Cisco MDS 9000: квантова стійкість через шифрування каналу зв'язку TrustSec FC

За матеріалами Фаусто Ванетті (Fausto Vaninetti) blogs.cisco.com

Необхідність застосовувати сильне шифрування виникає внаслідок того, що з посиленням правил безпеки та розвитком квантових обчислень компанії змушені дедалі більший пріоритет надавати кіберзахисту.

Загрози й нормативні акти у сфері безпеки вимагають посилення відповідних заходів

Дані — один з найважливіших активів будь-якої корпорації, тому захищати їх від несанкціонованого доступу та зловживань — питання ключове й принципове. З появою гібридного формату роботи впровадження хмарних сервісів і використання інструментів ШІ із шахрайською метою кіберзагрози стали більш досконалими і підступними. Усе це вимагає впровадження кращої і більш комплексної системи безпеки. Внаслідок цього і згідно з Індексом готовності до ШІ Cisco 2024, кібербезпека стала головним пріоритетом під час розгортання рішень на базі ШІ. А отже, шифрування даних зараз користується високим попитом серед бізнесів усіх розмірів і в усіх галузях.

Оскільки FC — це протокол для доступу до критично важливих наборів даних підприємства, важливим аспектом системи безпеки є перевірка ідентичності суміжних комутаторів і шифрування даних під час передачі в мережі зберігання даних (SAN). Ці можливості пропонуються в сімействі пристроїв Cisco MDS 9000 з використанням шифрування Cisco TrustSec FC Link Encryption. У релізі спеціалізованої мережевої операційної системи NX-OS був представлений новий шифр, який витримує атаки методом грубої сили (brute-force).

Ця функція доступна в ліцензійних рівнях Advantage та Premier і підтримує директорні комутатори (director switches), комутатори з фіксованою конфігурацією та багатопротокольні комутатори, що підходять і для мейнфреймів, і для середовищ відкритих систем.

Нагадаємо, що квантова стійкість (або постквантова криптографія, англ. quantum-resistant cryptography) — це галузь криптографії, яка розробляє та досліджує криптографічні алгоритми, що залишатимуться безпечними та незламними навіть у разі появи потужних квантових комп'ютерів. Однак у теорії квантові комп'ютери, використовуючи алгоритм Шора чи Гровера, зламують шифри типу RSA чи ECC набагато швидше, ніж будь-який класичний комп'ютер. Це означає, що достатньо потужні квантові комп'ютери (коли вони будуть створені) зможуть зламати більшість сучасних асиметричних криптографічних систем, а це ставить під загрозу конфіденційність і цілісність даних, які шифруються сьогодні.

Автентифікація — необхідна умова для шифрування

Комутатори Cisco MDS серії 9000 для забезпечення безпеки в корпоративних мережах застосовують протокол FCSP (Fibre Channel Security Protocol, стандарт FC-SP-2, ANSI INCITS 496-2012). В його основі — DHCHAP (Diffie-Hellman Challenge Handshake Authentication Protocol), протокол автентифікації та обміну ключами, що застосовується у Fibre Channel. DHCHAP дозволяє двом пристроям (наприклад, комутаторам або хосту та комутатору) безпечно обмінюватися секретним ключем через незахищений канал завдяки алгоритму Діффі-Геллмана. Це гарантує, що до мережі зберігання даних можуть підключатися лише авторизовані пристрої, забезпечуючи захист даних і цілісність системи.

Шифрування каналу зв'язку Cisco TrustSec Fibre Channel

Cisco TrustSec FC Link Encryption працює на базі протоколу безпеки Fibre Channel (FCSP) для забезпечення цілісності та конфіденційності даних у мережах. Ця технологія розширює можливості FCSP, інтегруючи протокол DHCHAP для надійної однорангової автентифікації пристроїв.

Для шифрування даних застосовується стандарт AES (Advanced Encryption Standard) — високозахищений блочний алгоритм симетричного шифрування, що використовується з 2002 року в багатьох сферах (наприклад, шифрування дисків, VPN).

Система підтримує режими AES-GCM (для шифрування та автентифікації за замовчуванням) та AES-GMAC (лише для автентифікації). Доступні ключі довжиною 128 біт (для пристроїв 32 Гбіт/с) та 128/256 біт (для 64 Гбіт/с). Хоча програмна реалізація AES-128 є дещо швидшою, та завдяки апаратній реалізації AES комутатори Cisco MDS 9000 забезпечують однаково оптимальну продуктивність як для AES-128, так і для AES-256. Використання AES-256 додатково підвищує квантову стійкість рішення й захист від атак грубої сили.

Найкраща в галузі продуктивність і пропускна здатність

Комутаційний модуль Cisco 64G FC забезпечує передове шифрування каналу Fibre Channel, підтримуючи вісім портів по 64 Гбіт/с кожен, що дає загальну пропускну здатність 512 Гбіт/с зашифрованого трафіку на один пристрій. Ця висока продуктивність досягається завдяки вдосконаленому дизайну ASIC, який обробляє шифрування без зниження швидкості.

