A sociedade hoje passa por um momento de inflexão, com transformações inevitáveis, sobretudo nas empresas. Estas mudanças são marcadas por dois fatores: a conscientização ambiental e a crise dos mercados financeiros. Em relação à primeira, é fundamental que a sociedade tenha uma mudança de postura, pois os recursos naturais do planeta estão sendo mal utilizados. O último estudo da organização WWF mostra que estamos utilizando mais do que o planeta pode fornecer, mais precisamente 1,3 planetas Terra. Na linha de frente estão os governos e as empresas.
Já a crise financeira global, de tamanho e longevidade ainda indefinidos - pelo menos no momento em que escrevo este artigo -, começa a afetar a economia real, o crédito e os investimentos. O fato concreto é que muitas empresas já adotam medidas conservadoras como controle de gastos e reavaliação de investimentos. Neste cenário, duas palavras ganharam maior importância: eficiência e redução. Eficiência operacional e na utilização de recursos. Redução de custos, consumo, emissões e complexidade.
É claro que todas as mudanças que afetam as empresas possuem forte impacto na área de TI, com reflexos também na área de segurança em geral, e em segurança de redes em particular. Como normalmente ocorre, a indústria de tecnologia não está à margem e muitas já detectaram a necessidade de uma TI menor, porém mais eficiente e, preferencialmente, mais segura.
A necessidade de maior segurança e conformidade com regulações nas operações de negócio, aliada ao desenvolvimento de técnicas mais avançadas de invasão, causaram a proliferação de dispositivos de segurança instalados na rede. Há poucos anos, as redes basicamente possuíam apenas um firewall instalado. Hoje é normal encontrar em redes de médio e grande porte os sistemas IPS de prevenção de intrusos e de detecção de anomalias e controle de tráfego; filtros anti-spam, de conteúdo e anti-vírus; e agora os novos dispositivos de DLP para prevenção de perda de dados.
Realmente são muitos equipamentos. Por outro lado, a TI Verde está causando um movimento oposto, com a consolidação de servidores e serviços e a diminuição dos CPDs. Na indústria de tecnologia de segurança também há movimentos como este, com o objetivo de obter maior eficiência, menos complexidade e menor custo. Um deles é o da virtualização da segurança, diferente da proteção dos ambientes virtualizados, embora ambos possuam alguma interposição.
A virtualização da segurança é a transformação dos tradicionais dispositivos de segurança de rede – appliances – em dispositivos virtuais, baseados nas mesmas tecnologias usadas para virtualizar servidores de aplicações. O benefício é a utilização de um único equipamento – no caso um servidor munido de suporte à virtualização – para hospedar diferentes dispositivos virtuais de proteção, sejam firewalls, sistemas IPS ou filtros diversos. Note que é bem diferente do antigo modelo de software de segurança, que exigia um servidor para cada instância de software. Aqui estamos falando de um servidor executando várias instâncias, não do software de segurança em si, mas de um dispositivo virtual completo, que não exige instalação do componente de segurança, já que este já está instalado na máquina virtual. A vantagem é fácil de perceber: o espaço que antes era ocupado por vários equipamentos, consumindo energia e emitindo calor, agora pode ser substituído por apenas um equipamento.
No entanto, as limitações deste modelo nos levam a outra tendência: da consolidação de dispositivos físicos em um hardware especialmente projetado. A limitação dos appliances virtuais é o desempenho. Afinal de contas estamos falando de um único servidor, com placas de redes tradicionais e sem customização para o tratamento de pacotes de rede, necessário para a proteção de redes de alta capacidade.
Este novo hardware segue o modelo dos já consagrados switches de chassi, que consolidam centenas de portas de acesso e evitam que as empresas tenham que comprar múltiplos switches de configuração fixa de portas. No caso da segurança de redes, estamos falando de um chassi de uso específico, no qual as placas podem ser selecionadas entre módulos de rede gigabit ou decagiga, e módulos de aplicação contendo diferentes sistemas e necessidades, do firewall aos filtros de rede. Para atender aos requerimentos, os chassis de segurança, chamados também de switches de segurança, precisam ter algumas funcionalidades e características básicas.
A primeira e principal característica é a diversidade de tecnologias que podem ser implementadas nos módulos de aplicação do hardware. Quanto mais opções, mais se poderá consolidar e simplificar a rede. Aqui já temos uma primeira diferenciação: os fabricantes que optaram por plataformas abertas e aqueles que decidiram criar plataformas para consolidar suas próprias tecnologias. Independente da escolha deve-se avaliar o conjunto da solução, bem como cada aplicação de segurança individualmente, além do plano de expansão da plataforma.
Entre as funcionalidades, destaco duas. A primeira é a capacidade de rotear o tráfego interno para que o administrador possa escolher como os pacotes de rede serão analisados pelos diferentes módulos de segurança. Há fabricantes que permitem que determinado tráfego passe apenas por um módulo – digamos o firewall – enquanto outro tráfego passe pelo firewall, IPS e filtro web. Pode-se também escolher a ordem pela qual cada porção do tráfego é analisada. A segunda funcionalidade é do balanceamento de tráfego. Imagine que em determinado momento ou época do ano é necessária uma capacidade de análise de firewall maior, o que em um ambiente normal exigiria um hardware maior e mais investimento. Em uma plataforma consolidada, isto pode ser resolvido com a utilização temporária de uma placa adicional de aplicação, com o tráfego balanceado entre as duas.
Ambos os modelos são incrivelmente vantajosos em comparação com o que temos hoje. Com eles a mudança de arquitetura de segurança torna-se apenas uma questão de reconfigurar o sistema centralizado, seja o servidor de virtualização ou o chassi de segurança. Reduzir ou aumentar capacidades torna-se uma tarefa muito mais simples, acompanhando mudanças no negócio, e a manutenção de investimentos algo muito mais palpável. A complexidade da administração e manutenção também diminui consideravelmente, afinal estamos falando de um único equipamento no lugar de vários. Ativar, substituir ou desativar instâncias de proteção, reaproveitando os recursos para outras aplicações, também se torna mais simples.
No entanto, o melhor ainda está por vir. A tendência para o futuro, não muito distante, é o surgimento de plataformas de hardware combinando ambos modelos, e isso sim significará um enorme avanço. Fisicamente haverá a mesma plataforma de chassis existente hoje, porém as aplicações executadas em seus módulos serão virtualizadas. Ainda mais flexibilidade para um mundo em que a segurança de redes será, pelo menos em parte, mais eficiente e mais simples.
