Riverbed accélère le trafic chiffré par SSL

Avec la sortie de la version RiOS 4.0, Riverbed étend pour la première fois sa fonctionnalité primée d'accélération des applications au trafic SSL, fournissant ainsi une accélération de bout en bout du trafic sécurisé. Avant cette percée, les appliances Steelhead ne pouvaient pas « voir » le trafic provenant des applications Web chiffrées et celui-ci était transféré tel quel ; il n'y avait aucune tentative d'optimiser ou d'accélérer ce trafic chiffré. Toutes les appliances Steelhead peuvent désormais être mises à niveau avec RiOS 4.0 pour tirer profit de cette fonctionnalité révolutionnaire.

Afin d'appliquer les techniques d'accélération des applications et d'optimisation des réseaux étendus au trafic SSL, les données et les protocoles doivent être visibles, ce qui veut dire qu'ils doivent être déchiffrés de chaque côté du réseau étendu mais demeurer chiffrés lorsqu'ils traversent les trois segments d'une connexion donnée : du serveur à l'appliance WDS côté serveur, entre les deux appliances WDS de part et d'autre du réseau étendu et de l'appliance WDS côté client au client. De plus, la gestion des certificats et des clés privées SSL doit être effectuée dans le centre de données afin de ne pas introduire de nouvelles vulnérabilités de sécurité.

Riverbed a introduit une approche novatrice en instance de brevet à l'accélération du trafic SSL sur le réseau étendu qui n'invalide pas le modèle de confiance centralisé favorisé par les architectes de sécurité informatique. La solution proposée par Riverbed est complémentaire aux nombreuses solutions de délestage SSL (voir ci-dessous pour les différences). En dépit de l'appellation de solutions d'« accélération SSL » données par les fournisseurs de délestage SSL pour décrire leurs produits (également appelés AFE - Application Front End), ceux-ci sont architecturalement différentes de la solution de Riverbed et demeurent complémentaires.

Les appliances Steelhead sont déployées dans l'infrastructure de l'entreprise et font partie de l'environnement sécurisé. Le trafic est alors déchiffré, optimisé grâce à l'ensemble des fonctionnalités de Streamlining de RiOS et chiffré à nouveau lors de son transfert d'un site à l'autre ; toutes ces opérations sont réalisées sans distribution de certificats vers les bureaux distants. Tous les certificats et les clés privées demeurent dans les centres de données, ce qui est compatible avec l'approche de gestion centralisée de certificats favorisée par les architectes informatiques professionnels. Certaines autres appliances d'accélération d'applications prenant en charge le trafic chiffré nécessitent la distribution de certificats dans les bureaux distants, ce qui crée une vulnérabilité importante de sécurité au sein de l'infrastructure.

En permettant que le trafic soit déchiffré puis chiffré à nouveau d'une manière sûre, les entreprises peuvent accélérer les applications SSL qu'elles ne pouvaient pas accélérer auparavant. Étant donné que 15 % des entreprises utilisent SSL aujourd'hui, la possibilité d'offrir des performances de vitesse élevées et uniformes pour ce trafic est primordiale. Les architectes informatiques n'ont plus à choisir entre sécurité et performances.

Il est très probable que l'on confonde la nouvelle fonctionnalité d'accélération SSL de Riverbed avec les solutions déjà existantes dites de délestage SSL proposées par d'autres fournisseurs d'infrastructure. Il s'agit de deux produits complètement différents pouvant être utilisés indépendamment l'un de l'autre. Le délestage SSL et l'accélération SSL de Riverbed sont d'ailleurs compatibles et peuvent être utilisés dans le même environnement.

Le délestage SSL (quelquefois appelé de manière portant à confusion « accélération SSL ») et la nouvelle technologie de Riverbed d'accélération SSL effectuent des opérations complètement différentes malgré leurs noms voisins. Les solutions de délestage SSL sont déployées asymétriquement (dans le centre de données uniquement) ; elles interceptent les sessions SSL, les ferment côté serveur et réalisent la tâche extrêmement lourde en calcul de déchiffrement du trafic SSL. Bien que le délestage de sessions SSL ait un impact négatif sur la vitesse des applications SSL, l'avantage principal de ces solutions d'échelle est qu'elles permettent la prise en charge d'un nombre bien plus élevé de sessions SSL par un serveur Web donné. Elles sont utilisées principalement au profit des utilisateurs Internet lorsqu'il n'existe pas de bureau distant dans lequel installer une appliance homologue d'accélération.

La solution d'accélération SSL de Riverbed donne la possibilité aux appliances Steelhead d'accélérer véritablement le trafic SSL vers le bureau distant en appliquant les optimisations primées de Riverbed aux données, ce qui optimise aussi bien l'utilisation des données que les inefficacités des protocoles. Les appliances Steelhead ne sont pas des appliances de délestage SSL. Les entreprises peuvent décider d'utiliser le délestage et l'accélération SSL dans le même environnement.