BLOG

Un point de vue commercial...

Miniature F5
F5
Publié le 15 janvier 2021

Au cours de la dernière année et demie, nous avons travaillé avec quelques grandes banques mondiales pour tester et évaluer nos solutions.

Pour être honnête, ces banques nous ont contactés car elles ont commencé à voir la nécessité de créer une stratégie de pointe et ont également commencé à réfléchir à la consommation de plusieurs clouds (mot à la mode : « Multi-cloud »), principalement de manière privée.

Il est important de faire une distinction entre le multicloud et les clouds multiples. De nombreuses entreprises commencent leur parcours en adoptant des offres de logiciels en tant que service (SaaS) telles qu’Office 365, Salesforce ou Workday comme premiers pas vers le cloud. Si cette première incursion est fructueuse, ces entreprises chercheront à tirer davantage parti du cloud en se tournant vers des applications plus complexes.

Pour d’autres, migrer vers le cloud est un exercice de « lift-and-shift ». Les applications sont hébergées dans AWS, Azure ou GCP plutôt que dans un centre de données privé. À mesure que les entreprises explorent les nuances opérationnelles de différents clouds, elles peuvent privilégier l’un ou l’autre pour des applications spécifiques, généralement en raison d’exigences économiques ou de performances.

La promesse du multicloud ne consiste toutefois pas simplement à fragmenter l’environnement informatique en fragments spécifiques au cloud qui englobent l’infrastructure et les opérations de domaines délimités. Le multicloud consiste à gérer des ressources distribuées, qu'elles résident dans un cloud privé ou public, comme une infrastructure unique et cohérente.

L'objectif ultime d'un environnement multicloud est en fait l'absence d'environnement - en d'autres termes, l'infrastructure doit être invisible et donc l'emplacement ne doit pas avoir d'importance.

Le début...

Et c’est là que nous avons commencé avec les grandes banques : l’adoption du SaaS.

Pour être plus précis, l’adoption d’Office 365 (désormais connu sous le nom de Microsoft 365) en tant que SaaS (mais cela pourrait être n’importe quel autre SaaS, en réalité).

L'adoption d'Office 365 en tant que SaaS entraîne une complexité supplémentaire car Office, en tant que suite d'applications, est utilisé et géré par des équipes informatiques internes depuis des ANNÉES... et en tant que tel, il est un peu plus complexe de modifier les processus que d'en adopter de nouveaux.

Et c’était vraiment la tâche que nous proposaient ces grandes banques. Permettez-moi d’écrire la tâche en termes simples : « Nous voulons connecter nos utilisateurs à Office 365 avec la même qualité d’expérience utilisateur qu’ils ont actuellement, mais avec les avantages supplémentaires de la plateforme Office 365, principalement en matière de collaboration. »

Ok, donc nous savons quelques choses :

  1. Office 365 (comme la plupart des plateformes SaaS) est accessible via Internet
  2. Internet n’offre pas une qualité de service
    un. PREMIER ENJEU – Comment garantir la qualité de l’expérience utilisateur ?
  3. L'accès à une plateforme SaaS via Internet peut enfreindre les mandats de sécurité CORP (dans des environnements hautement réglementés tels que ces grandes banques)
  4. L’accès à internet se fait via un proxy… via un proxy TCP
    b. DEUXIEME NUMÉRO – Et la voix et la vidéo ?

Bon, avant d’entrer dans les détails des éléments mentionnés ci-dessus, une question s’impose : « Quelle est, en réalité, la motivation pour passer d’Office sur site à l’offre SaaS d’Office 365 ? » Cette question pourrait également être formulée comme « Qu’est-ce qui, en réalité, motive le changement vers l’adoption des offres SaaS ».

Facteurs moteurs de l'activité

Eh bien, la réponse à cette question se résume aux facteurs économiques. Le premier facteur déterminant était d’ordre opérationnel, lié au fait que la maintenance des applications Microsoft Office sur site nécessite une infrastructure massive et une structure organisationnelle informatique complexe pour prendre en charge ces applications, y compris, mais sans s’y limiter, un certain nombre d’équipes/professionnels qui représentent une charge opérationnelle énorme.

Le deuxième objectif commercial était de savoir comment parvenir à une meilleure collaboration sans nuire à la sécurité.

Les banques mondiales ont une empreinte massivement distribuée en termes de centres de données, de campus, de succursales et de personnel. Et ils doivent connecter tout le monde. Ainsi, le fait d’avoir une main-d’œuvre largement dispersée complique la tâche de collaboration et l’adoption d’outils qui améliorent cette collaboration est indispensable. Mais si collaborer au sein de leur réseau d’entreprise en utilisant leur réseau privé peut être perçu comme sécurisé, le faire via Internet avec des personnes travaillant à domicile et connectées n’importe où comporte ses défis.

