Como reduzir custos do data center com maior segurança
Um estado norte-americano recentemente executou um projeto de consolidação de centro de dados no qual reduziu seus data centers de 60 para apenas dois (um principal e outro secundário). Foi, sem dúvida, um projeto audacioso, que demandou alta tecnologia e resultou em redução significativa nas despesas de capital e operacionais (Capex e Opex).
Como não podia deixar de ser, uma das preocupações dos responsáveis pelo projeto era com a segurança do novo ambiente: seria seguro colocar, como se diz, “todos os ovos na mesma cesta”?
É verdade que ter diversos centros de dados traz uma certa sensação de segurança. Afinal, se um dos centros de dados sucumbir a criminosos, eles estarão confinados aos sistemas deste e não chegarão aos demais sistemas da empresa, localizados em outros centros.
Mas também sabe-se que os custos de implementação e gerenciamento dessas instalações são muito altos, portanto ter diversos deles não é economicamente interessante. Muito menos se houver vários apenas por uma questão de segurança ou conformidade com regulamentações que exigem segmentação de ambientes.
Além disso, a eficácia dessa segurança será maior ou menor dependendo do nível de segregação existente entre os diferentes Centro de Dados, e de como seus usuários os acessam. Portanto, não é uma premissa necessariamente verdadeira. No melhor cenário (segurança eficaz), com certeza, a solução de segurança tem custo de implementação e gerenciamento muito alto, é pouco flexível e muito complexa, podendo levar a erros que resultem em brechas ou indisponibilidade.
Pode-se afirmar isso porque as técnicas usualmente adotadas para isolar ambientes são subredes configuradas em roteadores, firewalls ou switches (em redes locais virtuais – VLANs), baseadas em endereços de rede, que aumentam exponencialmente a quantidade e complexidade das regras existentes nesses elementos (dezenas de milhares de regras são comuns, e pode ser o caso da sua empresa).
Há soluções no mercado que permitem a consolidação de Centros de Dados e sua consequente redução de custo, e ao mesmo tempo o aumento do nível de segurança e conformidade, de forma simples, flexível e econômica.
Considere soluções de microsegmentação, por exemplo. Elas criam pequenos Centros de Dados virtuais dentro do seu Centro de Dados. Seguem o conceito de Rede (segura) definida por software, que têm custo de implementação baixo e podem aproveitar o investimento já realizado em outro hardware e software. Têm custo operacional baixo pois microssegmentam sistemas e seus grupos de usuários por software, sendo simples e ágil reconfigurá-los. Usuários são autorizados por meio de sua identidade, em função do mínimo que precisam saber, limitando a quem de direito o acesso de modo seguro e onde quer que eles estejam, sem lidar com endereçamentos. E cobrem os microssegmentos com um manto criptográfico que os torna invisíveis aos usuários não autorizados.
Ou seja, para quem não tem direito de acesso, aqueles microssegmentos simplesmente não existem, tornando-os imunes às técnicas de descoberta e varreduras usadas pelos criminosos para reconhecimento de ambientes. E alguém conseguiria invadir um sistema que não vê e que não sabe que existe?
Portanto, consolidar Centros de Dados adotando soluções de micro segmentação resulta no melhor de dois mundos. Atinge-se redução de custos na implementação e gerenciamento do ambiente de Centro de Dados, e redução de Capex e Opex na camada de segurança que o protege. Camada que ainda é fortalecida, ao incluir soluções de micro segmentação para isolar os sistemas e seus usuários em comunidades virtuais seguras e invisíveis a criminosos.
Ao manter os ovos em diferentes “cestos virtuais”, os mesmos resultados de segurança e conformidade poderão ser atingidos por uma fração do custo de estratégias onde os cestos são “físicos”.
*Leonardo Carissimi é líder da Prática de Segurança da Unisys na América Latina