Optimiser l'accès à distance pour soutenir le télétravail pendant la COVID-19

Cet article a été compilé à partir des contributions du Bureau F5 du CTO

Depuis que nous avons commencé à interroger nos clients sur leur utilisation des services applicatifs, SSL VPN a conservé une place dans le « top cinq ». Plus communément appelé aujourd’hui accès à distance , ce service applicatif fournit un accès sécurisé aux ressources de l’entreprise depuis n’importe où via un client.

À l’heure actuelle, il permet à des centaines de milliers de nouveaux employés de travailler à distance depuis leur domicile.

D’après nos recherches, un pourcentage significatif d’implémentations d’accès à distance sont en place depuis des années. Ils ont donc probablement été configurés et réglés pour optimiser l’accès en fonction des modèles de trafic et de l’utilisation courante des applications à ce moment-là. Ils n’ont pas nécessairement été mis à jour pour refléter les changements dans ces modèles et utilisations.  

C'est du moins ce que nous constatons actuellement.

Alors que la COVID-19 poursuit sa progression à travers le monde, aucun secteur n’a autant mis l’accent sur l’accès à distance que celui des soins de santé. L’utilisation de l’accès à distance par le personnel hospitalier, en particulier dans les grands hôpitaux, a connu une croissance exponentielle au cours des dernières semaines, passant d’une poignée à dix mille utilisateurs simultanés et plus. Le personnel hospitalier travaille avec acharnement en première ligne et à domicile pour nous aider à traverser cette pandémie. Ils souffrent de longues heures de travail, d’un manque de ressources et, dans de nombreux cas, d’un isolement par rapport à leur propre famille.

Ils ne devraient pas non plus avoir à souffrir de mauvaises performances ou de l’impossibilité d’accéder à des applications critiques.

Une façon d’augmenter la capacité et d’améliorer les performances des utilisateurs distants consiste à mettre à jour votre configuration d’accès à distance pour refléter la composition moderne du trafic des applications. Aujourd’hui, le trafic Internet est en grande partie constitué de vidéos, avec un mélange équilibré de contenu en direct et à la demande. L’essor de la télémédecine (l’utilisation de vidéos en direct par le personnel médical pour discuter de santé avec la communauté) pendant cette pandémie augmente et, avec elle, le trafic vidéo en direct.

Notre dépendance aux applications SaaS a également un impact sur la capacité et les performances de l’accès à distance. Vingt-deux pour cent (22 %) du portefeuille d’applications d’entreprise comprend aujourd’hui des applications SaaS telles qu’Office 365, Teams, Salesforce et G-Suite.

La prédominance actuelle du trafic vidéo et SaaS explique en partie pourquoi les services d’accès à distance sont débordés.

Comment l'accès à distance modifie le chemin des données

Dans une configuration d’accès à distance traditionnelle, tout le trafic circule via le service d’accès à distance. Tous. Trafic. Dans le cas du SaaS, cela signifie que le trafic des applications à destination d’une destination cloud est acheminé via le service d’accès à distance.

Cela peut ne pas sembler problématique jusqu'à ce que vous considériez que le service d'accès à distance peut être situé à Seattle, mais l'application SaaS à laquelle vous accédez est en fait hébergée en Virginie et vous êtes à Minneapolis. La circulation doit traverser le pays non pas une, mais deux fois. Cela exerce une pression inutile sur le service d’accès à distance et sur les utilisateurs qui passent plus de temps à attendre la réponse de l’application qu’à travailler. Nous appelons ce modèle de trafic « backhauling » car tout le trafic est effectivement « acheminé » vers le « back-office » avant d'être envoyé vers sa destination prévue.

Cela est également vrai pour la vidéo en temps réel, qui est aujourd’hui largement fournie par les offres SaaS. Tout le trafic est acheminé via le service d’accès à distance, ce qui peut contribuer à des bégaiements, des arrêts et des conversations brouillées. Ceci est également vrai pour le streaming vidéo. De nombreux clients d’accès à distance envoient tout le trafic du client via son service d’accès à distance complémentaire. Pour de nombreuses personnes, à l’heure actuelle, il n’y a aucune distinction entre les ordinateurs portables « professionnels » et « domestiques ». Soulager l’anxiété et le stress avec une vidéo rapide ou un épisode d’une comédie préférée sur Netflix ou Hulu peut être une diversion nécessaire et utile. Ce trafic peut également finir par traverser le service d’accès à distance et exercer une pression inutile sur le service et le spectateur.

Pour compliquer le problème, le trafic Web est aujourd’hui souvent crypté via SSL ou TLS. Nos fournisseurs de services et nos clients d'entreprise voient environ 50 % de trafic crypté, une part importante du trafic non crypté étant de la vidéo. Ni le trafic crypté ni le trafic vidéo ne bénéficient des capacités de compression offertes par la plupart des services d’accès à distance, et activées sur ceux-ci. Les avantages de la compression ont été largement annulés par l’utilisation du cryptage, car le processus de cryptage élimine les chaînes répétitives sur lesquelles la plupart des algorithmes s’appuient pour réduire le contenu. En essayant de compresser ce trafic, les services d’accès à distance tournent en rond et perdent du temps et des cycles.

