Sergey Nivens - stock.adobe.com
La stratégie de F5 pour répondre aux besoins multicloud
F5 Networks mets en avant ses services Distributed Cloud, une plateforme qui doit répondre aux besoins de sécurisation des applications d’entreprise, mais aussi jouer le rôle de console de gestion des déploiements Kubernetes multicloud et hybrides. À chaque segment de marché adressé, les concurrents sont nombreux.
Le portfolio Distributed Cloud Services rassemble une collection de services SaaS pour le développement, le déploiement, la sécurité et l’opérationnalisation des applications dans des environnements multicloud.
Ce portfolio est issu du rachat de Volterra pour 500 millions de dollars en janvier 2021 – fusion des startups Acorus Networks et Volterra, dont l'un des fondateurs a aussi mis sur pied Contrail, racheté par Juniper Networks – et de Shape Security pour 1 milliard de dollars, en janvier 2020. Volterra a développé des points de présence physiques interconnectés à un réseau privé « de transit » supportant une solution anti-DDoS ainsi qu’une couche logicielle pour connecter les applications dans des environnements cloud distribués et Edge. Shape Security, elle, a développé une solution de sécurité applicative établie sur la mitigation de bots et la protection contre la fraude. En février 2022, F5 a combiné et renommé les produits associés puis les a rangés dans sa gamme Distributed Cloud Services.
F5 Networks mise sur l’externalisation des services de cybersécurité
Ainsi, Cloud Mesh (ex-VoltMesh), est une offre comprenant le load balancing, un VPN, le routage, la sécurité applicative (WAF, WAAP) et réseau (IPSEC), la protection DDoS, ou encore la découverte de services. Tous ces services reposent sur le réseau physique mis en place par Volterra.
En outre, F5 propose un portail pour effectuer une couche d’observabilité. Les données peuvent aussi être envoyées vers les suites du marché comme Splunk ou Datadog. Le tout est accessible depuis une console de management – un control plane disponible en cloud.
Les cas d’usage de ce portfolio sont d’abord liés à la sécurité du réseau et des applications Web et Mobile.
« Les points de présence permettent de délivrer des services de sécurité SaaS : WAF, protection des API, anti-DDoS, etc. au plus près des applications, où qu’elles soient, sur site ou dans le cloud », résume Arnaud Lemaire, Solutions Engineering Manager chez F5 Networks. « Nous sommes capables de déployer des nœuds dans des data centers virtualisés, des tenants AWS, Azure, GCP, sur des VM ou sur des équipements dédiés sur site ».
Ces nœuds vont permettre de se connecter au backbone de F5. « Nous allons être capables d’offrir les mêmes services de sécurité qu’à travers notre plateforme SaaS ».
L’éditeur assure que son offre est flexible. Il est également possible de mettre en place d’autres configurations qui ne passerait pas par le backbone F5, mais par celui du fournisseur cloud choisi par le client, par exemple.
« Cela permet de déporter la fonction de sécurité tout en la pilotant de manière centralisée via un portail unique », vante Arnaud Lemaire.
Les points de présence servent également à gérer le trafic applicatif. « Une fois que nous avons réparti ces nœuds sur l’infrastructure au niveau des points de présence, nous sommes capables de gérer les échanges applicatifs », explique le responsable. « Si j’ai une application derrière un nœud dans le cloud, et une base de données sur site derrière un autre nœud, je peux véhiculer le trafic de façon contrôlée et sécurisée, à travers du routage classique ou à travers des proxys distribués »
Les proxys distribués résoudraient diverses difficultés d’ouverture d’accès, de routage de flux et de chevauchements d’IP. « C’est très intéressant pour des entreprises qui ont peu ou pas de contrôle dans le cloud ou lors de fusion-acquisition quand il faut effectuer des rapprochements entre des SI », vante Arnaud Lemaire.
Sous le capot de Distributed Cloud Services :
Multicloud : Volterra se voit en colonne vertébrale des hubs Kubernetes
Le « cloud distribué » a le vent en poupe chez les fournisseurs
Cette méthode d’interconnexion convainc de plus en plus les entreprises ayant choisi des stratégies multicloud et hybrides, assure le responsable. « Nos clients sont de plus en plus matures concernant le multicloud. Au quotidien, ils se rendent compte qu’il y a une réelle complexité opérationnelle de gestion de réseau et de sécurité ».
Arnaud LemaireSolutions Engineering Manager, F5 Networks
En ce sens, le patchwork de services Distributed Cloud s’inscrit dans la mouvance éponyme, signée Gartner. « Le cloud distribué consiste en la distribution de services de cloud public à différents emplacements physiques, tandis que l’exploitation, la gouvernance, les mises à jour et l’évolution des services sont la responsabilité du fournisseur d’origine », signale le cabinet d’analystes.
