Global Security Mag : Florent Embarek, pouvez-vous définir pour nos lecteurs les termes d’ADC et d’UASG ? Que recouvrent-ils ?

Florent Embarek : L’Application Delivery regroupe un ensemble de technologies qui, lorsqu’elles sont déployées ensemble, assurent la disponibilité, la sécurité, la visibilité et l’accélération de l’application. Les ADC (Application Delivery Controllers) ont peu à peu remplacé les techniques d’équilibrage de charge traditionnelles, les fameux Load Balancers, pas assez robustes pour gérer le trafic croissant des applications sur des réseaux de plus en plus complexes. L’ADC permet de délivrer les applications. Il s’agit d’un dispositif de gestion avancé ayant pour but la répartition du trafic entre un certain nombre de serveurs ou sites géographiques, selon des critères spécifiques à l’application. Pour répondre à ces besoins, A10 Networks propose des appliances physiques et virtuelles. Ces contrôleurs d’accélération applicative combinent dans une architecture moderne et compacte, des composants matériels performants et un système d’exploitation spécifique et optimisé, ACOS. Les ADC de la Série AX d’A10 permettent le traitement intelligent des applications au niveau des couches 4 à 7.

Pour répondre aux exigences de hautes performances indispensables aux Data Centers de nouvelle génération, il faut aujourd’hui des plates-formes de pointe, exploitant pleinement l’accélération matérielle et dotées de nombreuses fonctionnalités. Pour simplifier, on pourrait dire que les passerelles de services applicatifs unifiées (UASG) sont des ADC avec encore pus de fonctions de sécurité et de réseau. Les ADC deviennent des UASG !

Global Security Mag : Vous parlez des UASG d’A10 comme la solution présentant le meilleur rapport qualité/coût. Pouvez-vous nous en dire plus ?

Florent Embarek : Comme je viens de vous le dire, les UASG sont des solutions matérielles et logicielles d’optimisation, de disponibilité et de sécurisation des applications, économes en énergie. Les modèles de la série Thunder renforcent les solutions d’optimisation, de disponibilité des applications et d’équilibrage de charge des serveurs. La série A10 Thunder apporte en effet des fonctionnalités de Carrier Grade NAT (CGNAT), la convergence IPV4/IPv6, un firewall applicatif DNS, un firewall applicatif web (WAF), SSL Intercept, la protection contre les dénis de service distribués (DDoS), la gestion des accès aux applications (AAM). Et, toutes ces fonctionnalités sont disponibles sans aucun frais supplémentaire de licences additionnelles pour nos clients.

Comme vous le savez, la migration d’IPv4 à IPv6 est une question sensible et très souvent soulevée, les entreprises souhaitant pérenniser leurs investissements. A10 y répond. L’introduction d’IPv6 est coûteuse en temps et en argent. Elle exige des investissements en composants matériels compatibles IPv6 conséquents, posant des problèmes logistiques et obligeant les entreprises à d’importantes dépenses. Les entreprises misent donc sur l’introduction graduelle d’IPv6, ce qui entraîne le support des deux protocoles en même temps. Les systèmes basés sur IPv4 et les systèmes basés sur IPv6 doivent alors communiquer les uns avec les autres. Les UASG modernes comme Thunder A10 assurent une compatibilité totale, rendant les serveurs accessibles à tous les clients externes, qu’ils utilisent IPv4 ou IPv6. NAT64/DNS64 est une solution pour les clients IPv6 qui assure l’accès aux environnements serveurs basés sur IPv4. Carrier Grade NAT (CGN ou CGNAT) permet la convergence des deux protocoles pour les fournisseurs d’accès et les opérateurs.

Les passerelles de services applicatif unifiées d’A10 sont innovantes et maximisent la disponibilité des applications, augmentent la sécurité et permettent une migration IPv6.

Conçue et développée en étroite collaboration avec ses clients et utilisateurs, la nouvelle version d’ACOS (le système d’exploitation développé par A10) comprend plus de 160 fonctionnalités. Il s’agit par exemple, de la virtualisation à grande échelle avec plus de 1000 partitions (Application Delivery Partitions - ADP) dans une appliance 1U ou du support des ADP dans des appliances virtuelles, du support de l’hyperviseur open source Xen, de la direction de trafic avec ICAP, du script aFlex pour RADIUS, des améliorations de convivialité et de surveillance, etc.

