทางในโลกแห่งการเข้ารหัส) สิ่งเหล่านี้ควรเป็นอัลกอริธึม GOST หรือไม่ ทุกอย่างง่ายดายที่นี่: หากสถานการณ์ของแอปพลิเคชันต้องการการรับรอง FSB สำหรับ CIPF (และในรัสเซียมักเป็นเช่นนั้น สำหรับสถานการณ์การเข้ารหัสเครือข่ายส่วนใหญ่นี่จะเป็นเรื่องจริง) เราจะเลือกระหว่างรายการที่ได้รับการรับรองเท่านั้น ถ้าไม่เช่นนั้นก็ไม่มีประโยชน์ที่จะยกเว้นอุปกรณ์ที่ไม่มีใบรับรองมาพิจารณา

ภัยคุกคามอีกประการหนึ่งคือการคุกคามของการแฮ็ก การเข้าถึงอุปกรณ์โดยไม่ได้รับอนุญาต (รวมถึงผ่านการเข้าถึงทางกายภาพภายนอกและภายในเคส) ภัยคุกคามสามารถดำเนินการผ่าน
ช่องโหว่ในการใช้งาน - ในฮาร์ดแวร์และโค้ด ดังนั้น โซลูชันที่มี "พื้นผิวการโจมตี" น้อยที่สุดผ่านเครือข่าย โดยมีกล่องหุ้มที่ป้องกันจากการเข้าถึงทางกายภาพ (พร้อมเซ็นเซอร์การบุกรุก การป้องกันการตรวจสอบ และการรีเซ็ตข้อมูลสำคัญโดยอัตโนมัติเมื่อเปิดกล่องหุ้ม) รวมถึงโซลูชันที่อนุญาตให้อัปเดตเฟิร์มแวร์จะมี ข้อได้เปรียบในกรณีที่ทราบช่องโหว่ในโค้ด มีวิธีอื่น: หากอุปกรณ์ทั้งหมดที่ถูกเปรียบเทียบมีใบรับรอง FSB คลาส CIPF ที่ออกใบรับรองก็ถือได้ว่าเป็นตัวบ่งชี้ความต้านทานต่อการแฮ็ก

สุดท้ายนี้ ภัยคุกคามอีกประเภทหนึ่งก็คือข้อผิดพลาดระหว่างการตั้งค่าและการปฏิบัติงาน ซึ่งเป็นปัจจัยของมนุษย์ในรูปแบบที่บริสุทธิ์ที่สุด นี่แสดงให้เห็นถึงข้อดีอีกประการหนึ่งของการเข้ารหัสเฉพาะทางเหนือโซลูชันแบบหลอมรวม ซึ่งมักมุ่งเป้าไปที่ "ผู้เชี่ยวชาญด้านเครือข่าย" ที่ช่ำชอง และอาจทำให้เกิดปัญหาสำหรับผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลทั่วไป "ทั่วไป"

สรุปได้

โดยหลักการแล้ว ที่นี่เป็นไปได้ที่จะเสนอตัวบ่งชี้ที่สำคัญสำหรับการเปรียบเทียบอุปกรณ์ต่างๆ เช่น

$$display$$K_j=∑p_i r_{ij}$$display$$

โดยที่ p คือน้ำหนักของตัวบ่งชี้ และ r คืออันดับของอุปกรณ์ตามตัวบ่งชี้นี้ และคุณสมบัติใด ๆ ที่ระบุไว้ข้างต้นสามารถแบ่งออกเป็นตัวบ่งชี้ "อะตอมมิก" สูตรดังกล่าวอาจมีประโยชน์ เช่น เมื่อเปรียบเทียบข้อเสนอประกวดราคาตามกฎที่ตกลงไว้ล่วงหน้า แต่คุณสามารถผ่านไปได้ด้วยโต๊ะธรรมดาๆอย่าง

การอธิบายลักษณะ
อุปกรณ์ 1
อุปกรณ์ 2
...
อุปกรณ์เอ็น

แบนด์วิดท์
+
+

+ + +

ค่าโสหุ้ย
+
++

+ + +

ความล่าช้า
+
+

++

ความสามารถในการปรับขนาด
+ + +
+

+ + +

มีความยืดหยุ่น
+ + +
++

+

การทำงานร่วมกัน
++
+

+

ความเข้ากันได้
++
++

+ + +

เรียบง่ายและสะดวกสบาย
+
+

++

ความอดทนต่อความผิดพลาด
+ + +
+ + +

++

ค่าใช้จ่ายของ
++
+ + +

+

ความทนทาน
++
++

+ + +

ฉันยินดีที่จะตอบคำถามและวิจารณ์อย่างสร้างสรรค์

ที่มา: will.com