ProHoster > Blog > Ma'muriyat > Ethernet shifrlash qurilmalarini qanday baholash va solishtirish

Ethernet shifrlash qurilmalarini qanday baholash va solishtirish

Men ushbu sharhni (yoki agar xohlasangiz, taqqoslash bo'yicha qo'llanma) turli sotuvchilardan bir nechta qurilmalarni solishtirish topshirig'ini olganimda yozdim. Bundan tashqari, ushbu qurilmalar turli sinflarga tegishli edi. Men ushbu qurilmalarning arxitekturasi va xususiyatlarini tushunishim va taqqoslash uchun "koordinatalar tizimi" ni yaratishim kerak edi. Agar mening sharhim kimgadir yordam bersa, xursand bo'laman:

  • Shifrlash qurilmalarining tavsiflari va texnik xususiyatlarini tushuning
  • Haqiqiy hayotda haqiqatan ham muhim bo'lgan "qog'oz" xususiyatlarini ajrating
  • Oddiy sotuvchilar to'plamidan tashqariga chiqing va muammoni hal qilish uchun mos bo'lgan har qanday mahsulotlarni hisobga oling
  • Muzokaralar paytida to'g'ri savollarni bering
  • Tender talablarini ishlab chiqish (RFP)
  • Agar ma'lum bir qurilma modeli tanlangan bo'lsa, qanday xususiyatlarni qurbon qilish kerakligini tushuning

Nimani baholash mumkin

Asosan, yondashuv masofaviy Ethernet segmentlari o'rtasida tarmoq trafigini shifrlash uchun mos bo'lgan har qanday mustaqil qurilmalar uchun qo'llaniladi (saytlararo shifrlash). Ya'ni, alohida qutidagi "qutilar" (yaxshi, biz bu erda shassi uchun pichoqlar/modullarni ham kiritamiz), ular bir yoki bir nechta Ethernet portlari orqali shifrlanmagan trafik bilan mahalliy (talaba shaharchasi) Ethernet tarmog'iga ulanadi. allaqachon shifrlangan trafik boshqa, uzoq segmentlarga uzatiladigan kanal/tarmoqqa boshqa port(lar). Bunday shifrlash yechimi xususiy yoki operator tarmog'ida har xil turdagi "transport" (quyuq tolalar, chastotalarni taqsimlash uskunasi, kommutatsiyalangan Ethernet, shuningdek, boshqa marshrutlash arxitekturasiga ega bo'lgan tarmoq orqali yotqizilgan "psevdoirlar", ko'pincha MPLS) orqali qo'llanilishi mumkin. ), VPN texnologiyasi bilan yoki usiz.

Ethernet shifrlash qurilmalarini qanday baholash va solishtirish
Tarqalgan Ethernet tarmog'ida tarmoqni shifrlash

Qurilmalarning o'zi ham bo'lishi mumkin ixtisoslashgan (faqat shifrlash uchun mo'ljallangan) yoki ko'p funksiyali (gibrid, konvergent), ya'ni boshqa funktsiyalarni ham bajaradi (masalan, xavfsizlik devori yoki router). Turli sotuvchilar o'z qurilmalarini turli sinflarga/toifalarga ajratadilar, ammo bu muhim emas - yagona muhimi, ular saytlararo trafikni shifrlay oladimi yoki yo'qmi va ular qanday xususiyatlarga ega.

Har holda, "tarmoq shifrlash", "trafik shifrlash", "shifrlash" norasmiy atamalar ekanligini eslatib o'taman, garchi ular ko'pincha ishlatiladi. Siz ularni Rossiya qonunchiligida topa olmaysiz (shu jumladan GOSTlarni kiritadiganlar).

Shifrlash darajalari va uzatish rejimlari

Baholash uchun ishlatiladigan xususiyatlarning o'zini tasvirlashni boshlashdan oldin, biz birinchi navbatda bitta muhim narsani, ya'ni "shifrlash darajasi" ni tushunishimiz kerak. Men buni ko'pincha rasmiy sotuvchi hujjatlarida (ta'riflarda, qo'llanmalarda va boshqalarda) va norasmiy muhokamalarda (muzokaralarda, treninglarda) eslatib o'tishini payqadim. Ya'ni, nima haqida gapirayotganimizni hamma juda yaxshi biladiganga o'xshaydi, lekin shaxsan men qandaydir chalkashliklarga guvoh bo'ldim.

Xo'sh, "shifrlash darajasi" nima? Biz shifrlash sodir bo'ladigan OSI/ISO mos yozuvlar tarmog'i modeli qatlamining soni haqida gapirayotganimiz aniq. Biz GOST R ISO 7498-2–99 “Axborot texnologiyasi. Ochiq tizimlarning o'zaro bog'lanishi. Asosiy mos yozuvlar modeli. 2-qism. Axborot xavfsizligi arxitekturasi”. Ushbu hujjatdan shuni tushunish mumkinki, maxfiylik xizmati darajasi (ta'minlash mexanizmlaridan biri shifrlash) xizmat ma'lumotlar bloki ("foydali yuk", foydalanuvchi ma'lumotlari) shifrlangan protokol darajasidir. Standartda ham yozilganidek, xizmat bir xil darajada, "o'z-o'zidan" va pastki darajadagi yordam bilan taqdim etilishi mumkin (masalan, MACsec-da ko'pincha shunday amalga oshiriladi). .

