"РусКрипто'2019" Ежегодная международная научно-практическая конференция
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Ежегодная международная научно-практическая конференция
«РусКрипто’2019»
Некоторые особенности архитектуры
высокоскоростных средств шифрования для
обеспечения криптографической защиты
центров обработки данных
МАРЕЕВА ЕЛЕНА ВЛАДИМИРОВНА
ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ПО НТР
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИ
Цель и технологии
Криптографическая защита центров обработки данных – это защита информации, передаваемой между
ЦОД по оптической транспортной сети (OTN) с технологией спектрального уплотнения (DWDM), в том числе
при использовании распределённой архитектуры построения ЦОД - Storage Area Network (SAN)
В настоящее время при построении сетевой инфраструктуры ЦОДов,
в основном, одновременно используются технологии передачи
данных Ethernet, Fibre Channel, OTN и DWDM
Криптографическая защита информации ЦОД – это обеспечение конфиденциальности
передаваемых данных (шифрование) и защита от навязывания ложной информации
(имитозащита)
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИ
Взаимодействие ЦОД . Резервирование
Основной ЦОД Резервный ЦОД
МШ-ТРfc МШ-ТРfc
OTU2e OTU2e
FC 8G
FC 8G
МШ-ТР
МШ-ТР
OTU2e OTU2e
FC
FC
коммутатор 10GE
10GE коммутатор
СЕРВЕРА
СЕРВЕРА
Ethernet Ethernet
коммутатор коммутатор
FC Storage
FC Storage
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИ
Взаимодействие ЦОД. SAN сеть
FC 8G OTU2e OTU2e
СЕРВЕРА FC 8G
МШ-ТР(fc) МШ-ТР(fc) СЕРВЕРА
FC FC
коммутатор FC 8G FC 8G коммутатор
FC Storage
FC Storage
МШ-ТР(fc) МШ-ТР(fc)
OTU2e OTU2e
OTU2e OTU2e
МШ-ТР(fc) МШ-ТР(fc)
FC 8G
СЕРВЕРА FC 8G
FC 8G FC 8G FC СЕРВЕРА
FC OTU2e OTU2e
коммутатор коммутатор
FC Storage
МШ-ТР(fc) МШ-ТР(fc)
FC Storage
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИВзаимодействие ЦОД. Сбор данных
ЦОД
Главный
10GE
10GE 10GE
МШ-ТР МШ-ТР МШ-ТР
OTU2e OTU2e OTU2e
ЦОД ЦОД ЦОД
Филиал OTU2e OTU2e
Филиал OTU2e Филиал
МШ-TP МШ-TP МШ-TP
10GE
10GE 10GE
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИТребования к СКЗИ для ЦОД
Базовые функциональные требования: шифрование и имитозащита
Дополнительно должны обеспечиваться:
высокая пропускная способность: 10, 40, 100 Гбит/c
отсутствие потерь пакетов защищаемой информации при различных длинах пакетов
минимизация латенсии и отсутствие её зависимости от длины пакетов защищаемой информации
обеспечение возможности агрегирования и передачи по транспортной сети любых необходимых
типов клиентских сигналов (STM, Ethernet, Fibre Channel)
оперативное пополнение (соответствующее классу СКЗИ и пропускной способности) расхода
большого объёма ключей
высокая надёжность с возможностью автоматического перехода на резервную линию связи
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИСКЗИ уровень L3. Криптомаршрутизаторы или IP-шифраторы
+
Обеспечивают межоконечное сетевое решение по шифрованию трафика, не зависящее от
физической сети и установленного в ней оборудования
- Отсутствует поддержка не IP транспортных потоков, в том числе протокола средств хранения данных ЦОД
-
Fibre Channel
Требуют больших вычислительных ресурсов для обработки IP трафика (фильтрация, маршрутизация,
фрагментация-дефрагментация)
-
.
Требуются дополнительные накладные расходы, связанные с необходимостью обеспечить независимое
шифрование (расшифрование) и имитозащиту (аутентификацию) каждого пакета и заключающиеся в
увеличении размера пакета, что в свою очередь, приводит к увеличению задержки сети и потери части
полосы пропускания на волоконно-оптических линиях
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИСКЗИ уровень L2. MAC-шифраторы
Шифрует данные, содержащиеся в Ethernet кадрах на точка-точка Ethernet соединениях
+ По сравнению с шифраторами L3 уровня имеет улучшение эффективности сети и латенсии, так как по
сравнению с L3 шифраторами имеет меньшие по размеру дополнительные затраты на фрейм.
