Як оцінювати та порівнювати пристрої шифрування для мереж Ethernet

Цей огляд (або, якщо хочете, посібник для порівняння) я написав, коли мені доручили порівняти між собою кілька пристроїв різних вендорів. До того ж, ці пристрої належали до різних класів. Довелося розбиратися в архітектурі та характеристиках всіх цих пристроїв і складати систему координат для порівняння. Я буду радий, якщо мій огляд допоможе комусь:

• Розібратися в описах та специфікаціях пристроїв шифрування
• Відрізнити «паперові» характеристики від справді важливих у реальному житті
• Вийти за рамки звичного набору вендорів та включити до розгляду будь-які продукти, які підходять для вирішення поставленого завдання
• Поставити правильні питання на переговорах
• Скласти тендерні вимоги (RFP)
• Зрозуміти, якими характеристиками доведеться пожертвувати, якщо буде обрано якусь модель пристрою

Що можна оцінювати

У принципі підхід застосовується до будь-яких автономних (standalone) пристроїв, придатних для шифрування мережного трафіку між віддаленими сегментами Ethernet (міжсайтового шифрування). Тобто «ящиків» в окремому корпусі (ну добре, блейди/модулі для шасі теж увімкнемо сюди), які підключаються через один або кілька портів Ethernet до локальної (кампусної) мережі Ethernet з незашифрованим трафіком, а через інший порт (порти) – до каналу/мережі, якою вже зашифрований трафік передається в інші, віддалені сегменти. Таке рішення для шифрування можна розгорнути в приватній або операторській мережі через різні види «транспорту» («темне» оптоволокно, апаратуру частотного поділу, мережу Ethernet, що комутується, а також «псевдопроводи», прокладені через мережу з іншою архітектурою маршрутизації, найчастіше MPLS), за допомогою технології VPN або без неї.

Мережеве шифрування в мережі Ethernet

Самі ж пристрої можуть бути або спеціалізованими (призначеними виключно для шифрування), або багатофункціональними (гібридними, конвергентними), тобто виконують ще інші функції (наприклад, міжмережевого екрана чи маршрутизатора). Різні вендори відносять свої пристрої до різних класів/категорій, але це неважливо - важливо лише те, чи вміють вони шифрувати міжсайтовий трафік, і які характеристики при цьому мають.

Про всяк випадок нагадую, що мережне шифрування, шифрування трафіку, шифратор - терміни неформальні, хоча і використовуються часто. У російських нормативно-правових актах (включно з тими, якими вводяться ГОСТи) ви їх швидше за все не зустрінете.

Рівні шифрування та режими передачі

Перш ніж приступити до опису самих характеристик, які будуть використовуватися для оцінки, доведеться спочатку розібратися з однією важливою річчю, а саме «рівнем шифрування». Я звернув увагу, що він часто згадується як у офіційних документах вендорів (в описах, посібниках тощо), так і в неформальних обговореннях (на переговорах, на тренінгах). Тобто всі начебто всі добре знають, про що йдеться, але особисто був свідком певної плутанини.

Отже, що таке «рівень шифрування»? Зрозуміло, що йдеться про номер рівня еталонної мережевої моделі OSI/ISO, у якому відбувається шифрування. Читаємо ДСТУ ISO 7498-2-99 «Інформаційна технологія. Взаємозв'язок відкритих систем. Базова стандартна модель. Частина 2. Архітектура захисту». З цього документа можна зрозуміти, що рівень послуги конфіденційності (одним із механізмів забезпечення якої є шифрування) – це рівень протоколу, сервісний блок даних («корисне навантаження», дані користувача) якого шифрується. Як ще написано в стандарті, послуга може забезпечуватись як на цьому ж рівні, «своїми силами», так і за допомогою нижнього рівня (саме так, наприклад, це найчастіше реалізовано в MACsec).

Насправді ж можливі два режими передачі зашифрованої інформації через мережу (на думку відразу спадає IPsec, але ці режими зустрічаються й інших протоколах). У транспортному (іноді його ще називають native) режимі шифрується тільки сервісний блок даних, а заголовки залишаються «відкритими», незашифрованими (іноді додаються додаткові поля зі службовою інформацією алгоритму шифрування, інші поля модифікуються, перераховуються). У тунельному ж режимі весь протокольний блок даних (тобто сам пакет) шифрується та інкапсулюється в сервісний блок даних того ж чи вищого рівня, тобто він обрамляється новими заголовками.

