• CIS Magazine

Способы защиты данных при высокоскоростном доступе в интернет



Введение

Скоростной доступ в интернет – требование времени, однако обеспечение безопасности такого доступа может влететь в копеечку, а администрирование может быть чрезвычайно затруднено. Также, операции шифрования могут снизить скорость доступа. Эта статья посвящена тому, как избежать подобных неприятностей.


Приведённые в статье сведения также могут пригодиться в следующих случаях:

  • необходимо увеличить скорость доступа в интернет;

  • нужно оптимизировать расходы на интернет;

  • нужно упростить управление безопасностью;

  • работа приложений является причиной высокой загрузки сети организации.

Увеличение спроса на высокоскоростной доступ

Всё большему количеству организаций требуется высокоскоростной доступ в интернет. Возникает необходимость не только в «толстых» каналах, но и в способах эффективного управления ими. Ethernet позволяет масштабировать полосу пропускания до 100 Гбит/с, при этом затраты на порт ниже, чем при использовании обычных WAN-технологий.


Поэтому различные организации имеют возможность платить за фактическое использование пропускной способности, при этом затраты могут расти постепенно – в зависимости от реального использования полосы пропускания. Это основная причина, почему организации предпочитают использоваться свой Ethernet, чтобы передавать данные по WAN.


Ethernet позволяет обеспечивать соединение на высокой скорости между различными зданиями в черте большого города, а также между несколькими населёнными пунктами или в пределах глобальной сети. Также, службы Ethernet позволяют укрупнить инфраструктуру LAN до глобальной сети, предоставляя возможность гибкого администрирования. Сейчас скорость обмена данными между региональными концентраторами при взаимодействии между дата-центрами превышает 1 Гбит/с.


Сайты восстановления информации, для работы которых необходима скоростная синхронизация сети хранения данных, требуют ещё большую скорость сети. Для этих целей используются соединения с малой задержкой E-LAN или E-Line.


«Облачные» приложения для коллективной работы также требуют повышения пропускной способности. Технология IP MPLS может стать причиной задержек, поэтому она не годится для передачи, например, аудио и видео в реальном времени.


К списку задач, для которых требуется высокоскоростное соединение, можно отнести обработку брокерских транзакций, а также передачу медицинских данных (например, снимков). Ethernet позволяет повысить скорость передачи за меньшие средства, если сравнивать с другими технологиями.


Таким образом, технология Ethernet завоёвывает популярность среди организаций, которым нужен высокоскоростной обмен данными. Немалую роль в этом играет простое управление. Одно из неоспоримых преимуществ этой технологии – возможность масштабирования в рамках организации без потери значительных ресурсов.


Чем привлекает технология Ethernet:

  • позволяет масштабировать полосу пропускания;

  • снижает сложность администрирования;

  • снижение стоимость использования;

  • предоставляет возможность контроля безопасности;

  • совместимость разных производителей на основе принятых стандартов.


Шифрование и защита данных

Так как компании передают конфиденциальные сведения, используя внешние сети, встаёт вопрос защиты этих сведений. Провайдеры не торопятся предоставлять свои способы защиты – обычно это просто изолирование трафика. Этот способ не может обезопасить компании, например, от прослушивания в случае подключения к каналам связи посторонних лиц.


Также, с одной стороны, злоумышленники постоянно совершенствуют свои навыки, с другой – по сети передаётся всё большее количество конфиденциальных данных, возможная утечка которых приведёт к потерям компании, финансовым и репутационным.

Специалисты в области ИТ прикладывают множество усилий, чтобы поднять уровень безопасности в системах управления данными и дата-центрах. В самих приложениях и ОС уровень безопасности неуклонно растёт, однако сетевая безопасность по-прежнему оставляет желать лучшего.


Внедрение IPv6 происходит медленно – хотя эта версия протокола позволяет передавать криптографическую информацию в заголовке, его повсеместное использование ожидается нескоро. В настоящее время стандартом обмена данных является IPsec с IPv4.


Где проходит ваш кабель?

Сейчас злоумышленник может приобрести прибор, с помощью которого он может прослушивать оптоволоконный кабель без нарушения его целостности. Огромное количество данных может быть скомпрометировано за ничтожное количество времени. При этом специальные детекторы, предназначенные для обнаружения подключений, нечувствительны к таким подключениям. Разумеется, чтобы интерпретировать полученные данные, злоумышленнику потребуется определённая сноровка и опыт, однако принципиального препятствия для злоумышленника это не представляет.


