Migration des charges de travail des applications de niveau 1 vers AWS avec F5

Les entreprises qui envisagent de migrer ou de déployer des charges de travail de production dans le cloud public sont susceptibles de considérer Amazon Web Services (AWS) comme leur plate-forme de choix. Aujourd’hui, AWS compte plus d’un million de clients actifs répartis dans 190 pays, dont 2 000 agences gouvernementales et 5 000 établissements d’enseignement.¹ Selon Gartner, AWS continue d'être le leader écrasant en termes de parts de marché en termes de revenus (47 %)² et la part des charges de travail des applications (41,5 %)² déployé sur une infrastructure de cloud public en tant que service (IaaS). Cet article passe en revue de nombreux facteurs qui ont freiné l’adoption plus large du cloud public pour les applications d’entreprise et suggère comment les services de distribution d’applications F5 jouent un rôle essentiel pour accélérer l’adoption d’AWS.

Pour la plupart des entreprises, les applications ne sont pas des ressources statiques avec des paramètres de performance clairement définis ; elles doivent fréquemment s’adapter à des pics de demande inattendus pour garantir que l’expérience utilisateur ne soit pas affectée. En raison du manque de flexibilité des services informatiques internes et de la nécessité d’investir dans des actifs fixes, les organisations informatiques ont traditionnellement répondu à la demande fluctuante en provisionnant des ressources d’infrastructure et d’application pour répondre à la demande de pointe plutôt qu’à la demande moyenne. Mais l’acquisition et le déploiement de nouvelles infrastructures, de nouveaux réseaux et des ressources applicatives associées constituent un processus complexe et chronophage qui nécessite des investissements en capital considérables.

AWS résout partiellement ce défi en ayant déjà réalisé les investissements nécessaires en matière d’infrastructures et de logiciels, permettant aux entreprises de bénéficier d’une capacité illimitée sans surprovisionner les ressources. Les avantages de l’utilisation d’un fournisseur IaaS de cloud public comme AWS sont l’agilité qu’il offre aux entreprises pour déployer rapidement de nouvelles applications, la flexibilité qu’il offre pour allouer des ressources à la demande et l’économie d’un modèle OpEx par rapport à CapEx.

Il n’est pas surprenant que la sécurité des applications, les performances et le contrôle de gestion figurent parmi les principales préoccupations des services informatiques lorsqu’ils envisagent de déplacer des applications vers le cloud. Bien qu'AWS fournisse de nombreux outils et services natifs pour répondre à certains de ces facteurs de livraison d'applications, ces outils ont des capacités et des ensembles de fonctionnalités variables qui peuvent ne pas répondre aux exigences des applications.

Compte tenu du paysage des menaces actuel, la plupart des organisations classent la sécurité comme leur principale préoccupation pour les applications hébergées dans le cloud. Il est essentiel de se protéger contre les logiciels malveillants sophistiqués et les menaces de sécurité mixtes de couche 4 à 7, telles que les attaques DDoS volumétriques combinées à des attaques de couche applicative (OWASP Top 10, les scripts intersites, l'injection SQL, etc.) lors du déplacement des charges de travail vers n'importe quelle infrastructure de cloud public. AWS utilise un modèle de responsabilité partagée en matière de sécurité, qui est divisé en deux segments : la sécurité du cloud et la sécurité dans le cloud. La sécurité du cloud concerne la sécurité de l’infrastructure IaaS sous-jacente (calcul, stockage, matériel physique, etc.) – c’est la responsabilité d’AWS. La sécurité dans le cloud consiste à protéger tout ce qui se trouve au-dessus de la couche hyperviseur (système d'exploitation, applications, données, etc.) : c'est la responsabilité du consommateur.

Un accès cohérent aux applications est également une exigence. Comment les organisations peuvent-elles garantir que l’accès est uniforme pour tous les utilisateurs, quel que soit l’appareil ou l’emplacement, tout en se conformant aux politiques internes ? La fatigue des mots de passe peut compromettre la sécurité si les utilisateurs sont chargés de mémoriser plusieurs combinaisons nom d'utilisateur/mot de passe, ce qui peut entraîner une réduction de l'efficacité. La plupart des entreprises sont susceptibles de déployer des charges de travail de cloud public en plus des charges de travail déployées dans leurs propres environnements de centre de données/cloud privé. Il est donc essentiel que ces utilisateurs puissent reproduire et appliquer des pratiques/politiques de sécurité cohérentes et éprouvées dans leurs environnements de cloud hybride.

L’expérience utilisateur et la productivité continuent d’être des considérations importantes, et toutes deux dépendent des performances des applications dans le cloud. Dans certains cas, le centre de données du fournisseur de cloud sera plus éloigné des utilisateurs, ce qui signifie qu’il y aura une latence accrue entre l’utilisateur et l’application, ce qui aura un impact sur les performances. De plus, certaines des méthodes généralement utilisées pour gérer la latence, telles que la mise en cache, la compression et les optimisations TCP, ne sont pas disponibles dans AWS.

La plupart des entreprises ont besoin d’une gestion avancée du trafic (au-delà de l’équilibrage de charge de base) dans leurs centres de données pour leurs applications stratégiques. Alors qu'AWS propose des services d'équilibrage de charge de base via l'équilibrage de charge élastique (ELB) et l'équilibreur de charge d'application (ALB), les organisations doivent déterminer quel protocole de prise en charge au-delà de HTTP/HTTPS et TCP est requis. Les contrôles de santé de base et les algorithmes d’équilibrage de charge seront-ils suffisants ? Les consommateurs ont souvent besoin de manipuler les données d’application, ce qui nécessite des fonctions de proxy d’application L7 complètes, telles que l’inspection et la réécriture d’URL. La capacité de voir le trafic client entrant avec le contexte est essentielle pour prendre des décisions précises en matière de pilotage du trafic.

Pour répondre aux préoccupations susmentionnées, il est nécessaire de fournir des applications avancées et programmables ainsi que des services de sécurité fournis via une plateforme unifiée comme la solution BIG-IP de F5. Cette plateforme garantit la sécurité, les performances et la disponibilité de toutes les applications, quel que soit leur emplacement. Il permet également la livraison et la gestion des services applicatifs et de leurs politiques associées de manière cohérente dans tous les environnements hybrides, aussi bien pour les nouvelles applications basées sur le cloud que pour les applications existantes.

Les éditions virtuelles (VE) F5 BIG-IP sont des appareils BIG-IP virtuels qui fournissent le même ensemble cohérent de services disponibles sur l'ensemble du matériel BIG-IP, y compris les services d'application et de réseau, de la gestion intelligente du trafic (local et global), à l'accélération et à l'optimisation, en passant par le DNS, l'accès avancé aux applications et la sécurité sophistiquée des applications. Ces services peuvent être entièrement intégrés dans la pile d’applications et configurés automatiquement. En tant que leader du marché des contrôleurs de distribution d'applications (ADC) matériels et virtuels, et avec 48 des entreprises Fortune50 s'appuyant actuellement sur les services d'application F5, il est plus que possible que F5 soit déjà utilisé dans une entreprise donnée pour entretenir et protéger les applications.

Les VE BIG-IP fournissent des services de sécurité L4 à 7 complets qui protègent les applications cloud sans vous obliger à sacrifier le contrôle, la flexibilité ou la visibilité. Ces services complètent les offres AWS et, grâce à un WAF (Web Application Firewall) sophistiqué, les attaques DDoS complexes, le scraping Web, les attaques d'applications Web multicouches, le vol de données et les fuites peuvent tous être évités. Grâce à l’intelligence et à l’analyse comportementale avancée permettant de reconnaître les modèles de trafic anormaux, les solutions F5 peuvent détecter et atténuer les attaques de botnet automatisées. En tirant parti de la puissance des scripts de chemin de données F5 iRules®, les solutions F5 peuvent répondre rapidement aux exploitations de vulnérabilités d'application et aux attaques zero-day. Avec F5, l’effort et l’expertise investis dans le réglage et la configuration des règles et politiques de pare-feu pour chaque application interne peuvent être exploités et réutilisés par les VE pour les applications hébergées dans le cloud.

Les architectures de gestion des identités et des accès de F5 sont basées sur une connaissance complète du contexte de l’utilisateur, de l’appareil, de l’environnement, de l’application et du réseau. Cela signifie que les solutions F5 permettent la fédération d'identité et l'authentification unique pour l'accès aux applications sur l'ensemble du centre de données et du cloud. Dans le même temps, ils permettent la sécurité des applications et l’intégrité des données grâce à un accès sécurisé basé sur le contexte, une protection contre les logiciels malveillants basés sur le Web et les menaces persistantes, ainsi que des inspections complètes des terminaux.

Les services avancés de gestion du trafic local BIG-IP prennent en charge une large gamme de protocoles au-delà de HTTP/TCP (par exemple, HTTP 2.0, SPDY et UDP) et une maîtrise approfondie des applications. En tant qu'architecture proxy complète, la plate-forme BIG-IP offre une visibilité complète sur le trafic des applications, décryptant et recryptant le trafic SSL au cours du processus. Il suit également de manière dynamique les niveaux de performance des serveurs d’un groupe et fournit une surveillance approfondie de l’état de santé et une gestion de l’état de connexion. Les services d’optimisation de la distribution des applications BIG-IP peuvent accélérer le temps de réponse des applications, minimiser la latence et les retards et réduire le nombre d’allers-retours de données nécessaires pour répondre aux requêtes Web à partir d’appareils mobiles.

Les services DNS BIG-IP et d'équilibrage de la charge du serveur mondial dirigent les utilisateurs vers le centre de données cloud le plus proche qui offrira la meilleure expérience utilisateur, la meilleure reprise après sinistre et les meilleures politiques de basculement. La proximité de l’utilisateur, la géolocalisation, les conditions du réseau et la disponibilité des applications sont tous pris en compte dans les décisions de routage. La plateforme utilise une gamme de méthodes d’équilibrage de charge globales et une surveillance intelligente spécifique à chaque application et à chaque utilisateur. F5 offre également une protection DNS DDoS, bloque l'accès aux adresses IP malveillantes et sécurise les réponses avec DNSSEC. Mieux encore, les requêtes DNS et les contrôles d'intégrité ne sont pas facturés à l'utilisation, ce qui évite les frais élevés liés aux requêtes légitimes et illégitimes lors d'une attaque DNS DDoS.

L’un des principaux avantages du déplacement des charges de travail des applications vers des plates-formes de cloud public est la possibilité de faire évoluer une application au-delà de la capacité de base provisionnée dans le centre de données. Avec AWS Auto Scaling, les applications maintiennent la disponibilité tout en augmentant ou en diminuant automatiquement la capacité d'Amazon EC2 en fonction de seuils prédéfinis. Les solutions BIG-IP s'intègrent à AWS Auto Scaling pour permettre des services d'application et de sécurité BIG-IP mis à l'échelle de manière dynamique. Et comme les VE BIG-IP gèrent nativement l’ajout ou la suppression de membres du pool, il n’est pas nécessaire d’avoir une orchestration et une gestion de configuration hors bande. En plus de la mise à l'échelle automatique du BIG-IP LTM (voir Figure 1), F5 a publié des solutions qui permettent une sécurité des applications à mise à l'échelle automatique, grâce à laquelle BIG-IP LTM et BIG-IP ASM sont provisionnés sur le BIG-IP VE.

Les modèles AWS Cloud Formation (CFT) fournissent une méthode scriptée pour automatiser le déploiement des ressources d'infrastructure (serveur, stockage, réseau et calcul). Ils offrent un moyen reproductible de déployer rapidement la même image et la même configuration BIG-IP plusieurs fois dans AWS, ce qui signifie que de précieuses heures de travail peuvent être réaffectées à des questions commerciales plus urgentes. Conçus et testés de manière approfondie par les ingénieurs F5, les CFT éliminent tous les soucis associés au déploiement ou à la configuration du BIG-IP VE, garantissant que les appareils virtuels F5 sont provisionnés avec la confiance d'un expert F5. De plus, grâce à l’intégration transparente avec des outils d’automatisation tiers tels qu’Ansible, Chef et Puppet, ces CFT simplifient le processus d’automatisation et d’orchestration des VE BIG-IP. Tous les CFT F5 sont open source et disponibles gratuitement via GitHub, permettant aux passionnés de F5 de modifier les modèles pour mieux répondre aux exigences commerciales spécifiques.

De plus, F5 s'est intégré plus étroitement à la place de marché AWS en rendant une sélection de ses CFT directement disponibles via la place de marché AWS, pour une mise en œuvre plus rapide et plus facile. Par exemple, une variété de solutions de mise à l'échelle automatique (mise à l'échelle automatique BIG-IP LTM, mise à l'échelle automatique WAF, etc.) peuvent être sélectionnées pour être déployées à partir du marché et peuvent être opérationnelles dans des environnements de production en moins d'une heure, éliminant ainsi le besoin pour les utilisateurs de F5 de configurer eux-mêmes ces solutions complexes, ce qui permet d'économiser des jours, voire des semaines, d'heures de travail.

Le site communautaire DevCentral™ propose des exemples de configurations de ressources VPC telles que des sous-réseaux, des interfaces réseau et des tables de routage pour les déploiements de VE BIG-IP. Ces exemples montrent également comment utiliser les scripts de données utilisateur CloudInit pour déployer des modèles BIG-IP iApps® pour des applications packagées spécifiques (Microsoft SharePoint, Exchange et autres) et des applications personnalisées. Similaires en termes de fonctionnalités aux AWS CFT, les iApps F5 ont été créées pour aider à déployer rapidement les services spécifiques dont chaque application a besoin. Les iApps définissent également la configuration et les politiques des services tels que la gestion du trafic, le chiffrement, le pare-feu et l'optimisation des performances pour chaque application.

En intégrant les ressources du cloud public à un centre de données privé existant, les organisations peuvent transférer les charges de travail des applications en fonction de calendriers prioritaires tout en continuant à tirer parti des investissements existants. Les VE BIG-IP, les iApps F5 et les CFT AWS fonctionnent ensemble pour créer une configuration cloud intégrée qui permet un déploiement rapide et transparent de ressources applicatives supplémentaires. Les principaux avantages de cette configuration de cloud fédéré incluent la redirection transparente des utilisateurs d’applications, les technologies de géolocalisation et d’accélération et les connexions sécurisées à l’aide d’AWS Direct Connect. L’expérience utilisateur reste inchangée, que les ressources d’application soient fournies à partir d’un centre de données privé ou d’un cloud public. L’utilisation transparente et continue des ressources de cloud privé et public peut être basée sur la demande, sur le fait qu’un projet soit nouveau ou déjà en place, ou sur l’emplacement spécifique du demandeur.

La gestion centralisée F5® BIG-IQ® fournit un point de contrôle central pour les appareils physiques et virtuels F5 dans le cloud et sur site. La gestion centralisée BIG-IQ simplifie la gestion des applications, contribue à garantir la conformité et fournit des outils pour gérer les appareils et services F5 de manière cohérente et sécurisée, où qu'ils se trouvent. La gestion centralisée BIG-IQ gère les politiques, les licences, les certificats SSL, les images et les configurations des appareils F5 et des modules F5 suivants :

• Gestionnaire de trafic local BIG-IP® (LTM)
• Gestionnaire de sécurité des applications BIG-IP® (ASM)
• Gestionnaire de pare-feu avancé BIG-IP® (AFM)
• Gestionnaire de politiques d'accès BIG-IP® (APM)
• DNS BIG-IP (surveillance uniquement)
• Tableaux de bord pour les solutions de protection contre la fraude F5 WebSafe et MobileSafe

BIG-IQ Centralized Management est disponible sous forme d'appliance physique ou virtuelle, ou peut être exécuté directement depuis AWS Marketplace.

Les éditions virtuelles BIG-IP sont principalement disponibles dans des packs Good-Better-Best et dans trois modèles d'achat distincts :

• Facturation des services publics. Pour les charges de travail de pré-production de test et de développement, ou pour les cas d'utilisation temporaires de cloud bursting et d'évolutivité, F5 propose des licences d'utilitaires horaires qui offrent flexibilité et utilisation à la demande, postpayée. Un support premium et des mises à niveau logicielles sont inclus avec toutes les offres utilitaires.
• Apportez votre propre permis de conduire (BYOL). Cette option est idéale pour les environnements cloud hybrides dans lesquels les licences BIG-IP VE existantes sont migrées d'un centre de données privé directement vers AWS.
• Abonnement annuel. En plus des licences VE perpétuelles, F5 propose également des licences VE BYOL par abonnement annuel. Ils peuvent être utilisés dans n’importe quel environnement cloud hybride pris en charge, offrant une plus grande portabilité et flexibilité. Les abonnements annuels sont idéaux pour les charges de travail de production qui ont un trafic stable et sont disponibles sur AWS Marketplace.
• Contrat de licence d'entreprise (ELA). Pour les environnements d'entreprise de plus grande taille recherchant une flexibilité et une agilité maximales, ELA permet d'acheter plusieurs VE dans le cadre d'accords de 3 ans, avec support premium et mises à niveau logicielles inclus.

De plus, le gestionnaire de licences de gestion centralisée BIG-IQ est disponible gratuitement pour gérer les licences de produits BIG-IP dans tous les environnements hybrides.

L’adoption des services de cloud public a connu une croissance exponentielle au cours des dernières années, et AWS a toujours été le leader du marché pour ces services. De nombreuses startups informatiques, ainsi que des entreprises plus grandes et plus connues, ont déployé entièrement leur activité dans le cloud AWS avec un succès significatif. Alors que les entreprises prévoient de migrer des applications vers le cloud, les services de sécurité et de distribution d'applications F5 peuvent être facilement transférés vers les charges de travail des applications cloud à l'aide des éditions virtuelles F5 BIG-IP. Cela répond à de nombreuses préoccupations fondamentales des clients d’entreprise en matière de sécurité, de performances et de contrôle dans le cloud public. Grâce aux modèles de licence flexibles disponibles pour les solutions BIG-IP sur AWS Marketplace, les entreprises peuvent planifier, organiser et déployer des applications dans AWS avec une exposition financière minimale et commencer à bénéficier de l'agilité et de l'efficacité du cloud AWS.

¹ Principes essentiels d'Amazon Cloud : 5 faits à connaître (https://n2ws.com/blog/5-facts-amazon-cloud-essentials.html)
² Part de marché AWS vs Azure vs Google Cloud 2017 (« https://www.skyhighnetworks.com/cloud-security-blog/microsoft-azure-closes-iaas-adoption-gap-with-amazon-aws/ »)