Сам собою рівень шифрування разом із якимось режимом передачі ні хороший, ні поганий, отже не можна сказати, наприклад, що L3 в транспортному режимі краще, ніж L2 в тунельном. Просто від них залежить багато характеристик, за якими і оцінюються пристрої. Наприклад, гнучкість та сумісність. Для роботи в мережі L1 (ретрансляція бітового потоку), L2 (комутація кадрів) та L3 (маршрутизація пакетів) у транспортному режимі потрібні рішення, що шифрують на такому ж або вищому рівні (інакше буде зашифрована адресна інформація, і дані не потраплять за призначенням) , а тунельний режим дозволяє подолати це обмеження (щоправда, жертвуючи іншими важливими характеристиками).

Транспортний та тунельний режими шифрування L2

А тепер перейдемо до аналізу характеристик.

Продуктивність

Для мережного шифрування продуктивність – поняття комплексне, багатовимірне. Буває так, що певна модель, перевершуючи в одній характеристиці продуктивності, поступається іншою. Тому завжди корисно розглядати всі складові продуктивності шифрування та їх вплив на продуктивність мережі та додатків, що її використовують. Тут можна провести аналогію з автомобілем, для якого важлива не лише максимальна швидкість, а й час розгону до «сотні», витрата палива тощо. Характеристикам продуктивності компанії-вендори та їх потенційні замовники приділяють велику увагу. Як правило, саме за продуктивністю йде ранжування в лінійках вендорів пристроїв шифрування.

Зрозуміло, що продуктивність залежить як від складності мережевих та криптографічних операцій, що виконуються на пристрої (у тому числі від того, наскільки добре ці завдання піддаються розпаралелювання та конвеєризації), так і від продуктивності обладнання та якості вбудованого ПЗ. Тому в старших моделях застосовується більш продуктивне залізо, іноді є можливість дооснастити його додатковими процесорами і модулями пам'яті. Є кілька підходів до реалізації криптографічних функцій: на універсальному центральному процесорі (CPU), спеціалізованій замовній інтегральній схемі (ASIC) або на програмованій логічній інтегральній схемі (FPGA). Кожен підхід має свої плюси та мінуси. Наприклад, CPU може стати "пляшковим шийкою" шифрування, особливо якщо в процесорі немає спеціалізованих інструкцій для підтримки алгоритму шифрування (або якщо вони не використовуються). Спеціалізованим мікросхемам бракує гнучкості, «перепрошити» їх для підвищення продуктивності, додавання нових функцій чи усунення вразливості можна не завжди. Крім того, рентабельним їх використання стає лише за більших обсягів випуску. Ось чому так популярною стала "золота середина" - застосування FPGA (російською ПЛІС). Саме на ПЛІС зроблені так звані криптоприскорювачі – вбудовані або спеціалізовані апаратні модулі підтримки криптографічних операцій, що підключаються.

Оскільки йдеться саме про мережевому шифруванні, то логічно, що продуктивність рішень потрібно вимірювати в тих же величинах, що й для інших мережевих пристроїв - пропускну здатність, відсоток втрати кадрів (frame loss) і затримку (latency). Ці величини визначені в RFC 1242. До речі, про згадувану варіацію затримки (jitter) в цьому RFC нічого не написано. Як виміряти ці величини? Затвердженої у будь-яких стандартах (офіційних чи неофіційних типу RFC) спеціально для мережного шифрування методики не знайшов. Логічно було б використовувати методику для мережевих пристроїв, закріплену в стандарті RFC 2544. Багато вендоров їй і слідують - багато, але не всі. Наприклад, подають тестовий трафік лише в одному напрямку замість обох, як рекомендовано стандартом. Ну та гаразд.

