Migración de cargas de trabajo de aplicação de nivel 1 a AWS con F5

Las empresas que están considerando migrar o implementar cargas de trabajo de producción en la nube pública probablemente consideren a Amazon Web Services (AWS) como su plataforma de elección. Hoy en día, AWS tiene más de 1 millón de clientes activos distribuidos en 190 países, incluidas 2.000 agencias gubernamentales y 5.000 instituciones educativas.¹ Según Gartner, AWS sigue siendo el líder abrumador en participación de mercado tanto en términos de ingresos (47%)² y la proporción de cargas de trabajo de aplicação (41,5%)² implementado en infraestructura como servicio (IaaS) de nube pública. En este documento se analizan muchos de los factores que han inhibido una adopción más amplia de la nube pública para aplicações empresariales y se sugiere cómo los servicios de entrega de aplicação de F5 desempeñan un papel fundamental para ayudar a acelerar la adopción de AWS.

Para la mayoría de las empresas, las aplicações no son recursos estáticos con parámetros de rendimiento claramente definidos; deben adaptarse con frecuencia a picos inesperados en la demanda para garantizar que la experiencia del usuario no se vea afectada. Debido a la inflexibilidad de los servicios de TI internos y la necesidad de invertir en activos fijos, las organizaciones de TI tradicionalmente han respondido a la demanda fluctuante aprovisionando recursos de infraestructura y aplicação para satisfacer la demanda máxima, en lugar de la demanda promedio. Pero adquirir e implementar nueva infraestructura, redes y los recursos de aplicação asociados es un proceso complejo y que consume mucho tiempo y requiere una inversión considerable de capital.

AWS resuelve parcialmente este desafío al haber realizado ya las inversiones necesarias en infraestructura y activos de software, lo que permite a las empresas aprovechar los beneficios de una capacidad ilimitada sin aprovisionar recursos en exceso. Las ventajas de utilizar un proveedor de IaaS de nube pública como AWS son la agilidad que brinda a las empresas para implementar rápidamente nuevas aplicações, la flexibilidad que proporciona para asignar recursos según demanda y la economía de un modelo OpEx versus CapEx.

No debería sorprender que la seguridad de las aplicação , el rendimiento y el control de la gestión se encuentren entre las principales preocupaciones de TI cuando se considera trasladar aplicações a la nube. Si bien AWS ofrece muchas herramientas y servicios nativos para abordar algunos de estos factores de entrega de aplicação , esas herramientas tienen distintas capacidades y conjuntos de características que podrían no satisfacer los requisitos de la aplicação .

Dado el panorama de amenazas actual, la mayoría de las organizaciones clasifican la seguridad como su principal preocupación para las aplicações alojadas en la nube. Es fundamental protegerse contra malware sofisticado y amenazas de seguridad combinadas de capa 4 a 7, como DDoS volumétrico combinado con ataques de capa de aplicação (OWASP Top 10, secuencias de comandos entre sitios, inyección SQL, etc.) al trasladar cargas de trabajo a cualquier infraestructura de nube pública. AWS utiliza un modelo de responsabilidad compartida en materia de seguridad, que se divide en dos segmentos: seguridad de la nube y seguridad en la nube. La seguridad de la nube se relaciona con la seguridad de la infraestructura IaaS subyacente (computación, almacenamiento, hardware físico, etc.): esto es responsabilidad de AWS. La seguridad en la nube consiste en proteger todo lo que está por encima de la capa de hipervisor (SO, aplicações, datos, etc.): esta es responsabilidad del consumidor.

El acceso consistente a las aplicação también es un requisito. ¿Cómo garantizan las organizaciones que el acceso sea uniforme para todos los usuarios, independientemente del dispositivo o la ubicación, y al mismo tiempo que se ajusten a las políticas internas? La fatiga de contraseñas puede comprometer la seguridad si los usuarios tienen que memorizar múltiples combinaciones de nombre de usuario y contraseña, lo que puede reducir la eficiencia. Es probable que la mayoría de las empresas implementen cargas de trabajo en la nube pública además de las cargas de trabajo implementadas en sus propios entornos de centro de datos o nube privada. Como tal, es esencial que estos usuarios puedan replicar y aplicar prácticas/políticas de seguridad consistentes y probadas en sus entornos de nube híbrida .

La experiencia del usuario y la productividad siguen siendo consideraciones importantes, y ambas dependen del rendimiento de las aplicações en la nube. En algunos casos, el centro de datos del proveedor de la nube estará más lejos de los usuarios, lo que significa que habrá una mayor latencia entre el usuario y la aplicação, lo que afectará el rendimiento. Además, algunos de los métodos que normalmente se utilizan para lidiar con la latencia, como el almacenamiento en caché, la compresión y las optimizaciones de TCP, no están disponibles en AWS.