Каким должно быть шифрование?

Кроме собственно шифрования с целью защиты данных может возникнуть требование соблюдения правил, определённых, например, на уровне закона. Используемые средства шифрования должны соответствовать этим требованиям, а также предоставлять широкие возможности аудита.


Продуктивность

Для шифрования необходима высокая производительность процессора, так как использование шифрования может сказаться на работе других приложений. Выбранный в организации вариант подключения к интернету может ещё больше сказаться на производительности. Так, при использовании туннелирования, для которого требуется большая пропускная способность, производительность может превосходить значение собственно шифрования.


Сеть с передачей аудио- и видеоданных

Организации нуждаются в шифровании, которое бы позволило работать с мультимедийными данными с минимальными потерями скорости.


Масштабируемость

Организации применяют сети в большинстве видов бизнеса – начиная с телефонных служб и заканчивая интернет-эквайрингом, поэтому необходимо обеспечить надёжное шифрование и безопасность таким образом, чтобы они не мешали стабильному соединению. Такие технологии как GRE/IPsec VPNs и IPsec VPNs нельзя назвать простыми в администрировании. Соответственно, при увеличении охвата сети организации сталкиваются с трудностями.


Гибкое планирование сети

Используемые механизмы шифрования не должны мешать сетевому подключению. Также, они должны быть совместимы с текущей и предполагаемой организацией сети. Это является основной причиной, по которой компании избегают негибких механизмов шифрования, препятствующих планированию сети. Всегда стоит выбор между комплексными механизмами шифрования, которые интегрируются в ИТ-инфраструктуру организации, и специфическими механизмами шифрования, способными обеспечить защиту на определённых участках.


Администрирование

Приоритетным выбором механизма шифрования должна быть простота администрирования и внятная ролевая модель, что избавило бы организацию от необходимости нанимать персонал с высоким уровнем технической компетенции. Внутренние средства шифрования должны управляться легко и быть понятны администраторам. Также, механизмы шифрования должны взаимодействовать с механизмами администрирования отказов.


Выбор типа сетевого шифрования

Распространены два типа наиболее популярных решений. В первом из них используется возможность шифрования в маршрутизаторах. Второй тип использует для целей шифрования специальные устройства, которые устанавливаются отдельно от остальных компонентов сети. Может показаться, что интегрированные механизмы шифрования предпочтительнее, однако это является заблуждением.


Организации предпочитают интегрированные механизмы шифрования, потому что на первых порах они дешевле – например, ввиду единого производителя. Кроме того, возможное снижение скорости доступа, а также совместимость с текущей организацией сети также входит в ряд особенностей, на которые администраторы должны обратить внимание. Поэтом немало компаний предпочитают шифрование «на борту» маршрутизатора. Однако специализированные устройства для шифрования имеют ряд неоспоримых и часто недооценённых преимуществ.


Интегрированное шифрование может привести к ряду проблем, некоторые из которых мы рассмотрим ниже. После мы разберём второй тип шифрования, в котором используются специальные шифраторы канального уровня, после чего сравним два решения.


Для большого количества организаций стало настоящим сюрпризом узнать действительные затраты на шифрование внутри маршрутизаторов. Для средних пакетов, наиболее распространённых в сетях, в которых передаются данные мультимедиа, расходы IPsec достигают половины пропускной способности, что выливается в тесячедолларовые траты в месяц. Тогда как шифрование Ethernet обеспечивает хорошую пропускную способность, оптимизирует механизмы безопасности и упрощает администрирование, что позволяет снизить стоимость обслуживания.


Скоростное шифрование с Gemalto

Предлагаемое SafeNet решение позволяет зашифровать содержимое сетевого канала, основываясь на источнике и назначении MAC-адресов. Это позволяет, используя IPv4 или IPv6, прозрачно передавать данные с высокой скоростью. Механизмы шифрования Ethernet можно применять в различных сетевых средах организации. Так, организация может использовать их, чтобы обеспечить шифрование на высокой скорости внутри всего периметра этой организации, связывая в единую сеть дата-центры и офисы. Список применения высокоскоростного шифрования не исчерпывается вышеуказанным. Оно также используется для городских сетей, а также для сетей, в которых передаются данные мультимедиа. Шифрование находит применение и в процессе централизации серверов, включая сети хранения данных. Кроме того, эти механизмы шифрования могут использоваться, чтобы обезопасить сетевые магистрали.