Вимірювання продуктивності пристроїв мережного шифрування все ж таки має свої особливості. По-перше, коректно проводити всі вимірювання для пари пристроїв: хоч алгоритми шифрування та симетричні, затримки та втрати пакетів при шифруванні та розшифровці не обов'язково дорівнюватимуть. По-друге, має сенс вимірювати саме дельту, вплив мережного шифрування на підсумкову продуктивність мережі, порівнюючи між собою дві конфігурації: без пристроїв шифрування та з ними. Або ж, як у випадку з гібридними пристроями, що поєднують у собі кілька функцій на додаток до мережного шифрування, при вимкненому і при включеному шифруванні. Цей вплив може бути різним і залежати від схеми підключення пристроїв шифрування, від режимів роботи, нарешті, від характеру трафіку. Зокрема, багато параметрів продуктивності залежать від довжини пакетів, тому для порівняння продуктивності різних рішень часто використовують графіки залежності цих параметрів від довжини пакетів, або використовують IMIX – розподіл трафіку по довжинах пакетів, який приблизно відображає реальний. Якщо ми беремо для порівняння одну й ту саму базову конфігурацію без шифрування, то зможемо порівнювати рішення для мережевого шифрування, реалізовані по-різному, не вдаючись до цих відмінностей: L2 з L3, «збережи-і-передай» (store-and-forward ) зі наскрізним (cut-through), спеціалізовані з конвергентними, ГОСТ з AES тощо.

Схема підключення для тестування продуктивності

Перша характеристика, яку звертають увагу – це «швидкість» пристрою шифрування, тобто смуга пропуску (Bandwidth) його мережевих інтерфейсів, швидкість потоку бітів. Вона визначається мережевими стандартами, що підтримуються інтерфейсами. Для Ethernet звичайні цифри – 1 Гбіт/с та 10 Гбіт/с. Але, як ми знаємо, у будь-якій мережі максимальна теоретична пропускна спроможність (throughput) на кожному з її рівнів завжди менше смуги пропускання: частина смуги «з'їдається» міжкадровими інтервалами, службовими заголовками і таке інше. Якщо пристрій здатний прийняти, обробити (у нашому випадку зашифрувати або розшифрувати) і передати трафік на повній швидкості мережного інтерфейсу, тобто з максимальної для цього рівня мережної моделі теоретичної пропускної здатності, то кажуть, що він працює на швидкості лінії. Для цього потрібно, щоб пристрій не втрачав, не відкидав пакети при будь-якому їх розмірі та будь-якій частоті їхнього прямування. Якщо пристрій шифрування не підтримує роботу на швидкості лінії, то зазвичай вказують його максимальну пропускну здатність у тих же гігабітах на секунду (іноді із зазначенням довжини пакетів – чим коротші пакети, тим зазвичай нижча пропускна здатність). Дуже важливо розуміти, що максимальна пропускна здатність – це максимальна без втрат (навіть якщо пристрій може «прокачувати» через себе трафік на більшій швидкості, але втрачаючи при цьому частину пакетів). Крім того, потрібно звертати увагу на те, що деякі вендори вимірюють сумарну пропускну спроможність між усіма парами портів, тому ці цифри мало про що говорять, якщо весь шифрований трафік йде через єдиний порт.

Де особливо важливою є робота на швидкості лінії (або, інакше, без втрати пакетів)? У каналах з високою пропускною здатністю і великими затримками (наприклад, супутниковими), де підтримки високої швидкості передачі доводиться виставляти великий розмір вікна TCP, і втрати пакетів різко знижують продуктивність мережі.

Але не вся пропускна здатність використовується передачі корисних даних. Доводиться зважати на так звані накладними витратами (overhead) пропускну здатність. Це частина пропускної здатності пристрою шифрування (у відсотках або байтах на пакет), яка фактично втрачається (не може бути використана для передачі даних додатків). Накладні витрати виникають, по-перше, через збільшення розміру (доповнення, набивання) поля даних у зашифрованих мережевих пакетах (залежить від алгоритму шифрування та режиму його роботи). По-друге, через збільшення довжини заголовків пакетів (тунельний режим, службова вставка протоколу шифрування, імітівставка тощо залежно від протоколу та режиму робота шифру та режиму передачі) – зазвичай саме ці накладні витрати найбільш суттєві, і на них звертають увагу насамперед. По-третє, через фрагментацію пакетів при перевищенні максимального розміру блоку даних (MTU) (якщо мережа вміє розбивати пакет з перевищенням MTU на два, дублюючи його заголовки). По-четверте, через появу в мережі додаткового службового (контрольного) трафіку між пристроями шифрування (для обміну ключами, встановлення тунелів тощо). Низькі накладні витрати є важливими там, де пропускна здатність каналу обмежена. Особливо це проявляється на трафіку з маленьких пакетів, наприклад, голосовому – там накладні витрати можуть з'їсти більше половини швидкості каналу!

