L'organisation de support client et partenaire F5, F5 Global Services, a adopté F5 Distributed Cloud Services pour protéger les ressources Web migrées vers un cloud Azure. La solution a amélioré la sécurité, la visibilité et les coûts par rapport aux alternatives tout en permettant une plus grande automatisation, en simplifiant les processus de gestion et de développement d'applications et en réduisant la consommation de bande passante du cloud.
F5 Global Services fournit aux clients, partenaires et équipes d'employés de F5 dans le monde entier un support de déploiement, une formation, une certification et d'autres ressources. L’une de ces ressources est PartnerNet, une plateforme que les partenaires de distribution F5 utilisent pour générer des rapports de conformité et pour suivre des indicateurs tels que les certifications d’ingénieurs et les performances de vente par rapport aux programmes de remise. Cette plateforme et la suite d'applications et d'outils qui l'alimentent sont progressivement déplacées de l'hébergement sur site vers un cloud Azure dans le cadre d'un effort de modernisation plus large dont les objectifs incluent une efficacité accrue, une gestion simplifiée et des performances améliorées.
La question était de savoir comment garantir également la sécurité et les performances précédemment fournies par les piles sur site composées de BIG-IP Application Security Manager (ASM) et d'autres modules de la famille de produits BIG-IP.
« Nous avions évidemment besoin d'un pare-feu d'application Web (WAF) et d'une solution DDoS », explique Jason Sustarich, ingénieur logiciel principal senior chez F5, qui dirige l'équipe de développement qui a récemment terminé les premières étapes de la migration.
L’amélioration de la visibilité et de la facilité de gestion étaient des objectifs supplémentaires. Les solutions de sécurité et de performance existantes sur site étaient gérées par une autre équipe, de sorte que la télémétrie était difficilement accessible pour l’équipe de Sustarich.
« En tant qu'équipe de développement, nous n'avions auparavant aucune visibilité sur les hits du WAF ou sur la raison pour laquelle le WAF renvoyait une erreur », explique Sustarich. « Cela a rendu difficile la résolution des anomalies dans le cadre de notre maintenance PartnerNet. Nous voulions déplacer cette architecture là où nous pourrions voir ce qui se passait et le gérer.
Le passage au cloud a donc représenté une opportunité. En fait, Sustarich a commencé à se demander : « Puis-je obtenir ce que je recherche et puis-je le faire de manière automatisée avec tous les contrôles de sécurité que je dois respecter ? »
Son équipe a envisagé la protection WAF et DDoS native d'Azure, mais les a trouvées « extrêmement coûteuses ». Une autre option de sécurité de l’application était trop compliquée à configurer. « Je code, et même moi je pensais que c'était compliqué ! » Sustarich dit.
À la mi-2021, à l’approche de la migration planifiée de longue date, Sustarich a commencé à explorer les services cloud distribués F5, qui n’avaient pas encore été lancés publiquement sur la place de marché Azure. (Il a été ajouté à la place de marché Azure début 2022.)
Les services cloud distribués sont des solutions de sécurité, de mise en réseau et de gestion et de distribution d'applications basées sur SaaS qui peuvent être déployées sur des sites multicloud, sur site et en périphérie. Sustarich a apprécié ce qu'il a appris sur la facilité de configuration d'un locataire et sur la manière intuitive avec laquelle son équipe pouvait travailler avec les produits Distributed Cloud, de l'appel à l'automatisation à la recherche d'informations API à intégrer dans les flux de travail de développement critiques.
Après la conception architecturale et le travail de preuve de concept début 2022 et une évaluation ultérieure du modèle de menace, PartnerNet a été mis en service dans Azure avec Distributed Cloud WAF, Distributed Cloud DDoS Mitigation et Distributed Cloud DNS à l'automne 2022. Tout le trafic PartnerNet a été acheminé vers la plateforme cloud distribuée, qui a transmis le trafic nettoyé aux points de terminaison publics Azure du site.