F5 n’est pas le seul sur ce terrain : VMware, Google Cloud, Red Hat, Oracle ou encore Akamai se sont positionnés sur ce terme. Toutefois, ces fournisseurs ne prennent pas en considération les mêmes besoins et entrent plus ou moins en concurrence avec F5.
Par exemple, Oracle propose son offre FastConnect, qui est également un réseau dédié utilisé pour faire le pont entre plusieurs clouds. Outre la promotion des solutions développées par Linode, Akamai veut déployer les solutions du spécialiste de la microsegmentation GuardiCore de manière distribuée.
Cela va au-delà de la sécurisation. Du côté de F5, un CDN maison sera prochainement en disponibilité générale dans le catalogue de services Distributed Cloud. « Cela peut servir à des clients qui auraient des besoins de cache, de gérer des objets statiques ou pour du streaming », anticipe Arnaud Lemaire.
Selon le responsable, « il ne s’agit pas d’entrer en compétition avec des acteurs comme Akamai » sur le segment CDN. « Notre service peut aider à soulager des infrastructures déjà très sollicitées, mais nous n’avons pas la prétention de supplanter des services CDN plus avancés », prévient-il.
La gestion de Kubernetes, « la prochaine étape »
Comme le permettait déjà Volterra, ces mêmes nœuds distribués peuvent héberger des conteneurs à l’aide d’un Kubernetes managé sur différents clouds et sur site. « Nous pouvons gérer centralement des conteneurs dans des environnements hétérogènes », indique le responsable chez F5.
Le déploiement de ces conteneurs passe par App Stack (autrefois nommé VoltStack). Cette solution repose sur l’infrastructure F5 ou sur le compte cloud de l’utilisateur. Le control plane, disponible en SaaS, s’appuie sur les API Kubernetes et doit automatiser la gestion des clusters, de la sécurité, de la gestion des secrets et des clés, à l’aide de VoltShare, sur site, dans un cloud public ou privé.
Le client ne gère pas lui-même Kubernetes, mais consomme les API mis à sa disposition par l’éditeur.
« Cela permet à nos clients de simplifier la gestion des déploiements multicloud et hybrides sans avoir à redévelopper les applications », estime Arnaud Lemaire. « De la même manière, nous pouvons déployer des conteneurs sur un grand nombre de nœuds hébergés sur site et en périphérie en y associant toutes les fonctions de sécurité à notre disposition ».
Sur son site Web, F5 présente ce Kubernetes managé comme « une couche uniforme d’exécution et de programmation des applications ».
Il existe toutefois d’autres formes d’intégration entre Kubernetes et les services Distributed Cloud de F5. « Nous pouvons placer [les nœuds] en ingress d’un environnement Kubernetes ou encore déployer nos services dans un Kubernetes existant, pour faire profiter aux clients de l’ensemble des capacités de sécurité et de gestion du réseau », évoque Arnaud Lemaire.
Cette tendance de la gestion de flottes de conteneurs ou de clusters Kubernetes en mode multicloud prend de l’ampleur sur le marché. Plusieurs acteurs, dont Hashicorp, SUSE, VMware, GCP avec Anthos, et Red Hat avec OpenShift se lancent dans cette approche. Sans compter l’arrivée sur le marché d’acteurs spécialisés, agnostiques des distributions K8s, comme la startup Rafay.
Selon Arnaud Lemaire, F5 doit encore se muscler pour convaincre les entreprises. « Kubernetes, c’est la prochaine étape. C’est à nous de bien travailler, mais nous avons désormais des discussions stratégiques avec les clients concernant les environnements où ils souhaitent déployer leurs applications. Ces discussions prennent un peu plus de temps », constate-t-il.
Multicloud : F5 met NGINX dans le même bateau
F5 poursuit une stratégie similaire en direction des développeurs avec NGINX, racheté en 2019 pour 670 millions de dollars. Outre les fonctions de répartition de charge, de reverse proxy, de caching et de passerelles API, F5 a misé sur l’ajout d’un WAF et d’une protection Anti-DDoS à ses serveurs avec App Protect.
NGINX Ingress Controller et Service Mesh doivent assurer le suivi du trafic Kubernetes, l’observabilité ou encore la protection des couches L7 – L4 (analyse, filtrage des requêtes HTTPS et apport de flux mTLS). Là aussi, l’éditeur se retrouve face à des concurrents comme Hashicorp (Consul), Buoyant (Linkerd) ou Solo (Istio).
Dernièrement, F5 a présenté en préversion NGINX for Azure, une offre managée pour déployer ou migrer des configurations de load balancing et de reverse proxy vers le cloud de Microsoft.
« Au vu des tendances économico-sociales, suivant les pays et les entreprises, il risque d’y avoir des mouvements de workloads », anticipe Arnaud Lemaire. « Rapidement, la question de la migration ou du rapatriement des données et des applications va se poser. Nous pouvons fournir un niveau d’abstraction de services pour anticiper les changements à venir », conclut-il.