Автор - Маркевич Кирилл Викторович, руководитель направления
Введение
С момента перехода от постиндустриального к информационному обществу требования к системам обработки, хранению и передачи данных непрерывно растут. Новые технологии (виртуализация, облачные решения, Big Data, системы реального времени и др.) накладывают жёсткие требования к техническим характеристикам и функциональности. Дата-центры стали неотъемлемым атрибутом нашего времени, предоставляя ИТ-услуги для решения задач крупного, среднего и малого бизнеса и государственных заказчиков. Операторы связи за последние годы существенно модернизировали каналы передачи данных и свою технологическую инфраструктуру для предоставления услуг связи, передачи данных и доступа к сети Интернет. Появление новых и развитие действующих территориально распределённых ресурсов утвердили необходимость соответствия высоким требованиям качества, надёжности и защиты информации и инфраструктуры.
Стало очевидным, что в современных реалиях скорость работы инфраструктуры, время отклика компьютерных программ и бизнес-приложений является важным параметром в условиях выполнения SLA ИТ-сервисов. Высокая конкуренция на ИТ-рынке позволила поднять планку качества и приучить пользователей к высокому качеству обслуживания. Когда для получения желаемого результата от приложения необходимо подождать, мы испытываем неудовлетворение и желание отказаться от использования программы в пользу других вариантов. Если рассмотреть ситуацию на уровне бизнеса, производственных процессов или работы персонала, в том числе руководства, где важно своевременно получить информацию для выполнения бизнес-задач и принятия решений, когда минуты и даже секунды влияют на результат, — это становится реальной проблемой, которую надо разрешать, ведь на кону могут стоять не только финансовые успехи, но и жизни людей. Воздействие на работу приложений оказывают все компоненты архитектуры ИТ-сервиса. Это мощность серверов и СХД, настройка СУБД, правильность исполняемого кода приложения, производительность и надёжность сетей передачи данных. Настройка этого технологического «оркестра» под параметры SLA — весьма непростая задача. В условиях необходимости обеспечения защиты данных сложность многократно возрастает. В силу специфики направления деятельности нашей компании мы сегодня поговорим о влиянии применения СКЗИ при защите каналов связи на сетевые параметры инфраструктуры.
СКЗИ на каналах связи
За последнее время регуляторы в лице ФСТЭК России, ФСБ России, ЦБ России, Минкомсвязь выпустили достаточно большой перечень новых требований по обеспечению информационной безопасности и защите инфраструктуры, предписывающие обязательное применение сертифицированных СЗИ и СКЗИ, таким образом, не оставляя шансов для применения иностранных средств защиты, зачастую встроенных в используемое оборудование. В этой связи возникает ситуация, когда в выверенную инфраструктуру с сервисом, работающим с необходимым качеством, требуется внести дополнительный компонент в виде сертифицированного СЗИ или СКЗИ. В результате внесения (формального, без учёта применяемой технологии) таких изменений защищённость сервисов и данных, в соответствии с нормативным документами, возрастает, а вот качество работы сервисов может резко ухудшиться. Это связано с тем, что применение СЗИ и СКЗИ на каналах связи существенно влияет на такие сетевые параметры как:
-
Пропускная способность (bandwidth). В случае, когда на сети применяются СКЗИ, необходимо говорить о скорости шифрования, т. к. именно этот параметр в основном определят пропускную способность, а не номинальная скорость сетевого интерфейса. Применение СКЗИ не должно уменьшать пропускную способность, в противном случае появляются потери информации при передаче и её повторная передача при использовании протоколов с гарантией доведения
-
Кол-во потерянных пакетов (Packet loss)
-
Различные виды задержки (RTT, OWD)
-
Изменение задержки, сетевой джиттер (Jitter)
Это важные показатели надёжности и производительности сетей передачи данных, а, следовательно, и работающих поверх этих сетей приложений и сервисов.
Потери на канале связи приводят к существенному замедлению и нестабильной работе сложных протоколов прикладного уровня.
