ADC

Conector CloudBridge

Nota: La versión actual de Citrix ADC 1000V no admite esta función.

La función CloudBridge Connector del dispositivo Citrix ADC conecta centros de datos empresariales a nubes externas y entornos de alojamiento, lo que convierte a la nube en una extensión segura de la red empresarial. Las aplicaciones alojadas en la nube aparecen como si se estuvieran ejecutando en una red empresarial contigua. Con Citrix CloudBridge Connector, puede aumentar sus centros de datos con la capacidad y eficiencia disponibles en los proveedores de la nube.

CloudBridge Connector le permite mover sus aplicaciones a la nube para reducir costes y aumentar la fiabilidad.

Además de utilizar CloudBridge Connector entre un centro de datos y una nube, puede utilizarlo para conectar dos centros de datos para crear un enlace seguro y acelerado de alta capacidad.

Descripción de CloudBridge Connector

Para implementar la solución Citrix CloudBridge Connector, conecte un centro de datos a otro centro de datos o a una nube externa configurando un túnel denominado túnel CloudBridge Connector.

Para conectar un centro de datos a otro centro de datos, configure un túnel de CloudBridge Connector entre dos dispositivos Citrix ADC, uno en cada centro de datos.

Para conectar un centro de datos a una nube externa (por ejemplo, la nube de Amazon AWS), debe configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC en el centro de datos y un dispositivo virtual (VPX) que reside en la nube. El punto final remoto puede ser CloudBridge Connector o Citrix ADC VPX con licencia Premium.

La siguiente ilustración muestra un túnel de CloudBridge Connector configurado entre un centro de datos y una nube externa.Imagen localizada

Los dispositivos entre los que se configura un túnel de CloudBridge Connector se denominan puntos finales o pares del túnel de CloudBridge Connector.

Un túnel de CloudBridge Connector utiliza los siguientes protocolos:

  • Protocolo de encapsulación de redirección genérica (GRE)

  • Conjunto de protocolos IPSec estándar abierto, en modo de transporte

El protocolo GRE proporciona un mecanismo para encapsular paquetes, de una amplia variedad de protocolos de red, para ser reenviados a través de otro protocolo. GRE se utiliza para:

  • Conecte redes que ejecutan protocolos no IP y no enrutables.

  • Puente a través de una red de área amplia (WAN).

  • Cree un túnel de transporte para cualquier tipo de tráfico que deba enviarse sin cambios a través de una red diferente.

El protocolo GRE encapsula los paquetes agregando un encabezado GRE y un encabezado IP GRE a los paquetes.

El conjunto de protocolos de seguridad del protocolo Internet (IPSec) protege la comunicación entre pares en el túnel de CloudBridge Connector.

En un túnel de CloudBridge Connector, IPSec garantiza:

  • Integridad de los datos

  • Autenticación de origen de datos

  • Confidencialidad de los datos (cifrado)

  • Protección contra ataques de repetición

IPSec utiliza el modo de transporte en el que se cifra el paquete encapsulado GRE. El cifrado se realiza mediante el protocolo Encapsulating Security Payload (ESP). El protocolo ESP garantiza la integridad del paquete mediante el uso de una función hash HMAC y garantiza la confidencialidad mediante el uso de un algoritmo de cifrado. Después de que el paquete se cifra y se calcula el HMAC, se genera un encabezado ESP. El encabezado ESP se inserta después del encabezado IP GRE y se inserta un remolque ESP al final de la carga útil cifrada.

Los pares del túnel de CloudBridge Connector utilizan el protocolo de la versión de intercambio de claves de Internet (IKE) (parte del conjunto de protocolos IPSec) para negociar la comunicación segura, como se indica a continuación:

  • Los dos pares se autentican mutuamente mediante uno de los siguientes métodos de autenticación:

    • Autenticación de clave previamente compartida. Una cadena de texto denominada clave previamente compartida se configura manualmente en cada par. Las claves previamente compartidas de los pares se comparan entre sí para la autenticación. Por lo tanto, para que la autenticación sea correcta, debe configurar la misma clave previamente compartida en cada uno de los pares.
    • Autenticación de certificados digitales. El par iniciador (remitente) firma los datos de intercambio de mensajes mediante su clave privada y el otro par receptor utiliza la clave pública del remitente para verificar la firma. Normalmente, la clave pública se intercambia en mensajes que contienen un certificado X.509v3. Este certificado proporciona un nivel de seguridad de que la identidad de un par tal y como se representa en el certificado está asociada a una clave pública determinada.
  • A continuación, los pares negocian para llegar a un acuerdo sobre:

    • Un algoritmo de cifrado.

    • Claves criptográficas para cifrar datos en un par y descifrar los datos en el otro.

Este acuerdo sobre el protocolo de seguridad, el algoritmo de cifrado y las claves criptográficas se denomina Asociación de Seguridad (SA). Las SA son unidireccionales (simplex). Por ejemplo, cuando dos pares, CB1 y CB2, se comunican a través de un túnel Connector, CB1 tiene dos asociaciones de seguridad. Una SA se utiliza para procesar paquetes de salida y la otra SA se utiliza para procesar paquetes de entrada.

Las SA caducan después de un período de tiempo especificado, que se denomina duración. Los dos pares utilizan el protocolo de intercambio de claves de Internet (IKE) (parte del conjunto de protocolos IPSec) para negociar nuevas claves criptográficas y establecer nuevas SA. El propósito de la duración limitada es evitar que los atacantes rompan una clave.

En la tabla siguiente se enumeran algunas funciones IPSec admitidas por un dispositivo Citrix ADC:

Propiedades IPSec Tipos admitidos
Versiones IKE V1, V2
Grupo IKE DH Un dispositivo Citrix ADC solo admite el grupo DH 2 (algoritmo MODP de 1024 bits) para IKEv1 e IKEv2.
Métodos de autenticación IKE Autenticación de clave previamente compartida, Autenticación de certificados digitales
Algoritmo de cifrado AES (128 bits), AES 256 (256 bits), 3DES
Algoritmo hash HMAC SHA1, HMAC SHA256, HMAC SHA384, HMAC SHA512, HMAC MD5
Conector CloudBridge