Prohoster > Blog > quản lý > Cách đánh giá và so sánh các thiết bị mã hóa Ethernet

Cách đánh giá và so sánh các thiết bị mã hóa Ethernet

Tôi đã viết bài đánh giá này (hoặc, nếu bạn thích, một hướng dẫn so sánh) khi tôi được giao nhiệm vụ so sánh một số thiết bị từ các nhà cung cấp khác nhau. Ngoài ra, các thiết bị này thuộc các lớp khác nhau. Tôi phải hiểu kiến ​​trúc và đặc điểm của tất cả các thiết bị này và tạo ra một “hệ tọa độ” để so sánh. Tôi sẽ rất vui nếu đánh giá của tôi giúp được ai đó:

  • Hiểu mô tả và thông số kỹ thuật của các thiết bị mã hóa
  • Phân biệt những đặc điểm “giấy” với những đặc điểm thực sự quan trọng trong đời thực
  • Vượt ra ngoài nhóm nhà cung cấp thông thường và xem xét bất kỳ sản phẩm nào phù hợp để giải quyết vấn đề
  • Đặt câu hỏi phù hợp trong quá trình đàm phán
  • Lập yêu cầu đấu thầu (RFP)
  • Hiểu những đặc điểm nào sẽ phải hy sinh nếu chọn một kiểu thiết bị nhất định

Những gì có thể được đánh giá

Về nguyên tắc, phương pháp này có thể áp dụng cho mọi thiết bị độc lập phù hợp để mã hóa lưu lượng mạng giữa các phân đoạn Ethernet từ xa (mã hóa chéo trang). Tức là, các “hộp” được đặt trong một hộp riêng (được thôi, chúng tôi cũng sẽ bao gồm các phiến/mô-đun cho khung ở đây), được kết nối qua một hoặc nhiều cổng Ethernet với mạng Ethernet cục bộ (khuôn viên) với lưu lượng không được mã hóa và thông qua (các) cổng khác tới kênh/mạng mà qua đó lưu lượng đã được mã hóa sẽ được truyền đến các phân đoạn từ xa khác. Giải pháp mã hóa như vậy có thể được triển khai trong mạng riêng hoặc mạng của nhà điều hành thông qua các loại “truyền tải” khác nhau (sợi tối, thiết bị phân chia tần số, chuyển mạch Ethernet, cũng như “dây giả” được đặt qua mạng có kiến ​​trúc định tuyến khác, thường là MPLS ), có hoặc không có công nghệ VPN.

Cách đánh giá và so sánh các thiết bị mã hóa Ethernet
Mã hóa mạng trong mạng Ethernet phân tán

Bản thân các thiết bị có thể là chuyên nghành (dành riêng cho việc mã hóa) hoặc đa chức năng (kết hợp, hội tụ), nghĩa là cũng thực hiện các chức năng khác (ví dụ: tường lửa hoặc bộ định tuyến). Các nhà cung cấp khác nhau phân loại thiết bị của họ thành các lớp/danh mục khác nhau, nhưng điều này không quan trọng - điều quan trọng duy nhất là liệu họ có thể mã hóa lưu lượng truy cập chéo trang hay không và chúng có những đặc điểm gì.

Để đề phòng, tôi xin nhắc bạn rằng “mã hóa mạng”, “mã hóa lưu lượng truy cập”, “bộ mã hóa” là những thuật ngữ không chính thức, mặc dù chúng thường được sử dụng. Rất có thể bạn sẽ không tìm thấy chúng trong các quy định của Nga (bao gồm cả những quy định giới thiệu GOST).

Mức độ mã hóa và phương thức truyền tải

Trước khi bắt đầu mô tả các đặc điểm sẽ được sử dụng để đánh giá, trước tiên chúng ta phải hiểu một điều quan trọng, đó là “mức mã hóa”. Tôi nhận thấy rằng nó thường được đề cập cả trong tài liệu chính thức của nhà cung cấp (trong mô tả, sách hướng dẫn, v.v.) và trong các cuộc thảo luận không chính thức (tại các cuộc đàm phán, đào tạo). Tức là mọi người dường như biết rất rõ chúng ta đang nói về điều gì, nhưng cá nhân tôi đã chứng kiến ​​một số nhầm lẫn.

Vậy “mức mã hóa” là gì? Rõ ràng là chúng ta đang nói về số lượng lớp mô hình mạng tham chiếu OSI/ISO nơi xảy ra mã hóa. Chúng tôi đọc GOST R ISO 7498-2–99 “Công nghệ thông tin. Kết nối các hệ thống mở. Mô hình tham khảo cơ bản Phần 2. Kiến trúc bảo mật thông tin.” Từ tài liệu này có thể hiểu rằng mức độ dịch vụ bảo mật (một trong những cơ chế cung cấp mã hóa) là cấp độ của giao thức, khối dữ liệu dịch vụ (“tải trọng”, dữ liệu người dùng) được mã hóa. Vì nó cũng được viết trong tiêu chuẩn, dịch vụ có thể được cung cấp cả ở cùng cấp độ, “riêng nó” và với sự trợ giúp của cấp độ thấp hơn (ví dụ: đây là cách nó thường được triển khai nhất trong MACsec) .

