As empresas precisam de uma maior visibilidade da rede para melhorarem a gestão dos ambientes de cloud, controlarem melhor o tráfego no centro de dados e identificarem o tráfego malicioso que foi encriptado.
Por Ann Bednarz
A visibilidade da rede está a esbater-se, pelo que muitas empresas já estão a investir em ferramentas para as ajudar a eliminar este ‘nevoeiro’, reforçar a segurança e aumentar a produtividade dos profissionais de TI. A maioria (78%) das empresas planeia aumentar as suas despesas em ferramentas de visibilidade da rede nos próximos dois anos, de acordo com Shamus McGillicuddy, vice-presidente de investigação da Enterprise Management Associates (EMA). O crescimento do tráfego é o principal motor, em grande parte devido à adoção de arquiteturas híbridas e multi-cloud.
Outros fatores que determinam a necessidade de melhor visibilidade incluem o aumento do tráfego dos centros de dados e o uso crescente da encriptação por cibercriminosos para esconder o tráfego malicioso.
Cada vez mais dados estão a sair de redes que precisam de ser analisadas, e as empresas precisam de se certificar de que não sobrecarregam sistemas como soluções de segurança e ferramentas de análise de desempenho que analisam o tráfego, explica McGillicuddy.
“Não se pode adotar uma abordagem ad hoc para obter dados de tráfego para ferramentas analíticas”, acrescenta o porta-voz. “Não se pode dizer, ‘Bem, OK, acho que algo aconteceu. Vou tocar fisicamente na rede, fazer uma descarga de pacotes e depois fazer uma análise forense’. Não, é realmente necessário ter as ferramentas para ter sempre visibilidade total. É preciso ter as luzes acesas; não se pode desligá-las para poupar dinheiro e depois ligá-las quando se precisa de ver o que se passa”.
O que é a arquitetura da visibilidade da rede?
A EMA define uma arquitetura de visibilidade de rede como uma sobreposição de ferramentas de replicação, agregação e distribuição de tráfego que fornecem dados de tráfego de rede a outros sistemas. Captura dados de pacotes da cloud e das redes locais e transfere-os para ferramentas de segurança e sistemas de análise de desempenho, tais como software de deteção de intrusão ou de gestão de desempenho de aplicações.
Os componentes chave de uma arquitetura de visibilidade de rede são os TAPs e as portas SPAN, que são utilizadas para espelhar os dados de tráfego da rede de produção, juntamente com dispositivos de agregação, tais como um dispositivo de corretagem de pacotes de rede.
Uma arquitetura de visibilidade a nível empresarial também incorpora tipicamente sniffers baseados em software e corretores de pacotes de rede para infraestruturas virtuais, e outros sniffers baseados em cloud e corretores de pacotes para sistemas de cloud. Os serviços de espelhamento de tráfego dos fornecedores de clouds surgiram nos últimos anos e estão também a tornar-se parte das arquiteturas de visibilidade de rede de algumas empresas.
Desafios
A maioria das empresas concorda que há margem para melhorias quando se trata das atuais condições de visibilidade da rede. Apenas 34% das organizações inquiridas pela EMA dizem ter pleno sucesso com a sua utilização global da arquitetura de visibilidade da rede, em comparação com 40% que responderam à mesma pergunta em 2020.
Os principais desafios, segundo as empresas, são questões de escalabilidade (citadas por 27%), complexidade da arquitetura (26%), qualidade dos dados (23%), lacunas de competências (19%), orçamento (19%) e visibilidade limitada da cloud (17%).
“Os dois grandes são questões de escalabilidade e complexidade da arquitetura”, segundo McGillicuddy. “Dimensionar a arquitetura da visibilidade é um grande esforço, em alguns casos. Estão a tentar acompanhar o crescimento do tráfego, por isso estão a gastar mais com estas arquiteturas. É uma corrida para acompanhar.
Em termos de complexidade da arquitetura, o problema não é ter uma compreensão completa, de ponta a ponta, do estado das suas redes, o que pode guiar a forma como se instrumentaliza a rede com uma arquitetura de visibilidade. “Onde preciso de espelhar o tráfego nas minhas ferramentas de análise, será que conheço todas as partes da minha rede onde preciso de fazer isso? Um número significativo deles diz-nos que não sabe”.
A cloud agrava a eficácia das ferramentas de visibilidade
Globalmente, a eficácia dos sistemas de visibilidade da rede está a diminuir por várias razões, a principal das quais é a própria cloud, nas palavras de McGillicuddy. A migração de aplicações para a cloud criou ângulos mortos e a multi-cloud torna a visibilidade ainda pior. “As equipas de operações de rede dizem-me isto frequentemente. Eles não estão satisfeitos com a quantidade de visibilidade que obtêm nas redes de clouds. Eles tentam estender as suas soluções à cloud e muitas vezes esbarram com problemas a esse respeito”.
Os pontos cegos da rede trazidos pelo modelo da cloud podem levar a problemas tais como violações de políticas (citados por 49%), serviços de TI ou questões de tempo de inatividade (46%), violações de segurança (45%) e ultrapassagem dos custos da cloud (44%).
A construção de uma arquitetura de visibilidade abrangente que abranja as infraestruturas no local e a cloud pública pode eliminar estes pontos cegos, de acordo com a EMA. “A cloud não torna estes produtos menos relevantes, torna-os mais relevantes”, explica o porta-voz. A organização perguntou às empresas sobre o seu método primário de fornecer pacotes de dados de rede relacionados com as clouds a ferramentas de segurança e análise de desempenho. A maioria (60%) utiliza software de terceiros, tal como um corretor de pacotes de rede virtual ou TAP virtual. Outros 38% utilizam serviços nativos de replicação de pacotes oferecidos por fornecedores de clouds. Os restantes 2% utilizam um método alternativo ou não analisam os dados do pacote na cloud.
