tag:blogger.com,1999:blog-66382194543255290162024-03-18T07:30:31.732+01:00David Romero TrejoSécurité des informations | RéseauDavid Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.comBlogger560125tag:blogger.com,1999:blog-6638219454325529016.post-64306993858442944732024-03-18T07:30:00.001+01:002024-03-18T07:30:00.133+01:00F5XC - Site Management Concepts<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdc-qKDxqwyRYMmcumh-YLzgYu5PMA9OAsPLNkCrzgsvwQ72E4GbNngw3-tBe88fNk6j2u-Ae-wef59T2tUFqt8EhaFzuRdgjWsh-oUwJ3x35bVzvEZHyucYCPkX6DWXFqGaOXjkyByDBISozpiXtCZeGfGwD-POQqiRJgxR34Lztf0xwZUdUO-6b3HVke/s705/F5XC%20-%20site%20mgmt.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="397" data-original-width="705" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgdc-qKDxqwyRYMmcumh-YLzgYu5PMA9OAsPLNkCrzgsvwQ72E4GbNngw3-tBe88fNk6j2u-Ae-wef59T2tUFqt8EhaFzuRdgjWsh-oUwJ3x35bVzvEZHyucYCPkX6DWXFqGaOXjkyByDBISozpiXtCZeGfGwD-POQqiRJgxR34Lztf0xwZUdUO-6b3HVke/s320/F5XC%20-%20site%20mgmt.png" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">Cet article couvre les concepts de gestion de site. Dans cet article, nous aborderons certains des concepts de base requis pour utiliser F5 Distributed Cloud Services via Distributed Cloud Console. <br /></div><div><br /></div><div style="text-align: justify;">Un site peut être un centre de données ou un emplacement périphérique du client en tant que périphérique physique fourni dans un matériel ou un logiciel déployé sur une plate-forme matérielle certifiée au choix du client. Un site peut également être déployé en tant que périphérique virtuel sur VMware, KVM ou Kubernetes. Enfin, un site peut être déployé de manière automatique en tant qu'appliance virtuelle chez de nombreux fournisseurs de cloud comme AWS, GCP et Azure. <br /></div><div><br /></div><div style="text-align: justify;">Il existe également deux classes différentes de sites périphériques. La première classe est appelée site périphérique régional dont les ressources gèrent les emplacements physiques spécifiques dans le cadre de l'infrastructure principale mondiale de Distributed Cloud Services. La deuxième classe de sites est appelée bord client et ces sites sont définis et gérés dans le cadre de l'environnement spécifique du client. <br /></div><div><br /></div><div><div style="text-align: justify;">Pour vous donner un aperçu de l'endroit où les sites sont liés les uns aux autres, voici un diagramme pour mettre en évidence l'emplacement des sites périphériques et cloud des F5 Distributed Cloud Services. Les sites périphériques régionaux des F5 Distributed Cloud Services sont des emplacements fixes déployés dans le cadre du backbone qui activent un ensemble de ressources pour tous les locataires de la plateforme. Gardez à l’esprit que les services fournis par un site périphérique régional sont uniques et isolés pour chaque locataire qui utilise la plateforme. La dorsale connecte ensuite l'emplacement périphérique régional pour fournir un transit mondial au sein de la plateforme Distributed Cloud Services. Les sites clients sont fournis à la demande par chaque administrateur de locataire individuel et peuvent être constitués d'emplacements de sites chez le client, d'un centre de données sur un ensemble diversifié de plates-formes de livraison et dans un cloud public.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhj-UG41AZIHzoHv8zmx4wd3JgNAJVxRR4k3cCEHuuHDZWsNmxZsa2bRb-h6GL6_K_Gn5o4GP9fikiYUGVC4sbkPXx_BcBBAMgu1INfIbCj5ucyiE_KHaZMt3rl1NdNLJrLy6Z0jjOSK65Zu6Yjel2GjuwqE4PyXCN2cAQE7Up37NATreub6A-njBrOAuVm/s1237/Captura%20de%20pantalla%20de%202024-03-17%2011-44-54.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="627" data-original-width="1237" height="203" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhj-UG41AZIHzoHv8zmx4wd3JgNAJVxRR4k3cCEHuuHDZWsNmxZsa2bRb-h6GL6_K_Gn5o4GP9fikiYUGVC4sbkPXx_BcBBAMgu1INfIbCj5ucyiE_KHaZMt3rl1NdNLJrLy6Z0jjOSK65Zu6Yjel2GjuwqE4PyXCN2cAQE7Up37NATreub6A-njBrOAuVm/w400-h203/Captura%20de%20pantalla%20de%202024-03-17%2011-44-54.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">F5 Distributed Cloud Services<br /></td></tr></tbody></table><br />Chacun des emplacements périphériques du client se connecte à l'infrastructure des Distributed Cloud Services via un ensemble de tunnels IPSec ou SSL vers plusieurs emplacements périphériques régionaux qui donnent accès à la plate-forme mondiale et aux services de transit. Cela donne aux utilisateurs la flexibilité de déployer facilement, à la demande, des sites en périphérie des clients dans presque tous les environnements de friches industrielles ou de nouvelles installations. Tous les sites sont associés à l'environnement locataire du client et sont gérés via une plate-forme SaaS commune fournie par des Distributed Cloud Services, qu'il s'agisse d'un portail Web ou de l'API. Cela permet aux utilisateurs connectés à leur environnement locataire de gérer l'infrastructure sur un ensemble diversifié de fournisseurs physiques et cloud en tant qu'identité gérée de manière centralisée.</div><div style="text-align: justify;"><br />Un site est constitué d'un cluster d'un ou plusieurs nœuds. Un cluster peut être augmenté ou réduit en fonction de la charge en ajoutant ou en supprimant des nœuds. Chaque nœud est une appliance logicielle Linux déployée dans une machine virtuelle, un cluster Kubernetes sur du matériel standard ou fournie en tant qu'appliance matérielle à partir de Distributed Cloud Services.<br /><br />Gérez-vous déjà vos sites dans un cloud distribué ?<style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-41482834819330312242024-03-11T07:30:00.001+01:002024-03-11T07:30:00.237+01:00Secrets Management<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgSJS5x0i6ju-COXuUXjOQ2w6Gi7VI4hmUDRP7tqvBYqHO9Ef2GQF0xXkFWLmBuyDj9ezwNaE86HwJDfAWCbczQ0Vs574tAQCCKUH1yZPBkrwKzbFxTJrUZ5LWKNf6HIqwFbyTDeyyOO-JgZpevlFwPEejYWmjWg1fTtqtGAgTuJpKH3cQzu473NWOMs9fG/s705/secrets%20mgmt.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="397" data-original-width="705" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgSJS5x0i6ju-COXuUXjOQ2w6Gi7VI4hmUDRP7tqvBYqHO9Ef2GQF0xXkFWLmBuyDj9ezwNaE86HwJDfAWCbczQ0Vs574tAQCCKUH1yZPBkrwKzbFxTJrUZ5LWKNf6HIqwFbyTDeyyOO-JgZpevlFwPEejYWmjWg1fTtqtGAgTuJpKH3cQzu473NWOMs9fG/s320/secrets%20mgmt.png" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">Dans cet article, je vais donner un aperçu de certains des concepts clés et de l'objectif des secrets, de la gestion des secrets et de la gestion des clés. <br /></div><div><br /></div><div style="text-align: justify;">Commençons par un certain point de vue de l’industrie. La manière dont les utilisateurs peuvent accéder en toute sécurité à une application et à des données sur des réseaux de tous types est bien comprise et mise en œuvre. Les gens le font tous les jours normalement lorsqu'ils utilisent des applications sur des réseaux et des appareils. Cependant, la sécurisation de l’accès d’application à application et d’application à données n’est pas aussi bien comprise ni mise en œuvre. En effet, les applications distribuées dans des environnements hétérogènes constituent encore une nouvelle tendance. <br /></div><div><br /></div><div style="text-align: justify;">Les propriétaires d'applications souhaitent tirer parti des applications distribuées dans des environnements hétérogènes et gèrent également des centres de données privés ou des environnements cloud. Il s’agit d’une course croisée d’une mosaïque de solutions ponctuelles qui abordent divers aspects du problème de sécurité. Ce problème est multicouche car toute solution doit prendre en compte l'identité, l'authentification, l'autorisation, les secrets et la gestion des clés. <br /></div><div><br /></div><div style="text-align: justify;">Comme je l'ai écrit, il existe une mosaïque de solutions dans l'industrie pour gérer divers aspects de la sécurisation de l'accès d'application à application et d'application à données. Tout le monde travaille dur sur ce problème mais le fait demeure et il n'existe toujours pas de solution intégrée qui fonctionne dans tous ces domaines qui combinent les éléments d'identité, d'authentification, d'autorisation, de gestion des secrets et de gestion des clés. C'est un peu complexe à gérer pour toutes les équipes DevOps, SecOps et NetOps. <br /></div><div><br /></div><div style="text-align: justify;">Quels sont les composants nécessaires pour qu'une application puisse accéder en toute sécurité à un autre ensemble de données d'application. Commencez par établir l’identité de l’application souhaitant accéder à une autre application. Cette identité doit être vérifiable et a établi des ancres solides. Le prochain élément de la chaîne est l’authentification. Il s'agit du processus de vérification de l'identité revendiquée de l'accès dans l'application. Cela se fait généralement avec le certificat, les secrets ou le mot de passe. Une fois que nous sommes en mesure d'authentifier et de vérifier l'identité, nous devons mapper cette identité à un ensemble d'autorisations qui décrivent les ressources auxquelles l'identité peut accéder. <br /></div><div><br /></div><div style="text-align: justify;">Aujourd'hui, les secrets sont malheureusement soit stockés dans le code, soit accessibles via un coffre-fort externe. Bien que la première pratique soit généralement mauvaise, le second cas nécessite un autre secret qui doit être stocké avec l'application afin d'accéder au coffre-fort où réside la clé qui vous intéresse. <br /></div><div><br /></div><div><div style="text-align: justify;">Comment gérez-vous les clés et les secrets dans les communications d'application à application ?</div><p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-46234116979400806722024-03-04T07:30:00.003+01:002024-03-04T07:30:00.251+01:00F5XC – Alerts, Logging and Auditing<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuV78Jcr5i0CcyRI7w1TkFAUcwk_c_TR7NuhkEqtCOWKXcYb_2i6pnhrW8vZjecpmQ3gwYlp2TV6NNC9j75kbMz3SV_4kW2mv0OyUs6EDDbcqZzoCrDiyPl7Cav6AGI_5h_-U7Dq2EsoCbeO6-SX8wRku2uPEvlrEy-tui0fV3wYski8fr3gQ_A6KlGKU1/s705/F5XC%20-%20Alerts%20Logging%20and%20Auditing.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="397" data-original-width="705" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuV78Jcr5i0CcyRI7w1TkFAUcwk_c_TR7NuhkEqtCOWKXcYb_2i6pnhrW8vZjecpmQ3gwYlp2TV6NNC9j75kbMz3SV_4kW2mv0OyUs6EDDbcqZzoCrDiyPl7Cav6AGI_5h_-U7Dq2EsoCbeO6-SX8wRku2uPEvlrEy-tui0fV3wYski8fr3gQ_A6KlGKU1/s320/F5XC%20-%20Alerts%20Logging%20and%20Auditing.png" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">Le but de cet article est de vous présenter certains des concepts de base des alertes, de la journalisation et de l'audit requis pour utiliser F5 via la console Distribute Cloud. <br /></div><div><br /></div><div style="text-align: justify;">Les alertes appartiennent aux quatre catégories suivantes. Ils incluent une alerte en cas d'échec de configuration, de validation ou de fonctionnement. Par exemple, si vous essayez de faire référence à quelque chose qui n'existe pas, vous recevez une alerte indiquant que vous essayez d'accéder à des ressources qui n'existaient pas. Le deuxième type d’alerte est basé sur les applications. Le troisième type d'alerte concerne les violations et les politiques liées à la sécurité, les violations du WAF ou certains types d'anomalies. Le dernier type d'alertes est généré pour les modifications apportées à l'état de fonctionnement et aux composants de l'infrastructure. Par exemple, une alerte serait générée si votre appareil client n'était plus accessible ou si une ou plusieurs de vos interfaces ont changé de statut. Les alertes sont générées en fonction d'un déclencheur et pour un journal ou un type de journal spécifique. <br /></div><div><br /></div><div style="text-align: justify;">Les trois types de journaux sont disponibles dans la console Distribute Cloud Services. Les journaux d’accès enregistrent les demandes et les réponses correspondantes. Les journaux d'application sont un autre type de journaux qui peuvent être utilisés pour dépanner les applications exécutées sur les services Kubernetes Distribute Cloud Services. Un journal d'audit a une structure qui comprend les utilisateurs demandeurs, l'URL de la demande, les informations sur la source et la destination des informations sur les opérations, les demandes et les réponses, ainsi que l'horodatage. <br /></div><div><br /></div><div style="text-align: justify;">Un journal d'accès est un enregistrement de la demande et de la réponse correspondante. Outre les métriques du système, ces journaux constituent un outil important pour résoudre les problèmes liés aux hôtes virtuels. Ces journaux sont également utilisés par le modèle d'apprentissage automatique des services cloud distribués pour créer la visualisation du balisage du point de terminaison de l'API. Il s'agit d'une fonctionnalité intéressante de la plate-forme qui vous permet de voir comment les applications, les composants d'application et les structures de statut sont accessibles. Ceci est utile non seulement pour comprendre comment les applications sont structurées, mais également pour aider à créer et valider toutes les politiques de sécurité élaborées pour protéger votre application. <br /></div><div style="text-align: left;"><br /><div style="text-align: justify;">Comme mentionné précédemment, les journaux d'application sont un autre type de journal qui peut être utilisé pour dépanner les applications exécutées sur les services F5 Distributed Cloud Kubernetes. Les journaux peuvent être interrogés à l'aide d'outils de ligne de commande standard tels que Kubectl. <br /></div></div><div><br /></div><div style="text-align: justify;">Enfin, les journaux de piste d'audit sont des outils essentiels d'un point de vue opérationnel et de sécurité. Les journaux d'audit sont générés lorsqu'un objet de configuration est créé, modifié, supprimé ou accessible à l'aide de l'API de gestion des services Cloud distribué. Ces journaux sont utilisés pour créer des rapports afin de détecter les tendances et, plus important encore, pour détecter les comportements anormaux qui nécessitent une certaine forme d'analyse et d'éventuelles mesures correctives. Les journaux de piste d'audit ont une structure qui inclut les utilisateurs demandeurs, l'URL de la demande, les informations sur la source et la destination des informations sur les opérations, les demandes et les réponses, ainsi que l'horodatage. Vous pouvez accéder à ces journaux via la console Distributed Cloud et l'API de gestion. <br /></div><div><br />Avez-vous l'habitude de consulter des journaux ?<p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-70255435343053442322024-02-26T07:30:00.007+01:002024-02-26T07:30:00.131+01:00F5 BIG-IP – Life of a packet<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-0JqHhs71URN85vxfUjz08FgznBCC761bnLznI0swxsJNvXx_CyE6m__92lAyye9fdEdyBReFgfcSyrJqJUJ7Ri-TVwWBe7XQRGoj9zIDL24AbRf4U8wqRQOFOqo-HvUH6f4Z96DJn7B9fqaF-o2rs3JpPV44DgAPNYG1PdqeL4LRj7qkMaFcoSBm0y_Q/s1366/F5%20BIG-%20IP%20-%20Life%20of%20a%20packet.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="768" data-original-width="1366" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-0JqHhs71URN85vxfUjz08FgznBCC761bnLznI0swxsJNvXx_CyE6m__92lAyye9fdEdyBReFgfcSyrJqJUJ7Ri-TVwWBe7XQRGoj9zIDL24AbRf4U8wqRQOFOqo-HvUH6f4Z96DJn7B9fqaF-o2rs3JpPV44DgAPNYG1PdqeL4LRj7qkMaFcoSBm0y_Q/s320/F5%20BIG-%20IP%20-%20Life%20of%20a%20packet.jpg" width="320" /></a></div>