Amalda, tarmoq orqali shifrlangan ma'lumotni uzatishning ikkita usuli mumkin (IPsec darhol esga tushadi, lekin xuddi shu rejimlar boshqa protokollarda ham mavjud). IN transport (ba'zan mahalliy deb ham ataladi) rejim faqat shifrlangan xizmat ma'lumotlar bloki va sarlavhalar "ochiq", shifrlanmagan bo'lib qoladi (ba'zida shifrlash algoritmining xizmat ma'lumotlari bilan qo'shimcha maydonlar qo'shiladi va boshqa maydonlar o'zgartiriladi va qayta hisoblab chiqiladi). IN tunnel hammasi bir xil rejim protokol ma'lumotlar bloki (ya'ni paketning o'zi) shifrlangan va bir xil yoki undan yuqori darajadagi xizmat ma'lumotlar blokiga kiritilgan, ya'ni yangi sarlavhalar bilan o'ralgan.

Shifrlash darajasining o'zi ba'zi uzatish rejimi bilan birgalikda yaxshi ham, yomon ham emas, shuning uchun, masalan, transport rejimida L3 tunnel rejimida L2 dan yaxshiroq deb aytish mumkin emas. Aynan shuki, qurilmalar baholanadigan ko'plab xususiyatlar ularga bog'liq. Masalan, moslashuvchanlik va moslik. Transport rejimida L1 (bit oqimi o'rni), L2 (ramkalarni almashtirish) va L3 (paketlarni marshrutlash) tarmog'ida ishlash uchun sizga bir xil yoki undan yuqori darajada shifrlaydigan echimlar kerak bo'ladi (aks holda manzil ma'lumotlari shifrlanadi va ma'lumotlar mo'ljallangan manzilga etib bormaydi) va tunnel rejimi bu cheklovni yengib chiqadi (boshqa muhim xususiyatlardan voz kechsa ham).

Ethernet shifrlash qurilmalarini qanday baholash va solishtirish
Transport va tunnel L2 shifrlash rejimlari

Endi xususiyatlarni tahlil qilishga o'tamiz.

unumdorlik

Tarmoqni shifrlash uchun ishlash murakkab, ko'p o'lchovli tushunchadir. Shunday bo'ladiki, ma'lum bir model bir ishlash xususiyatidan ustun bo'lsa-da, boshqasida past bo'ladi. Shu sababli, shifrlashning barcha komponentlarini va ularning tarmoq va undan foydalanadigan ilovalarning ishlashiga ta'sirini ko'rib chiqish har doim foydalidir. Bu erda biz avtomobil bilan o'xshashlikni chizishimiz mumkin, buning uchun nafaqat maksimal tezlik, balki "yuzlab" tezlashuv vaqti, yoqilg'i sarfi va hokazo. Sotuvchi kompaniyalar va ularning potentsial mijozlari ishlash xususiyatlariga katta e'tibor berishadi. Qoidaga ko'ra, shifrlash qurilmalari sotuvchi qatorlarida ishlashga qarab tartiblanadi.

Ko'rinib turibdiki, unumdorlik qurilmada amalga oshirilgan tarmoq va kriptografik operatsiyalarning murakkabligiga (shu jumladan, bu vazifalarni qanchalik parallellashtirish va quvurlarni ulash mumkinligiga), shuningdek, apparatning ishlashi va proshivka sifatiga bog'liq. Shuning uchun eski modellar ko'proq unumdor uskunadan foydalanadi, ba'zida uni qo'shimcha protsessorlar va xotira modullari bilan jihozlash mumkin. Kriptografik funktsiyalarni amalga oshirishning bir nechta yondashuvlari mavjud: umumiy maqsadli markaziy protsessorda (CPU), dastur uchun maxsus integral mikrosxemada (ASIC) yoki maydonda dasturlashtiriladigan mantiqiy integral mikrosxemada (FPGA). Har bir yondashuv o'zining ijobiy va salbiy tomonlariga ega. Masalan, protsessor shifrlash darbog'iga aylanishi mumkin, ayniqsa protsessorda shifrlash algoritmini qo'llab-quvvatlash bo'yicha maxsus ko'rsatmalar bo'lmasa (yoki ular ishlatilmasa). Ixtisoslashgan chiplarda moslashuvchanlik yo'q; ishlashni yaxshilash, yangi funktsiyalarni qo'shish yoki zaifliklarni bartaraf etish uchun ularni "qayta tiklash" har doim ham mumkin emas. Bundan tashqari, ulardan foydalanish faqat katta ishlab chiqarish hajmi bilan foydali bo'ladi. Shuning uchun "oltin o'rtacha" juda mashhur bo'ldi - FPGA (rus tilida FPGA) dan foydalanish. FPGA-larda kripto tezlatgichlari ishlab chiqariladi - kriptografik operatsiyalarni qo'llab-quvvatlash uchun o'rnatilgan yoki plaginga o'rnatilgan maxsus apparat modullari.

