quarta-feira, 29 de janeiro de 2014

Nutanix, um novo paradigma para virtualização?

O mercado de soluções para virtualização já está bastante maduro e consolidado e já faz um tempo que empresas de diferentes tamanhos já incorporaram esta tecnologia como estratégica para gerenciar recursos de TI. Seja virtualização de servidores, implantação de nuvem privada, virtualização de desktops, etc.

Hoje em dia uma solução bem desenhada e que entrega bom desempenho e confiabilidade consiste de um conjunto bem definido de recursos.
  • Servidores propriamente ditos, poderosos, com muita memória e alta capacidade de processamento.
  •  Redes de alto desempenho (1 Gbps, 10 Gbps ou ainda mais rápidas)
  • Unidades de armazenamento (storages) conectados aos servidores via rede própria (fibre channel) ou iSCSI (ethernet)


Os gerenciadores de virtualização como VMware, e outros usam todos estes recursos e visam máximo desempenho e disponibilidade. É uma solução competente para a missão que se destina a despeito de exigir certa complexidade para a orquestração de todos estes recursos de melhor forma possível.

Mas ainda bem que de vez em quando surgem algumas empresas com novas ideias e que por vezes trazem colaboração além do esperado e ainda mais raramente transformam o mercado. Podemos estar vendo parte da história de como se faz virtualização ser reescrita pela empresa Nutanix.

A Nutanix é uma empresa nova (fundada em 2009) e já foi avaliada em US$ 1 bilhão por conta de suas soluções inovadoras bem como tem recebido novos aportes de investimentos. Neste mês de janeiro de 2014 a empresa abre suas operações no Brasil e de uma forma ousada uma vez que já contará com fabricação local de seus produtos.

Pioneira no conceito de hiperconvergência, a Nutanix tem sua plataforma baseada em appliances de armazenamento e computação virtual, permitindo a substituição de storage legado (SAN, NAS, etc.) por um data center modular que pode ser implantado em menos de 30 minutos (dependendo da configuração).


figura 01 – sistema Nutanix – escalabilidade no processamento e armazenamento


Diferencial

O tipo de dispositivo criado pela Nutanix pode ser entendido como um servidor com storage embutido, ou seja, tem poder de processamento e engloba vários discos rígidos (e também SSDs) em seu interior. Ouvindo falar dessa forma parece a descrição de um simples servidor, não é? Mas o grande diferencial é que a solução é modular de tal forma que na medida em que novos dispositivos são agregados o poder de processamento para gerenciar máquinas virtuais (VMs) ou desktops virtuais (VDIs) é acrescido bem como o montante de armazenamento que aumenta um “pool” único de recursos.

O equipamento da Nutanix incorpora o mesmo o software de arquitetura distribuída que alimenta os principais provedores de nuvem pública, tais como Google, Facebook e Amazon, mas é adaptado para empresas e agências de governo.

Este software de arquitetura distribuída permite que a área de armazenamento de dados e VMs seja continuamente ampliada pela simples adição de mais unidades de processamento/armazenamento sendo assim incrivelmente versátil. Precisa de mais espaço? Adicione mais uma “caixa” que mais espaço é agregado ao “pool” compartilhado por todas as “caixas”, que por sua vez processam as VMs existentes ou novas VMs.

Cada dispositivo agregado faz crescer o montante de espaço de armazenamento que é compartilhado com todas as unidade. Isso permite que o processamento de VMs e VDIs seja ampliado (escalado) de forma constante e linear.

O tal “pool” de recursos resultante tem a inteligência para mover para os discos (e/ou SSDs) as VMs que são processadas naquela unidade e manter réplicas para efeito de backup e contingência em outros locais do “pool”. Dessa forma o desempenho das VMs e VDIs é maximizado uma vez que os arquivos físicos que contém estas VMs estarão no próprio local em que são processadas e não em dispositivos de armazenamento (storages) que por mais rápidos que sejam nunca serão tão rápidos como os discos/SSDs presentes na própria máquina.


figura 02 – sistema Nutanix – processamento local das VMs

Também como inteligentes dispositivos de armazenamento já fazem hoje em dia as informações mais usadas são migradas (dentro da unidade que as processa) para discos mais rápidos (SSDs) ou para discos mais lentos no caso de baixo uso, ou mesmo para outra unidade da “rede” de dispositivos Nutanix.

