Cloudflare IPsec krijgt post-kwantum beveiliging
Cloudflare IPsec ondersteunt nu post-kwantum encryptie met hybride ML-KEM. Dat is vooral goed nieuws als je VPN- of WAN-verbindingen gebruikt tussen kantoren, datacenters of cloudomgevingen.
Cloudflare IPsec is een dienst voor netwerkverbindingen via Cloudflare. Daarmee lopen versleutelde tunnels tussen locaties, zodat verkeer veilig kan reizen over het netwerk.
Nu is daar dus post-kwantum encryptie bijgekomen.Cloudflare gebruikt daarvoor hybride ML-KEM.
Waarom is dit belangrijk?
Het gaat hier om een risico dat vaak “harvest-now-decrypt-later” heet. Simpel gezegd: iemand kan verkeer nu al opslaan en het later proberen te kraken, als quantumcomputers sterk genoeg zijn.
Cloudflare zegt dat deze nieuwe stap helpt om dat soort risico te verminderen. Dat is vooral relevant voor organisaties die gevoelige data over het netwerk sturen.
Wat is er nieuw aan deze aanpak?
De nieuwe aanpak gebruikt een hybride handshake.Daarin gaan twee dingen samen:
- klassieke Diffie-Hellman
- ML-KEM, een post-kwantum techniek
De bedoeling is dat beide kanten van de verbinding samen worden gebruikt voor de sessiesleutels. Zo wordt de verbinding beter beschermd.
Cloudflare zegt ook dat dit werkt zonder speciaal hardware. Dat is handig, want je hoeft dus niet meteen je hele netwerk om te bouwen.
Dit verandert er echt
Voor veel kleine bedrijven en site-eigenaren gaat dit niet over de website zelf, maar over de verbinding achter de schermen. Denk aan verkeer tussen:
- een hoofdkantoor en een filiaal
- een kantoor en cloud VPC’s
- een netwerk en de Cloudflare One SASE-omgeving
Als jij zulke verbindingen gebruikt, kan deze update relevant zijn. Vooral als je je netwerk langer veilig wilt houden.
Cloudflare zegt dat het dit nu algemeen beschikbaar heeft gemaakt. Ook is de werking getest met Cisco en Fortinet.
Voor wie is dit handig?
Dit is vooral handig voor:
- bedrijven met WAN-verbindingen
- organisaties die IPsec-tunnels gebruiken
- teams die gevoelige data over meerdere locaties sturen
- beheerders die nu al willen afschermen tegen toekomstige ontcijfering
Cloudflare noemt ook dat klanten met deze branch connectors post-kwantum Cloudflare IPsec-tunnels kunnen opzetten:
| Leverancier | voorwaarde |
|---|---|
| Cisco 8000 Series Secure Routers | versie 26.1.1 en later |
| Fortinet FortiOS | 7.6.6 en later |
Dat is fijn, want het betekent dat dit niet alleen op papier werkt.er is dus ook interoperabiliteit getest.
Wat merk je als gewone gebruiker?
Als je gewoon een site bezoekt, merk je hier waarschijnlijk niets direct van. Je hoeft niets te klikken en je ziet geen nieuwe knop.
Maar voor bedrijven kan dit wel een plus zijn. Verkeer tussen locaties kan beter beschermd zijn tegen later gebruik van opgeslagen data.
Dat is niet spectaculair zichtbaar, maar wel nuttig. Soms is de beste update juist de update die stil zijn werk doet. 🙂
Goed nieuws en minder fijn nieuws
Het goede nieuws:
- Cloudflare IPsec heeft nu post-kwantum encryptie
- het werkt met hybride ML-KEM
- Cisco en Fortinet zijn getest
- het gebruikt hardware die je al hebt
Het minder fijne nieuws:
- dit lost nog niet alles op
- Cloudflare zegt dat er nog IPsec-standaarden nodig zijn voor post-kwantum authenticatie
- niet elke oude of eerdere implementatie werkt al samen
Cloudflare noemt ook dat hun IPsec nog niet samenwerkt met Palo Alto Networks’ RFC 9370-gebaseerde implementatie, omdat die eerder is gestart dan de nieuwe draft beschikbaar was.
Waar moet je op letten?
Als je netwerk via Cloudflare loopt, is dit voor jou vooral een vraag van beheer en planning.Je wilt weten of jouw apparatuur en software passen bij deze aanpak.
Let vooral op deze punten:
- gebruik je Cisco 8000 Series secure Routers?
- gebruik je Fortinet FortiOS?
- wil je tunnels tegen harvest-now-decrypt-later beschermen?
- wil je zo min mogelijk gedoe met speciale hardware?
Cloudflare noemt ook dat de industrie zich nu meer rond één standaard lijkt te verzamelen: draft-ietf-ipsecme-ikev2-mlkem. dat is belangrijk, want één duidelijke standaard maakt samenwerken tussen merken makkelijker.
Kleine checklist
Als je dit wilt nalopen, begin dan hier:
- Kijk welke IPsec-oplossing je nu gebruikt.
- Controleer of je Cisco of Fortinet inzet en welke versie je hebt.
- Vraag na of je tunnels al met hybride ML-KEM kunnen werken.
- Bekijk of je organisatie gevoelige data lang moet beschermen.
- plan een test in een veilige omgeving.
Voor de officiële uitleg kun je kijken naar de Cloudflare-blog en de IETF-draft waar Cloudflare naar verwijst:
- Cloudflare blog: https://blog.cloudflare.com/post-quantum-ipsec
- IETF draft: draft-ietf-ipsecme-ikev2-mlkem
Dit onderwerp ligt aardig in dezelfde lijn: Agents can now create Cloudflare accounts, buy domains, and deploy.
Bevers gedachte
Dit is geen update die iedereen meteen voelt. Maar voor mensen die netwerkverbindingen beheren, is het wel een duidelijke stap vooruit.
De kern is simpel: post-kwantum beveiliging komt nu ook naar Cloudflare IPsec, zonder speciale hardware en met steun voor Cisco en Fortinet. Voor organisaties die al nadenken over de jaren na vandaag,is dat een mooie en praktische stap.