Введение
Цифровая трансформация вызвана стремительным развитием информационных технологий, микроэлектроники и коммуникаций в мире. Наблюдается повсеместное внедрение ИТ в разных сферах деятельности: промышленности, экономике, образовании, культуре, обслуживании.
С развитием цифровизации строительство коммерческих ЦОД и предоставление облачных сервисов бизнесу стали мейнстримом. Облачные сервисы используются сегодня всё большим числом компаний, а мировой рынок облачных сервисов способствует появлению новых бизнес-моделей.
Со стороны бизнеса поступают более высокие требования к уровню качества облачных сервисов, информационной безопасности, соответствия нормативным требованиям. Характеристики сервисов и информационных систем имеют высокие требования к параметрам сети: они не приемлют потерь данных на каналах и увеличения времени задержки, утилизируют пропускную способность интерфейсов более чем на 70 %, а при создании и передаче резервных копий или снимков (snapshot) каналы загружаются максимально. Кроме того, потоковое видео, видео-конференц-связь, IP-телефония требуют стабильных показателей задержки, а высокая загрузка инфраструктуры в круглосуточном режиме — минимальных сроков ввода систем для защиты каналов.
В России, учитывая требования ФСТЭК России и ФСБ России, наблюдается спрос на аттестованные сегменты ЦОД с требуемым уровнем защищённости в связи с ужесточением законодательных требований по работе с персональными данными и размещению в облаке государственных информационных систем.
Поскольку «ядром» облачных вычислений в современных реалиях являются телекоммуникации, обеспечение безопасности данных, которые передаются по недоверенным каналам, становится одним из основных векторов защиты. Даже к оптоволоконной линии могут быстро и незаметно подключиться злоумышленники. Поэтому шифрование является единственным надёжным способом борьбы с угрозами.
В России, учитывая требования действующего законодательства (152-ФЗ, 187-ФЗ, ГОСТ Р 57580.1-2017 и т. п.), необходимо применять сертифицированные в системе ФСБ России криптосредства.
Сегодня в обзоре речь пойдёт о единственных на текущий момент в России сертифицированных модулях для криптографической защиты высокоскоростных каналов связи «Квазар», которые обеспечивают шифрование на уровне L1.
Архитектура СКЗИ «Квазар»
Почему шифрование на уровне L1 эффективно для защиты оптических высокоскоростных каналов связи (OTN)?
Прежде чем переходить непосредственно к обзору продукта, сначала расскажем о том, какую целевую нишу занимает «Квазар» на рынке сертифицированных криптосредств.
Сегодня на российском рынке широко распространены сертифицированные криптосредства, которые обеспечивают защиту на уровнях L2 и L3 семиуровневой модели OSI. Однако при использовании L2- / L3-устройств для защиты данных в оптических каналах существует ряд проблем:
- снижение пропускной способности (высокие накладные расходы на шифрование);
- низкая скорость шифрования (не поддерживается шифрование на скорости линии);
- негативное влияние на характеристики и качество сети (вносимая задержка и её изменение (вариация), потери пакетов и кадров);
- отсутствие приоритизации шифрования трафика между сервисами;
- внесение изменений в служебную информацию (влияние на QoS, trunk);
- влияние на архитектуру сети при интеграции в неё устройств шифрования.
За рубежом для защиты оптических каналов уже давно применяются устройства класса L1 Services Encryption. Перемещение криптографической защиты с уровней L2 / L3 на более низкий уровень L1 приводит ко предельно малому влиянию функциональности ИБ на ИТ-сервисы. Для передачи данных по оптическим линиям с использованием протокола OTN L1-шифраторы упаковывают их в специальные блоки протокола, одновременно зашифровывая. За счёт этого удаётся существенно уменьшить время затрачиваемое на шифрование данных. После передачи блоки распаковываются и расшифровываются L1-шифратором на приёмной стороне. В данном случае защищается весь направляемый в транспортную сеть трафик, включая служебную информацию вышестоящих протоколов без их изменения.
Таким образом, устройствам класса L1 Services Encryption свойственны максимальная и независящая от размера пакетов пропускная способность, сверхнизкая вносимая оборудованием задержка (не зависит от загрузки канала), нативное соединение (для соединяемого оборудования такой канал полностью прозрачен).