Trong thực tế, có thể có hai chế độ truyền thông tin được mã hóa qua mạng (IPsec ngay lập tức xuất hiện trong đầu, nhưng các chế độ tương tự cũng được tìm thấy trong các giao thức khác). TRONG vận chuyển Chế độ (đôi khi còn được gọi là chế độ gốc) chỉ được mã hóa Dịch vụ khối dữ liệu và các tiêu đề vẫn “mở”, không được mã hóa (đôi khi các trường bổ sung có thông tin dịch vụ của thuật toán mã hóa được thêm vào và các trường khác được sửa đổi và tính toán lại). TRONG đường hầm cùng một chế độ tất cả giao thức khối dữ liệu (nghĩa là chính gói) được mã hóa và đóng gói trong khối dữ liệu dịch vụ có cùng cấp độ hoặc cao hơn, nghĩa là nó được bao quanh bởi các tiêu đề mới.

Bản thân mức độ mã hóa kết hợp với một số chế độ truyền dẫn không tốt cũng không xấu, vì vậy không thể nói, chẳng hạn, L3 ở chế độ truyền tải tốt hơn L2 ở chế độ đường hầm. Chỉ là nhiều đặc điểm mà thiết bị được đánh giá phụ thuộc vào chúng. Ví dụ, tính linh hoạt và khả năng tương thích. Để hoạt động trong mạng L1 (chuyển tiếp luồng bit), L2 (chuyển khung) và L3 (định tuyến gói) ở chế độ truyền tải, bạn cần các giải pháp mã hóa ở mức tương đương hoặc cao hơn (nếu không thông tin địa chỉ sẽ được mã hóa và dữ liệu sẽ không đến được đích đã định) và chế độ đường hầm khắc phục hạn chế này (mặc dù hy sinh các đặc điểm quan trọng khác).

Cách đánh giá và so sánh các thiết bị mã hóa Ethernet
Chế độ mã hóa L2 vận chuyển và đường hầm

Bây giờ chúng ta chuyển sang phân tích các đặc điểm.

Năng suất

Đối với mã hóa mạng, hiệu suất là một khái niệm phức tạp, đa chiều. Sẽ xảy ra trường hợp một mẫu xe nhất định, tuy vượt trội về đặc tính hiệu suất này nhưng lại kém hơn về đặc tính hiệu suất khác. Do đó, việc xem xét tất cả các thành phần của hiệu suất mã hóa và tác động của chúng đến hiệu suất của mạng và các ứng dụng sử dụng nó luôn là điều hữu ích. Ở đây, chúng ta có thể rút ra sự tương tự với một chiếc ô tô, trong đó không chỉ tốc độ tối đa là quan trọng mà còn cả thời gian tăng tốc lên “hàng trăm”, mức tiêu thụ nhiên liệu, v.v. Các công ty cung cấp và khách hàng tiềm năng của họ rất quan tâm đến các đặc điểm hiệu suất. Theo quy định, các thiết bị mã hóa được xếp hạng dựa trên hiệu suất của các dòng nhà cung cấp.

Rõ ràng là hiệu suất phụ thuộc cả vào độ phức tạp của hoạt động mạng và mật mã được thực hiện trên thiết bị (bao gồm cả mức độ song song và dẫn hướng của các tác vụ này), cũng như hiệu suất của phần cứng và chất lượng của phần sụn. Do đó, các mẫu cũ hơn sử dụng phần cứng hiệu quả hơn, đôi khi có thể trang bị thêm bộ xử lý và mô-đun bộ nhớ cho nó. Có một số cách tiếp cận để thực hiện các chức năng mật mã: trên bộ xử lý trung tâm (CPU) có mục đích chung, mạch tích hợp dành riêng cho ứng dụng (ASIC) hoặc mạch tích hợp logic lập trình trường (FPGA). Mỗi cách tiếp cận đều có ưu và nhược điểm. Ví dụ: CPU có thể trở thành nút thắt cổ chai mã hóa, đặc biệt nếu bộ xử lý không có hướng dẫn chuyên biệt để hỗ trợ thuật toán mã hóa (hoặc nếu chúng không được sử dụng). Các chip chuyên dụng thiếu tính linh hoạt, không phải lúc nào cũng có thể “làm mới” chúng để cải thiện hiệu suất, thêm chức năng mới hoặc loại bỏ các lỗ hổng. Ngoài ra, việc sử dụng chúng chỉ mang lại lợi nhuận khi khối lượng sản xuất lớn. Đó là lý do tại sao “ý nghĩa vàng” lại trở nên phổ biến - việc sử dụng FPGA (FPGA trong tiếng Nga). Chính trên FPGA, cái gọi là bộ tăng tốc mật mã được tạo ra - các mô-đun phần cứng chuyên dụng tích hợp hoặc plug-in để hỗ trợ các hoạt động mã hóa.