<p></p></div><div style="text-align: justify;"> Connaître la durée de vie d'un paquet est très important pour les ingénieurs réseau. Cela nous aide à savoir où se trouve le paquet en cas de problème. J'ai étudié la durée de vie d'un paquet dans le pare-feu FortiGate il y a des années lorsque j'ai commencé à installer ce type d'appliances. Aujourd’hui, j’étudie également la durée de vie d’un paquet pour les appareils BIG-IP. Jetons un coup d'œil à <b><a href="https://community.f5.com/kb/technicalarticles/lightboard-lessons-big-ip-life-of-a-packet/287794" target="_blank">l'article suivant</a></b>.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbqG73MEim53fCK3I0wwv_6UjBQBPgY94EhNXPgkvjjmMqukvMiRos4NiphrOERe1VW5Y4i0Bqlnyag3tWnoCkG_nRdPkXsN_PezCHtY8hhATKDr9lu4dLEqQODzak1bwckuDptutMxI0-EkC6zm4_j1_PNjsCBm8fjdUqnDLKTxzG_6CdAw8pP5X82Lxt/s1401/F5%20BIG-IP%20-%20Life%20of%20a%20packet%20flow.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="739" data-original-width="1401" height="211" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbqG73MEim53fCK3I0wwv_6UjBQBPgY94EhNXPgkvjjmMqukvMiRos4NiphrOERe1VW5Y4i0Bqlnyag3tWnoCkG_nRdPkXsN_PezCHtY8hhATKDr9lu4dLEqQODzak1bwckuDptutMxI0-EkC6zm4_j1_PNjsCBm8fjdUqnDLKTxzG_6CdAw8pP5X82Lxt/w400-h211/F5%20BIG-IP%20-%20Life%20of%20a%20packet%20flow.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">La vie d'un paquet</td></tr></tbody></table><br />Nous allons commencer avec le paquet entrant dans la boîte et c'est là que l'interface va frapper le paquet et entrer. La première chose qu'elle va faire, si nous avons une boîte hardware, est d'appuyer sur l'ASIC de déchargement matériel et , au niveau hardware, nous examinerons plusieurs choses différentes. Nous avons d'abord les secteurs DoS L2 à L4, puis nous avons également l'intelligence IP (IPI) et enfin l'accélération hardware. Si nous avons une baisse du DoS L2 vers L4 ou de l'IPI, alors nous allons réinitialiser le trafic. <br /><br />S’il n’y a rien d’autre que l’ASIC puisse examiner, il passera à la couche deux. C'est dans L2 que nous allons avoir les filtres de paquets sans état, puis nous aurons également notre recherche de flux. Si les filtres de paquets sans état détectent quelque chose, nous allons les supprimer et les réinitialiser au point de recherche de flux. Nous allons en fait jeter un œil au tableau des flux. Ce n’est pas vraiment un chemin actif. C'est juste une sorte de plan de contrôle. Cela va faire une requête puis il va répondre, oui ou non, sur un flux existant. S'il existe un flux existant, il doit être dirigé vers la chaîne HUD, qui concerne tous les modules sur BIG-IP tels que LTM, ASM, DNS ou APM. À propos, Tcpdump se produit en L2. Cependant, s’il n’y a pas de correspondance pour un flux existant, nous passons à L3. <br /><br />Si nous n’avons pas de boîtier hardware, nous avons également des vecteurs DoS L2 à L4 côté logiciel. Par conséquent, si ces vecteurs trouvent une correspondance dans l’une de ces heuristiques, les paquets seront supprimés. Sinon, nous allons procéder à une recherche des Virtual Servers. N'oubliez pas que BIG-IP sans Virtual Servers ne transmettra aucun trafic. Nous pouvons avoir toutes les routes du monde mais c’est une boîte de refus par défaut. Pas des Virtual Servers, pas de trafic. Au moins pas de trafic via la box. Le trafic atteindra évidemment la boîte, mais il ne passera pas à moins qu'il n'y ait une correspondance des Virutal Servers. <br /><br />Si nous avons l'AFM, nous avons le contexte global, nous avons les domaines de routage et ensuite nous avons les Virtual Servers. Les Virutal Servers s’intègrent évidemment à l’intérieur et à l’extérieur de l’AFM. Si nous n’avons pas d’AFM, le processus du Virutal Server s’applique toujours. Dans le contexte global, nous n'avons que le pare-feu réseau. Cependant, nous disposons d'un IPI et d'un pare-feu réseau dans les domaines de routage et les Virutal Servers. <br /><br />Enfin, nous allons passer à l’acceptation du flux et le flux va être créé. Ensuite, nous allons remplir la table des flux avec ce flux. Alors la prochaine fois, il sait que c'est un bon flux. Le flux est accepté puis il passe par la chaîne HUD où va tous les profils que nous avons créés, d'abord côté client et plus tard côté serveur. Ensuite, les paquets vont vers L3, puis L2, où Tcpdump a lieu, et enfin via les interfaces réseau. <br /><br />Connaissez-vous la durée de vie d'un paquet dans BIG-IP ?<style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-14503964895804971022024-02-19T07:30:00.004+01:002024-02-19T07:30:00.141+01:00El valor de la atención<div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEibJKw08Rb1TZi6L8eylNGtVXv4l-CyNSozbETZIb-fQ61v_MqRM230Su0vopEYoh3K3DaX0tKrKyFIFQ3o2bb_vp3oJC_xsp7OJRyUBhSLWa6doQW-my5fyXLL0ChxrA3w13w5eV3rKgsVKW1OmIv2j-EsPYgOGoPmTLsgHvsz_s2tExiOMpd9Rqo9m7pf/s4960/Livre%20-%20El%20valor%20de%20la%20atencion.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="3508" data-original-width="4960" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEibJKw08Rb1TZi6L8eylNGtVXv4l-CyNSozbETZIb-fQ61v_MqRM230Su0vopEYoh3K3DaX0tKrKyFIFQ3o2bb_vp3oJC_xsp7OJRyUBhSLWa6doQW-my5fyXLL0ChxrA3w13w5eV3rKgsVKW1OmIv2j-EsPYgOGoPmTLsgHvsz_s2tExiOMpd9Rqo9m7pf/s320/Livre%20-%20El%20valor%20de%20la%20atencion.jpg" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">J'ai lu un livre ces derniers mois sur l'attention et le manque d'attention et de concentration des gens. Le monde évolue de plus en plus vite. Nous voulons faire beaucoup de choses. Il n’y a pas de moment dans la journée pour tout ce que nous voulons faire et ce mode de vie rend l’attention et la concentration de moins en moins bonnes. En fait, certains articles démontrent qu’un tiers de la population n’a jamais lu un livre après avoir quitté l’école secondaire. Ils ne peuvent pas prêter attention et ne peuvent pas se concentrer pour faire une seule chose. Cette statistique est incroyable ! <br /></div><div><br /></div><div style="text-align: justify;">Si vous franchissez le pas et lisez le livre « El valor de la atención » de Johann Hari, vous vous rendrez compte que l'une des principales raisons pour lesquelles nous ne sommes pas capables d'être attentifs et de rester concentrés en ne faisant qu'une seule chose, comme lire un livre, est dû à l’utilisation des réseaux sociaux. Des entreprises comme Facebook, Instagram ou TikTok souhaitent que nous soyons connectés en permanence à leurs applications. Par conséquent, ils développent des techniques, telles que le défilement infini, pour attirer l’attention des utilisateurs et leur montrer de nombreuses publicités. Si nous sommes dans un réseau social, ils gagnent de l'argent. <br /></div><div><br /></div><div style="text-align: justify;">Les réseaux sociaux ne sont pas seulement la raison pour laquelle nous manquons d’attention et de concentration, mais nous dormons de moins en moins et nous manquons de repos. 24 heures ne suffisent pas pour tout ce que nous voulons faire dans une journée, alors nous nous couchons tard. Cependant, le cerveau a besoin de se reposer, de s’arrêter car il doit consolider ses connaissances et relier ce qui a été appris au cours de la journée. Dernièrement, je dors plus qu’avant et j’ai réalisé que non seulement je peux mieux me concentrer, mais que je suis plus heureux et que je me mets moins en colère. <br /></div><div><br /></div><div style="text-align: justify;">Il y a beaucoup de choses intéressantes dans ce livre qui nous aident à améliorer la concentration et l'attention. En plus des réseaux sociaux et du repos, vous pouvez en savoir plus sur le multitâche et pourquoi nous ne parvenons pas à nous concentrer plus de 3 minutes. Quelle est l’importance de ne rien faire pour améliorer la créativité. Par exemple, marcher nous aide à penser à de nouvelles choses et à créer de nouvelles choses. Je vous recommande de lire ce livre si vous souhaitez retrouver votre attention et votre concentration. <br /></div><div><br />Quel livre es-tu en train de lire ?<p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-91181222370739483892024-02-12T07:30:00.001+01:002024-02-12T07:30:00.263+01:00F5XC - Web App Security<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEht8B6ppIe9I9CJDb1sR_3AA1mpNmSv7rJDSoSlnrQTKAEdfvMIEI-kjtBLurA4VVAY_Hx2oA54E6spcd9goG0mquK_YK-nP1PNcXmVq5yd2xjXlKtQxqPEpHVW-7ENyFfJnK7W46a603_sIRLbmZjCDE9VzpAbXgLUxPQYiZ2XhG4RwbShVij0WAPbvaad/s1920/F5XC%20%E2%80%93%20Web%20App%20Security.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEht8B6ppIe9I9CJDb1sR_3AA1mpNmSv7rJDSoSlnrQTKAEdfvMIEI-kjtBLurA4VVAY_Hx2oA54E6spcd9goG0mquK_YK-nP1PNcXmVq5yd2xjXlKtQxqPEpHVW-7ENyFfJnK7W46a603_sIRLbmZjCDE9VzpAbXgLUxPQYiZ2XhG4RwbShVij0WAPbvaad/s320/F5XC%20%E2%80%93%20Web%20App%20Security.png" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">F5XC fournit une sécurité avancée des applications, une sécurité des API et une atténuation DDoS pour protéger les applications Web déployées sur le cloud public, les centres de données ou les sites périphériques. L'article d'instructions suivant illustrera comment sécuriser votre application Web. <br /></div><div><br /></div><div><div style="text-align: justify;">Nous suivrons ce guide étape par étape pour configurer le cas d'utilisation de la sécurité des applications Web. Première étape, déléguer le domaine, dans cette étape, nous configurons la délégation du domaine à gérer par F5XC pour la gestion DNS automatique des domaines configurés. Deuxième étape, équilibreur de charge, dans cette étape, nous devons créer un pool d'origine qui sera utilisé par l'équilibreur de charge HTTP qui sera ensuite exposé sur F5XC ADN pour les performances de sécurité et DDoS. Troisième étape, application Web sécurisée, maintenant que le VIP (Virtual IP) est configuré, nous devons le sécuriser. F5XC propose plusieurs options, mais le moyen le plus simple consiste à activer le pare-feu d'application Web (WAF) et la détection des utilisateurs malveillants sur un serveur d'origine. La topologie du cas d'utilisation est la suivante.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhg2Px_Kh1PJ55qIJb2flJNogBBWVPjOCzZ4lE8otJmp3g0f8rHsz-XZ-kUzGSVSQU1NMcPTh_wGGCa0sRWgtnxx5dPsZ0ump8o8yElRvucJiL6z5zQYxhrJgQv9Q4P3LJZlRjCvHaNcYL231itdTbwf1Qv31Rpgk9zv-nhLHfBdG6CE-aGDWHSNMbByW0u/s1887/WebApp%20and%20API%20Protection.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="864" data-original-width="1887" height="184" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhg2Px_Kh1PJ55qIJb2flJNogBBWVPjOCzZ4lE8otJmp3g0f8rHsz-XZ-kUzGSVSQU1NMcPTh_wGGCa0sRWgtnxx5dPsZ0ump8o8yElRvucJiL6z5zQYxhrJgQv9Q4P3LJZlRjCvHaNcYL231itdTbwf1Qv31Rpgk9zv-nhLHfBdG6CE-aGDWHSNMbByW0u/w400-h184/WebApp%20and%20API%20Protection.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">WebApp and API Protection</td></tr></tbody></table><br />À l'aide du SaaS F5XC, nous configurerons F5XC pour devenir propriétaire du domaine, ce qui inclut la création des enregistrements de ressources DNS nécessaires du nouveau sous-domaine appelé demo.distributedappsonvolt.org. À partir de là, nous créerons un équilibreur de charge HTTPS qui créera une IP virtuelle (VIP) sur F5XC ADN qui est située dans de nombreux pods à travers le monde et générera automatiquement un certificat SSL signé pour le VIP. Nous pouvons le diriger vers un site Web public hébergé. Pour plus de simplicité, la meilleure méthode consiste à utiliser un serveur d’origine public existant. Une fois l'équilibreur de charge HTTP distribué mondialement configuré, nous pouvons activer les fonctionnalités de sécurité, nous cliquerons sur activer la détection des utilisateurs malveillants et activer WAF. Toutes les adresses IP virtuelles instanciées sur F5XC ADN sont également automatiquement protégées par DDoS. <br /><br />Pour résumer, à titre de guide étape par étape, à la première étape, nous déléguerons le domaine demo.distributedappsonvolt.org. Cela se fait sur la console F5XC. Nous irons ensuite dans un espace de noms d'application et nous configurerons un équilibreur de charge, nous allons utiliser un sous-domaine du domaine délégué à l'étape précédente. Étant donné que le domaine appartient et est géré par F5XC, le sous-domaine sera également géré par F5XC. Cet équilibreur de charge sera un équilibreur de charge HTTPS, mais comme F5XC gère le sous-domaine que vous configurez à la première étape, les certificats seront créés automatiquement pour cloudf5-vip.demo.distributedappsonvolt.org. Lors de la dernière étape, la troisième étape, nous allons activer la détection des utilisateurs malveillants et nous allons activer le WAF pour cet équilibreur de charge. <br /><br />Trois étapes simples pour sécuriser vos applications Web, êtes-vous prêt ?<style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-63477388038484921802024-02-05T07:30:00.003+01:002024-02-05T07:30:00.127+01:00F5XC – Automation and Tools<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTwbq0PbuDD36Q4FkV6Xx15HFvkYyiLTykD0JIJZbhWFFy3XrLc8Jk8hStIZ3dyGKgkydqNmctV2piY07qg96iOLC0ZmqKT0XWvavN3RIIqHLOxddNa4hrEjEhFJ9zttoTYzBH2XmGmLqHW-lLm0Z5LN54OkFjI6mA11NKT4EmA_E_1WWyCSBnVSSbljxu/s705/F5XC%20-%20Automation%20and%20Tools.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="397" data-original-width="705" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTwbq0PbuDD36Q4FkV6Xx15HFvkYyiLTykD0JIJZbhWFFy3XrLc8Jk8hStIZ3dyGKgkydqNmctV2piY07qg96iOLC0ZmqKT0XWvavN3RIIqHLOxddNa4hrEjEhFJ9zttoTYzBH2XmGmLqHW-lLm0Z5LN54OkFjI6mA11NKT4EmA_E_1WWyCSBnVSSbljxu/s320/F5XC%20-%20Automation%20and%20Tools.png" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">Dans cet article, nous allons passer en revue les options d'outils disponibles sur la plateforme Volterra. Les options d'outils disponibles aujourd'hui sont <b>vesctl</b> qui est un outil de ligne de commande utilisé pour configurer, créer et surveiller tous les objets Volterra du système, le <b>Volterra Platform Provider</b> qui est un fournisseur public pour la configuration d'objets spécifiques liés à l'infrastructure dans le système, <b>kubctl</b> qui est Volterra VoltStack pour le déploiement et la gestion d'applications, et les <b>API Volterra</b> peuvent également être utilisées comme un ensemble complet d'API pour l'interface Web avec la plateforme. <br /></div><div><br /></div><div style="text-align: justify;">Vesctl est un outil de ligne de commande utilisé pour créer, diagnostiquer et déboguer les services Volterra. Les commandes disponibles sont la « configuration » fournissant des opérations liées au CRUD des objets Volterra, des opérations liées au « site » telles que la modification, la création ou la suppression de sites, la «request» pour autoriser les commandes personnalisées et les « completion » de scripts. <br /></div><div><br /></div><div style="text-align: justify;">En examinant le Volterra Platform Provider, il s'agit d'un fournisseur Terraform public qui peut être utilisé pour configurer des objets Volterra. Des exemples d'objets sont les « sites », la « sécurité » tels que les objets réseau, URL, API, des éléments tels que la mise en réseau et les pare-feu ou le filtrage d'URL, les « équilibreurs de charge » tels que HTTP/HTTPS et TCP, les « Vk8s », les « maillages de services » et plus. Une liste complète peut être trouvée sur la page d'informations du <b><a href="https://registry.terraform.io/providers/volterraedge/volterra/latest/docs" target="_blank">Volterra Platform Provider</a></b>. <br /></div><div><br /></div><div style="text-align: justify;">En examinant kubectl, il s'agit d'un outil communautaire permettant d'effectuer des opérations CRUD sur n'importe quel cluster k8s. Volterra Kubernetes ou les objets virtuels k8s liés et créés dans VoltConsole peuvent fournir un k8s standard conforme au point de terminaison de l'API. Ainsi, les commandes kubectl standard sont prises en charge sur le point de terminaison des objets vk8s. Des détails supplémentaires peuvent être trouvés sur les ressources vk8s sur la documentation de l'<a href="https://docs.cloud.f5.com/docs/how-to/volterra-automation-tools/apis" target="_blank"><b>API Volterra</b></a>. <br /></div><div><br /></div><div style="text-align: justify;">Enfin, nous allons passer en revue les API Volterra Direct. L'API Volterra donne accès à tous les objets Volterra. La configuration est présentée sous forme d'objets. Les objets représentent l'état souhaité du système. La plupart des API sont des opérations REST sur ces objets et comportent trois parties. Cela inclut les métadonnées, les métadonnées système et les spécifications. <br /></div><div><br /></div><div style="text-align: justify;">Toutes ces automatisations et outils sont vraiment intéressants pour gérer les services Volterra. Peut-être connaissiez-vous déjà Kubectl et Terraform qui sont très utilisés pour gérer les clusters Kubernetes et automatiser le provisionnement de l'infrastructure dans n'importe quel cloud. <br /></div><div><br />Êtes-vous habitué à configurer des services avec des outils d'automatisation ?<p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-86509425300770802122024-01-29T07:30:00.005+01:002024-01-29T07:30:00.136+01:00F5 APM – Clientless Mode<div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEggLaFrg1SPldJVttd4tUT5K1LD7YGuauHX6a_hfYTDCN3AnEIi5CNUzsY20-C9fZPVT_KjrkoIzPiD-I801ll8gm_lSSE9KS93rL6iBWaW5GBgvK_oTa9A6cYxzD1xJuZPugUJFiK1z8i6iXqwXRt2wDlev-fAMDSKQZ4KTGovm1NIkk2h7Om9plmo3cyh/s1280/F5%20APM%20-%20Clientless%20Mode.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="720" data-original-width="1280" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEggLaFrg1SPldJVttd4tUT5K1LD7YGuauHX6a_hfYTDCN3AnEIi5CNUzsY20-C9fZPVT_KjrkoIzPiD-I801ll8gm_lSSE9KS93rL6iBWaW5GBgvK_oTa9A6cYxzD1xJuZPugUJFiK1z8i6iXqwXRt2wDlev-fAMDSKQZ4KTGovm1NIkk2h7Om9plmo3cyh/s320/F5%20APM%20-%20Clientless%20Mode.jpg" width="320" /></a></div>