Alors comment parvenir à une collaboration sans nuire à la sécurité lorsque l’on dispose d’une main-d’œuvre massivement dispersée ? C'est là qu'interviennent les backbones privés : le transport du trafic sur un backbone privé est non seulement perçu comme sécurisé (comme indiqué ci-dessus), mais permet également à l'ingénierie du trafic d'atteindre une qualité d'expérience utilisateur. Et devinez quoi : les banques disposent déjà de leurs propres infrastructures privées. Alors, comment connecter leurs backbones directement au fournisseur SaaS pour garantir que le trafic reste privé de bout en bout ?

Il y a 2 réponses à cette question :

  1. Dans le cas d’Office 365, la plateforme Azure permet aux grandes entreprises de disposer de liens privés, dédiés et à haut débit vers son cloud appelés circuits ExpressRoute. Microsoft peut désormais relever le défi courant de latence et de performances en permettant aux employés de l’entreprise et aux systèmes VDI d’accéder à Office 365 via ce circuit ExpressRoute privé dédié.
  2. La deuxième option consiste à utiliser un fournisseur de services déjà connecté à ces fournisseurs SaaS et cloud avec des liens dédiés, via leur propre backbone privé – comme Volterra. (oui, dans cette option, vous n’avez pas besoin de votre propre backbone privé).

Creusons un peu plus profondément la première solution :

Il existe un ensemble de services dont une banque aura besoin pour se connecter et envoyer le trafic des employés à Office 365 via un circuit privé, ainsi que des services qui sont obligatoires lorsqu'une banque établit un nouveau circuit - qui est en quelque sorte une nouvelle DMZ, donc les services existants dans la DMZ doivent être là. L'ensemble minimum de services nécessaires est :

  • Pare-feu / routeur – car il est nécessaire de router vers les points de terminaison publics (oui, ils sont toujours publics) via ce circuit, de les injecter dans le réseau d’entreprise et de sécuriser tout cela en mettant en œuvre des politiques de pare-feu et de NAT
  • Proxy – car il est nécessaire de se conformer aux politiques CORP, comme la restriction des locataires (pour autoriser uniquement l’accès aux comptes d’entreprise via ce nouveau chemin et refuser l’accès aux comptes privés)
  • Équilibreur de charge – car il est nécessaire de répartir le trafic sur tous les services pour un traitement distribué et également pour une haute disponibilité.

L'image ci-dessous illustre ceci :

entreprise1

Ainsi, même si l’un des objectifs commerciaux était de réduire l’infrastructure et la charge opérationnelle, un large éventail de services et d’infrastructures sont toujours nécessaires pour maintenir cette option.

Cette approche comporte également certains défis liés à :

  1. Injection d'espace d'adresse IP publique dans le réseau d'entreprise
  2. Gérer les divers chemins dont disposent désormais les utilisateurs pour accéder aux services (circuit privé et internet)
  3. Maintenir les services/appareils nécessaires (comme décrit ci-dessus)

Entrez Volterra

Le service Volterra VoltMeshTM peut être déployé en tant que solution d'accès privé gérée SaaS pour les entreprises qui comprend un routeur d'application avec proxy programmable et un équilibreur de charge. Cette solution peut simplifier les implémentations d’ExpressRoute et surmonter les obstacles de sécurité créés par les modifications apportées à l’architecture du réseau interne. Cette solution Volterra permet aux entreprises de fournir aux employés les avantages d'ExpressRoute vers Office 365 et les services d'application associés, tout en supprimant avec élégance le besoin de déployer et/ou de gérer une infrastructure réseau et des politiques de sécurité complexes.

À un niveau élevé, l’entreprise disposera de VoltMesh déployé dans un ou plusieurs emplacements de l’entreprise et en liaison avec le routeur Azure ExpressRoute où Microsoft présente les itinéraires/services Office 365. VoltMesh effectue la découverte automatisée des points de terminaison Office 365 via ce routeur, permettant aux entreprises d'accéder aux services Office 365 en implémentant les composants d'infrastructure requis (pare-feu, routeur, proxy, équilibrage de charge) de manière distribuée et en supprimant ainsi la latence potentielle (le trafic n'atteint qu'un seul appareil), le risque (la complexité du routage est supprimée) et en garantissant une expérience utilisateur optimale.

L'image ci-dessous illustre ceci :

entreprise2

Principaux points de comparaison en un coup d'œil :

Vous trouverez ci-dessous un aperçu rapide d’une solution par rapport à l’autre, côte à côte :

entreprise3

Aperçu opérationnel

Maintenant que nous avons couvert les aspects techniques des solutions et leurs avantages, nous devons nous concentrer sur les moteurs commerciaux mentionnés au début de cet article et voir quel est l’impact opérationnel de l’une par rapport à l’autre.