Vì chúng ta đang nói về mạng mã hóa, điều hợp lý là hiệu suất của các giải pháp phải được đo bằng đại lượng tương tự như đối với các thiết bị mạng khác - thông lượng, tỷ lệ mất khung hình và độ trễ. Các giá trị này được xác định trong RFC 1242. Nhân tiện, không có văn bản nào viết về biến thể độ trễ (jitter) thường được đề cập trong RFC này. Làm thế nào để đo được những đại lượng này? Tôi chưa tìm thấy phương pháp nào được phê duyệt theo bất kỳ tiêu chuẩn nào (chính thức hoặc không chính thức như RFC) dành riêng cho mã hóa mạng. Sẽ là hợp lý nếu sử dụng phương pháp này cho các thiết bị mạng được quy định trong tiêu chuẩn RFC 2544. Nhiều nhà cung cấp tuân theo nó - nhiều, nhưng không phải tất cả. Ví dụ: họ chỉ gửi lưu lượng truy cập thử nghiệm theo một hướng thay vì cả hai, như khuyến khích tiêu chuẩn. Dù sao.

Đo lường hiệu suất của các thiết bị mã hóa mạng vẫn có những đặc điểm riêng. Thứ nhất, việc thực hiện tất cả các phép đo cho một cặp thiết bị là đúng: mặc dù các thuật toán mã hóa là đối xứng nhưng độ trễ và mất gói trong quá trình mã hóa và giải mã sẽ không nhất thiết phải bằng nhau. Thứ hai, sẽ rất hợp lý khi đo delta, tác động của mã hóa mạng đến hiệu suất mạng cuối cùng, so sánh hai cấu hình: không có thiết bị mã hóa và có chúng. Hoặc, như trường hợp của các thiết bị lai, kết hợp một số chức năng ngoài mã hóa mạng, với tính năng mã hóa bị tắt và bật. Ảnh hưởng này có thể khác nhau và phụ thuộc vào sơ đồ kết nối của thiết bị mã hóa, chế độ hoạt động và cuối cùng là tính chất của lưu lượng. Đặc biệt, nhiều tham số hiệu suất phụ thuộc vào độ dài của gói, đó là lý do tại sao, để so sánh hiệu suất của các giải pháp khác nhau, đồ thị của các tham số này tùy thuộc vào độ dài của gói thường được sử dụng hoặc IMIX được sử dụng - phân phối lưu lượng theo gói chiều dài, gần đúng phản ánh chiều dài thực tế. Nếu chúng ta so sánh cùng một cấu hình cơ bản mà không mã hóa, chúng ta có thể so sánh các giải pháp mã hóa mạng được triển khai khác nhau mà không đi vào những khác biệt sau: L2 với L3, lưu trữ và chuyển tiếp) với tính năng cắt ngang, chuyên dụng với hội tụ, GOST với AES, v.v.

Cách đánh giá và so sánh các thiết bị mã hóa Ethernet
Sơ đồ kết nối để kiểm tra hiệu suất

Đặc điểm đầu tiên mà mọi người chú ý tới chính là “tốc độ” của thiết bị mã hóa, tức là băng thông (băng thông) của giao diện mạng, tốc độ dòng bit. Nó được xác định bởi các tiêu chuẩn mạng được hỗ trợ bởi các giao diện. Đối với Ethernet, các con số thông thường là 1 Gbps và 10 Gbps. Nhưng, như chúng ta biết, trong bất kỳ mạng nào, tốc độ lý thuyết tối đa thông lượng (thông lượng) ở mỗi cấp độ của nó luôn có ít băng thông hơn: một phần băng thông bị “ăn hết” bởi các khoảng thời gian giữa các khung, tiêu đề dịch vụ, v.v. Nếu một thiết bị có khả năng nhận, xử lý (trong trường hợp của chúng tôi là mã hóa hoặc giải mã) và truyền lưu lượng ở tốc độ tối đa của giao diện mạng, nghĩa là với thông lượng lý thuyết tối đa cho cấp độ này của mô hình mạng, thì người ta nói rằng đang làm việc ở tốc độ dòng. Để làm được điều này, điều cần thiết là thiết bị không bị mất hoặc loại bỏ các gói ở mọi kích thước và tần số. Nếu thiết bị mã hóa không hỗ trợ hoạt động ở tốc độ đường truyền thì thông lượng tối đa của nó thường được chỉ định ở cùng mức gigabit trên giây (đôi khi cho biết độ dài của gói - gói càng ngắn thì thông lượng thường càng thấp). Điều rất quan trọng là phải hiểu rằng thông lượng tối đa là mức tối đa không mất mát (ngay cả khi thiết bị có thể “bơm” lưu lượng truy cập qua chính nó với tốc độ cao hơn nhưng đồng thời làm mất một số gói). Ngoài ra, hãy lưu ý rằng một số nhà cung cấp đo tổng thông lượng giữa tất cả các cặp cổng, vì vậy những con số này không có ý nghĩa nhiều nếu tất cả lưu lượng được mã hóa đều đi qua một cổng duy nhất.