La mayoría de las empresas requieren una gestión avanzada del tráfico (más allá del equilibrio de carga básico) en sus centros de datos para sus aplicações críticas para el negocio. Si bien AWS ofrece servicios básicos de equilibrio de carga a través del equilibrio de carga elástico (ELB) y el equilibrador de carga de aplicação (ALB), las organizaciones deben considerar qué soporte de protocolo más allá de HTTP/HTTPS y TCP se requiere. ¿Serán suficientes los controles básicos de salud y los algoritmos de equilibrio de carga? Los consumidores a menudo necesitan manipular datos de aplicação , lo que requiere funciones de proxy de aplicação L7 completas, como inspección y reescritura de URL. La capacidad de ver el tráfico entrante del cliente con contexto es fundamental para tomar decisiones granulares sobre la dirección del tráfico.

Para abordar las preocupaciones mencionadas anteriormente se requieren servicios de seguridad y entrega de aplicação avanzados y programables entregados a través de una plataforma unificada como la solución BIG-IP de F5. Esta plataforma garantiza la seguridad, el rendimiento y la disponibilidad de todas las aplicações, independientemente de su ubicación. También permite la entrega y gestión de servicios de aplicação y sus políticas asociadas de manera consistente en todos los entornos híbridos, tanto para nuevas aplicações basadas en la nube como para aplicações existentes.

Las ediciones virtuales (VE) de F5 BIG-IP son dispositivos BIG-IP virtuales que ofrecen el mismo conjunto consistente de servicios que están disponibles en todo el hardware BIG-IP, incluidos servicios de aplicação y redes, desde gestión inteligente del tráfico (tanto local como global), aceleración y optimización, hasta DNS, acceso avanzado a aplicação y seguridad sofisticada de aplicação . Estos servicios pueden integrarse completamente como parte de la pila de aplicação y configurarse automáticamente. Como líder del mercado tanto en hardware como en controladores de entrega de aplicação (ADC) virtuales, y con 48 de las empresas Fortune 50 que actualmente confían en los servicios de aplicação de F5, es más que posible que F5 ya se emplee en alguna empresa determinada para dar servicio y proteger aplicações.

Los VE BIG-IP brindan servicios integrales de seguridad L4–7 que protegen las aplicações en la nube sin requerir que usted sacrifique el control, la flexibilidad ni la visibilidad. Estos servicios complementan las ofertas de AWS y, a través de un sofisticado WAF (firewall de aplicação web), se pueden prevenir ataques DDoS complejos, raspado web, ataques a aplicação web multicapa, robo y fuga de datos. Con la inteligencia y el análisis de comportamiento avanzado para reconocer patrones de tráfico anómalos, las soluciones de F5 pueden detectar y mitigar ataques de botnets automatizados. Al aprovechar el poder de los scripts de ruta de datos de F5 iRules®, las soluciones de F5 pueden responder rápidamente a las vulnerabilidades en las aplicaciones y a los ataques de día cero. Con F5, el esfuerzo y la experiencia invertidos en ajustar y configurar las reglas y políticas de firewall para cada aplicação interna pueden ser aprovechados y reutilizados por los VE para aplicações alojadas en la nube.

Las arquitecturas de gestión de acceso de F5 se basan en el conocimiento total del contexto del usuario, el dispositivo, el entorno, la aplicação y la red. Esto significa que las soluciones de F5 permiten la federación de identidades y el inicio de sesión único para el acceso a aplicação en el centro de datos y la nube. Al mismo tiempo, permiten la seguridad de las aplicações y la integridad de los datos con acceso seguro basado en el contexto, protección contra malware basado en la web y amenazas persistentes e inspecciones integrales de dispositivos terminales.

Los servicios avanzados de gestión de tráfico local de BIG-IP admiten una amplia gama de protocolos más allá de HTTP/TCP (por ejemplo, HTTP 2.0, SPDY y UDP) y una gran fluidez de aplicação . Como arquitectura de proxy completa, la plataforma BIG-IP proporciona visibilidad completa del tráfico de aplicação , descifrando y volviendo a cifrar el tráfico SSL en el proceso. También rastrea dinámicamente los niveles de rendimiento de los servidores de un grupo y proporciona una profunda monitorización de la salud y gestión del estado de la conexión. Los servicios de optimización de entrega de aplicação BIG-IP pueden acelerar el tiempo de respuesta de las aplicação , minimizar la latencia y las demoras y reducir la cantidad de viajes de ida y vuelta de datos necesarios para completar las solicitudes web desde dispositivos móviles.