A empresa chama seu produto de “Virtual Computing Platform” e pode ser entendido como a fusão de storages com servidores procurando trazer o melhor de cada um destes mundos para o crítico ambiente de virtualização. Não enxergo a plataforma da Nutanix como concorrente de sistemas de armazenamento de altíssimo volume, embora tenha potencial de crescer nesta direção. Penso ser uma plataforma bastante inovadora para implementação de soluções de alto desempenho e alta disponibilidade para virtualização e também com uma solução escalável de sistemas de armazenamento.

Ambientes como VMware, Citrix, etc. já podem vir instalados nos dispositivos para acelerar ainda mais a implantação do ambiente usado na empresa. A licença de uso destes ambientes não está contida no preço dos mesmos e deve ser adquirida junto ao fornecedor. Mas a empresa tem cerca de 60 para adquirir as licenças e neste meio tempo já implantar a solução.

Todas estas informações foram compartilhadas pela empresa por meio de seus executivos Andres Hurtado (vice presidente da América Latina) e Leonel Oliveira (gerente geral do Brasil). Achei extremamente ousada e inovadora a proposta da empresa. Este tipo de recurso oferecido ao mercado tem potencial para mudar a forma como sistemas virtualizados são implementados, mantidos e otimizados em relação a desempenho e escalabilidade. Tenho forte interesse em me aprofundar neste tipo de solução para trazer informações mais concretas sobre o modelo de uso desta solução bem como se possível acompanhar casos de sucesso de implantação. Deverá ser tema de texto em futuro próximo.




figura 03 – sistema Nutanix

quarta-feira, 15 de janeiro de 2014

TREND Micro Deep Discovery Inspector e Advisor – guardiões da rede!

 Não é de hoje que eu tenho conversado com várias empresa de segurança. Por isso mesmo o que já era um interesse pessoal, quase uma curiosidade exacerbada acabou por se tornar um tema recorrente de pesquisa, leitura obrigatória e jamais descarto a oportunidade de me aprofundar em conversas a respeito. Ainda em 2013 tive a oportunidade de visitar a TREND Micro e ter contato com uma tecnologia bastante sofisticada e que me abriu os olhos.



figura 01 – Importância da segurança no fluxo dos dados

É uma imensa ilusão achar que apenas antivírus e um firewall são suficientes para garantir a integridade e segurança dentro de um ambiente de maior responsabilidade como uma empresa. E por isso os fornecedores de soluções de segurança têm apresentado estratégias que guardam semelhanças entre si, mas também se diferenciam com criatividade e inventividade. A solução Deep Discovery da TREND me foi mostrada com bom nível de detalhe e vários aspectos me chamaram a atenção. Este texto abordará de forma mais ampla estas características e espero ter a oportunidade de testar com minhas próprias mãos em outra ocasião. A solução completa consiste de dois módulos, o Inspector e o Advisor que compartilham alguns recursos, mas se complementam fortemente. As características apresentadas neste texto fazem menção à solução integrada.

Vivemos neste momento um tipo de ameaça denominada APT (Advanced Persistent Threats), ou seja, Ameaças Persistentes Avançadas. São ataques direcionados a alvos específicos e que têm o caráter “persistente”. Permanecem tentando de uma forma ou de outra lograr êxito na invasão e roubo de informações específicas e de pessoa ou pessoas específicas. Este tipo de ameaça muitas vezes só é devidamente percebida por análise comportamental do tráfego da rede. Não se baseia na identificação de algum tipo de “assinatura” como as presentes em arquivos maliciosos conhecidos (caso de antivírus). Por isso um grande conjunto de informações e ferramentas certas são necessárias para que os profissionais de segurança das empresas possam analisar e avaliar os riscos reais e tomar ações defensivas (além daquelas já existentes no produto).