Điều đặc biệt quan trọng ở đâu là hoạt động ở tốc độ đường truyền (hay nói cách khác là không bị mất gói)? Trong các liên kết băng thông cao, độ trễ cao (chẳng hạn như vệ tinh), trong đó kích thước cửa sổ TCP lớn phải được đặt để duy trì tốc độ truyền cao và khi việc mất gói làm giảm đáng kể hiệu suất mạng.

Nhưng không phải toàn bộ băng thông đều được sử dụng để truyền dữ liệu hữu ích. Chúng ta phải tính đến cái gọi là chi phí chung (trên cao) băng thông. Đây là phần thông lượng của thiết bị mã hóa (dưới dạng phần trăm hoặc byte trên mỗi gói) thực sự bị lãng phí (không thể sử dụng để truyền dữ liệu ứng dụng). Trước hết, chi phí chung phát sinh do sự gia tăng kích thước (bổ sung, "nhồi") của trường dữ liệu trong các gói mạng được mã hóa (tùy thuộc vào thuật toán mã hóa và chế độ hoạt động của nó). Thứ hai, do độ dài của tiêu đề gói tăng lên (chế độ đường hầm, chèn dịch vụ của giao thức mã hóa, chèn mô phỏng, v.v. tùy thuộc vào giao thức và chế độ hoạt động của mật mã và chế độ truyền) - thông thường các chi phí chung này là chi phí quan trọng nhất và họ chú ý đầu tiên. Thứ ba, do sự phân mảnh của các gói khi vượt quá kích thước đơn vị dữ liệu tối đa (MTU) (nếu mạng có thể chia một gói vượt quá MTU thành hai, nhân đôi các tiêu đề của nó). Thứ tư, do sự xuất hiện của lưu lượng dịch vụ (điều khiển) bổ sung trên mạng giữa các thiết bị mã hóa (để trao đổi khóa, cài đặt đường hầm, v.v.). Chi phí thấp rất quan trọng khi dung lượng kênh bị hạn chế. Điều này đặc biệt rõ ràng trong lưu lượng truy cập từ các gói nhỏ, chẳng hạn như thoại – nơi mà chi phí chung có thể “ngốn” hơn một nửa tốc độ kênh!

Cách đánh giá và so sánh các thiết bị mã hóa Ethernet
Băng thông

Cuối cùng, có nhiều giới thiệu độ trễ – sự khác biệt (tính bằng phần của giây) về độ trễ mạng (thời gian để dữ liệu truyền từ khi vào mạng đến khi rời khỏi mạng) giữa việc truyền dữ liệu không có và có mã hóa mạng. Nói chung, độ trễ (“độ trễ”) của mạng càng thấp thì độ trễ do các thiết bị mã hóa tạo ra càng trở nên nghiêm trọng. Độ trễ được tạo ra bởi chính hoạt động mã hóa (tùy thuộc vào thuật toán mã hóa, độ dài khối và chế độ hoạt động của mật mã, cũng như chất lượng triển khai của nó trong phần mềm) và quá trình xử lý gói mạng trong thiết bị. . Độ trễ được đưa ra phụ thuộc vào cả chế độ xử lý gói (truyền qua hoặc lưu trữ và chuyển tiếp) và hiệu suất của nền tảng (triển khai phần cứng trên FPGA hoặc ASIC thường nhanh hơn triển khai phần mềm trên CPU). Mã hóa L2 hầu như luôn có độ trễ thấp hơn mã hóa L3 hoặc L4, do các thiết bị mã hóa L3/L4 thường hội tụ. Ví dụ: với bộ mã hóa Ethernet tốc độ cao được triển khai trên FPGA và mã hóa trên L2, độ trễ do hoạt động mã hóa cực kỳ nhỏ - đôi khi khi bật mã hóa trên một cặp thiết bị, tổng độ trễ do chúng tạo ra thậm chí còn giảm đi! Độ trễ thấp rất quan trọng khi nó có thể so sánh với độ trễ tổng thể của kênh, bao gồm cả độ trễ lan truyền, xấp xỉ 5 μs trên mỗi km. Tức là, chúng ta có thể nói rằng đối với các mạng quy mô đô thị (có chiều dài hàng chục km), micro giây có thể quyết định rất nhiều điều. Ví dụ: để sao chép cơ sở dữ liệu đồng bộ, giao dịch tần suất cao, cùng một blockchain.

Cách đánh giá và so sánh các thiết bị mã hóa Ethernet
Độ trễ giới thiệu

Khả năng mở rộng

Mạng phân tán lớn có thể bao gồm hàng nghìn nút và thiết bị mạng, hàng trăm phân đoạn mạng cục bộ. Điều quan trọng là các giải pháp mã hóa không áp đặt thêm các hạn chế về quy mô và cấu trúc liên kết của mạng phân tán. Điều này áp dụng chủ yếu cho số lượng địa chỉ mạng và máy chủ tối đa. Ví dụ: có thể gặp phải những hạn chế như vậy khi triển khai cấu trúc liên kết mạng được mã hóa đa điểm (với các kết nối hoặc đường hầm bảo mật độc lập) hoặc mã hóa chọn lọc (ví dụ: theo số giao thức hoặc Vlan). Nếu trong trường hợp này, địa chỉ mạng (MAC, IP, VLAN ID) được sử dụng làm khóa trong một bảng có số lượng hàng bị giới hạn thì những hạn chế này sẽ xuất hiện ở đây.