Los servicios de equilibrio de carga de servidores globales y DNS de BIG-IP dirigen a los usuarios al centro de datos en la nube más cercano que brindará la mejor experiencia de usuario, recuperación ante desastres y políticas de conmutación por error. La proximidad del usuario, la geolocalización, las condiciones de la red y la disponibilidad de las aplicação se tienen en cuenta en las decisiones de enrutamiento. La plataforma emplea una gama de métodos de equilibrio de carga global y monitoreo inteligente específicos para cada aplicação y usuario. F5 también ofrece protección DNS DDoS, bloquea el acceso a direcciones IP maliciosas y protege las respuestas con DNSSEC. Lo mejor de todo es que las consultas DNS y las comprobaciones de estado no se facturan por uso, lo que evita el alto coste de las consultas, tanto legítimas como ilegítimas, durante un ataque DNS DDoS.

Un beneficio clave de trasladar cargas de trabajo de aplicação a plataformas de nube pública es la capacidad de escalar una aplicação más allá de la capacidad base aprovisionada en el centro de datos. Con AWS Auto Scaling, las aplicações mantienen la disponibilidad mientras escalan automáticamente la capacidad de Amazon EC2 hacia arriba o hacia abajo según umbrales predefinidos. Las soluciones BIG-IP se integran con AWS Auto Scaling para permitir servicios de seguridad y aplicação BIG-IP escalables dinámicamente. Y como los VE BIG-IP manejan de forma nativa la adición o eliminación de miembros del grupo, no hay necesidad de orquestación ni gestión de configuración fuera de banda. Además del escalamiento automático de BIG-IP LTM (ver Figura 1), F5 ha lanzado soluciones que permiten la seguridad de aplicação con escalamiento automático, mediante la cual tanto BIG-IP LTM como BIG-IP ASM se aprovisionan en BIG-IP VE.

Las plantillas de formación de nubes (CFT) de AWS proporcionan un método con scripts para automatizar la implementación de recursos de infraestructura (servidor, almacenamiento, redes y computación). Proporcionan una forma repetible de implementar rápidamente la misma imagen y configuración de BIG-IP varias veces dentro de AWS, lo que significa que se pueden reasignar horas de trabajo valiosas a asuntos comerciales más urgentes. Los CFT, diseñados y probados exhaustivamente por ingenieros de F5, eliminan cualquier preocupación asociada con la implementación o configuración de BIG-IP VE, lo que garantiza que los dispositivos virtuales de F5 se aprovisionen con la confianza de un experto de F5. No solo eso, sino que gracias a la integración perfecta con herramientas de automatización de terceros como Ansible, Chef y Puppet, estas CFT simplifican el proceso de automatización y orquestación de VE BIG-IP. Todos los CFT de F5 son de código abierto y están disponibles de forma gratuita a través de GitHub, lo que permite a los entusiastas de F5 cambiar las plantillas para adaptarlas mejor a los requisitos comerciales específicos.

Además, F5 se ha integrado más estrechamente con el mercado de AWS al hacer que una selección de sus CFT esté disponible directamente a través del mercado de AWS, para una implementación más rápida y sencilla. Por ejemplo, se puede seleccionar una variedad de soluciones de escalamiento automático (auto scale BIG-IP LTM, auto scale WAF, etc.) para su implementación desde el mercado y pueden estar en funcionamiento en entornos de producción en menos de una hora, lo que elimina la necesidad de que los usuarios de F5 configuren estas soluciones complejas por sí mismos, ahorrando días, o incluso semanas, de horas de trabajo.

El sitio de la comunidad DevCentral™ ofrece configuraciones de ejemplo de recursos de VPC, como subredes, interfaces de red y tablas de enrutamiento para implementaciones de VE BIG-IP. Estos ejemplos también muestran cómo utilizar scripts de datos de usuario de CloudInit para implementar plantillas BIG-IP iApps® para aplicações empaquetadas específicas (Microsoft SharePoint, Exchange y otras) y aplicações personalizadas. Similares en funcionalidad a AWS CFT, las iApps de F5 se crearon para ayudar a implementar rápidamente los servicios específicos que cada aplicação necesita. iApps también define la configuración y las políticas de servicios como administración de tráfico, cifrado, firewall y optimización del rendimiento para cada aplicação.

