Valorização

Em 2005 a Check Point quase comprou a Sourcefire por 225 milhões. A transação apenas não se concluiu devido a restrições do governo americana. Nada melhor para os acionistas da Sourcefire, pois venderam nessa semana para a Cisco por 2.7 bilhões. Isso que é valorização!

Escalabilidade

*** artigo publicado na revista RTI Junho/2013 ***

Nos últimos anos houve uma grande mudança nos produtos de segurança de rede a partir da busca pelos fabricantes de soluções mais confiáveis e mais próximas à nova realidade das ameaças e dos requerimentos dos clientes. É incontestável que essas novas gerações resultaram em produtos melhores, porém houve também um efeito colateral: a obsolescência do modelo tradicional de compra. A maior parte das empresas, em qualquer lugar do mundo, ainda compra produtos de segurança usando throughput como principal ou as vezes único requerimento. Eu tratei desse assunto em dois outros artigos – setembro/2011 e março/2010 – que continuam atuais, e que podem ser consultados na versão online da RTI. Esse mês irei tratar especificamente de escalabilidade, usando alguns dos conceitos apresentados por Robert Graham no blog de sua empresa, a Errata Security.

Escalabilidade é uma das características que mais vem sendo solicitada por empresas de grande porte nos últimos tempos, devido ao crescimento contínuo do uso da rede e da demanda de novos serviços. As midias sociais são um ótimo exemplo, com as empresas cada vez mais utilizando-as como ferramentas de marketing, mas há também tecnologias como streaming e video conferencia, a cada dia mais acessíveis. Assim muitos desses usuários pedem equipamentos escaláveis, ou seja, que possam crescer sem que tenham que ser substituídos por outros com maior capacidade.

No entanto a coisa pode não ser assim tão simples. O primeiro ponto é perguntar-se: escalabilidade em quê? ‘Como assim’, responderia você, ‘capacidade, ora’. Ok, diria eu, capacidade de quê? Infelizmente para todos nós, equipamentos de segurança de rede são altamente complexos quando tentamos mensurar seu desempenho e capacidade. Para piorar, tecnologias diferentes são afetadas de formas distintas. Vamos tomar um firewall, por exemplo. Como regra geral esses dispositivos possuem determinada capacidade de processamento de pacotes (medidos por pacotes/segundo), throughput (gigabits/seg), sessões concorrentes e novas conexões por segundo. Além desses há ainda a latência. Throughput é também influenciado pelo tipo de tráfego (protocolos) e tamanho dos pacotes. É claro que o desejável é que a escalabilidade de todos esses elementos seja proporcional, mas nem sempre é assim. E por que? Porque a arquitetura de software e hardware pode apresentar limitações e a escalabilidade, como resultado, não ser linear.

Escalabilidade linear significa que todos os elementos de desempenho crescem proporcionalmente acompanhando o crescimento dos recursos de hardware disponíveis. Imaginem um firewall com quatro processadores e 8GB de memória que processe 10Gbps, 2 milhões de conexões concorrentes e 45 mil novas conexões por segundo. Deixemos pacotes por segundo e latência de lado para não complicar. Um crescimento linear significaria que com oito processadores e 16GB de memória ele iria processar o dobro, mas, na maioria das vezes para falar a verdade, isso não ocorre. Por causa de alguma limitação de arquitetura muitos produtos processariam os 4 milhões de conexões mas apenas 60 mil novas conexões por segundo. Essa limitação pode ocorrer na maneira como foi configurado o multiprocessamento ou no método de aceleramento de rede. Mesmo em sistemas baseados em chassis nem sempre há linearidade devido as limitações no backplane e switch fabrics dos equipamentos.

Mas como dificultar é sempre possível estamos na era dos next-generation firewalls, o que se traduz em mais camadas de análise como prevenção de intrusos, detector de malware, compliance, data loss prevention, análise de aplicações e por aí vai. O efeito dessas camadas no desempenho de um firewall varia bastante de acordo com o fabricante mas sempre ocorre e pode ser devastador, com redução de até 85% da capacidade nominal. Portanto a escalabilidade deve ser planejada também no quesito de quais novas funções serão habilitadas no firewall, porque a linearidade pode ser diferente entre uma funcionalidade ou outra. É fácil entender o porquê. Muitos fabricantes atingem altos niveis de desempenho a partir de hardware de aceleramento, mas uma ou outra funcionalidade pode ser incompativel e prejudicar ou até desabilitá-lo, resultando em uma queda brutal.

Há ainda outra dificuldade para a qual empresas também precisam de ajuda: o monitoramento de seus sistemas. O principal método de gerenciar a capacidade dos equipamentos é ainda o acompanhamento do uso de componentes do hardware como cpu e memória. O problema é que para alguns produtos e tecnologias isso não é mais válido. O sistema de gerência de umas das maiores fabricantes de segurança, por exemplo, estimula seus clientes a monitorar seus equipamentos multiprocessados usando a média de utilização das cpus. Um grande erro já que seu software separa os processadores por função e alguns podem estar com alto uso enquanto outros estão quase sem carga. A média, relativamente baixa devido aos processadores ociosos, irá sugerir que ainda há muito espaço para crescimento quando na verdade o sistema já pode estar no seu limite.

Os datasheets publicados pelos fabricantes não resolvem a questão, o que não quer dizer que haja ma fé de ninguém. Primeiramente essas empresas precisam publicar seus números máximos de desempenho. Apesar de somente serem alcançados em laboratório são dados muito usados para comparação e classificação de produtos. Depois elas utilizam procedimentos mais ou menos padronizados para identificar o que seria o desempenho do ‘mundo real’ de seus produtos. Mas eles são criados a partir de uma média de uso. Emboram sirvam bastante como referência não podem ser considerados como definitivos. Assim somente há uma solução para se comprar bem um sistema escalável: conversar muito com o fornecedores e fabricantes para entender sua arquitetura e limitações, e somente depois escrever RFPs e editais. É claro que isso adiciona trabalho ao processo de compra mas é totalmente justificável para empresas que irão gastar centenas de milhares, até milhões, na compra de um sistema de proteção de rede.