Implantando o Amazon CloudFront com a Silverline Managed Services Platform

Durante a avaliação de várias ofertas de serviços e soluções que potencialmente atenderiam aos seus requisitos, nosso cliente, uma empresa global de soluções de TI, realizou uma ampla revisão das variáveis envolvidas na implantação e operação de uma solução que combina uma rede de distribuição de conteúdo (CDN), Web Application Firewall (WAF) e proteções contra fraudes/bots e ataques de negação de serviço distribuído (DDoS). Após uma análise considerável e discussões internas com diversas equipes, nosso cliente determinou que a melhor solução seria uma combinação do F5 Silverline e da rede de distribuição de conteúdo do Amazon CloudFront.

Nosso cliente escolheu esta solução porque ela oferecia serviços de segurança gerenciados, implantação rápida e menor custo de provisionamento, manutenção e operação. As equipes internas de clientes definiram um plano para a evolução do site e se concentraram em concluir cada fase do plano rapidamente, sem grandes impactos nas operações em andamento.

A facilidade de implementação e os benefícios combinados da arquitetura proporcionaram melhorias contínuas de desempenho, controles de segurança adicionais e relatórios e registros abrangentes com recursos de exportação de dados para SIEM e outras plataformas de análise de registros. Isso permitiu que a equipe do nosso cliente se concentrasse no que faz de melhor: proporcionar uma experiência envolvente e integrada ao cliente.

Nosso cliente selecionou as soluções F5 e AWS para a implementação da quarta fase de seu plano (Figura 1) principalmente devido à flexibilidade que cada serviço oferecia em suas configurações, ao baixo custo de operação e à capacidade de expandir o sistema ao longo do tempo por meio de múltiplas iterações. Outro fator importante foi a capacidade de trabalhar com os analistas do F5 Silverline Security Operations Center (SOC), que monitoram continuamente a plataforma Silverline. (Silverline é a plataforma de serviços de segurança gerenciada e baseada em nuvem da F5.) Os analistas do SOC ajudaram nosso cliente a definir sua postura de segurança e maximizar a usabilidade do sistema. Isso permitiu que nosso cliente proporcionasse uma experiência sem atritos, ao mesmo tempo em que combatia implacavelmente fraudes e abusos.

Equilibrar o custo das operações com melhorias de desempenho ao longo da evolução de um aplicativo da web, ao mesmo tempo em que fornece uma experiência rápida, segura e sem atrito ao cliente

As empresas enfrentam vários desafios e restrições ao arquitetar e projetar aplicativos web. Uma consideração importante é equilibrar o custo de aquisição, implantação e gerenciamento eficaz da tecnologia e do pessoal para permitir melhorias contínuas de desempenho ao longo do ciclo de vida do aplicativo. A ilustração abaixo descreve a análise que nosso cliente realizou em relação ao equilíbrio entre custo e desempenho necessário para desenvolver um aplicativo web.

Figura 1: Ciclo de vida de desempenho do aplicativo da web do cliente F5 Silverline

Durante a fase inicial, nosso cliente se concentrou em implantar o aplicativo e obter clientes. As etapas que eles executaram para atingir sua meta envolveram:

Na fase dois, o cliente se concentrou em melhorias e aprimoramentos para adquirir uma base de clientes e se preparar para expansão adicional.

Na fase três, nosso cliente trabalhou com nossa equipe de contas F5 Silverline para implantar os componentes de segurança gerenciados e configurar o Amazon CloudFront para garantir que o aplicativo fosse dimensionado e acomodasse todo o tráfego gerado.

Na quarta fase, nosso cliente analisou as solicitações de origem dos clientes e determinou que muitos deles estavam realizando transações de países fora dos EUA. Essa observação, juntamente com uma análise adicional do aumento da demanda nos EUA, motivou a implementação do Amazon CloudFront para ampliar seu alcance e melhorar o desempenho global.

Na fase final, as equipes de clientes se concentraram na implantação de um ambiente híbrido de serviços de colocation mistos e plataformas SaaS/IaaS/PaaS para aprimorar suas capacidades operacionais e adaptação a ambientes de mercado global em rápida mudança.

Este documento se concentrará nas etapas técnicas que nosso cliente executou para concluir a integração da fase quatro do Amazon CloudFront com a plataforma de serviços de segurança gerenciados F5 Silverline.

Requisitos básicos para garantir uma implantação de serviço e integração de sistema bem-sucedida

Para se preparar para a integração do Amazon CloudFront na plataforma F5 Silverline, nosso cliente provisionou os seguintes itens, com assistência da equipe Silverline:

Construindo uma rede segura e escalável que permite aos clientes obter o melhor desempenho e experiência de engajamento globalmente

Implementar uma rede global segura e rápida com links multi-homed e múltiplos serviços não é fácil para nenhuma organização. Felizmente, os clientes podem se beneficiar dos investimentos combinados em infraestrutura e serviços que a F5 e a AWS podem oferecer. Isso permite que os clientes construam uma solução que pode ser implantada rapidamente para integrar aplicativos com máxima eficácia e obter um retorno imediato sobre os investimentos.