O ponto de partida do Deep Discovery Inspector é seu “dashboard”, um tipo de painel de controle a partir do qual muitas informações históricas e também em tempo real podem ser avaliadas. Seguem apenas alguns exemplos de dados coletados:
  • Servidores com mais eventos detectados
  • Servidores com maior presença de malwares
  • Servidores mais atacados ou explorados por ameaças
  • Aplicações mais disruptivas em uso na rede
  • Conteúdo malicioso mais detectado
  • Sites com baixa reputação mais acessados pela rede
  • Servidores com comportamento suspeito


 
figura 02 – Dashboard ilustrando servidores com mais eventos (clique para ampliar)

O conjunto de sensores e informações do “dashboard” é personalizável bem como os servidores (endereços IP) , tipos específicos de ameaças a monitorar, frequência, etc. São os chamados “Watchlists”. Da mesma forma os eventos de segurança podem ser representados em um diagrama tempo x espaço que ajuda a compreender como os eventuais ataques são distribuídos e se são concentrados em algum segmento, endereço da rede ou servidor.


figura 03 – Dashboard ilustrando eventos relevantes nos servidores (clique para ampliar)

           figura 04 – Dashboard ilustrando concentração de eventos nos servidores (clique para ampliar)

As análises visuais além de muito interessantes tornam as informações bastante acessíveis e mais rapidamente assimiláveis. Facilmente se identifica o período do dia ou mês que ataques ocorreram, quais foram os tipos de ameaças, se foram disparadas externamente ou mesmo internamente, identificar nomes de arquivos afetados, URLs, etc.

        figura 05 – Dashboard ilustrando distribuição de eventos ao longo do tempo (clique para ampliar)

            figura 06 – Dashboard mostrando dados dos ataques (clique para ampliar)

Mas o que me impressiona, um dos recursos mais interessantes é a capacidade de análises em tempo real em sandbox. Sandbox é um ambiente isolado, geralmente (mas não obrigatoriamente) uma máquina virtual que roda no appliance especializado de segurança frequentemente usado para executar código não testado, ou programas não confiáveis ​​de fornecedores não verificados, usuários não confiáveis ​​e sites não confiáveis. Assim determinado site ou programa malicioso pode ser experimentado neste ambiente controlado e analisado quanto às ações que ele realizar e assim determinar seu grau de malignidade (ou não).

O Deep Discovery Advisor dispõe deste recurso chamado Threat Analyzer. Durante a apresentação algumas URLs e programas maliciosos foram testados. O sandbox pode ser configurado para reproduzir o ambiente necessário. Por exemplo, algumas ameaças obtém sucesso ao se instalarem e tomarem conta de uma plataforma Windows XP, mas não obterem sucesso no Windows 7 ou Windows 8. E por mais incrível que possa parecer o inverso também pode acontecer, uma ameaça se instalar com sucesso no Windows 8 e não no XP. Assim o administrador de segurança pode preparar várias instâncias de sandbox que reflita os diferentes sistemas operacionais da empresa. Uma vez que a potencial ameaça tenha sido executada dentro destes ambientes uma análise “forense” pode ser feita :
  • Qual ou quais arquivos a ameaça gravou
  • Que acessos externos realizou e para quais endereços
  • Que operações realizou
  • Quais chaves de registro criou ou alterou
  • Sequência exata (passo a passo) dos eventos desencadeados no ambiente
  • A simulação e análise de ameaças detalhadas para classificar e analisar profundamente os arquivos enviados

           figura 07 – Análise do Sandbox mostrando as ações do malware no ambiente  - Registry (clique para ampliar)

Estas informações ajudam a entender como as ameaças atacaram a rede ou alvos específicos e saber quais ações podem ser realizadas para prevenir outros ataques semelhantes no futuro.
Mas a detecção de ameaças e malware não deve se limitar a análises de sandbox. O Deep Discovery Inspector também alerta para comunicações maliciosas e suspeitas da rede para servidores externos que podem estar na liderança destes ataques.