<p></p></div><div style="text-align: justify;"> De temps en temps, je rencontre des clients qui disposent de services derrière un APM F5 et qui souhaitent accéder aux ressources depuis une application client. Je veux dire, il s’agit d’un service machine à machine via F5 APM. Par exemple, ils disposent de MS Exchange ou Citrix Storefront derrière F5 APM et souhaitent accéder aux applications Citrix ou par email à partir d'une application client qui n'est pas un navigateur. Ce type de déploiements peut être facile à réaliser si vous connaissez la fonctionnalité « Clientless Mode », mais cela peut être un désastre si vous ne la connaissez pas.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhaunKc_QaWMOU6lKGIHKwwFn7-ZC9lcEhmH98jJ-rTMBIjwOKA02Rtm1avGStMjrip-oQmJ55kaq1Dqwofdo6I7bZBqU9kPe9XRa7SAHt-A_osDNR_lBNovB6vMRwG5ozjCDD2INVwQZwNC8In4fkh4vO8fpZvrt2-MWNWDbY4PYn9hyYqTGWoiYtFCLw5/s1534/Clientless%20mode%20protocol%20flow.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="848" data-original-width="1534" height="221" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhaunKc_QaWMOU6lKGIHKwwFn7-ZC9lcEhmH98jJ-rTMBIjwOKA02Rtm1avGStMjrip-oQmJ55kaq1Dqwofdo6I7bZBqU9kPe9XRa7SAHt-A_osDNR_lBNovB6vMRwG5ozjCDD2INVwQZwNC8In4fkh4vO8fpZvrt2-MWNWDbY4PYn9hyYqTGWoiYtFCLw5/w400-h221/Clientless%20mode%20protocol%20flow.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Flux de protocole en mode sans client</td></tr></tbody></table><br />Il existe principalement trois « Clientless Mode ». Le premier est celui « par défaut », où les en-têtes de requête d'origine sont transmis à APM. Il n'y a pas de redirection vers /my.policy et aucune entrée n'est collectée auprès de l'utilisateur final. Vous avez également besoin d'une iRule pour traiter les entrées et les placer dans l'en-tête HTTP. De plus, les agents de politique d'accès nécessitant les entrées de l'utilisateur s'exécutent silencieusement, comme Logon Page ou Message Box. <br /><br />Le deuxième « Clientless Mode » est capable de transmettre la demande et les en-têtes d'origine à Logon Page Agent, similaire au « Clientless Mode » 1, sauf que l'agent de page de connexion analyse le corps HTTP POST. Ce mode est utile pour authentifier les utilisateurs, notamment pour « espionner » les identifiants qui sont inclus dans le corps HTTP POST. Un cas d’utilisateur consiste à disposer d’un déploiement de connexion sans page de connexion. Par exemple, les utilisateurs travaillant sur un autre site Web et ce site Web redirigent les utilisateurs vers APM avec JavaScript et l'utilisateur se reconnecte automatiquement à APM avec les informations d'identification fournies. <br /><br />Le troisième « Clientless Mode » est similaire au deuxième mais le troisième a plus d'extensions que le « Clientless Mode » 2 car, par exemple, il prend en charge l'authentification à deux facteurs avec Citrix. De plus, contrairement aux modes 1 et 2, en mode 3, les agents AAA peuvent demander une authentification supplémentaire telle qu'une nouvelle tentative de connexion, le prochain jeton RSA, etc. Par conséquent, il est utilisé par des clients tels que VMware ou Citrix. Il est peu probable que vous utilisiez ce mode. <br /><br />Pour résumer, vous disposez de trois modes pour « contourner » le Logon Page Agent de connexion pour les communications machine à machine. C'est à vous de choisir lequel choisir. Cette fonctionnalité avancée peut vous aider beaucoup dans de nombreux projets. <br /><br />Avez-vous déjà utilisé la fonctionnalité « Clientless Mode »?<style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-73189970319401106672024-01-22T07:30:00.001+01:002024-01-22T07:30:00.140+01:00What is the NGINX IC for Kubernetes?<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgnGHWt7srB1Njbx5Ab5X_ULtk-EJH0tYuiWpNa6287I8_i9EUNDzCpmarrDaCG4DlrePJQ7doVG5ld4tfOgFQQi-H1brgMyL5cOglteqG8sfSrewNsuATR1N0klaWbBZuzqlqOifE5PMVF14Ag2aalTaikKinSA65br67p7luquw4ECicasGdm_0Owd9CT/s1920/Captura%20de%20pantalla%20de%202024-01-21%2013-10-10.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgnGHWt7srB1Njbx5Ab5X_ULtk-EJH0tYuiWpNa6287I8_i9EUNDzCpmarrDaCG4DlrePJQ7doVG5ld4tfOgFQQi-H1brgMyL5cOglteqG8sfSrewNsuATR1N0klaWbBZuzqlqOifE5PMVF14Ag2aalTaikKinSA65br67p7luquw4ECicasGdm_0Owd9CT/s320/Captura%20de%20pantalla%20de%202024-01-21%2013-10-10.png" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">Les clients demandent de plus en plus de projets de conteneurs où les services doivent être équilibrés et protégés. Les conteneurs présentent de nombreux avantages et cette technologie est là pour rester longtemps. Par conséquent, je dois franchir le pas et étudier en profondeur le fonctionnement de F5 BIG-IP, NGINX Ingress Controller et Kubernetes. Aujourd'hui, j'ai lu et testé les microservices avec toutes ces technologies. <br /></div><div><br /></div><div><div style="text-align: justify;">Jetez un œil au diagramme suivant où nous pouvons voir différents pods d'un cluster Kubernetes, qui sont les microservices d'un site Web. Il existe quatre modules, chacun d'eux étant destiné à une proposition différente, et Kubernetes orchestre tous ces modules d'application. Il existe un NGINX Ingress Controller (IC) pour exposer tous ces modules d'application à des utilisateurs externes. Le NGINX IC peut être déployé en tant que pod Kubernetes standard. La façon dont nous exposons ces conteneurs aux utilisateurs externes consiste à bénéficier de la terminaison SSL, du routage de couche 7 et de l'équilibrage de charge.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhlP47DWhBVbOAKQazONqhyZD7x_pVbXoZR1-1o4YsElsKk8e-ruNYo0wu1JjnFh0B1g5nz2oVe2RctzxpxRw06o_1xese2243sqwWn5E7QW7KNA2j7f5SqWrr5Qk2tb06KUqUUYWgqplR-Q-fMzjV47ieWKv484h08gDjnZiSy5x3wXwL7mK-PZcTZPzFP/s1920/Captura%20de%20pantalla%20de%202024-01-21%2007-59-52.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhlP47DWhBVbOAKQazONqhyZD7x_pVbXoZR1-1o4YsElsKk8e-ruNYo0wu1JjnFh0B1g5nz2oVe2RctzxpxRw06o_1xese2243sqwWn5E7QW7KNA2j7f5SqWrr5Qk2tb06KUqUUYWgqplR-Q-fMzjV47ieWKv484h08gDjnZiSy5x3wXwL7mK-PZcTZPzFP/w400-h225/Captura%20de%20pantalla%20de%202024-01-21%2007-59-52.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Équilibrage de charge du NGINX IC<br /></td></tr></tbody></table><br />Lorsqu'un utilisateur externe se connecte à l'adresse IP publique à l'aide de HTTPS ou que nous chiffrons la demande, une fois que les utilisateurs externes envoient les demandes, NGINX effectue ensuite le routage de couche 7 vers les quatre services différents, et en plus de cela, NGINX prend également en charge l'équilibrage de charge, afin qu'il puisse équilibrer les requêtes HTTPS vers les pods de serveur dans chaque service Kubernetes. Nous pouvons évoluer à la demande en augmentant le nombre de pods pour chaque service, puis l’Ingress Controller peut être reconfiguré automatiquement pour satisfaire les changements.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiiRtUxheAgFsM3kOiEfI2l6vz3yWzebexXOdwIMlvWnlau3Kz-XqdpYMlFow3UZajVEsy4CZ5dMcWYG6V71NT64RkxWR9C8_iX6GNwmXMuRDFJ8ZFly0T8fksU7xJTj0IqARtqrWmTeEx8R-6y1xPbUos20stM20inxyt5wgrxo2XPgABmVWJ05tWnv1u6/s1920/Captura%20de%20pantalla%20de%202024-01-21%2007-57-36.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiiRtUxheAgFsM3kOiEfI2l6vz3yWzebexXOdwIMlvWnlau3Kz-XqdpYMlFow3UZajVEsy4CZ5dMcWYG6V71NT64RkxWR9C8_iX6GNwmXMuRDFJ8ZFly0T8fksU7xJTj0IqARtqrWmTeEx8R-6y1xPbUos20stM20inxyt5wgrxo2XPgABmVWJ05tWnv1u6/w400-h225/Captura%20de%20pantalla%20de%202024-01-21%2007-57-36.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Reconfiguration automatique du NGINX IC<br /></td></tr></tbody></table><br />En résumé, NGINX Ingress Controller est un composant principal d'un cluster Kubernetes pour un véritable équilibrage de charge, une protection des services et une reconfiguration automatique. <br /><br />Êtes-vous déjà en train d'équilibrer la charge d'un cluster Kubernetes avec NGINX IC ?<style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><div style="text-align: justify;"><style type="text/css"> </style></div><div style="text-align: justify;"><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-67473728941395460112024-01-15T07:30:00.009+01:002024-01-15T07:30:00.138+01:00RNS 2.0 - Red Nacional de SOC<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNLem4YuerIiKKiJuGXd6wSiQnVi7Hh6_7BEpZmp0uuEGuzrW6scISCLRQiDBJzx7LQNuFyUyuSfWSzGU-OHLTXP0ec49OgJWSlb3_jaCOora2zujhM9YFvNfpXN0jqFBPpX0ELRljxcNHF2UHMTBeCHUT1a6l_H4bk_pFTKhopzxd4j9hXKKE8OT9_nJf/s1920/RNS%202.0.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiNLem4YuerIiKKiJuGXd6wSiQnVi7Hh6_7BEpZmp0uuEGuzrW6scISCLRQiDBJzx7LQNuFyUyuSfWSzGU-OHLTXP0ec49OgJWSlb3_jaCOora2zujhM9YFvNfpXN0jqFBPpX0ELRljxcNHF2UHMTBeCHUT1a6l_H4bk_pFTKhopzxd4j9hXKKE8OT9_nJf/s320/RNS%202.0.png" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">Ceci est le deuxième article que j'écris sur le RNS espagnol sur mon blog personnel. J'ai écrit sur <b><a href="https://www.davidromerotrejo.com/2024/01/soc-rns-balance-2023-del-ccn-carlos.html" target="_blank">SOC-RNS Balance 2023 del CCN</a></b> la semaine dernière où je vous ai raconté l'évolution de ce service public depuis sa naissance jusqu'à aujourd'hui. Cependant, j'ai regardé ces jours-ci <b><a href="https://www.youtube.com/watch?v=KgV27bPMMiY" target="_blank">une nouvelle vidéo</a></b> sur le RNS dans laquelle CCN-CERT nous parlait d'un PoC qu'ils ont déployé chez certains membres pour améliorer le RNS. Ils l'ont appelé le RNS 2.0. On y va ! <br /></div><div><br /></div><div style="text-align: justify;">Depuis 2021, date du premier lancement du RNS, et tout au long de 2022, des travaux ont été menés pour jeter les bases de la communauté RNS où un canal de communication sécurisé a été mis à la disposition de tous les membres via Element, l'échange MISP et un portail web privé. En 2023, le CCN-CERT a réfléchi à la manière d'améliorer le RNS et il a été décidé d'enrichir les outils IRIS, ANA et MONICA. A cet effet, courant 2023, un pilote a été organisé avec certaines organisations. <br /></div><div><br /></div><div style="text-align: justify;">La première partie du projet pilote consistait à évaluer la surface d'exposition. A cet effet, des audits externes et internes ont été réalisés afin de remonter tous les résultats dans l'outil ANA. L'objectif principal de cette phase a été de pouvoir identifier les vulnérabilités dont disposent les organismes pour profiter de ces informations contextuelles afin de pouvoir alerter de nouvelles vulnérabilités qui pourraient affecter le reste des organismes. <br /></div><div><br /></div><div><div style="text-align: justify;">Dans la deuxième partie du projet pilote, on souhaitait pouvoir recevoir des événements générés par les systèmes MONICA et GLORIA des organisations. Pour ce faire, il a été demandé aux organisations d'envoyer des événements et des alertes à un MONICA central. L'objectif principal était d'intégrer ces alertes dans l'outil IRIS afin d'analyser la volumétrie, la typologie des alertes et événements, les types d'incidents, etc. De plus, le SIEM central de MONICA, agissant comme centralisateur d'alertes, applique le renseignement et, grâce à des règles de corrélation, peut être alerté de nouveaux incidents pouvant affecter le reste des membres du RNS.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_Mo8Z-23onJtNvhW9b1OKtvKXbUIBQX1jJlC3wbAvEDfvtjOyFpoS7515LQL4iSTWCRKQ6rbXYvVRgA0swwvWRDFzy00wZja4gedEwArw7CdjguHfyhFK9gt4r3b5TFjh8usV45bhIG82qO5P2N91I2g7Fiibap_3yzQ6QU8KsdwvAGkZRRowhjzuH56N/s1300/MONICA.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="730" data-original-width="1300" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_Mo8Z-23onJtNvhW9b1OKtvKXbUIBQX1jJlC3wbAvEDfvtjOyFpoS7515LQL4iSTWCRKQ6rbXYvVRgA0swwvWRDFzy00wZja4gedEwArw7CdjguHfyhFK9gt4r3b5TFjh8usV45bhIG82qO5P2N91I2g7Fiibap_3yzQ6QU8KsdwvAGkZRRowhjzuH56N/w400-h225/MONICA.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">MONICA</td></tr></tbody></table><br />Courant 2024, le CCN-CERT souhaite lancer un service d'évaluation des surfaces d'exposition à destination de tout membre du RNS afin qu'il puisse avoir une première vision de l'état de sa sécurité et de ses vulnérabilités. Deuxièmement, le CCN-CERT souhaite lancer un service d'envoi d'alertes sur d'éventuels incidents de sécurité qui pourraient affecter les membres du RNS. Enfin, on souhaitait profiter des informations rapportées par IRIS, ANA et MONICA pour les intégrer dans le portail privé du site. <br /><br />Je pense que ce PoC est vraiment intéressant pour les améliorations du RNS. Ce PoC m'a rappelé comment Alienvault fonctionnait lorsque je l'utilisais il y a dix ans. Il y avait un outil d'évaluation de la vulnérabilité (OpenVAS) intégré au SIEM. Il semble désormais que le CCN-CERT veuille faire de même pour tous ses membres. Bravo ! <br /><br />Passe une bonne journée !!<style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-24724695721373817652024-01-08T07:30:00.001+01:002024-01-08T07:30:00.140+01:00SOC-RNS Balance 2023 del CCN - Carlos Córdoba<div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhmcAz9vFYadeLdEjTrYCRG7p_eeKbZLo3izuzhnUIslHYEyLmKcV-U87voqnlf7MT4KT7S_niVuMc3QSaev1-nXMlew9fb63yes-MVKU8YudRbYfOL7TXxYYopMu6JTsAJW3ZA-ZWitisovGvdjVaDGgf3QzRUIDNaI-FQkwLNin-B7bgyi9Tow1EZWYgW/s1920/Captura%20de%20pantalla%20de%202024-01-05%2012-25-41.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhmcAz9vFYadeLdEjTrYCRG7p_eeKbZLo3izuzhnUIslHYEyLmKcV-U87voqnlf7MT4KT7S_niVuMc3QSaev1-nXMlew9fb63yes-MVKU8YudRbYfOL7TXxYYopMu6JTsAJW3ZA-ZWitisovGvdjVaDGgf3QzRUIDNaI-FQkwLNin-B7bgyi9Tow1EZWYgW/w400-h225/Captura%20de%20pantalla%20de%202024-01-05%2012-25-41.png" width="400" /></a></div>
<p></p></div><div style="text-align: justify;">J'aime toujours regarder les vidéos du CCN-CERT sur ce que fait le gouvernement espagnol en matière de cybersécurité. J'avais déjà entendu parler du RNS ou Red Nacional de SOC il y a longtemps et j'ai regardé les nouvelles vidéos à ce sujet mises en ligne sur la chaîne <a href="https://www.youtube.com/@CCNCERT-CCN" target="_blank"><b>Youtube du CCN-CERT</b></a> où <b><a href="https://www.youtube.com/watch?v=iue2WgmHRlE" target="_blank">Carlos Córdoba</a></b> nous raconte les défis et l'avenir de ce service GRATUIT dans le gouvernement espagnol pour les prestataires de services de sécurité. <br /></div><div><br /></div><div style="text-align: justify;">Carlos dit qu'il semble que peu de choses aient été faites, mais qu'en réalité beaucoup de choses ont été faites. Selon Carlos, le premier défi auquel nous sommes tous confrontés est que nous sommes 4 chats, principalement à cause du manque de personnel spécialisé. Un autre défi auquel nous sommes tous confrontés est le vol d’informations d’identification, qui sont ensuite publiées sur le Dark Web, puis utilisées « légitimement ». De plus, il y a un manque d’automatisation des processus, nous avons beaucoup d’écrans et de tableaux de bord à consulter, nous avons trop d’alertes, etc. <br /></div><div><br /></div><div style="text-align: justify;">Selon lui, de nombreuses organisations continuent d'acheter des serveurs et des logiciels de sécurité, mais manquent toutefois de personnel spécialisé. Insistez sur le fait qu'un SOC est composé de personnes, s'il y a des personnes qui surveillent et analysent les événements, ce n'est pas un SOC. Le CCN-CERT œuvre pour conseiller et conclure des accords avec de nouveaux organismes. Par exemple, le CCN-CERT peut réaliser une évaluation de l'organisation pour voir ce dont elle dispose, dans le but de mettre en œuvre un petit SOC avec un petit budget et, plus tard, des services seront ajoutés. <br /></div><div><br /></div><div><div style="text-align: justify;">Concernant le RNS, Carlos souligne que toutes les informations sont anonymisées. Le réseau SOC est un réseau d'échange d'informations entre machines. Actuellement, le MISP est utilisé là où se trouve la base de données des logiciels malveillants et là où toutes les alertes sont reçues. REYES est utilisé pour purifier les informations obtenues. Les incidents de sécurité se retrouvent dans LUCIA, qui est l'outil utilisé par les organismes publics pour signaler les incidents. Enfin, toutes ces informations sont centralisées dans IRIS.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiU9SO8O2uKm6jjiTIpAG5o0Ku_jFffpDxwwhEb7oU2gO41GINpYHV47oPjaBxaFHUzPMRaqVvIIzzsVB-vSxr8vW_cx0KOaVQR3MIjIRq49tDRSgzvXaQYMTqroMM8a8u8REqrJu-UGULy0TWeWWIbN5Di-3lUt91bA8cJ-vt8EVul-ktMS0Ts9IbQ1AeG/s1210/Captura%20de%20pantalla%20de%202024-01-05%2012-38-16.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="677" data-original-width="1210" height="224" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiU9SO8O2uKm6jjiTIpAG5o0Ku_jFffpDxwwhEb7oU2gO41GINpYHV47oPjaBxaFHUzPMRaqVvIIzzsVB-vSxr8vW_cx0KOaVQR3MIjIRq49tDRSgzvXaQYMTqroMM8a8u8REqrJu-UGULy0TWeWWIbN5Di-3lUt91bA8cJ-vt8EVul-ktMS0Ts9IbQ1AeG/w400-h224/Captura%20de%20pantalla%20de%202024-01-05%2012-38-16.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">SOC</td></tr></tbody></table><br />Actuellement, des listes noires ont été créées dans REYES pour pouvoir les utiliser dans les pare-feu. De plus, des cas d'utilisation sont élaborés pour aider les agences à effectuer des achats d'équipements de sécurité. Cela aidera les organisations qui souhaitent créer un SOC. Enfin, sur la base de l'ENS, un système de certification SOC a été créé et un label sera attribué à tous les prestataires de sécurité certifiés. <br /><br />Je pense que le RNS sonne vraiment bien. J'aimerais participer à ce projet. Nous verrons si les petites entreprises s’intègrent dans le RNS. D'un autre côté, je me suis demandé en 2014 si <b><a href="https://www.davidromerotrejo.com/2014/06/reto-isaca-estamos-vendidos.html" target="_blank">nous avions été vendus</a></b> parce que l'Union Européenne était fortement dépendante de la technologie étrangère et je suis sûr que c'est la voie à suivre pour être résiliente. <br /><br />Passe une bonne journée!!<style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-89353037496604239182024-01-01T07:30:00.001+01:002024-01-01T07:30:00.246+01:00F5 Distributed Cloud Technical Overview 101<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_1_7ELbqyrK7c3M5LyKOdI79j_gkKSo2xiou99H1XPyyOoMT1rUkRGoGX6_JuyIJMn9dPO6c6JgPZGlan7jUWzg2ACkiGuoCAaMjZ2zRzHJT-NT8wfTDDtfOqxM5wqQKPKh6o-9Mn7RyGPKorK2ICZ86er-Zb6v1rrqcGKzZRc8DJLeUoOpPhjOxVL_G7/s705/technical%20overview%20101.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="397" data-original-width="705" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_1_7ELbqyrK7c3M5LyKOdI79j_gkKSo2xiou99H1XPyyOoMT1rUkRGoGX6_JuyIJMn9dPO6c6JgPZGlan7jUWzg2ACkiGuoCAaMjZ2zRzHJT-NT8wfTDDtfOqxM5wqQKPKh6o-9Mn7RyGPKorK2ICZ86er-Zb6v1rrqcGKzZRc8DJLeUoOpPhjOxVL_G7/s320/technical%20overview%20101.png" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">C'est le premier jour de l'année. C'est les vacances ! Cependant, j’entends écrire parce que c’est mon devoir. J'ai toujours envie d'avoir quelque chose d'utile à te dire. J’écris toujours quelque chose sur le fait que je travaille, que je lis ou que j’étudie. La semaine dernière, j'ai suivi le cours gratuit en ligne <b>F5XC Technical Overview 101</b> et je souhaite vous faire un aperçu. <br /></div><div><br /></div><div><div style="text-align: justify;">Si vous suivez ce cours, vous découvrirez rapidement l’incroyable apparence de la console F5XC dans la première vidéo. Je pense que l'interface graphique traditionnelle de BIG-IP dans laquelle nous avons l'habitude de travailler est déjà démodée et qu'elle manque également de fonctionnalités et d'améliorations, comme la simple modification du nom d'un serveur virtuel est très difficile. Je suis sûr que la première fois que vous travaillerez avec la console F5XC, vous aurez l'impression de travailler dans le futur. Au début, cela semble compliqué, mais plus tard, vous vous y habituerez rapidement.