Parmi les techniques de l’accélération Web, celle des opérations de cryptage-décryptage SSL est irrésistiblement appelée à sortir de sa niche. Cet ensemble de protocoles est utilisé par les serveurs Web ou les serveurs d’applications pour l’ouverture de sessions transactionnelles sécurisées avec les clients Internet. SSL est cependant extrêmement gourmand en puissance de calcul. Il peut mettre à mal tout serveur Web de classe départementale, notamment lors des phases de négociation des sessions HTTPS. Un serveur Web quadriprocesseur Pentium Pro n’est capable de traiter qu’une centaine de transactions SSL par seconde, sauf si on l’équipe de coprocesseurs spécialisés se chargeant des traitements de cryptage-décryptage.Dès lors, de nombreux constructeurs se sont intéressés à la cryptoaccélération SSL. Les pionniers ont d’abord proposé des cartes d’accélération PCI pour serveurs Web. Les premières augmentaient les performances des serveurs sécurisés d’un facteur 2 à 10. Depuis, elles ont monté en puissance.Néanmoins, il peut être délicat d’exploiter ce type de solution lors d’utilisation intensive, les flux de données risquant de saturer les bus PCI des machines.
Des approches intégrées de l’accélération Web
Par conséquent, les constructeurs se sont tournés vers l’appliance, avec des matériels de cryptoaccélération SSL s’installant en frontal des serveurs e-business. Les premiers ont été Intel et Nortel Networks, avec les solutions Netstructure 7110 et Alteon ISD-SSL. Bull vient de les rejoindre avec le serveur TrustWay SSL.Pour le cabinet Infonetics Research, l’accélération SSL sort de son domaine de niches pour se transformer en l’une des fonctions clés des commutateurs et matériels de gestion de trafic Web. Quelques fournisseurs ?” F5 Networks, connu pour ses équilibreurs de charges big-IP ; CacheFlow, spécialiste du Caching Web ; et Volera, filiale de Novell dédiée aux logiciels d’accélération Internet ?” ont des approches intégrées de l’accélération Web. Au catalogue de Volera figure un logiciel de cryptoaccélération SSL, Secure Excelerator. Conçu par Novell, fin 2000, sous la dénomination SSLizer, Secure Excelerator est désormais un module optionnel du logiciel de service de cache Excelerator, lui aussi d’origine Novell (anciennement ICS, Internet cache server). ICS proposait une série de serveurs de cache développés par des partenaires OEM de Novell, notamment Dell, Compaq et IBM. Désormais, les serveurs de cache intégrant le logiciel de Caching Web Excelerator sont en mesure de traiter la conversion de flux HTTP-HTTPS. Quant à F5 et à CacheFlow, ils bénéficient, sur le marché de l’accélération SSL, de positions fortes acquises sur les terrains de l’équilibrage de charges, pour le premier ; et du cache Web, pour le second. CacheFlow suit une logique assez semblable à celle de Volera puisqu’il a intégré des processeurs cryptographiques SSL dans ses boîtiers Server Accelerator. Son haut de gamme SA 7000 incorpore ainsi de un à quatre cryptoprocesseurs SSL. F5 s’est depuis peu intéressé au couplage des fonctions d’équilibrage de charges et de cryptoaccélération SSL. En plus de ses appliances d’accélération SSL, Big-IP eCommerce Controller, F5 propose aussi sa technologie d’accélération SSL sous la forme de cartes additionnelles BIG-IP SSL Accelerator destinées à compléter ses contrôleurs à équilibrage de charges.Ce mouvement vers des accélérateurs Web sécurisés multifonctions ne doit cependant pas masquer une autre évolution de fond, la course à la puissance. La carte SSL ou l’appliance cryptoaccélérateur représentent des goulets d’étranglement potentiels des plates-formes e-commerce. Les constructeurs se concurrencent désormais sur le terrain de la performance pure. Cette compétition les incite à se constituer des lignes de solutions, avec des cartes PCI adressant des besoins e-commerce d’entrée de gamme, et des appliances plutôt positionnées pour le haut de gamme et les applications très évolutives. Le cas de Rainbow Technologies illustre cette évolution. À l’origine fabricant d’une carte capable de traiter de 100 à 600 opérations SSL par seconde (tps), Rainbow propose désormais le CryptoSwift EN, un boîtier empilable, et délivrant, de 600 à 1 000 tps, selon le nombre de coprocesseurs embarqués.
Que la force soit avec les appliances !
Les cartes internes PCI délivrent aujourd’hui une moyenne de quelques centaines de transactions par seconde. Leurs limites continuent d’être repoussées. Ainsi AEP, après avoir sorti une première carte de cryptoaccélération SSL à 1 000 tps, a sorti, en septembre, la carte AEP2000 SSL Accelerator, créditée de 2 000 tps. Quant aux appliances, s’ils débutent à de modestes puissances de quelques centaines transactions par seconde (la solution TrustWay SSL, de Bull, par exemple, est capable d’achever de 200 à 800 tps selon le nombre de processeurs dont elle est équipée), c’est pour mieux attaquer les milliers de transactions par seconde vers le haut de gamme. Sonicwall, par exemple, couvre un éventail de 200 tps (avec sa carte PCI) à 1 200 tps (avec son appliance rackable SSL R6).La technique de l’équilibrage de charges est mise à contribution pour des solutions accélératrices SSL tolérantes aux pannes et évolutives. Chez F5, il est possible de constituer des grappes d’accélérateurs SSL en couplant plusieurs eCommerce Controller via un équilibreur de charges Big-IP. Les appliances isD-SSL, de Nortel Networks, sont assemblables en grappes à équilibrage de charges comportant jusqu’à 256 n?”uds, chacun des n?”uds délivrant 600 tps. Quant à Radware, sa solution certainT 100, constituée avec l’équilibreur Server Director, délivre une puissance de 20 000 tps.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.