Hiện nay, giải pháp IP VPN sử dụng chuẩn IPSec đã được triển khai, ứng dụng trong các dịch vụ của điện toán đám mây. Kiến trúc của điện toán đám mây là kiến trúc tích hợp cho phép nhiều dịch vụ điện toán đám mây dễ dàng liên kết
với nhau. Việc triển khai IPSec VPN trong các mô hình điện toán đám mây cần giải quyết nhiều vấn đề phức tạp cho tương tích với công nghệ và sự phát triển của điện toán đám mây. Đưa ra một số yêu cầu cho việc ứng dụng IPSecVPN cho các dịch vụ điện toán đám mây và đề xuất mô hình IP-VPN động (dynamic IP-VPN architecture) có sử dụng đường hầm IPSec đáp ứng các yêu cầu trên.
Internet Protocol Security (IPSec) là giao thức cho phép tạo đường hầm ảo (virtual tunnel), các gói IP đi qua đường hầm này sẽ được mã hóa để bảo mật và toàn vẹn dữ liệu gói tin giữa hai đầu đường hầm (IPSec gateways–GWs). Một IPSecVPN (IPSec virtual private network) có thể kết nối nhiều mạng riêng (private networks - NWs) khác nhau trên internet tạo thành nhóm liên kết an toàn riêng (Closed User Group – CUG). Thông thường, một IP-VPN sử dụng IPSec được gọi là IPSecVPN. IPSecVPN hiện đang là mô hình được triển khai cho việc kết nối an toàn các mạng riêng (NWs) của dịch vụ điện toán đám mây và các mạng riêng của người dùng trên internet, ví dụ như Windows Azure hay Amazon VPC.[2]
Với sự phát triển nhanh chóng của điện toán đám mây đã xuất hiện nhiều nhà cung cấp dịch vụ điện toán đám mây khác nhau trên toàn thế giới. Một người dùng đầu cuối của các tổ chức sẽ có nhu cầu kết nối không chỉ với máy chủ riêng (private server) mà còn cần kết nối đến rất nhiều nhà cung cấp dịch vụ điện toán đám mây khác thông qua IPSecVPN như hình vẽ sau:
Khi người dùng cần kết nối tới nhiều nhà cung cấp dịch vụ điện toán đám mây khác nhau như hình vẽ trên thì sẽ có nhiều thách thức với mô hình triển khai IPSecVPN. Hiện nay, có hai kiến trúc IPSecVPN đang được triển khai phổ biến là Full-Mesh IPSecVPN và Hub-and-Spoke IPSecVPN.
Full-Mesh IPSecVPN là mô hình kết nối các mạng riêng trực tiếp với nhau thông qua IPSec, giao dịch giữa các mạng riêng là giao dịch IPSec trực tiếp. Một số ưu điểm của kiến trúc này là tất cả các kết nối giữa các mạng riêng sẽ có đường đi ngắn nhất, không có hiện tượng tắc nghẽn kiểu nút cổ chai (bottleneck). Nhược điểm của kiến trúc này là mỗi cổng kết nối IPSec cần có một chính sách trao đổi khóa internet (Internet key exchange – IKE/IPSec) bao gồm các thông tin thuật toán mã hóa, thông tin xác thực hay các thông tin về băng thông. Một cách thông thường, mỗi cổng IPSec chia sẻ chính sách IKE/IPSec cho tất cả các cổng IPSec mà nó cần kết nối. Hình dưới mô tả kiến trúc Full-Mesh IPSecVPN. [3]
Hình 3. 2. Mô hình Full-Mesh IPSecVPN
Hub-and-Spoke IPSecVPN là mô hình kết nối tất cả các mạng riêng sử dụng IPSec thông qua một cổng kết nối trung tâm Hub-Gateway (Hub-GW) và các giao dịch giữa các mạng riêng này sẽ được chuyển qua Hub-GW. Theo đó, trong mô hình Hub-and-Spoke IPSecVPN tất cả các mạng riêng có thể kết nối được với các mạng riêng khác với chỉ một kết nối IPSec tới Hub-GW. Mỗi cổng kết nối IPSec sẽ chỉ cần một chính sách IKE/IPSec có thể kết nối tới tất cả các cổng kết nối
IPSec khác, đó là một ưu điểm của mô hình này. Tuy nhiên, theo mô hình này các giao dịch đều đi qua Hub-GW nên có hai nhược điểm là: thứ nhất là các giao dịch phải đi vòng qua Hub-GW và cần được định tuyến trên Hub-GW, thứ hai là tại Hub-GW có thể xảy ra hiện tượng tắc nghẽn theo kiểu nút cổ chai khi số lượng giao dịch qua Hub-GW là lớn. Hình sau mô tả kiến trúc Hub-and-Spoke IPSecVPN.
Hình 3. 3. Mô hình Hub-and-Spoke IPSecVPN