F5 Global Services erhält Cloud-Sicherheit, die sogar ein Entwicklerteam lieben würde

F5 Global Services bietet F5-Kunden, Partnern und Mitarbeiterteams auf der ganzen Welt Bereitstellungsunterstützung, Schulungen, Zertifizierungen und andere Ressourcen. Eine dieser Ressourcen ist PartnerNet, eine Plattform, die F5-Vertriebspartner für Compliance-Berichte und zum Verfolgen von Kennzahlen wie Ingenieurzertifizierungen und Verkaufsleistung im Vergleich zu Rabattprogrammen verwenden. Diese Plattform und die Suite aus Apps und Tools, die sie unterstützen, werden im Rahmen umfassenderer Modernisierungsbemühungen, deren Ziele unter anderem eine höhere Effizienz, eine vereinfachte Verwaltung und eine verbesserte Leistung sind, schrittweise vom lokalen Hosting in eine Azure-Cloud verschoben. 

Die Frage war, wie sich auch die Sicherheit und Leistung gewährleisten lässt, die zuvor durch lokale Stacks bereitgestellt wurde, die aus BIG-IP Application Security Manager (ASM) und anderen Modulen der BIG-IP-Produktfamilie bestehen. 

„Wir brauchten natürlich eine Web Application Firewall (WAF) und eine DDoS-Lösung“, sagt Jason Sustarich, leitender Softwareentwickler bei F5 und Leiter des Entwicklungsteams, das vor Kurzem die ersten Teile der Migration abgeschlossen hat. 

Weitere Ziele waren eine verbesserte Sichtbarkeit und Verwaltbarkeit. Die vorhandenen Sicherheits- und Leistungslösungen vor Ort wurden von einem anderen Team verwaltet, sodass Sustarichs Team nur schwer auf die Telemetrie zugreifen konnte.

„Als Entwicklerteam hatten wir bisher keinerlei Einblick in die WAF-Treffer oder wussten nicht, warum die WAF einen Fehler zurückgab“, sagt Sustarich. „Das erschwerte die Behebung von Unregelmäßigkeiten im Rahmen unserer PartnerNet-Wartung. Wir wollten diese Architektur dahin bringen, wo wir sehen konnten, was vor sich ging, und es verwalten konnten.“

Der Umzug in die Cloud stellte somit eine Chance dar. Sustarich begann sich im Grunde zu fragen: „Kann ich bekommen, was ich suche, und kann ich dies auf automatisierte Weise tun und dabei alle Sicherheitskontrollen einhalten, die ich einhalten muss?“

Sein Team erwog den nativen WAF- und DDoS-Schutz von Azure, stellte jedoch fest, dass diese „extrem teuer“ seien. Die Einrichtung einer anderen App-Sicherheitsoption war zu kompliziert. „Ich programmiere und selbst ich dachte, es wäre kompliziert!“ sagt Sustarich.

Mitte 2021, als die seit langem geplante Migration näher rückte, begann Sustarich, die F5 Distributed Cloud Services zu erkunden, die noch nicht öffentlich im Azure Marketplace eingeführt worden waren. (Es wurde Anfang 2022 zum Azure Marketplace hinzugefügt.)

Distributed Cloud Services sind SaaS-basierte Lösungen für Sicherheit, Netzwerktechnik sowie Anwendungsverwaltung und -bereitstellung, die in mehreren Clouds, vor Ort und an Edge-Standorten eingesetzt werden können. Sustarich gefiel, was er darüber erfuhr, wie einfach es war, einen Mandanten einzurichten und wie intuitiv sein Team mit Distributed Cloud-Produkten arbeiten konnte, vom Aufrufen der Automatisierung bis zum Suchen von API-Informationen zur Integration in kritische Entwicklungs-Workflows.

Nach der architektonischen Gestaltung und dem Proof of Concept Anfang 2022 und einer anschließenden Bewertung des Bedrohungsmodells ging PartnerNet im Herbst 2022 mit Distributed Cloud WAF, Distributed Cloud DDoS Mitigation und Distributed Cloud DNS in Azure live. Der gesamte PartnerNet-Datenverkehr wurde an die Distributed Cloud Platform weitergeleitet, die den bereinigten Datenverkehr an die öffentlichen Azure-Endpunkte für die Site weiterleitete. 

Das Global Services-Team war mit den Ergebnissen so zufrieden, dass es nach der Veröffentlichung dieses Produkts im September 2022 die Funktionalität Distributed Cloud Content Delivery Network (CDN) hinzufügte. Durch das CDN kann Global Services Latenzprobleme lösen, die zuvor nicht behoben werden konnten, beispielsweise durch die einfache Verschiebung von Assets wie Drittanbieterbibliotheken in andere Regionen. Gleichzeitig schreitet die sichere Migration zusätzlicher Komponenten in beschleunigtem Tempo voran.