Ngoài ra, các mạng lớn thường có một số lớp cấu trúc, bao gồm mạng lõi, mỗi lớp thực hiện sơ đồ địa chỉ và chính sách định tuyến riêng. Để thực hiện phương pháp này, các định dạng khung đặc biệt (chẳng hạn như Q-in-Q hoặc MAC-in-MAC) và các giao thức xác định tuyến đường thường được sử dụng. Để không cản trở việc xây dựng các mạng như vậy, các thiết bị mã hóa phải xử lý chính xác các khung đó (nghĩa là, theo nghĩa này, khả năng mở rộng sẽ có nghĩa là khả năng tương thích - sẽ nói thêm về điều đó bên dưới).

Tính linh hoạt

Ở đây chúng ta đang nói về việc hỗ trợ các cấu hình, sơ đồ kết nối, cấu trúc liên kết và những thứ khác. Ví dụ: đối với các mạng chuyển mạch dựa trên công nghệ Carrier Ethernet, điều này có nghĩa là hỗ trợ các loại kết nối ảo khác nhau (E-Line, E-LAN, E-Tree), các loại dịch vụ khác nhau (cả theo cổng và Vlan) và các công nghệ truyền tải khác nhau (họ đã liệt kê ở trên). Nghĩa là, thiết bị phải có khả năng hoạt động ở cả chế độ tuyến tính (“điểm-điểm”) và đa điểm, thiết lập các đường hầm riêng cho các Vlan khác nhau và cho phép phân phối các gói không theo thứ tự trong một kênh an toàn. Khả năng chọn các chế độ mật mã khác nhau (bao gồm có hoặc không có xác thực nội dung) và các chế độ truyền gói khác nhau cho phép bạn đạt được sự cân bằng giữa cường độ và hiệu suất tùy thuộc vào điều kiện hiện tại.

Điều quan trọng nữa là hỗ trợ cả mạng riêng, thiết bị thuộc sở hữu của một tổ chức (hoặc được thuê bởi tổ chức đó) và mạng của nhà điều hành, các phân khúc khác nhau được quản lý bởi các công ty khác nhau. Sẽ tốt nếu giải pháp cho phép quản lý cả nội bộ và bên thứ ba (sử dụng mô hình dịch vụ được quản lý). Trong mạng của nhà điều hành, một chức năng quan trọng khác là hỗ trợ nhiều người thuê (chia sẻ bởi các khách hàng khác nhau) dưới dạng cách ly mật mã của từng khách hàng (người đăng ký) có lưu lượng truy cập đi qua cùng một bộ thiết bị mã hóa. Điều này thường yêu cầu sử dụng các bộ khóa và chứng chỉ riêng cho từng khách hàng.

Nếu một thiết bị được mua cho một tình huống cụ thể thì tất cả các tính năng này có thể không quan trọng lắm - bạn chỉ cần đảm bảo rằng thiết bị đó hỗ trợ những gì bạn cần bây giờ. Nhưng nếu một giải pháp được mua “để tăng trưởng”, để hỗ trợ các tình huống trong tương lai và được chọn làm “tiêu chuẩn công ty”, thì tính linh hoạt sẽ không thừa - đặc biệt là khi tính đến các hạn chế về khả năng tương tác của các thiết bị từ các nhà cung cấp khác nhau ( thêm về điều này dưới đây).

Đơn giản và tiện lợi

Sự dễ dàng của dịch vụ cũng là một khái niệm đa yếu tố. Khoảng, chúng ta có thể nói rằng đây là tổng thời gian mà các chuyên gia có trình độ chuyên môn nhất định cần có để hỗ trợ một giải pháp ở các giai đoạn khác nhau trong vòng đời của nó. Nếu không có chi phí và việc cài đặt, cấu hình và vận hành hoàn toàn tự động thì chi phí bằng XNUMX và sự tiện lợi là tuyệt đối. Tất nhiên, điều này không xảy ra trong thế giới thực. Một xấp xỉ hợp lý là một mô hình "nút trên dây" (Bump-in-the-wire) hoặc kết nối trong suốt, trong đó việc thêm và vô hiệu hóa các thiết bị mã hóa không yêu cầu bất kỳ thay đổi thủ công hoặc tự động nào đối với cấu hình mạng. Đồng thời, giải pháp duy trì được đơn giản hóa: bạn có thể bật và tắt chức năng mã hóa một cách an toàn và nếu cần, chỉ cần “bỏ qua” thiết bị bằng cáp mạng (nghĩa là kết nối trực tiếp các cổng đó của thiết bị mạng với nó đã được kết nối). Đúng, có một nhược điểm - kẻ tấn công cũng có thể làm điều tương tự. Để thực hiện nguyên tắc “nút trên dây”, không chỉ cần tính đến lưu lượng truy cập lớp dữ liệuNhưng lớp điều khiển và quản lý – các thiết bị phải trong suốt đối với chúng. Do đó, lưu lượng truy cập như vậy chỉ có thể được mã hóa khi không có người nhận loại lưu lượng truy cập này trong mạng giữa các thiết bị mã hóa, vì nếu nó bị loại bỏ hoặc mã hóa thì khi bạn bật hoặc tắt mã hóa, cấu hình mạng có thể thay đổi. Thiết bị mã hóa cũng có thể trong suốt đối với tín hiệu lớp vật lý. Đặc biệt, khi một tín hiệu bị mất, nó phải truyền đi sự mất mát này (tức là tắt các bộ phát của nó) qua lại (“cho chính nó”) theo hướng của tín hiệu.