- исключает встроенную поддержку для всех не-Ethernet типов клиентов
- имеет ограниченную архитектуру точка-точка (или hop-by-hop), которая определена уровнем MAC,
таким образом потенциально добавляя сложность сетевого планирования
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИСКЗИ уровень L2/L1. Оптические шифраторы
Устройства данного класса не занимаются маршрутизацией, но могут агрегировать абонентскую информацию,
получаемую даже из технологически разных сетей (пакетной сети и синхронной TDM сети) и передавать её до
следующей точки оптической сети в виде шифрованных кадров формата OTU
+ Низкая латенсия, не зависящая от характеристик клиентского трафика
+ Отсутствие зависимости производительности от характеристик клиентского трафика и, как следствие, отсутствие
потерь и максимальная производительность при криптоимитозащите
+ Мультисервисность за счёт агрегирования абонентской информации и её конвергенции в протокол уровня L1
+ Масштабируемость для шифрования полезных нагрузок
+ Отсутствие сложности управления
+ идентичности транспортной среды и требуемой производительности
Являются оптимальным решением для сопряжения с системами квантового распределения ключей по критериям
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИСравнение классов СКЗИ (L3, L2, L1)
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИАрхитектура СКЗИ уровень L2/L1
Mux Demux Mux Demux
Encrypt_frame Decrypt_frame
GAM GAM
In_buf en In_buf Out_buf
Out_buf
IMIT IMIT
зашифрование расшифрование
Encrypt_frame Decrypt_frame
GAM GAM
In_buf en In_buf
Out_buf Out_buf
IMIT IMIT
… …
Encrypt_frame Decrypt_frame
GAM GAM
In_buf en In_buf
Out_buf Out_buf
IMIT IMIT
Eth Rx OTN Rx
MAC GFP ODU2/ Coder
OTN
FRAME DECoder OTU2/ OPU2 MAC
OPU2 CRYPT OTN DeCRYPT GFP
OTU2 FEC SYN FEC ODU2
OTN Tx ETH Tx
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИХарактеристики линейки СКЗИ Квазар
Eth10G OTU2e L1 МШ-ТР
FC8G
МШ-ТР OTU
OADM
OTU2e L2 МШ-MUX
8*1GE / 8*STM1(4)/4*STM16 OTN
МШ-MUX
МШ-ТР-КРК
Eth10G КК
FC8G
МШ-ТР-КРК
OADM –оптический мультиплексор DWDM
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИХарактеристики линейки СКЗИ Квазар
Характеристика МШ-ТР МШ-МUX
Алгоритм шифрования ГОСТ Р 34.12-2015 Магма, ГОСТ Р 34.13-2015 CTR
Имитозащита ГОСТ Р 34.13-2015
Клиентские интерфейсы 10 Gbit Ethernet/ 8Gbit FC 8x1Gbit Ethernet /
8xSTM1(4)/4хSTM16
Линейные интерфейсы 2хOTU2e 2хOTU2e
Производительность Без зависимости от размера клиентского фрейма
10Gbit Ethernet, 6,8Gbit FC* 8 Gbit Ethernet
Латенсия 0,05 мс
Резервирование Автоматическое переключение с L1 на L2 за время 50 мс
FEC ITU G.709
* Максимальное значение для данного протокола и способа кодирования
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИХарактеристики СКЗИ Сотник
Характеристика СОТНИК
Алгоритм ГОСТ Р 34.12-2015 Кузнечик,
шифрования ГОСТ Р 34.13-2015 CTR
100GE Имитозащита ГОСТ Р 34.13-2015
OTU4 L1
МШ-СОТНИК OTN МШ-СОТНИК Клиентские 100 Gbit Ethernet/ 4х16 Gbit FC/
интерфейсы 4х32 Gbit FC
4*16 (32) G FC OTU4 L2
10 GE ПЛИВ 10 GE ПЛИВ Интерфейс ККС-ВРК 10 Gbit Ethernet
КК Линейные 2хOTU4
ККС ВРК А ККС ВРК Б интерфейсы
Производительность 100 Gbit Ethernet
Без зависимости от размера
клиентского фрейма
Латенсия 0,003 мс
FEC ITU G.709
Резервирование Есть
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИКонтактная информация
Электронная почта:
mareeva@systempb.ru
Телефон:
+ 7 (812) 468-15-61, доб. 210
+ 7 (921) 301-92-70
Сайт: https://systempb.ru
СИСТЕМЫ ПРАКТИЧЕСКОЙ БЕЗОПАСНОСТИВы также можете почитать
