ADC

Conector CloudBridge

Nota: La versión actual de NetScaler 1000V no admite esta función.

La función CloudBridge Connector del dispositivo NetScaler conecta los centros de datos empresariales con nubes externas y entornos de alojamiento, lo que convierte a la nube en una extensión segura de la red empresarial. Las aplicaciones alojadas en la nube aparecen como si se estuvieran ejecutando en una red empresarial contigua. Con Citrix CloudBridge Connector, puede aumentar sus centros de datos con la capacidad y la eficiencia que ofrecen los proveedores de nube.

El CloudBridge Connector le permite mover sus aplicaciones a la nube para reducir los costos y aumentar la confiabilidad.

Además de usar CloudBridge Connector entre un centro de datos y una nube, puede usarlo para conectar dos centros de datos a fin de obtener un enlace acelerado y seguro de alta capacidad.

Descripción de CloudBridge Connector

Para implementar la solución Citrix CloudBridge Connector, conecte un centro de datos a otro centro de datos o a una nube externa mediante la configuración de un túnel denominado túnel CloudBridge Connector.

Para conectar un centro de datos a otro centro de datos, configure un túnel de CloudBridge Connector entre dos dispositivos NetScaler, uno en cada centro de datos.

Para conectar un centro de datos a una nube externa (por ejemplo, la nube de Amazon AWS), debe configurar un túnel de CloudBridge Connector entre un dispositivo NetScaler en el centro de datos y un dispositivo virtual (VPX) que reside en la nube. El punto final remoto puede ser CloudBridge Connector o NetScaler VPX con licencia Premium.

La siguiente ilustración muestra un túnel de CloudBridge Connector configurado entre un centro de datos y una nube externa.Imagen traducida

Los dispositivos entre los que se configura un túnel de CloudBridge Connector se denominan puntos finales o pares del túnel de CloudBridge Connector.

Un túnel de CloudBridge Connector utiliza los siguientes protocolos:

  • Protocolo de encapsulación de redirección genérica (GRE)

  • Conjunto de protocolos IPSec de estándar abierto, en modo transporte

El protocolo GRE proporciona un mecanismo para encapsular paquetes de una amplia variedad de protocolos de red para reenviarlos a través de otro protocolo. El GRE se usa para:

  • Conecte redes que ejecuten protocolos no IP ni enrutables.

  • Puente a través de una red de área amplia (WAN).

  • Cree un túnel de transporte para cualquier tipo de tráfico que deba enviarse sin cambios a través de una red diferente.

El protocolo GRE encapsula los paquetes añadiendo un encabezado GRE y un encabezado IP GRE a los paquetes.

El conjunto de protocolos de seguridad del protocolo de Internet (IPsec) protege la comunicación entre pares en el túnel CloudBridge Connector.

En un túnel de CloudBridge Connector, IPSec garantiza:

  • Integridad de datos

  • autenticación de origen de datos

  • Confidencialidad de los datos (cifrado)

  • Protección contra los ataques de repetición

IPSec usa el modo de transporte en el que se cifra el paquete encapsulado GRE. El cifrado se realiza mediante el protocolo Encapsulating Security Payload (ESP). El protocolo ESP garantiza la integridad del paquete mediante una función de hash HMAC y garantiza la confidencialidad mediante un algoritmo de cifrado. Después de cifrar el paquete y calcular el HMAC, se genera un encabezado ESP. El encabezado ESP se inserta después del encabezado GRE IP y se inserta un tráiler ESP al final de la carga cifrada.

Los pares del túnel CloudBridge Connector utilizan el protocolo Internet Key Exchange version (IKE) (que forma parte del conjunto de protocolos IPSec) para negociar una comunicación segura, de la siguiente manera:

  • Los dos pares se autentican mutuamente mediante uno de los siguientes métodos de autenticación:

    • Autenticación de clave previamente compartida. Una cadena de texto denominada clave previamente compartida se configura manualmente en cada par. Las claves previamente compartidas de los pares se comparan entre sí para la autenticación. Por lo tanto, para que la autenticación se realice correctamente, debe configurar la misma clave previamente compartida en cada uno de los pares.
    • Autenticación de certificados digitales. El par iniciador (remitente) firma los datos del intercambio de mensajes mediante su clave privada, y el otro par receptor usa la clave pública del remitente para verificar la firma. Normalmente, la clave pública se intercambia en mensajes que contienen un certificado X.509v3. Este certificado proporciona un nivel de garantía de que la identidad de un par, tal como se representa en el certificado, está asociada a una clave pública determinada.
  • Luego, los pares negocian para llegar a un acuerdo sobre:

    • Un algoritmo de cifrado.

    • Claves criptográficas para cifrar datos en un par y descifrar los datos en el otro.

Este acuerdo sobre el protocolo de seguridad, el algoritmo de cifrado y las claves criptográficas se denomina Asociación de Seguridad (SA). Los SA son unidireccionales (simples). Por ejemplo, cuando dos pares, CB1 y CB2, se comunican a través de un túnel de conectores, CB1 tiene dos asociaciones de seguridad. Una SA se usa para procesar paquetes salientes y la otra SA se usa para procesar paquetes entrantes.

Los SA caducan después de un período de tiempo específico, que se denomina vida útil. Los dos pares utilizan el protocolo Internet Key Exchange (IKE) (que forma parte del conjunto de protocolos IPSec) para negociar nuevas claves criptográficas y establecer nuevas SA. El propósito de la duración limitada es evitar que los atacantes rompan una clave.

En la siguiente tabla se enumeran algunas propiedades de IPSec admitidas por un dispositivo NetScaler:

Propiedades IPSec Tipos admitidos
Versiones IKE V1, V2
Grupo IKE DH Un dispositivo NetScaler solo admite el grupo DH 2 (algoritmo MODP de 1024 bits) para IKEv1 e IKEv2.
Métodos de autenticación IKE Autenticación de clave precompartida, autenticación de certificados digitales
Algoritmo de cifrado AES (128 bits), AES 256 (256 bits), 3DES
Algoritmo hash HMAC SHA1, HMAC SHA256, HMAC SHA384, HMAC SHA512, HMAC MD5
Conector CloudBridge