Kryptografia w sieciach optycznych. Czy Twoje dane są bezpieczne?

Powszechnie uważa się, że łącza światłowodowe są dużo bardziej bezpieczne niż łącza wykonane w oparciu o infrastrukturę miedzianą, ponieważ nie wytwarzają pola elektromagnetycznego i w związku z tym istnieje przekonanie, że są bardziej odporne na podsłuch. Niestety tak nie jest.

Ostatnie lata pokazały, że również linki światłowodowe mogą być w stosunkowo łatwy sposób podsłuchiwane. W rezultacie coraz więcej firm, a zwłaszcza instytucji finansowych i rządowych kładzie znacznie większy nacisk na bezpieczeństwo danych, również tych transportowanych przez systemy optyczne. Dla administratorów sieci teleinformatycznych jednym z głównych priorytetów jest budowanie sieci bezpiecznych, w rozumieniu niezawodnych.

W tym celu korzystają oni z technologii zwielokrotnienia falowego, budują niezależne drogi optyczne, wdrażają automatyczne metody przełączania na ścieżki zapasowe, a wszystko po to, aby w przypadku awarii włókna czy pojedynczego urządzenia wszystkie dane były ciągle dostępne. Nasuwa się więc pytanie, czy w tej gonitwie za coraz większą przepustowością, coraz krótszym czasem przełączenia i coraz większą dostępnością, nie umknęło gdzieś bezpieczeństwo danych w rozumieniu ich poufności i integralności?

Schemat

Cyberataki stanowią dzisiaj zagrożenie każdego przedsiębiorstwa. Włókno światłowodowe można podsłuchać i wydobyć z niego informacje, korzystając ze stosunkowo prostych i łatwo dostępnych narzędzi. Oznacza to, że posiadanie łączy optycznych nie stanowi już gwarancji bezpieczeństwa danych.

Z pomocą w zabezpieczeniu wrażliwych informacji przychodzą nam metody szyfrowania, stosowane wcześniej przez służby wojskowe i wywiadowcze. Kiedy zagłębimy się w temat, okazuje się, że musimy zmierzyć się z kilkoma kluczowymi wyzwaniami.

Po pierwsze, szyfrowanie danych musi odbywać się bez utraty informacji, być transparentne i pozwalać na pełną przepustowość. Nie możemy również zapomnieć o kwestii opóźnień, jakże kluczowych zwłaszcza dla branży finansowej.


Drugim wyzwaniem jest konieczność przestrzegania przepisów regulujących kwestię ochrony wrażliwych informacji. I wreszcie kwestia trzecia, czyli jak to połączyć z istniejącą infrastrukturą, bez konieczności wymiany linków czy też urządzeń posiadanych w infrastrukturze przedsiębiorstwa.

Aby rozwiązanie szyfrujące zapewniało wysoki poziom bezpieczeństwa w infrastrukturze światłowodowej, musi zatem łączyć w sobie ochronę kryptograficzną przepływu danych, zaporę ogniową, bezpieczne protokoły zarządzania oraz monitorowanie parametrów łącza optycznego. Dopiero taka kombinacja pozwoli na zapewnienie trzech kluczowych funkcji bezpieczeństwa:

  • poufność – ochrona informacji przed ujawnieniem osobom nieupoważnionym,
  • integralność danych – upewnienie się, że dane w żaden sposób nie zostały zmodyfikowane,
  • uwierzytelnianie – potwierdzanie, że „strony zaangażowane” są tymi, za które się podają.

Niezbędne jest również udostępnienie administratorom ciągłej informacji na temat parametrów łącza optycznego, gdyż nagłe ich pogorszenie może świadczyć o zainstalowaniu podsłuchu. To sprawia, że bezpieczeństwo warstwy pierwszej jest kluczową częścią całego rozwiązania bezpieczeństwa cybernetycznego.

Biorąc pod uwagę powyższe wymagania i uzupełniając je o konkretne wytyczne i standardy, otrzymujemy zestaw wymagań dla platformy szyfrującej. Są to między innymi: szyfrowanie w warstwie 1 kluczem co najmniej 256bit (GCM-AES-256), zgodność ze standardem NIST FIPS 140-2 oraz NSA Suite B, obsługa protokołów takich jak 1/10/40/100Gb Ethernet, 4/8/16/32G Fibre Channel, oraz OTU2/3/4.

A więc jakiego rozwiązania potrzebujesz, aby zabezpieczyć swoje dane?

  • Chcesz zbudować od zera sieć xWDM z szyfrowaniem danych?
  • Potrzebujesz zaszyfrować dane i wrzucić je do istniejącej sieci xWDM?
  • A może potrzebujesz zbudować bezpieczne połączenie punkt-punkt?

Podsumowując, rozwiązanie szyfrujące warstwy pierwszej jest niezależne od aplikacji i wykorzystywanego sprzętu SAN/LAN, co sprawia, że jest rozwiązaniem ekonomicznym i łatwym do wdrożenia. Pozwala ono na integrację z istniejącą infrastrukturą xWDM i może być elastycznie dodawane bez wpływu na istniejące usługi.

Dobra sieć, to bezpieczna sieć! W Salumanus wspieramy naszych Partnerów pomagając im budować dobre sieci teleinformatyczne.