Специалистам компании удалось при использовании IP-пакетов с длиной более 1 Кбайт обеспечить скорость шифрования на уровне 10 Гбит/с. Предложенное решение работает в режиме коммутатора, когда IP-адреса по разные стороны туннеля могут принадлежать одной подсети — это важно, например, в случае перемещения оборудования из одного ЦОД в другой без изменения настроек.
Предложенная схема позволяет преодолеть барьер скорости шифрования сетевого трафика в 10 Гбит/с. Источник: «С-Терра» |
Решение базируется на оборудовании компании Cisco и программном обеспечении, разработанном «С-Терра». В качестве сервера для шифрования использовался Cisco UCS C200, содержащий два шестиядерных процессора Intel и работающий под управлением специально адаптированной версии ОС Linux. В качестве шифробиблиотеки использовалась разработка компании Crypto Pro. В общем-то этот продукт, CSP VPN Gate 7000 High Performance, уже более года продается «С-Терра», однако недавно сотрудники компании разработали новую версию программного обеспечения, в которой удалось эффективно задействовать на шифрование до шести ядер процессора, и еще одно — на перехват трафика и работу с сетевыми протоколами (наладить эффективную работу с оставшимися пятью ядрами пока не удалось). С новой версией ПО и была достигнута скорость шифрования в 1,6 Гбит/с.
Для дальнейшего увеличения производительности специалисты «С-Терра» объединили эти устройства в кластер, где скорость шифрования увеличивается пропорционально количеству шифраторов. Для распределения нагрузки в исследовании был использован коммутатор Cisco Catalyst 3560X, который может распределять потоки информации до 100 Гбит/с. Для объединения каналов связи в один транк применялась технология агрегирования Etherchannel, реализованная на коммутаторе Cisco. В результате уже на восьми шифраторах и одном коммутаторе удалось добиться скорости шифрования и дешифровки в 10 Гбит/с. Это при том что решение предусматривает возможность установки до 16 шифраторов в кластере.
Скорость шифрования зависит от размера пакетов: чем больше пакет, тем быстрее его можно зашифровать. Так, показателя 10 Гбит/с удалось достигнуть на длинных пакетах — более 1,4 Кбайт. При уменьшении размера пакетов скорость шифрования падает. Например, при шифровании потока UDP-пакетов длиной всего 64 байт скорость шифрования снижается до 180 Мбит/с. Поэтому конечная скорость зависит от приложения, пакеты которого шифруются, и сетевых настроек оборудования. Построенное решение типовое, но в зависимости от применения его можно модифицировать — этим могут заниматься партнеры, часто являющиеся и системными интеграторами.
Потребность в подобных решениях возрастает в связи с построением облаков — защита требуется для высокоскоростных каналов, объединяющих ЦОД между собой. Поскольку компоненты решения имеют сертификат ФСТЭК, то использовать его можно в том числе и для создания облаков, обрабатывающих персональные данные и другие защищаемые государством секреты. Также шифрование требуется, чтобы безопасно перенести данные в резервный ЦОД для обеспечения непрерывности бизнеса.
Кроме того, с помощью такого решения можно организовать безопасное перенесение данных из одного ЦОД в другой, например при перевозке оборудования. Причем именно в этом случае важно, что решение допускает объединение туннелем одной локальной сети, поскольку становится возможной перевозка оборудования без изменения их внутренних IP-адресов. Хотя это временная задача, тем не менее после ее выполнения комплекс можно разобрать и использовать отдельно для шифрования каналов связи. Потребность в подобных решениях есть практически в любом ЦОД и облаке. «У нас есть клиент, готовый забрать построенный нами тестовый стенд», — заверил Владимир Воротников, руководитель отдела перспективных исследований и проектов компании «С-Терра»
В дальнейшем скорость шифрования может быть еще увеличена. Во первых, Cisco планирует выпустить новые серверы семейства UCS, укомплектованные восьмиядерными процессорами. Во вторых, специалисты «С-Терра» готовят к выпуску программное решение, которое будет эффективно использовать возможности ранее остававшихся неиспользуемыми ядер. Благодаря этому уже установленное решение простым обновлением ПО, которое будет доступно в первой половине 2013 года, можно будет дополнительно ускорить.