Continua la sua evoluzione F5 che negli ultimi anni ha intrapreso – attraverso acquisizioni e attività di sviluppo interno – il suo percorso per offrire non solo sicurezza per i dati, gli utenti e gli accessi, ma efficienza anche per quanto riguarda l’ottimizzazione delle applicazioni, la loro protezione e la protezione delle Api in tutti gli ambienti operativi: on-premise come nel cloud e all’edge, nei contesti multicloud, senza per questo tralasciare gli ambienti legacy, ancora molto diffusi.
Ne parla Marco Urciuoli, “neo” country manager di F5, che declina l’impegno delle aziende in queste direzioni insieme a Paolo Arcagni, Solutions Engineering director, che analizza le novità presentate in occasione di Mwc 2023 e racconta il caso Snam che “ri-sceglie” le soluzioni F5 per la trasformazione digitale della rete di gasdotti.
“Next step per la sicurezza oggi – esordisce Urciuoli – è la focalizzazione sulle applicazioni, come nuovo ‘bisogno primario’. Se ne rendono conto le aziende, perché le applicazioni sono profondamente cambiate, e su questo cambiamento si innesta anche quello di F5 che nel 1996 ha esordito sul mercato offrendo soluzioni di load balancing ed oggi si preoccupa di rendere le applicazioni efficienti, disponibili e sicure. Quelle monolitiche, come quelle moderne”.
Un passaggio importante di questo percorso vede F5 acquisire nel 2018 i “loghi” della piattaforma open source Nginx, tra i più utilizzati Web server, advanced load balancer e reverse proxy. Nginx è basilare per sviluppare applicazioni moderne (con microservizi, container e Kubernetes) gestibili ed aggiornabili “in punti singoli, per piccoli componenti”, senza dover riscrivere l’applicazione e senza doverne sospendere l’utilizzo in fase di update.
“Parlare di sicurezza applicativa, oggi significa, necessariamente, mettere in sicurezza le Api, anche quando non sono sviluppate ‘in casa’ e significa liberare l’organizzazione che le gestisce dalle preoccupazioni di performance availability e di security nei diversi scenari”. Un altro step chiave del percorso è quindi l’acquisizione nel 2021 di Volterra e della relativa proposta ora nel portafoglio F5 con il nome Distributed Cloud (F5 XC), per consentire lo spostamento agile e sicuro delle applicazioni dove sono utilizzate dagli utenti, fare multicloud networking e coprire le esigenze attuali di Content Delivery Network.
Siamo “all’oggi”. Quotata al Nasdaq, F5 matura circa 2,7 miliardi di fatturato all’anno con 6mila dipendenti worldwide, ed in Italia è presente a Milano e Roma con un team di circa venti persone. “La missione è seguire il percorso di trasformazione digitale dei clienti enterprise, con il canale in primo piano lavorando quindi con i 10-15 con partner di riferimento cui offrire il supporto necessario per presentare l’offerta, ma impegnati anche nel recruitment di nuovi partner, in particolare nell’ambito Kubernetes e multicloud networking”. Finance, insurance, manufacturing, telco: F5 intercetta tutti i verticali con un’offerta solo nelle singoli componenti indirizzata anche da alcuni competitor (evidente la coo-petition con Red Hat e Akamai solo per citarni alcuni, ma anche Citrix), ma con una singolarità di proposizione, nel suo insieme, ben distinta.
L’esperienza di Snam
Interessante, proprio per capire la specificità della proposta F5 è il caso di Snam, cui dà spazio Paolo Arcagni. “Cliente storico di F5 (come le principali aziende del comparto energy, Ndr.) – per quanto riguarda la proposta F5 di application delivery Big-IP (load balancing, application security, autenticazione utenti, sicurezza perimetrale, anti-DDoS), i piani di digital transformation di Snam prevedono l’installazione continua di oltre mille punti di contatto e di ispezione in cui vengono raccolti dati su tutta la rete di condotte e di stoccaggio”. Grazie all’IoT e al machine learning (ML), Snam vuole sfruttare dati azionabili in tempo reale a una velocità superiore a quella attuale, un’esigenza che richiede un utilizzo maggiore e migliore delle Api rispetto al passato e quindi lo sviluppo di nuove applicazioni interne cloud native.