Архітектура store-and-forward гарантує незмінну затримку як для зашифрованих, так і для незашифрованих конфігурацій, що робить комутатори MDS 9000 SAN унікальними в поєднанні високої ефективності та максимального рівня безпеки.

Можливості шифрування також доступні на комутаторах з фіксованою конфігурацією та мультисервісних комутаторах Cisco MDS, при цьому кількість зашифрованих портів залежить від моделі: наприклад, MDS 9124V підтримує 4 шифровані порти, MDS 9148V — 8, а модель MDS 9396V — 16.

Незалежність портів і доступність послуг

Комутатори Cisco MDS серії 9000 забезпечують високу доступність послуг завдяки унікальній незалежності портів, що є критично важливим для безперебійної роботи в реальних умовах. Їхня оптимізована архітектура ASIC та розділення трафіку кадрів гарантують, що збої на одному порту (наприклад, відмова або відключення кабелю/SFP) не впливають на роботу інших зашифрованих портів.

На відміну від конкуруючих рішень комутатори Cisco MDS (такі, як 9124V, 9148V та 9396V) підтримують шифрування на кількох портах без зменшення їхньої загальної кількості. Це забезпечує стабільний розподіл ресурсів незалежно від того, чи увімкнено шифрування на конкретному порту.

Підтримка відстаней і сумісність із SAN Analytics у Cisco MDS 9000

Увімкнення шифрування на комутаторах Cisco MDS серії 9000 не впливає на максимально підтримувані відстані передачі даних, оскільки буферні кредити (механізм контролю потоку) зберігаються. Це дозволяє реалізувати безпеку без обмежень у дизайні інфраструктури.
Крім того, галузевий стандарт Cisco SAN Analytics повністю сумісний із зашифрованим трафіком. Завдяки вдосконаленій архітектурі комутаторів MDS 9000, яка дозволяє завжди перевіряти заголовки, SAN Analytics може аналізувати зашифрований трафік, забезпечуючи глибокий моніторинг і видимість мережі без загрози безпеці.

Довжина ключа, зміна ключа й квантова стійкість

Шифрування AES-GCM підтримує 128- та 256-розрядні ключі, що надає гнучкості у виборі для пристроїв 64G. Для посилення безпеки рекомендовано періодично змінювати ключі вручну.

Використання AES-256 — це важливий крок до квантової стійкості, оскільки в поєднанні з алгоритмом Гровера він забезпечує додатковий захист від потенційних загроз з боку майбутніх квантових комп'ютерів. Завдяки цьому розширені можливості Cisco TrustSec на комутаторах MDS 9000 вважаються безпечними щонайменше до 2050 року, що відповідає стандарту ETSI GR QSC 006 V1.1.1 та підкреслює їхню орієнтацію на майбутнє безпеки.

Незалежність портів і доступність послуг.
Комутатори Cisco MDS серії 9000 забезпечують високу доступність послуг завдяки унікальній незалежності портів, що є критично важливим для безперебійної роботи в реальних умовах

Комплексний набір засобів захисту

Комутатори Cisco MDS 9000 Series забезпечують високий рівень безпеки завдяки поєднанню вбудованих і налаштовуваних функцій захисту. Вбудовані засоби включають безпечне завантаження й захист від підробок, тоді як конфігуровані опції охоплюють VSAN, зонування, портовий захист, TLS 1.3, SSHv2, SNMPv3, безпечне стирання та інше. Також підтримується шифрування трафіку FC і FCIP через TrustSec та IPsec, що підвищує стійкість бізнес-процесів і забезпечує надійне аварійне відновлення у центрах обробки даних.

Шифрування MDS 9000 для забезпечення безперервності бізнесу та аварійного відновлення

Висновок

Комутатори Cisco MDS 9000 забезпечують супернадійне шифрування для мереж SAN. Їх вирізняє вдосконалений дизайн ASIC, неперевершена апаратна архітектура і складне програмне управління. Шифрування TrustSec FC Link Encryption — життєво важливе для безпечного з’єднання мереж SAN в ЦОД за допомогою каналів FC. За допомогою пристроїв Cisco MDS 9000 64G ви можете безпечно розширювати мережі SAN, підвищуючи рівень безпеки в межах підготовки до квантових обчислень без компромісів.

Мегатрейд як офіційний дистриб’ютор Cisco — це авторизований канал для придбання обладнання, ПЗ та сервісів Cisco на території України: cisco@megatrade.ua, (044) 538-00-06

Модернізація локальної мережі — вирішальна для розвитку бізнесу

Інноваційне минуле та блискуче майбутнє Wi-Fi, конвергенція з 5G та нові точки доступу Wi-Fi 7 від Cisco