BLOG

Pourquoi il est important d'être à jour sur le code

Vignette d'Edward O'Connell
Edward O'Connell
Publié le 02 juin 2016

Mettre à niveau ou pas. C'est la question. Tout administrateur informatique sait que la mise à niveau de l’infrastructure n’est pas une mince affaire. Cela prend du temps, nécessite une planification, du travail en dehors des heures de travail et a parfois un impact sur les opérations commerciales. Et nous avons tous connu une « mise à niveau » qui a en réalité dégradé la fonctionnalité de nos opérations quotidiennes.

Mais comme les bugs, les vulnérabilités découvertes ou le besoin de nouvelles fonctionnalités continuent d’avoir un impact sur l’informatique des entreprises, éviter les mises à niveau est devenu plus problématique que jamais. Alors qu’auparavant les entreprises ne réfléchissaient pas trop à l’opportunité de rester à l’écart d’une partie, aujourd’hui, chaque entreprise doit évaluer les coûts liés à l’évitement d’une mise à niveau par rapport à la mise à niveau elle-même. Et il faut aussi l’accepter lorsqu’ils font ces calculs même s’ils ne peuvent pas toujours connaître à l’avance tous les coûts réels. Cela dit, la pratique consistant à éviter les mises à niveau conduit rarement, voire jamais, à l’innovation et au succès commercial.

Les fournisseurs de réseaux développent des fonctionnalités logicielles qui pilotent leurs produits en utilisant une combinaison des entrées suivantes pour fournir les meilleures versions possibles :

  • Fonctionnalités de produit nouvelles ou améliorées innovantes
  • Prise en charge des protocoles industriels nouveaux ou en évolution
  • 3intégration tierce
  • Pour assurer la sécurité du système
  • Demandes de fonctionnalités des clients ou de l'industrie

Chez F5, la gestion des produits et l'ingénierie mettent tout en œuvre pour planifier les versions du logiciel BIG-IP , conçues pour équilibrer ces apports afin de répondre aux besoins d'infrastructure et aux exigences des applications des clients tout en gardant la sécurité au premier plan. Équilibrer l’innovation et l’intégration avec la sécurité est devenu une exigence compte tenu de l’augmentation continue du piratage et des attaques. Cette complexité est d’autant plus grande que parfois les clients ou certains secteurs nécessitent une modification ou une variante des fonctionnalités d’un produit existant pour répondre plus précisément à leurs besoins. Ces demandes d’amélioration (RFE) sont importantes pour répondre aux besoins des clients ou des segments de marché.

Présentation de BIG-IP v12.1. Pourquoi passer à cette version supérieure ?

Le 19 mai, F5 a publié BIG-IP v12.1 et cette version rend la décision de mise à niveau assez facile. Tout d’abord, la version 12.1 est une version de maintenance renforcée à long terme (5 ans avec correctifs) sur laquelle les organisations informatiques peuvent compter pour le support pendant les cinq prochaines années (avec correctifs).

Deuxièmement, cette version propose de nouvelles fonctionnalités importantes qui peuvent aider les entreprises à piloter leurs opérations vers l’avenir. Vous trouverez ci-dessous quelques-unes des nouvelles fonctionnalités de BIG-IP v12.1 qui sont importantes pour stimuler l'innovation informatique :

Noyau BIG-IP

BIG-IP v12.1 introduit une application de politiques de trafic local mise à jour qui simplifie la manière dont vous pouvez gérer votre trafic. Les politiques de trafic local BIG-IP sont une simple liste prioritaire de règles qui correspondent à des conditions définies et exécutent des actions spécifiques, dirigeant votre trafic en conséquence. F5 a optimisé ces politiques de trafic locales en mettant l’accent sur les performances et la simplicité opérationnelle.

Une autre bonne raison de procéder à une mise à niveau est la programmabilité étendue des services de base activés avec iRules LX. Avec BIG-IP v12.1, F5 permet l'utilisation de packages Node.js (250 000 bibliothèques) en conjonction avec TCL. Cela permet aux programmeurs JavaScript d'utiliser iRules LX pour intégrer facilement des bibliothèques Node.js éprouvées et réutilisables, ce qui donne lieu à de nouvelles méthodes puissantes pour manipuler et diriger le trafic.

Cloud public et privé

BIG-IP v12.1 s’appuie également de manière significative sur la prise en charge de F5 pour l’intégration du cloud public. Les fonctionnalités du pare-feu application Web (WAF) F5 sont désormais prises en charge pour Azure Security Center pour une installation et une protection plus rapides des applications professionnelles critiques. La prise en charge d'Amazon Web Services est étendue grâce à la prise en charge du basculement avec état et de la mise à l'échelle automatique de VE pour offrir une fiabilité et une évolutivité accrues.

