Migrando cargas de trabalho de aplicativos de nível 1 para a AWS com F5

As empresas que estão pensando em migrar ou implantar cargas de trabalho de produção na nuvem pública provavelmente considerarão a Amazon Web Services (AWS) como sua plataforma preferida. Hoje, a AWS tem mais de 1 milhão de clientes ativos espalhados por 190 países, incluindo 2.000 agências governamentais e 5.000 instituições educacionais.¹ De acordo com a Gartner, a AWS continua a ser a líder esmagadora em participação de mercado em termos de receita (47%)² e participação nas cargas de trabalho de aplicativos (41,5%)² implantado em infraestrutura de nuvem pública como serviço (IaaS). Este artigo analisa muitos dos fatores que inibiram a adoção mais ampla da nuvem pública para aplicativos empresariais e sugere como os serviços de entrega de aplicativos F5 desempenham um papel fundamental para ajudar a acelerar a adoção da AWS.

Para a maioria das empresas, os aplicativos não são recursos estáticos com parâmetros de desempenho claramente definidos; eles devem se adaptar frequentemente a picos inesperados de demanda para garantir que a experiência do usuário não seja afetada. Devido à inflexibilidade dos serviços internos de TI e à necessidade de investir em ativos fixos, as organizações de TI tradicionalmente respondem à demanda flutuante provisionando infraestrutura e recursos de aplicativos para atender à demanda de pico, em vez da média. Mas adquirir e implantar nova infraestrutura, rede e recursos de aplicativos associados é um processo complexo e demorado que exige um investimento considerável em CapEx.

A AWS resolve parcialmente esse desafio ao já ter feito os investimentos necessários em infraestrutura e ativos de software, permitindo que as empresas colham os benefícios da capacidade ilimitada sem provisionar recursos em excesso. As vantagens de usar um provedor de IaaS de nuvem pública como a AWS são a agilidade que ele oferece às empresas para implantar rapidamente novos aplicativos, a flexibilidade que ele fornece para alocar recursos sob demanda e a economia de um modelo OpEx versus CapEx.

Não é nenhuma surpresa que a segurança, o desempenho e o controle de gerenciamento de aplicativos estejam entre as principais preocupações de TI ao considerar mover aplicativos para a nuvem. Embora a AWS forneça muitas ferramentas e serviços nativos para abordar alguns desses fatores de entrega de aplicativos, essas ferramentas têm diversos recursos e conjuntos de recursos que podem não atender aos requisitos do aplicativo.

Dado o cenário de ameaças atual, a maioria das organizações classifica a segurança como sua principal preocupação para aplicativos hospedados na nuvem. É essencial proteger-se contra malware sofisticado e ameaças de segurança combinadas das camadas 4 a 7, como DDoS volumétrico combinado com ataques na camada de aplicativo (OWASP Top 10, script entre sites, injeção de SQL, etc.) ao mover cargas de trabalho para qualquer infraestrutura de nuvem pública. A AWS usa um modelo de responsabilidade compartilhada com relação à segurança, que é dividido em dois segmentos: segurança da nuvem e segurança na nuvem. A segurança da nuvem está relacionada à segurança da infraestrutura IaaS subjacente (computação, armazenamento, hardware físico, etc.) – isso é responsabilidade da AWS. A segurança na nuvem envolve proteger tudo acima da camada do hipervisor (SO, aplicativos, dados, etc.) – isso é responsabilidade do consumidor.

O acesso consistente ao aplicativo também é um requisito. Como as organizações garantem que o acesso seja uniforme para todos os usuários, independentemente do dispositivo ou local, e ao mesmo tempo em que obedecem às políticas internas? A fadiga de senha pode comprometer a segurança se os usuários tiverem a tarefa de memorizar várias combinações de nome de usuário/senha, o que pode levar à redução da eficiência. A maioria das empresas provavelmente implantará cargas de trabalho de nuvem pública , além de cargas de trabalho implantadas em seus próprios ambientes de data center/nuvem privada. Dessa forma, é essencial que esses usuários consigam replicar e aplicar práticas/políticas de segurança consistentes e comprovadas em seus ambientes de nuvem híbrida.

A experiência do usuário e a produtividade continuam sendo considerações importantes, e ambas dependem do desempenho dos aplicativos na nuvem. Em alguns casos, o data center do provedor de nuvem estará mais distante dos usuários, o que significa que haverá maior latência entre o usuário e o aplicativo, impactando o desempenho. Além disso, alguns dos métodos normalmente usados para lidar com latência, como cache, compactação e otimizações de TCP, não estão disponíveis na AWS.