La plate-forme vThunder est un logiciel ADC qui est dotée des mêmes fonctionnalités de pointe que celles déployées par le matériel de base et qui fonctionne sur un ensemble d’hyperviseurs - VMware, Microsoft Hyper-V, KVM et Xen (Citrix ou versions open source). vThunder débute à 200 Mbps dans sa version d’entrée de gamme et gère jusqu’à 8 Gbps dans sa version hautes performance.

A10 Thunder 6430, 6430S et 5430S incluent une virtualisation à grande échelle, supportant jusqu’à 1024 ADP sur une plate-forme unique. De plus, vThunder supporte des ADP dans chaque appliance virtuelle. Chaque partition peut exécuter plusieurs services sur demande, réduisant ainsi les temps de déploiement et les coûts. Avec une configuration aVCS, les appliances logicielles et matérielles de la série A10 Thunder permettent de multiplier la capacité par 8 avec un management unifié. On accroît simplement la capacité en ajoutant X appliance(s) dans le cluster, de façon automatisée, sans jamais remettre en cause le choix de départ de nos clients.

Ces passerelles de services applicatifs unifiées trouvent leur place dans les entreprises, chez les opérateurs, les fournisseurs de cloud…

Global Security Mag : Comment ces UASG d’A10 prennent-elles en charge les exigences de sécurité liées aux attaques de nouvelle génération ?

Florent Embarek : C’est une préoccupation au cœur de notre métier. A10 Networks a donc voulu améliorer la protection du périmètre et renforcer encore la sécurité des séries Thunder et AX. ACOS a permis d’intégrer de manière transparente des modules de sécurité supplémentaires afin de compléter notre gamme de services applicatifs intelligents. Parmi les principaux modules, je citerai principalement le pare-feu applicatif DNS et le pare-feu applicatif web (WAF). Ce dernier assure la protection des applications web contre les attaques HTTP, sécurise les failles de code et empêche la fuite de données. Le WAF, lui, sert à identifier et bloquer les attaques sur le serveur web. Le débit des données au niveau de l’application est analysé, prévenant le transfert des données indésirables. Le WAF d’A10 intervient également comme unité de sécurité régulatrice, répondant aux exigences, entre autres, du standard PCI DSS pour les paiements par carte. Le pare-feu applicatif DNS sécurise les infrastructures DNS. Les attaques, même massives, sont contrées, sans que les serveurs DNS soient surchargés.

D’autre part, des fonctionnalités d’authentification ont été intégrées pour éviter que des données indésirables ou qu’un trafic non authentifié atteignent les serveurs. La gestion des accès aux applications (AAM) est intégrée dans ACOS, améliorant la protection des infrastructures des data centers et l’efficacité du serveur. On décharge ainsi le serveur des fonctions d’authentification et on s’assure que les serveurs back-end ne reçoivent pas de trafic indésirable ou non authentifié. AAM accepte les principaux protocoles d’authentification comme RADIUS, LDAP, Active Directory, Kerberos (et d’autres encore), sans avoir besoin d’ajustement aux serveurs Web ou à l’infrastructure.

La Série Thunder d’A10 Networks est également dotée d’une technologie de prévention efficace contre les attaques par déni de service sur le réseau ou l’application, empêchant toute interruption des services. A10 Thunder dispose d’une protection contre les attaques DDoS multicouches de type SYN. D’autres fonctions, telles que le filtrage géographique, la limitation des débits et des connexions, la détection d’attaques "Slow HTTP" et les commandes aFlex existent en plus de la protection de l’ensemble du réseau et de la pile d’applications.

Toutes ces fonctions de sécurité sont incluses sans aucun frais de licence additionnelle.

A10 Networks France
54/56, Avenue Hoche - 75008 Paris
Tél. + 33 (0)1 56 60 53 36
Site : http://www.a10networks.com/fr