Пропускна здатність

Зрештою, є ще затримка, що вноситься – різниця (у частках секунди) у затримці мережі (часу проходження даних від входу до мережі до виходу з неї) між передачею даних без мережного шифрування та з ним. Взагалі кажучи, що менше затримка («латентність») мережі, то критичнішою стає затримка, що вноситься пристроями шифрування. Затримку вносять як операція шифрування (залежить від алгоритму шифрування, довжини блоку та режиму роботи шифру, а також від якості її реалізації в ПЗ), так і обробка мережного пакета в пристрої. Затримка, що вноситься, залежить як від режиму обробки пакетів (наскрізний або «збережи-і-передай»), так і від продуктивності платформи («апаратна» реалізація на FPGA або ASIC, як правило, швидше, ніж «програмна» на CPU). Шифрування L2 майже завжди відрізняється меншою затримкою, що вноситься в порівнянні з шифруванням на L3 або L4: позначається те, що пристрої, що шифрують на L3/L4, часто виконуються конвергентними. Наприклад, у високошвидкісних шифраторів Ethernet, реалізованих на FPGA і шифруючих на L2, затримка через операцію шифрування зникаюче мала - іноді при включенні шифрування на парі пристроїв сумарна затримка, що вноситься ними, навіть зменшується! Мала затримка важлива там, де вона можна порівняти з сумарними затримками в каналі, включаючи затримку поширення сигналу, яка дорівнює приблизно 5 мкс на кілометр. Тобто можна сказати, що для мереж міського масштабу (десятки кілометрів у поперечнику) мікросекунди можуть багато вирішувати. Наприклад, для синхронної реплікації баз даних, високочастотного трейдингу того ж блокчейна.

Затримка, що вноситься

масштабованість

Великі розподілені мережі можуть включати багато тисяч вузлів і мережевих пристроїв, сотні сегментів локальних мереж. Важливо, щоб рішення для шифрування не накладали додаткових обмежень на розмір і топологію розподіленої мережі. Це стосується насамперед максимальної кількості адрес вузлів та мереж. З такими обмеженнями можна зіткнутися, наприклад, при реалізації багатоточкової топології захищеної шифруванням мережі (з незалежними захищеними з'єднаннями або тунелями) або вибіркового шифрування (наприклад, за номером протоколу або VLAN). Якщо при цьому мережні адреси (MAC, IP, VLAN ID) використовуються як ключі в таблиці, кількість рядків в якій обмежена, то тут і виявляються ці обмеження.

З іншого боку, великі мережі часто мають кілька структурних рівнів, включаючи опорну мережу, кожному з яких реалізуються своя схема адресації і політика маршрутизації. Для реалізації такого підходу часто використовуються спеціальні формати кадрів (типу Q-in-Q або MAC-in-MAC) та протоколи визначення маршрутів. Щоб не перешкоджати побудові таких мереж, пристрої шифрування повинні коректно поводитися з такими кадрами (тобто в цьому сенсі масштабованість означатиме сумісність – про неї нижче).

Гнучкість

Тут йдеться про підтримку різних конфігурацій, схем підключення, топологій та іншого. Наприклад, для комутованих мереж на базі технологій Carrier Ethernet це означає підтримку різних типів віртуальних з'єднань (E-Line, E-LAN, E-Tree), різних типів сервісу (як портами, так і VLAN) і різних транспортних технологій (вони вже перераховувалися вище). Тобто пристрій має вміти працювати як у лінійному («точка-точка»), так і багатоточковому режимі, встановлювати окремі тунелі для різних VLAN, допускати невпорядковану доставку пакетів усередині захищеного каналу. Можливість вибору різних режимів роботи шифру (у тому числі з автентифікацією вмісту або без) та різних режимів передачі пакетів дозволяє забезпечити баланс між стійкістю та продуктивністю залежно від поточних умов.

