Elastický a bezpečný cloud: Application Connector od F5 je nyní dostupný i pro Microsoft Azure

cloud

f5Firmy mají nainstalovaný velký výkon ve stávajících datových centrech, a proto bude hybridní cloud v následujících letech vítězit, aby se ochránily stávající investice. Pak ale vyvstává otázka, jak současné prostředí propojit s Cloudem za účelem elastického přidávání kapacity pro webové aplikace a také jak tyto aplikace zabezpečit.

Ostatně celý problém lze snadno popsat takto: firmy investovaly obrovské prostředky pro vytvoření on-premise řešení. Pokud by firma potřebovala – třeba krátkodobě – zvýšit výkon a úložný prostor, může samozřejmě své stávající řešení rozšířit. Řešením může být investice do rozšíření instalovaného výkonu. Anebo si kapacitu zajistit formou předplatného ve veřejném cloudu, ať už dočasně nebo trvale. Protože se jedná o OPEX, může to pro některé firmy být výhodou.

Proto se v současné době přechází na řešení hybridního charakteru, kdy si firma k dostupnému – již u ní existujícímu – řešení přikoupí na určitou dobu výkon a kapacitu „někde jinde“, v cloudu. Tím se ale problém neřeší, protože firemní zabezpečení je postaveno tak, aby vyhovovalo požadavkům té které společnosti a při využití cloudu je třeba i tento „na chvíli vypůjčený“ cloud ošetřit tak, aby splňoval požadavky firemního zabezpečení.

Aplikace uložené „doma“ a v cloudu mají dnes různé SLA dostupnosti a různou úroveň zabezpečení. Ty, které se nacházejí v cloudu nejsou za hradbami současného bezpečnostního perimetru, a proto vyžadují buď samostatnou ochranu, nebo „schování se“ za současným perimetrem, který se propojí do cloudu.

Microsoft Azure pomůže rozšířit kapacitu stávajícího datacentra rychle a elasticky, bez dalších investičních nákladů. A proto F5 nyní nabízí konektor, řešení, které webovým aplikacím umožní kombinovat výkony obou těchto prostředí pomocí šifrovaného kanálu mezi F5 v on-premu (fyzická nebo virtuální appliance) a F5 v cloudu (virtuální appliance). F5 Application Connector je dostupný (nejen) v Azure a je elegantně konfigurovatelný pomocí ARM templatů (ty jsou dostupné na github.com/f5networks) a orchestrovatelný pomoci Ansible.

Napříč tímto hybridním prostředím on-premise plus Cloud pak F5 řeší loadbalancing aplikačních serverů, SSL off-load a autorizaci/autentizaci uživatelů. Zabezpečení samotné aplikace se řeší pomocí Web Aplikačního Firewallu, který chrání nejen před nejčetnějšími útoky OWASP Top 10, ale více než stovkou dalších vektorů a tako zero-day útokům díky programovatelnosti platformy.

A jak to vidí Lori MacVittie, evangelistka F5 Networks

My z F5 (stejně jako další lidé z IT odvětví) víme, že multi-cloud je elegantní způsob, jak sdělit, co organizace již nějakou dobu dělají. Cloud byl vždy dostupný v mnoha formách – IaaS, PaaS, SaaS – a organizace se vždy oddávaly používání více než jednoho typu. Nord Bridge, který po několik let sleduje dění kolem cloudu, ve své zprávě z roku 2016 tvrdí, že „SaaS je používán u téměř u sedmi z deseti společností“. Naše vlastní údaje (F5) a údaje společnosti RightScale také dospěly k závěru, že organizace v průměru používají více než jednu formu cloudu. Multi-cloud není předpověď, je to pozorování současného stavu.

Cloud securityVidíme ale posuny, ke kterým dochází v modelech preferovaných současnými organizacemi. Místní „domácí“ nebo „on-prem“ Cloud dominuje v průzkumu F5 „The State of Application Delivery in 2017“, ale všechny znaky ukazují na neustálý posun směrem k veřejnému cloudu. A právě kvůli tomuto trendu čelí organizace mohutným výzvám. Ty se většinou zaměřují na soudržnost obou prostředí – bezpečnost, výkonnost a management. Snaha najít jednotnou strategii, když nemůžete důsledně aplikovat stejná pravidla ve všech vámi používaných cloudových formacích, může být ale frustrující.

A to je právě hlavním tahounem vzrůstajícího zájmu o propojení on-premu a veřejného cloudu (někdy nazvaný „colo cloud“).

Kolokační aspekt umožňuje organizacím centralizovat své služby využívající stávající technologie a dovednosti. Na druhé straně to zajišťuje soudržnost politik – zejména těch, které se týkají bezpečnosti – aniž by byla ohrožena schopnost využívat veřejný cloud pro jeho agilní, nákladově efektivní elasticitu výkonu a storage. Hlavním cílem ale zůstává zajištění základní potřeby mít dostupné aplikace pro své zákazníky a uživatele. A multi-cloudová architektura se na cestě k dosažení takového cíle jeví jako optimální.

Colo app connectorAle to neřeší problém, jak zajistit management a orchestraci celého prostředí.

Jakmile začnete používat několik veřejných cloudů pro hostování aplikací, musíte tyto aplikace spravovat a připojit k existujícímu prostředí. Aplikace, které navíc nebudou pod kontrolou, můžou zapříčinit jejich nekontrolovatelné rozšíření v Cloudu a rizika v podobě neplánovaně zvýšených nákladů.

To je jeden z důvodů, proč jsme vyvinuli F5 Application Connector. Jeho záměrem je poskytnout automatické zjišťování aplikačních instancí (tzv. auto-discovery) hostovaných ve veřejném cloudu a přimět je připojit se na správný a bezpečný komunikační kanál.

Aplikační konektor je ligh-weight proxy, tedy proxy s menšími nároky na podkladový HW než klasické appliance. Ta je umístěna ve veřejném cloudu (nebo on-premu či privátním cloudu) a „slepuje“ mezi sebou BIG-IP (na straně kolokace) a aplikace ve veřejném cloudu. Automaticky vyhledává aplikace, což zase pomáhá operátorům a administrátorům zajistit, aby byly aplikace chráněny a byly i stále vysoce dostupné. U většiny prostředí cloudu je tento proces stále ruční. Rozpoznáváme tak důležitost automatizace. Application Connector nejen automaticky objeví aplikace iniciované ve veřejném Cloudu, ale také je automaticky pomocí zabezpečeného kanálupřidá do sítě toho BIG-IP, která je jako primární pro konkrétní aplikaci. Naše první iterace podporovala automatizaci v Amazon AWS a dnes jsme rádi, že oznamujeme dostupnost aplikace Application Connector 1.1 podporovaného v Microsoft Azure.

Můžete mít tedy aplikace v Azure nebo AWS s použitím stejných bezpečnostních politik jako v současném DC a nyní více automatizovaně. Můžete uchránit aplikace v prostředí cloudu před útoky DDoS a zajistit, aby vám z aplikací ve veřejném cloudu útočníci nezcizili citlivé údaje. A můžete to dělat centralizovaně, aniž byste obětovali výkon.

-LiM

Share Button