Um exemplo muito interessante que me foi apresentado, o uso de smartphone conectado à rede WiFi da empresa, portanto objeto de análise de seu tráfego pelo Deep Discovery. Propositalmente alguns aplicativos maliciosos, baixados do Google Play, aplicativos que parecem legítimos, ao serem instalados imediatamente começavam a fazer disparar alarmes diversos nas telas do Deep Discovery por conta de suas ações. Todo cuidado é pouco! O fato de estar no Google Play ou App Store da Apple não é garantia de aplicativo íntegro. Deveria ser, mas não é. O aplicativo em questão era um jogo que até funciona, mas nos bastidores gera um tráfego imenso e captura dados do telefone e de seu dono.

A cada momento durante a análise de um evento ou ataque pode ser acessado o Threat Connect que traz toda a inteligência e recomendações da TREND Micro Smart Protection Network e dos pesquisadores do TREND Lab ajudando a entender a responder a um ataque com maior rapidez. Os pesquisadores acumulam conhecimentos estudando nas sandboxes as ameaças e todas as suas variações. Isso também permite alimentar uma base de dados de URLs e endereços IP com histórico de atividades suspeitas que são fornecidos para o software rodando no cliente e assim ter ainda mais agilidade na filtragem de acessos perigosos. Também identificar cada tipo de ameaça relacionando-as com grupos de atacantes conhecidos, sua origem, localização e até mesmo de quais cidades ele está sendo efetuado.


   figura 08 – análise da origem de ataques  (clique para ampliar)

O Deep Discovery Inspector é compatível com soluções de gerenciamento de eventos de segurança (SIEM) de vários fabricante como HP, IBM e outras que usem formatos CEF ou LEEF. Quanto ao nível de informações relatórios podem ser gerados em diversos níveis. Desde resumos executivos dos eventos de segurança e seus impactos nos negócios bem como relatórios detalhados de cada ameaça e suas características técnicas, meios de ação e ocorrências.


O mundo está mais complicado, isso é fato. Segurança não pode ser delegada a um processo único, uma única tecnologia. São muitas brechas exploradas pelos malfeitores virtuais para tentarem subtrair bens, roubo de identidade, furto de informações sensíveis... A proteção só será de fato obtida pela adoção de várias camadas que restringem e dificultam o acesso, bem como de forma especializada impedindo acesso e fornecendo as informações necessárias para combater inclusive ameaças novas e desconhecidas. A dupla Deep Discovery Inspector e Advisor mostraram grande valor nesta apresentação conceitual que tive o privilégio de assistir. Manifesto minha intenção de me aprofundar no tema e retornar daqui a algum tempo com uma visão ainda mais detalhada após ter provado com minhas próprias mãos esta valorosa ferramenta.

quinta-feira, 9 de janeiro de 2014

Monitorando presença na Web com E.life Buzzmonitor

Com o grande crescimento das redes sociais a forma das empresas e consumidores se relacionarem mudou e mudou bastante. Com certeza jamais será igual. A velocidade com que comentários, perguntas, críticas ou elogios são incorporados à rede é impressionante. Mas isso já virou passado, trata-se do mundo que vivemos agora. Dessa forma este dinamismo deve ser incorporado no dia a dia por todos que querem saber sobre suas marcas, produtos, serviços, etc.

Isso já existe e é conhecido como “Análise de Mídias Sociais”. Mas como são feitas estas análises? Dependem de softwares sofisticados, de custo geralmente elevado e são complexos para serem usados. Por isso estas análises só vinham sendo feitas preferencialmente por empresas de maior porte e mesmo assim dependendo de análises intrincadas. Mas o tempo que vivemos é diferente!! Não é mais relevante o tipo ou o tamanho da empresa para que sua relação com as mídias sociais sejam acompanhadas, monitoradas e como decorrência melhores decisões possam ser tomadas.