При этом криптосредства уровня L1 не стоит рассматривать в качестве конкурентов тем, которые работают на уровнях L2 / L3, поскольку у каждого из этих типов своё целевое предназначение. Устройства класса L1 Services Encryption эффективны при построении оптических каналов связи.
Теперь, когда мы разобрались с позиционированием устройств класса L1 Services Encryption (где и почему они эффективны), можно перейти непосредственно к обзору российских сертифицированных L1-шифраторов «Квазар».
Архитектурные особенности СКЗИ «Квазар»
Архитектура «Квазаров» спроектирована таким образом, чтобы обеспечить эффективную работу с оптической средой передачи данных без влияния на характеристики сети в целом. Модуль шифрования «Квазар» помещает кадры клиентских протоколов L2 целиком в гораздо больший кадр протокола передачи данных по оптической сети и потом шифрует его. Далее эти кадры доставляются через оптическую сеть и распаковываются устройством шифрования на другом её конце. Как уже говорилось, «Квазар» защищает весь направляемый в транспортную сеть трафик.
Рисунок 1. Типовые схемы реализации защиты оптических каналов при помощи СКЗИ «Квазар»
Поскольку модули «Квазар» функционируют на уровне L1, у устройств шифрования нет IP- и МАС-адресов. С точки зрения интеграции в сеть «Квазары» устанавливаются «в разрыв», не оказывая влияния на сетевую инфраструктуру. Всё это способствует их лёгкой установке.
На операторской стороне устройства используют сигнал OTU2 с битовой скоростью примерно 10 Гбит/с, что соответствует скорости клиентского интерфейса (то есть полосе пропускания Ethernet) чуть менее 10 Гбит/с. Шифрование идёт на полной скорости линии. Для шифрования применяется алгоритм ГОСТ Р 34.12-2015 в режиме гаммирования. Вся избыточная информация помещается за пределами кадра Ethernet. Сетевая задержка также невелика и составляет примерно 50 микросекунд. В качестве транспорта может применяться «тёмное» оптоволокно, DWDM или опорная сеть оператора, использующая оптику.
Доставка кадров обеспечивается как по Ethernet, так и по Fibre Channel. Благодаря этому отсутствует необходимость упаковывать трафик Fibre Channel в Ethernet или IP. В сочетании с низкой задержкой это делает применение «Квазаров» привлекательным для сетей хранения данных (СХД) — например, в целях синхронной репликации БД.
Криптосредство ориентировано на необслуживаемый, удалённый от администраторов режим работы. Поддерживаются полноценные функции защиты от физического воздействия, такие как удаление всей ключевой информации при потере питания, вскрытии корпуса или нажатии на кнопку экстренного сброса. Управление — как локальное, так и удалённое — осуществляется через выделенные сетевые порты.
Особенности линейки модулей шифрования «Квазар»
Линейка «Квазар» включает в себя:
- СКЗИ «Квазар» — модули шифрования МШ-ТРfc и МШ-ТРfc-1U (транспондеры), МШ-MUXs и МШ-MUXs-1U (агрегирующие транспондеры);
- СКЗИ «Квазар-100» — модули шифрования ВМШ-ТР-1U для организации защиты высокоскоростного канала 100 Гбит/с;
- СКЗИ «Квазар-СКР» — модули шифрования с квантовой криптографической системой выработки и распределения ключей МШ-ТР-СКР;
- СКЗИ «Квазар-Э» — экспортные варианты модулей шифрования МШ-ТРfc-1U и МШ-MUXs-1U.
«Квазар»
Модуль шифрования МШ-ТРfc — транспондер на основе платы с установленными на ней лицевой панелью и верхней защитной крышкой. Представляет собой вставной блок, устанавливаемый в специализированное шасси. Возможны два варианта исполнения — с боковым обдувом и с фронтальным (для помещений с коридорным типом охлаждения). Обеспечивает криптоимитозащиту и преобразование клиентского потока информации по интерфейсам 10 Gbit Ethernet или 8 Gbit Fibre Channel.
