Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.

sexta-feira, 31 de maio de 2013

Software-Defined Networking é a rede do futuro?

*** Artigo publicado na revista RTI - maio/2013 ***

É comum em TI o lançamento de novas tecnologias. Algumas são revolucionárias e prometem mudar completamente a maneira como trabalhamos. Podem ser um grande sucesso ou acabar esquecidas. Esse é o caso da SDN, ou software-defined networking, a tendência do momento em arquitetura de redes. Para quem nunca ouviu falar aí vai um resumo em uma frase: ela promete mudar completamente a maneira como empresas instalam e gerenciam suas redes, com um potencial ainda não medido de alterar quem dá as cartas no mercado de redes. Algo como a introdução da computação pessoal na época dos mainframes.
O elemento básico dessa nova arquitetura é a separação dos planos de controle e processamento de tráfego. Hoje a configuração dos dispositivos de rede está implantada em cada equipamento, apesar do gerenciamento centralizado. Uma mudança, física ou lógica, exige mudanças em vários dispositivos. Na SDN a configuração da rede está completamente separada. Regras de roteamento e ACLs, assim como definições de VLAN, por exemplo, não são mais configuradas nos equipamentos e sim nesse plano de controle, que se comunica com os equipamentos físicos que só executam as instruções. Essa camada física torna-se também transparente para as aplicações, que apenas se comunicam com o plano de controle. A chave de tudo isso está no OpenFlow, o protocolo de comunicação entre os planos de controle e de processamento de rede. Em tese as configurações de rede se tornam independentes do hardware e do fabricante. Uma empresa pode, em tese, instalar qualquer switch, de qualquer marca, que não fará a menor diferença. Aqui vemos o impacto que a SDN pode causar no mercado, incluindo o de segurança.
Mas antes de falar sobre segurança vejamos quem está por trás da proposta, e essa pode ser sua principal força. A organização responsável pela definição e promoção da SDN chama-se Open Networking Foundation (ONF) e foi criada pelo Deutsche Telekom, Facebook, Google, Microsoft, Verizon e Yahoo!. O Google é alias um dos maiores entusiastas com ampla adoção do OpenFlow em 2012. O que há de especial nessa lista de fundadores? São todos usuários de redes. No comitê central da ONF estão ainda a NTT (empresa de telecomunicações japonesa) e o Goldman Sachs. Já entre os membros estão praticamente todas as empresas importantes de redes, TI e telecomunicações; entre fabricantes, integradores e usuários. É também um grupo internacional, com representantes dos Estados Unidos à China.  Infelizmente nenhuma empresa brasileira faz parte, sinal inequívoco das nossas dificuldades em inovação nessa área da tecnologia. Vamos bem em outras, como aviação, mas em tecnologia de rede continuamos a reboque de outros países, alguns deles emergentes como nós. Os grandes fabricantes de redes – Cisco, Juniper, Huawey, entre outros, principais afetados se a nova arquitetura pegar, também estão entre os membros.
Até o momento a discussão sobre segurança é bem vaga. Fala-se dos benefícios da nova arquitetura em comparação à atual, hierárquica, e que será mais simples implementar controles e reagir a ataques como os de DDoS, já que é possível rapidamente reconfigurar a rede e isolar o tráfego de ataque. A hierarquia na arquitetura de rede teve como principal promotor a Cisco, que criou os conceitos das camadas de core, distribuição e acesso, e a ONF fala diretamente em substitui-la pelo seu modelo, mais flexível a adaptada aos novos tempos, segundo ela. Pois todos os produtos de segurança de rede, entre firewalls, IPS e outros gateways, foram concebidos com a arquitetura hierárquica em mente. Mesmo que os padrões permitam que um firewall tradicional seja instalado em uma rede SDN, isso será muito pouco para uma empresa que tenha implementado por completo o SDN e o OpenFlow. Afinal de contas os dispositivos de segurança também são dispositivos de rede, não há como a arquitetura de rede ser de um jeito e a de segurança de outro.
Atualmente a implementação de firewalls, assim como todas as outras tecnologias de proteção de rede, é centrada no gateway, seja ele um equipamento ou um cluster. Se uma grande empresa com dezenas de firewalls precisar liberar um acesso específico provavelmente será necessário configurar a regra de diferentes equipamentos. Tal procedimento é trabalhoso e propenso a falhas. Em um hipotético firewall SDN (reforço que é em tese, pois tal equipamento não existe) todos os equipamentos seriam parte de um grande sistema de firewall. Liberar tal acesso para toda a rede seria tão simples como é hoje incluir uma regra em um único dispositivo, pois a regra valeria para todos.  Ao especificar uma política de processamento de tráfego o administrador iria também definir a política de segurança para ele, abstraindo-se dos equipamentos físicos que iriam executar tais instruções. O monitoramento também poderá se beneficiar a partir da simplificação e flexibilização da arquitetura e aproximar-se das aplicações de negócio, traduzindo mais facilmente regras de negócio em regras de segurança. Será sem dúvida uma grande mudança e não há como prever o impacto e se novos fornecedores surgirão, ou se os fabricantes de rede irão tomar a dianteira. Por outro lado novas tecnologias sempre trazem novas vulnerabilidades e incertezas. Nenhum software é perfeito e questões como a proteção do plano de controle deverão ser encaradas, pois o seu comprometimento causaria muito mais estragos que o ataques atuais a equipamentos individualizados.