Biz gaplashayotganimizdan beri tarmoq shifrlashda, echimlarning ishlashi boshqa tarmoq qurilmalari bilan bir xil miqdorda o'lchanishi mantiqan to'g'ri - o'tkazish qobiliyati, ramka yo'qotish foizi va kechikish. Bu qiymatlar RFC 1242 da belgilangan. Aytgancha, ushbu RFCda tez-tez qayd etilgan kechikish o'zgarishi (jitter) haqida hech narsa yozilmagan. Ushbu miqdorlarni qanday o'lchash mumkin? Men hech qanday standartlarda (rasmiy yoki norasmiy, masalan, RFC kabi) tarmoq shifrlash uchun tasdiqlangan metodologiyani topmadim. RFC 2544 standartida mustahkamlangan tarmoq qurilmalari uchun metodologiyadan foydalanish mantiqan to'g'ri bo'lardi.Ko'pgina ishlab chiqaruvchilar unga amal qilishadi - ko'pchilik, lekin hammasi emas. Masalan, ular sinov trafigini ikkalasi o'rniga faqat bitta yo'nalishda yuboradilar, masalan tavsiya etiladi standart. Nima bo'lganda ham.

Tarmoq shifrlash qurilmalarining ishlashini o'lchash hali ham o'ziga xos xususiyatlarga ega. Birinchidan, bir juft qurilmalar uchun barcha o'lchovlarni amalga oshirish to'g'ri: shifrlash algoritmlari nosimmetrik bo'lsa-da, shifrlash va shifrni ochishda kechikishlar va paket yo'qotishlari bir xil bo'lishi shart emas. Ikkinchidan, deltani, tarmoq shifrlashning tarmoqning yakuniy ishlashiga ta'sirini o'lchash, ikkita konfiguratsiyani taqqoslash mantiqiy: shifrlash qurilmalarisiz va ular bilan. Yoki tarmoq shifrlashdan tashqari bir nechta funktsiyalarni birlashtirgan gibrid qurilmalarda bo'lgani kabi, shifrlash o'chirilgan va yoqilgan. Bu ta'sir har xil bo'lishi mumkin va shifrlash qurilmalarining ulanish sxemasiga, ish rejimlariga va nihoyat, trafik xarakteriga bog'liq. Xususan, ko'plab ishlash parametrlari paketlarning uzunligiga bog'liq, shuning uchun turli xil echimlarning ishlashini solishtirish uchun paketlar uzunligiga qarab ushbu parametrlarning grafiklari ko'pincha ishlatiladi yoki IMIX ishlatiladi - trafikni paketlar bo'yicha taqsimlash. uzunligi, bu taxminan haqiqiyni aks ettiradi. Agar biz bir xil asosiy konfiguratsiyani shifrlashsiz solishtirsak, biz ushbu farqlarga kirmasdan boshqacha amalga oshirilgan tarmoq shifrlash echimlarini solishtirishimiz mumkin: L2 L3 bilan, saqlash va oldinga o'tkazish ) kesishgan, konvergent bilan ixtisoslashgan, GOST bilan AES va boshqalar.

Ethernet shifrlash qurilmalarini qanday baholash va solishtirish
Ishlash testi uchun ulanish diagrammasi

Odamlar e'tibor beradigan birinchi xususiyat - shifrlash qurilmasining "tezligi", ya'ni tarmoqli kengligi tarmoq interfeyslarining (tarmoqli kengligi), bit oqim tezligi. Bu interfeyslar tomonidan qo'llab-quvvatlanadigan tarmoq standartlari bilan belgilanadi. Ethernet uchun odatiy raqamlar 1 Gbps va 10 Gbps. Lekin, biz bilganimizdek, har qanday tarmoqda maksimal nazariy o'tkazish qobiliyati (o'tkazuvchanlik) uning har bir darajasida har doim kamroq tarmoqli kengligi mavjud: tarmoqli kengligining bir qismi interframe intervallari, xizmat sarlavhalari va boshqalar bilan "yeydi". Agar qurilma tarmoq interfeysining to'liq tezligida, ya'ni tarmoq modelining ushbu darajasi uchun maksimal nazariy o'tkazish qobiliyatiga ega bo'lgan trafikni qabul qilish, qayta ishlash (bizning holatda, shifrlash yoki shifrni ochish) va uzatish qobiliyatiga ega bo'lsa, u aytiladi. ishlamoq chiziq tezligida. Buning uchun qurilma har qanday hajmdagi va istalgan chastotadagi paketlarni yo'qotmasligi yoki tashlab ketmasligi kerak. Agar shifrlash qurilmasi liniya tezligida ishlashni qo'llab-quvvatlamasa, uning maksimal o'tkazuvchanligi odatda soniyasiga bir xil gigabitlarda ko'rsatiladi (ba'zan paketlarning uzunligini ko'rsatadi - paketlar qanchalik qisqa bo'lsa, o'tkazish qobiliyati odatda past bo'ladi). Maksimal o'tkazuvchanlik maksimal ekanligini tushunish juda muhimdir yo'qotish yo'q (agar qurilma o'z-o'zidan trafikni yuqori tezlikda "nasoslashi" mumkin bo'lsa ham, lekin shu bilan birga ba'zi paketlarni yo'qotsa ham). Shuni ham yodda tutingki, ba'zi sotuvchilar barcha portlar juftligi orasidagi umumiy o'tkazuvchanlikni o'lchaydilar, shuning uchun agar barcha shifrlangan trafik bitta port orqali o'tayotgan bo'lsa, bu raqamlar ko'p narsani anglatmaydi.