Рисунок 2. Внешний вид модуля шифрования МШ-ТРfc
Модуль шифрования МШ-ТРfc-1U выполнен в виде моноблока, который имеет защитный корпус высотой 1U для монтажа в 19-дюймовый телекоммуникационный шкаф. Обеспечивает криптоимитозащиту и преобразование клиентского потока информации по интерфейсам 10 Gbit Ethernet или 8 Gbit Fibre Channel.
Рисунок 3. Внешний вид модуля шифрования МШ-ТРfc-1U
Модуль шифрования МШ-MUXs — агрегирующий транспондер (мукспондер), выполненный на основе платы с установленными на ней лицевой панелью и верхней защитной крышкой. Представляет собой вставной блок, устанавливаемый в специализированное шасси. Здесь также возможны два варианта исполнения — с боковым и фронтальным обдувом. Обеспечивает криптоимитозащиту и преобразование клиентского потока информации по интерфейсам 8х1Gbit Ethernet либо 8xSTM-1 / 8xSTM-4 / 4xSTM-16.
Рисунок 4. Внешний вид модуля шифрования МШ-MUXs
Модуль шифрования МШ-MUXs-1U — агрегирующий транспондер (мукспондер), выполненный в виде моноблока, который имеет защитный корпус высотой 1U для монтажа в 19-дюймовый телекоммуникационный шкаф. Обеспечивает криптоимитозащиту и преобразование клиентского потока информации по интерфейсам 8х1Gbit Ethernet или 8xSTM-1 / 8xSTM-4 / 4xSTM-16.
Рисунок 5. Внешний вид модуля шифрования МШ-MUXs-1U
Все модули шифрования «Квазар» — МШ-ТРfc, МШ-ТРfc-1U, МШ-MUXs, МШ-MUXs-1U — сертифицированы ФСБ России на соответствие требованиям к СКЗИ по классу КС3.
«Квазар-100»
Высокоскоростные модули шифрования «Квазар-100» позволяют организовать защиту оптического канала 100 Гбит/с. Основное их отличие — защита информации в OTN-сетях с форматом кадра OTU4.
Рисунок 6. Внешний вид высокоскоростного модуля шифрования ВМШ-ТР «Квазар-100»
Исполнения ВМШ-ТР «Квазар-100» различаются клиентскими интерфейсами, которые позволяют гибко подстраиваться под структуру защищаемой сети:
- ВМШ-ТР-1U имеет один клиентский интерфейс 100G Ethernet;
- ВМШ-MUXfc-1U имеет шесть клиентских интерфейсов Fibre Channel 16GFC;
- ВМШ-MUX-1U имеет десять клиентских интерфейсов 10G Ethernet.
Все устройства «Квазар-100» выполнены в виде моноблоков формфактора 1U.
На момент написания статьи сертификат ФСБ России получен на версию ВМШ-ТР-1U. Сертификаты соответствия на ВМШ-MUXfc-1U и ВМШ-MUX-1U планируются к получению в 2022 году.
«Квазар-СКР»
Особенностью модуля шифрования «Квазар-СКР» является сопряжение с квантовой криптографической системой выработки и распределения ключей (ККС ВРК). Необходимость «Квазар-СКР» обусловлена стремлением повысить удобство работы конечных пользователей за счёт отказа от периодической доверенной доставки ключей симметричных криптоалгоритмов и, соответственно, увеличения автономности СКЗИ благодаря такому отказу.
Рисунок 7. Внешний вид модуля шифрования «Квазар-СКР»
Это усовершенствование потребовало проработки и реализации интерфейса взаимодействия модулей шифрования «Квазар» с ККС ВРК, а также механизмов использования полученных по интерфейсу квантовых величин для защиты передаваемой по OTN-каналу информации.
Модуль шифрования обеспечивает криптоимитозащиту и преобразование клиентского потока информации по интерфейсам 10 Gbit Ethernet или 8 Gbit Fibre Channel. Планируется получение сертификата ФСБ России о соответствии требованиям к СКЗИ по классу КС3 в 2022 году.
«Квазар-Э»
СКЗИ «Квазар-Э» предназначены для экспортных поставок. Перечислим конструктивные модификации их исполнения.