Скорость работы приложений, использующих «болтливые» протоколы, замедляется нелинейно по отношению к росту задержки в сети, из-за тайм-аута рвутся сессии, и цикл вопрос-ответ между клиентом и сервером начинается снова. Приложения реального времени, стриминга, транзакционные схемы, сервисы синхронизации СУБД и СХД сильно зависят от времени ожидания отклика системы. Увеличение задержки всего на несколько миллисекунд может привести к неверной реакции на предоставленные данные. Изображение и голос искажаются, приложения «зависают». Высокие показатели джиттера не дают возможности системам подстроиться под текущий уровень задержки и стабилизировать работу сервиса.
О важности этих показателей сегодня говорят нам и значимые события, освещённые в мировых СМИ. В борьбе за сокращение задержек Cisco поглощает Exablaze — разработчика сетевых решений с ультранизкими задержками, а провайдер Colt Technology Services построил сеть между Токио и Гонконгом со временем отклика до 40 миллисекунд.
Причины, по которым СКЗИ наделены теми или иными характеристиками производительности, различны.
-
Выбор между СКЗИ, выполняющими только целевые функции криптоимитозащиты и многофункциональными СКЗИ, выполняющими ряд дополнительных функций (например, маршрутизацию, межсетевое экранирование, шлюзование). На рынке присутствуют как узконаправленные устройства, так и сочетающие в себе несколько функций.
-
Режим защиты (шифрования) данных. В транспортном (native) режиме шифруется только блок данных, а сетевые заголовки остаются, незашифрованными. В туннельном режиме весь протокольный блок данных (то есть сам пакет) шифруется и инкапсулируется в блок данных того же или более высокого уровня.
- Уровень сетевой модели OSI, на котором выполняется защита. В сочетании с режимом шифрования мы получаем совершенно разные теоретические максимумы производительности (см. рисунок 1).
Рисунок 1.
Сервисы наиболее чувствительные к сетевым параметрам:
- IP телефония и видеоконференцсвязь;
- Потокового видео;
- Кластеры серверов баз данных;
- Приложения на протоколах с избыточной информативностью;
- Распределенные базы данных;
- Онлайн-сервисы;
- Сервисы на сетях с большим значением MTU.
- Так же производительность СКЗИ зависит от способа реализации криптографических алгоритмов (процессор или ПЛИС) и сложности сетевых операций, выполняемых на устройстве, от производительности оборудования (процессор или ПЛИС).
Решение для защиты каналов передачи данных необходимо подбирать в зависимости от заданного уровня сервисов, использующих эти каналы, оперируя перечисленными выше параметрами. Естественно, это не полный список параметров для оценки влияния СКЗИ на сетевые сервисы. В числе важных характеристик для принятия решения среди похожих моделей можно рассматривать, в частности, возможность масштабирования, совместимость, влияние на сетевую топологию, надёжность и наличие имитозащиты.
Что же делать, если данные параметры всё равно не удовлетворяют требованиям приложений? Вариантов немного, но они есть.
-
Уделить внимание корректной работе протоколов приоритизации трафика (QoS). Тут важно отметить, что в данном случае средства защиты не должны скрывать служебные заголовки, по которым она осуществляется. При выборе туннельного режима это будет проблематично.
-
Использование кэширования (различные WAN-оптимизаторы). Весьма полезные устройства для ускорения работы приложений, в том числе в рамках задачи по минимизации влияния от СКЗИ, однако подходит не для всех типов трафика.
-
Сжатие (компрессия) данных перед передачей. Уменьшение размера передаваемых данных без потери полезной информации увеличит пропускную способность, но только в ряде случаев может сократить задержку.
-
Применение средств криптографической защиты каналов связи L1. Подобные решения не распространены на рынке, т. к. для их применения необходимо, чтобы клиент имел собственный выход на оптические. Необходимость защиты на данном уровне оптики до сих пор вызывает вопросы у некоторых. Но те, кто знает, что оптика так же уязвима, как и другие среды передачи информации, уже применяют для своих сетей решения зарубежных производителей, таких как PocketLigth или Ciena. Для тех же, кто обязан по требованиям, действующим в РФ, применять для криптографии только СКЗИ, реализующие ГОСТ алгоритмы защиты, подобные средства были не доступны, поэтому широкополосные каналы передачи данных защищали, применяя сложные кластерные решения СКЗИ уровней L2 или L3. Но теперь и в России есть линейка устройств криптографической защиты информации уровня L1 «Квазар» производства компании «Системы практической безопасности».
