Вынесение блока IPSEC из cluster_parametr в отдельную статью, внесение правок
This commit is contained in:
Yana Ishkhanova
@@ -72,134 +72,10 @@
|
||||
|
||||
:::
|
||||
|
||||
## Параметры конфигурации IPSEC
|
||||
## Сетевой доступ к кластеру
|
||||
|
||||
Ниже приведены основные параметры, задаваемые при развёртывании кластера PostgreSQL. Часть параметров определяется клиентом на этапе заказа услуги, часть — фиксирована и не подлежит изменению.
|
||||
Для организации защищенного подключения к кластеру Kafka доступны стандартные механизмы, используемые во всех сервисах платформы:
|
||||
- **IPsec-подключение** - организация защищенного туннеля между инфраструктурой и кластером PostgreSQL. Подробнее см. раздел IPsec;
|
||||
- **Interconnect** - прямое сетевое соединение между сервисами внутри платформы без выхода в интернет. Подробнее см. раздел Interconnect.
|
||||
|
||||
### Данные о конфигурации IPSEC
|
||||
|
||||
Параметры подключения (имя туннеля, устройство, публичный IP-адрес) заполняются вручную на основании информации, предоставленной заказчиком.
|
||||
|
||||
### Версия IKE (Internet Key Exchange)
|
||||
|
||||
Версия IKE выбирается из выпадающего списка, который содержит два значения:
|
||||
|
||||
- **IKE v1** — более ранняя версия протокола;
|
||||
- **IKE v2** — более современная версия, обеспечивающая лучшую устойчивость соединения и более гибкую обработку ошибок.
|
||||
|
||||
Рекомендуется использовать IKE v2, если оборудование заказчика это поддерживает.
|
||||
|
||||
### Метод аутентификации
|
||||
|
||||
Метод аутентификации выбирается из выпадающего списка, который содержит два варианта:
|
||||
|
||||
- **PSK** (Pre-Shared Key) — аутентификация с использованием заранее согласованного общего ключа;
|
||||
- **Certificate** (сертификат) — аутентификация с использованием цифровых сертификатов.
|
||||
|
||||
## Этап 1 - установка защищенного соединения
|
||||
|
||||
На данном этапе задаются параметры шифрования и аутентификации для защищённого канала связи. Все параметры выбираются вручную из выпадающих списков.
|
||||
|
||||
### Алгоритм хэширования
|
||||
|
||||
Определяет алгоритм хэширования для защиты управляющего канала. Параметр заполняется вручную из выпадающего списка:
|
||||
|
||||
- **SHA1** — формирует хэш длиной 160 бит, имеет коллизии (уязвимости), в современных системах считается устаревшим, используется только для совместимости со старым оборудованием.
|
||||
- **SHA2-256** — формирует хэш длиной 256 бит, существенно более устойчив к атакам, оптимальный баланс между безопасностью и производительностью.
|
||||
- **SHA2-384** — длина хэша составляет 384 бита, имеет повышенную криптостойкость, требует больше вычислительных ресурсов, чем SHA-1 и SHA2-256. Используется в средах с повышенными требованиями к безопасности.
|
||||
- **SHA2-512** — длина хэша составляет 512 бит, обеспечивает самый высокий уровень стойкости из перечисленных, создает наибольшую нагрузку на процессор. Обычно применяется в системах с повышенными требованиями к криптографии.
|
||||
|
||||
### Шифрование (Hash)
|
||||
|
||||
Определяет алгоритм симметричного шифрования. Параметр заполняется вручную из выпадающего списка:
|
||||
|
||||
AES 128 — использует 128-битный ключ, обеспечивает быстрое шифрование, имеет достаточный уровень безопасности для большинства задач.
|
||||
AES 256 — использует 256-битный ключ, обеспечивает более высокую криптостойкость, оказывает немного большую нагрузку на CPU.
|
||||
AES GCM 128 / AES GCM 192 / AES GCM 256 — данные алгоритмы совмещают шифрование и контроль целостности, обладают более современным режимом работы, считаются более эффективными по производительности, рекомендуются в современных конфигурациях. Разница между алгоритмами — в длине ключа.
|
||||
|
||||
### DH Group (группа Диффи — Хеллмана)
|
||||
|
||||
Механизм Diffie-Hellman используется для безопасной генерации общего секретного ключа между сторонами туннеля без передачи этого ключа по сети. Чем выше номер группы и длина ключа, тем выше криптографическая стойкость соединения.
