Connecteur CloudBridge

Remarque : La version actuelle de Citrix ADC 1000V ne prend pas en charge cette fonctionnalité.

La fonctionnalité CloudBridge Connector de l’appliance Citrix ADC connecte les centres de données d’entreprise aux clouds externes et aux environnements d’hébergement, ce qui fait du cloud une extension sécurisée de votre réseau d’entreprise. Les applications hébergées dans le cloud semblent s’exécuter sur un réseau d’entreprise contigu. Avec Citrix CloudBridge Connector, vous pouvez augmenter vos centres de données grâce à la capacité et à l’efficacité disponibles auprès des fournisseurs de cloud.

CloudBridge Connector vous permet de déplacer vos applications vers le cloud afin de réduire les coûts et d’augmenter la fiabilité.

En plus d’utiliser CloudBridge Connector entre un centre de données et un nuage, vous pouvez l’utiliser pour connecter deux centres de données pour une liaison sécurisée et accélérée haute capacité.

Présentation du connecteur CloudBridge

Pour implémenter la solution Citrix CloudBridge Connector, vous connectez un centre de données à un autre centre de données ou à un nuage externe en configurant un tunnel appelé tunnel CloudBridge Connector.

Pour connecter un centre de données à un autre centre de données, vous configurez un tunnel CloudBridge Connector entre deux appliances Citrix ADC, un dans chaque centre de données.

Pour connecter un centre de données à un nuage externe (par exemple, le cloud Amazon AWS), vous configurez un tunnel CloudBridge Connector entre une appliance Citrix ADC dans le centre de données et une appliance virtuelle (VPX) résidant dans le Cloud. Le point d’extrémité distant peut être un CloudBridge Connector ou un Citrix ADC VPX avec licence premium.

L’illustration suivante montre un tunnel CloudBridge Connector configuré entre un centre de données et un nuage externe.image localisée

Les appliances entre lesquelles un tunnel CloudBridge Connector est configuré sont appelées points d’extrémité ou homologues du tunnel CloudBridge Connector.

Un tunnel CloudBridge Connector utilise les protocoles suivants :

  • Protocole GRE (Generic Routing Encapsulation)

  • Suite de protocole IPsec standard ouverte, en mode transport

Le protocole GRE fournit un mécanisme pour encapsuler les paquets, à partir d’une grande variété de protocoles réseau, à transférer sur un autre protocole. Le GRE est utilisé pour :

  • Connectez des réseaux exécutant des protocoles non IP et non routables.

  • Pont sur un réseau étendu (WAN).

  • Créez un tunnel de transport pour tout type de trafic qui doit être envoyé inchangé sur un autre réseau.

Le protocole GRE encapsule les paquets en ajoutant un en-tête GRE et un en-tête GRE IP aux paquets.

La suite de protocoles IPSec (Internet Protocol security) sécurise la communication entre pairs dans le tunnel CloudBridge Connector.

Dans un tunnel CloudBridge Connector, IPsec garantit :

  • Intégrité des données

  • Authentification de l’origine des données

  • Confidentialité des données (cryptage)

  • Protection contre les attaques de relecture

IPSec utilise le mode de transport dans lequel le paquet encapsulé GRE est chiffré. Le chiffrement est effectué par le protocole ESP (Encapsulating Security Payload). Le protocole ESP assure l’intégrité du paquet à l’aide d’une fonction de hachage HMAC et assure la confidentialité à l’aide d’un algorithme de chiffrement. Une fois le paquet chiffré et le HMAC calculé, un en-tête ESP est généré. L’en-tête ESP est inséré après l’en-tête IP GRE et une remorque ESP est insérée à la fin de la charge utile chiffrée.

Les homologues du tunnel CloudBridge Connector utilisent le protocole IKE (Internet Key Exchange version) (partie de la suite de protocoles IPSec) pour négocier une communication sécurisée, comme suit :

  • Les deux pairs s’authentifient mutuellement les uns avec les autres, en utilisant l’une des méthodes d’authentification suivantes :

    • Authentification de clé pré-partagée. Une chaîne de texte appelée clé pré-partagée est configurée manuellement sur chaque pair. Les clés pré-partagées des pairs sont comparées les unes aux autres pour l’authentification. Par conséquent, pour que l’authentification réussisse, vous devez configurer la même clé pré-partagée sur chacun des homologues.
    • Authentification des certificats numériques. L’homologue initiateur (expéditeur) signe les données d’échange de messages à l’aide de sa clé privée, et l’autre homologue récepteur utilise la clé publique de l’expéditeur pour vérifier la signature. Généralement, la clé publique est échangée dans des messages contenant un certificat X.509v3. Ce certificat fournit un niveau d’assurance que l’identité d’un pair représentée dans le certificat est associée à une clé publique particulière.
  • Les pairs négocient ensuite pour parvenir à un accord sur :

    • Un algorithme de chiffrement.

    • Clés cryptographiques pour chiffrer les données dans un pair et déchiffrer les données dans l’autre.

Cet accord sur le protocole de sécurité, l’algorithme de chiffrement et les clés cryptographiques est appelé une association de sécurité (SA). Les SA sont unidirectionnelles (simplex). Par exemple, lorsque deux homologues, CB1 et CB2, communiquent via un tunnel Connector, CB1 a deux associations de sécurité. Une SA est utilisée pour le traitement des paquets sortants et l’autre SA pour le traitement des paquets entrants.

Les SA expirent après une durée spécifiée, appelée durée de vie. Les deux homologues utilisent le protocole IKE (Internet Key Exchange) (partie de la suite de protocoles IPSec) pour négocier de nouvelles clés cryptographiques et établir de nouvelles SA. Le but de la durée de vie limitée est d’empêcher les attaquants de craquer une clé.

Le tableau suivant répertorie certaines propeties IPSec prises en charge par un appliance Citrix ADC :

Propriétés IPsec Types pris en charge
Versions IKE V1, V2
Méthodes d’authentification IKE Authentification des clés pré-partagées, authentification des certificats numériques
Algorithme de chiffrement AES (128 bits), AES 256 (256 bits), 3DES
Algorithme de hachage HMAC SHA1, HMAC SHA256, HMAC SHA384, HMAC SHA512, HMAC MD5

Connecteur CloudBridge