Решение “С-Терра” для шифрования на втором уровне

Компания “С-Терра СиЭсПи” объявила о выпуске решения, позволяющего шифровать данные на сетевом уровне L2 с агрегированной производительностью до 10 Гбит/с.

Как сообщил руководитель отдела перспективных исследований и проектов компании Владимир Воротников, новинка появилась в развитие выпущенного примерно год назад решения по защите трафика на уровне L3, разработанного его компанией совместно с Cisco.

Главный компонент решения — шлюзы безопасности CSP VPN Gate 7000 HighPerformance. Из требований, которые решение предъявляет к коммутаторам, выполняющим в нем функции балансирующего устройства, г-н Воротников назвал возможность строить агрегированный канал EtherChannel с применением протоколов LACP или PAgP. Кроме того, их производительность должна быть достаточной для балансировки требуемого объема трафика.

В данном решении “С-Терра” стремилась использовать аппаратные платформы одного вендора. Поскольку компания является технологическим партнером Cisco, выбор был сделан в пользу гарантированно совместимого и обладающего необходимой надежностью оборудования этого вендора. В решении используется также криптография компании “КРИПТО-ПРО” с ее удостоверяющим центром и инфраструктурой PKI.

На испытательном стенде был задействован коммутатор Cisco 3560. Но испытания, по словам г-на Воротникова, можно и повторить, взяв, например, устройство Cisco UCS C 200M2, аналогичное или более производительное оборудование Cisco. “Мы не можем гарантировать тот же уровень результатов и отсутствие проблем в случае использования аппаратных платформ иных вендоров просто потому, что мы их не тестировали в данном решении”, — сказал он.

На передающей стороне коммутатор формирует агрегированный канал EtherChannel и балансирует трафик между физическими соединениями внутри канала, на каждый из которых устанавливается по одному шлюзу безопасности. Шлюзы перехватывают трафик на уровне L2, шифруют и возвращают в канал. На принимающей стороне шлюзы, парные передающим, выполняют обратное преобразование — каждый для своего потока. Разработчик рекомендует использовать шлюзы на передающей и принимающей сторонах парами, руководствуясь прежде всего соображениями надежности.

Между шлюзами безопасности устанавливается туннель IPsec. Это позволяет использовать для связи не только выделенные каналы, но и Интернет, что было бы невозможно, если шифровать трафик без этого туннеля сразу на уровне L2.

Для более производительного шифрования разработчики советуют по возможности увеличивать размеры передаваемых пакетов. Ими установлено, что на пакетах UDP размером 9000 байт шлюз шифрования работает примерно вдвое быстрее, чем на пакетах в 1500 байт. При четырех потоках и малых размерах пакетов производительность решения, развернутого на стенде, составила 720 тыс. пакетов; задержка, связанная с шифрованием, не превышала 300 мкс.

Увеличение числа потоков (или, иными словами, шлюзов безопасности) практически во столько же раз увеличивает производительность шифрования. Проверку этой зависимости специалисты “С-Терра СиЭсПи” проводили для двух и четырех пар шлюзов. Они предполагают, что такой же рост производительности справедлив и для дальнейшего увеличения количества шлюзов и соответственно потоков.

Балансировку трафика в туннелях разработчики решения рекомендуют производить посессионно по IP-адресам, поскольку попакетная балансировка, по их словам, вызывает переупорядочивание пакетов, что ведет к деградации производительности в канале TCP IP и уровня сервиса в протоколе UDP. В целях повышения отказоустойчивости разработчики рекомендуют стандартное резервирование компонентов — коммутаторов, шлюзов, линков — и т. д. Каждое устройство в решении можно настраивать индивидуально.

Для упрощения процедуры настройки рекомендуются использовать инструменты, предлагаемые как Cisco (продукт Cisco Security Manager), так и “С-Терра СиЭсПи” (продукт “С-Терра КП”). Мониторинг всех устройств решения реализуется с помощью протокола SNMP.

Как считают в “С-Терра СиЭсПи”, предлагаемое решение ориентировано на защиту каналов “точка — точка”, прежде всего при взаимодействии ЦОДов, физической миграции сетевых инфраструктур, а также в облачной инфраструктуре.