Vous voulez de la sécurité et de la performance ? Arrêtez HTTPS !
Dès que l’on veut sécuriser un peu les échanges entre un client et une application, on va généralement ajouter une couche SSL de bout en bout et l’on va ainsi penser résoudre le problème, du moins au niveau de l’application. Mais on oublie 2 conséquences: il devient quasiment impossible d’optimiser l’application au niveau du réseau et on n’a plus assez d’information dans le flux pour avoir un contrôle d’accès en entrée du datacenter. Comment concilier la sécurité, visibilité requise dans le réseau et simplicité?
Rappelons tout d’abord pourquoi il est important de ne pas cacher trop de choses au réseau:
- Performance – Le réseau a un rôle évident pour garantir la performance des applications, ou au moins être capable de déterminer la cause d’un problème applicatif. L’exemple le plus basic est la QoS: en cas de congestion sur un lien on sera heureux de pouvoir choisir quel application on va prioriser. Si tout est chiffré cela devient un casse-tête. Idem pour le routage: si l’on est capable de dynamiquement choisir un chemin en fonction de la performance réelle attendue cela va être compliqué de le faire si on n’arrive pas à voir les applications utilisées.
- Sécurité – SSL nous apporte un chiffrement simplement et donne à l’usager l’impression que tout est sous contrôle… même s’il a validé dans 99% des cas tel ou tel certificat sans comprendre les impacts! Mais on n’est plus capable en entrée du datacenter de faire le contrôle d’accès nécessaire puisqu’on a plus suffisamment de discriminants pour faire un choix: tout doit reposer sur l’application après déchiffrement.
- Management – Comment faire des tableaux de bord, du capacity planning et des études d’optimisation si l’on ne sait pas ce qui transite sur le réseau?
A priori on est dans une situation inextricable: on veut chiffrer tout en laissant la visibilité aux éléments réseaux. Une approche possible que je présente ici consiste à:
- Authentifier les noeuds du réseau
- Chiffrer les échanges entre ces noeuds
- Déchiffrer à chaque saut pour voir et contrôler le trafic
Sur le LAN on va pouvoir utliser la norme MACsec 802.1AE faire ce chiffrement hop-by-hop, sans altérer les performances même sur des interfaces 10GbE. On commence en effet à avoir un support intéressant sur la gamme de commutateurs Catalyst développée pour le campus. Sur le WAN on va plutôt utiliser un VPN IPsec traditionnel entre les extrémités et là non plus on ne manque pas d’options. Cette approche permet de laisser au réseau la visibilité nécessaire sans pour autant casser la sécurité puisque tout est chiffré entre les équipements de l’infrastructure. Et cerise sur le gâteau on va même pouvoir simplifier la mise en place de filtres en entrée du datacenter, on va pouvoir assigner des tags de sécurité (SGT – Security Group Tag) aux usagers et serveurs. Ces tags seront transportés directement dans les trames et on utilisera l’information du tag pour réaliser le filtrage attendu… C’est l’architecture Trustsec. Rapports de tests dans les prochains posts! 🙂
Tags:
