Déploiement d'Amazon CloudFront avec la plateforme de services gérés Silverline

Lors de l'évaluation de diverses offres de services et de solutions susceptibles de répondre à leurs besoins, notre client, une société mondiale de solutions informatiques, a effectué un examen approfondi des variables impliquées dans le déploiement et l'exploitation d'une solution combinant un réseau de diffusion de contenu (CDN), un pare-feu d'application Web (WAF) et des protections contre la fraude/les robots et les attaques par déni de service distribué (DDoS). Après une analyse approfondie et des discussions internes avec plusieurs équipes, notre client a déterminé que la meilleure solution serait une combinaison de F5 Silverline et du réseau de diffusion de contenu Amazon CloudFront.

Notre client a choisi cette solution car elle offrait des services de sécurité gérés, un déploiement rapide et un coût de provisionnement, de maintenance et d’exploitation réduit. Les équipes internes du client ont défini un plan pour l’évolution du site Web et se sont concentrées sur la réalisation rapide de chaque phase de leur plan, sans impact majeur sur les opérations en cours.

La facilité de mise en œuvre et les avantages combinés de l'architecture ont permis des améliorations continues des performances, des contrôles de sécurité supplémentaires et des rapports et une journalisation complets avec des capacités d'exportation de données vers SIEM et d'autres plates-formes d'analyse de journaux. Cela a permis à l’équipe de notre client de se concentrer sur ce qu’elle fait le mieux : offrir une expérience client fluide et engageante.

Notre client a choisi les solutions F5 et AWS pour la mise en œuvre de la quatrième phase de son plan (Figure 1) principalement en raison de la flexibilité offerte par chaque service dans leurs configurations, du faible coût d’exploitation et de la possibilité de développer le système au fil du temps grâce à plusieurs itérations. Un autre facteur clé était la possibilité de travailler avec les analystes du centre d’opérations de sécurité (SOC) de F5 Silverline, qui surveillent en permanence la plateforme Silverline. (Silverline est la plateforme de services de sécurité gérés basée sur le cloud de F5.) Les analystes SOC ont aidé notre client à définir sa posture de sécurité et à maximiser la convivialité du système. Cela a permis à notre client de fournir une expérience fluide tout en luttant sans relâche contre la fraude et les abus.

Équilibrer le coût des opérations avec les améliorations de performances au fil de l'évolution d'une application Web tout en offrant une expérience client rapide, sécurisée et fluide

Les entreprises sont confrontées à de nombreux défis et contraintes lors de l’architecture et de la conception d’applications Web. L’une des principales considérations est d’équilibrer le coût d’acquisition, de déploiement et de gestion efficace de la technologie et du personnel pour permettre des améliorations continues des performances tout au long du cycle de vie de l’application. L'illustration ci-dessous illustre l'analyse effectuée par notre client concernant l'équilibre entre coût et performances requis pour faire évoluer une application Web.

Figure 1 : Cycle de vie des performances des applications Web client F5 Silverline

Au cours de la phase initiale, notre client s’est concentré sur le déploiement de l’application et l’obtention de clients. Les étapes qu'ils ont suivies pour atteindre leur objectif impliquaient :

Au cours de la deuxième phase, le client s’est concentré sur les améliorations et les perfectionnements pour acquérir une clientèle et se préparer à une expansion supplémentaire.

Au cours de la troisième phase, notre client a travaillé avec notre équipe de compte F5 Silverline pour déployer les composants de sécurité gérés et configurer Amazon CloudFront afin de garantir que l'application évoluerait et s'adapterait à tout le trafic généré.

Pour la quatrième phase, notre client a analysé les demandes d’origine des clients et a déterminé que bon nombre de ses clients effectuaient des transactions depuis des pays situés en dehors des États-Unis. Cette observation, associée à une analyse supplémentaire de la demande accrue aux États-Unis, a motivé la mise en œuvre d’Amazon CloudFront pour étendre leur portée et améliorer leurs performances mondiales.

Pour la phase finale, les équipes clientes se sont concentrées sur le déploiement d'un environnement hybride de services de colocation mixtes et de plateformes SaaS/IaaS/PaaS pour améliorer leurs capacités opérationnelles et leur adaptation aux environnements de marché mondiaux en évolution rapide.

Ce document se concentrera sur les étapes techniques exécutées par notre client pour terminer l’intégration de la phase quatre d’Amazon CloudFront avec la plateforme de services de sécurité gérés F5 Silverline.

Exigences de base pour assurer un déploiement de service et une intégration système réussis

Pour préparer l'intégration d'Amazon CloudFront dans la plateforme F5 Silverline, notre client a provisionné les éléments suivants, avec l'aide de l'équipe Silverline :

Construire un réseau sécurisé et évolutif qui permet aux clients d'obtenir la meilleure expérience de performance et d'engagement à l'échelle mondiale

Le déploiement d’un réseau mondial sécurisé et rapide avec des liens multi-hébergés et de multiples services n’est pas une tâche facile pour une organisation. Heureusement, les clients peuvent bénéficier des investissements combinés dans l’infrastructure et les services que F5 et AWS peuvent offrir. Cela permet aux clients de construire une solution qui peut être déployée rapidement pour embarquer des applications avec une efficacité maximale et réaliser un retour sur investissement immédiat.

L'architecture que notre client a choisi de déployer est illustrée dans l'illustration ci-dessous :

Figure 2 : Intégration transparente du système pour une expérience client sans friction

Facilité de déploiement pour une intégration rapide

Les organisations sont contraintes de déployer des applications qui répondent rapidement aux défis du marché pour obtenir un avantage concurrentiel et/ou des économies de coûts. Les déploiements qui peuvent être effectués dans un court laps de temps offrent un avantage considérable par rapport aux déploiements qui nécessitent des ressources importantes et des coûts supplémentaires. Avec F5 et AWS, le déploiement de ces configurations est facile ; si les clients ont tous les composants et données prêts à être configurés, cela peut être fait en quelques minutes.

La troisième phase étant terminée, notre client est passé à la quatrième phase, qui impliquait l'intégration d'Amazon CloudFront à la plateforme F5 Silverline et comprenait les étapes suivantes :

Lorsque notre équipe Silverline SOC déploie le compte du portail, les clients peuvent se connecter et configurer l'objet racine proxy avec les paramètres requis pour le nom d'affichage du proxy, le FQDN (nom de domaine complet), l'adresse IP du serveur d'origine ou l'ELB CNAME (enregistrement canonique), les profils Threat Intelligence, les politiques WAF, les certificats SSL et les points de terminaison de protection contre la fraude/les robots. Les clients examineront ces étapes avec un analyste SOC Silverline pendant la phase d’intégration. Les clients peuvent également faire appel à un analyste SOC pour les aider dans tout déploiement de proxy.

Figure 3 : Ajouter et configurer l’objet proxy

Une fois le proxy enregistré et déployé sur la plateforme Silverline, les clients recevront un CNAME unique qui sera utilisé comme origine pour le réseau Amazon CloudFront. Les clients peuvent localiser ce proxy CNAME dans le panneau de configuration principal après le déploiement.

Figure 4 : Proxy CNAME Silverline

Une fois le proxy activé, il est prêt à recevoir du trafic immédiatement et peut être utilisé pour acheminer les demandes des utilisateurs depuis CloudFront dès que ce service est configuré.

Amazon CloudFront – Configuration des services

Pour garantir une intégration fluide, les clients doivent disposer des informations suivantes avant d’effectuer l’intégration CloudFront.

Une fois ces composants en place et provisionnés, les clients peuvent lancer la configuration CloudFront en accédant à la console de gestion AWS. Dans le menu de la console, recherchez et sélectionnez la sous-catégorie « Réseau et diffusion de contenu » / CloudFront . Recherchez et sélectionnez le lien « Distributions » et procédez à la création de la distribution initiale.

Figure 5 : Console de gestion AWS et navigation CloudFront

Figure 6 : Panneau des distributions CloudFront

Pour lancer la configuration de l'objet, sélectionnez le contrôle « Créer une distribution ». Vous serez peut-être invité à créer une « méthode de livraison spécifique ». Notre client a choisi le mode de livraison « Web ».

Sélectionnez la commande « Commencer ». Les panneaux ci-dessous s'afficheront sur le navigateur. Configurez les paramètres d’origine comme indiqué :

Figure 7 : Panneau de configuration des distributions CloudFront - Paramètres d'origine

Les tentatives de connexion à l'origine, le délai d'expiration de l'origine, le délai d'expiration de la réponse à l'origine, le délai d'expiration de la fonction de maintien en activité de l'origine, les ports HTTP et HTTPS doivent rester les valeurs par défaut, sauf si une modification est requise.

En-têtes du client d'origine : Les clés et valeurs d'en-tête personnalisées seront présentes dans chaque demande adressée à l'origine. Ces paramètres peuvent également être utilisés pour filtrer toutes les requêtes au proxy Silverline qui ne proviennent pas de CloudFront.

Les paramètres de comportement du cache par défaut peuvent être programmés en fonction des politiques internes définies par les développeurs d'applications, les technologies de l'information, DevOps, les équipes de sécurité et d'autres parties prenantes. Il est essentiel de souligner l’importance de comprendre le degré d’impact que toute modification des valeurs peut avoir sur le fonctionnement global de l’application. F5 Silverline recommande une approche évolutive car chaque paramètre peut introduire des variations de coût, d'exposition à la sécurité, d'impact sur les performances et d'interaction avec le WAF Silverline ou la protection contre les bots/fraudes. AWS fournit une excellente documentation depuis la console de gestion pour aider les organisations à comprendre comment appliquer chaque contrôle et quel impact il peut avoir sur les opérations existantes. Nos analystes Silverline SOC peuvent également fournir des informations sur la manière dont ces paramètres affecteront le proxy Silverline, le WAF ou la protection contre les bots/fraudes.

Figure 8 : Panneau de configuration des distributions CloudFront - Paramètres de comportement du cache par défaut

Les paramètres de distribution peuvent également avoir un impact considérable sur les opérations. Les paramètres qui méritent une attention particulière sont les suivants :

Figure 9 : Panneau de configuration des distributions CloudFront - Paramètres de distribution

L'étape finale sera de créer la distribution.

Cela devrait prendre quelques minutes et, une fois terminé, les clients recevront un CNAME.

Figure 10 : Distributions CloudFront – Créer un contrôle de distribution

Le CNAME émis par Amazon CloudFront peut désormais être utilisé avec AWS Route 53 comme enregistrement de résolution faisant autorité pour tout trafic lié à l'application.

Les équipes de sécurité interne, de technologie de l'information, d'exploitation et de développement de nos clients ont passé beaucoup de temps à évaluer la meilleure solution pour leurs objectifs d'engagement client et de stratégie marketing. Une fois que notre client a sélectionné la solution, la mise en œuvre s'est déroulée sans aucun obstacle et les services et applications ont été opérationnels à l'échelle mondiale en quelques minutes, offrant à ses clients du monde entier une expérience d'engagement beaucoup plus fluide et plus rapide.