Компания Gemalto может предложить улучшенные решения шифрования, позволяющие избежать различных трудностей, которые неизбежно возникают при использовании маршрутизаторов в качестве устройств шифрования. При этом качество шифрования не страдает.


Преимущества использования специализированных устройств шифрования:

  • низкие финансовые расходы:

  1. более широкий канал связи;

  2. простота в обслуживании и администрировании;

  3. самое дешёвое решение для агрегирования нескольких сайтов;

  • высокая производительность:

  1. снижение использования ресурсов;

  2. снижение времени на передачу данных;

  3. позволяет избавиться от общей инкапсуляции маршрутов (GRE) и запутанных схем качества обслуживания;

  • масштабируемость в пределах организации:

  1. качественное сетевое взаимодействие;

  2. упрощение администрирования архитектурой до тысяч устройств;

  3. прозрачность – поддерживаются протоколы IPv4, IPv6, а также устаревшие версии.

Шифровальные устройства SafeNet позволяют достичь максимальной пропускной способности, усилить защиту, упростить администрирование и снизить расходы. Устройства SafeNet High Speed Encryptors (SHSE) с наибольшей эффективностью и быстротой передают данные на канальном уровне, что само по себе снижает расходы на безопасность сети.


Устройства SHSE, которые выполнены в виде сетевого дополнения и управляются через единый централизованный центр управления, лучше всего подходят для создания масштабной архитектуры шифрования в сети. Они выполняют свою работу на скоростном канальном уровне и подходят для удалённого создания резервных копий, для сетей хранения данных, дата-центров, кроме того, они способствуют бесперебойность бизнес-процесса и позволяют легко восстановиться после сбоев.


Снижение расходов

В первую очередь снижение расходов происходит за счёт того, что шифровальные устройства канального уровня позволяют экономить средства на пропускную способность.


Сокращаются также траты на администрирование. Т. к. они работают на канальном уровне, устройства SHSE просты в установке и администрировании. Если сравнивать с шифрованием на сетевом уровне, SHSE-устройства управляются только частью переменных и настроек. Тогда как при использовании шифрования на сетевом уровне головной болью администраторов является поддержка VPN-политик, равно как туннелирвоание данных из точки в точку.


Главные возможности шифровальных устройств SafeNet:

  • дуплексное шифрование Ethernet до 100 Гбит/с;

  • соответствие FIPS 140 2, НАТО, UC APL и соответствие требованиям CAPS;

  • устройство готово к подключению к существующим сетевым средам;

  • низкие задержки;

  • стандартная проверка подлинности, электронные сертификаты и администрирование криптографическими ключами;

  • централизованная настройка, слежение и администрирование;

  • низкие расходы на управление и низкая стоимость обладания.


К примеру, при добавлении всякого нового устройства в сеть с ячеистой структурой каждое соединение нужно сконфигурировать в таблицах маршрутизации. Тогда как если изменение произойдёт в структуре, где используется безопасность канального уровня, нужно будет только добавить цифровой сертификат, который позволит остальным устройствам обмениваться сообщениями с только что добавленным. Так что в список преимуществ входит простота развёртывания, администрирование и снижение общей цены владения.


Для администрирования устройств SHSE используется Win32-приложение. Это приложение позволяет изменять политики управления SHSE-устройств, а также позволяет осуществлять проверку и слежку за устройствами, что необходимо для обеспечения ИБ.


Администраторы могут в удалённом режиме конфигурировать выполнять мониторинг и обновление устройств SafeNet. Им также предоставлена возможность задавать настройки безопасности, которые можно применить к нескольким шифраторам, что снижает затраты на администрирование.


Соответствие требованиям

Проверка устройств SHSE на соответствие требует меньше усилий, чем использовании шифрования на сетевом уровне. В распоряжении администратора централизованный архив логов, упрощающий проведение отчётности по соответствию регулятивных требований. Шифровальные устройства SafeNet прошли сертификацию FIPS и соответствуют 140-2 уровня 3, что позволяет соблюсти большое количество государственных требований и требований бизнеса. Некоторые из предлагаемых Gemalto шифров прошли сертификацию NATO, UC APL и CAPs (UK), Common Criteria, а также FIPS 140-2 L3. Также, компания Gemalto является поставщиком услуг безопасности, обслуживающим нужды правительственных и коммерческих сетей. Более 80 % переводов между банками производится на шифровальных устройствах компании SafeNet, которая была приобретена Gemalto.