D’après ce que nous avons abordé précédemment, il y a certains éléments opérationnels sur lesquels nous devrions nous concentrer. Ces éléments d'opération sont :

  1. Ajout de capacité à l'infrastructure qui se connecte à Office 365 – dans ce scénario, nous devons comparer que d'un côté, nous ajoutons de la capacité à 3 couches différentes et 3 appareils différents (pare-feu, proxy et équilibreur de charge) et de l'autre côté – Volterra – nous devons simplement ajouter une boîte qui se mettra automatiquement en cluster.

Vous trouverez ci-dessous un aperçu de cette comparaison :

entreprise4
  1. Modifier les configurations – Office 365 modifie ou ajoute souvent des points de terminaison. Afin de maintenir la fonctionnalité normale, ces points de terminaison doivent être mis à jour et autorisés sur les 3 appareils. Avec Volterra, grâce à la découverte automatique des points de terminaison, ce processus est automatique comme indiqué ci-dessous :

Vous trouverez ci-dessous un aperçu de cette comparaison :

entreprise5
  1. Mises à niveau – Qu'il s'agisse de mises à niveau du logiciel, du système d'exploitation ou du micrologiciel, ces boîtiers devront être mis à niveau. Les mises à niveau de Volterra sont effectuées en tant que flotte de sites/appareils. Vous cliquez une fois et le processus de roulement démarre.

Vous trouverez ci-dessous un aperçu de cette comparaison :

entreprise6
  1. Dépannage – Il s’agit probablement de la tâche qui se produira le plus fréquemment – les utilisateurs se plaignent – et pour chaque plainte, l’infrastructure est souvent blâmée avant que tout autre dépannage ne soit effectué. Le dépannage de l’infrastructure sur plusieurs appareils, souvent gérés par différentes équipes, est un processus long et très difficile à corréler. VoltMesh offre une corrélation automatique entre tous les services déployés et toutes les équipes (NetOps, SecOps, DevOps et développeurs) ont la même vue et peuvent obtenir toutes les informations déjà corrélées dans les tableaux de bord d'observabilité fournis.

Vous trouverez ci-dessous un aperçu de cette comparaison :

entreprise7

Aperçu annuel

Alors, qu'est-ce que tout cela signifie et comment cela se traduit-il en termes de répartition opérationnelle en fin d'année ?

Dans cet exercice, nous avons dû faire quelques hypothèses afin d’obtenir les chiffres totaux à la fin de l’année. Les hypothèses que nous avons faites étaient les suivantes :

  1. Ajout de capacité – nous avons supposé que la capacité devrait être ajoutée une fois par an
  2. Modifications de configuration – nous avons supposé qu’il y aurait une modification de configuration chaque mois. Cela correspond à ce que Microsoft écrit sur la fréquence à laquelle l'adressage et la dénomination de leurs points de terminaison peuvent changer/ajouter
  3. Mises à niveau – nous avons supposé que 6 mises à niveau sont effectuées par an
  4. Dépannage – nous avons supposé qu’il serait nécessaire de résoudre deux situations par semaine. Il s’agit probablement d’une hypothèse optimiste, mais nous ne voulions pas surcharger le calcul.

Ainsi, sur la base des hypothèses ci-dessus, nous avons élaboré l’aperçu annuel des dépenses opérationnelles ci-dessous :

entreprise8

Conclusion

Oui, c’est une différence énorme, une différence que Volterra et sa plateforme SaaS ont été créées précisément pour résoudre : le problème du coût élevé des opérations et du temps nécessaire. Depuis très longtemps, on assiste à une prolifération des infrastructures, qui augmente de manière exponentielle à mesure que les entreprises se développent, ce qui entraîne une croissance de la main-d’œuvre et crée de nouveaux besoins.

La collaboration entre les équipes est de plus en plus importante, non seulement pour éviter que chaque équipe fasse son propre « truc », mais aussi pour éviter les conflits et s'assurer que chaque « truc » s'aligne sur la stratégie commerciale et l'objectif final et ne brise aucun autre « truc » (des autres équipes).

Chez Volterra, nous avons conçu une solution complète pour connecter et sécuriser les applications modernes via un seul service basé sur SaaS, VoltMesh. Nous pensons qu'il répond à la majorité des nouvelles exigences en matière de réseau et de sécurité app-2-app et user-2-app. Volterra a été conçu dans un souci de collaboration entre toutes les équipes (NetOps, SecOps, DevOps et développeurs), en veillant à ce que toute la configuration, la stratégie et le déploiement d'un service soient disponibles pour toutes les autres équipes, qu'elles puissent les consommer ou les observer.

Volterra propose actuellement un service freemium de VoltMesh (y compris son équilibreur de charge/passerelle d'entrée-sortie distribué à l'échelle mondiale unique + pare-feu + proxy + routeur + passerelle API + découverte automatique et contrôle des API) — et vous êtes invités à l'essayer par vous-même dès aujourd'hui .