Proprio per sostenere il suo programma di trasformazione digitale, “Snam cerca una soluzione di connettività Api che combini programmabilità, supporto di livello enterprise e funzionalità di sicurezza in bundle, e la individua in Nginx“. Proprio il passaggio a un ciclo di vita delle applicazioni agile, richiede a Snam di investire in Red Hat Openshift e Azure Red Hat Openshift per la sua infrastruttura Kubernetes individuando però in F5 Big-IP Container Ingress Services (Cis) la soluzione più adatta per integrare Tmos (Traffic Management Operating System) e Nginx.
Due gli obiettivi principali: superare il punto critico della limitata personalizzazione e programmabilità – raggiunto sostituendo il precedente gateway Api con F5 Nginx Plus (con funzionalità aggiuntive relative al management del traffico Api per esempio, dominante oggi sul protocollo Https), “più adattabile ad esigenze specifiche e quindi a tutte le fasi di sviluppo con codice personalizzato” – ma anche poterlo fare in sicurezza con il supporto per i requisiti in materia di autenticazione e autorizzazione, compreso il Single sign-on (Sso) completamente dinamico con Oidc (layer di autenticazione del framework autorizzativo OAuth 2.0) e le funzionalità per migliorare la resilienza, come la limitazione della velocità.
“NginX Plus oggi indirizza le esigenze di Api management, Api gateway e Api security e proprio per questo si fa preferire nell’esperienza Snam, perché dinamico, configurabile in modo flessibile con Javascript così da adattare l’Api gateway alle applicazioni e non il contrario”. La possibilità di avere Nginx Plus come gateway Api e l’uso di Nginx Ingress Controller per Kubernetes insieme si rivelano fondamentali per Snam. Indipendente dalla piattaforma, NginX Plus offre poi il vantaggio di poter essere distribuito senza problemi sia on-premise che nel cloud pubblico.
“Quello con Red Hat – spiega Arcagni – è proprio un caso di coo-petition perché se la proposizione F5 nel complesso è caratterizzata in modo inequivocabile, le singole soluzioni incontrano effettivamente le proposte di altre vendor. Per esempio tra gli use case della proposta Distributed Cloud, quello Waap As A Service (Web Application Api Protection come servizio) indica sia il prodotto sia la tecnologia veicolata anche da altri attori di mercato. E se Kubernetes definisce le tecnologie per portare il traffico dall’esterno all’interno del cluster Kubernetes – e richiede quindi un ingress controller – è vero che tra i vari ingress controller Nginx è tra i più utilizzati, ma questo nulla toglie al fatto che anche altri vendor propongano il proprio (Red Hat pure lo fa con Openshift, Ndr.)“.
L’evoluzione della proposta F5 e la strategia
Utile quindi, “mettere in squadra le soluzioni F5 nel loro complesso” per comprendere a fondo la proposta. F5 fa in modo che le applicazioni siano veloci, affidabili e sicure. Questo il punto fermo, ma è cambiato il mercato delle applicazioni, lo scenario. Oggi le app accelerano l’esperienza dell’utente e, per chi fornisce applicazioni, è chiaro che si possa parlare di uno scenario “complesso” che a volte prevede il semplice lift and shift, ma ancora più spesso il replatforming, la riscrittura di app cloud native basate su microservizi, container etc., per poterle spostare tra i vari cloud e distribuirle nel multicloud. Un tema sfidante e da gestire. Prosegue Arcagni: “Si innestano i problemi di comunicazioni tra data center e cloud, tra cloud e cloud e, uscendo dalla fortezza data center, per incontrare il virtual data center con estensione delle superfici di attacco, si innestano ulteriori problemi di sicurezza”.