Qaerda liniya tezligida (yoki boshqacha qilib aytganda, paketlarni yo'qotmasdan) ishlash juda muhim? Yuqori tarmoqli kengligi, yuqori kechikishli havolalarda (masalan, sun'iy yo'ldosh), bu erda yuqori uzatish tezligini ta'minlash uchun katta TCP oynasi o'lchami o'rnatilishi kerak va paketlarning yo'qolishi tarmoq ish faoliyatini keskin kamaytiradi.

Ammo foydali ma'lumotlarni uzatish uchun barcha tarmoqli kengligi ishlatilmaydi. Biz deb atalmish bilan hisoblashishimiz kerak qo'shimcha xarajatlar (yuqori) tarmoqli kengligi. Bu shifrlash qurilmasi o'tkazish qobiliyatining (paket boshiga foiz yoki bayt sifatida) haqiqatda isrof bo'lgan qismidir (ilova ma'lumotlarini uzatish uchun ishlatib bo'lmaydi). Qo'shimcha xarajatlar, birinchi navbatda, shifrlangan tarmoq paketlarida (shifrlash algoritmiga va uning ishlash rejimiga qarab) ma'lumotlar maydoni hajmining oshishi (qo'shish, "to'ldirish") tufayli yuzaga keladi. Ikkinchidan, paket sarlavhalari uzunligining ko'payishi tufayli (tunnel rejimi, shifrlash protokoli va uzatish rejimining protokoli va ishlash rejimiga qarab simulyatsiya kiritish va boshqalar) - odatda bu qo'shimcha xarajatlar eng muhim va ular birinchi navbatda e'tibor berishadi. Uchinchidan, ma'lumotlar birligining maksimal hajmi (MTU) oshib ketganda paketlarning bo'linishi tufayli (agar tarmoq MTU dan oshib ketadigan paketni sarlavhalarini ko'paytirib, ikkiga bo'lish imkoniga ega bo'lsa). To'rtinchidan, shifrlash qurilmalari o'rtasida tarmoqda qo'shimcha xizmat (nazorat) trafigining paydo bo'lishi sababli (kalit almashinuvi, tunnel o'rnatish va boshqalar uchun). Kanal sig'imi cheklangan joyda past yuk ko'tarilishi muhimdir. Bu, ayniqsa, kichik paketlardan kelgan trafikda yaqqol ko'rinadi, masalan, ovoz - bu erda qo'shimcha xarajatlar kanal tezligining yarmidan ko'pini "eyishi" mumkin!

Ethernet shifrlash qurilmalarini qanday baholash va solishtirish
Bandwidth

Nihoyat, ko'proq narsa bor joriy etilgan kechikish – tarmoqni shifrlashsiz va shifrlashsiz ma’lumotlarni uzatish o‘rtasidagi tarmoq kechikishidagi (tarmoqqa kirishdan undan chiqib ketishgacha bo‘lgan vaqt) farqi. Umuman olganda, tarmoqning kechikishi (“kechikish”) qanchalik past bo'lsa, shifrlash qurilmalari tomonidan kiritilgan kechikish shunchalik muhim bo'ladi. Kechikish shifrlash operatsiyasining o'zi (shifrlash algoritmiga, blok uzunligi va shifrning ishlash rejimiga, shuningdek uni dasturiy ta'minotda amalga oshirish sifatiga qarab) va tarmoq paketini qurilmada qayta ishlash orqali kiritiladi. . Kiritilgan kechikish paketlarni qayta ishlash rejimiga (o'tish yoki saqlash va yo'naltirish) va platformaning ishlashiga bog'liq (FPGA yoki ASIC-da apparatni amalga oshirish odatda protsessorda dasturiy ta'minotni amalga oshirishdan tezroq). L2 shifrlash deyarli har doim L3 yoki L4 shifrlashdan past kechikishga ega, chunki L3/L4 shifrlash qurilmalari tez-tez birlashtiriladi. Masalan, FPGA-larda va L2-da shifrlashda amalga oshirilgan yuqori tezlikdagi Ethernet shifrlagichlari bilan shifrlash operatsiyasi tufayli kechikish juda kichik bo'ladi - ba'zida shifrlash bir juft qurilmada yoqilganda, ular tomonidan kiritilgan umumiy kechikish hatto kamayadi! Kam kechikish, kanalning umumiy kechikishlari, jumladan, har bir kilometrga taxminan 5 mks bo'lgan tarqalish kechikishi bilan solishtirish mumkin bo'lgan hollarda muhimdir. Ya'ni, shahar miqyosidagi tarmoqlar uchun (o'nlab kilometrlar bo'ylab) mikrosekundlar ko'p narsani hal qilishi mumkinligini aytishimiz mumkin. Misol uchun, sinxron ma'lumotlar bazasi replikatsiyasi, yuqori chastotali savdo, bir xil blokcheyn.

Ethernet shifrlash qurilmalarini qanday baholash va solishtirish
Kiritilgan kechikish

Miqyosi

Katta taqsimlangan tarmoqlar minglab tugunlar va tarmoq qurilmalarini, yuzlab mahalliy tarmoq segmentlarini o'z ichiga olishi mumkin. Shifrlash yechimlari taqsimlangan tarmoq hajmi va topologiyasiga qo'shimcha cheklovlar qo'ymasligi muhim. Bu birinchi navbatda xost va tarmoq manzillarining maksimal soniga taalluqlidir. Bunday cheklovlar, masalan, ko'p nuqtali shifrlangan tarmoq topologiyasini (mustaqil xavfsiz ulanishlar yoki tunnellar bilan) yoki selektiv shifrlashni (masalan, protokol raqami yoki VLAN bo'yicha) amalga oshirishda duch kelishi mumkin. Agar bu holda tarmoq manzillari (MAC, IP, VLAN ID) qatorlar soni cheklangan jadvalda kalit sifatida ishlatilsa, bu cheklovlar bu erda paydo bo'ladi.