A maioria das empresas exige gerenciamento avançado de tráfego (além do balanceamento básico de carga) em seus data centers para seus aplicativos essenciais aos negócios. Embora a AWS ofereça serviços básicos de balanceamento de carga por meio do balanceamento de carga elástico (ELB) e do balanceador de carga de aplicativo (ALB), as organizações devem considerar qual suporte de protocolo além de HTTP/HTTPS e TCP é necessário. Verificações básicas de integridade e algoritmos de balanceamento de carga serão suficientes? Os consumidores geralmente precisam manipular dados de aplicativos, o que exige funções completas de proxy de aplicativo L7, como inspeção e reescrita de URL. A capacidade de visualizar o tráfego de entrada de clientes com contexto é essencial para tomar decisões granulares sobre direcionamento de tráfego.

Abordar as preocupações acima requer entrega de aplicativos avançados e programáveis e serviços de segurança fornecidos por meio de uma plataforma unificada como a solução BIG-IP da F5. Esta plataforma garante a segurança, o desempenho e a disponibilidade de todos os aplicativos, independentemente de sua localização. Ele também permite a entrega e o gerenciamento de serviços de aplicativos e suas políticas associadas de forma consistente em todos os ambientes híbridos, tanto para novos aplicativos baseados em nuvem quanto para aplicativos existentes.

As edições virtuais (VEs) do F5 BIG-IP são dispositivos BIG-IP virtuais que fornecem o mesmo conjunto consistente de serviços disponíveis em todo o hardware BIG-IP, incluindo serviços de aplicativos e redes, desde gerenciamento inteligente de tráfego (local e global), aceleração e otimização até DNS, acesso avançado a aplicativos e segurança sofisticada de aplicativos. Esses serviços podem ser totalmente integrados como parte da pilha de aplicativos e configurados automaticamente. Como líder de mercado em hardware e controladores de entrega de aplicativos virtuais (ADC), e com 48 das empresas da Fortune 50 atualmente contando com os serviços de aplicativos da F5, é mais do que possível que a F5 já esteja empregada em um determinado negócio para atender e proteger aplicativos.

Os VEs BIG-IP fornecem serviços de segurança abrangentes de nível 4 a 7 que protegem aplicativos em nuvem sem exigir que você sacrifique o controle, a flexibilidade ou a visibilidade. Esses serviços complementam as ofertas da AWS e, por meio de um WAF (Web Application Firewall) sofisticado, ataques DDoS complexos, web scraping, ataques a aplicativos baseados na web em várias camadas, roubo de dados e vazamento podem ser evitados. Com inteligência e análise comportamental avançada para reconhecer padrões de tráfego anômalos, as soluções F5 podem detectar e mitigar ataques automatizados de botnet. Aproveitando o poder do script de caminho de dados F5 iRules®, as soluções F5 podem responder rapidamente a explorações de vulnerabilidades de aplicativos e ataques de dia zero. Com o F5, o esforço e a experiência investidos no ajuste e configuração de regras e políticas de firewall para cada aplicativo interno podem ser aproveitados e reutilizados por VEs para aplicativos hospedados na nuvem.

As arquiteturas de gerenciamento de identidade e acesso da F5 são baseadas na conscientização contextual completa do usuário, dispositivo, ambiente, aplicativo e rede. Isso significa que as soluções F5 permitem federação de identidade e login único para acesso a aplicativos no data center e na nuvem. Ao mesmo tempo, eles permitem a segurança dos aplicativos e a integridade dos dados com acesso seguro baseado em contexto, proteção contra malware baseado na web e ameaças persistentes, além de inspeções abrangentes de dispositivos de endpoint.

Os serviços avançados de gerenciamento de tráfego local BIG-IP oferecem suporte a uma ampla gama de protocolos além de HTTP/TCP (por exemplo, HTTP 2.0, SPDY e UDP) e profunda fluência em aplicativos. Como uma arquitetura de proxy completo, a plataforma BIG-IP fornece visibilidade completa do tráfego de aplicativos, descriptografando e criptografando novamente o tráfego SSL no processo. Ele também rastreia dinamicamente os níveis de desempenho dos servidores em um grupo e fornece monitoramento profundo da integridade e gerenciamento do estado da conexão. Os serviços de otimização de entrega de aplicativos BIG-IP podem acelerar o tempo de resposta do aplicativo, minimizar a latência e os atrasos e reduzir o número de viagens de ida e volta de dados necessárias para concluir solicitações da web de dispositivos móveis.