As vantagens mais convincentes do software de visibilidade de terceiros na cloud são a fiabilidade da recolha de dados (54%), segurança administrativa (36%), capacidade de gestão/automação (34%), capacidades avançadas de filtragem e modificação de pacotes (32%); e integração com tecnologia de visibilidade em infraestruturas privadas (30%).
TAP versus portos SPAN
De dois em dois anos, a EMA pergunta às empresas que percentagem de espelhamento de portas nas suas redes é feita através de uma porta de análise de portas comutadas (SPAN) ou de uma porta de acesso de teste (TAP). Com portas SPAN, uma das portas de um comutador de rede torna-se um serviço de espelhamento de tráfego que pode copiar e encaminhar tráfego para outros sistemas. Um TAP é um dispositivo dedicado que copia o tráfego da rede de produção, descarregando essa tarefa dos comutadores.
No passado, a maioria das empresas realizava espelhamento portuário através de TAPs em vez de portos SPAN. Mas ultimamente tem havido uma mudança para portos SPAN, em vez de TAPs. Há demasiadas organizações que confiam nos portos SPAN em vez dos TAPs para espelhar o tráfego, “e isso tem consequências”, diz McGillicuddy.
À medida que a complexidade da rede aumenta, as empresas podem procurar espelhar mais pontos na sua rede para melhorar a visibilidade global, e os portos SPAN podem ser uma abordagem mais barata em termos de despesas de capital. Mas há vantagens na utilização de TAPs. Por exemplo, os TAPs vêm normalmente de um fornecedor especializado em visibilidade e que fornece software para gerir os TAPs, especialmente quando são feitas alterações à configuração da rede. “Reduz a complexidade operacional”, diz McGillicuddy.
Em contraste, com as portas SPAN, “pode não ter uma visão centralizada das portas SPAN configuradas nos vários comutadores da rede”, disse ele, “e isso significa que é muito difícil gerir alterações e [impedir] alterações não autorizadas num tecido de visibilidade na camada de espelhamento do tráfego”.
A qualidade dos dados também é melhor com TAPs, de acordo com McGillicuddy. Os TAPs são otimizados para proporcionar tráfego espelhado à arquitetura de visibilidade, enquanto os portos SPAN são o melhor esforço. “Se o comutador da rede estiver a experimentar uma elevada utilização, vai reter recursos do porto SPAN para cumprir a sua missão principal. Essa porta SPAN começará a largar pacotes, por exemplo, e isso afetará a qualidade dos dados”, explica ele. “É por isso que as pessoas investem na TAP, e é por isso que acho um pouco preocupante ver muita gente a depender mais dos portos SPAN nos últimos anos”.
O tráfego encriptado frustra a visibilidade da rede
Uma arquitetura de visibilidade de rede pode desempenhar um papel fundamental na inspeção do tráfego encriptado e na deteção de atividade maliciosa, mas muitas empresas não estão a ver tanto tráfego malicioso como deveriam, de acordo com McGillicuddy.
A EMA também pediu aos inquiridos que estimassem quanto da atividade maliciosa que detetaram na sua rede no ano passado estava escondida em pacotes encriptados, e a resposta média foi de 27 por cento. No entanto, essa percentagem varia em função do sucesso da empresa com as suas soluções de visibilidade de rede. As empresas mais bem-sucedidas dizem que 34% de toda a atividade maliciosa da rede se encontrava no tráfego encriptado, enquanto que as empresas com apenas algum sucesso reportaram taxas de 23%.
“Esta é uma diferença muito grande. Isto indica que a arquitetura de visibilidade da rede é essencial, na minha opinião, para detetar atividade maliciosa que está escondida no tráfego encriptado. Contudo, muitas pessoas não estão a fazer isto”.
A EMA também pediu às empresas que partilhassem o seu recurso preferido para decifrar o tráfego TLS/SSL para inspeção. A resposta mais popular foi a segurança e os instrumentos de análise de desempenho (citados por 43%). Contudo, a utilização de ferramentas de análise de segurança para descodificação pode consumir recursos dessas ferramentas, afetando a sua capacidade de analisar realmente o tráfego uma vez descodificado, de acordo com McGillicuddy. Demasiadas organizações estão a decifrar o tráfego com ferramentas de análise, e “não é eficiente”.
A segunda abordagem mais popular (citada por 23%) era decifrar o tráfego num corretor de pacotes de rede, “que penso ser o lugar ideal para isso”, disse ele. Outros métodos incluem um dispositivo de desencriptação dedicado (12%), um dispositivo de captura de pacotes (11%) e um controlador de entrega de aplicações (7%).
A visibilidade aumenta a eficiência das TI
Classificados pelos inquiridos, os benefícios mais importantes da utilização de uma arquitetura de visibilidade da rede são a melhoria da produtividade da equipa de TI/segurança (citada em 36%); redução do risco de segurança (33%); melhoria da gestão da capacidade (25%); otimização da migração de clouds (23%); desempenho/resiliência da rede/aplicação (22%); melhoria da colaboração/decisão entre equipas (19%); redução do risco de conformidade (18%); e prolongamento da vida útil dos instrumentos de segurança e análise de desempenho (14%).
Em muitas empresas, o pessoal de TI passa centenas de horas a assegurar que os dados de tráfego da rede cheguem às ferramentas analíticas que deles necessitam. Com uma arquitetura de visibilidade de rede, isto é automatizado. Os profissionais de TI não têm de fazer o trabalho grunhido de extrair os dados e alimentá-los com as ferramentas, conclui McGillicuddy.