Bundan tashqari, yirik tarmoqlar ko'pincha bir nechta strukturaviy qatlamlarga ega bo'lib, ularning har biri o'z manzillash sxemasini va o'z marshrutlash siyosatini amalga oshiradigan asosiy tarmoqni o'z ichiga oladi. Ushbu yondashuvni amalga oshirish uchun ko'pincha maxsus ramka formatlari (Q-in-Q yoki MAC-in-MAC) va marshrutni aniqlash protokollaridan foydalaniladi. Bunday tarmoqlarni qurishga to'sqinlik qilmaslik uchun shifrlash qurilmalari bunday ramkalarni to'g'ri boshqarishi kerak (ya'ni, bu ma'noda miqyoslilik moslikni anglatadi - quyida batafsilroq).

Moslashuvchanlik

Bu erda biz turli xil konfiguratsiyalarni, ulanish sxemalarini, topologiyalarni va boshqa narsalarni qo'llab-quvvatlash haqida gapiramiz. Masalan, Carrier Ethernet texnologiyalariga asoslangan kommutatsiyalangan tarmoqlar uchun bu har xil turdagi virtual ulanishlarni (E-Line, E-LAN, E-Tree), har xil xizmat turlarini (port va VLAN orqali) va turli transport texnologiyalarini qo'llab-quvvatlashni anglatadi. (ular allaqachon yuqorida sanab o'tilgan). Ya'ni, qurilma chiziqli ("nuqtadan nuqtaga") ham, ko'p nuqtali rejimlarda ham ishlashi, turli VLANlar uchun alohida tunnellarni o'rnatishi va xavfsiz kanal ichida paketlarni buyurtmadan tashqari etkazib berishga ruxsat berishi kerak. Turli xil shifrlash rejimlarini (shu jumladan kontent autentifikatsiyasi bilan yoki bo'lmasdan) va turli xil paketlarni uzatish rejimlarini tanlash qobiliyati joriy sharoitga qarab kuch va ishlash o'rtasidagi muvozanatni saqlashga imkon beradi.

Uskunalari bitta tashkilotga tegishli bo'lgan (yoki unga ijaraga olingan) xususiy tarmoqlarni va turli segmentlari turli kompaniyalar tomonidan boshqariladigan operator tarmoqlarini qo'llab-quvvatlash ham muhimdir. Agar yechim uyda ham, uchinchi tomon tomonidan ham (boshqariladigan xizmat modelidan foydalangan holda) boshqarishga imkon bersa yaxshi bo'ladi. Operator tarmoqlarida yana bir muhim funktsiya - trafigi bir xil shifrlash qurilmalari to'plamidan o'tadigan individual mijozlarni (abonentlarni) kriptografik izolyatsiya qilish shaklida ko'p ijaraga olishni (turli mijozlar tomonidan almashish) qo'llab-quvvatlashdir. Bu odatda har bir mijoz uchun alohida kalitlar va sertifikatlar to'plamidan foydalanishni talab qiladi.

Agar qurilma ma'lum bir stsenariy uchun sotib olingan bo'lsa, unda bu xususiyatlarning barchasi unchalik muhim bo'lmasligi mumkin - faqat qurilma hozir kerak bo'lgan narsani qo'llab-quvvatlashiga ishonch hosil qilishingiz kerak. Ammo agar yechim kelajakdagi stsenariylarni qo'llab-quvvatlash uchun "o'sish uchun" sotib olinsa va "korporativ standart" sifatida tanlansa, moslashuvchanlik ortiqcha bo'lmaydi - ayniqsa turli ishlab chiqaruvchilarning qurilmalarining o'zaro ishlashiga cheklovlarni hisobga olgan holda ( bu haqda quyida batafsilroq).