Також важливою є підтримка і приватних мереж, обладнання яких належить одній організації (або орендується їй), і операторських, різні сегменти яких знаходяться у віданні різних компаній. Добре, якщо рішення допускає управління як власними силами, і сторонньою організацією (за моделлю керованого сервісу). В операторських мережах важливою є ще одна функція – підтримка мультитенантності (спільного використання різними замовниками) у вигляді криптографічної ізоляції окремих замовників (абонентів), чий трафік проходить через той самий набір пристроїв шифрування. Як правило, це вимагає використання окремих наборів ключів та сертифікатів для кожного замовника.

Якщо пристрій купується для якогось конкретного сценарію, то всі ці можливості можуть і не бути надто важливими – потрібно лише переконатися, що пристрій підтримує те, що потрібно зараз. Але якщо рішення купується «на виріст», для підтримки навіть майбутніх сценаріїв, і вибирається як «корпоративний стандарт», то гнучкість зайвої не буде – особливо з урахуванням обмежень по інтероперабельності пристроїв різних вендорів (про це трохи нижче).

Простота і зручність

Зручність обслуговування – це також багатофакторне поняття. Приблизно можна сказати, що це сумарні витрати часу фахівців певної кваліфікації, необхідні підтримки рішення різних етапах його життєвого циклу. Якщо витрат немає, і встановлення, налаштування, експлуатація повністю автоматичні, то нульові витрати, а зручність абсолютна. Звісно, ​​у реальному світі такого не буває. Розумне наближення – це модель «вузол на дроті» (bump-in-the-wire), або прозоре підключення, при якому додавання та вимкнення пристроїв шифрування не вимагає внесення ні ручних, ні автоматичних змін до конфігурації мережі. При цьому спрощується супровід рішення: можна спокійно вмикати-вимикати функцію шифрування, а при необхідності просто «обійти» пристрій мережним кабелем (тобто з'єднати ті порти мережевого обладнання, до яких воно було підключене). Щоправда, є й один мінус – те саме може зробити і зловмисник. Для реалізації принципу "вузол на дроті" необхідно взяти до уваги трафік не тільки шару даних, Але й шарів контролю та управління – пристрої мають бути прозорі для них. Тому такий трафік можна шифрувати лише тоді, коли в мережі між пристроями шифрування немає одержувачів трафіку цих видів, оскільки якщо його відкидати або шифрувати, то при включенні-вимкненні шифрування може змінитися конфігурація мережі. Пристрій шифрування може бути прозорим і для сигналізації фізично. Зокрема, при втраті сигналу воно має передавати цю втрату (тобто відключати свої передавачі) назад та вперед («за себе») у напрямку сигналу.

Також важлива підтримка у розподілі повноважень між відділами ІБ та ІТ, зокрема, мережевим відділом. Рішення для шифрування має підтримувати прийняту в організації модель керування доступом та аудиту. Повинна бути зведена до мінімуму необхідність взаємодії між різними відділами для виконання рутинних операцій. Тому перевага з точки зору зручності спеціалізованих пристроїв, що підтримують виключно функції шифрування і максимально прозорих для мережевих операцій. Простіше кажучи, співробітники служби ІБ не повинні мати приводу звертатися до «мережників» для зміни налаштувань мережі. А у тих, у свою чергу, не повинно бути необхідності змінювати налаштування шифрування під час обслуговування мережі.

Ще один фактор – це можливості та зручність засобів управління. Вони мають бути наочними, логічними, забезпечувати імпорт-експорт налаштувань, автоматизацію тощо. Відразу слід звернути увагу, які варіанти управління доступні (зазвичай це власне середовище управління, веб-інтерфейс і командний рядок) і з яким набором функцій у кожному їх (зустрічаються обмеження). Важлива функція – підтримка позасмугового (out-of-band) управління, тобто через виділену мережу управління, та внутрішньосмугового (in-band) управління, тобто через загальну мережу, якою передається корисний трафік. Засоби управління повинні сигналізувати про всі нештатні ситуації, у тому числі інциденти ІБ. Рутинні операції, що повторюються, повинні виконуватися автоматично. Насамперед це стосується управління ключами. Вони повинні вироблятися/розподілятися автоматично. Підтримка PKI – великий плюс.