Модуль шифрования МШ-ТРfc-1U (экспортный вариант) — транспондер, выполненный в виде моноблока, имеющего защитный корпус высотой 1U для монтажа в 19-дюймовый телекоммуникационный шкаф. Обеспечивает криптоимитозащиту и преобразование клиентского потока информации по интерфейсам 10 Gbit Ethernet или 8 Gbit Fibre Channel.
Рисунок 8. Внешний вид модуля шифрования «Квазар-Э» МШ-ТРfc
Модуль шифрования МШ-MUXs-1U (экспортный вариант) — агрегирующий транспондер (мукспондер), выполненный в виде моноблока, имеющего защитный корпус высотой 1U для монтажа в 19-дюймовый телекоммуникационный шкаф. Обеспечивает криптоимитозащиту и преобразование клиентского потока информации по интерфейсам 8х1Gbit Ethernet либо 8xSTM-1 / 8xSTM-4 / 4xSTM-16.
Рисунок 9. Внешний вид модуля шифрования «Квазар-Э» МШ-MUXs
Планируется получение сертификата ФСБ России о соответствии требованиям к СКЗИ по классу КС3 в 2022 году.
С техническими характеристиками устройств линейки «Квазар» можно ознакомиться на сайте производителя.
АРМ ИКД
Если рассматривать комплекс «Квазар» в целом, то в его состав помимо модулей шифрования различного назначения входит автоматизированное рабочее место изготовления ключевых документов (АРМ ИКД). Подробнее о нём можно узнать здесь.
Функциональные возможности СКЗИ «Квазар»
СКЗИ «Квазар» осуществляет защиту канала «точка — точка». При этом отсутствует джиттер (колебания задержки, означающие, что пакеты отправляются и принимаются с разной скоростью) благодаря синхронной передаче данных. Есть возможность мультиплексировать потоки нескольких СКЗИ в одно оптическое волокно.
Благодаря наличию второго линейного интерфейса (за исключением модуля шифрования «Квазар-100», который его не имеет), работающего в параллельном режиме, «Квазары» поддерживают резервирование линии без дополнительных устройств, причём обеспечиваемое время переключения на резервный канал (до 50 миллисекунд) является абсолютно незаметным для большинства сервисов.
Мониторинг оборудования осуществляется через систему управления «Фрактал».
В СКЗИ «Квазар» реализован алгоритм шифрования в соответствии с ГОСТ Р 34.12-2015, при этом криптографическое преобразование осуществляется в режиме гаммирования согласно ГОСТ Р 34.13-2015. Имитозащита данных также выполняется в соответствии с ГОСТ Р 34.13-2015. Формирование и контроль имитовставки осуществляются по каждому кадру OTU2.
Ключи в СКЗИ «Квазар» — парные. Модификация ключа осуществляется спустя определённое количество кадров. Защита ото «чтения назад» — периодическая нереверсивная модификация ключей (период менее 1 часа).
Системные требования СКЗИ «Квазар»
СКЗИ «Квазар» можно применять как телекоммуникационное оборудование, если, например, специализированная аппаратура для организации каналов ещё не закуплена, а также интегрировать в существующую сетевую инфраструктуру с DWDM-оборудованием и использовать как классический шифратор.
Рисунок 10. Типовая схема организации каналов, где СКЗИ «Квазар» выполняет функции шифратора и коммутационного оборудования
Рисунок 11. Типовая схема организации каналов с существующим DWDM-оборудованием, где СКЗИ «Квазар» выполняет функции шифратора
Модули шифрования «Квазар» поддерживают формат OTU2e, а «Квазар-100» — формат OTU4, что даёт им совместимость с DWDM-системами ведущих производителей, таких как Huawei, ADVA Optical Networking, Packetlight Networks, ООО «Т8», BTI (Juniper), Ciena, Infinera, Ekinops.
Вендор проверяет работоспособность модулей шифрования «Квазар» при их эксплуатации в связке с различными DWDM-системами. Больше о поддерживаемом оборудовании можно узнать на сайте производителя.