|
||||
|
||||
Параметр заполняется вручную из выпадающего списка:
|
||||
|
||||
group 2;
|
||||
group 5;
|
||||
group 14;
|
||||
group 15;
|
||||
group 16;
|
||||
group 19;
|
||||
group 20;
|
||||
group 21.
|
||||
|
||||
### IKE Mode (только для IKEv1)
|
||||
|
||||
Параметр **IKE Mode** определяет способ установления соединения на этапе 1 при использовании протокола IKEv1.
|
||||
|
||||
Доступны два режима: Main и Aggressive. Они отличаются количеством сообщений при установке соединения и уровнем защиты идентификационных данных.
|
||||
|
||||
- **Main Mode** — стандартный и более безопасный режим работы IKEv1;
|
||||
- **Aggressive Mode** — упрощённый и ускоренный режим установления соединения с более низким уровнем защиты данных.
|
||||
|
||||
### Время жизни (Lifetime)
|
||||
|
||||
Параметр определяет, как долго действуют согласованные ключи в рамках первой фазы. После истечения времени выполняется повторная генерация ключей.
|
||||
|
||||
## Этап 2 - передача данных
|
||||
|
||||
Этап 2 IPsec-соединения отвечает за шифрование и защиту пользовательского трафика после того, как защищённый канал был установлен на этапе 1. Этот этап регулирует передачу данных между сторонами через безопасный туннель, который обеспечивает конфиденциальность и целостность данных.
|
||||
|
||||
### Алгоритм хэширование (Hash)
|
||||
|
||||
Аналогично этапу 1, параметр Hash используется для защиты целостности передаваемых данных. Он обеспечивает проверку того, что данные не были изменены при передаче. Доступны следующие алгоритмы:
|
||||
|
||||
- SHA1;
|
||||
- SHA2-256;
|
||||
- SHA2-384;
|
||||
- SHA2-512.
|
||||
|
||||
## Шифрование
|
||||
|
||||
Этап 2 отвечает за шифрование пользовательского трафика. Это важнейший параметр, который защищает данные при их передаче по сети. Доступны следующие алгоритмы:
|
||||
|
||||
- AES 128;
|
||||
- AES 256;
|
||||
- AES GCM 128;
|
||||
- AES GCM 192;
|
||||
- AES GCM 256.
|
||||
|
||||
### PFS
|
||||
|
||||
**Enable perfect forward secrecy (PFS)** - параметр, активирующий генерацию нового ключа на этапе 2. При включенном PFS группа Diffie-Hellman (DH) будет такая же как и на 1-й фазе.
|
||||
|
||||
Данный параметр представлен в виде чекбокса. При его включении:
|
||||
|
||||
- на этапе 2 выполняется дополнительный обмен ключами DH;
|
||||
- для каждой новой IPsec-сессии формируется новый независимый криптографический секрет;
|
||||
- ключи шифрования пользовательского трафика не зависят от ключей этапа 1.
|
||||
|
||||
### DH Group (группа Диффи — Хеллмана)
|
||||
|
||||
Группа DH определяет параметры обмена ключами между сторонами. Чем выше номер группы, тем выше криптографическая стойкость и безопасность обмена.
|
||||
|
||||
Данный параметр так же содержит в себе выпадающий список, состоящий из следующих значений:
|
||||
|
||||
- group 2;
|
||||
- group 5;
|
||||
- group 14;
|
||||
- group 15;
|
||||
- group 16;
|
||||
- group 19;
|
||||
- group 20;
|
||||
- group 21.
|
||||
|
||||
### Время жизни (Lifetime)
|
||||
|
||||
Определяет, как долго действуют согласованные ключи в рамках второй фазы.
|
||||
|
||||
- рекомендуемое значение: 3600 секунд (1 час);
|
||||
- после истечения времени выполняется повторная генерация ключей.
|
||||
|
||||
### Префиксы локальной сети заказчика
|
||||
|
||||
Этот параметр определяет, какие сети на стороне заказчика будут маршрутизироваться через **IPsec-туннель**. Префиксы задаются в формате `192.168.1.0/24`, который позволяет указать диапазон IP-адресов.
|
||||
Выбор конкретного способа подключения зависит от архитектуры приложений и требований к безопасности.
|
||||
Reference in New Issue
Block a user