Cloudtoepassingen veilig virtualiseren

Pavel Minarik, CTO van Flowmon Networks

Het migreren van IT-infrastructuren en bedrijfsapplicaties naar de cloud brengt nieuwe uitdagingen met zich mee voor het monitoren en analyseren van de performance, maar ook de informatie- en softwarebeveiliging. Bestaande tools (NPMD/APM) zijn namelijk niet geschikt voor het monitoren van hybride cloud-omgevingen. IT-securityverantwoordelijken doen er verstandig aan tijdig op zoek te gaan naar nieuwe generatie methoden en monitoringtools die een volledig inzicht bieden en betere beveiliging. 

Netwerkverkeer monitoren en analyseren

Cloud computing wordt een steeds belangrijker onderdeel van zakelijke IT-omgevingen. Uit een rapport van IDC blijkt dat de investeringen daarin in het derde kwartaal van 2018 de investeringen in traditionele IT voor het eerst overstegen. De cloud stelt bedrijven in staat hun IT-middelen flexibeler te schalen en zorgt ook voor een betere kostenverdeling. De vraag die netwerkbeheerders en IT-beveiligers momenteel bezighoudt is: "Hoe kunnen we al het verkeer over de fysieke, virtuele en cloud-infrastructuren monitoren en analyseren? Maar ook: hoe zorgen we voor dezelfde mate van monitoring en beveiliging bij het gebruik van een hybride netwerkinfrastructuur? Vooral wanneer een deel daarvan zich in een (eigen) datacenter bevindt en andere delen in private cloud-opslag en publieke cloud-opslag. Uiteindelijk zijn namelijk alle IT-toepassingen en de performance ervan hun verantwoordelijkheid. Deze vragen worden momenteel het meest gesteld in de Verenigde Staten, waar men naarstig op zoek is naar nieuwe generatie oplossingen.

Waar zijn al mijn datapakketten?

De belangrijkste reden waarom traditionele monitoringtools tegenwoordig niet meer volstaan is duidelijk, namelijk gebrekkige toegang tot informatie uit de L2-netwerklaag. In publieke clouds is deze simpelweg niet toegankelijk. Ook traditionele, niet-invasieve methoden met behulp van bijvoorbeeld de SPAN-poort lossen dat niet op. Als gevolg daarvan zijn leveranciers op zoek naar nieuwe manieren om blinde vlekken in een virtueel netwerk te voorkomen en een analyse mogelijk te maken van alle kritische gegevens over veiligheidsrisico's en prestatieproblemen in de cloud. Jaren geleden was het voldoende om de gegevensstroom van actieve netwerkelementen te exporteren. Tegenwoordig belemmeren de virtualisatieplatforms (VxLAN) dat netwerkcommunicatie op het juiste niveau en mate van detail te monitoren is. Flowmon biedt echter wel een centraal overzicht van alle geconsolideerde infrastructuurdata. Dat wordt gecreëerd door een flexibel netwerk van ‘probes’, die zowel in het eigen bedrijfsnetwerk als private en publieke clouds te implementeren zijn. Deze probes herkennen tevens verschillende encapsulation methodes (tunneling) en kunnen daarom niet alleen de tunnel monitoren maar ook al het dataverkeer in de tunnel met behulp van decapsulation methodes voor monitoring.

Monitoringoplossingen voor publieke clouds

1. Virtual tapping: een oplossing die ‘agents’ installeert op monitoringservers. Deze onderscheppen de netwerkcommunicatie tussen virtuele machines (VM) op alle relevante netwerkinterfaces en leveren datapakketten aan de monitoringtools van derden. De bekendste oplossingen gebaseerd op virtueel tappen zijn van IXIA en Gigamon, die Flowmon beide ondersteunt.
2. ERSPAN/GRE: een methode voor poort-mirroring op laag 3 en het leveren van kopieën van het netwerkverkeer aan monitoringtools via de zogenaamde GRE-tunnel. Deze functie is niet alleen beschikbaar in virtuele platforms en public cloud (zoals VMWare VDS-switch, Cisco CSR 1000V), maar maakt het ook mogelijk om alle monitoring te consolideren in eigen omgevingen, afhankelijk van de switcheigenschappen. In tegenstelling tot traditionele monitoringtools is de oplossing van Flowmon Networks in staat om de ERSPAN/GRE-tunnel zonder een tussenlaag te beëindigen.
3. Ondersteuning voor FlowLogs: Flow-gegevens vanuit de publieke cloudomgeving (zoals Amazon AWS of Microsoft Azure) direct exporteren naar monitoringtools. Dit is een vrij nieuwe technologie die in vergelijking met de traditionele NetFlow-aanpak een beperkte hoeveelheid informatie biedt. Momenteel worden de ontwikkelingen op dit vlak nauw in de gaten gehouden en ondersteuning van FlowLogs in de Flowmon-oplossing voorbereid. 

Voorbereiden op huidige en toekomstige uitdagingen

Behalve het migreren van bedrijfsapplicaties en -services naar de cloud, zijn er nog meer uitdagingen tijdens het monitoren van IT-omgevingen en daarbij detecteren van securityrisico’s en afwijkend gedrag. Zoals de container-gebaseerde virtualisatietrend, met behulp van het Docker-platform en het Kubernetes-systeem. Tegenwoordig ondersteunen niet alleen alle grote cloudaanbieders het Docker-platform, maar wordt deze containerisatie-omgeving tevens door steeds meer bedrijven gebruikt voor hun applicaties en webservices. Voor de monitoring heeft die trend vergelijkbare gevolgen als andere cloud-omgevingen. Flowmon Networks heeft inmiddels al geverifieerd dat er rapportages te genereren zijn over het virtuele verkeer in een Docker-omgeving en de verwerking daarvan via de Flowmon Collector. Organisaties kunnen zich daarmee dus nu al voorbereiden op de huidige en toekomstige uitdagingen.

Hybride clouds, een R&D-kans

Hybride cloud-omgevingen inzichtelijk maken wordt de komende jaren steeds belangrijker, het liefst via één centrale oplossing. Daarom focust Flowmon Networks zich daar al intensief op, met onder andere een R&D-project genaamd ‘intelligent sensors’, voor het monitoren en analyseren van cloud-omgevingen. Als onderdeel van dat project worden onder andere nieuwe meetmethodes onderzocht voor het optimaal gebruiken van IT-resources, het autonoom gedrag van sensoren en genereren van telemetrie-informatie over het operationele gedrag van complete systemen. De resultaten van dat kansgedreven R&D-project gaan het ontwikkelen van nieuwe applicaties en services mogelijk maken en worden tevens benut bij het uitbreiden van Flowmon Networks huidige producten voor cloud-gebaseerde monitoring.