Сумісність

Тобто сумісність пристрою із мережевими стандартами. Причому маю на увазі як індустріальні стандарти, прийняті авторитетними організаціями типу IEEE, а й фірмові протоколи лідерів галузі, таких, наприклад, як Cisco. Є два принципові способи забезпечення сумісності: або через прозорість, або через явну підтримку протоколів (коли пристрій шифрування стає для якогось протоколу одним із вузлів мережі та обробляє контрольний трафік цього протоколу). Від повноти та коректності реалізації контрольних протоколів залежить сумісність із мережами. Важлива підтримка різних варіантів рівня PHY (швидкості, середовища передачі, схеми кодування), кадрів Ethernet різних форматів з будь-яким MTU, різних службових протоколів L3 (насамперед сімейства TCP/IP).

Прозорість забезпечується за допомогою механізмів мутації (тимчасової зміни вмісту відкритих заголовків у трафіку між шифраторами), пропуску (коли окремі пакети залишаються незашифрованими) і відступу початку шифрування (коли зазвичай шифруються поля пакетів не шифруються).

Як забезпечується прозорість

Тому завжди уточнюйте, як забезпечується підтримка того чи іншого протоколу. Часто підтримка у прозорому режимі зручніша та надійніша.

інтероперабельність

Це теж сумісність, але в іншому сенсі, зокрема можливість спільної роботи з іншими моделями пристроїв шифрування, в тому числі інших виробників. Тут залежить від стану стандартизації протоколів шифрування. На L1 загальновизнаних стандартів шифрування немає.

Для шифрування L2 в мережах Ethernet є стандарт 802.1ae (MACsec), але він не використовує наскрізне (end-to-end), а міжпортове, «Позвен» (hop-by-hop) шифрування, і в своїй початковій редакції непридатний для використання в розподілених мережах, тому з'явилися його фірмові розширення, які долають це обмеження (зрозуміло, за рахунок інтероперабельності з обладнанням інших виробників). Щоправда, у 2018 році до стандарту 802.1ae було додано підтримку розподілених мереж, але підтримки наборів алгоритмів шифрування ГОСТ, як і раніше, немає. Тому фірмові, нестандартні протоколи шифрування L2, як правило, відрізняються більшою ефективністю (зокрема, меншими накладними витратами смуги пропускання) та гнучкістю (можливістю зміни алгоритмів та режимів шифрування).

На вищих рівнях (L3 і L4) є визнані стандарти, перш за все IPsec і TLS, то й тут не так просто. Річ у тім, кожен із цих стандартів – це набір протоколів, кожен із яких із різними версіями і обов'язковими чи необов'язковими реалізації розширеннями. Крім того, деякі виробника воліють застосовувати свої фірмові протоколи шифрування і на L3/L4. Тому в більшості випадків на повну інтероперабельність не варто розраховувати, але важливо, щоб забезпечувалася хоча б взаємодія між різними моделями і різними поколіннями одного виробника.

Надійність

Для порівняння різних рішень можна використовувати або середній час напрацювання на відмову або коефіцієнт готовності. Якщо цих цифр немає (або до них немає довіри), можна здійснити якісне порівняння. Перевага буде у пристроїв із зручним керуванням (менше ризик помилок у налаштуванні), у спеціалізованих шифраторів (з цієї ж причини), а також у рішень з мінімальним часом виявлення та усунення відмови, у тому числі засобами «гарячого» резервування вузлів та пристроїв цілком.

Вартість

Щодо вартості, то, як і для більшості ІТ-рішень, доцільно порівнювати сукупну вартість володіння. Для її розрахунку можна не винаходити велосипед, а використовувати будь-яку відповідну методику (наприклад, Gartner) і будь-який калькулятор (наприклад, той, що вже використовуються в організації для розрахунку TCO). Зрозуміло, що для вирішення мережного шифрування сукупна вартість володіння складається з прямих витрат на купівлю або оренду самого рішення, на інфраструктуру для розміщення обладнання та витрат на розгортання, адміністрування та супровід (неважливо, самотужки або у вигляді послуг сторонньої організації), а також непрямих витрат від простою рішення (викликаних втратою продуктивності кінцевих користувачів). Напевно, є лише одна тонкість. Вплив продуктивності рішення можна врахувати по-різному: або як опосередковані витрати, викликані падінням продуктивності, або як «віртуальні» прямі витрати на купівлю/модернізацію та обслуговування мережевих засобів, що компенсують падіння продуктивності мережі через застосування шифрування. У будь-якому випадку витрати, які складно розрахувати з достатньою точністю, краще «винести за дужки» розрахунку: так буде більше довіри до підсумкової величини. І, як завжди, у будь-якому випадку порівняння різних пристроїв по TCO має сенс робити для конкретного сценарію їх використання – реального чи типового.