Oddiylik va qulaylik

Xizmat qulayligi ham ko'p faktorli tushunchadir. Taxminan aytishimiz mumkinki, bu ma'lum bir malakaga ega bo'lgan mutaxassislar tomonidan hayot aylanishining turli bosqichlarida yechimni qo'llab-quvvatlash uchun sarflangan umumiy vaqt. Agar xarajatlar bo'lmasa va o'rnatish, sozlash va ishlatish butunlay avtomatik bo'lsa, unda xarajatlar nolga teng va qulaylik mutlaqdir. Albatta, bu haqiqiy dunyoda sodir bo'lmaydi. O'rtacha taxmin - bu model "simdagi tugun" shifrlash moslamalarini qo'shish va o'chirish tarmoq konfiguratsiyasini qo'lda yoki avtomatik o'zgartirishni talab qilmaydigan shaffof ulanish. Shu bilan birga, yechimni saqlash soddalashtirilgan: siz shifrlash funksiyasini xavfsiz yoqishingiz va o'chirishingiz mumkin, agar kerak bo'lsa, qurilmani tarmoq kabeli bilan "aylanib o'ting" (ya'ni tarmoq uskunasining portlarini to'g'ridan-to'g'ri ulang). u bog'langan edi). To'g'ri, bitta kamchilik bor - hujumchi ham shunday qilishi mumkin. "Sim ustidagi tugun" tamoyilini amalga oshirish uchun nafaqat trafikni hisobga olish kerak ma'lumotlar qatlamilekin nazorat va boshqaruv qatlamlari - qurilmalar ular uchun shaffof bo'lishi kerak. Shu sababli, bunday trafik faqat shifrlash qurilmalari o'rtasida tarmoqda ushbu turdagi trafikni oluvchilar bo'lmaganda shifrlanishi mumkin, chunki agar u o'chirilsa yoki shifrlangan bo'lsa, shifrlashni yoqish yoki o'chirishda tarmoq konfiguratsiyasi o'zgarishi mumkin. Shifrlash qurilmasi jismoniy qatlam signalizatsiyasi uchun ham shaffof bo'lishi mumkin. Xususan, signal yo'qolganda, u bu yo'qotishni signal yo'nalishi bo'yicha oldinga va orqaga (ya'ni uzatuvchilarni o'chirish) uzatishi kerak.

Axborot xavfsizligi va IT bo'limlari, xususan, tarmoq bo'limi o'rtasida vakolatlarni taqsimlashda yordam berish ham muhimdir. Shifrlash yechimi tashkilotning kirishni boshqarish va audit modelini qo'llab-quvvatlashi kerak. Muntazam operatsiyalarni bajarish uchun turli bo'limlar o'rtasidagi o'zaro aloqaga bo'lgan ehtiyoj minimallashtirilishi kerak. Shu sababli, faqat shifrlash funktsiyalarini qo'llab-quvvatlaydigan va tarmoq operatsiyalari uchun iloji boricha shaffof bo'lgan maxsus qurilmalar uchun qulaylik nuqtai nazaridan afzallik mavjud. Oddiy qilib aytganda, axborot xavfsizligi xodimlari tarmoq sozlamalarini o'zgartirish uchun "tarmoq mutaxassislari" bilan bog'lanish uchun hech qanday sabab bo'lmasligi kerak. Va ular, o'z navbatida, tarmoqni saqlashda shifrlash sozlamalarini o'zgartirishga hojat qolmasligi kerak.

Yana bir omil - boshqaruv vositalarining imkoniyatlari va qulayligi. Ular vizual, mantiqiy bo'lishi kerak, sozlamalarni import-eksport qilishni, avtomatlashtirishni va hokazolarni ta'minlashi kerak. Siz darhol qanday boshqaruv variantlari mavjudligiga (odatda ularning boshqaruv muhiti, veb-interfeys va buyruq qatori) va ularning har biri qanday funktsiyalar to'plamiga ega ekanligiga (cheklovlar mavjud) e'tibor berishingiz kerak. Muhim funktsiya - qo'llab-quvvatlash banddan tashqari (diapazondan tashqari) boshqarish, ya'ni ajratilgan boshqaruv tarmog'i orqali va guruh ichida (band ichidagi) nazorat, ya'ni foydali trafik uzatiladigan umumiy tarmoq orqali. Boshqaruv vositalari barcha g'ayritabiiy vaziyatlarni, shu jumladan, axborot xavfsizligi hodisalarini bildirishi kerak. Muntazam, takroriy operatsiyalar avtomatik ravishda bajarilishi kerak. Bu birinchi navbatda asosiy boshqaruvga tegishli. Ular avtomatik ravishda yaratilishi/tarqalishi kerak. PKI-ni qo'llab-quvvatlash - bu katta afzallik.

moslashuv

Ya'ni, qurilmaning tarmoq standartlariga muvofiqligi. Bundan tashqari, bu nafaqat IEEE kabi nufuzli tashkilotlar tomonidan qabul qilingan sanoat standartlari, balki Cisco kabi sanoat rahbarlarining xususiy protokollarini ham anglatadi. Muvofiqlikni ta'minlashning ikkita asosiy usuli mavjud: yoki orqali shaffoflik, yoki orqali aniq qo'llab-quvvatlash protokollar (shifrlash qurilmasi ma'lum bir protokol uchun tarmoq tugunlaridan biriga aylanganda va ushbu protokolning boshqaruv trafigini qayta ishlaganda). Tarmoqlar bilan muvofiqligi nazorat protokollarini amalga oshirishning to'liqligi va to'g'riligiga bog'liq. PHY darajasining turli xil variantlarini (tezlik, uzatish vositasi, kodlash sxemasi), har qanday MTU bilan turli formatdagi chekilgan ramkalar, turli L3 xizmat protokollari (birinchi navbatda TCP/IP oilasi) uchun qo'llab-quvvatlash muhim ahamiyatga ega.

Shaffoflik mutatsiya mexanizmlari (shifrlovchilar o'rtasidagi trafikdagi ochiq sarlavhalar tarkibini vaqtincha o'zgartirish), o'tkazib yuborish (alohida paketlar shifrlanmagan bo'lsa) va shifrlash boshlanishini cheklash (odatda paketlarning shifrlangan maydonlari shifrlanmagan bo'lsa) orqali ta'minlanadi.