Hỗ trợ trong việc phân chia quyền hạn giữa bộ phận an ninh thông tin và CNTT, đặc biệt là bộ phận mạng, cũng rất quan trọng. Giải pháp mã hóa phải hỗ trợ mô hình kiểm tra và kiểm soát truy cập của tổ chức. Cần giảm thiểu nhu cầu tương tác giữa các phòng ban khác nhau để thực hiện các hoạt động thường ngày. Do đó, có một lợi thế về sự thuận tiện đối với các thiết bị chuyên dụng hỗ trợ riêng các chức năng mã hóa và minh bạch nhất có thể đối với các hoạt động của mạng. Nói một cách đơn giản, nhân viên bảo mật thông tin sẽ không có lý do gì để liên hệ với các “chuyên gia mạng” để thay đổi cài đặt mạng. Và những người đó không cần phải thay đổi cài đặt mã hóa khi duy trì mạng.

Một yếu tố khác là khả năng và sự tiện lợi của việc điều khiển. Chúng phải trực quan, logic, cung cấp khả năng nhập-xuất cài đặt, tự động hóa, v.v. Bạn nên chú ý ngay đến những tùy chọn quản lý nào có sẵn (thường là môi trường quản lý, giao diện web và dòng lệnh của riêng chúng) và mỗi tùy chọn đó có bộ chức năng nào (có những hạn chế). Một chức năng quan trọng là hỗ trợ ngoài ban nhạc điều khiển (ngoài băng tần), nghĩa là thông qua mạng điều khiển chuyên dụng và trong ban nhạc (trong băng tần), nghĩa là thông qua một mạng chung để truyền tải lưu lượng hữu ích. Công cụ quản lý phải báo hiệu mọi tình huống bất thường, trong đó có sự cố an toàn thông tin. Các hoạt động thường xuyên, lặp đi lặp lại nên được thực hiện tự động. Điều này chủ yếu liên quan đến quản lý chìa khóa. Chúng nên được tạo/phân phối tự động. Hỗ trợ PKI là một điểm cộng lớn.

Khả năng tương thích

Đó là khả năng tương thích của thiết bị với các tiêu chuẩn mạng. Hơn nữa, điều này có nghĩa là không chỉ các tiêu chuẩn công nghiệp được các tổ chức có thẩm quyền như IEEE áp dụng mà còn có nghĩa là các giao thức độc quyền của các nhà lãnh đạo ngành như Cisco. Có hai cách chính để đảm bảo tính tương thích: thông qua minh bạch, hoặc thông qua hỗ trợ rõ ràng giao thức (khi một thiết bị mã hóa trở thành một trong các nút mạng cho một giao thức nhất định và xử lý lưu lượng điều khiển của giao thức này). Khả năng tương thích với mạng phụ thuộc vào tính đầy đủ và chính xác của việc thực hiện các giao thức điều khiển. Điều quan trọng là phải hỗ trợ các tùy chọn khác nhau cho cấp độ PHY (tốc độ, phương tiện truyền dẫn, sơ đồ mã hóa), khung Ethernet có định dạng khác nhau với bất kỳ MTU nào, các giao thức dịch vụ L3 khác nhau (chủ yếu là họ TCP/IP).

Tính minh bạch được đảm bảo thông qua các cơ chế đột biến (thay đổi tạm thời nội dung của các tiêu đề mở trong lưu lượng giữa các bộ mã hóa), bỏ qua (khi các gói riêng lẻ vẫn không được mã hóa) và thụt lề khi bắt đầu mã hóa (khi các trường gói được mã hóa thông thường không được mã hóa).

Cách đánh giá và so sánh các thiết bị mã hóa Ethernet
Cách đảm bảo tính minh bạch

Do đó, hãy luôn kiểm tra chính xác cách cung cấp hỗ trợ cho một giao thức cụ thể. Thường hỗ trợ ở chế độ minh bạch sẽ thuận tiện và đáng tin cậy hơn.