Tre i pilastri della proposizione F5 oggi, quindi, con relativa evoluzione anche in relazione agli annunci di Mwc 2023.
Alla proposta di load-balancing, application security, gestione delle applicazioni e gestione degli accessi, si sono aggiunti nel tempo i servizi di ingress controlling, Api gateway, per la messa in sicurezza delle Api, la gestione dei microservizi etc.
Primo pilastro oggi resta Big-IP sviluppata ulteriormente e “preparata ad affrontare i prossimi dieci anni di application delivering e security”. Big-IP Next oggi comprende allora la nuova serie di funzioni di rete cloud-native (Cnf) per il 5G, pensate per aiutare i service provider ad automatizzare le operazioni, adottare architetture moderne e ridurre il total cost of ownership (Tco).
Big-IP Next aiuta i service provider a sviluppare le proprie reti 5G stand-alone, che si basano su una Service Based Architecture Kubernetes, ma si basano tradizionalmente non su protocolli Http ma su protocolli specifici (Sip, etc.) che ora diventano del tutto gestibili grazie a Big-IP Next. Big-IP resta poi sempre disponibile come hardware, ma anche virtualizzato come software (nei marketplace) e disponibile negli ambienti Kubernetes come “Next” appunto. Secondo pilastro è Nginx (cui abbiamo già fatto riferimento) che ora consente di indirizzare la sicurezza applicativa nelle modern-app e la gestione delle Api. Con il firewall di application security più vicino ai microservizi.
Terzo pilastro: in un ambiente multicloud, application delivering and security sono assicurate dall’acquisizione di Volterra, oggi F5 Distributed Cloud. Per consentire ai clienti di “pubblicare app e metterle in protezione ovunque siano e ovunque siano state sviluppate”. Concretamente con il lancio di F5 Distributed Cloud App Infrastructure Protection (Aip), F5 propone una soluzione di protezione dei carichi di lavoro in cloud che estende l’osservabilità e la protezione delle applicazioni alle infrastrutture cloud-native.
La proposta originaria F5 Distributed Cloud può avvantaggiarsi della rete globale ad alta velocità interfacciata con i principali service provider, gli hyperscaler e i vendor SaaS e di una consolle completa e centralizzata. Le aziende possono mettere in sicurezza i servizi in abbinata con una proposta Waap As a Service, semplificare la connessione tra i multicloud, e costruire l’Edge 2.0, con cluster Kubernetes distribuiti per portare le applicazioni all’edge della rete (in una sorta di Cdn di nuova generazione). Concretamente Distributed Cloud Aip offre una raccolta di telemetria ed il rilevamento delle intrusioni per i carichi di lavoro cloud-nativi e, in combinazione con la sicurezza in linea delle applicazioni e delle Api di F5 Distributed Cloud Waap, offre un approccio di difesa più profondo alle minacce alla sicurezza che si estendono alle applicazioni, alle Api e alle infrastrutture cloud-native in cui vengono eseguite
F5 Distributed Cloud Aip prevede una combinazione di regole e apprendimento automatico per rilevare le minacce in tempo reale nell’intero stack dell’infrastruttura, rileva e avverte su comportamenti anomali che hanno un impatto sui carichi di lavoro – per informare i team operativi di attività potenzialmente dannose che potrebbero richiedere ulteriori azioni per il blocco o la correzione – e si integra con le funzionalità già in essere basate su firme e analisi del comportamento. Comprende inoltre F5 Distributed Cloud Aip Managed Security Services – con un team di Security Operations Center “always-on” che rileva, gestisce e indaga le minacce e fornisce raccomandazioni per la correzione per conto dei clienti – e F5 Distributed Cloud Aip Insights per fornire analisi personalizzata della piattaforma e coaching continuo da parte degli esperti di sicurezza cloud di F5, per un approccio effettivamente SecOps.
© RIPRODUZIONE RISERVATA