Ethernet shifrlash qurilmalarini qanday baholash va solishtirish
Shaffoflik qanday ta'minlanadi

Shuning uchun, har doim ma'lum bir protokolni qanday qo'llab-quvvatlashni aniq tekshiring. Ko'pincha shaffof rejimda qo'llab-quvvatlash yanada qulay va ishonchli.

O'zaro ishlash qobiliyati

Bu ham moslik, lekin boshqa ma'noda, ya'ni shifrlash qurilmalarining boshqa modellari, shu jumladan boshqa ishlab chiqaruvchilarning modellari bilan birgalikda ishlash qobiliyati. Ko'p narsa shifrlash protokollarini standartlashtirish holatiga bog'liq. L1-da umumiy qabul qilingan shifrlash standartlari yo'q.

Ethernet tarmoqlarida L2 shifrlash uchun 802.1ae (MACsec) standarti mavjud, lekin u foydalanmaydi oxirigacha (uchdan oxirigacha) va interport, "hop-by-hop" shifrlash va uning asl versiyasida taqsimlangan tarmoqlarda foydalanish uchun yaroqsiz, shuning uchun uning xususiy kengaytmalari paydo bo'ldi, bu cheklovni engib o'tdi (albatta, boshqa ishlab chiqaruvchilarning uskunalari bilan o'zaro ishlash tufayli). To'g'ri, 2018 yilda 802.1ae standartiga taqsimlangan tarmoqlarni qo'llab-quvvatlash qo'shildi, ammo GOST shifrlash algoritmlari to'plamlari hali ham qo'llab-quvvatlanmaydi. Shuning uchun xususiy, nostandart L2 shifrlash protokollari, qoida tariqasida, yuqori samaradorlik (xususan, past tarmoqli kengligi) va moslashuvchanlik (shifrlash algoritmlari va rejimlarini o'zgartirish qobiliyati) bilan ajralib turadi.

Yuqori darajalarda (L3 va L4) tan olingan standartlar, birinchi navbatda IPsec va TLS mavjud, ammo bu erda ham bu unchalik oddiy emas. Gap shundaki, ushbu standartlarning har biri turli xil versiyalar va kengaytmalarga ega bo'lgan protokollar to'plamidir yoki amalga oshirish uchun ixtiyoriydir. Bundan tashqari, ba'zi ishlab chiqaruvchilar L3/L4 da o'zlarining xususiy shifrlash protokollaridan foydalanishni afzal ko'rishadi. Shuning uchun, aksariyat hollarda siz to'liq o'zaro muvofiqlikka ishonmasligingiz kerak, lekin hech bo'lmaganda bir xil ishlab chiqaruvchining turli modellari va turli avlodlari o'rtasidagi o'zaro ta'sirni ta'minlash muhimdir.

Ishonchlilik

Turli echimlarni solishtirish uchun siz nosozliklar orasidagi o'rtacha vaqt yoki mavjudlik omilidan foydalanishingiz mumkin. Agar bu raqamlar mavjud bo'lmasa (yoki ularga ishonch bo'lmasa), unda sifat jihatidan taqqoslash mumkin. Qulay boshqaruvga ega qurilmalar afzalliklarga ega bo'ladi (konfiguratsiya xatolarining kamroq xavfi), ixtisoslashgan shifrlovchilar (xuddi shu sababga ko'ra), shuningdek, nosozlikni aniqlash va bartaraf etish uchun minimal vaqtni talab qiladigan echimlar, shu jumladan butun tugunlarni "issiq" zaxiralash vositalari va qurilmalar.

qiymati

Narxlar haqida gap ketganda, aksariyat IT-yechimlarda bo'lgani kabi, egalik qilishning umumiy qiymatini solishtirish mantiqan to'g'ri keladi. Uni hisoblash uchun siz g'ildirakni qayta ixtiro qilishingiz shart emas, lekin har qanday mos uslubni (masalan, Gartnerdan) va har qanday kalkulyatordan (masalan, TCO ni hisoblash uchun tashkilotda allaqachon ishlatilgan) foydalaning. Ko'rinib turibdiki, tarmoq shifrlash yechimi uchun egalik qilishning umumiy qiymati quyidagilardan iborat bevosita Yechimning o'zini sotib olish yoki ijaraga olish xarajatlari, jihozlarni joylashtirish uchun infratuzilma va joylashtirish, boshqarish va texnik xizmat ko'rsatish xarajatlari (ichki yoki uchinchi tomon xizmatlari ko'rinishida), shuningdek bilvosita yechimning to'xtab qolishi bilan bog'liq xarajatlar (oxirgi foydalanuvchi unumdorligini yo'qotish tufayli). Ehtimol, faqat bitta noziklik bor. Yechimning samaradorlik ta'sirini turli yo'llar bilan ko'rib chiqish mumkin: yoki yo'qolgan mahsuldorlik tufayli yuzaga keladigan bilvosita xarajatlar yoki tarmoq vositalarini sotib olish/yangilash va texnik xizmat ko'rsatishning "virtual" to'g'ridan-to'g'ri xarajatlari sifatida. shifrlash. Qanday bo'lmasin, etarli darajada aniqlik bilan hisoblash qiyin bo'lgan xarajatlar hisob-kitobdan chetda qolishi yaxshiroqdir: bu holda yakuniy qiymatga ishonch ko'proq bo'ladi. Va odatdagidek, har qanday holatda, TCO tomonidan turli xil qurilmalarni ulardan foydalanishning aniq stsenariysi uchun - haqiqiy yoki odatiy taqqoslash mantiqiy.

