Google ma'lumotlar markazlari o'rtasidagi trafikni shifrlash uchun ishlatiladigan PSP (PSP Security Protocol) spetsifikatsiyalari va mos yozuvlar ilovasi ochilishini e'lon qildi. Protokol shifrlash, kriptografik yaxlitlikni nazorat qilish va manba autentifikatsiyasini ta'minlovchi IP orqali IPsec ESP (Encapsulating Security Payloads) ga o'xshash trafik inkapsulyatsiyasi arxitekturasidan foydalanadi. PSP dastur kodi C tilida yozilgan va Apache 2.0 litsenziyasi ostida tarqatiladi.
PSP-ning o'ziga xos xususiyati hisob-kitoblarni tezlashtirish va markaziy protsessorga yukni kamaytirish uchun shifrlash va shifrlash operatsiyalarini tarmoq kartalari (tushirish) tomoniga o'tkazish orqali protokolni optimallashtirishdir. Uskunani tezlashtirish uchun maxsus PSP-mos keladigan tarmoq kartalari kerak. PSP-ni qo'llab-quvvatlamaydigan tarmoq kartalari bo'lgan tizimlar uchun SoftPSP dasturini amalga oshirish taklif etiladi.
UDP protokoli ma'lumotlarni uzatish uchun transport sifatida ishlatiladi. PSP paketi IP sarlavhasi bilan boshlanadi, undan keyin UDP sarlavhasi, so'ngra shifrlash va autentifikatsiya ma'lumotlariga ega PSP sarlavhasi. Keyinchalik, asl TCP/UDP paketining mazmuni butunlikni tasdiqlash uchun nazorat summasi bilan yakuniy PSP bloki bilan yakunlanadi. Paket identifikatorini tasdiqlash uchun PSP sarlavhasi, shuningdek sarlavhasi va inkapsullangan paket ma'lumotlari har doim autentifikatsiya qilinadi. Kapsüllangan paketning ma'lumotlari shifrlanishi mumkin, shu bilan birga TCP sarlavhasining bir qismini ochiq holda qoldirgan holda (aslligini nazorat qilishda), masalan, tranzit tarmoq uskunasida paketlarni tekshirish imkoniyatini ta'minlash uchun shifrlashni tanlab qo'llash mumkin.
PSP hech qanday maxsus kalit almashish protokoliga bog'lanmagan, paket formatining bir nechta variantlarini taklif qiladi va turli kriptografik algoritmlardan foydalanishni qo'llab-quvvatlaydi. Misol uchun, shifrlash va autentifikatsiya (autentifikatsiya) uchun AES-GCM algoritmi va haqiqiy ma'lumotlarni shifrlamasdan autentifikatsiya qilish uchun AES-GMAC uchun qo'llab-quvvatlanadi, masalan, ma'lumotlar qimmatli bo'lmaganda, lekin siz uning yo'qligiga ishonch hosil qilishingiz kerak. uzatish paytida o'zgartirilgan va u to'g'ri. dastlab yuborilgan.
Oddiy VPN protokollaridan farqli o'laroq, PSP butun aloqa kanalini emas, balki individual tarmoq ulanishlari darajasida shifrlashni qo'llaydi, ya'ni. PSP turli tunnelli UDP va TCP ulanishlari uchun alohida shifrlash kalitlaridan foydalanadi. Ushbu yondashuv turli xil ilovalar va protsessorlardan trafikni yanada qattiqroq izolyatsiya qilishga imkon beradi, bu bir xil serverda turli foydalanuvchilarning ilovalari va xizmatlari ishlayotganda muhim ahamiyatga ega.
Google PSP protokolidan o'zining ichki aloqalarini himoya qilish va Google Cloud mijozlari trafigini himoya qilish uchun foydalanadi. Protokol dastlab Google darajasidagi infratuzilmalarda samarali ishlash uchun ishlab chiqilgan va millionlab faol tarmoq ulanishlari va soniyada yuz minglab yangi ulanishlar mavjudligida shifrlashning apparat tezlashuvini ta'minlashi kerak.
Ikkita ish rejimi qo'llab-quvvatlanadi: "holat" va "davlatsiz". "Vatansiz" rejimda shifrlash kalitlari paket identifikatorida tarmoq kartasiga uzatiladi va shifrni hal qilish uchun ular paketda mavjud bo'lgan SPI (Xavfsizlik parametrlari indeksi) maydonidan asosiy kalit (256 bitli AES, kompyuterda saqlanadi) yordamida chiqariladi. tarmoq kartasining xotirasi va har 24 soatda almashtiriladi), bu sizga tarmoq kartasi xotirasini tejash va uskuna tomonida saqlangan shifrlangan ulanishlar holati haqidagi ma'lumotlarni minimallashtirish imkonini beradi. "Statistik" rejimida har bir ulanish uchun kalitlar tarmoq kartasida maxsus jadvalda saqlanadi, xuddi IPsec-da apparat tezlashuvi qanday amalga oshirilgan.
PSP TLS va IPsec/VPN protokoli imkoniyatlarining noyob kombinatsiyasini taqdim etadi. TLS har bir ulanish xavfsizligi nuqtai nazaridan Google-ga mos edi, lekin apparat tezlashuvi uchun moslashuvchan emasligi va UDP qo'llab-quvvatlashi yo'qligi sababli mos emas edi. IPsec protokol mustaqilligini ta'minladi va apparat tezlashuvini yaxshi qo'llab-quvvatladi, lekin alohida ulanishlar uchun kalitlarni ulashni qo'llab-quvvatlamadi, yaratilgan oz sonli tunnellar uchun mo'ljallangan va xotirada joylashgan jadvallarda to'liq shifrlash holatini saqlash tufayli apparat tezlashuvini masshtablashda muammolarga duch keldi. tarmoq kartasining (masalan, 10 million ulanishni boshqarish uchun 5 Gb xotira talab qilinadi).
PSP holatida shifrlash holati to'g'risidagi ma'lumotlar (kalitlar, ishga tushirish vektorlari, tartib raqamlari va boshqalar) tarmoq kartasi xotirasini egallamasdan, TX paketi deskriptorida yoki tizim xotirasiga ko'rsatgich shaklida uzatilishi mumkin. Google ma'lumotlariga ko'ra, ilgari kompaniya infratuzilmasida RPC trafigini shifrlashga hisoblash quvvatining taxminan 0.7% va katta hajmdagi xotira sarflangan. PSP ning apparat akseleratsiyasini qo'llash orqali joriy etilishi bu ko'rsatkichni 0.2% gacha kamaytirish imkonini berdi.
Manba: opennet.ru