Os serviços de balanceamento de carga de servidor global e DNS BIG-IP direcionam os usuários para o data center em nuvem mais próximo que proporcionará a melhor experiência do usuário, recuperação de desastres e políticas de failover. Proximidade do usuário, geolocalização, condições de rede e disponibilidade de aplicativos são fatores considerados nas decisões de roteamento. A plataforma emprega uma variedade de métodos globais de balanceamento de carga e monitoramento inteligente específicos para cada aplicativo e usuário. O F5 também oferece proteção DNS DDoS, bloqueia o acesso a endereços IP maliciosos e protege as respostas com DNSSEC. O melhor de tudo é que as consultas DNS e as verificações de integridade não são cobradas por uso, evitando o alto custo de ser cobrado por consultas legítimas e ilegítimas durante um ataque DNS DDoS.

Um benefício importante na movimentação de cargas de trabalho de aplicativos para plataformas de nuvem pública é a capacidade de dimensionar um aplicativo além da capacidade básica provisionada no data center. Com o AWS Auto Scaling, os aplicativos mantêm a disponibilidade enquanto aumentam ou diminuem automaticamente a capacidade do Amazon EC2 de acordo com limites predefinidos. As soluções BIG-IP integram-se ao AWS Auto Scaling para habilitar serviços de segurança e aplicativos BIG-IP dimensionados dinamicamente. E como os VEs BIG-IP gerenciam nativamente a adição ou remoção de membros do pool, não há necessidade de orquestração fora de banda e gerenciamento de configuração. Além do dimensionamento automático do BIG-IP LTM (veja a Figura 1), a F5 lançou soluções que permitem a segurança de aplicativos com dimensionamento automático, por meio das quais o BIG-IP LTM e o BIG-IP ASM são provisionados no BIG-IP VE.

Os AWS Cloud Formation Templates (CFTs) fornecem um método com script para automatizar a implantação de recursos de infraestrutura (servidor, armazenamento, rede e computação). Eles fornecem uma maneira repetível de implantar rapidamente a mesma imagem e configuração BIG-IP várias vezes na AWS, o que significa que horas de trabalho preciosas podem ser realocadas para questões comerciais mais urgentes. Tendo sido projetados e testados extensivamente pelos engenheiros da F5, os CFTs eliminam quaisquer preocupações associadas à implantação ou configuração do BIG-IP VE, garantindo que os dispositivos virtuais da F5 sejam provisionados com a confiança de um especialista da F5. Além disso, graças à integração perfeita com ferramentas de automação de terceiros, como Ansible, Chef e Puppet, esses CFTs simplificam o processo de automatização e orquestração de VEs BIG-IP. Todos os CFTs do F5 são de código aberto e estão disponíveis gratuitamente no GitHub, permitindo que outros entusiastas do F5 alterem os modelos para melhor atender às necessidades comerciais específicas.

Além disso, a F5 se integrou mais fortemente ao mercado da AWS, disponibilizando uma seleção de seus CFTs diretamente por meio do AWS Marketplace, para uma implementação mais rápida e fácil. Por exemplo, uma variedade de soluções de dimensionamento automático (dimensionamento automático BIG-IP LTM, dimensionamento automático WAF, etc.) podem ser selecionadas para implantação no mercado e podem estar instaladas e funcionando em ambientes de produção em menos de uma hora, eliminando a necessidade de os usuários do F5 configurarem essas soluções complexas por conta própria, economizando dias, se não semanas, de horas de trabalho.

O site da comunidade DevCentral™ oferece configurações de exemplo de recursos de VPC, como sub-redes, interfaces de rede e tabelas de roteamento para implantações de VEs BIG-IP. Esses exemplos também mostram como usar scripts de dados do usuário do CloudInit para implantar modelos BIG-IP iApps® para aplicativos empacotados específicos (Microsoft SharePoint, Exchange e outros) e aplicativos personalizados. Semelhantes em funcionalidade aos AWS CFTs, os F5 iApps foram criados para ajudar a implantar rapidamente os serviços específicos que cada aplicativo precisa. Os iApps também definem a configuração e as políticas de serviços como gerenciamento de tráfego, criptografia, firewall e otimização de desempenho para cada aplicativo.

