Blog

Connectivity

Encryptie op de optische laag, hoe gaat dat in zijn werk?

22 dec 2015

In een eerdere blogbijdrage op dit platform legde ik uit hoe DWDM-technologie werkt en in mijn meest recente blog vertelde ik wat Privacy en  glasvezelverbindingen met elkaar te maken hebben. Ook legde ik daar uit dat glasvezelverbindingen misschien wel de illusie van een veilige verbinding wekken, maar dat niet altijd daadwerkelijk bieden. De enige methode om glasvezelverbindingen echt veilig te maken, is optische encryptie. In dit blog ga ik in op de mogelijkheden en voordelen die dat biedt.

Tom Engels door Tom Engels

Allereerst is er Dense Wave Division Multiplexing (DWDM). Kort samengevat is DWDM een technologie om verschillende datastromen onafhankelijk van elkaar en ongeacht het protocol en de  transmissiesnelheid over dezelfde glasvezel te transporteren. In bijna alle gevallen resulteert de inzet van DWDM-technologie in een gunstige business case en een snelle terugverdientijd (ROI). De omzetting van het standaard single-mode-signaal (1310 nm) of multimode-signaal (850 nm) – vaak ‘grijs licht’ genoemd – in een DWDM-signaal (wordt ook wel kleur of golflengte genoemd) gebeurt in een transponder. Bij encryptie op de optische laag wordt een hardware-encryptiemodule op de transponder geplaatst, die het verkeer in hardware versleutelt. Bij de keuze van Laag1-encryptie is het belangrijk dat u een FIPS gecertificeerde oplossing kiest.

Wat zijn nu de voordelen van encryptie op de optische laag? Dat zijn de volgende punten:

1. Operationele eenvoud
Een goede encryptie oplossing op de optische laag staat altijd aan, dus WAN-verkeer is gegarandeerd beveiligd, ongeacht de configuratie op hogere lagen. Menselijke fouten worden hiermee uitgesloten. De encryptie-keys blijven bij de security officer van de eindklant en mogen niet gedeeld worden met de netwerkbeheerder, integrator of managed service providers. Netwerk- en securitybeheer zijn gescheiden.

2. Ultralage latency
Optische transmissie beperkt de latency sterk. Transmissie en encryptie vinden plaats in de hardware. Een transponderset met encryptie voegt aan de verbinding slechts 5 microseconden latency toe. Dit is het equivalent van de extra vertraging bij 1 extra kilometer glasvezel. Ter vergelijking: bij encryptie op de IP-laag spreken we over milliseconden, een factor 1000 hoger dus!

3. Transparantie en flexibiliteit in protocollen
De verbindingen tussen datacenters zijn vaak een combinatie van verschillende transmissiesnelheden en protocollen (100GbE, 40GbE, 10GbE, Fibre Channel, OTN). DWDM-kaarten (transponders) met encryptie zijn transparant en protocol agnostic (ze kunnen met ieder protocol omgaan). Dat maakt ze geschikt voor ethernet, SDH, OTN en Fiber Channel Transport.

4. Gescheiden beheer van transport- en securityconfiguratie
Security en optische transmissie raken zowel het vakgebied van de netwerkbeheerder als die van de security officer. Een goede encryptieoplossing wordt beheerd met specifieke tools voor zowel het transport- als securitybeheer. Dit biedt de mogelijkheid om het transportbeheer bij de netwerkafdeling of een gespecialiseerde integrator (zoals Telindus) te beleggen. De security officer valideert en tekent de X.509-certificaten met zijn vertrouwde PKI-infrastructuur. De netwerkbeheerder of -integrator importeert de getekende certificaten  vervolgens in het transmissiesysteem. Belangrijk hierbij is dat de keys alleen bekend zijn bij geautoriseerde medewerkers binnen de security afdeling en niet gedeeld hoeven te worden met de netwerk afdeling, dienstverlenende integrator of leverancier.

5. Lager energieverbruik
Duurzaamheid en maatschappelijk verantwoord ondernemen worden steeds belangrijker. Laag 1-oplossingen verbruiken aanzienlijk minder dan bijvoorbeeld routers. Dit heeft een rechtstreekse invloed op benodigde koeling en resulteert in een kleinere ecologische voetafdruk. Connectiviteit en beveiliging worden bovendien gerealiseerd met één netwerkelement, in tegenstelling tot de combinatie van gebruikte apparatuur bij beveiliging op een hogere laag.

