Brocade met en avant le chiffrement dans ses routeurs MLXe
Brocade propose de nouveaux modules pour ses routeurs MLXe qui permettent de gérer le chiffrement IPsec et MACsec dans les routeurs. Une approche intéressante, mais disputée par certains experts.
Brocade vient de lancer une série de modules de chiffrement pour ses routeurs MLXe que la firme présente comme la solution pour doper les performances de chiffrement des données voyageant sur un réseau. Les nouveaux modules supportent les technologies standards IPsec et MACsec.
Selon Brocade, l’intérêt de ces modules est qu’ils permettent de chiffrer à plus haute performance qu’une appliance de sécurité externe. Comme l’explique Daniel Williams, un responsable du marketing produit du constructeur, les appliances de sécurité habituellement mises en œuvre par les entreprises pour gérer le chiffrement doivent être complétées par d’autres pour la détection d’intrusion, les services de pare-feu et de filtrage. Le fait d’empiler les appliances rendrait la gestion de la sécurité plus délicate.
Mais tout le monde n’est pas d’accord : comme l’indique Mike Fratto, un analyste pour le cabinet Current Analysis, « si les arguments de Brocade paraissent raisonnables, le fait de chiffrer en utilisant des appliances de sécurité multifonctions est tout aussi efficace ». En fait, selon lui, le lieu où se déroule le chiffrement n’a guère d’importance.
Par exemple, un pare-feu peut très bien inspecter le trafic, puis le faire passer à une appliance VPN qui assurera le chiffrement. Dans le cas de Brocade, Fratto note que l’approche de Brocade peut avoir un côté pratique : « vous n’avez pas besoin d’un équipement de plus pour réaliser le chiffrement ».
IPsec et MACsec
IPsec s’appuie sur l’algorithme de chiffrement AES 256-bit, tandis que MACsec utilise l’AES 128-bit.
AES est un protocole de chiffrement conçu par deux chercheurs belges qui suite à un concours lancé par le NIST (National Institute of Science and Technology) a été retenu pour devenir le protocole de chiffrement utilisé par le gouvernement américain pour la protection de ses données.
Il a succédé au protocole DES (largement cassé) et est implémenté par nombre de produits et protocoles de sécurité.
MACsec est typiquement utilisé pour chiffrer des données entre un commutateur et un équipement (PC, serveur…). Le protocole fournit un mécanisme de chiffrement de point à point permettant d’empêcher l’écoute des communications entre ces deux points.
IPsec est plutôt utilisé pour la mise en œuvre de réseaux privés virtuels ou VPN.
Jusqu'à 1 Terabit/s de capacité de chiffrement pour un unique MLXe
Selon Brocade, le MLXe équipé du module adéquat peut supporter un débit de 44 gigabit/s en mode IPsec tandis que le chiffrement en mode MACsec peut atteindre 200 Gigabit/s. En installant plusieurs modules de sécurité dans un même MLXe, la capacité de chiffrement peut être portée à 1 Terabit/s par routeur, mais rares sont encore les entreprises qui ont besoin de telles capacités.
Selon Rohit Mehra, un analyste d’IDC, l’ajout de modules de chiffrement au MLXe en fait un équipement de choix pour améliorer la sécurité de Clouds publics ou privés, mais aussi pour améliorer la sécurité sur le WAN.
Mais d’autres experts ne sont pas forcément adeptes de l’ajout de modules de sécurité dans l’infrastructure réseau généraliste.
« Je suis un fan de l’ajout de fonctionnalités dans les routeurs, mais le fait de déplacer ce qui était autrefois du ressort d’une appliance de sécurité dédiée dans une carte du routeur signifie que la fonction de sécurité est confiée à l’équipe d’infrastructure et non pas à l’équipe sécurité », explique Ron Gula, le patron de Tenable Network Security.
Un module de chiffrement MACsec pour le MLXe est proposé à partir de 90 000 $, tandis qu’un module compatible IPsec et MACsec supportant un débit de 44 Gigabit/s est vendu 120 000 $. La mise à jour de l’OS Brocade Netiron OS (v5.8) qui active le support du chiffrement est gratuite pour les clients sous maintenance.