L'intégration dans le cloud est également étendue avec un meilleur support OpenStack. BIG-IP v12.1 permet l'orchestration basée sur OpenStack avec des plug-ins LBaaS open source développés par F5, des modèles d'orchestration Heat et des intégrations de partenaires certifiés. Cette intégration OpenStack permet une agilité accrue et un délai de mise sur le marché réduit grâce au déploiement automatisé de services d’application L4-L7 complets.

Sécurité

F5 BIG-IP Application Security Manager (ASM) fournit une protection WAF et est amélioré avec deux fonctionnalités uniques. Il offre désormais une visibilité et une protection pour les flux de données en streaming basés sur WebSocket afin d'atténuer le vol de données ou les attaques. F5 est le premier et le seul fournisseur WAF à offrir une protection renforcée des flux WebSocket.

La deuxième amélioration est une identification et un suivi plus approfondis des appareils à l’origine des attaques. ASM suit les empreintes uniques des applications clientes sur plusieurs requêtes pour offrir une meilleure protection contre le scraping Web, le L7DoS volumétrique et la connexion par force brute. Cette capacité de suivi plus approfondie des appareils contribue également à la reconnaissance des sessions et à la notation de confiance du générateur de politiques, et contribue de manière unique à la prévention du détournement de session. Aucune autre solution de protection WAF ne dispose d’une capacité de suivi approfondie de l’ID de l’appareil qui permet de suivre un serveur ou un appareil malveillant lors d’une attaque.

F5 BIG-IP Advanced Firewall Manager (AFM) a également été étendu pour fournir certains services uniques. Un proxy de canal SSH a été ajouté pour empêcher l'accès par porte dérobée. Les administrateurs peuvent facilement configurer AFM pour agir comme un proxy SSH filtrant les commandes exécutées dans le canal SSH pour bloquer ou autoriser les demandes en fonction de l'utilisateur et du groupe. Cela permet à AFM de se protéger contre les accès non autorisé aux systèmes et aux ressources et de se protéger contre la propagation de logiciels malveillants dans le centre de données.

Un autre ajout à F5 AFM est la réduction de la surface d'attaque avec une protection contre les applications évasives telles que la messagerie instantanée, les programmes P2P et le tunneling non autorisé vers le réseau. Les capacités améliorées d’AFM distinguent les protocoles de couche 7 autorisés pour chaque port de destination, suivent l’utilisation du port et indiquent les mesures à prendre lorsqu’une mauvaise utilisation du port est détectée. Il utilise moins de frais généraux que ses concurrents et est facile à configurer avec une politique d'utilisation abusive des ports qui s'attache aux politiques de sécurité spécifiant le protocole de couche 7 attendu, détectant les incompatibilités et enregistrant/supprimant les incompatibilités.

La protection DDoS intégrée à AFM est également améliorée avec la version 12.1 via une simplification et une plus grande précision des paramètres DDoS avec apprentissage automatique des paramètres de seuil DDoS sur les vecteurs DoS globaux. Les seuils seront définis en fonction des modèles de trafic historiques qui persistent même après un redémarrage.

Pour faciliter la mise à niveau vers BIG-IP v12.1 et les versions futures, F5 a introduit BIG-IP Upgrade Advisor. Cet outil est conçu pour identifier les problèmes potentiels qui pourraient avoir un impact sur les mises à niveau de BIG-IP, aidant ainsi les administrateurs à prendre des décisions sur le moment et la manière de procéder à la mise à niveau. En utilisant les données de BIG-IP iHealth , Upgrade Advisor fournit des conseils spécifiques à un BIG-IP en fonction de sa configuration, de la version du logiciel qu'il exécute actuellement et de la version vers laquelle vous prévoyez de mettre à niveau.  Upgrade Advisor est une application en constante évolution. Gardez donc à l'esprit que lorsque vous vous asseyez pour effectuer une analyse, les résultats d'Upgrade Advisor vont évoluer au fil du temps avec des données supplémentaires entrant dans le système. Cela rendra la mise à niveau vers les versions ultérieures de BIG-IP encore plus facile, car l' application crée une base de connaissances approfondie à partir de laquelle elle peut mieux identifier les problèmes.

En fin de compte, la question n’est pas de mettre à niveau ou non, mais plutôt d’« innover ou non ». L’innovation est étouffée si infrastructure réseau n’est pas à jour.

Pour en savoir plus sur la version BIG-IP v12.1 et les améliorations apportées aux modules application F5 Security et iRules LX, veuillez consulter les éléments suivants :