É importante ter em mente que a tecnologia ainda é nova e imatura; e continua como tendência, apesar de implementada em empresas do porte da Google. É possível que no futuro se torne o novo padrão, ou que seja eclipsada por algo mais novo que venha a surgir. No final são sempre os usuários que definem qual arquitetura é a melhor. Mas devemos levar em conta que no caso da SDN não é apenas a “indústria” quem a está promovendo. Há usuários participando das definições dos padrões, e, espero, aproximando os desejos dos fabricantes às necessidades dos clientes.

domingo, 5 de maio de 2013

Inteligência, Prevenção, Monitoração


*** artigo publicado na revista RTI ***

Desde que o guru Bruce Schneier cunhou o famoso tripé “pessoas, processos e tecnologia” para a segurança, temos a tentação de propor nossos próprios tripés, seja com um objetivo mais amplo ou para uma necessidade específica. Hoje estou propondo o meu próprio para lidar com a nova geração de ataques que estamos presenciando e que vieram para ficar. Mais especificamente, o meu tripé, título do artigo, é minha sugestão para o que pessoas, processos e tecnologias devem fazer para lidar com eles.
Hoje um grupo bem financiado e com hackers talentosos pode invadir a rede ou computador que quiserem. O que eles farão depois disso vai depender de como a vítima estiver, ou não, preparada. Os exemplos mais famosos que temos são os de grupos patrocinados por governos. Fala-se muito de Estados Unidos, Israel e China; mas há também os grupos profissionais, bem estruturados e organizados, para ataques a empresas para roubo, espionagem ou sabotagem; ou criação e administração de botnets, entre outros. E minha sensação é que a maioria das empresas não está preparada, e por vários motivos.
O principal deles é um vicio que sempre critico no mercado: a maneira como usamos termos cunhados para indicar alguma nova ameaça ou tecnologia, muitas vezes com objetivos de marketing. O problema aumenta em nosso país por causa da lingua, e assim repetimos termos em inglês sem nem ao menos interpretar seu significado. É assim com os produtos next-generation. Empresas pedem um next-generation firewall  e nem sabem o que o Gartner queria dizer quando inventou o termo, que aliás usa repetidamente, tanto que na década passada também havia um firewall de próxima geração, que hoje é o da geração passada. E é assim com o advanced persistent thread, termo criado justamente para retratar os ataques dos grupos altamente organizados. Não se trata de um ataque, ou mesmo uma ameaça, e sim de um padrão de ação desses grupos, seja para fins criminosos ou políticos. Até para o tripé de Schneier há um contexto, que muita gente desconhece e fica discutindo o que não existe. Como o próprio autor explica em seu blog, em um post no último dia 30 de janeiro, na época, mais exatamente 1999, sua preocupação era sugerir outros caminhos além de tecnologia, até então o único adotado pelas empresas. Catorze anos depois as coisas mudaram, como o próprio autor reconhece. Minha primeira sugestão é esquecer os nomes ou termos e trabalhar com o significado. Ao invés de pedir ao seu fornecedor um next-generation firewall peça um firewall que faça a, b e c. Não há o que perder. Você saberá o que estará comprando e o outro o que estará vendendo.