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgDV1Za7M7reArj-QOixE4x_FiAYbVluCSaG3igoF-s5vdwzd77PaVSVLIks58Gn6fg57CozZNVLoYuWL6iclZXcgo3Gjl1Yt6CmCNqsJkTii17UgRaqBz653VKPQewupIKJkJq6pPMBgPDAoopqeqKz6zEC4FB2xVbLPA9FVkUg893tqBduVdup5jPxcpC/s1920/1%20-%20F5XC%20WAAP%20console.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgDV1Za7M7reArj-QOixE4x_FiAYbVluCSaG3igoF-s5vdwzd77PaVSVLIks58Gn6fg57CozZNVLoYuWL6iclZXcgo3Gjl1Yt6CmCNqsJkTii17UgRaqBz653VKPQewupIKJkJq6pPMBgPDAoopqeqKz6zEC4FB2xVbLPA9FVkUg893tqBduVdup5jPxcpC/w400-h225/1%20-%20F5XC%20WAAP%20console.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Tableau de bord F5XC</td></tr></tbody></table><br />La deuxième vidéo du cours porte sur « Sites et connectivité ». À la fin de cette vidéo, vous devriez être capable de comprendre la nomenclature du site F5XC, ainsi que de choisir le site et l'architecture appropriés en fonction des besoins de votre cas d'utilisation. Un site est simplement un emplacement exécutant un F5XC Customer Edge (CE) ou un Regional Edge (RE). En ce qui concerne les options de connectivité, il existe plusieurs façons de connecter votre Edge à F5XC, telles que les options de connectivité de site public et privé ainsi que la connectivité de site à site.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqpOgK4xccw-i0_yWWktXkiRwy2HN0pnck1SnhVygVao3Q0jvppb2yhgE18Kf-qsRXCVlRrkhVbP-qd-x2wwFsThMFrLJ6alaG4ZH0cBnkYj4NWcICdX0zfivDIGJQiJW31Vzse5iJWluS-06L_1u9ltIPmYBMGhGiJjUsgtfmV3of2XT7wY_POEl0miCE/s1034/2%20-%20F5XC%20Sites%20by%20Platform.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="788" data-original-width="1034" height="305" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqpOgK4xccw-i0_yWWktXkiRwy2HN0pnck1SnhVygVao3Q0jvppb2yhgE18Kf-qsRXCVlRrkhVbP-qd-x2wwFsThMFrLJ6alaG4ZH0cBnkYj4NWcICdX0zfivDIGJQiJW31Vzse5iJWluS-06L_1u9ltIPmYBMGhGiJjUsgtfmV3of2XT7wY_POEl0miCE/w400-h305/2%20-%20F5XC%20Sites%20by%20Platform.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Sites F5XC par plateforme</td></tr></tbody></table><br />L'objectif de la troisième vidéo est de comprendre quels services SaaS sont disponibles, comment les consommer et où ils se chevauchent avec les services fournis par CE. F5XC SaaS fournit des services de livraison d'applications (ADC) tels que LB et WAAP, un réseau de diffusion de contenu (CDN), un système de noms de domaine (DNS) et une surveillance synthétique. Il existe également d'autres services de sécurité des locataires tels que la défense côté client, l'intelligence d'authentification et l'entrée DDoS.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhANk0L3yfacaulG7k5oshMRejBUjdjXfPGEmX4w1OutmhwPEaOpT0mzfAuPXUhnf6_pIinoWyZUIkDbSmbh6Lgg8NWsshqv8VSbMeyCZRyPGyD5mBTI_wYINT_XY4nU-OHfIi4a3-v1NobZVj9y7C-fVkw2M3CgdQly7et3DM6kMcgoQcmCJ2sxmI1io7d/s1920/3%20-%20Synthetic%20Monitoring%20Console.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhANk0L3yfacaulG7k5oshMRejBUjdjXfPGEmX4w1OutmhwPEaOpT0mzfAuPXUhnf6_pIinoWyZUIkDbSmbh6Lgg8NWsshqv8VSbMeyCZRyPGyD5mBTI_wYINT_XY4nU-OHfIi4a3-v1NobZVj9y7C-fVkw2M3CgdQly7et3DM6kMcgoQcmCJ2sxmI1io7d/w400-h225/3%20-%20Synthetic%20Monitoring%20Console.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Console de surveillance synthétique</td></tr></tbody></table><br />L'une des vidéos les plus importantes de mon point de vue est la quatrième où nous pouvons voir comment fonctionne la protection des applications Web et des API (WAAP) F5XC. En fait, j'ai déjà mis en ligne une vidéo sur ma chaîne <a href="https://www.youtube.com/@davidromerotrejo3264" target="_blank"><b>YouTube</b></a> où vous pouvez voir comment <a href="https://www.davidromerotrejo.com/2023/09/f5xc-waap-create-load-balancer.html" target="_blank"><b>créer un équilibreur de charge dans F5XC</b></a>. La quatrième vidéo se concentre sur le pare-feu des applications Web, la découverte et la sécurité des API, la défense contre les robots et l'atténuation des attaques DDoS, qui sont toutes appliquées directement au niveau de l'équilibreur de charge.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgt0owz-XoJQd19PS1zmYlX9phxhr5ajd_Zdl4WUIuBlFT3PrcVIxkfLq3M8wauXVIMPcfBDy-H-KErrfaWnWAwp9k6ADMCZzYxiXUDecyaxiEHZhUXG4qGr-W8De6944TEBQhYbZU_CjuAyuXpXFB8c7dd8VEaLWP0aNXJSO5WnUlEm6WRYqSCBROUlic_/s1920/4%20-%20Bot%20Defense.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgt0owz-XoJQd19PS1zmYlX9phxhr5ajd_Zdl4WUIuBlFT3PrcVIxkfLq3M8wauXVIMPcfBDy-H-KErrfaWnWAwp9k6ADMCZzYxiXUDecyaxiEHZhUXG4qGr-W8De6944TEBQhYbZU_CjuAyuXpXFB8c7dd8VEaLWP0aNXJSO5WnUlEm6WRYqSCBROUlic_/w400-h225/4%20-%20Bot%20Defense.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Bot Defense<br /></td></tr></tbody></table><br />La dernière vidéo du cours concerne les réseaux multi-cloud (MCN). J'ai déjà écrit sur <b><a href="https://www.davidromerotrejo.com/2023/05/connectivite-multi-cloud.html" target="_blank">Connectivité Multi-Cloud</a></b> et <b><a href="https://www.davidromerotrejo.com/2023/05/f5xc-la-connectivite-multi-cloud.html" target="_blank">F5XC – La Connectivité Multi-Cloud</a></b>. En conséquence, je le savais. Cette vidéo est intéressante car, aujourd'hui, de nombreuses entreprises disposent de services dans le Cloud et il existe des besoins pour déplacer les données et les charges de travail du Data Center vers le Cloud, du Cloud vers le Cloud et du Site vers le Cloud. Par conséquent, cette vidéo nous aide à savoir comment y parvenir.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgKY-mscrzWVuskiUInsVUpf-t7l-xkg4u3SccNETEvCD36ERjPps9CAKkoKa6ngYgj6Hezb4Y7wQ5d2S45ondLsk1CK3mQGq1au70sk2A5lPeLP2zJWuA4mZcA5wbIrS4h6F4wtYPt64-CkLROys-bsJPJYX-4xIybj5L3gj_EieH8RjM9JtWZi43md1fW/s465/5%20-%20F5XC%20-%20Security%20Stack.png" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="465" data-original-width="454" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgKY-mscrzWVuskiUInsVUpf-t7l-xkg4u3SccNETEvCD36ERjPps9CAKkoKa6ngYgj6Hezb4Y7wQ5d2S45ondLsk1CK3mQGq1au70sk2A5lPeLP2zJWuA4mZcA5wbIrS4h6F4wtYPt64-CkLROys-bsJPJYX-4xIybj5L3gj_EieH8RjM9JtWZi43md1fW/w390-h400/5%20-%20F5XC%20-%20Security%20Stack.png" width="390" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">F5XC - Pile de sécurité</td></tr></tbody></table><br />Pour résumer, si le F5XC vous intéresse, je vous recommande ce cours car c'est le début du F5XC. Vous devez comprendre tous ces concepts pour concevoir la bonne architecture pour vos clients. <br /><br />Bonne année !<style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><div style="text-align: justify;"><style type="text/css"> </style></div><div style="text-align: justify;"><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><div style="text-align: justify;"><style type="text/css"> </style></div><div style="text-align: justify;"><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><div style="text-align: justify;"><style type="text/css"> </style></div><div style="text-align: justify;"><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><div style="text-align: justify;"><style type="text/css"> </style></div><div style="text-align: justify;"><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-73162338530778819442023-12-25T07:30:00.010+01:002023-12-25T07:30:00.130+01:00Bonne Année 2024 !<div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwcJgOOfJyATmSLAza99t5OZQUIkkwnGp2gyPaUccRVI5_J0cFiuCVumAudlkYk_eupb41umju00GiACITHSwf7PTjNdWwjEbX97OxTwjhl5DMCeur-bknWV_EJ63PJgcY6nesPSMDD3IT5up0InFL4AkZsrX5XgWU8nto9FPItZC0M6xJek_z_qgPyMZr/s1280/y2KVV1703407094.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="720" data-original-width="1280" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgwcJgOOfJyATmSLAza99t5OZQUIkkwnGp2gyPaUccRVI5_J0cFiuCVumAudlkYk_eupb41umju00GiACITHSwf7PTjNdWwjEbX97OxTwjhl5DMCeur-bknWV_EJ63PJgcY6nesPSMDD3IT5up0InFL4AkZsrX5XgWU8nto9FPItZC0M6xJek_z_qgPyMZr/s320/y2KVV1703407094.jpg" width="320" /></a></div>
</div><div style="text-align: justify;">C’est le dernier lundi de l’année et il est temps de regarder en arrière. Quand je pense que tout ce que j’ai fait au cours de l’année est incroyable. J’ai beaucoup travaillé avec F5 en 2023 et quand je dis beaucoup, je veux dire que j’ai travaillé sur de nombreux projets avec F5. Fortinet est un autre fournisseur sur lequel j'ai travaillé dur et où j'ai appris à déployer FortiThings. J’ai également obtenu la certification <b><a href="https://www.davidromerotrejo.com/2023/03/certification-lead-auditor-iso-27001.html" target="_blank">ISO 27001 Lead Auditor</a></b>. De plus, j’ai beaucoup appris sur les appareils InfiniBand et NVIDIA, c’est la raison pour laquelle j’ai écrit quelques articles à ce sujet ces dernières semaines. <br /></div><div><br /></div><div style="text-align: justify;">Tout comme l’année dernière, je continue à travailler beaucoup avec F5. Peut-être que vous le savez car la plupart des articles que j’ai écrits en 2023 concernent la F5. J'ai amélioré les services Web avec HTTP/2, effectué de nombreux dépannages, conçu des architectures d'équilibrage de charge, protégé les services Web, migré les configurations Netscaler vers F5 APM, déployé des portails APM pour les services Citrix et bien d'autres choses. De plus, j'ai réussi l'examen 301A ((Spécialiste BIG-IP LTM : Architecte, configuration et déploiement) et l'examen 301B (Spécialiste BIG-IP LTM : Maintenance et dépannage). Par conséquent, je me suis retrouvé avec la <a href="https://www.davidromerotrejo.com/2023/11/f5-ltm-certified-technology-specialist.html" target="_blank"><b>certification de spécialiste 301 - F5 LTM</b></a>. Probablement, je franchirai le pas pour la certification 401 - Security Expert pour l'année prochaine ! <br /></div><div><br /></div><div style="text-align: justify;">Fortinet est un autre fournisseur avec lequel j'ai beaucoup travaillé en 2023. J'avais déjà travaillé avec les appliances FortiGate, FortiAnalyzer, FortiManager, FortiAP, FortiToken et FortiMail. Ce sont peut-être le best-seller de FortiThings. Cependant, j'ai récemment appris et travaillé avec FortiNDR, FortiEDR, FortiAuthenticator et Fortinet ZTNA. Je suis sûr que l’année prochaine nous apprendrons en profondeur ces excellentes solutions Fortinet, car des projets sont à venir avec ces technologies. En fait, je pense étudier pour une certification Fortinet pour 2024. Nous verrons ! <br /></div><div><br /></div><div style="text-align: justify;">Vous aurez réalisé que l'apparence et la convivialité de ce blog ont été modifiées. Maintenant, c’est plus moderne et, je l’espère, facile à utiliser. Je l'ai changé cet été après plus de 10 ans avec le look et la sensation du vieux bleu. J'espère que tu aimes. De plus, j'ai continué à écrire en langue française. Je suis désolé ! C’est la seule façon dont je dispose pour continuer à apprendre et à utiliser le français. Je ne veux pas l’oublier après plus de 6 ans d’études à l’École Officielle de Langues. Du coup, j’écrirai aussi en français l’année prochaine. <br /></div><div><br /></div><div style="text-align: justify;">En résumé, je suis vraiment heureux de cette année enrichissante car, même si j’ai travaillé dur, j’ai aussi eu le temps de rester avec ma famille et mes amis. Grâce au télétravail, je ne voyage plus beaucoup et je peux rester avec eux ! Je sais que jusqu'à présent, l'année prochaine apportera de nouvelles technologies et des projets ambitieux tels que l'installation du châssis F5 VELOS et des appareils F5 rSeries, le déploiement et la sécurisation des services Web dans F5XC ainsi que les services d'audit selon la norme ISO 27001. <br /></div><div><br />Bonne année ! Nous nous reverrons en 2024 !<p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-25297243941352352222023-12-18T07:30:00.001+01:002023-12-18T07:30:00.130+01:00InfiniBand Architecture<div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjK7YvIiYqnUwrVhLmegpcTkY_x3uS5pcijZSsCm6r9viQUiE08WFAxfPQCwf5AVNR0OAO-bR-thFIQaceETR0d1VG8Sj0ezjelWzkDT2aegZfkCY3CkqiotdKmJAfCNxaMNf6LhEVey7ANuxEDZjKKIwYIO_L_yM1Nwg0MOKowQC7RXuR8CK_r_lg73ZDo/s1280/InfiniBand%20architecture.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="720" data-original-width="1280" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjK7YvIiYqnUwrVhLmegpcTkY_x3uS5pcijZSsCm6r9viQUiE08WFAxfPQCwf5AVNR0OAO-bR-thFIQaceETR0d1VG8Sj0ezjelWzkDT2aegZfkCY3CkqiotdKmJAfCNxaMNf6LhEVey7ANuxEDZjKKIwYIO_L_yM1Nwg0MOKowQC7RXuR8CK_r_lg73ZDo/s320/InfiniBand%20architecture.jpg" width="320" /></a></div>
</div><div style="text-align: justify;">Dans cet article, nous passerons en revue l'architecture InfiniBand et verrons comment nous pouvons accélérer les applications informatiques en permettant une faible latence, une bande passante élevée et en réduisant le nombre de cycles CPU. Cela permet donc des performances élevées et une évolutivité efficace des systèmes informatiques. <br /></div><div><br /></div><div><div style="text-align: justify;">L'architecture InfiniBand est divisée en cinq couches de la même manière que le modèle TCP/IP traditionnel, bien qu'il existe de nombreuses différences entre les réseaux InfiniBand et IP. Traditionnellement, les applications s'appuient sur le système d'exploitation pour leur fournir les services de communication dont elles ont besoin. InfiniBand, quant à lui, permet aux applications d'échanger des données sur le réseau sans impliquer le système d'exploitation. Cette approche applicative constitue le différenciateur clé entre les réseaux InfiniBand et les réseaux traditionnels.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEibcMsxscWYrOmX_ePNqegXPToSEDXnZI5EoqClrd_1wPzA6p4hdVsp0BEZ30T7hFiSNokcjaO1-WYULB8I4t7F-THiTIxz-_G4BJbGJsmpOskr3POJhzfRTkFtYdQ5IVN0Nt9jg2WKtEovI-6-BBuMRs-qs59u1Uy_ZJWkE0zqlHuZfEwSIHVnyto-1fYr/s608/InfiniBand%20Architecture.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="306" data-original-width="608" height="201" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEibcMsxscWYrOmX_ePNqegXPToSEDXnZI5EoqClrd_1wPzA6p4hdVsp0BEZ30T7hFiSNokcjaO1-WYULB8I4t7F-THiTIxz-_G4BJbGJsmpOskr3POJhzfRTkFtYdQ5IVN0Nt9jg2WKtEovI-6-BBuMRs-qs59u1Uy_ZJWkE0zqlHuZfEwSIHVnyto-1fYr/w400-h201/InfiniBand%20Architecture.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Architecture InfiniBand vs TCP/IP</td></tr></tbody></table><br />Nous allons maintenant voir comment chacune des couches contribue au transfert de données rapide et efficace requis par les applications informatiques accélérées. Nous commencerons par la couche supérieure. Les applications sont les « consommateurs » ou le service de messagerie InfiniBand. La couche supérieure de l'architecture InfiniBand définit les méthodes utilisées par les applications pour accéder à l'ensemble des services fournis par InfiniBand. Les protocoles des couches supérieures présentent une interface standard, facilement reconnaissable par l'application. Certains des protocoles de couche supérieure pris en charge sont MPI, NCCL, iSER et IPoIB – IP sur InfiniBand.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiSP-M-_lp4602hwyreC-Fd-Bbd0EXiJIRAE5eMVdePcBZeSgV27EUUHPhcww9dkZaG87it4u84NLyttNePsLTGKu2O0peiiLuXTed8P6sCpCqBppMTTzMs0b96kQLxEIiUjTt7PiSGs3PzeQxhvORTy1X4g4Cr9iOTGycCYsOqtKDjtPcGIr3ObMzlS7QJ/s599/Upper%20Layer.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="301" data-original-width="599" height="201" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiSP-M-_lp4602hwyreC-Fd-Bbd0EXiJIRAE5eMVdePcBZeSgV27EUUHPhcww9dkZaG87it4u84NLyttNePsLTGKu2O0peiiLuXTed8P6sCpCqBppMTTzMs0b96kQLxEIiUjTt7PiSGs3PzeQxhvORTy1X4g4Cr9iOTGycCYsOqtKDjtPcGIr3ObMzlS7QJ/w400-h201/Upper%20Layer.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Couche supérieure</td></tr></tbody></table><br />Passons ensuite à la couche de transport et voyons comment les messages d'application sont transportés de la source à la destination. Le service de messagerie InfiniBand est différent de celui fourni par le TCP/IP traditionnel qui déplace les données du système d'exploitation, dans un nœud, vers le système d'exploitation dans un autre. InfiniBand fournit des services de transport basés sur le matériel implémentés par des adaptateurs réseau également appelés adaptateurs de canal hôte. Un « canal virtuel » de bout en bout est créé, connectant deux applications qui existent dans des espaces d'adressage entièrement séparés. Une fois qu'une application a demandé le transport d'un message, celui-ci est transmis par le matériel émetteur. Lorsque le message arrive au matériel récepteur, il est transmis directement dans le tampon de l’application réceptrice.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHS-zepZSVwib9FEZ7ClbHGlicxWERcamfl61CASL_hLQGH705kcfWjhILtSEWGfCNDJvMgeAEHBCZfk7_g55RtT0gmIMS3Mxuohyphenhyphen7jubLgOQRHf_zPsKzsmwplRCibaXDOGah2nn5Nfh_ke1W5C1Q3XKsOaDOfvt7haIBZsI8z5ckt5AOm-gFfwm-nBKJ/s608/Transport%20Layer.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="339" data-original-width="608" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgHS-zepZSVwib9FEZ7ClbHGlicxWERcamfl61CASL_hLQGH705kcfWjhILtSEWGfCNDJvMgeAEHBCZfk7_g55RtT0gmIMS3Mxuohyphenhyphen7jubLgOQRHf_zPsKzsmwplRCibaXDOGah2nn5Nfh_ke1W5C1Q3XKsOaDOfvt7haIBZsI8z5ckt5AOm-gFfwm-nBKJ/w400-h223/Transport%20Layer.