Comment Itop Education protège sa plateforme SaaS

Itop Education opère des environnements numériques de travail en mode SaaS pour, notamment, 4500 établissements scolaires en France, ce qui regroupe environ 5 millions d’utilisateurs. Historiquement, sa plateforme a longtemps été protégée avec Microsoft Forefront TMG. Mais sa commercialisation a été abandonnée fin 2012, et le support général est arrivé à terme au printemps 2015.

Dans ce contexte, Itop Education cherchait activement une alternative depuis le début 2014. Mais dans le courant de cette année-là, tout s’est accéléré : l’éditeur était arrivé aux limites de la solution, selon les termes de Nicolas Collet, son directeur de production. En l’espace d’un mois, il fallait faire entrer en production ce qui allait remplacer Forefront TMG.

Pour les besoins d’Itop Education, il cherchait une solution intégrée pour éviter les écueils potentiels d’un environnement trop hétérogène : il s’agissait de couvrir authentification, protection d'application, équilibrage de charge, ou encore protection contre les attaques en déni de service. Et c’est vers l’offre de F5 que Nicolas Collet s’est tourné, avec deux appliances Big-IP 10250v.

Sur celles-ci, de nombreux modules ont été activés dès le départ : LTM pour l’équilibrage de charge, l’offload SSL, le reverse-proxy ou encore le routage ; et puis AFM pour la sécurité applicative, avec en plus protection contre les DDoS et filtrage d’adresses IP sur la base d’informations de réputation ; et enfin APM pour la gestion de l’authentification. Ce dernier, ne supportant les déploiements en actif/actif a été la raison pour laquelle les deux appliances ont été initialement configurées en actif/passif.

Les délais, très serrés, ont été tenus pour la mise en place initiale. Et les promesses ont été tenues. La configuration supporte sans peine les 60 000 à 65 000 sessions simultanées. Et si la volumétrie a triplé depuis 2014, les deux appliances suffisent toujours. A l’été 2017, leur configuration a toutefois évolué. Les deux systèmes sont désormais avec deux appliances virtuelles chacun. Les Big-IP 10250v sont donc actifs continuellement tous les deux, mais la redondance actif/passif se fait au niveau des appliances virtuelles, les VCMP, comme les appelle F5.

Le passage aux systèmes Big-IP a en outre fait gagner Itop en flexibilité, jusqu’à lui permettre de développer un véritable avantage concurrentiel avec la personnalisation des pages d’authentification et, surtout, le support de l’authentification à facteurs multiples et de la fédération d’identités : un atout pour les projets clients, souligne Nicolas Collet.

Et le directeur de production d’évoquer également l’extensibilité apportée par les iRules : « ce qui n’est pas géré nativement, on peut le supporter soi-même avec un peu de développement ». Et en 2014, ce fut notamment le cas de l’ouverture de documents Office dans Sharepoint. Cette fonctionnalité désormais standard chez F5 est en fait issue des développements initialement réalisés pour Itop Education. Lequel a pu, avec le temps, monter en compétences dans le domaine.

Si la satisfaction est là, Nicolas Collet souligne toutefois qu’il n’est pas question de ne s’appuyer que sur les appliances F5 pour protéger la plateforme de l’éditeur SaaS contre les DDoS : pour les attaques à gros volume, il s’appuie sur les opérateurs assurant sa connectivité. Mais pour le reste, les appliances remplissent leurs promesses. Surtout, le directeur de production insiste : « quelle que soit l’attaque subie, à aucun moment le service n’a été affecté. Nous n’avons jamais observé de problème de continuité de fonctionnement des systèmes F5 en cas d’attaque DDos. Et ce n’est pas forcément vrai pour toutes les solutions ».

Pour l’heure, les deux Big-IP 10250v remplissent leur mission. Mais à l’avenir, Nicolas Collet n’exclue pas de les remplacer… par d’autres systèmes F5, de génération plus récente, pour « profiter des optimisations apportées par les processeurs propriétaires ».