Рост производительности

Шифровальные устройства SafeNet производят шифрование всего IP-пакета, при этом дополнительный IP-заголовок шифруется отдельно. Это значит, что когда фрагмент данных канального уровня путешествует по промежуточным сетям, MAC-адрес исходного фрагмента данных остаётся неизменным. Так как маршрутизаторы, которые работают на сетевом уровне, меняют MAC-адрес, фрагмент данных, подвергшийся шифрованию, неспособен пройти через маршрутизатор до расшифрования.


Шифровальные устройства SafeNet прекрасно подходят для соединений WAN ввиду меньшей сложности и большей эффективности. После того как данные подверглись шифрованию на канальном уровне, скоростной фрагмент данных а также все проходящие через сеть данные уже зашифрованы. Также, после замены IPsec-шифрования на шифрование с помощью устройств SafeNet существенно (почти в два раза) увеличивается пропускная способность, а задержка через IPsec-соединение, в свою очередь, сокращается в более чем 10 раз. Это гораздо лучше, чем покупать или брать в аренду дорогой канал с большими расходами.


Архитектура

Ввиду несложной реализации, устройства SHSE позволяют осуществлять гибкие подходы к развёртыванию. Это позволяет выполнить развёртывание сети с ячеистой структурой с наименьшими затратами.

Доступная совместимость

Если устанавливать устройство SHSE в качестве дополнительного устройства, то это не сказывается на инфраструктуре. Поэтому системы в рамках сети работают, как прежде. Компании получают гибкость в администрировании и большую отдачу от сделанных вложений, а также позволяют эффективно планировать дальнейшее развитие инфраструктуры.

Ниже представлен список сетей, с которыми могут работать шифровальные устройства SafeNet.

  • VLAN, QinQ;

  • Jumbo Frames;

  • Carrier High Speed (E-Line/E-LAN);

  • High Speed II, IEEE 802.3;

  • High Speed over OTN (G.709);

  • High Speed over MPLS;

  • DWDM/Dark Fibre.


Влияние шифрования на сетевом уровне на пропускную способность

Исследование Рочестерского технологического института показало, что выгоды дорогих скоростных сетей могут быть значительно снижены за счёт потери пропускной способности. Результаты исследования говорят о том, что шифрование с помощью шифровальных устройств SafeNet на канальном уровне гарантируют отличную пропускную способность и существенно снижают задержку по сравнению с операциями IPsec VPN сетевом уровне. Взглянем подробнее на некоторые различия.

IP-заголовок

В транспортном режиме IPsec содержит меньшее количество служебной информации, но не гарантирует конфиденциальность для IP-заголовка сетевого уровня. Это значит, что конфиденциальные сведения об адресе внутренней сети могут быть злонамеренно получены путём обзора общей сети.


Туннельный режим IPsec позволяет закрыть эту брешь, ведь IP-пакет шифруется и включается в состав другого пакета. Этот другой IP-пакет имеет только адреса шифровальных устройств в конечных точках, но не адреса хостов.


Несмотря на то, что режим туннелирования ликвидирует брешь безопасности транспортного режима IPsec, вместе с тем он добавляет существенное количество служебной информации. Обработка IP-заголовка сказывается на производительности, увеличивая задержки.


Шифровальные устройства SHSE позволяют избежать проблем, которые появляются в режиме туннелирования IPsec, т. к. они находятся «с краю» сети и обеспечивают шифрование всего IP-пакета целиком, при этом не добавляют служебную информацию дополнительного IP-заголовка.


Тестирование решений

Рочестерский технологический институт в своих тестах использовал следующие устройства:

  • две сетевых карты Cisco Gigabit Ethernet (эти карты были установлены в двух шасси Cisco Catalyst 6509 высокой производительности);

  • два модуля Cisco Services IPsec VPN Services;

  • два выделенных устройства шифрования SafeNet канального уровня;

  • тестовая платформа Ixia 250.


Всё это было соединено простой сетью.


При тестировании установили базовую инфраструктуру, позволяющую учитывать сужение полосы пропускания за счёт служебной информации протокола Ethernet. После в измерения были включены потери фрагментов данных, задержку и пропускную способность зашифрованной и незашифрованной информации для различных размеров фрагментов данных.