Die Cloud-Strategie von Global Services zahlt sich bereits in Bezug auf Kosten, Agilität und Benutzerfreundlichkeit aus, während Distributed Cloud Services mit Funktionen wie der Möglichkeit, sichere Entwicklungsinstanzen schnell hinzuzufügen und zu entfernen, Zeit sparen und die Effizienz des Entwicklungsteams verbessern. 

„Die Programmierbarkeit und Einfachheit – das ist es, was mir wirklich gefällt“, sagt Sustarich. „Das Ziel besteht darin, die Effizienz der Softwareentwickler zu maximieren, und dafür ist es wirklich gut.“

Beispielsweise kann jetzt jeder Ingenieur seine eigene Entwicklungsumgebung erstellen, um an punktuellen Korrekturen oder Aufgaben zu arbeiten. „Sie drücken die Taste, holen sich einen Kaffee und kommen zurück, und alles wird für Sie erledigt“, sagt Sustarich. „Keine monate- oder wochenlange Konfiguration. Das ist ein großer Bonus.“

Die Cloud-Strategie von Global Services zahlt sich bereits in Bezug auf Kosten, Agilität und Benutzerfreundlichkeit aus, während Distributed Cloud Services mit Funktionen wie der Möglichkeit, sichere Entwicklungsinstanzen schnell hinzuzufügen und zu entfernen, Zeit sparen und die Effizienz des Entwicklungsteams verbessern. 

„Die Programmierbarkeit und Einfachheit – das ist es, was mir wirklich gefällt“, sagt Sustarich. „Das Ziel besteht darin, die Effizienz der Softwareentwickler zu maximieren, und dafür ist es wirklich gut.“

Beispielsweise kann jetzt jeder Ingenieur seine eigene Entwicklungsumgebung erstellen, um an punktuellen Korrekturen oder Aufgaben zu arbeiten. „Sie drücken die Taste, holen sich einen Kaffee und kommen zurück, und alles wird für Sie erledigt“, sagt Sustarich. „Keine monate- oder wochenlange Konfiguration. Das ist ein großer Bonus.“

Sustarich schätzt auch die durch Distributed Cloud Services bereitgestellte Beobachtbarkeit. Beispielsweise kann das Entwicklerteam jetzt WAF-Blockierungsaktionen mit Kontextinformationen überprüfen, was dem Team dabei half, einen wiederkehrenden Fehler schnell zu beheben. „Der Fehler kam auf unserer alten Plattform durch und hätte das wahrscheinlich nicht tun dürfen. „Es war definitiv falsch“, sagt Sustarich. „Jetzt haben wir es korrigiert, was gut ist, und die vollständige Sichtbarkeit hat das viel schneller gemacht.“

Darüber hinaus reduzierten die verteilten Cloud-Dienste den Gesamtverbrauch an Cloud-Ressourcen von PartnerNet. Er sagt: „Ich kann direkt auf dem Dashboard sehen, wie viel Bandbreite eingespart wird, also wissen wir, dass wir Geld sparen.“ 

Verteilte Cloud-Dienste können zu einer veränderten Einstellung des Entwicklerteams führen. „Entwickler mögen Sicherheit nicht“, sagt Sustarich lachend. „Es ist zeitaufwendig. Wir haben ein kleines Team, nur vier Ingenieure, und wir tragen eine große Verantwortung, deshalb müssen wir so viel wie möglich automatisieren. Verteilte Cloud-Dienste ermöglichen uns die Automatisierung.“

Auf diese Weise fördert die Lösung eine sicherere Agilität. Er sagt: „Wir haben die Strategie verfolgt, flexibel zu sein und schnell zu reagieren und uns zu verändern.“

Das freut das Entwicklerteam und den CISO gleichermaßen. Senior Vice President und CISO Gail Coury sagt: „Angesichts des Drucks, dem DevOps heute ausgesetzt ist, unterschätzen viele Leute, wie sich technische Risiken auf das Geschäft auswirken. Verteilte Cloud-Dienste stellen sicher, dass unser Unternehmen, unsere Kunden und Partner geschützt bleiben, während wir unsere Geschäfts- und IT-Geschwindigkeit steigern.“

Sustarich fügt lächelnd hinzu: „Wenn mein CISO glücklich ist, bin ich im Allgemeinen auch glücklich.“

Alle Kundengeschichten ansehen