На основании результатов испытаний получены сертификаты совместимости с оборудованием ООО «Т8» (платформа «Волга»), ADVA и «АМТ-ГРУП» (АПК InfoDiode). При этом заказчику достаточно провести стендирование и проверить работу модулей шифрования в своей сети.
Сценарии использования комплекса «Квазар»
Далее опишем несколько вариантов использования комплекса «Квазар» на практике.
Построение защищённых оптических сетей при помощи СКЗИ «Квазар» (типовой сценарий)
Рассмотрим случай применения СКЗИ «Квазар» при построении защищённых оптических сетей. Этот кейс является типичным сетевым решением корпоративного уровня, подходящим для некрупного, но развивающегося бизнеса.
Допустим, перед компанией стоит задача построить канал передачи данных со скоростью 10 Гбит/с на расстояние до 40 км.
Рисунок 12. Построение защищённых оптических сетей при помощи СКЗИ «Квазар» (типовой сценарий)
Для решения этой задачи используется модуль шифрования «Квазар» МШ-ТРfc-1U — как в роли каналообразующего оборудования, так и в качестве L1-шифратора. При этом устройство занимает всего один юнит в стойке, что важно, например, в случае если компания является оператором распределённых ЦОДов, для которого аренда стоек по модели «colocation» является бизнесом. Кроме того, «Квазар» МШ-ТРfc-1U полностью удовлетворяет требованиям по пропускной способности канала и не снижает его показатели.
Защита DWDM-решения для сетей 10G, 1G и 8GFC
Теперь рассмотрим кейс, когда необходимо защитить ЦОДы и крупные клиентские сайты, которые оснащены коммутационным оборудованием с интерфейсами 1G, 10G и 8FC. В рамках такой инфраструктуры необходимо обеспечить защиту данных в каналах ото всех ИТ-систем и сервисов, которые применяют интерфейс 10G, дополнительно обезопасить сервисы, для которых используется отдельная сеть (интерфейсы 1G), а также организовать защиту информации в сети передачи данных между географически разделёнными СХД, которые взаимодействуют по протоколу Fibre Channel. При этом характеристики работающих на 10G и 8GFC сервисов и информационных систем имеют высокие требования к параметрам сети, а высокая загрузка инфраструктуры в режиме 24×7 требует вводить средства защиты каналов связи в минимальные сроки.
Для реализации этого кейса можно использовать модели МШ-ТРfc и МШ-MUXs в исполнении для установки в шасси. Устройства МШ-ТРfc, обладающие универсальным клиентским интерфейсом (10G и 8GFC), обеспечивают в этом сценарии защиту каналов передачи данных, а МШ-MUXs — агрегацию сетей 1G, соблюдая требования по информационной безопасности при изоляции этих сетей.
Рисунок 13. Схема защиты DWDM-решения для сетей 10G, 1G и 8GFC
Возможность работы устройств на скорости линии и совместимость с DWDM-системами позволяют не вносить изменений в существующую DWDM-систему и обеспечить защиту сети без ограничения её пропускной способности. Низкие показатели вносимой задержки наряду с отсутствием джиттера и потерь даже при полной загрузке канала позволяют интегрировать криптосредства без воздействия на работу систем и сервисов. Простая настройка и полное отсутствие влияния устройств шифрования на сетевую инфраструктуру (работа в транспарентном режиме, отсутствие IP- и MAC-адресов на клиентских и линейных интерфейсах) дают возможность ввести систему в эксплуатацию без прерывания сервисов.
Защита опорных сетей предприятий
Теперь рассмотрим сценарий защиты трафика между тремя площадками, объединёнными оптическими трассами с DWDM. Различная пропускная способность сети между ЦОДами и третьей площадкой является отличительной особенностью этого кейса.
ЦОДы связаны пятью каналами 10G с резервированием как по линиям связи, так и по оборудованию. Резервная линия проходит через третью площадку. Третья площадка связана каналами 10G с каждым ЦОДом. Таким образом возникает схема «кольцо». Отказоустойчивость и балансировка нагрузки сети реализованы на базе IP-маршрутизации, настроенной поверх закольцованной опорной сети.