6. Besparing op optics
Het gebruik van DWDM-technologie levert een enorme besparing op voor wat betreft optics in de routers en switches. Optics voor de lange afstand (40 tot 80 km) zijn erg duur. Het gebruik van third party- of white label-optics is een alternatief. Dit leidt echter vaak tot supportproblemen in het geval van een storing. De combinatie van voordelige “ grijze” optics (LX en SX) in de routers en DWDM-apparatuur is de meest voordelige, flexibele en efficiënte oplossing.

Waar moet een optische encryptie-oplossing aan voldoen?
Optische encryptie heeft dus een aantal duidelijke voordelen. Maar er zijn natuurlijk ook aandachtspunten. Waar moet een encryptie oplossing aan voldoen? Waar moet u op letten bij de inzet van deze techniek en vooral bij de keuze van een leverancier?

Dat zijn de volgende punten:

1. Een authenticatiemechanisme
Authenticatie van de encryptiekaarten met X.509-certificaten is veel veiliger dan een pre-shared key. Op basis van deze door de security officer verstrekte certificaten worden de DWDM-poorten geauthentiseerd om met elkaar te communiceren. Dit zijn de session keys.

2. Keyrotatie
Als de DWDM-poorten geauthentiseerd zijn, start de transmissie met AES-256 encryptie. De encryptie-keys worden in de hardware geroteerd met een keyrotatie-interval van 1 seconde.

3. Densiteit en capaciteit van de encryptiekaarten
Rack- en floorspace in datacenters zijn schaars en daardoor duur. Het aantal kanalen en de transmissiesnelheid per kanaal en slot hebben een enorme invloed op de TCO van de oplossing.

4. Multi-tenant authenticatiekeys
De authenticatiekeys kunnen per encryptiekaart zijn. Hierdoor wordt het mogelijk om verschillende eindklanten te koppelen en beveiligen binnen een DWDM-platform. Het transportbeheer wordt dan gemeenschappelijk beheerd. De security-keys kunnen worden beheerd door de diverse security officers van de specifieke eindklanten.

5. Innovatieve DWDM-technologie
Nieuwe technologieën, zoals video’s in een 8K-resolutie en 5G-mobiele netwerken gaan de komende jaren een enorme bandbreedte-explosie in het netwerk veroorzaken. Op optisch gebied resulteert dit in maximaal 88 golflengtes van 100 of 200 GBit/s op dit moment tot 1 terabit per golflengte in de komende jaren. Om deze groei te kunnen bijbenen is het belangrijk om een innovatieve DWDM-leverancier te kiezen.

6. FIPS 197- en FIPS 140-2-certificatie
Hoe bewijs je in een productieomgeving dat de encryptie goed werkt? FIPS-certificering garandeert correcte beveiliging en legt zeer strenge normen op aan de hardware-architectuur. Zo garandeert FIPS 140-2 Level 3 bijvoorbeeld dat alle beveiligingsdata onmiddellijk  gewist wordt (zeroization) als de kaart uit het chassis verwijderd wordt.

Conclusie
Kort samengevat: de nieuwe Europese privacywetgeving  en meldplicht datalekken gaan uit van de security- en privacy by design-principes. WAN verbindingen worden per definitie als onveilig beschouwd en moeten beveiligd worden door encryptie.  Encryptie  op de optische laag is een kosteneffectieve, flexibele en performante oplossing met een gunstige business case en een snelle ROI.

 

Geïnteresseerd?

Tom Engels
Neem contact op met onze Connectivity- specialist Tom Engels

Tom Engels is Networking Consultant binnen de sales-afdeling van Telindus. Tom werkt al 19 jaar bij Telindus en heeft als engineer, support engineer en technical consultant op de Technical Operations afdeling gewerkt. Hij heeft diepgaande expertise op het gebied van Ciena en Infinera Optical, Carrier Ethernet en encryptie-oplossingen, Software Defined Networking en NFV (Netwerk Functie Virtualisatie). Tom volgt nauwgezet de razendsnelle ontwikkelingen in zijn vakgebied connectivity.

2 reacties
Plaats een reactie
Sander da Silva - 22 maart 2016

Verhelderend beschreven Tom!

Ad Koolen - 25 december 2015

Goed stuk Tom, ik had ook nog graag de rol van HSM's en TRNG's benoemd gezien zodat dit ook voor overheidsgebruik eerder toegestaan wordt.