ADC

CloudBridge Connector

Remarque : La version actuelle de NetScaler 1000V ne prend pas en charge cette fonctionnalité.

La fonctionnalité CloudBridge Connector de l’appliance NetScaler connecte les centres de données d’entreprise aux clouds externes et aux environnements d’hébergement, faisant du cloud une extension sécurisée de votre réseau d’entreprise. Les applications hébergées dans le cloud semblent s’exécuter sur un réseau d’entreprise contigu. Avec Citrix CloudBridge Connector, vous pouvez augmenter la capacité et l’efficacité de vos centres de données grâce à la capacité et à l’efficacité disponibles auprès des fournisseurs de cloud.

Le CloudBridge Connector vous permet de déplacer vos applications vers le cloud afin de réduire les coûts et d’améliorer la fiabilité.

Outre l’utilisation du CloudBridge Connector entre un centre de données et un cloud, vous pouvez l’utiliser pour connecter deux centres de données afin d’établir une liaison sécurisée et accélérée de grande capacité.

Comprendre le CloudBridge Connector

Pour implémenter la solution Citrix CloudBridge Connector, vous connectez un centre de données à un autre centre de données ou à un cloud externe en configurant un tunnel appelé tunnel CloudBridge Connector.

Pour connecter un centre de données à un autre centre de données, vous devez configurer un tunnel CloudBridge Connector entre deux appliances NetScaler, une dans chaque centre de données.

Pour connecter un centre de données à un cloud externe (par exemple, le cloud Amazon AWS), vous configurez un tunnel CloudBridge Connector entre une appliance NetScaler du centre de données et une appliance virtuelle (VPX) résidant dans le cloud. Le point de terminaison distant peut être un CloudBridge Connector ou un NetScaler VPX avec licence Premium.

L’illustration suivante montre un tunnel CloudBridge Connector configuré entre un centre de données et un nuage externe.Image localisée

Les appliances entre lesquelles un tunnel CloudBridge Connector est configuré sont appelées points de terminaison ou homologues du tunnel CloudBridge Connector.

Un tunnel CloudBridge Connector utilise les protocoles suivants :

  • Protocole GRE (Generic Routing Encapsulation)

  • Suite de protocoles IPsec standard ouverte, en mode transport

Le protocole GRE fournit un mécanisme pour encapsuler des paquets, provenant d’une grande variété de protocoles réseau, à transmettre via un autre protocole. Le GRE est utilisé pour :

  • Connectez des réseaux utilisant des protocoles non IP et non routables.

  • Faites le pont entre un réseau étendu (WAN).

  • Créez un tunnel de transport pour tout type de trafic qui doit être envoyé tel quel sur un autre réseau.

Le protocole GRE encapsule les paquets en ajoutant un en-tête GRE et un en-tête IP GRE aux paquets.

La suite de protocoles IPsec (Internet Protocol Security) sécurise les communications entre homologues dans le tunnel CloudBridge Connector.

Dans un tunnel CloudBridge Connector, IPsec garantit :

  • Intégrité des données

  • Authentification d’origine des données

  • Confidentialité des données (cryptage)

  • Protection contre les attaques par rediffusion

IPsec utilise le mode de transport dans lequel le paquet encapsulé GRE est crypté. Le chiffrement est effectué par le protocole ESP (Encapsulating Security Payload). Le protocole ESP garantit l’intégrité du paquet à l’aide d’une fonction de hachage HMAC et garantit la confidentialité à l’aide d’un algorithme de chiffrement. Une fois le paquet crypté et le HMAC calculé, un en-tête ESP est généré. L’en-tête ESP est inséré après l’en-tête IP GRE et une bande-annonce ESP est insérée à la fin de la charge utile cryptée.

Les homologues du tunnel CloudBridge Connector utilisent le protocole IKE (Internet Key Exchange version) (qui fait partie de la suite de protocoles IPsec) pour négocier des communications sécurisées, comme suit :

  • Les deux homologues s’authentifient mutuellement à l’aide de l’une des méthodes d’authentification suivantes :

    • Authentification par clé pré-partagée. Une chaîne de texte appelée clé pré-partagée est configurée manuellement sur chaque homologue. Les clés pré-partagées des homologues sont comparées les unes aux autres à des fins d’authentification. Par conséquent, pour que l’authentification soit réussie, vous devez configurer la même clé pré-partagée sur chacun des homologues.
    • Authentification par certificats numériques. L’homologue initiateur (expéditeur) signe les données d’échange de messages à l’aide de sa clé privée, tandis que l’autre homologue récepteur utilise la clé publique de l’expéditeur pour vérifier la signature. Généralement, la clé publique est échangée dans des messages contenant un certificat X.509v3. Ce certificat fournit un niveau d’assurance que l’identité d’un homologue telle que représentée dans le certificat est associée à une clé publique particulière.
  • Les pairs négocient ensuite pour parvenir à un accord sur :

    • Un algorithme de chiffrement.

    • Clés cryptographiques pour chiffrer les données dans un homologue et les déchiffrer dans l’autre.

Cet accord sur le protocole de sécurité, l’algorithme de chiffrement et les clés cryptographiques est appelé Security Association (SA). Les AA sont unidirectionnels (simplex). Par exemple, lorsque deux homologues, CB1 et CB2, communiquent via un tunnel Connector, CB1 possède deux associations de sécurité. Une SA est utilisée pour traiter les paquets sortants et l’autre SA est utilisée pour traiter les paquets entrants.

Les SA expirent après une durée spécifiée, appelée durée de vie. Les deux homologues utilisent le protocole Internet Key Exchange (IKE) (qui fait partie de la suite de protocoles IPsec) pour négocier de nouvelles clés cryptographiques et établir de nouvelles SA. Le but de la durée de vie limitée est d’empêcher les attaquants de craquer une clé.

Le tableau suivant répertorie certaines propriétés IPsec prises en charge par une appliance NetScaler :

Propriétés IPSec Types pris en charge
Versions d’IKE V1, V2
Groupe IKE DH Une appliance NetScaler prend uniquement en charge le groupe DH 2 (algorithme MODP 1024 bits) pour IKEv1 et IKEv2.
Méthodes d’authentification IKE Authentification par clé pré-partagée, authentification par certificats numériques
Algorithme de chiffrement AES (128 bits), AES 256 (256 bits), 3DES
Algorithme de hachage HMAC SHA1, HMAC SHA256, HMAC SHA384, HMAC SHA512, HMAC MD5
CloudBridge Connector