L'équipe des services mondiaux a été tellement satisfaite des résultats qu'elle a ensuite ajouté la fonctionnalité Distributed Cloud Content Delivery Network (CDN) après la sortie de ce produit en septembre 2022. Le CDN permet à Global Services de résoudre les problèmes de latence qu’il ne pouvait pas résoudre auparavant, par exemple en déplaçant facilement des ressources telles que des bibliothèques tierces vers d’autres régions. Pendant ce temps, la migration sécurisée de composants supplémentaires se poursuit à un rythme accéléré.
La stratégie cloud de Global Services porte déjà ses fruits en termes de coûts, d’agilité et d’expérience utilisateur, tandis que les services cloud distribués permettent de gagner du temps et d’améliorer l’efficacité de l’équipe de développement grâce à des fonctionnalités telles que la possibilité d’ajouter et de supprimer rapidement des instances de développement sécurisées.
« C’est la programmabilité et la simplicité du système qui me plaisent vraiment », déclare Sustarich. « L’objectif est de maximiser l’efficacité des ingénieurs logiciels, et c’est vraiment bien pour cela. »
Par exemple, chaque ingénieur peut désormais créer son propre environnement de développement pour travailler sur des correctifs ou des tâches ponctuelles. « Vous appuyez sur le bouton, vous allez prendre un café et vous revenez, et tout sera fait pour vous », explique Sustarich. « Pas de mois ou de semaines de configuration. C’est un gros bonus.
La stratégie cloud de Global Services porte déjà ses fruits en termes de coûts, d’agilité et d’expérience utilisateur, tandis que les services cloud distribués permettent de gagner du temps et d’améliorer l’efficacité de l’équipe de développement grâce à des fonctionnalités telles que la possibilité d’ajouter et de supprimer rapidement des instances de développement sécurisées.
« C’est la programmabilité et la simplicité du système qui me plaisent vraiment », déclare Sustarich. « L’objectif est de maximiser l’efficacité des ingénieurs logiciels, et c’est vraiment bien pour cela. »
Par exemple, chaque ingénieur peut désormais créer son propre environnement de développement pour travailler sur des correctifs ou des tâches ponctuelles. « Vous appuyez sur le bouton, vous allez prendre un café et vous revenez, et tout sera fait pour vous », explique Sustarich. « Pas de mois ou de semaines de configuration. C’est un gros bonus.
Sustarich apprécie également l’observabilité offerte par les services cloud distribués. Par exemple, l’équipe de développement peut désormais examiner les actions de blocage du WAF avec des informations contextuelles, ce qui a aidé l’équipe à résoudre rapidement une erreur récurrente. « L’erreur se produisait sur notre ancienne plateforme et n’aurait probablement pas dû se produire. « C’était définitivement une erreur », déclare Sustarich. « Nous avons maintenant corrigé le problème, ce qui est une bonne chose, et la visibilité totale a rendu cela beaucoup plus rapide. »
Les services cloud distribués ont également réduit la consommation globale de ressources cloud de PartnerNet. Il dit : « Je peux voir directement sur le tableau de bord combien de bande passante est économisée, donc nous savons que nous économisons de l’argent. »
Les services Cloud distribués peuvent changer les attitudes au sein de l'équipe de développement. « Les développeurs n’aiment pas la sécurité », dit Sustarich en riant. « Cela prend du temps. Nous avons une petite équipe, seulement quatre ingénieurs, et nous sommes responsables de beaucoup de choses, nous devons donc automatiser autant que possible. « Les services cloud distribués nous permettent d'automatiser. »
Ce faisant, la solution favorise une agilité plus sécurisée. Il déclare : « Nous avons adopté une stratégie d’agilité et de rapidité de réaction et de changement. »
Cela plaît à la fois à l’équipe de développement et au RSSI. Gail Coury, vice-présidente principale et CISO, déclare : « Avec les pressions exercées sur DevOps aujourd'hui, de nombreuses personnes sous-estiment la manière dont le risque technique se traduit par un impact commercial. Les services de cloud distribués garantissent que notre entreprise, nos clients et nos partenaires restent protégés à mesure que nous augmentons notre activité et notre vitesse informatique.
Sustarich ajoute avec un sourire : « Si mon RSSI est content, je le serai généralement aussi. »