Потери фрагментов данных

Потеря фрагментов данных представляет собой различие между числом фрагментов, которое передаётся одним интерфейсом, и числом фрагментов, полученных другим интерфейсом. Тесты, которые производил Рочестерский технологический институт, выявляли наибольшую скорость работы устройств без потери фрагментов данных.


Шифратор SHSE показал потери менее 1/1000-го из 1 % потерь фрагментов данных для всякого заданного размера фрагмента данных. Этот показатель незначителен с точки зрения статистики и фактически означает, что средняя потеря фрагмента данных равна 0 для 100 % скорости канала.


Если сравнить с решением IPsec, то потери последнего существенны для всех размеров фрагментов данных. Если увеличивать нагрузку, потеря фрагментов данных была также зарегистрирована. При уменьшении фрагментов данных наблюдалась логарифмическое увеличение потери фрагментов. При фрагменте в 64 байта больше 40 % потерь фрагментов зарегистрировано при 30 % наибольшей в теории пропускной способности. Это существенно ограничивает возможную полосу пропускания в условиях шифрования IPsec.


Доступная пропускная способность

Обычный фрагмент данных Ethernet может передавать полезную нагрузку в 1500 байт. Ethernet содержит преамбулу размером 8 байт в начале фрагмента и разрыв между фрагментами 12 байт – всё это снижает общую пропускную способность.


В ходе тестов было установлено, что скоростные устройства шифрования SafeNet не сказываются на пропускной способности в каком бы то ни было направлении, невзирая на размер фрагмента данных. При этом пропускная способность держится на уровне 100 % от наибольшей возможной.


IPsec-шифрование использует дополнительно 57 байт служебной информации, включённой в IP-заголовок пакета. Таким образом, при небольших размерах фрагмента данных (кадра/фрейма) дополнительные 57 байт существенно влияют на пропускную способность.


IPsec-шифрование не позволяет использовать наибольшую теоретическую пропускную способность при маленьких размерах фрагментов данных. Размеры от 512 до 1280 байт позволяли достичь примерно 100 % наибольшей теоретической пропускной способности. Однако, если фрагменты данных были размером 256 байт, производительность составляла только 73 % и далее только снижалась, составив только 27 % при фрагменте данных в 64 байта.


Задержка

В тестах Рочестерского технологического института замерялось время, которое необходимо, чтобы первый бит фрагмента данных прошёл тестовую сеть от точки передачи к точке прибытия. Результаты сравнивались в виде процентного увеличения задержки, если сравнивать с задержкой, которая происходит без шифрования.


Есть ожидание, что каждое новое устройство в сети увеличивает задержку. Средняя задержка для данных, отправленных через тестовую сеть, разнилась от 1,2 мс для фрагментов в 64 байта до 1,3 мс для фрагментов размером 1420 байт. Использование устройств шифрования SafeNet увеличило показатель задержки менее чем на 1 %.


Усреднённые показания шифрования IPsec говорят о задержке, в 13 раз превышающей задержку, которая возникала при использовании скоростных устройств шифрования SafeNet.


Итоги

В теории производительность шифрования на канальном уровне превосходит производительность шифрования сетевого уровня. Проведённые тесты подтверждают теорию, т. к. при шифровании на сетевом уровне задержки вызваны добавлением служебной информации к фрагменту данных.


Устройства шифрования SafeNet, в отличие от ситуации с IPsec-шифрованием, работают на линейной скорости и почти не провоцируют задержки, оставляя полосу пропускания насколько возможно широкой.


При тестировании также не было замечено существенных потерь фрагментов данных при шифровании с помощью шифраторов SafeNet, а вот при использовании IPsec-шифрования потеря фрагментов и снижение скорости передачи были существенными.


Также, зафиксированная латентность Cisco IPsec в условиях шифрования превысила латентность устройств шифрования SafeNet в 13 раз. В архитектурах, где Ethernet-шифрование подходит для нужд компании, его производительность смотрится намного более выгодно на фоне IPsec-шифрования.


_____________________________________


Gemalto

www.safenet.gemalto.com www.gemalto.com


TESSIS – официальный дистрибьютор в России

www.tessis.ru

Просмотров: 533

© 2020, СIS (Современные Информационные Системы).     info@sovinfosystems.ru     Журнал предназначен для лиц старше 16 лет.