De retour en Europe, après une pause de deux ans pour cause de pandémie, CiscoLive a posé ses valises à Amsterdam (du 6 au 10 février 2023) pour mettre en avant les innovations technologiques de l'équipementier de San José – cybersécurité, observabilité et OT matinée d’edge, sans oublier les nombreuses initiatives engagées avec les équipes IT du port de Rotterdam pour transformer la première zone portuaire européenne Smart Port (digital twins, transports autonomes, containers sécurisés et traçables). Nous reviendrons dans un autre sujet sur ce projet ambitieux porté par Oscar Van Veen le directeur de l’innovation du port de Rotterdam, et Guy Dietrich, Global Innovation Officer de Cisco dans le cadre du programme CDA (Country Digital Acceleration). 

Pour mieux prendre en charge les applications cloud natives et leur sécurité, Cisco ajoute des composants logiciels au sein de sa plateforme FSO (Full Stack Observability) – un concept crée par un cabinet d’études - pour assurer une meilleure visibilité des microservices et API, et renforcer la sécurité globale. Comme l'a indiqué lors de la keynote Liz Centoni, vice-présidente en charge des activités applications et cloud, « nous promouvons une plateforme d'observabilité ouverte avec une télémétrie étendues reposant sur OpenTelemetry». Le tableau de bord FSO rassemble deux briques éprouvées - issus de rachats  - Appdynamics et Thousandeyes, complétés par les solutions Calisti et Panoptica, dont nous vous avions déjà parlé en juin dernier lors du dernier CiscoLive à Las Vegas. Ouverte, cette plateforme d’observabilité peut également accueillir d’autres services - via les API - pour étendre la télémétrie dans les entreprises. Le focus est clairement sur les services cloud qui se développent à vitesse grand V dans les organisations avec un impact très fort sur les infrastructures. « Les entreprises se retrouvent avec des problèmes d'infrastructure au niveau applicatif, ce qui entrainent des problèmes de connectivité et de performances », nous a indiqué Bruno Caille, directeur technique de Cisco France .

 

Pour suivre en temps réel l'état de chaque composant distribué dans un environnement cloud natif, les principaux fournisseurs se tournent vers l’observabilité. Cisco orchestre sa réponse autour de sa plateforme FSO avec le concours de modules open source. (Crédit Cisco)

Une approche open source inédite chez Cisco

Guillaume Sauvage de Saint Marc, responsable de l’entité Emerging Technologies et Incubation chez Cisco qui a assuré le développement des modules Calisti et Panoptica, nous a expliqué que les pratiques changent dans les entreprises, avec des développeurs pas nécessairement alignés sur les pratiques des équipes en charge de l’exploitation des infrastructures. « Nous respectons ça, mais la multiplication des API zombies et shadows posent des problèmes lorsque les applications de type microservices sont mal renseignées. Donc nous réalisons un inventaire complet des API avec Panoptica, pas seulement sur la base de ce qu'on voit dans le cycle de développement ou de ce qui a été déclaré. Nous regardons le périmètre applicatif en runtime et nous tombons sur des choses très intéressantes. Les API zombies par exemple, certains sont persuadés qu'elles étaient mortes, mais elles sont toujours accessibles ; elles sont comme des zombies et on peut toujours les appeler même si on pensait qu'elles étaient inactives ». Ce qui pose des problèmes évidents de sécurité. « Les API Shadows sont également un souci, lorsque personne ne sait que le développeur de tel microservice appelle une API pour aller plus vite dans son travail ». Certaines API non déclarées peuvent ainsi se connecter à des services, comme une base de données. « Ce n’est pas forcément mal, mais c'est un problème de pas le savoir ».  

Avec Panoptica, Cisco remonte toutes les informations sur la sécurité des applications cloud natives.  (Crédit Cisco)

Dans un second temps, Panoptica vient analyser en profondeur la sécurité des API. « Y-a-t-il des vulnérabilités au niveau de la logique business de l’API, notamment ce qu’on appelle les ruptures au sein de la chaîne d’authentification. Quand vous consultez par exemple votre banque, le numéro de compte bancaire apparaît-il dans l’URL ? Et, si je change le numéro par un autre, est-il possible d’accéder à des informations confidentielles sur un autre client ? »

Un tableau de bord unique 

L’équipe de Cisco a travaillé au rapprochement de ces briques logicielles dans un tableau de bord unique pour faciliter le travail d’observabilité : on retrouve l’interface de la console d’Appdynamics avec des modules additionnels comme Thousandeyes ou Panoptica, mais rien n’empêche de rajouter du ticketing en exploitant les API de ServiceNow. Trois de ces propositions sont aujourd’hui en mode SaaS (Appdynamics, Thousandeyes et Panoptica), mais Calisti nécessite toujours une installation locale pour assurer son service de routage mesh pour Kubernetes reposant sur Istio, avec la possibilité de faciliter le déploiement d’Apache Kafka. « Déployer Kafka dans Kubernetes peut être compliqué, donc nous avons créé un opérateur pour déployer Kafka de manière très propre. ». Calisti, qui n’est donc pas disponible en mode SaaS, vient compléter l’ensemble avec un suivi au quotidien des services mesh avec historique, topologie des applications, mais également la possibilité de tester un nouveau composant en lui attribuant 20% du trafic tout en conservant 80% du trafic sur l’ancien composant. « Le tout en trois clics, sans passer par des lignes de code », nous a confié Guillaume Sauvage de Saint Marc. 

 

Avec Calisti, Cisco simplifie la mise en place de services mesh Istio ou Apache Kafka. (Crédit Cisco)

L’autre point intéressant avec les solutions Calisti et Panoptica, c’est leur fondement open source et leur mode de commercialisation de type Freemium, avec des versions d’accès gratuites, puis pro et entreprise. « L’idée est d’aider Cisco à se positionner sur les couches supérieures les plus complexes en exploitant les contrôleurs Kubernetes et mesh pour travailler sans agents avec Panoptica », a complété Guillaume Sauvage de Saint Marc, et l’accueil est plutôt bon sur le marché. « Il y a un effet de digue, les entreprises démarrent doucement, mais quand elles sont convaincues, elles accélèrent sans tarder dans l’adoption de ces technologies ».  Sans surprise, les secteurs les plus intéressants sont les banques et les assureurs. Cisco est loin d’être seul sur ce segment de l’observabilité, citons les solutions de spécialistes comme Datadog, Dynatrace, NewRelic, Splunk ou encore Sysdig qui se positionnent sur ce marché des APM étendus de nouvelle génération.