Рисунок 14. Схема защиты опорных сетей предприятий
Для реализации сценария применяются МШ-ТРfc (исполнение для установки в шасси). Кроме того, для защиты каналов Fibre Channel ввиду возможных перспектив развития инфраструктуры и наличия свободного места в собственных ЦОДах можно использовать шасси v10, способные вместить до 12 модулей шифрования.
Стоит отметить, что функционирование модулей шифрования не требует их участия в маршрутизации или коммутации пакетов. Благодаря этому их применение в межсайтовом шифровании при защите опорных корпоративных сетей существенно облегчает проектирование и внедрение.
Выводы
Для защиты высокоскоростных оптических каналов со строгими требованиями к параметрам сети применяются устройства класса L1 Services Encryption. «Квазар» — это единственное на сегодняшний день сертифицированное в системе ФСБ России криптосредство на российском рынке с поддержкой российских криптоалгоритмов для шифрования на уровне L1 в оптических сетях.
С помощью модулей «Квазар» можно построить защищённые каналы между филиалами компании, основными и резервными ЦОДами, обеспечить защиту различных мультисервисных сетей (потоковое видео, ВКС, телефония, передача данных).
L1-шифраторы «Квазар» эффективны при построении оптических высокоскоростных каналов связи между площадками, когда предъявляются требования по защите передаваемой информации с применением сертифицированных СКЗИ, а также при наличии систем и сервисов с высокими показателями SLA.
Наличие сертификата соответствия требованиям ФСБ России к СКЗИ по классу КС3 даёт возможность использовать модули шифрования «Квазар» в составе комплексов защиты систем, где применение сертифицированных продуктов обязательно (государственные информационные системы, информационные системы персональных данных, финансовые (банковские) системы, подпадающие под требования ГОСТ Р 57580.1-2017).
Модули «Квазар» помимо функций криптозащиты также могут выполнять роль каналообразующего оборудования.
Низкие показатели вносимой задержки у «Квазаров» наряду с отсутствием джиттера и потерь даже при стопроцентной загрузке канала позволяют интегрировать криптосредства в сеть без влияния на работу информационных систем и сервисов. Прозрачная работа «Квазаров» не требует их участия в маршрутизации или коммутации пакетов. Совместимость «Квазаров» с DWDM-системами даёт возможность работать на скорости линии и не вносить изменений в DWDM-систему существующей сети, обеспечивая защиту последней без ограничения её пропускной способности.
Как таковых недостатков обнаружено не было, поскольку продукт является единственным в своём роде на рынке. Однако можно отметить некоторые нюансы, обусловленные спецификой L1 Services Encryption — учитывая то, что все заголовки L2 и выше шифруются, возможно только позвенное шифрование (в том числе в кольцевых сетях OTN). Вследствие этого необходимо использовать большое количество таких шифраторов.
Достоинства:
- Отечественная разработка, L1-шифрование с применением алгоритма ГОСТ.
- Сертификат соответствия требованиям ФСБ России к СКЗИ по классу КС3.
- Минимальное влияние на ИТ-сервисы благодаря уникальным сетевым характеристикам, простая интеграция и внедрение без перерыва сервисов, включая интеграцию с системами мониторинга.
- Реальная производительность 10 и 100 Гбит/с без потерь, возможность масштабирования. При использовании дополнительного коммуникационного оборудования DWDM возможно мультиплексировать потоки нескольких СКЗИ в одно оптическое волокно, наращивая необходимую производительность по защите информации, при этом не увеличивая количество используемых оптических волокон. Защита мультисервисных сетей (потоковое видео, ВКС, телефония, передача данных) обеспечивается без необходимости разделения потоков информации.
- Возможность подключения к магистральным каналам OTN, поддержка основных протоколов передачи данных (Eth 1G, 10G, 100G, 8GFC, STM 1-4-16), совместимость с любым DWDM или работа по «тёмному» волокну.
- Маскирование типа трафика в каналах связи.
- Возможность использовать в роли каналообразующего оборудования.
- Низкая стоимость в пересчёте на гигабит защищённой информации.
Недостатки:
- Топология «точка — точка»: необходимо использовать большое количество модулей шифрования, т. к. возможно только позвенное шифрование.
Источник: Anti-Malware.ru