BIG IP Cloud Edition : Quand F5 s’attaque au cloud

Publié par Anne ANDRIANARIMANANA le

BIG IP Cloud Edition : Quand F5 s’attaque au cloud

Dans leur rapport 2018 dédié à l’état de la gestion des applications, F5 ressort avec des conclusions très claires : la transformation digitale des entreprises s’accroit rapidement. Les entreprises reposent de plus en plus sur le multi-cloud pour le déploiement de leurs applications, utilisent d’avantage d’outils d’automatisation et d’orchestration, et déploient plus de Web Application Firewalls (WAFs) pour sécuriser leurs applications. C’est sans doute pour répondre à ces besoins que la firme américaine a présenté, il y a quelques semaines, leur nouveau produit : F5 BIG IP Cloud Edition.

BIG-IP cloud Edition, grâce à la combinaison de deux composants centraux, BIG-IP per-App VE et BIG-IQ Centralized Management 6.0, permet de répondre plus rapidement aux besoins du métier, avec un déploiement d’application plus souple, une capacité de croissance à la demande, ainsi qu’une sécurité plus accrue grâce au module F5 Advanced WAF.  

Architecture globale BIP-IP Cloud Edition

BIG-IP per-App VE

Dans le modèle traditionnel des BIG-IP, la multiplicité des applications hébergées sur le F5 rend sa criticité plus importante et donc des opérations délicates (peur des effets de bord, difficulté de trouver des fenétre d’exploitation etc ).

Avec l’édition BIG-IP per-App VE, chaque application peut être crée sur une instance virtuelle dédiée, ce qui permet une gestion plus simple et décorrélée des autres applications. F5 a également beaucoup travaillé sur les instances virtuelles en réduisant leur empreinte sur l’infrastructure, tout en optimisant leur temps de démarrage. 

L’instance virtuelle fournie par défaut a des caractéristiques assez limitées : 

  • Une seule IP virtuelle 
  • Trois serveurs virtuels 
  • Un débit de 25 Mbps ou 200 Mbps
  • Une capacité de stockage de 9 Gb ou 40 Gb 

BIG-IQ Centralized Management 6.0

Cette nouvelle mouture de la console de management F5 constitue le point d’entrée unique pour la création, l’orchestration et la supervision des instances virtuelles. Elle comporte plusieurs composants logiques qui constituent une nouveauté ou une amélioration par rapport aux versions précédentes de BIG-IQ.

Application performance visibility : 

BIG-IQ permet de collecter des données sur les applications et l’infrastructure ainsi que les affiches  sous forme de dashboard. Ce genre de portail permet aux responsables applicatifs de mieux superviser leurs applications et d’identifier les problèmes. 

Application template

Concept proche des iApps, qui vont permettre aux administrateurs de big IQ de créer des templates de configuration et de les mettre à disposition des personnes qui vont utiliser ces services. 

Gestion des licences

Cette fonctionnalité donne la possibilité à Big IQ d’utiliser un pool de licences, pour les attribuer lors de la création des instances VE ou de les révoquer lorsque l’on souhaite dé-provisionner un VE.

Gestion des mises à jour 

La méthodologie utilisée permet de construire, dans un premier temps, une machine virtuelle dans la nouvelle version souhaitée puis basculer petit à petit le trafic vers cette nouvelle version. Une fois que l’on est sûr que le trafic passe bien, on dé-provisionne les anciennes machines tout en continuant à créer un nombre équivalent de nouvelles machines qui sont dans la nouvelles version.

Gestion d’accès granulaire (RBAC)

Big-IQ cloud Edition utilise une gestion d’accès granulaire, ce qui permet à chacun d’accéder uniquement à ce dont il a besoin, selon son domaine de compétences. Par exemple, un responsable applicatif pourra utiliser des applications templates pour le déploiement de son application. Template qui aura été créé par les administrateurs F5. Les administrateurs Sécurité pourront, quant à eux, créer des règles WAF adaptées pour chaque application.

Advanced Web application firewall (WAF): 

F5 continue à mettre la sécurité au cœur de sa stratégie de développement, en proposant une nouvelle version de son WAF, qui – on le rappelle – est leader sur le marché dans ce segment. En plus de proposer toutes les fonctionnalités traditionnelles pour la protection web contre les vulnérabilités connues, Advanced WAF propose également des fonctionnalités avancées qu’on ne retrouve pas dans les WAF, comme par exemple la détection de bots et leur blocage, la protection avancée contre le DDOS niveau 7 ainsi que le chiffrement de données sensibles des utilisateurs. 

Le module Advanced WAF est inclus par défaut dans toutes les instances VE déployées. 

Fournisseurs de service Cloud

Dans la version actuelle du Big-IQ Cloud Edition, la possibilité de déployer des instances virtuelles VE existe actuellement dans le cloud Amazon Web Services (AWS) pour ce qui est du Cloud publique, et dans VMware vCenter-based pour le cloud privé. 

Pourquoi choisir BIG-IP Cloud Edition ? 

L’un des principaux avantages du Cloud Edition, c’est la segmentation de l’architecture par application qui amène beaucoup plus de flexibilité dans la gestion quotidienne du F5 et surtout plus de sécurité. 

Dans notre architecture F5 traditionnelle, lorsque l’on a une application infectée, il est très difficile de localiser l’application faillible. De plus, le risque de propagation de l’infection vers les autres applications est élevé. 

Dans l’architecture Cloud Edition, ce risque est éliminé puisque l’isolation empêche toute propagation de l’infection. D’autres avantages sont à mettre au crédit de cette version, et bien d’autres fonctionnalités sont attendues dans les versions futures.  

Mouloud CHEBREK

Consultant EVA Group
Catégories : EVATECH