СКЗИ Квазар
В терминах, приводимых выше, Квазар — это СКЗИ, которое реализует алгоритмы криптографической защиты информации, указанные в ГОСТ, работающее в туннельном режиме на уровне L1, использующее для передачи трафика оптические линии. За счёт того, что Квазар использует для работы по оптическим линиям протокол OTN, а криптография реализована на ПЛИС, он имеет ряд преимуществ и характеристик, на сегодняшний день уникальных среди СКЗИ, прошедших сертификации ФСБ России по классу защиты КС-3.
Благодаря тому, что для управления не применяется операционная система, а реализация криптоалгоритмов на ПЛИС и её конфигурация позволяют достичь значения задержки Latency RTD (us) в диапазоне от 0,173 миллисекунды до 0,204 миллисекунд на Jambo Frame 9600 байт при полном отсутствии потерь (Packet loss) и при любом типе трафика. Для передачи данных Квазар использует синхронный протокол (OTN), поэтому параметр изменения задержки джиттер (Jitter) стремится к 0, а пропускная способность соответствует скорости линии — 10 Гбит/с.Квазар работает в прозрачном режиме. Участие в сетевой маршрутизации или коммутации не требуется. Благодаря этому, вставая в «разрыв», Квазар не влияет на сетевую архитектуру, а его внедрение относительно несложно, хотя и требует специальных компетенций.
Квазар совместим с ведущими производителями DWDM систем за счёт поддержки формата OTU2e, что снимает любые ограничения на длину защищённого канала. Но и без применения DWDM Квазар может обеспечить защиту линии до 80 км при нормальных условиях (теоретический максимум).
Квазар является мультисервисным устройством, характеристики которого не зависят от использующихся выше протоколов. В качестве клиентского трафика вы можете использовать не только Ethernet 10G, но и Fiber Channel 8G и STM 1-4-16.
За счёт наличия второго линейного интерфейса, работающего в параллельном режиме, Квазар поддерживает резервирование линии без дополнительных устройств. Скорость переключения между основным и резервным каналом не превышает 50 миллисекунд, что соответствует стандартам, предъявляемым провайдерами связи к сетевым устройствам.
Технологии и методы, применяемые в реализации Квазара, накладывают и некоторые ограничения.
-
Квазар работает в режиме точка-точка и не поддерживает режимов мультисайта или клиентские подключения (VPN-client)
-
Масштабируется только парами независимых устройств, не объединяясь в кластеры
На сегодняшний день применение Квазаров эффективно (в том числе и с экономической точки зрения) для реализации защиты каналов передачи данных пропускной способностью 10 Гбит/с, построения защищённых опорных, региональных и магистральных сетей в условиях значимости сохранения высоких параметров производительности.
Рисунок 2.
Заключение
Рассматривая устройства различных уровней криптографической защиты, некорректно говорить об однозначно лучшем или худшем решении, т. к. совокупность функций и характеристик индивидуальна для каждой ситуации.
Приняв решение о применении средств защиты, необходимо определить допустимый диапазон значений параметров, влияющих на параметры сети и сетевую архитектуру, и далее в этих рамках проводить выбор СКЗИ.
До принятия решения о внедрении тех или иных средств защиты, желательно провести стендовые испытания для подтверждения заявленных характеристик и получения чёткой картины влияния применения СКЗИ, а также выбора средств компенсации их применения, если таковые понадобятся.
Рисунок 3.
Все приводимые в статье характеристики отражены в отчётах тестов, проведённых по методикам RFC 2544, RFC 6349 TrueSpeed для протокола Ethernet 10G и RFC 2544 для протокола Fiber Channel 8G.
Материалы, использованные при подготовке статьи:
1. Описание RFC2544.
3. habr.com/ru/company/it-grad/blog/312038
4. Новостные материалы: servernews.ru