стійкість

І остання характеристика – це стійкість розв'язання. Найчастіше стійкість можна оцінити лише якісно, ​​порівнюючи між собою різні рішення. Ми повинні пам'ятати, що пристрої шифрування є не тільки засіб, але й об'єкт захисту. Вони можуть бути схильні до різних загроз. На першому плані загрози порушення конфіденційності, відтворення та модифікації повідомлень. Ці загрози можуть реалізовуватися через вразливість шифру або окремих його режимів, через вразливість протоколів шифрування (у тому числі на етапах встановлення з'єднання та вироблення/розподілу ключів). Перевага буде у рішень, які допускають зміну алгоритму шифрування або перемикання режиму шифру (хоча б через оновлення вбудованого ПЗ), у рішень, що забезпечують максимально повне шифрування, що приховують від зловмисника не тільки дані користувача, а й адресну та іншу службову інформацію, а також тих рішень, які не лише шифрують, а й захищають повідомлення від відтворення та модифікації. Для всіх сучасних алгоритмів шифрування, електронного підпису, вироблення ключів та іншого, які закріплені в стандартах, стійкість можна прийняти однаковою (інакше можна просто заблукати в нетрях криптографії). Чи це обов'язково повинні бути алгоритми ГОСТ? Тут все просто: якщо сценарій застосування вимагає сертифікації ФСБ для СКЗІ (а в Росії це найчастіше так) для більшості сценаріїв мережевого шифрування це так), вибираємо тільки між сертифікованими. Якщо ні – то немає сенсу виключати пристрої без сертифікатів з розгляду.

Інша загроза – це загроза злому, несанкціонованого доступу до пристроїв (у тому числі через фізичний доступ зовні та всередині корпусу). Загроза може здійснитися через
вразливості у реалізації – в апаратних засобах та у коді. Тому перевага буде у рішень з мінімальною «поверхнею для атаки» через мережу, із захищеними від фізичного доступу корпусами (з датчиками розтину, із захистом від зондування та автоматичним скиданням ключової інформації при розтині корпусу), а також у тих, що допускають оновлення вбудованого ПЗ у разі коли стає відома вразливість у коді. Є ще один шлях: якщо всі пристрої, що порівнюються, має сертифікати ФСБ, то показником стійкості до злому можна вважати клас СКЗІ, за яким виданий сертифікат.

Зрештою, ще один тип загроз – це помилки при налаштуванні та експлуатації, людський фактор у чистому вигляді. Тут проявляється ще одна перевага спеціалізованих шифраторів перед конвергентними рішеннями, які часто орієнтовані на запеклих "мережників", і можуть викликати труднощі у "звичайних", широкопрофільних фахівців ІБ.

Підводимо підсумок

У принципі, тут можна було б запропонувати якийсь інтегральний показник для порівняння різних пристроїв, щось на зразок

$$display$$K_j=∑p_i r_{ij}$$display$$

де p - вага показника, а r - ранг пристрою за цим показником, причому будь-яку з перерахованих вище характеристик можна розбити на "атомарні" показники. Така формула могла б стати в нагоді, наприклад, при порівнянні тендерних пропозицій за заздалегідь узгодженими правилами. Але можна обійтися і простою таблицею типу

Характеристика
Пристрій 1
Пристрій 2
...
Пристрій N

Пропускна здатність
+
+

+ + +

Накладні витрати
+
++

+ + +

затримка
+
+

++

масштабованість
+ + +
+

+ + +

Гнучкість
+ + +
++

+

інтероперабельність
++
+

+

Сумісність
++
++

+ + +

Простота і зручність
+
+

++

Відмовостійкість
+ + +
+ + +

++

Вартість
++
+ + +

+

стійкість
++
++

+ + +

Радий відповісти на запитання та конструктивні критичні зауваження.

Джерело: habr.com