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Couche de transport</td></tr></tbody></table><br />Jusqu’à présent, nous parlions de nœuds finaux. Mais il existe probablement un certain nombre de périphériques réseau connectant ces nœuds, tels que des routeurs et des commutateurs. Les routeurs InfniBand sont utilisés pour se connecter entre différents sous-réseaux InfiniBand. Cela permet la mise à l'échelle du réseau, l'isolation du trafic et l'utilisation de ressources communes par plusieurs sous-réseaux. La couche réseau décrit le protocole qui permet le routage des paquets entre différents sous-réseaux. Les routeurs utilisent des adresses de couche réseau appelées ID globaux ou GID pour acheminer les paquets vers le nœud de destination.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAIjJsLI0kXVnIWsdwFmW3WEt9t6r7Ql1gF0F1lhrfsqtIb73iFeaqUFBAeyZUEO-sA-BOGDlNJN49S9hJvMSY339fnnfCb3BM66r3Lyg_H7j0-iU0kaC5mdAUyWRWTrGqllD0p32E6Ybr4JznqbuyHTS0GNK9yj1WuKfVmyJVudxIqk3Nqe5MwcRH7Uvq/s600/Network%20Layer.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="150" data-original-width="600" height="100" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAIjJsLI0kXVnIWsdwFmW3WEt9t6r7Ql1gF0F1lhrfsqtIb73iFeaqUFBAeyZUEO-sA-BOGDlNJN49S9hJvMSY339fnnfCb3BM66r3Lyg_H7j0-iU0kaC5mdAUyWRWTrGqllD0p32E6Ybr4JznqbuyHTS0GNK9yj1WuKfVmyJVudxIqk3Nqe5MwcRH7Uvq/w400-h100/Network%20Layer.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Couche réseau</td></tr></tbody></table><br />Chaque nœud d'un sous-réseau se voit attribuer une adresse appelée Local ID ou LID. Les LID sont attribués et gérés par le Subnet Manager qui gère le sous-réseau. Les tables de transfert des commutateurs sont remplies d’entrées qui mappent les LID de destination aux ports de sortie. Ces tables de transfert sont calculées par le Subnet Manager et programmées dans le matériel des commutateurs. Par conséquent, lorsqu'un paquet est généré par un nœud final, il comprend un LID source et un LID de destination. Lorsque le paquet arrive à un commutateur, son LID de destination est comparé aux entrées du commutateur et envoyé via le port de sortie respectif.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjfnu_cMPFNYuXWB6UVnTSNQojwlbW0SCG36TKs63Bz2dz_Ecmv_YmEacN07suvh8O7MU_XtmU8DREIXDrBJWoIcARH0DpaSmVjLedpo9VfHpJVzBkxsFdbqr1Is6ne9bEMwhkjucRiUajh6VJbqrvOuveoMZec9KOxLDkQyz3lvqumpzGZuQZ9S85lSkuv/s609/Link%20Layer.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="332" data-original-width="609" height="217" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjfnu_cMPFNYuXWB6UVnTSNQojwlbW0SCG36TKs63Bz2dz_Ecmv_YmEacN07suvh8O7MU_XtmU8DREIXDrBJWoIcARH0DpaSmVjLedpo9VfHpJVzBkxsFdbqr1Is6ne9bEMwhkjucRiUajh6VJbqrvOuveoMZec9KOxLDkQyz3lvqumpzGZuQZ9S85lSkuv/w400-h217/Link%20Layer.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Couche de liaison</td></tr></tbody></table><br />Enfin, tout cela semble génial, mais le transfert de données finit par se produire lorsque les bits sont transmis sur un support physique. La couche physique spécifie la manière dont les bits sont placés sur le fil et le protocole de signalisation pour déterminer ce qui constitue un paquet valide. De plus, la couche physique définit les caractéristiques et spécifications des câbles en cuivre et optiques. Les photos suivantes sont des exemples de câbles Mellanox LinkX InfiniBand DAC et AOC.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgnF2FaUF3cyPoZaJDaucopg_2JCcv15dBhvyghrJKvUq2sIqglLukr4ZSfVxFt_OGSIRyCVkJZnrGjm7rmRcmPcjk5IDgKIZ1bn2TKGw4LvKMpiAQAT6rbz5AQjKo0GgHNyZWer21C1bm5TmEsWCqn4lAjXicjpkGHnS1SIQzXIVkqz58OmokXL6pRnLnr/s606/Physical%20Layer.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="243" data-original-width="606" height="160" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgnF2FaUF3cyPoZaJDaucopg_2JCcv15dBhvyghrJKvUq2sIqglLukr4ZSfVxFt_OGSIRyCVkJZnrGjm7rmRcmPcjk5IDgKIZ1bn2TKGw4LvKMpiAQAT6rbz5AQjKo0GgHNyZWer21C1bm5TmEsWCqn4lAjXicjpkGHnS1SIQzXIVkqz58OmokXL6pRnLnr/w400-h160/Physical%20Layer.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Couche physique</td></tr></tbody></table><br />Connaissez-vous l'architecture InfiniBand ?</div></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-82190860634609098582023-12-11T07:30:00.028+01:002023-12-11T07:30:00.150+01:00InfiniBand Key Features<div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpSTu_oJA-7QOeyR6D6Ptlbdi2CTIlyqT9cqiP3lFE2IPDqb6uLvaKeEmhGUHTrNVQUPq0kVQikBWk3g6owNkHwMLOVh5g2TrdpWjQFJ2gNesoKFkOXOM7hGVH_BNJY5s9cOrKqcST_k54Qshjq7hce0wxH8Lp9J0xTAKUu9mgHnAiCiOaYwt66IZeSKhp/s1280/InfiniBand%20Key%20Features.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="720" data-original-width="1280" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhpSTu_oJA-7QOeyR6D6Ptlbdi2CTIlyqT9cqiP3lFE2IPDqb6uLvaKeEmhGUHTrNVQUPq0kVQikBWk3g6owNkHwMLOVh5g2TrdpWjQFJ2gNesoKFkOXOM7hGVH_BNJY5s9cOrKqcST_k54Qshjq7hce0wxH8Lp9J0xTAKUu9mgHnAiCiOaYwt66IZeSKhp/s320/InfiniBand%20Key%20Features.jpg" width="320" /></a></div>
<p style="text-align: justify;"> J'écrirai sur les principales fonctionnalités d'InfiniBand dans cet article. Nvidia InfiniBand propose des solutions évolutives à haut débit et à latence extrêmement faible. La technologie InfiniBand permet aux supercalculateurs, intelligence artificielle (IA) et centres de données au cloud de fonctionner à n'importe quelle échelle, tout en réduisant les coûts opérationnels et la complexité de l'infrastructure. Dans cet article, nous verrons quelles sont les fonctionnalités clés qui font d'InfiniBand la technologie d'interconnexion de choix pour l'IA, l'apprentissage profond, la science des données et bien d'autres applications informatiques accélérées.</p><p style="text-align: justify;">
</p></div><div style="text-align: justify;"> Tout d’abord, commençons par une gestion simplifiée. InfiniBand est la première architecture à véritablement mettre en œuvre la vision du SDN (Software Defined Network). Le réseau InfiniBand est géré par Subnet Manager. Le Subnet Manager est un programme qui gère l'ensemble du réseau. Il fournit une gestion centralisée du routage, permettant une fonctionnalité plug-and-play pour tous les nœuds du réseau. Chaque sous-réseau InfiniBand possède son propre Subnet Manager (SM) maître et, afin de garantir la résilience, le deuxième Subnet Manager (SM) fonctionne comme une réserve.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgP43SJOu8pCxa-dyTYhZcf3WlFLzkyfl4Uuo_XH5yw2KF7U0FFnBkCpWDXgPmBiXJOzz-2oJ61Z16e8-PaTSqmGcmWGFvoz0cVZwhPy00uwTR9kbRNnc7YRe9N-rfAkMvVmr7Oyb7BQSBf1WTHrat-iS42i0bkzLlryryVfI_s_h3BdWCIwU5F6FujAZm3/s1696/Subnet%20Manager.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="953" data-original-width="1696" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgP43SJOu8pCxa-dyTYhZcf3WlFLzkyfl4Uuo_XH5yw2KF7U0FFnBkCpWDXgPmBiXJOzz-2oJ61Z16e8-PaTSqmGcmWGFvoz0cVZwhPy00uwTR9kbRNnc7YRe9N-rfAkMvVmr7Oyb7BQSBf1WTHrat-iS42i0bkzLlryryVfI_s_h3BdWCIwU5F6FujAZm3/w400-h225/Subnet%20Manager.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Subnet Manager (SM)<br /></td></tr></tbody></table><br />La prochaine fonctionnalité clé d'InfiniBand présentée est la bande passante élevée. L'architecture InfiniBand a débuté son parcours en 2002 avec une vitesse de 10 Gbit/s et, depuis lors, elle fournit les liaisons bidirectionnelles non bloquantes à bande passante la plus élevée.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFsJonEpHlKCXS6Kpvbyd7SwZifxwFmD9U5S6vDeJQTVY3q5hIlEp8nWpJXeLUPsn7refhhZt6WBhfWl55UVOxVj3d2Myd_AP7sVntiSUnOown1Sm6NHZIClcW1uPYuZXoygD5IEkjaWNbGKwB3iKp-E2TZwdcBnwYpZfcSPowjOBSP4OHtjeGvb2ZS4EZ/s1809/IB%20Bandwidth.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="969" data-original-width="1809" height="214" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhFsJonEpHlKCXS6Kpvbyd7SwZifxwFmD9U5S6vDeJQTVY3q5hIlEp8nWpJXeLUPsn7refhhZt6WBhfWl55UVOxVj3d2Myd_AP7sVntiSUnOown1Sm6NHZIClcW1uPYuZXoygD5IEkjaWNbGKwB3iKp-E2TZwdcBnwYpZfcSPowjOBSP4OHtjeGvb2ZS4EZ/w400-h214/IB%20Bandwidth.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">InfiniBand bandwidth<br /></td></tr></tbody></table><br />La prochaine fonctionnalité clé, et certainement l'une des plus importantes pour les applications informatiques accélérées, est le déchargement du processeur. L'architecture InfiniBand prend en charge le transfert de données avec une intervention minimale du processeur. Ceci est réalisé grâce au protocole de transport basé sur le matériel, au contournement du noyau ou à la copie zéro et à l'accès direct à la mémoire à distance (RDMA). Ils effectuent un accès direct à la mémoire depuis la mémoire d’un nœud vers la mémoire de l’autre nœud sans impliquer le processeur de l’un ou l’autre. Le déchargement des nœuds de calcul peut également être implémenté par le GPU Nvidia. Nvidia GPUDirect permet le transfert direct de données de la mémoire d'un GPU vers la mémoire d'un autre. Il permet des applications informatiques accélérées telles que l'IA, l'apprentissage profond et la science des données, une faible latence et des performances améliorées, grâce au calcul basé sur GPU.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEist10ukac0h6YTEMM_SY8Ny1wjEVwjQLzHeKIfYGk1DHvo9FrnYHQYbemej6cPkqFPen2s0VNm3TmZaDMvo3wLWnxfZXanE1Kn6wkYj5RFDKtu8I-18mOlMPomSUBhE6QITPRSJ6niKTlpRQQUrmo57RcaUTjvjtsvuX_KdjU70YjffYhkVkQWlljCnKZg/s1093/Nvidia%20GPU%20Direct.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="821" data-original-width="1093" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEist10ukac0h6YTEMM_SY8Ny1wjEVwjQLzHeKIfYGk1DHvo9FrnYHQYbemej6cPkqFPen2s0VNm3TmZaDMvo3wLWnxfZXanE1Kn6wkYj5RFDKtu8I-18mOlMPomSUBhE6QITPRSJ6niKTlpRQQUrmo57RcaUTjvjtsvuX_KdjU70YjffYhkVkQWlljCnKZg/w400-h300/Nvidia%20GPU%20Direct.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Nvidia GPU Direct</td><td class="tr-caption" style="text-align: center;"><br /></td></tr></tbody></table><br /></div><div style="text-align: justify;"><style type="text/css"> </style></div><div style="text-align: justify;"><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style>Passons maintenant à la latence et voyons à quel point la latence d’InfiniBand est incomparable à celle de toute autre technologie d’interconnexion. Une latence extrêmement faible est obtenue grâce à une combinaison de mécanisme de déchargement matériel et d'accélération unique à l'architecture InfiniBand. En conséquence, la latence de bout en bout peut être aussi lente que 1000 nanosecondes ou 1 microseconde.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjarwyZTXXc-53GizmIvc9TbXz29jpZryef8piQkADlF91Klr2faaroGvNMezY5ol_woA0J4Z_9cwTSXZXjO5PctsrQX56QVWheW1Q2Azl8C4N2UsUuK10N5omqGX8EvrUJyc7FpqEAOAcdAZaSHamVflpVz9ycewfQv73H-t0-tCQHXi7zq3ilrDr_7Qvr/s1106/Extreme%20low%20latency.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="831" data-original-width="1106" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjarwyZTXXc-53GizmIvc9TbXz29jpZryef8piQkADlF91Klr2faaroGvNMezY5ol_woA0J4Z_9cwTSXZXjO5PctsrQX56QVWheW1Q2Azl8C4N2UsUuK10N5omqGX8EvrUJyc7FpqEAOAcdAZaSHamVflpVz9ycewfQv73H-t0-tCQHXi7zq3ilrDr_7Qvr/w400-h300/Extreme%20low%20latency.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Extreme low latency<br /></td></tr></tbody></table><br />Qu'en est-il de l'évolutivité du réseau ? L'un des principaux avantages d'InfiniBand est la capacité de déployer jusqu'à 48000 nœuds sur un seul sous-réseau. Cela dit, plusieurs sous-réseaux InfiniBand peuvent être interconnectés à l'aide de routeurs InfiniBand, permettant une évolutivité facile au-delà de 48000 nœuds. Jusqu'à présent, nous avons un sous-réseau InfiniBand évolutif qui est facilement géré par le Subnet Manager et est capable de fournir une bande passante élevée et une faible latence avec un déchargement du processeur.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg570DTjFVkJcj_wEfRa7Pl_zyxa3FedqDNPV6ZOycXZ8xAxkYC0gHjv_wCbg4-P-T03MOWAUhWmOK6-_fhThJFk6nCYQWC22ETYvRBZ_QU5W7WQXNhT1-qNLETbIbAk3lU6rroozsAq37ggozm3xihTAHsKkdTX7yPQlrWIWR5Rz4PjrrsHZfBsloZT_FF/s1808/Scalability.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="965" data-original-width="1808" height="214" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg570DTjFVkJcj_wEfRa7Pl_zyxa3FedqDNPV6ZOycXZ8xAxkYC0gHjv_wCbg4-P-T03MOWAUhWmOK6-_fhThJFk6nCYQWC22ETYvRBZ_QU5W7WQXNhT1-qNLETbIbAk3lU6rroozsAq37ggozm3xihTAHsKkdTX7yPQlrWIWR5Rz4PjrrsHZfBsloZT_FF/w400-h214/Scalability.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Scalability</td></tr></tbody></table><br />Connaissez-vous les principales fonctionnalités d'InfiniBand ?</div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-19925282628342662212023-12-04T07:30:00.001+01:002023-12-04T07:30:00.269+01:00What is InfiniBand ?<div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4s1BcoEmTZhSOgOijtc0-tfDbB7ZnlEqxB-WI3WkchbHStZxBAlhl-TEgxx8eefbC4DGMyVSTVUAHjpJDaIqsa_wuajGPyMJWHuVcNz2kT5xDpWD9TDM2l-LNy2nJKTY6eNDWyLDmi263JYtvLlxOjRScyCSpgchfkMJZtiFvnkErQlwFoMByCOyWaxEB/s1280/oQ4Hi1701609126.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="720" data-original-width="1280" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4s1BcoEmTZhSOgOijtc0-tfDbB7ZnlEqxB-WI3WkchbHStZxBAlhl-TEgxx8eefbC4DGMyVSTVUAHjpJDaIqsa_wuajGPyMJWHuVcNz2kT5xDpWD9TDM2l-LNy2nJKTY6eNDWyLDmi263JYtvLlxOjRScyCSpgchfkMJZtiFvnkErQlwFoMByCOyWaxEB/s320/oQ4Hi1701609126.jpg" width="320" /></a></div>
</div><div style="text-align: justify;">J'écris récemment sur NVIDIA, qui est l'un des meilleurs fournisseurs de réseaux InfiniBand. J'ai principalement écrit sur UFM, qui est un logiciel pour les réseaux Infiniband, et sur les interfaces réseau Bluefield DPU. Aujourd'hui, je vais passer en revue ce qu'est InfiniBand pour en savoir plus sur ses principaux composants et son architecture. <br /></div><div><br /></div><div><div style="text-align: justify;">Qu'est-ce que l'architecture InfiniBand ? InfiniBand est la première spécification standard définissant l'architecture d'entrée/sortie utilisée pour interconnecter les nœuds de calcul, les équipements d'infrastructure de communication, les stockages et les systèmes embarqués. L'architecture est indépendante des systèmes d'exploitation hôtes et il peut s'agir de Linux, Windows ou VMware. L'architecture est basée sur les spécifications standard de l'industrie. Dès le premier jour, InfiniBand a été conçu pour fournir une solution de bout en bout améliorant et accélérant toutes les couches de protocole, de la couche physique à la couche supérieure. Cette vision vise à atteindre une utilisation maximale du réseau, une utilisation maximale du processeur et des performances maximales des applications.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhqQo8bTj-bR9Nk8bdGGm9WpoTysIeMHnlcpt1CndHECZLiSdoe3VFQ8QvP1i-gkGPtDEVgT8aDxxYDoQkt0YRNmVAv46VpeAxtdi6VdEUyxLjWC4-bYtP9g2Jc2jFBNHpnmkJGFnre-Q-s2E7ZE6pDRuTaPKBlqw_Qqyv4mr2QbBskOl7vW_lw5u32L7QX/s1816/InfiniBand%20architecture.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="955" data-original-width="1816" height="210" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhqQo8bTj-bR9Nk8bdGGm9WpoTysIeMHnlcpt1CndHECZLiSdoe3VFQ8QvP1i-gkGPtDEVgT8aDxxYDoQkt0YRNmVAv46VpeAxtdi6VdEUyxLjWC4-bYtP9g2Jc2jFBNHpnmkJGFnre-Q-s2E7ZE6pDRuTaPKBlqw_Qqyv4mr2QbBskOl7vW_lw5u32L7QX/w400-h210/InfiniBand%20architecture.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Architecture InfiniBand</td></tr></tbody></table><br />Citons les principaux composants impliqués dans la construction du réseau InfiniBand. Les commutateurs InfiniBand déplacent le trafic. Subnet Manager (SM) gère toutes les caractéristiques opérationnelles du réseau InfiniBand. Les hôtes réseau sont les clients pour lesquels la structure est créée. Les adaptateurs de canal hôte activent la connexion InfiniBand entre les hôtes et les commutateurs. InfiniBand vers Internet Gateway permet les échanges de trafic IP entre InfiniBand et les réseaux Internet. Le routeur InfiniBand permet l'interconnectivité entre plusieurs sous-réseaux InfiniBand. <br /><br />En cherchant à voir quels clients utilisent la technologie InfiniBand, je définis maintenant plusieurs exemples tels que les centres de données, le cloud computing, le calcul haute performance (HPC), l'apprentissage automatique et l'intelligence artificielle. <br /><br />Pour résumer, j'ai décrit ce qu'est InfiniBand et quels clients utilisent cette solution ou cette technologie. Utilisez-vous déjà la technologie InfiniBand ?</div></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-89185365541836275392023-11-27T07:30:00.016+01:002023-11-27T07:30:00.154+01:00NVIDIA – UFM Dashboard Functionality<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-JH5r1ZMjRBJY67jx6rhJK30AwZaor1aEd4UyR1Sp6XH8tXqKw8AqSpTXonNyNMP2vuNFAXLRWBE-xYY8-0SCV6mpTsSnn7F9CTSJ9RsqFH2WQ0hY5KoedSjYXan0lVEyPGps-CIQyu_DzDtFNpQ7E7b26sXeMhg7f1yIZHgcYqu7MIWgkToBD1PqQBzb/s1202/NVIDIA%20%E2%80%93%20UFM%20Dashboard%20Functionality.