Khả năng tương tác

Đây cũng là khả năng tương thích, nhưng theo một nghĩa khác, cụ thể là khả năng hoạt động cùng với các mẫu thiết bị mã hóa khác, bao gồm cả các mẫu của các nhà sản xuất khác. Phần lớn phụ thuộc vào trạng thái tiêu chuẩn hóa của các giao thức mã hóa. Đơn giản là không có tiêu chuẩn mã hóa nào được chấp nhận rộng rãi trên L1.

Có tiêu chuẩn 2ae (MACsec) để mã hóa L802.1 trên mạng Ethernet, nhưng nó không sử dụng từ đầu đến cuối (từ đầu đến cuối) và giao tiếp, mã hóa “hop-by-hop” và trong phiên bản gốc của nó không phù hợp để sử dụng trong các mạng phân tán, vì vậy các tiện ích mở rộng độc quyền của nó đã xuất hiện để khắc phục hạn chế này (tất nhiên là do khả năng tương tác với thiết bị của các nhà sản xuất khác). Đúng như vậy, vào năm 2018, chuẩn 802.1ae đã thêm hỗ trợ cho mạng phân tán, nhưng vẫn chưa có hỗ trợ cho các bộ thuật toán mã hóa GOST. Do đó, các giao thức mã hóa L2 không chuẩn, độc quyền, theo quy định, được phân biệt bởi hiệu quả cao hơn (đặc biệt là chi phí băng thông thấp hơn) và tính linh hoạt (khả năng thay đổi thuật toán và chế độ mã hóa).

Ở các cấp độ cao hơn (L3 và L4), có các tiêu chuẩn được công nhận, chủ yếu là IPsec và TLS, nhưng ở đây, mọi chuyện không đơn giản như vậy. Thực tế là mỗi tiêu chuẩn này là một tập hợp các giao thức, mỗi tiêu chuẩn có các phiên bản và phần mở rộng khác nhau được yêu cầu hoặc tùy chọn để triển khai. Ngoài ra, một số nhà sản xuất thích sử dụng các giao thức mã hóa độc quyền của họ trên L3/L4. Do đó, trong hầu hết các trường hợp, bạn không nên tin tưởng vào khả năng tương tác hoàn toàn, nhưng điều quan trọng là ít nhất phải đảm bảo sự tương tác giữa các mẫu khác nhau và các thế hệ khác nhau của cùng một nhà sản xuất.

Độ tin cậy

Để so sánh các giải pháp khác nhau, bạn có thể sử dụng thời gian trung bình giữa các lần thất bại hoặc hệ số sẵn có. Nếu những con số này không có sẵn (hoặc không có niềm tin vào chúng), thì có thể thực hiện so sánh định tính. Các thiết bị được quản lý thuận tiện sẽ có lợi thế hơn (ít nguy cơ xảy ra lỗi cấu hình hơn), bộ mã hóa chuyên dụng (vì lý do tương tự), cũng như các giải pháp với thời gian tối thiểu để phát hiện và loại bỏ lỗi, bao gồm các phương tiện sao lưu “nóng” toàn bộ nút và thiết bị.

chi phí

Khi nói đến chi phí, giống như hầu hết các giải pháp CNTT, việc so sánh tổng chi phí sở hữu là điều hợp lý. Để tính toán, bạn không cần phải phát minh lại bánh xe mà hãy sử dụng bất kỳ phương pháp phù hợp nào (ví dụ: từ Gartner) và bất kỳ máy tính nào (ví dụ: phương pháp đã được sử dụng trong tổ chức để tính TCO). Rõ ràng là đối với một giải pháp mã hóa mạng, tổng chi phí sở hữu bao gồm trực tiếp chi phí mua hoặc thuê giải pháp, cơ sở hạ tầng cho thiết bị lưu trữ và chi phí triển khai, quản trị và bảo trì (dù là nội bộ hay dưới dạng dịch vụ của bên thứ ba), cũng như từ gián tiếp chi phí do thời gian ngừng hoạt động của giải pháp (do mất năng suất của người dùng cuối). Có lẽ chỉ có một sự tinh tế. Tác động hiệu suất của giải pháp có thể được xem xét theo nhiều cách khác nhau: hoặc là chi phí gián tiếp do mất năng suất hoặc là chi phí trực tiếp “ảo” của việc mua/nâng cấp và bảo trì các công cụ mạng bù đắp cho việc mất hiệu suất mạng do sử dụng mã hóa. Trong mọi trường hợp, tốt nhất nên loại bỏ những chi phí khó tính toán với độ chính xác vừa đủ: bằng cách này sẽ có độ tin cậy cao hơn vào giá trị cuối cùng. Và, như thường lệ, trong mọi trường hợp, việc so sánh các thiết bị khác nhau theo TCO cho một tình huống sử dụng cụ thể của chúng - thực tế hoặc điển hình là điều hợp lý.