Qarshilik

Va oxirgi xususiyat - bu yechimning qat'iyligi. Ko'pgina hollarda chidamlilik faqat turli xil echimlarni solishtirish orqali sifat jihatidan baholanishi mumkin. Shuni unutmasligimiz kerakki, shifrlash qurilmalari nafaqat vosita, balki himoya ob'ekti hamdir. Ular turli xil tahdidlarga duchor bo'lishlari mumkin. Birinchi o'rinda maxfiylikni buzish, xabarlarni ko'paytirish va o'zgartirish tahdidlari turadi. Ushbu tahdidlar shifr yoki uning individual rejimlarining zaifliklari, shifrlash protokollaridagi zaifliklar (shu jumladan ulanishni o'rnatish va kalitlarni yaratish/tarqatish bosqichlarida) orqali amalga oshirilishi mumkin. Afzallik shifrlash algoritmini o'zgartirish yoki shifrlash rejimini almashtirish (hech bo'lmaganda proshivkani yangilash orqali), eng to'liq shifrlashni ta'minlaydigan, tajovuzkordan nafaqat foydalanuvchi ma'lumotlarini, balki manzil va boshqa xizmat ma'lumotlarini yashiradigan echimlar uchun bo'ladi. , shuningdek, nafaqat shifrlash, balki xabarlarni qayta ishlab chiqarish va o'zgartirishdan himoya qiluvchi texnik echimlar. Standartlarda mustahkamlangan barcha zamonaviy shifrlash algoritmlari, elektron imzolar, kalitlarni yaratish va hokazolar uchun kuch bir xil deb hisoblanishi mumkin (aks holda siz kriptografiyaning yovvoyi tabiatida shunchaki adashib qolishingiz mumkin). Bu GOST algoritmlari bo'lishi kerakmi? Bu erda hamma narsa oddiy: agar dastur stsenariysi CIPF uchun FSB sertifikatini talab qilsa (va Rossiyada bu ko'pincha shunday bo'ladi; ko'pgina tarmoq shifrlash stsenariylari uchun bu to'g'ri), biz faqat sertifikatlanganlarni tanlaymiz. Agar yo'q bo'lsa, sertifikatsiz qurilmalarni ko'rib chiqishdan chiqarib tashlashning ma'nosi yo'q.

Yana bir tahdid - buzg'unchilik tahdidi, qurilmalarga ruxsatsiz kirish (jumladan, korpus tashqarisida va ichida jismoniy kirish orqali). Tahdid orqali amalga oshirilishi mumkin
amalga oshirishdagi zaifliklar - apparat va kodda. Shu sababli, tarmoq orqali minimal "hujum yuzasi" bo'lgan, korpuslari jismoniy kirishdan himoyalangan (buzilish datchiklari, prob himoyasi va korpus ochilganda asosiy ma'lumotlarni avtomatik tiklash), shuningdek, mikrodasturlarni yangilash imkonini beruvchi echimlar mavjud bo'ladi. koddagi zaiflik ma'lum bo'lgan taqdirda afzallik. Yana bir yo'l bor: agar taqqoslanayotgan barcha qurilmalar FSB sertifikatlariga ega bo'lsa, unda sertifikat berilgan CIPF klassi xakerlik hujumiga qarshilik ko'rsatkichi deb hisoblanishi mumkin.

Nihoyat, tahdidning yana bir turi - sozlash va ishlatish paytidagi xatolar, sof shaklda inson omili. Bu ko'pincha tajribali "tarmoq mutaxassislari" ga qaratilgan va "oddiy", umumiy axborot xavfsizligi mutaxassislari uchun qiyinchiliklarga olib kelishi mumkin bo'lgan konvergent echimlarga nisbatan ixtisoslashgan shifrlovchilarning yana bir afzalligini ko'rsatadi.

Xulosa

Aslida, bu erda turli xil qurilmalarni taqqoslash uchun qandaydir integral ko'rsatkichni taklif qilish mumkin edi, masalan.

$$display$$K_j=∑p_i r_{ij}$$displey$$

Bu erda p - indikatorning og'irligi va r - bu ko'rsatkich bo'yicha qurilmaning darajasi va yuqorida sanab o'tilgan har qanday xususiyatlar "atom" ko'rsatkichlariga bo'linishi mumkin. Bunday formula, masalan, oldindan kelishilgan qoidalar bo'yicha tender takliflarini taqqoslashda foydali bo'lishi mumkin. Ammo siz oddiy stol bilan o'tishingiz mumkin

ta'rif
Qurilma 1
Qurilma 2
...
Qurilma N

Bandwidth
+
+

+++

Qo'shimcha xarajatlar
+
++

+++

Kechiktirish
+
+

++

Miqyosi
+++
+

+++

Moslashuvchanlik
+++
++

+

O'zaro ishlash qobiliyati
++
+

+

moslashuv
++
++

+++

Oddiylik va qulaylik
+
+

++

xatolarga chidamlilik
+++
+++

++

qiymati
++
+++

+

Qarshilik
++
++

+++

Savollarga va konstruktiv tanqidlarga javob berishdan xursand bo'laman.

Manba: www.habr.com

a Izoh qo'shish