O mesmo deve ser feito com os ataques a que a empresa estaria sujeita. Esqueça os termos prontos e vamos assim ao nosso primeiro pilar, a inteligência, para entender como os ataques e fraudes acontecem contra a empresa em especial, e quais os alvos deles dentro dela. O grande exemplo que temos no Brasil são os bancos, que reduziram significativamente as fraudes digitais começando por uma medida muito simples: eles trocam informações. Se uma instituição sofre algum tipo de fraude ela será comunicada às outras. Mais do que isso, eles procuram juntos soluções, compartilham estudos realizados e estratégias adotadas. Qualquer ramo de negócio pode adotar a mesma prática, facilitada pelo fato da grande maioria estar representada em organizações patronais. Outra medida é utilizar serviços de informação, pagos ou gratuitos. Temos no Brasil também provedores que investigam e coletam informações sob encomenda, de forma contínua ou pontual. Por fim as empresas precisam também conhecer o que possuem de maior valor, como ele pode ser protegido e qual tipo de comprometimento a que este ativo estaria sujeito: o vazamento de dados ou afetação de transações? É um erro comum tratar toda a rede e todos os servidores, dados e transações como confidenciais e de alta criticidade.
Uma vez que temos toda essa informação chegou a hora de prevenir. Aqui temos o nosso “depende”. O que fazer dependerá do trabalho anterior de inteligência. Em alguns casos haverá um nível aceitável de ocorrências, em outros nada. Até isso você precisará saber na hora de definir o plano. Mas posso citar alguns exemplos. Um deles são as medidas preventivas adotadas em um grande partido político. Como sabemos os partidos possuem picos de trabalho a cada dois anos, nas eleições, e entre os dados mais críticos estão as estratégias de campanha e o plano de governo. Um vazamento seria sem dúvida um desastre. Esse partido a cada eleição compra computadores novos para criação e manipulação desses dados, e mantidos desconectados. Parece exagero? Não, não é. A isso eu adicionaria um controle estrito do uso de portas USB, o controle de impressão e desativar completamente o bluetooth e wi-fi. Outro exemplo é o de testes contínuos de vulnerabilidade durante o desenvolvimento e implementação de portais e sistemas de uso proprietário. Nenhum dispositivo de segurança de rede ou sistema operacional irá proteger um sistema de ataques no nível da aplicação. Se ele inclui transações ou dados confidenciais a empresa não pode economizar. A regra de ouro é nunca adotar somente soluções de uso comum para proteger ativos críticos, faça isso para servidores e segmentos menos importantes ou compartilhados. Proteja o perímetro como todos fazem, firewall, IPS, etc, mas não confie que somente isso trará proteção aos seus dados mais importantes. Para estes tenha um plano especial.
Definindo o que proteger e como, chega a hora da monitoração. Aqui há também uma grande lacuna entre o que fazer e o que está sendo efetivamente realizado. Monitorar significa acompanhar o que está ocorrendo o mais próximo possível do tempo real. Nos últimos meses escrevi vários artigos aqui na RTI sobre técnicas e tecnologias como SIEM, netflow e outros. Assim não preciso nem tenho espaço para aprofundar essa parte, mas fica a minha sugestão para sabermos se a monitoração está sendo eficaz ou não. Para ter eficácia ela precisa responder as seguintes perguntas: “quem”, “o que”, “quando”, “onde” e “como”.