Le secteur des VPN est sur une trajectoire de croissance contrairement à très peu d’autres dans le monde de la technologie, intensifiée par la pandémie et le passage au travail à distance. Avec une demande de VPN à un niveau record, plusieurs protocoles différents ont vu le jour, tous rivalisant pour les titres de « plus rapide » et de « plus sécurisé ». Pour avoir son avis sur les derniers développements dans le monde des VPN, notamment la montée en puissance du protocole WireGuard, l'entrée de Google dans l'espace VPN, et bien plus encore, nous avons discuté avec James Yonan, CTO d'OpenVPN.
Entre Wireguard et les protocoles propriétaires, OpenVPN a beaucoup plus de concurrence ces jours-ci. Quelles sont vos pensées?
Nous avons notre propre vision de l’avenir des VPN qui va bien au-delà de leur utilisation comme protocole du dernier kilomètre ou de site à site. Imaginez un service VPN qui vous offre un accès Internet mondial privé, sécurisé et virtualisé dans 50 régions différentes, et qui est si bon marché à exploiter que nous pouvons vous fournir gratuitement trois connexions simultanées. Imaginez maintenant une technologie cachée qui la rend réelle : déchargement du protocole VPN hautes performances vers un noyau ou un espace matériel dédié, virtualisation réseau légère, sessions VPN entièrement maillées, authentification SAML, détection des menaces réseau via IDS/IPS/NSM, protection DDoS, distribution multirégionale. équilibrage de charge et basculement, routage MPLS, espaces de noms réseau, gestion du routage global distribué, BGP virtualisé, routage géolocalisé et intégration DNS. Il s'agit de notre technologie VPN-as-a-service de nouvelle génération qui est actuellement disponible via notre solution OpenVPN Cloud. Essentiellement, nous avons assumé les capacités des solutions VPN d'entreprise tout en réduisant le coût et la complexité de mise en œuvre dans un service VPN grand public.De nombreux fournisseurs de VPN utilisent Wireguard. Quelle est votre opinion sur ce qui motive cela?
La plupart des fournisseurs VPN sont ce que nous pourrions appeler des fournisseurs de première génération ; ils se concentrent sur la sécurité du dernier kilomètre. Et Wireguard leur offre un moyen de rationaliser leurs opérations selon le modèle commercial de première génération. Ils peuvent gérer davantage de connexions simultanées et de bande passante par serveur et réduire votre coût global. Au lieu de cela, nous nous concentrons sur ce que nous considérons comme le modèle de fournisseur VPN de nouvelle génération, où la sécurité du dernier kilomètre devient simplement une case à cocher sur un large éventail de fonctionnalités. Dans le modèle de nouvelle génération, nous vous proposons un Internet sécurisé et virtualisé dans le cloud et un ensemble complet d'outils d'entreprise pour la gestion des appareils, l'authentification, le routage, la détection des menaces réseau, l'équilibrage de charge, le dumping, etc. Prenons l'exemple d'une entreprise qui possède des millions d'appareils IoT dans le monde et qui doit les connecter en toute sécurité à un cloud virtualisé. Il s’agit de problèmes d’entreprise qui ne correspondent pas au modèle de fournisseur VPN de première génération, mais qui représentent un énorme marché émergent pour les fournisseurs VPN. Nous avons l'intention de servir ce marché, mais il ne s'agit pas vraiment de savoir si votre protocole est OpenVPN ou WireGuard. R&D, développement, intégration, opérations, etc. La création d'un service VPN de nouvelle génération fait de la mise en œuvre du protocole VPN lui-même plus un détail qu'un événement principal.Il semble y avoir un consensus parmi de nombreux acteurs de l'industrie sur le fait qu'OpenVPN est plus lent que les protocoles plus récents comme Wireguard. Pourquoi alors?
Il n’y a rien dans le protocole OpenVPN qui limite de quelque manière que ce soit ses performances potentielles. Je pense que ce que nous avons constaté en général ces dernières années, c'est que les améliorations des performances du réseau au niveau matériel ont laissé les logiciels du mal à rattraper leur retard. L'approche de Wireguard a essentiellement consisté à placer l'intégralité de l'implémentation VPN dans l'espace du noyau pour optimiser ses performances. Mais cela a un coût. Wireguard devait réinventer entièrement son propre protocole de sécurité réseau au lieu de s'appuyer sur des protocoles standard de l'industrie tels que SSL/TLS afin de pouvoir s'adapter à l'environnement d'exécution. noyau Linux plus restreint. SSL/TLS a traditionnellement été considéré comme un protocole utilisateur, sans chemin de développement facile vers une implémentation de noyau hautes performances, mais cette idée reçue est bouleversée par les développeurs qui adoptent un concept appelé « déchargement » où prendre. Le travail « lourd » d'un protocole, tel que le cryptage et la transmission de paquets réseau, et leur déplacement dans l'espace du noyau ou dans du matériel spécialisé capable d'effectuer des opérations à pleine vitesse. Le déchargement est véritablement le Saint Graal de la sécurité et des performances car il nous permet d'adopter des protocoles standard de l'industrie comme SSL/TLS, mais en déchargeant le traitement des paquets vers l'espace du noyau ou le matériel, nous pouvons pousser les performances jusqu'à leurs limites de vitesse filaire. Chez OpenVPN, le déchargement est la clé de notre stratégie de performance :- Nous avons développé et open source un module de noyau (OpenVPN Data Channel Offload ou ovpn-dco) qui décharge les aspects gourmands en ressources du protocole OpenVPN vers l'espace noyau tout en conservant tous les avantages de sécurité du standard industriel SSL / TLS.
- OpenVPN Cloud, notre service VPN de nouvelle génération, a déjà lancé Data Channel Offload en production, où nous constatons des gains de performances de l'ordre de grandeur côté serveur et nous nous attendons à voir des gains similaires côté client lorsque ovpn-dco sera mis en ligne. généralisera du côté client.