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="675" data-original-width="1202" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-JH5r1ZMjRBJY67jx6rhJK30AwZaor1aEd4UyR1Sp6XH8tXqKw8AqSpTXonNyNMP2vuNFAXLRWBE-xYY8-0SCV6mpTsSnn7F9CTSJ9RsqFH2WQ0hY5KoedSjYXan0lVEyPGps-CIQyu_DzDtFNpQ7E7b26sXeMhg7f1yIZHgcYqu7MIWgkToBD1PqQBzb/s320/NVIDIA%20%E2%80%93%20UFM%20Dashboard%20Functionality.png" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">Ceci est mon troisième article sur la plateforme NVIDIA ce mois-ci. J'ai écrit sur <b><a href="https://www.davidromerotrejo.com/2023/11/nvidia-bluefield-dpu-use-cases.html">les cas d'utilisation de Bluefield DPU</a></b> et j'ai également écrit sur <b><a href="https://www.davidromerotrejo.com/2023/11/nvidia-ufm-overview-foundational.html">la présentation de l'UFM</a></b>. Dans cet article, je vais aborder la fonctionnalité du tableau de bord UFM. Avec UFM, nous pouvons suivre les problèmes de bande passante et de congestion dans notre structure au fur et à mesure qu'ils apparaissent. Comment pouvons-nous rester informés de la stabilité de notre structure de Data Center Infiniband? UFM Dashboard est livré avec plusieurs points d'intérêt qui suivent la stabilité de notre structure. Nous allons voir quelques exemples. <br /></div><div><br /></div><div><div style="text-align: justify;">La structure suivante connaît beaucoup de bande passante et de congestion, ce que nous pouvons immédiatement constater en regardant la carte du trafic. Le trafic et les embouteillages sont divisés sur la carte du trafic en quatre niveaux. Chaque agrégation du trafic couvre un niveau particulier sur le structure. Le niveau 1 représente le trafic allant des serveurs aux commutateurs feuilles. Le niveau 2 représente le trafic allant des commutateurs feuilles aux commutateurs spine. Le niveau 3 représente le trafic allant des commutateurs spine aux commutateurs feuilles. Le niveau 4 représente le trafic allant des commutateurs feuilles aux serveurs.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBCoTK9-ggZqAVmo2aJvup-r_l_36dDVvbaGMDhENnmCEw1-zhMb0jGAyGifSevtQPrptOdjCpFeY4N-G8y6X7kbh1lhhBqBoNKsUGX3Fb0ytO1Wtn-ilfdW1hDSUm8mkJAwnXdAo1Q9Cb3h8Urm-y2BrrFNrMQlaqGnSbCE2_uBwSH4TghmkjvbJBfF2-/s1338/Traffic%20Map%20with%20congestion.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="750" data-original-width="1338" height="224" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBCoTK9-ggZqAVmo2aJvup-r_l_36dDVvbaGMDhENnmCEw1-zhMb0jGAyGifSevtQPrptOdjCpFeY4N-G8y6X7kbh1lhhBqBoNKsUGX3Fb0ytO1Wtn-ilfdW1hDSUm8mkJAwnXdAo1Q9Cb3h8Urm-y2BrrFNrMQlaqGnSbCE2_uBwSH4TghmkjvbJBfF2-/w400-h224/Traffic%20Map%20with%20congestion.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Carte de trafic avec embouteillages</td></tr></tbody></table><br />Comme nous pouvons le constater, une grande partie du trafic va des serveurs vers les commutateurs feuilles, puis les spines sont très encombrées. Le trafic et la congestion sont également mesurés par des valeurs minimales, moyennes et maximales divisées en couleurs. Si nous avons besoin d'aide, nous pouvons simplement cliquer sur l'icône de point d'interrogation dans le titre de la carte de circulation et une fenêtre contextuelle apparaîtra à l'écran. Nous pouvons également cliquer sur l'onglet groupe de ports pour voir la carte du trafic des groupes et des appareils définis par l'utilisateur.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJcY95bX3nuBHuLLyUADObSc9qKx0zs4ULAppPn5kRdideGhppkkYbVCQMXmjDKnFc1jTV7ciGODPOCEn7qg-AVsxTEjB_8sliLejyrB51ibKHkdjJAv0psvVSg781-rLzdfOyU0tSn6ln3fAHUqFBF-MT6sJmteJ5tWxw-0aY_mGE9pcRJO6LJVTGHQoI/s1702/Traffic%20Map%20Guide.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="952" data-original-width="1702" height="224" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJcY95bX3nuBHuLLyUADObSc9qKx0zs4ULAppPn5kRdideGhppkkYbVCQMXmjDKnFc1jTV7ciGODPOCEn7qg-AVsxTEjB_8sliLejyrB51ibKHkdjJAv0psvVSg781-rLzdfOyU0tSn6ln3fAHUqFBF-MT6sJmteJ5tWxw-0aY_mGE9pcRJO6LJVTGHQoI/w400-h224/Traffic%20Map%20Guide.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Guide des cartes de trafic<br /></td></tr></tbody></table><br />UFM vous tient à cœur et vous aimez toujours savoir ce qui se passe sur votre structure de Data Center Infiniband. Nous pouvons utiliser l'affichage en haut du tableau de bord pour consulter les informations historiques sur le structure divisées par jour et heure.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhA7NtSERnU15xH0F8YF1HxZ7eUUzUMcXTZsY9-aAaB8E_DL-T_p5yv6s9g4Ft7QNFPzYJbFGoYQ3VwPOBlk2WZbUi9F8lTN9HfF8tSDIecduiDJpxUjqvWU_IcadXaEodq622w2GbiUJTnEuKtx9grStCb42o7_MTZWRN1hMj3dq6iSKzDbPukPDrxsIPD/s1703/date%20and%20time%20display.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="955" data-original-width="1703" height="224" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhA7NtSERnU15xH0F8YF1HxZ7eUUzUMcXTZsY9-aAaB8E_DL-T_p5yv6s9g4Ft7QNFPzYJbFGoYQ3VwPOBlk2WZbUi9F8lTN9HfF8tSDIecduiDJpxUjqvWU_IcadXaEodq622w2GbiUJTnEuKtx9grStCb42o7_MTZWRN1hMj3dq6iSKzDbPukPDrxsIPD/w400-h224/date%20and%20time%20display.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Affichage de la date et de l'heure</td></tr></tbody></table><br />De plus, en cliquant sur l'affichage de l'inventaire, nous pouvons afficher des informations, des avertissements et des alarmes concernant nos composants réseau. Nous pouvons également cliquer sur l'onglet versions pour voir quelles versions du micrologiciel nos appareils exécutent. Sous la vue d'inventaire, nous pouvons trouver plusieurs graphiques informatifs du top 5, tels que les serveurs par bande passante, les commutateurs par bande passante, la congestion, etc. Nous pouvons également modifier les métriques d'affichage de chaque graphique si nous le souhaitons. Nous pouvons également cliquer sur les éléments affichés sur ces graphiques pour voir le menu des appareils et obtenir plus d'informations à ce sujet.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEir8b99KcLKtf_nKpb_7DqUBlL3lJJexxWoYJ-CE4fevPpY48D8d0fx_gEwFzBhPqPhp5KPlsbBzLhKCHnXiw-nhsENNY-Ypa9_fZKhQn_c817t5HFLAg6FPyY1OfhMVk9vP6B9WnZHOmZWV3DZWjwZUOI5Yz9zMTUVjI7A37ZtdVQI5OWbRMvF0T0CMR10/s1700/Firmware%20version.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="957" data-original-width="1700" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEir8b99KcLKtf_nKpb_7DqUBlL3lJJexxWoYJ-CE4fevPpY48D8d0fx_gEwFzBhPqPhp5KPlsbBzLhKCHnXiw-nhsENNY-Ypa9_fZKhQn_c817t5HFLAg6FPyY1OfhMVk9vP6B9WnZHOmZWV3DZWjwZUOI5Yz9zMTUVjI7A37ZtdVQI5OWbRMvF0T0CMR10/w400-h225/Firmware%20version.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Version du firmware</td></tr></tbody></table><br />Enfin, sur le côté droit du tableau de bord, nous voyons l'affichage des activités récentes. Une liste de toutes les informations détectées, avertissements et alarmes enregistrés par UFM. Par défaut, il affiche tous les détails enregistrés, mais nous pouvons également choisir d'afficher le contenu d'une catégorie particulière, et de la même manière que pour l'affichage des appareils, nous pouvons cliquer sur les différentes alarmes et notifications pour naviguer rapidement vers leurs enregistrements dans le menu des événements et des alarmes et apprendre plus à leur sujet.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEioWGs74hMy4_rr0dx9TbBLA8cvPLmmgPjfBA8OZJcQ03oA8YtRa0hCA5hke4WUZ4tMhOqOCLKKBzN8eIbeHAPYj6SJmQ0tfSytQevcUSu-pQs2TEaSd7quAceUkJsQEh5qc2zzpWscCBCanHZNcBvSFvkp-Y1esnuB-HGJ9AaINNe_BjluJJBCvxOmWuB3/s1700/Recent%20Activities.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="954" data-original-width="1700" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEioWGs74hMy4_rr0dx9TbBLA8cvPLmmgPjfBA8OZJcQ03oA8YtRa0hCA5hke4WUZ4tMhOqOCLKKBzN8eIbeHAPYj6SJmQ0tfSytQevcUSu-pQs2TEaSd7quAceUkJsQEh5qc2zzpWscCBCanHZNcBvSFvkp-Y1esnuB-HGJ9AaINNe_BjluJJBCvxOmWuB3/w400-h225/Recent%20Activities.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Activités récentes</td></tr></tbody></table><br />Souhaitez-vous disposer d'un tableau de bord comme celui-ci ?</div></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-48744889066814507572023-11-20T07:30:00.005+01:002023-11-20T07:30:00.147+01:00NVIDIA – UFM Overview (Foundational)<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWeZAq9UFG-H4hzBbr8aXXtoN89Wk0Fb757oRL35ZC6dBV9WcPjGT3hJNBdcKweg6TSyMfWb1BOVRFRP-Nzky66cC2_JH-Dp9ow-xPI65D9OprZzgFKHDVv0gp9nKfz1jNK0FS3psTM2bvWU1w3dXNUkZO8P-GghINKjs5wKoeiBYiZ40nhStPinF_yw4K/s1832/Captura%20de%20pantalla%20de%202023-11-18%2019-52-29.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="992" data-original-width="1832" height="173" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWeZAq9UFG-H4hzBbr8aXXtoN89Wk0Fb757oRL35ZC6dBV9WcPjGT3hJNBdcKweg6TSyMfWb1BOVRFRP-Nzky66cC2_JH-Dp9ow-xPI65D9OprZzgFKHDVv0gp9nKfz1jNK0FS3psTM2bvWU1w3dXNUkZO8P-GghINKjs5wKoeiBYiZ40nhStPinF_yw4K/s320/Captura%20de%20pantalla%20de%202023-11-18%2019-52-29.png" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">Il y a deux semaines, j'ai écrit sur <a href="https://www.davidromerotrejo.com/2023/11/nvidia-bluefield-dpu-use-cases.html">NVIDIA – Bluefield DPU use cases</a> parce que je pense que les processeurs de traitement des données sont révolutionnaires. Aujourd'hui, dans cet article, je vais parler des plates-formes UFM (Unified Fabric Manager) de la famille NVIDIA qui ont révolutionné la gestion des réseaux des centres de données. UFM combine le streaming de collecte de télémétrie réseau en temps réel, des outils de surveillance et d'orchestration haut de gamme et des analyses d'IA, pour prendre en charge les centres de données InfiniBand. <br /></div><div><br /></div><div style="text-align: left;"><div style="text-align: justify;"><div style="text-align: justify;">Le produit UFM le plus basique est UFM Telemetry. Cet outil basé sur CLI peut diffuser et exporter la télémétrie via Fluent Bit vers des collecteurs de données tiers. Le produit suivant est UFM Enterprise qui propose des solutions de gestion, d'orchestration et de surveillance. UFM Enterprise peut être installé en tant qu'installation logicielle pour diverses distributions Linux, en tant que conteneur Docker ou en tant qu'appliance UFM. UFM Enterprise contient également les fonctionnalités UFM Telemetry mentionnées précédemment. Il dispose d'intégrations d'interface utilisateur Web graphique et d'API REST. <br /></div><br /></div><div style="text-align: justify;">L'offre la plus complète de cette gamme est UFM Cyber-AI, qui est une plate-forme dédiée qui inclut et tire le meilleur parti de UFM Telemetry et de l'UFM Enterprise, et l'applique à l'aide d'algorithmes d'apprentissage automatique via un GPU rapide. UFM Cyber-AI utilise les données d’UFM Telemetry et la connaissance de la topologie d'UFM Enterprise pour exécuter des modules prédictifs qui génèrent des notifications utilisateur intelligentes sur les défaillances de liaison, les anomalies de réseau, les irrégularités des locataires, etc. Ces notifications sont accompagnées d'actions recommandées qui peuvent aider les utilisateurs à suivre et à entretenir la structure. <br /></div></div><div style="text-align: left;"><br /></div><div style="text-align: left;"><div style="text-align: justify;">Pour résumer, NVIDIA UFM se décline en trois versions. UFM Telemetry, un outil basé sur CLI qui collecte la télémétrie en temps réel à partir de la structure et la diffuse vers des collecteurs de données tiers. De plus, l'UFM Enterprise est un outil de gestion, d'orchestration et de surveillance. Enfin, UFM Cyber-AI combine la force des deux précédentes avec un logiciel d'apprentissage automatique pour prédire les problèmes et proposer des solutions.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgO6LqISpcpcgiWdIyYXLdGeNonybsSGn3W_XbSB8KmsBTPwu-dqs1sbG0I6IunJj0YQAq3Ri7Ztb9vL8ngA64rFKB6zTEd0-IZtcEhTTn7KyV97c67dFIOD6grJyXCfFw7JLjJOWZKVIKAW6XseNAsv36RJlP9lIs5emmr7Daw91O3x7w1UVUIxWOkWP2Y/s1704/Captura%20de%20pantalla%20de%202023-11-18%2022-56-34.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="956" data-original-width="1704" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgO6LqISpcpcgiWdIyYXLdGeNonybsSGn3W_XbSB8KmsBTPwu-dqs1sbG0I6IunJj0YQAq3Ri7Ztb9vL8ngA64rFKB6zTEd0-IZtcEhTTn7KyV97c67dFIOD6grJyXCfFw7JLjJOWZKVIKAW6XseNAsv36RJlP9lIs5emmr7Daw91O3x7w1UVUIxWOkWP2Y/w400-h225/Captura%20de%20pantalla%20de%202023-11-18%2022-56-34.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">En résumé</td></tr></tbody></table><br /> Comment gérez-vous votre réseau InfiniBand ? </div></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-11362282161748197582023-11-13T07:30:00.003+01:002023-11-13T07:30:00.154+01:00F5 LTM – Certified Technology Specialist<div><p style="text-align: left;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAj3F_p7E_l3fpbbq2iJfQOyZD4IldFLj878u38PPMk82WD0qrC3ssjLtmCc56BEW49mEJgiUyrlPHCasB4o8teYym7qIim2zMHcMgtHprTqFVHKvxbTTjQ5rQHYFHxO1IyzlUh4amKmsgB3I3burbz_g4Noyw_DST6xiF_zSN5tJ7L6KLLubdqrc_Sddk/s1243/F5%20LTM%20-%20Certified%20Technology%20Specialist.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="675" data-original-width="1243" height="174" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAj3F_p7E_l3fpbbq2iJfQOyZD4IldFLj878u38PPMk82WD0qrC3ssjLtmCc56BEW49mEJgiUyrlPHCasB4o8teYym7qIim2zMHcMgtHprTqFVHKvxbTTjQ5rQHYFHxO1IyzlUh4amKmsgB3I3burbz_g4Noyw_DST6xiF_zSN5tJ7L6KLLubdqrc_Sddk/s320/F5%20LTM%20-%20Certified%20Technology%20Specialist.jpg" width="320" /></a></div>
<p style="text-align: left;"></p></div><div style="text-align: justify;">Je travaille avec des appareils F5 depuis 2016, date à laquelle j'ai réussi les examens 101 (Application Delivery Fundamentals) et 201 (TMOS Administration). Après cela, j'ai continué à travailler avec les appareils F5 et j'ai suivi une formation sur F5 ASM où j'ai également obtenu l'examen 303 (<b><a href="https://www.davidromerotrejo.com/2018/07/f5-big-ip-asm-certified-technology.html" target="_blank">BIG-IP ASM Specialist</a></b>) en 2018. J'ai travaillé en profondeur avec F5 APM depuis 2020 pendant la crise du COVID-19. et j'ai réussi l'examen 304 (<b><a href="https://www.davidromerotrejo.com/2022/10/f5-apm-certified-technology-specialist.html" target="_blank">BIG-IP APM Specialist</a></b>) l'année dernière. Cependant, je travaille beaucoup avec le fournisseur F5 ces derniers temps et j'ai passé le 301 (BIG-IP LTM Specialist) la semaine dernière. <br /></div><div><br /> </div><div style="text-align: justify;">Si vous souhaitez obtenir la certification 301, vous devrez passer deux examens. Le premier s'appelle 301A (BIG-IP LTM Specialist : Architect, Setup and Deploy) dans lequel vous devez connaître les paramètres avancés tels que la configuration des domaines de routage, des partitions et même les fichiers que vous devez configurer pour les interruptions SNMP personnalisées. En plus de toute l’expertise que j’avais déjà, j’ai lu deux fois <a href="https://clouddocs.f5.com/training/community/f5cert/html/class7/class7.html" target="_blank"><b>le guide d’étude de certification</b></a> et j’ai passé deux examens en ligne sur examstudio.com. C'était suffisant pour réussir ce premier examen, ce qui était nécessaire pour passer le deuxième. <br /></div><div><br /></div><div style="text-align: justify;">Le deuxième examen s'appelle 301B (BIG-IP LTM Specialist : Maintain and Troubleshoot). Celui-ci est beaucoup plus difficile que le premier car vous devez analyser de nombreuses captures de paquets avec Tcpdump et Wireshark, et vous devez également savoir où se trouvent les fichiers journaux et les comprendre. C’est un examen difficile mais c’est vraiment drôle. Le processus de formation a été similaire à celui de l'examen 301A, j'ai lu <a href="https://clouddocs.f5.com/training/community/f5cert/html/class9/class9.html" target="_blank"><b>le guide d'étude de certification</b></a> deux fois et j'ai passé un test d'examen en ligne sur examstudio.com. Cependant, il ne faut pas oublier l’expertise que j’avais déjà en travaillant avec les appareils LTM. Du coup, j’ai également réussi cet examen, puis j’ai obtenu la certification 301.</div><div style="text-align: justify;"><br />Voulez-vous réussir l'examen 301 ?</div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-45631834648578540642023-11-06T07:30:00.001+01:002023-11-06T07:30:00.146+01:00NVIDIA - BlueField DPU Use Cases<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhT7Ofmq3VBQMlP2zIzNIJwk5teo8RhY87sYT7_Rac5TMBK9lkzyrp9cnFsYT557qk0OxZkET3tTTlv6SJ61jNOoWjmuPgpO8_tc-hl2twykG8ypRU9wmRYQ8v269Bp5a9VQi8f6uG3vy7wLIQngPdk8Q_FDAs5CKrJlQTsuKasLZdcPo2KwrnPksiTBE98/s1204/NVIDIA%20-%20BlueField%20DPU%20Use%20Cases%20v2.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="675" data-original-width="1204" height="179" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhT7Ofmq3VBQMlP2zIzNIJwk5teo8RhY87sYT7_Rac5TMBK9lkzyrp9cnFsYT557qk0OxZkET3tTTlv6SJ61jNOoWjmuPgpO8_tc-hl2twykG8ypRU9wmRYQ8v269Bp5a9VQi8f6uG3vy7wLIQngPdk8Q_FDAs5CKrJlQTsuKasLZdcPo2KwrnPksiTBE98/s320/NVIDIA%20-%20BlueField%20DPU%20Use%20Cases%20v2.png" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">Je vais aborder aujourd'hui des cas d'utilisation qui illustrent comment BlueField DPU décharge les réseaux définis par logiciel (SDN), accélère le stockage et isole les fonctions de sécurité dans les centres de données modernes. Nous allons voir les capacités des accélérateurs logiciels et matériels BlueField DPU, je décrirai les fonctionnalités du BlueField DPU qui déchargent les fonctions réseau, ainsi que je décrirai comment le BlueField DPU prend en charge différentes fonctionnalités d'accélération du stockage. Enfin, nous verrons les capacités du BlueField DPU qui isolent les fonctions de sécurité critiques de l’hôte principal. <br /><br />Les DPU sont conçus pour répondre aux exigences d’infrastructure que les centres de données modernes doivent offrir pour les charges de travail actuelles de cloud computing et d’IA, en fournissant une infrastructure sécurisée et accélérée. La meilleure définition de la mission DPU est de décharger, d'accélérer et d'isoler les charges de travail de l'infrastructure. Dans les paragraphes suivants, j'expliquerais comment les solutions d'accélération logicielle et matérielle de DPU permettent de percer dans l'infrastructure d'accélération des performances de réseau, de stockage et de sécurité de n'importe quelle charge de travail et n'importe quel environnement, du cloud au centre de données en passant par la périphérie.