Al integrar los recursos de la nube pública con un centro de datos privados existente, las organizaciones pueden realizar la transición de las cargas de trabajo de las aplicação según cronogramas priorizados y, al mismo tiempo, continuar aprovechando las inversiones existentes. Los VE de BIG-IP, las iApps de F5 y los CFT de AWS trabajan juntos para crear una configuración de nube integrada que permite la implementación rápida y transparente de recursos de aplicação adicionales. Las principales ventajas de esta configuración de nube federada incluyen la redirección perfecta de los usuarios de las aplicação , tecnologías de geolocalización y aceleración, y conexiones seguras mediante AWS Direct Connect. La experiencia del usuario no se ve afectada independientemente de si los recursos de la aplicação se entregan desde un centro de datos privados o una nube pública. El uso transparente y continuo de los recursos de la nube pública y privada puede basarse en la demanda, en si un proyecto es nuevo o ya está en marcha o en la ubicación específica del solicitante.

F5® BIG-IQ® Centralized Management proporciona un punto central de control para los dispositivos físicos y virtuales de F5 tanto en la nube como en las instalaciones locales. La administración centralizada de BIG-IQ simplifica la gestión de aplicaciones, ayuda a garantizar el cumplimiento y proporciona herramientas para administrar dispositivos y servicios de F5 de manera consistente y segura, donde sea que residan. La administración centralizada de BIG-IQ gestiona políticas, licencias, certificados SSL, imágenes y configuraciones para dispositivos F5 y para los siguientes módulos F5:

• BIG-IP® Local Traffic Manager™ (LTM)
• Administrador de seguridad de aplicação BIG-IP® (ASM)
• Administrador de firewall avanzado BIG-IP® (AFM)
• Administrador de políticas de acceso BIG-IP® (APM)
• DNS BIG-IP (solo monitoreo)
• Paneles de control para las soluciones de protección contra el fraude de F5 WebSafe y MobileSafe

BIG-IQ Centralized Management está disponible como un dispositivo físico o virtual, o puede ejecutarse directamente desde AWS Marketplace.

Las ediciones virtuales de BIG-IP están disponibles principalmente en paquetes Bueno-Mejor-Óptimo, y en tres modelos de compra distintos:

• Facturación de servicios públicos. Para cargas de trabajo de preproducción de prueba y desarrollo, o casos de uso de escalabilidad y expansión de la nube temporal, F5 ofrece licencias de servicios públicos por hora que brindan flexibilidad y uso pospago a pedido. Todas las ofertas de utilidades incluyen soporte premium y actualizaciones de software.
• Traiga su propia licencia (BYOL). Esta opción es ideal para entornos de nube híbrida en los que las licencias de BIG-IP VE existentes se migran desde un centro de datos privados directamente a AWS.
• Suscripción anual. Además de las licencias VE perpetuas, F5 también ofrece licencias VE BYOL por suscripción anual. Se pueden utilizar en cualquier entorno de nube híbrida compatible, lo que proporciona mayor portabilidad y flexibilidad. Las suscripciones anuales son ideales para cargas de trabajo de producción que tienen tráfico estable y están disponibles en AWS Marketplace.
• Acuerdo de licencia empresarial (ELA). Para entornos empresariales más grandes que buscan máxima flexibilidad y agilidad, ELA permite comprar múltiples VE en acuerdos de 3 años, con soporte premium y actualizaciones de software incluidas.

Además, el administrador de licencias de administración centralizada BIG-IQ está disponible sin costo para administrar las licencias de productos BIG-IP en todos los entornos híbridos.

La adopción de servicios de nube pública ha crecido exponencialmente en los últimos años y AWS ha sido el líder constante del mercado de estos servicios. Muchas empresas emergentes de TI, así como empresas más grandes y conocidas, han implementado completamente la nube de AWS con un éxito significativo. A medida que las empresas planean migrar aplicações a la nube, los servicios de seguridad y entrega de aplicação de F5 se pueden trasladar fácilmente a cargas de trabajo de aplicação en la nube utilizando las ediciones virtuales de F5 BIG-IP. Al hacerlo, se abordan muchas de las preocupaciones fundamentales que tienen los clientes empresariales con respecto a la seguridad, el rendimiento y el control en la nube pública. Con modelos de licencias flexibles disponibles para soluciones BIG-IP en AWS Marketplace, las empresas pueden planificar, preparar e implementar aplicações en AWS con una exposición financiera mínima y comenzar a beneficiarse de la agilidad y la eficiencia de la nube de AWS.

¹ Elementos esenciales de Amazon Cloud: 5 datos que debes saber (https://n2ws.com/blog/5-facts-amazon-cloud-essentials.html)
² Cuota de mercado de AWS, Azure y Google Cloud en 2017 ("https://www.skyhighnetworks.com/cloud-security-blog/microsoft-azure-closes-iaas-adoption-gap-with-amazon-aws/)