Vous pouvez apporter plusieurs modifications de configuration pour réduire la charge sur votre service d'accès à distance et améliorer l'expérience utilisateur à distance. 

Élimination du backhaul pour le trafic non professionnel

L’objectif des services d’accès à distance est principalement de sécuriser l’accès et la transmission vers et depuis les applications hébergées sur le réseau d’entreprise . Fondamentalement, vous ne voulez pas que n’importe qui puisse accéder aux applications et aux réseaux internes . Le SaaS et la visioconférence (ou le streaming vidéo, d'ailleurs) ne résident pas sur le réseau de l'entreprise et vous pouvez réduire la charge sur l'accès à distance en ne le traitant pas à un moment comme celui-ci.   

Pour ce faire, vous pouvez utiliser une option de configuration appelée split tunneling . Cela vous permettra de spécifier que le trafic à destination de votreentreprise.com doit passer par le service d'accès à distance tandis que le reste du trafic est géré normalement. Autrement dit, il n’est pas transmis via le service d’accès à distance. Bien que nous ne recommandions généralement pas cette option pour des raisons de sécurité, elle est particulièrement utile à l'heure actuelle pour aider à améliorer les performances des applications SaaS et vidéo en temps réel si vous avez beaucoup d'employés travaillant à domicile et que votre service d'accès à distance est surchargé.

• Si vous utilisez F5 BIG-IP APM, vous trouverez des instructions détaillées sur la façon d'activer et de configurer le tunneling fractionné dans cet article de la base de connaissances (K55104964).

Désactiver la compression

La deuxième chose que vous pouvez faire est de désactiver les options de compression dans votre service d’accès à distance. Cela élimine le problème de gaspillage de cycles et d’efforts et diminue la charge sur le service d’accès à distance. Cela, à son tour, améliorera les performances globales et la capacité à servir davantage de travailleurs à distance.

• Si vous utilisez F5 BIG-IP APM, vous trouverez des instructions détaillées sur la façon de désactiver la compression dans cet article de la base de connaissances (K19681382).

Notez également que si vous rencontrez des problèmes avec une application interne, vous souhaiterez peut-être demander à quelqu'un de vérifier également si la compression est activée. S'il est sécurisé (HTTPS) (et il devrait l'être) et que la compression est activée, vous pouvez essayer de la désactiver. Si vos applications s'exécutent sur NGINX, vous pouvez en savoir plus sur la gestion de la compression ici .

Autres pistes à explorer

Une autre option consiste à encourager les utilisateurs à réduire la résolution de leurs flux vidéo de 1080p à une résolution inférieure (par exemple, 480p). Lors de grandes réunions vidéo, cela peut constituer un avantage considérable et contribuer à garantir que la qualité de la voix reste élevée. Bien que la réduction de la résolution puisse avoir un impact sur la qualité, elle vaut souvent la peine de bénéficier de la stabilité et des performances plus fluides que vous obtenez. C'est quelque chose à prendre en compte pour tous ceux qui sont aux prises avec des problèmes de vidéo à la maison, en particulier lorsque tous les membres du foyer diffusent, jouent et essaient de travailler en même temps.

Si vous utilisez F5 BIG-IP APM et que vous rencontrez toujours des problèmes de charge entraînant des problèmes de performances ou de disponibilité, vous pouvez envisager d'autres options, notamment tirer parti de l'accélération matérielle pour les chiffrements TLS, vérifier vos pools de location et SNAT, optimiser et réduire les ACL et activer la mise en forme du trafic.

• Une liste complète des options que vous pouvez utiliser pour modifier BIG-IP APM est disponible dans cet article de la base de connaissances (K46161759).
• Ou, si vous préférez une plongée plus approfondie dans le déploiement, la configuration et l'optimisation de BIG-IP APM, cette vidéo vous sera utile.
• Et je serais négligent si je ne mentionnais pas l'aide experte (à la fois F5 et client) disponible sur DevCentral. La communauté est prête et capable d'aider 24h/24 et 7j/7 et c'est absolument gratuit.
• Enfin, voici une liste compilée de situations potentielles que vous pourriez rencontrer avec BIG-IP APM pendant l'épidémie de COVID-19 pour vous aider à identifier rapidement la bonne solution.

Tous les défis de la situation actuelle ne concernent pas l’accès à distance. Nous disposons également de ressources pour vous aider à relever d’autres défis liés à la continuité des activités .

N'hésitez pas à contacter notre équipe commerciale ou notre équipe d'assistance si vous rencontrez des difficultés avec votre solution d'accès à distance. Nous sommes pleinement engagés à aider nos clients et nos communautés à traverser ensemble cette période sans précédent et nous sommes là pour vous aider.

Surtout, restez en sécurité.