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSK025Y7DnyRBEe-rgPJPn_YChsm1Sn64UkVj3JOEsViW0-APkQ-aOXoDzcG1nD-KFUeLd1zVF4o8Sj9U-uNnU_jvKzKsUUuYARX0xlrkFg420EztdwtarTjSKuU2SZxHFDSFafVEZWqkjhEQL6IlH5oT7zH9GUbJ8kqMYUI40JaCPoT_1vIN8jwcc6gan/s1088/Data%20Center%20transformation%20with%20BlueField%20DPU.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="382" data-original-width="1088" height="140" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSK025Y7DnyRBEe-rgPJPn_YChsm1Sn64UkVj3JOEsViW0-APkQ-aOXoDzcG1nD-KFUeLd1zVF4o8Sj9U-uNnU_jvKzKsUUuYARX0xlrkFg420EztdwtarTjSKuU2SZxHFDSFafVEZWqkjhEQL6IlH5oT7zH9GUbJ8kqMYUI40JaCPoT_1vIN8jwcc6gan/w400-h140/Data%20Center%20transformation%20with%20BlueField%20DPU.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Transformation du centre de données avec BlueField DPU</td></tr></tbody></table><br />Le déchargement des services d'infrastructure signifie le déplacement des services d'infrastructure du système d'exploitation hôte et du processeur vers le DPU, le déchargement sur le processeur dans un environnement SDDC, le libérant ainsi pour exécuter des applications métier. Accélérer les performances du centre de données signifie augmenter les performances des applications en tirant parti des accélérateurs programmables intégrés au matériel, permettant une infrastructure de stockage composable. Le plan de contrôle de sécurité isolé signifie que le DPU fournit un environnement fiable pour exécuter les applications d'infrastructure qui s'exécutaient traditionnellement sur le système hôte.</div><div style="text-align: justify;"> </div><div style="text-align: justify;">BlueField DPU supprime la surcharge du processeur liée à l'exposition des fonctions virtuelles à l'hôte en gérant tous les traitements dans ses propres cœurs ARM. De plus, en délestant le traitement et les fonctions virtuelles au niveau matériel, BlueField DPU offre une sécurité zéro confiance, car il isole la couche hyperviseur de tout trafic malveillant.<style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style> <br /></div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_jYWuBWHAY7vOspp1KVfIKSFDnB1dWR7UfZlnnv1Di0j08BU5nyG63V-jeK3VzPRWVaqNSw0FFopK09EBkpfz2tlbAZUSTPEEyGcPPEn1H6Tw4moO9zL1iEXIbaP0Zneex5tAiNrqKjNKXVa9i0Tx8DnJfbFhvoz-Qji0AyF7TKyRqlngVHEH0cfyNk5c/s560/BlueField%20DPU%20with%20SR-IOV.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="513" data-original-width="560" height="366" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi_jYWuBWHAY7vOspp1KVfIKSFDnB1dWR7UfZlnnv1Di0j08BU5nyG63V-jeK3VzPRWVaqNSw0FFopK09EBkpfz2tlbAZUSTPEEyGcPPEn1H6Tw4moO9zL1iEXIbaP0Zneex5tAiNrqKjNKXVa9i0Tx8DnJfbFhvoz-Qji0AyF7TKyRqlngVHEH0cfyNk5c/w400-h366/BlueField%20DPU%20with%20SR-IOV.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">BlueField DPU avec SR-IOV</td></tr></tbody></table><br />La technologie BlueField SNAP ou Software-Defined Network Accelerated Processing permet une virtualisation accélérée par le matériel du stockage NVMe. Les entreprises peuvent utiliser la virtualisation matérielle pour obtenir tous les avantages opérationnels et économiques du stockage défini par logiciel avec les performances du stockage haut de gamme directement connecté. BlueField SNAP présente logiquement le stockage comme disque local sur le bus PCI vers le système d'exploitation hôte.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgnaBCCpDsB3inJB2ieVGm5gnyW7Vo-jYPsgWQS5W8WwFgl8N1fO2hQQYJL0v9MPWCDHMNgtZfXS7cOSRcwSVQTTtN8YGQzlGda-iVMpBhbMGbNdS1psYpoUfdDW2fMtgfKv5Ks13tpvK4Qalyp-shWLR3rHEzT3OEe7yy1LLkeaDG6ECJcsQKHWhFktVN0/s615/BlueField%20SNAP%20-%20DPU%20storage%20emulation%20to%20host.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="615" data-original-width="606" height="400" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgnaBCCpDsB3inJB2ieVGm5gnyW7Vo-jYPsgWQS5W8WwFgl8N1fO2hQQYJL0v9MPWCDHMNgtZfXS7cOSRcwSVQTTtN8YGQzlGda-iVMpBhbMGbNdS1psYpoUfdDW2fMtgfKv5Ks13tpvK4Qalyp-shWLR3rHEzT3OEe7yy1LLkeaDG6ECJcsQKHWhFktVN0/w394-h400/BlueField%20SNAP%20-%20DPU%20storage%20emulation%20to%20host.png" width="394" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">BlueField SNAP - émulation de stockage</td></tr></tbody></table><br />Les DPU BlueField permettent aux organisations de transporter leurs infrastructures informatiques dans des centres de données de pointe, accélérés, entièrement programmables et dotés d'une sécurité zéro confiance pour empêcher les violations de données et les cyberattaques. Le DPU comprend tous les éléments de sécurité. Cela commence par hardware Root-of-Trust (RoT) qui garantit l'intégrité du DPU lui-même, puis passe aux accélérateurs de chiffrement et au pare-feu avec technologie de sécurité de suivi des connexions. Pour une sécurité plus avancée, la Deep Packet Inspection (DPI) permet d'examiner le paquet et d'en extraire les informations critiques. Enfin, le plan de contrôle de sécurité est entièrement isolé de l’hôte.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQxAbw4-Q5SkQsI1a84CjFxrTY_lMj4TmV4TKyYRTq_w60P0TcycHI33XHM-9xzphuVfkcy42aHoDWHHXGY48ssu-JHHiixE4i02_AVCs93sHMsnQl3ePKSMHoafB5SHAn8kruqk1WPfkqd-dD0TmwXKCony3KihKD_gugN26B8CG1C000nm9E1qu8HLhf/s1278/BlueField%20-%20The%20Most%20Secure%20DPU.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="627" data-original-width="1278" height="196" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQxAbw4-Q5SkQsI1a84CjFxrTY_lMj4TmV4TKyYRTq_w60P0TcycHI33XHM-9xzphuVfkcy42aHoDWHHXGY48ssu-JHHiixE4i02_AVCs93sHMsnQl3ePKSMHoafB5SHAn8kruqk1WPfkqd-dD0TmwXKCony3KihKD_gugN26B8CG1C000nm9E1qu8HLhf/w400-h196/BlueField%20-%20The%20Most%20Secure%20DPU.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">BlueField - Le DPU le plus sécurisé</td></tr></tbody></table><br />Travaillez-vous déjà avec des DPU dans votre centre de données ?</div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-85511765763909787912023-10-30T07:30:00.010+01:002023-10-30T07:30:00.143+01:00F5 APM - Modify LDAP Attribute Values using iRulesLX<div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKcrrl0EVYcjVmTmkD_0CQgwaeyyg7M6uxRgtqQtw2_-dZ3WAVJaOnTG33pz09GLAZLW8QcDtlBQzftoHFYiUZGLX7ziPtq1bRD9dlQmu8kp6gzPv5V5EnE9D1gXmR7dV46S8Aupy_PuEswOsSMIm8xNhUZ5rEhO0fFsRDnofwHKnknycNpmNJusai4xvG/s1280/F5%20APM%20-%20Modify%20LDAP%20Attribute%20Values%20using%20iRulesLX.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="720" data-original-width="1280" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKcrrl0EVYcjVmTmkD_0CQgwaeyyg7M6uxRgtqQtw2_-dZ3WAVJaOnTG33pz09GLAZLW8QcDtlBQzftoHFYiUZGLX7ziPtq1bRD9dlQmu8kp6gzPv5V5EnE9D1gXmR7dV46S8Aupy_PuEswOsSMIm8xNhUZ5rEhO0fFsRDnofwHKnknycNpmNJusai4xvG/s320/F5%20APM%20-%20Modify%20LDAP%20Attribute%20Values%20using%20iRulesLX.jpg" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">De nombreux clients me demandent de modifier les valeurs des attributs LDAP avec F5 APM et, jusqu'à présent, je leur ai toujours dit que ce n'était pas pris en charge par F5. Il existe plusieurs façons de le faire avec des scripts bash exécutés à partir du shell dans F5, mais cela n'est pas pris en charge par le fournisseur. Cependant, ces jours-ci, je suis tombé sur un <b><a href="https://community.f5.com/t5/technical-articles/apm-cookbook-modify-ldap-attribute-values-using-iruleslx/ta-p/278760">article technique</a></b> dans DevCentral que je ne connaissais pas, où l'on peut lire comment modifier les valeurs d'attribut LDAP avec iRulesLX. Peut-être que l'utilisation d'iRulesLX n'est pas aussi stable que nous le souhaiterions, en raison de la compatibilité des versions de Node.js dans les mises à jour de F5, mais je l'ai testé et cela fonctionne à merveille. <br /></div><div><br /></div><div><div style="text-align: justify;">J'ai enregistré une vidéo dans laquelle vous pouvez regarder toutes les étapes pour modifier les valeurs des attributs LDAP à l'aide d'iRulesLX. Tout d'abord, nous devons créer un espace de travail avec le code iRule et Node.js où nous allons nous connecter au serveur LDAP pour modifier la valeur de l'attribut LDAP. Deuxièmement, nous devons créer une politique d'accès dans laquelle nous allons obtenir l'utilisateur, l'attribut et la valeur de l'attribut que nous souhaitons modifier. Enfin, nous pouvons observer comment fonctionne cette configuration avec une simple page de connexion.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><iframe allowfullscreen="" class="BLOG_video_class" height="266" src="https://www.youtube.com/embed/X4AvzKEgSxk" width="320" youtube-src-id="X4AvzKEgSxk"></iframe></div><br /> Comme vous pouvez le constater, il est très simple de modifier les valeurs des attributs LDAP à partir de F5 APM. Le saviez-vous ?</div></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-90996206332519171562023-10-23T07:30:00.026+02:002023-10-23T07:30:00.142+02:00F5 BIG-IP LTM - Security HTTP headers<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgQ6lIKiHzqQRbG096vsfBYnv2E_H9IpNcUA2gqgXjapNcq2ZTzTdgJTjt0qeCmhW0LD24zNdo4WlSLcy0TZCzA3MFIuoOhmiVR_32Pex4TuM54M1n6gzi42UPEQsraVfZFpx4NgS2Wgj4iHjjunoasKOssPsl2_SIzz52MH73N2SWYlueG3-g63FjM7E8m/s1243/F5%20BIG-IP%20LTM%20-%20Security%20HTTP%20headers.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="675" data-original-width="1243" height="174" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgQ6lIKiHzqQRbG096vsfBYnv2E_H9IpNcUA2gqgXjapNcq2ZTzTdgJTjt0qeCmhW0LD24zNdo4WlSLcy0TZCzA3MFIuoOhmiVR_32Pex4TuM54M1n6gzi42UPEQsraVfZFpx4NgS2Wgj4iHjjunoasKOssPsl2_SIzz52MH73N2SWYlueG3-g63FjM7E8m/s320/F5%20BIG-IP%20LTM%20-%20Security%20HTTP%20headers.jpg" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">Cela fait de nombreuses années que je n'ai pas écrit sur «<b><a href="https://www.davidromerotrejo.com/2017/11/make-your-app-safer-with-http-security.html">Make your App safer with HTTP security policy</a></b>» dans laquelle j'expliquais le fonctionnement de l'en-tête HSTS ainsi que d'autres en-têtes HTTP tels que HPKP ou CSP. Cependant, les en-têtes HSTS et CSP sont de plus en plus utilisés par les ingénieurs système pour protéger les services Web. Aujourd'hui, je voudrais parler de certains en-têtes HTTP, qui sont très importants pour sécuriser les sites Web, et en plus, je vais vous expliquer comment les configurer dans F5 BIG-IP. <br /></div><div><br /></div><div><div style="text-align: justify;">Tout d'abord, je veux écrire sur l'en-tête HSTS. Je pense que c'est l'un des en-têtes HTTP qui protègent mieux les services Web car si votre serveur Web envoie cet en-tête au navigateur du client, toutes les prochaines requêtes seront sécurisées par le protocole HTTPS, même la première requête la prochaine fois. Configurer l'en-tête HSTS dans F5 BIG-IP est vraiment simple car il suffit d'activer une case à cocher dans le profil HTTP.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiW0CfJOSlVfe3dZXAISPXyMXwf0UtlzVx4F9t0dnYripQKnkSC5VAPdTAwXAQChkiVHuwUOQfleVUjeKzCqI4c7seDh4bhtamlfJ2sevi5yRuDlYlCApiXf7QkERsw4MUPActd1Gz7B8Z-7fP3XVW9kKk98fVBl-_qlhyInX-D2wQ4npTnv6YMKpaSO6SM/s403/HSTS%20header.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="168" data-original-width="403" height="166" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiW0CfJOSlVfe3dZXAISPXyMXwf0UtlzVx4F9t0dnYripQKnkSC5VAPdTAwXAQChkiVHuwUOQfleVUjeKzCqI4c7seDh4bhtamlfJ2sevi5yRuDlYlCApiXf7QkERsw4MUPActd1Gz7B8Z-7fP3XVW9kKk98fVBl-_qlhyInX-D2wQ4npTnv6YMKpaSO6SM/w400-h166/HSTS%20header.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">En-tête HSTS<br /></td></tr></tbody></table><br />Un autre en-tête HTTP intéressant, dont j'ai déjà parlé, est l'en-tête CSP ou Content Security Policy. Cet en-tête empêche les attaques XSS et par injection de données. L’objectif de la politique de sécurité est d’indiquer aux navigateurs quel est le contenu source fiable afin d’empêcher l’exécution de code par des scripts malveillants dans le navigateur de la victime. La configuration de l'en-tête CSP dans F5 BIG-IP est un peu plus difficile que l'en-tête HSTS. Cependant, vous verrez que ce n’est pas si difficile car vous pouvez le faire avec une simple iRule comme la suivante.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAO1Es5gG2rsuwG5s16bqAgOV6UqI9eo5_WaOgtiBQHgAyi_PwbdVuxTfVpKN1HtnnfPAQfbiwTCPR3LUaJrl9DJ6dcBNA4X8Z-oO0Aj6UNIQ962pmFF_xfTD_LxUASchk5On3ufRkxt8jnj1aEglDouidLgb76cijzthQ-iUI55h-0JQ3vKE54OPyreVV/s969/CSP%20header.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="115" data-original-width="969" height="48" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjAO1Es5gG2rsuwG5s16bqAgOV6UqI9eo5_WaOgtiBQHgAyi_PwbdVuxTfVpKN1HtnnfPAQfbiwTCPR3LUaJrl9DJ6dcBNA4X8Z-oO0Aj6UNIQ962pmFF_xfTD_LxUASchk5On3ufRkxt8jnj1aEglDouidLgb76cijzthQ-iUI55h-0JQ3vKE54OPyreVV/w400-h48/CSP%20header.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">En-tête CSP<br /></td></tr></tbody></table><br />L'en-tête X-Content-Type-Options est un autre en-tête de réponse HTTP très intéressant car il s'agit d'un en-tête de sécurité conçu pour protéger les applications du serveur Web contre les attaques par reniflage de type MIME. Lorsque cet en-tête est défini sur « nosniff », il demande au navigateur de toujours utiliser le type MIME déclaré dans l'en-tête Content-Type plutôt que d'essayer de déterminer le type MIME en fonction du contenu du fichier. Cet en-tête de sécurité est configuré comme l'en-tête CSP dans F5 BIG-IP. Nous pouvons le configurer avec une iRule ou une politique LTM.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhL6V2GbJrHSgaKcKxxOESVdi1HaCsqF3JZ6bZ-D9kqRlezQni7NSCpV4oFbPjVczqQsY2w1FWec_wElX6RR8_mtpMmbcVQ4zcoea55ClriLdpRIj8zP_HofaXRHEv9jAhjsJtUjCk1tnqIaElue0_kiStppnBgd3IIvvhrEYcDvO5wUYjMogEMMED5t5dY/s486/X-Content-Type-Options%20header.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="82" data-original-width="486" height="68" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhL6V2GbJrHSgaKcKxxOESVdi1HaCsqF3JZ6bZ-D9kqRlezQni7NSCpV4oFbPjVczqQsY2w1FWec_wElX6RR8_mtpMmbcVQ4zcoea55ClriLdpRIj8zP_HofaXRHEv9jAhjsJtUjCk1tnqIaElue0_kiStppnBgd3IIvvhrEYcDvO5wUYjMogEMMED5t5dY/w400-h68/X-Content-Type-Options%20header.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">En-tête X-Content-Type-Options<br /></td></tr></tbody></table><br />Il existe un autre en-tête HTTP que j'aime vraiment inclure dans les services Web. Ce n’est pas un en-tête de sécurité mais c’est intéressant. L'en-tête Cache-Control est utilisé pour spécifier les politiques de mise en cache du navigateur dans les requêtes client et les réponses du serveur. Les politiques incluent la manière dont une ressource est mise en cache, l’endroit où elle est mise en cache et son âge maximum avant son expiration. Il existe de nombreuses directives pour configurer le contrôle du cache telles que Max-Age, No-Cache, No-Store, etc. A vous de choisir laquelle utiliser. Vous pouvez également configurer cet en-tête HTTP avec une iRule ou une politique LTM.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZnsdl5rxCH5BQr6NiW8amKn9BS_pqqOz9rNSI18SsV_IPU9X8827s_qR2OEKwVTtn3bGljV2OzhujK4bKq2EpGkXrDO8PvgA9UIAiEOBz_d6g5nh0ule-wYNfHK0SzN9pvzi3VMWT90jJVtBYxVbIOp9AhkQ8k1sWkFouIzSsAeeJBC_8T9my7qILmPlv/s429/Cache-Control%20header.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="87" data-original-width="429" height="81" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgZnsdl5rxCH5BQr6NiW8amKn9BS_pqqOz9rNSI18SsV_IPU9X8827s_qR2OEKwVTtn3bGljV2OzhujK4bKq2EpGkXrDO8PvgA9UIAiEOBz_d6g5nh0ule-wYNfHK0SzN9pvzi3VMWT90jJVtBYxVbIOp9AhkQ8k1sWkFouIzSsAeeJBC_8T9my7qILmPlv/w400-h81/Cache-Control%20header.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">En-tête Cache-Control<br /></td></tr></tbody></table><br />Enfin, il faut également prendre en compte les chiffrements entre clients et serveurs car les services sécurisés ne concernent pas uniquement les en-têtes HTTP. Il est bien connu que nous devrions désactiver TLS 1.0 et TLS 1.1, mais je pense que nous devons activer uniquement les algorithmes d'échange de clés dotés de la fonctionnalité Forward Secrecy, car cette méthode cryptorographique garantit que les clés de session ne seront pas compromises même si les clés privées d'un échange particulier sont révélés par un attaquant. Ceci est réalisé en générant de nouvelles clés de session (éphémères) pour chaque transaction.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg01rFJEBKQauSOEzqf__ZLeTlPhDgxv3vAlvKbSmrzIA_xENNrsiE7shBLuX4PHPtTUuY1gfmW4-LIKg38GLmp-w741gnY7_FMTv-rzc6g_ZNCZ8J0wjnPjuwZnxSeJ7d9WQ-Bff9HmZy03pXZBHiZ46toxc2BxWlSvTzNDzazN4DkrDDYAqIcqc56VZZ2/s786/Forward%20Secrecy.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="589" data-original-width="786" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg01rFJEBKQauSOEzqf__ZLeTlPhDgxv3vAlvKbSmrzIA_xENNrsiE7shBLuX4PHPtTUuY1gfmW4-LIKg38GLmp-w741gnY7_FMTv-rzc6g_ZNCZ8J0wjnPjuwZnxSeJ7d9WQ-Bff9HmZy03pXZBHiZ46toxc2BxWlSvTzNDzazN4DkrDDYAqIcqc56VZZ2/w400-h300/Forward%20Secrecy.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Forward Secrecy<br /></td></tr></tbody></table><br />Utilisez-vous ces recommandations de sécurité dans vos services Web ?