Kiên trì

Và đặc điểm cuối cùng là tính bền bỉ của giải pháp. Trong hầu hết các trường hợp, độ bền chỉ có thể được đánh giá một cách định tính bằng cách so sánh các giải pháp khác nhau. Chúng ta phải nhớ rằng các thiết bị mã hóa không chỉ là phương tiện mà còn là đối tượng được bảo vệ. Họ có thể phải đối mặt với nhiều mối đe dọa khác nhau. Đi đầu là các mối đe dọa vi phạm tính bảo mật, sao chép và sửa đổi tin nhắn. Những mối đe dọa này có thể được nhận ra thông qua các lỗ hổng của mật mã hoặc các chế độ riêng lẻ của nó, thông qua các lỗ hổng trong giao thức mã hóa (bao gồm cả ở các giai đoạn thiết lập kết nối và tạo/phân phối khóa). Ưu điểm sẽ dành cho các giải pháp cho phép thay đổi thuật toán mã hóa hoặc chuyển chế độ mật mã (ít nhất là thông qua bản cập nhật chương trình cơ sở), các giải pháp cung cấp mã hóa hoàn chỉnh nhất, ẩn khỏi kẻ tấn công không chỉ dữ liệu người dùng mà còn cả địa chỉ và thông tin dịch vụ khác , cũng như các giải pháp kỹ thuật không chỉ mã hóa mà còn bảo vệ tin nhắn khỏi bị sao chép và sửa đổi. Đối với tất cả các thuật toán mã hóa hiện đại, chữ ký điện tử, tạo khóa, v.v., được quy định trong các tiêu chuẩn, độ mạnh có thể được coi là như nhau (nếu không, bạn có thể dễ dàng lạc vào thế giới mật mã hoang dã). Đây có nhất thiết phải là thuật toán GOST không? Ở đây mọi thứ đều đơn giản: nếu kịch bản ứng dụng yêu cầu chứng nhận FSB cho CIPF (và ở Nga điều này thường xảy ra nhất; đối với hầu hết các kịch bản mã hóa mạng, điều này là đúng), thì chúng tôi chỉ chọn giữa những kịch bản được chứng nhận. Nếu không, thì việc loại trừ các thiết bị không có chứng chỉ khỏi danh sách cũng chẳng ích gì.

Một mối đe dọa khác là nguy cơ hack, truy cập trái phép vào thiết bị (bao gồm cả thông qua truy cập vật lý bên ngoài và bên trong thùng máy). Mối đe dọa có thể được thực hiện thông qua
lỗ hổng trong quá trình triển khai - về phần cứng và mã. Do đó, các giải pháp có “bề mặt tấn công” tối thiểu qua mạng, với vỏ được bảo vệ khỏi truy cập vật lý (với cảm biến xâm nhập, bảo vệ thăm dò và tự động đặt lại thông tin chính khi vỏ được mở), cũng như các giải pháp cho phép cập nhật chương trình cơ sở sẽ có một lợi thế trong trường hợp lỗ hổng trong mã được biết đến. Có một cách khác: nếu tất cả các thiết bị được so sánh đều có chứng chỉ FSB, thì lớp CIPF mà chứng chỉ được cấp có thể được coi là một chỉ báo về khả năng chống hack.

Cuối cùng, một loại mối đe dọa khác là lỗi trong quá trình thiết lập và vận hành, yếu tố con người ở dạng thuần túy nhất. Điều này cho thấy một ưu điểm khác của bộ mã hóa chuyên dụng so với các giải pháp hội tụ, thường nhắm đến các “chuyên gia mạng” dày dặn kinh nghiệm và có thể gây khó khăn cho các chuyên gia bảo mật thông tin “thông thường”.

Tổng kết

Về nguyên tắc, ở đây có thể đề xuất một số loại chỉ báo tích hợp để so sánh các thiết bị khác nhau, chẳng hạn như

$$display$$K_j=∑p_i r_{ij}$$display$$

trong đó p là trọng lượng của chỉ báo và r là thứ hạng của thiết bị theo chỉ báo này và bất kỳ đặc điểm nào được liệt kê ở trên có thể được chia thành các chỉ báo “nguyên tử”. Công thức như vậy có thể hữu ích, chẳng hạn như khi so sánh các đề xuất đấu thầu theo các quy tắc đã được thỏa thuận trước. Nhưng bạn có thể làm được với một bảng đơn giản như

Đặc tính
Thiết bị 1
Thiết bị 2
...
Thiết bị N

Băng thông
+
+

+ + +

Chi phí chung
+
++

+ + +

Trì hoãn
+
+

++

Khả năng mở rộng
+ + +
+

+ + +

Tính linh hoạt
+ + +
++

+

Khả năng tương tác
++
+

+

Khả năng tương thích
++
++

+ + +

Đơn giản và tiện lợi
+
+

++

khả năng chịu lỗi
+ + +
+ + +

++

chi phí
++
+ + +

+

Kiên trì
++
++

+ + +

Tôi sẽ sẵn lòng trả lời các câu hỏi và phê bình mang tính xây dựng.

Nguồn: www.habr.com

Thêm một lời nhận xét