O assunto é muito extenso e ao mesmo tempo bastante estimulante. Confesso estar dando meus primeiros passos nesta área e por isso mesmo este assunto será retomado outras vezes no futuro. O que me incentivou a falar sobre isso é que fui apresentado a uma solução fantástica! Trata-se do Buzzmonitor da empresa E.life.


figura 01 – E.life Buzzmonitor interface principal

O que torna esta solução digna de ser comentada é seu caráter “democrático” e ao mesmo tempo a profundidade das análises que podem ser feitas. Como ela é rodada na nuvem não depende de softwares sofisticados e pesados instalados na empresa que vai utilizá-lo. Também existe versão gratuita da solução que pode ser usada pelas empresas menores. Tive a curiosidade de fazer alguns testes rápidos com a ferramenta e algumas características saltaram aos meus olhos.

O Buzzmonitor segundo a E.life, é a única solução no mercado que contempla três funções: monitoramento, relacionamento e análise. Os demais exigem que se instale outros programas associados para realizar estas funções. Outro diferencial do Buzzmonitor é que ele atua na estrutura do “Social Big Data” da E.life, uma base de dados que mapeia 100 milhões de usuários  e faz associação de perfil do internauta a marcas e comportamentos. Por exemplo o Buzzmonitor pode ajudar a descobrir que os amantes de vinho fazem check in no Ibirapuera e comem o queijo do tipo X ou o que fazem os clientes de determinada operadora de telefonia celular e assim por diante.

Desde 2008 a E.life armazena em seu Big Data posts, comentários e compartilhamentos do Twitter e Facebook, não apenas de marcas, mas de verbos de consumo de mídia ou de produtos (como o verbo assistir e suas derivações para monitorar consumo de mídia TV). São armazenados também todos os links compartilhados via Twitter e Facebook e seu respectivo conteúdo. Juntas, essas informações já somam 1 bilhão de dados únicos relacionados a mais de 100 milhões de usuários, sendo que 90% deles são brasileiros.

Mas especificações e números à parte eu me encantei com alguns breves ensaios que fiz com a versão gratuita do Buzzmonitor. Lembro que sou total neófito no assunto e em minutos já tinha criado monitorações para algumas marcas associando-as a palavras chaves. Por exemplo, uma das monitorações que eu criei foi para a marca Ford com a palavra-chave Focus. Dessa forma tenho acesso a referências a este fabricante e um de seus modelos de carro. Porém poderia ter usado como palavras chaves “Focus AND desempenho OR consumo” e dessa forma saberia o que se fala nas redes sociais sobre o desempenho e consumo deste modelo. Outras combinações de palavras-chave podem ser feitas sobre a mesma empresa ou uma diferente e estas ficarem salvas no ambiente do usuário na nuvem. Dessa forma a análise pode ser retomada em dias subsequentes.

 
figura 02 – análise de marca e produto nas redes sociais

 

figura 03 – tipos de relatórios do Buzzmonitor

O sistema também consegue classificar como “positivo”, “negativo”, “neutro” ou “misturado” o teor dos comentários publicados nas redes sociais visando avaliar em cada caso o que se fala da marca, produto ou serviço. Há um grande número de relatórios pré definidos e os filtros são personalizáveis em níveis que habilitam olhar apenas esta ou aquela rede, em um período de tempo determinado, por dia, por hora, etc.  Além das estatísticas e relatórios o próprio conteúdo que foi publicado está acessível, ou seja, cada tweet, publicação no Facebook está ao alcance para leitura ou mesmo interação com o interlocutor das redes sociais.
 
figura 04 – conteúdo das redes sociais ao alcance imediato

 
A incursão por este mundo de monitoração, análises e relatórios de marcas e produtos nas redes sociais apenas começou para mim. Penso que este instrumento permite que independentemente do porte da empresa, do grau de especialização do usuário e da necessidade específica, o recurso está disponível. É o tal caráter democrático que falei no começo deste texto. Claro que análises mais profundas e complexas podem necessitar de mais recursos bem com de uma versão ampla do produto (versão paga). Considero que apenas dei meus primeiros passos neste mundo e tenho vontade de me aprofundar mais, quem sabe acompanhando por algumas semanas alguns elementos, extraindo informações mais elaboradas e dessa forma poder contar mais para os leitores. O grande mérito desta solução é sua extensão e simplicidade (em poucos minutos já tinha criado meus primeiros pontos de monitoração) e já podia extrair relatórios.