</div></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-27980793152221643212023-10-16T07:30:00.015+02:002023-10-16T07:30:00.143+02:00 What’s new in FortiOS 7.4<div><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-qHVhgIRmNEbpms5CPgOzA6bsPZASYCfX2S-sXlacWyZF4xdGfSoom7Y2cQejEXO1-nZbJy7py42nanIeusUmm_c-YSYcR0g15YtksTCoW2LBK-1dHs5OwXy5skguoE9Roo5IPF-XNj40unG59I7arefUE-3N9CkX6yG_h2UJEv8X3KUK7oxeaSvrcpAP/s1920/FortiOS%207.4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1080" data-original-width="1920" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-qHVhgIRmNEbpms5CPgOzA6bsPZASYCfX2S-sXlacWyZF4xdGfSoom7Y2cQejEXO1-nZbJy7py42nanIeusUmm_c-YSYcR0g15YtksTCoW2LBK-1dHs5OwXy5skguoE9Roo5IPF-XNj40unG59I7arefUE-3N9CkX6yG_h2UJEv8X3KUK7oxeaSvrcpAP/s320/FortiOS%207.4.png" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">Je travaille avec des appareils Fortinet depuis 2009. Je me souviens encore de l'interface graphique verte de FortiOS 3.0. Depuis, j'ai beaucoup travaillé avec FortiThings, comme FortiGate, FortiAnalyzer, FortiManager, FortiAP, FortiMail, FortiSwitches, etc. En fait, j'ai également écrit sur de nombreuses versions de FortiOS telles que FortiOS 5.6, FortiOS 6.0, FortiOS 6.2, FortiOS 6.4, FortiOS 7.0 et FortiOS 7.2. Cependant, je voudrais écrire aujourd'hui sur la nouvelle version, FortiOS 7.4. Ils ont mis en œuvre des dizaines de nouvelles fonctionnalités et mises à jour, depuis la prise en charge des nouvelles technologies jusqu'à de petits ajustements pour rendre les flux de travail plus fluides et plus faciles. Jetons un coup d'œil à certaines des nouvelles fonctionnalités disponibles :<br /></div><div><br /></div><div><div style="text-align: justify;">Les tableaux de bord sont nouveaux et leur utilisation est plus rapide et plus intuitive. Nous pouvons maintenant rechercher des widgets de tableau de bord dans la barre de recherche globale, en économisant quelques étapes, et une fois que nous avons trouvé le widget souhaité, la barre de recherche nous permet de prévisualiser le widget et de l'essayer avant de l'ajouter au tableau de bord de notre choix. . FortiView, et les widgets en particulier, ont été améliorés. L'exploration des entrées est encore plus utilisable et intuitive que jamais, et les journaux de session sont désormais accessibles directement depuis la page FortiView.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLbPNcgD5npcX7vYH9aerOQ4NYrVSVNmVzyvckeKZiE13wLFCLCgRM-oshDIjZBjg4Yt3YyG4J-5NXuV3vVABsP_asMZRC68Q62iLon9C2pgBFRVKuEiiKeYd_tlVSu2k3j6muMZF7BGWRd074lzviOPydme5DcTF3glLiQsMjvdy2CL_qMhS6ycUIBagI/s1920/1%20-%20dashboard.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhLbPNcgD5npcX7vYH9aerOQ4NYrVSVNmVzyvckeKZiE13wLFCLCgRM-oshDIjZBjg4Yt3YyG4J-5NXuV3vVABsP_asMZRC68Q62iLon9C2pgBFRVKuEiiKeYd_tlVSu2k3j6muMZF7BGWRd074lzviOPydme5DcTF3glLiQsMjvdy2CL_qMhS6ycUIBagI/w400-h225/1%20-%20dashboard.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Tableaux de bord<br /></td></tr></tbody></table><br />La page de liste des politiques a également bénéficié d'améliorations significatives en termes de convivialité. Le plus remarquable est que la page peut désormais gérer un grand nombre de politiques, des dizaines de milliers si nécessaire, avec une stabilité totale. Ils ont ajouté un nouveau type de vue en plus d'afficher les politiques par paires d'interfaces et par séquence. Les utilisateurs peuvent facilement regrouper des politiques séquencées. Sélectionnez simplement la politique de départ et donnez un nom au groupe. Toutes les politiques à partir de ce moment seront regroupées. Une autre nouvelle fonctionnalité de mise en page est le menu survolé, qui apparaît automatiquement sous la stratégie sélectionnée et donne accès à toutes les options de configuration disponibles. Les cases à cocher sur chaque ligne de la liste des politiques facilitent la sélection de deux politiques ou plus afin que nous puissions prendre des mesures sur chacune d'elles en même temps grâce au nouveau menu de sélection multiple.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjS0aPNpOx56MxUQeikyydxNyULa_ZKPfjNG9729dERuiMaSpi8z7fgzkzS9UASVrv7JQnOzwIMWe4mxSQHZMuw26niPaXENvVaOmHCoNCQiWvPpM56Na9yx1QtnYLl6VzLzJ1h8zwpmEsHbwCoV7eyOprX8wuDye38eZS3DakZwu5fIW7wWO57PDH96hF1/s1920/2%20-%20policies.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjS0aPNpOx56MxUQeikyydxNyULa_ZKPfjNG9729dERuiMaSpi8z7fgzkzS9UASVrv7JQnOzwIMWe4mxSQHZMuw26niPaXENvVaOmHCoNCQiWvPpM56Na9yx1QtnYLl6VzLzJ1h8zwpmEsHbwCoV7eyOprX8wuDye38eZS3DakZwu5fIW7wWO57PDH96hF1/w400-h225/2%20-%20policies.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Politiques</td></tr></tbody></table><br />Le Security Fabric présente quelques améliorations en termes de convivialité. Les connecteurs qui demandent à rejoindre Secuirty Fabric apparaissent désormais sous forme de cartes dans la liste des connecteurs pour une authentification beaucoup plus facile. L’un des nouveaux connecteurs de structure qu’ils ont ajoutés est un flux de menaces d’adresse MAC, similaire au flux de menaces d’adresse IP. Ajoutez simplement l'URL à la ressource de flux et nous pouvons ajuster les politiques pour nous prémunir contre les menaces spécifiques à l'adresse MAC. Fortinet a également ajouté de nouveaux widgets de tableau de bord spécifiquement pour les propriétés de Security Fabric telles que le moniteur de topologie.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJdz3HQLAK0oUG1NT2Q_8DMvzFpMWKsTnFEd7sF8f2nosHZ2-AnB8KQx6rui0A4MMIw7sjelGemLSdTwtpuoXe34CCspIct1dXZkMp2yPE1FA8fDAFyg4Q3nZSE6r1Kx3yhjcStmb5nzFgbAN5p4d3k8x4xTHKOdVZBCa2W9s88FPRDTEpcTeqZzxdYA-x/s1920/3%20-%20security%20fabric.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiJdz3HQLAK0oUG1NT2Q_8DMvzFpMWKsTnFEd7sF8f2nosHZ2-AnB8KQx6rui0A4MMIw7sjelGemLSdTwtpuoXe34CCspIct1dXZkMp2yPE1FA8fDAFyg4Q3nZSE6r1Kx3yhjcStmb5nzFgbAN5p4d3k8x4xTHKOdVZBCa2W9s88FPRDTEpcTeqZzxdYA-x/w400-h225/3%20-%20security%20fabric.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Security Fabric<br /></td></tr></tbody></table><br />Une nouvelle fonctionnalité de sécurité est dans FortiOS 7.4, les profils CASB. Nous pouvons créer des profils pour les applications SaaS et contrôler l'accès à des actions spécifiques sur ces applications. Fortinet propose une large sélection d'actions standard qui peuvent être surveillées, et nous pouvons également créer des contrôles personnalisés pour des situations spécialisées.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3eXOdF1PjAlkgth1SMKHwxJQDdsbTUMxOalTHdfMwHAMZEGHlTi-4oZ5fGrDgrwRlo3tYIxsLU5wyDuhmKIsKdDvxb1q6QaGUaGGsAXoexizwltEaUS6RKi5TVWF8hQooSsPYDfRUjL6CpQRNQjoY6Mb_xGT9X72jrKDbm_JZvO9C5KlurdeOmTbT8j0I/s1920/4%20-%20Inline%20CASB.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh3eXOdF1PjAlkgth1SMKHwxJQDdsbTUMxOalTHdfMwHAMZEGHlTi-4oZ5fGrDgrwRlo3tYIxsLU5wyDuhmKIsKdDvxb1q6QaGUaGGsAXoexizwltEaUS6RKi5TVWF8hQooSsPYDfRUjL6CpQRNQjoY6Mb_xGT9X72jrKDbm_JZvO9C5KlurdeOmTbT8j0I/w400-h225/4%20-%20Inline%20CASB.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">CASB</td></tr></tbody></table><br />FortiOS prend désormais en charge la création de profils de correctifs virtuels pour prendre en charge la protection des appareils OT et IoT. Créez simplement le profil, donnez-lui un nom et sélectionnez le niveau de risque. Ensuite, le profil est immédiatement disponible.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgaA3RigqaMirLJhmGAJMNz83ZyV_RboZyJlBHlPV3xGqnC-Oow5S-fvZiGDY4fkoBijLrOqiLjXtChLkbaf6-cIPPZ9JCCn6zzjvHp-6qa6j7dTkzeObgjsPR1_bPlDt3VKYdBlLIB1rKqdB_jiy6mXVsN-TXEqysFreHjt2Ynbs0w6zvH-QGAZJmpW1EI/s1920/5%20-%20Virtual%20Patching.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgaA3RigqaMirLJhmGAJMNz83ZyV_RboZyJlBHlPV3xGqnC-Oow5S-fvZiGDY4fkoBijLrOqiLjXtChLkbaf6-cIPPZ9JCCn6zzjvHp-6qa6j7dTkzeObgjsPR1_bPlDt3VKYdBlLIB1rKqdB_jiy6mXVsN-TXEqysFreHjt2Ynbs0w6zvH-QGAZJmpW1EI/w400-h225/5%20-%20Virtual%20Patching.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">Correctifs Virtuels<br /></td></tr></tbody></table><br />Enfin, si nous ajoutons un nouveau FortiGate au réseau qui doit être configuré avec les paramètres de notre entreprise, nous pouvons désormais utiliser le nouveau service FortiConverter pour le faire à notre place. FortiConverter lira la configuration des appareils existants et les mettra à jour pour le nouveau matériel. Nous pouvons même choisir des zones spécifiques à mettre à jour. Entrez simplement quelques paramètres et laissez FortiConverter s'occuper des appareils pour nous. Nous pouvons même utiliser FortiConverter pour migrer les paramètres d'un appareil d'un autre fournisseur.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto;"><tbody><tr><td style="text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjG64b9e0R-qWi2andLPQeamptZVLiKVmb4FbzfVXX8SoOGPrMeEk7nRaQpSQytJKBXIKugfz-Sm-Tvj9EnuuVx5892nmofihNT8lRE6mHL3uKHoJMtsttUP_U6lA1-5XpDep3KQjE8SOT5ohXyx54m9fL1FuJVCXVjg7wB9KM0tj4SFiac7TeW0eDPqQ2d/s1920/6%20-%20FortiConverter.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="1080" data-original-width="1920" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjG64b9e0R-qWi2andLPQeamptZVLiKVmb4FbzfVXX8SoOGPrMeEk7nRaQpSQytJKBXIKugfz-Sm-Tvj9EnuuVx5892nmofihNT8lRE6mHL3uKHoJMtsttUP_U6lA1-5XpDep3KQjE8SOT5ohXyx54m9fL1FuJVCXVjg7wB9KM0tj4SFiac7TeW0eDPqQ2d/w400-h225/6%20-%20FortiConverter.png" width="400" /></a></td></tr><tr><td class="tr-caption" style="text-align: center;">FortiConverter</td></tr></tbody></table><br />Avez-vous essayé FortiOS 7.4 ?<style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><div style="text-align: justify;"><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><div style="text-align: justify;"><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><div style="text-align: justify;"><style type="text/css"> </style></div><div style="text-align: justify;"><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><div style="text-align: justify;"><style type="text/css"> </style></div><div style="text-align: justify;"><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><div style="text-align: justify;"><style type="text/css"> </style></div><div style="text-align: justify;"><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></div><p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-61094290106506651762023-10-09T07:30:00.001+02:002023-10-09T07:30:00.138+02:00F5 AWAF – Enforce URL flows<p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQev3UwPcY1X7LkTup5LnC60o5XrpuMwICmvh-lfQ6h4Ll8rCI3JL0KHpu4Llzezpr9JPOhdhK2xx2daRvgCAojze1IcyfoP_EETI-EGREQZ8nr8gAJAvyXTXeRj2XuJO9nNUZXQqfDvbb2HS4bfLIGWxOVIf9tOaJJt4wk10tsB4GTclKqhVTjG6gM51e/s1243/F5%20AWAF%20-%20Enforce%20URL%20flows.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="675" data-original-width="1243" height="174" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQev3UwPcY1X7LkTup5LnC60o5XrpuMwICmvh-lfQ6h4Ll8rCI3JL0KHpu4Llzezpr9JPOhdhK2xx2daRvgCAojze1IcyfoP_EETI-EGREQZ8nr8gAJAvyXTXeRj2XuJO9nNUZXQqfDvbb2HS4bfLIGWxOVIf9tOaJJt4wk10tsB4GTclKqhVTjG6gM51e/s320/F5%20AWAF%20-%20Enforce%20URL%20flows.jpg" width="320" /></a></div>
<p></p><div style="text-align: justify;">Cela fait longtemps que je n'ai pas écrit sur F5 AWAF. En fait, c'était il y a plus d'un an lorsque j'ai écrit sur <a href="https://www.davidromerotrejo.com/2022/01/f5-asm-enforced-allowed-cookies.html"><b>Enforced & Allowed Cookies</b></a>. Cependant, j’ai travaillé ces semaines-ci avec une nouvelle fonctionnalité que je n’avais pas configurée auparavant. J'avais déjà utilisé <a href="https://www.davidromerotrejo.com/2018/06/waf-login-enforcement-session-tracking.html"><b>Login URL Enforcement</b></a>, mais je n'avais jamais configuré <b>Enforce URL Flows</b>. Un client souhaitait donc imposer un point d'entrée comme index.html avant d'accéder à une autre ressource car il existe des URL qui sont vraiment lourdes pour les serveurs. Ils peuvent améliorer les performances du serveur si les utilisateurs se rendent d'abord au point d'entrée et, en outre, bloquent les robots malveillants qui souhaitent endommager le service. <br /></div><div><br /></div><div><div style="text-align: justify;">J'ai enregistré et mis en ligne une nouvelle vidéo dans laquelle vous pouvez voir comment appliquer les flux d'URL. C'est vraiment facile. Tout d’abord, nous devons autoriser toutes les URL que nous souhaitons protéger. Nous pouvons ajouter les URL manuellement ou apprendre les URL à partir du processus d'apprentissage du trafic. Il est important de souligner que les cases Apprendre, Alarmer et Bloquer dans « URL illégale » et « Flux illégal vers une URL » sont cochées. Une fois les URL apprises, nous pouvons supprimer les caractères génériques du menu « URL autorisée ». Ensuite, nous devons configurer l'URL du point d'entrée (index.php) et la liste des flux (sell.php). Enfin, nous sommes prêts pour les tests.</div><div style="text-align: justify;"> </div><div style="text-align: justify;"><div class="separator" style="clear: both; text-align: center;"><iframe allowfullscreen="" class="BLOG_video_class" height="266" src="https://www.youtube.com/embed/s7MDmwgX76s" width="320" youtube-src-id="s7MDmwgX76s"></iframe></div><br />J'espère que tu aimes. Passe une bonne journée!</div></div>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0tag:blogger.com,1999:blog-6638219454325529016.post-78656503134196713142023-10-02T07:30:00.001+02:002023-10-02T07:30:00.143+02:00F5XC WAAP vs Cloudflare WAAP<div><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTL6ByT-VhKtaYBUhksxh5eaItt7R2Fwu79TWQUkeYohCm6kUhxLk9q8S6wiIecIQeg9NL7hgAr6GekUy6doFAdv5QSRTS4w5uO7v8yrjuPQOAM0iWbgie7-n-dHroYuTBDuN8l4XWTl7CGZUkXm7nzHTZ99iejWWgkVxDmAl7_7zmsjyEuO_-UbF7DOfH/s1280/F5XC%20WAAP%20vs%20Cloudflare%20WAAP.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="720" data-original-width="1280" height="180" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTL6ByT-VhKtaYBUhksxh5eaItt7R2Fwu79TWQUkeYohCm6kUhxLk9q8S6wiIecIQeg9NL7hgAr6GekUy6doFAdv5QSRTS4w5uO7v8yrjuPQOAM0iWbgie7-n-dHroYuTBDuN8l4XWTl7CGZUkXm7nzHTZ99iejWWgkVxDmAl7_7zmsjyEuO_-UbF7DOfH/s320/F5XC%20WAAP%20vs%20Cloudflare%20WAAP.jpg" width="320" /></a></div>
<p></p></div><div style="text-align: justify;">Beaucoup de gens peuvent s'interroger sur la différence entre F5XC WAAP et Cloudflare WAAP. Les deux entreprises sont bien connues pour la plupart des ingénieurs de réseau et sécurité et toutes les deux proposent des services basés sur SaaS, mais il existe certaines différences qui peuvent vous aider à décider lequel acheter. Je vais essayer de répondre à toutes les questions que nous nous posons lorsque nous souscrivons à un service comme celui-ci. <br /><br />Si vous ne connaissez pas encore Cloudflare, il s'agit d'une entreprise qui propose principalement CDN et des mesures d'atténuation DDoS, mais qui propose également des services de sécurité sur sa plateforme. Leurs services CDN et d’atténuation DDoS sont vraiment bons. En fait, ils se sont fait connaître lorsqu’ils ont réussi à nier une attaque DDoS allant jusqu’à 400 Gbit/s en 2014, puis une autre attaque jusqu’à 500 Gbit/s. Cependant, si nous parlons de leurs services WAF, ils peuvent bloquer de simples pages Web. Principalement, vous disposez d'une case à cocher pour activer la fonctionnalité WAF, mais vous n'avez pas beaucoup d'options et de règles comme le fait F5XC. <br /><br />D'un autre côté, si vous ne connaissez pas encore F5, il s'agit d'une entreprise fondée en 1996 alors que ses produits principaux étaient la haute disponibilité et l'équilibrage de charge. Pourtant, aujourd’hui, F5 est l’un des leaders des services de sécurité. Ils peuvent protéger l’ensemble de la pile d’applications, grâce aux capacités de pare-feu réseau, au WAF avancé et à la protection contre les robots. Vous pouvez déployer leurs produits sur site, dans des cloud publics ou même en SaaS. <br /><br />Une fois que vous connaîtrez les deux entreprises, je vais écrire sur leurs produits et services. Cloudflare WAAP est un service de protection d'applications Web et d'API destiné à un marché bas de gamme. Ils ont gagné de nombreux clients grâce à leurs services gratuits, puis de nombreux blogueurs et petites entreprises ont commencé avec eux et ces blogs personnels et petites pages Web sont protégés par Cloudflare WAF. Par conséquent, Cloudflare a une large base de clients, mais elle n’est pas aussi orientée Entreprise car la cible et l’efficacité ne sont pas destinées aux grandes entreprises. <br /><br />F5 WAAP est à l'opposé de Cloudflare WAAP, car les entreprises qui peuvent se permettre des achats d'une valeur d'environ plusieurs centaines de milliers de dollars sont de grandes entreprises, des fournisseurs de services et des clients gouvernementaux. F5 a vendu des appliances hardware à ses clients du monde entier pour fournir les meilleurs services de sécurité des applications dans leurs environnements. Aujourd'hui, F5, avec l'acquisition de SHAPE, est en mesure d'atteindre de plus en plus de clients car F5 a apporté l'apprentissage automatique et l'intelligence artificielle du SHAPE à l'appliance Advanced WAF. Par conséquent, F5 peut offrir des produits et services beaucoup plus abordables à chaque entreprise. <br /><br />En résumé, Cloudflare est une bonne entreprise qui propose ses services de sécurité à un marché bas de gamme comme les blogueurs et les petites entreprises. De plus, le moteur Cloudflare WAF est basé sur le moteur open source ModSecurity, connu pour ses performances médiocres. D'autre part, F5 est un leader dans les services de sécurité et vend ses services à de grandes entreprises depuis la création de F5. Aujourd'hui, ils peuvent toucher plus de clients grâce à l'intégration de SHAPE dans F5XC WAAP.</div><p><style type="text/css">p { margin-bottom: 0.21cm; background: transparent }strong { font-weight: bold }a:visited { color: #800000; so-language: zxx; text-decoration: underline }a:link { color: #000080; so-language: zxx; text-decoration: underline }</style></p>David Romero Trejohttp://www.blogger.com/profile/03291116570275857993noreply@blogger.com0