Ao integrar recursos de nuvem pública com um data center privado existente, as organizações podem fazer a transição de cargas de trabalho de aplicativos com base em cronogramas priorizados, continuando a aproveitar os investimentos existentes. BIG-IP VEs, F5 iApps e AWS CFTs trabalham juntos para criar uma configuração de nuvem integrada que permite a implantação rápida e transparente de recursos de aplicativos adicionais. As principais vantagens dessa configuração de nuvem federada incluem o redirecionamento perfeito de usuários de aplicativos, tecnologias de geolocalização e aceleração e conexões seguras usando o AWS Direct Connect. A experiência do usuário permanece inalterada, independentemente de os recursos do aplicativo serem fornecidos por um data center privado ou por uma nuvem pública. O uso transparente e contínuo de recursos de nuvem privada e pública pode ser baseado na demanda, no fato de um projeto ser novo ou já estar em andamento, ou na localização específica do solicitante.

O F5® BIG-IQ® Centralized Management fornece um ponto central de controle para dispositivos físicos e virtuais F5, tanto na nuvem quanto no local. O Gerenciamento Centralizado BIG-IQ simplifica o gerenciamento de aplicativos, ajuda a garantir a conformidade e fornece ferramentas para gerenciar dispositivos e serviços F5 de forma consistente e segura, onde quer que estejam. O Gerenciamento Centralizado do BIG-IQ gerencia políticas, licenças, certificados SSL, imagens e configurações para dispositivos F5 e para os seguintes módulos F5:

• Gerenciador de tráfego local BIG-IP® (LTM)
• Gerenciador de segurança de aplicativos BIG-IP® (ASM)
• Gerenciador de Firewall Avançado BIG-IP®™ (AFM)
• Gerenciador de Política de Acesso BIG-IP® (APM)
• BIG-IP DNS (somente monitoramento)
• Painéis para soluções de proteção contra fraudes F5 WebSafe e MobileSafe

O BIG-IQ Centralized Management está disponível como um dispositivo físico ou virtual, ou pode ser executado diretamente do AWS Marketplace.

As edições virtuais do BIG-IP estão disponíveis principalmente em pacotes Good-Better-Best e em três modelos de compra distintos:

• Faturamento de serviços públicos. Para cargas de trabalho de pré-produção de teste e desenvolvimento, ou casos de uso temporário de expansão e escalabilidade na nuvem, a F5 oferece licenciamento de utilitários por hora que fornece flexibilidade e uso pós-pago sob demanda. Suporte premium e atualizações de software estão incluídos em todas as ofertas de serviços públicos.
• Traga sua própria licença (BYOL). Esta opção é ideal para ambientes de nuvem híbrida nos quais as licenças BIG-IP VE existentes são migradas de um data center privado diretamente para a AWS.
• Assinatura anual. Além das licenças VE perpétuas, a F5 também oferece licenças VE BYOL de assinatura anual. Eles podem ser usados em qualquer ambiente de nuvem híbrida compatível, proporcionando maior portabilidade e flexibilidade. Assinaturas anuais são ideais para cargas de trabalho de produção com tráfego estável e estão disponíveis no AWS Marketplace.
• Contrato de Licença Empresarial (ELA). Para ambientes empresariais maiores que buscam máxima flexibilidade e agilidade, o ELA permite que vários VEs sejam adquiridos em contratos de 3 anos, com suporte premium e atualizações de software incluídas.

Além disso, o BIG-IQ Centralized Management License Manager está disponível sem custo para gerenciar licenças de produtos BIG-IP em todos os ambientes híbridos.

A adoção de serviços de nuvem pública cresceu exponencialmente nos últimos anos, e a AWS tem sido líder consistente de mercado para esses serviços. Muitas startups de TI, bem como empresas maiores e mais conhecidas, implementaram tudo na nuvem da AWS com sucesso significativo. À medida que as empresas planejam migrar aplicativos para a nuvem, os serviços de entrega e segurança de aplicativos da F5 podem ser facilmente transferidos para cargas de trabalho de aplicativos na nuvem usando as edições virtuais do F5 BIG-IP. Isso aborda muitas das preocupações fundamentais que os clientes empresariais têm em relação à segurança, desempenho e controle na nuvem pública. Com modelos de licenciamento flexíveis disponíveis para soluções BIG-IP no AWS Marketplace, as empresas podem planejar, preparar e implantar aplicativos na AWS com exposição financeira mínima e começar a se beneficiar da agilidade e eficiência da nuvem AWS.

¹ Noções básicas sobre a Amazon Cloud: 5 fatos que você precisa saber (https://n2ws.com/blog/5-facts-amazon-cloud-essentials.html)
² Participação de mercado da AWS vs Azure vs Google Cloud em 2017 ("https://www.skyhighnetworks.com/cloud-security-blog/microsoft-azure-closes-iaas-adoption-gap-with-amazon-aws/)