Select Page

L’ADC, une brique clé d’une architecture IT moderne

L’ADC, une brique clé d’une architecture IT moderne

Véritable couteau suisse de la performance et de la sécurité des serveurs Web, l’ADC (Application Delivery Controller) est de plus en plus présent en frontal des serveurs Web. L’ADC continue de s’imposer dans l’architecture réseau des entreprises après avoir prouvé sa valeur chez les géants du Web et les startups internet depuis le début des années 2000. Les banques, les acteurs publics sont de plus en plus nombreux à l’adopter car les atouts de l’ADC sont multiples. On peut distinguer trois grandes fonctionnalités : celles liées à la disponibilité des applications Web, l’amélioration de leur performance et enfin la sécurité applicative.

Travailler en couche 7, un atout pour la performance et la sécurité des serveurs web

L’une des fonctions de base assurée par les ADC, c’est l’équilibrage de charge entre serveurs. Comme un load balancer « classique », l’ADC est capable de répartir la charge de manière égale entre les différentes machines des fermes de serveurs. Ainsi, celui-ci va assurer en outre une fonction de haute disponibilité pour le site Web ou un service en ligne quelconque. Mais là où l’ADC se distingue du load balancer, c’est sa capacité d’aller bien au-delà de faire un simple « Ping » pour s’assurer qu’un serveur est toujours en ligne. L’ADC est capable de s’assurer que l’application fonctionne toujours de manière correcte en deçà d’un délai de n millisecondes, mais aussi que le retour attendu de la part du serveur soit cohérent et correct.

Les boitiers NetScaler proposés par Citrix, un acteur qui vient du monde de l’applicatif, et de la virtualisation en particulier, va beaucoup plus loin. Capable de décoder les flux réseaux HDX et ICA, ceux-ci peuvent analyser les flux d’applications particulières telles que SAP ou Microsoft Exchange et délivrer des statistiques de performance sur réelles ces différents canaux. Un outil précieux pour les administrateurs afin de vérifier la qualité de l’expérience utilisateur et éventuellement identifier les sources de problèmes réseaux ou applicatifs si cette qualité de service est jugée insuffisante. Mieux, cette analyse peut être active sur les plateformes d’accès distant et il est possible d’appliquer des politiques de sécurité en fonction de différents critères, par exemple Interdire les copier-coller.

Au-delà du simple load balancer, l’ADC peut décharger les serveurs de certaines tâches

La seconde famille des fonctionnalités clés d’un ADC est liée à l’accélération des performances des serveurs, virtualisés ou non. L’ADC peut décharger les serveurs de certains traitements en les exécutants lui-même. C’est notamment le cas du caching, de la compression ou encore de la gestion des connexions TCP. Le principe consiste à prendre en charge des tâches jusqu’ici assurée par les serveurs et de les déplacer vers l’ADC. A l’inverse des serveurs, le code d’un ADC est prévu pour réaliser ce type de fonctions réseau de manière optimisée. Décharger ainsi les serveurs de ces tâches annexes permet de concentrer leur puissance sur l’application elle-même.

La troisième classe de fonctionnalités de l’ADC est liée à la sécurité. Dans ce domaine, les deux principales fonctions offertes par NetScaler portent sur la partie passerelle VPN pour les accès distants. Le boitier prend à sa charge les tunnels VPN, le chiffrement SSL des données, ainsi que des fonctions avancées en termes d’analyse du poste client. La deuxième fonction de sécurité la plus souvent activée par les utilisateurs d’un ADC, c’est le WAF (Web Application Firewall). Il s’agit dans ce cas de protéger les applications Web et mobiles d’attaques au niveau applicatif. L’ADC peut ainsi identifier les comportements malicieux, par exemple les tentatives d’insertion de scripts visant à faire tomber une application, les attaques de type SQL Injection. Parmi les autres fonctions de sécurité que l’on peut attendre d’un ADC, le screening d’attaque DDOS, etc.

Une consolidation fonctionnelle parfois théorique sur certains ADC

Un ADC digne de ce nom doit offrir entre 15 à 20 fonctions de base dans ces trois familles. La solution paraît extrêmement séduisante puisqu’elle permet de limiter le nombre d’équipements réseaux et de serveurs, réduisant ainsi les coûts d’acquisition et d’exploitation de l’infrastructure. Néanmoins, sur certains ADC, il s’avère impossible d’activer plus de 4 à 5 fonctionnalités simultanément. Leur mode de configuration fait appel à de la programmation. Une promesse pour d’avantage de souplesse puisqu’il est possible en théorie de faire ce que l’on souhaite avec l’ADC. Mais cette programmation devient en pratique très complexe lorsqu’on veut véritablement faire du multifonctionnel avec l’ADC. Certaines fonctionnalités peuvent entrer en conflit et les administrateurs ne parviennent pas à les activer simultanément car le nombre lignes de code augmente de manière exponentielle avec le nombre de fonctionnalités activées. Il devient très rapidement trop complexe et trop couteux d’activer plus que quelques fonctionnalités.

Avec NetScaler, Citrix privilégie une autre approche avec une interface graphique qui permet d’activer l’intégralité des fonctions du boitier sans devoir recourir à de la programmation. Cette méthode, encore assez nouvelle sur le marché, séduit de nombreuses entreprises qu’un « proof of concept » aura convaincues de la simplicité de la configuration de NetScaler.

Cette approche de boitier (ou de machine virtuelle, un mode qui représente entre 30% et 40% des ventes de NetScaler) consolidant un grand nombre de fonctionnalités est totalement en phase avec le mouvement vers le SDDC (Software-Defined Data Center). L’ADC permet de minimiser le nombre de boitiers et d’aller vers une virtualisation de l’architecture réseaux. Mis à part l’accélération apportée par les composants ASIC de chiffrement/déchiffrement, une machine virtuelle NetScaler ne présente aucune différence fonctionnelle avec le boitier. Il s’agit du même firmware et si la performance de la version logicielle doit être augmentée, il est possible de placer des VM en mode cluster actif-actif jusqu’à 32 nœuds, comme pour les boîtiers physiques. De quoi préparer l’avenir sereinement.

 

La haute disponibilité des applications Web n’est que l’une des nombreuses fonctionnalités de base qu’il faut attendre d’un ADC.

Travaillant en couche 7, l’ADC peut identifier des comportements malicieux et mettre à l’abri un site Web d’attaques de type SQL Injection ou DDOS.

About The Author

Charles Gengembre

Manager BU Sécurité et Réseaux.

Recevez par mail les articles et actualités de Au coeur des InfrasJe m'inscris à la Newsletter