A arquitetura que nosso cliente escolheu implantar é mostrada na ilustração abaixo:

Figura 2: Integração perfeita do sistema para uma experiência do cliente sem atritos

Facilidade de implantação para integração rápida

As organizações estão sendo pressionadas a lançar aplicativos que respondam rapidamente aos desafios do mercado para obter vantagem competitiva e/ou economia de custos. Implantações que podem ser feitas em um curto período de tempo oferecem uma vantagem considerável sobre implantações que exigem recursos extensos e custos adicionais. Com F5 e AWS, a implantação dessas configurações é fácil; se os clientes tiverem todos os componentes e dados prontos para configurar, isso pode ser feito em minutos.

Com a terceira fase concluída, nosso cliente passou para a quarta fase, que envolveu a integração do Amazon CloudFront com a plataforma F5 Silverline e incluiu as seguintes etapas:

Quando nossa equipe Silverline SOC implanta a conta do portal, os clientes podem efetuar login e configurar o objeto raiz do proxy com as configurações necessárias para o nome de exibição do proxy, o FQDN (Nome de Domínio Totalmente Qualificado), o endereço IP do servidor de origem ou ELB CNAME (Registro Canônico), perfis de Inteligência de Ameaças, políticas WAF, certificados SSL e endpoints de proteção contra fraude/bot. Os clientes revisarão essas etapas com um analista do Silverline SOC durante a fase de integração. Os clientes também podem contratar um analista de SOC para ajudar com qualquer implantação de proxy.

Figura 3: Adicionar e configurar o objeto proxy

Depois que o proxy for salvo e implantado na plataforma Silverline, os clientes receberão um CNAME exclusivo que será usado como origem para a rede Amazon CloudFront. Os clientes podem localizar este proxy CNAME no painel de configuração principal após a implantação.

Figura 4: Proxy Silverline CNAME

Depois que o proxy é habilitado, ele está pronto para receber tráfego imediatamente e pode ser usado para rotear solicitações de usuários do CloudFront assim que o serviço for configurado.

Amazon CloudFront - Configuração de serviço

Para garantir uma integração tranquila, os clientes devem ter as seguintes informações disponíveis antes de realizar a integração do CloudFront.

Depois que esses componentes estiverem instalados e provisionados, os clientes podem iniciar a configuração do CloudFront navegando até o console de gerenciamento da AWS. No menu do console, localize e selecione a subcategoria "Rede e entrega de conteúdo" / CloudFront . Localize e selecione o link "Distribuições" e prossiga para criar a distribuição inicial.

Figura 5: Navegação no AWS Management Console e CloudFront

Figura 6: Painel de distribuições do CloudFront

Para iniciar a configuração do objeto, selecione o controle "Criar Distribuição". Você pode ser solicitado a criar um "Método de entrega específico". Nosso cliente escolheu o método de entrega "Web".

Selecione o controle "Começar". Os painéis abaixo serão renderizados no navegador. Configure as Configurações de origem conforme mostrado:

Figura 7: Painel de configuração de distribuições do CloudFront - Configurações de origem

Tentativas de conexão de origem, tempo limite de origem, tempo limite de resposta de origem, tempo limite de manutenção de atividade de origem, portas HTTP e HTTPS devem permanecer como padrões, a menos que uma alteração seja necessária.

Cabeçalhos do cliente Origin: Chaves e valores de cabeçalho personalizados estarão em todas as solicitações para a origem. Essas configurações também podem ser usadas para filtrar quaisquer solicitações no proxy Silverline que não sejam originárias do CloudFront.

As configurações de comportamento de cache padrão podem ser programadas de acordo com políticas internas definidas pelos desenvolvedores de aplicativos, tecnologia da informação, DevOps, equipes de segurança e outras partes interessadas. É fundamental enfatizar a importância de entender o grau de impacto que quaisquer alterações nos valores podem ter na operação geral do aplicativo. A F5 Silverline recomenda uma abordagem evolutiva, pois cada configuração pode introduzir variações em custo, exposição à segurança, impacto no desempenho e interação com o Silverline WAF ou proteção contra bots/fraudes. A AWS fornece excelente documentação do console de gerenciamento para ajudar as organizações a entender como aplicar cada controle e qual impacto ele pode ter nas operações existentes. Nossos analistas do Silverline SOC também podem fornecer informações sobre como essas configurações afetarão o proxy Silverline, o WAF ou a proteção contra bots/fraudes.

Figura 8: Painel de configuração de distribuições do CloudFront - Configurações de comportamento de cache padrão

As configurações de distribuição também podem ter um impacto considerável nas operações. As configurações que merecem consideração adicional são as seguintes:

Figura 9: Painel de configuração de distribuições do CloudFront - Configurações de distribuição

O passo final será criar a distribuição.

Isso deve levar alguns minutos e, uma vez concluído, os clientes receberão um CNAME.

Figura 10: Distribuições do CloudFront - Criar controle de distribuição

O CNAME emitido pelo Amazon CloudFront agora pode ser usado com o AWS Route 53 como registro autoritativo de resolução para qualquer tráfego destinado ao aplicativo.

As equipes internas de segurança, tecnologia da informação, operações e desenvolvimento do nosso cliente gastaram muito tempo avaliando a melhor solução para seus objetivos de engajamento do cliente e estratégia de marketing. Depois que nosso cliente selecionou a solução, a implementação ocorreu sem nenhum obstáculo e eles tiveram os serviços e aplicativos funcionando globalmente em minutos, proporcionando aos seus clientes em todo o mundo uma experiência de engajamento muito mais rápida e tranquila.