BLOG

Nouvelle solution de mise à l'échelle automatique et WAF autonome pour Amazon AWS

Miniature de Tom Atkins
Tom Atkins
Publié le 19 juin 2017

Commençons par sortir légèrement du sujet en discutant du service de vidéo à la demande préféré au monde, Netflix. Entre 2009 et 2016, Netflix a observé une augmentation stupéfiante du nombre d'abonnés, passant de 12 millions à un peu plus de 48 millions, ajoutant 1,43 million de nouveaux clients à ses livres au cours des trois derniers mois de 2016 seulement. Si vous avez eu la chance d'être l'un des principaux actionnaires de Netflix à cette époque, vous avez probablement ri jusqu'à la banque, mais si vous faisiez partie de l'équipe informatique chargée de fournir l'infrastructure nécessaire pour soutenir cette croissance explosive, alors vous vous êtes peut-être gratté la tête.

Il n’était tout simplement pas possible de faire évoluer leur propre centre de données pour répondre à la hausse de la demande en raison des dépenses d’investissement et d’exploitation associées, sans parler des problèmes de gestion que cela aurait entraînés. Ainsi, à peu près à la même époque, ils ont fait un pas dans l'inconnu et se sont lancés dans un projet de 7 ans qui leur permettrait de transférer toutes leurs opérations vers le cloud AWS, leur permettant ainsi de tirer parti de l'évolutivité apparemment illimitée que le fournisseur de cloud pouvait se permettre. Et comme vous le savez peut-être, ils ont récemment accompli cet exploit.

« Travail accompli », pourraient penser certains… mais ils auraient tort. Vous voyez, la capacité à évoluer pour répondre à une demande accrue à long terme est une chose, mais que se passe-t-il lorsque cette demande fluctue considérablement à court terme ? Une étude récente a montré que pendant les heures de pointe d’Internet (19h-23h), Netflix était responsable de 35,2 % de tout le trafic en aval aux États-Unis – mais sans surprise, en dehors de ces heures, ils étaient responsables d’une fraction beaucoup plus faible de ce trafic, provoquant des oscillations cycliques de la demande comme le montre la figure 1 ci-dessous, empruntée à ce billet .

[Figure 1 – Un exemple de trafic Netflix sur 5 jours]

Pour lutter contre cette énorme variation de la demande, Netflix a mis en œuvre son propre algorithme de mise à l’échelle automatique, Scryer , qui lui a permis de provisionner suffisamment d’instances AWS EC2 pour gérer la demande aux heures de pointe tout en révoquant toutes les instances jugées excédentaires par rapport aux besoins. Cela garantissait une qualité de service haut de gamme à ses utilisateurs pendant les heures de pointe tout en minimisant leur charge de calcul pendant les périodes creuses.

Bien qu’il ne s’agisse que d’un exemple et qu’il n’ait aucun lien spécifique avec les solutions de F5, il donne une idée du besoin de solutions de mise à l’échelle automatique à l’heure actuelle et nous amène au cœur de cet article : la nouvelle solution de pare-feu d’application Web (WAF) à mise à l’échelle automatique de F5.

Dans le même ordre d’idées, saviez-vous qu’environ 40 % des violations de données en 2016 étaient le résultat d’attaques au niveau de la couche applicative ? Bien que la demande pour une application puisse varier de jour en jour et d’heure en heure, une chose reste constante : la nécessité d’assurer sa protection . À quoi sert une solution évolutive pour prendre en charge des débits variables si la sécurité de l’application et de ses données est compromise au cours du processus ? La nouvelle solution WAF de mise à l'échelle automatique de F5 pour AWS offre la sécurité de niveau entreprise dont les applications ont besoin, quels que soient les niveaux de trafic, tout en garantissant que vous provisionnez et payez uniquement les ressources de cloud public dont vous avez besoin.

À la base, la solution WAF s'appuie sur les systèmes BIG-IP ASM et BIG-IP LTM , éprouvés et certifiés ICSA, qui, une fois combinés, offrent une protection complète contre les vecteurs d'attaque sophistiqués, notamment les attaques DDoS L7, les 10 principales menaces OWASP et les attaques de robots malveillants. Grâce à des capacités d’apprentissage automatisées, à un profilage dynamique et à des politiques basées sur les risques, BIG-IP ASM est également en mesure d’imposer des précautions de sécurité supplémentaires pour empêcher même les attaques les plus complexes d’atteindre les serveurs d’applications.

Mais qu'en est-il du composant de mise à l'échelle automatique ? Tout ce qui est nécessaire pour exécuter la solution a été regroupé dans un modèle AWS CloudFormation , des éditions virtuelles BIG-IP et des buckets S3 aux groupes de mise à l'échelle automatique et aux alarmes CloudWatch , de sorte que ces services interagissent instinctivement les uns avec les autres pour fournir une solution totalement autonome. Avant le lancement, le modèle nécessite quelques entrées de paramètres de la part de l'utilisateur, telles que le nombre minimal d'instances VE qui doivent être opérationnelles à tout moment, ou les seuils de débit qui, une fois dépassés, indiquent au groupe de mise à l'échelle automatique de lancer ou de révoquer des instances (généralement 80 % et 20 % du débit maximal de l'instance). Les instances VE qui sont lancées sont réparties sur les zones de disponibilité AWS, comme illustré dans la figure 2, pour augmenter encore la disponibilité.

[Figure 2 – Topologie de la solution WAF à mise à l’échelle automatique de F5 pour AWS]

La solution a été conçue et entièrement testée par des experts F5 suivant les meilleures pratiques BIG-IP et AWS pour simplifier l'expérience de déploiement et permettre aux utilisateurs de déployer leurs plateformes F5 en toute confiance. Les instances BIG-IP ASM au sein de la solution sont déployées soit avec des politiques de sécurité préconfigurées qui ont été élaborées par F5, soit avec des politiques personnalisées spécifiques à des applications individuelles.

Et c’est tout ce qu’il y a à savoir, une solution WAF complète qui s’adapte à la demande d’une application pour assurer sa protection continue contre les attaques de couche 7 les plus complexes. Déployable directement depuis la marketplace AWS en quelques clics, l'ensemble de ce dispositif peut être mis en œuvre et opérationnel au sein d'un VPC AWS en moins d'une heure.

À ce stade, j’ajouterai que même si nous nous concentrons principalement sur la solution WAF de mise à l’échelle automatique ici, grâce à la même offre AWS Marketplace, des images WAF autonomes peuvent être déployées pour protéger les applications avec des flux de trafic plus prévisibles et cohérents. Les solutions de mise à l'échelle automatique et autonomes exploitent les instances VE PAYG (pay-as-you-go) avec des options de débit flexibles de 25 Mbps, 200 Mbps ou 1 Gbps par instance.

Pour plus d'informations, vous pouvez consulter le référentiel WAF autoscale sur GitHub qui fournit un aperçu technique plus approfondi du fonctionnement du modèle CloudFormation, ou visiter la page du marché ici .

Ressources connexes

Fiche technique BIG-IP ASM

F5 dans le Cloud public

AWS Marketplace – Solution WAF F5

Place de marché Azure – Solution WAF F5

Modèles de solutions cloud – Article DevCentral

Mise à jour d'un CFT WAF à mise à l'échelle automatique pour AWS – Article DevCentral