Como reduzir custos do Data Center com maior segurança
*Leonardo Carissimi
Um estado norte-americano recentemente levou a cabo um projeto de consolidação de Centro de Dados no qual reduziu seus Centros de sessenta para apenas dois (um principal e outro secundário). Foi sem dúvida um projeto audacioso, que demandou alta tecnologia e resultou em redução significativa nas despesas de capital e operacionais (CAPEX e OPEX).
Como não podia deixar de ser, uma das preocupações dos responsáveis pelo projeto era com a segurança do novo ambiente: seria seguro colocar, como se diz, “todos os ovos na mesma cesta”?
É verdade que ter diversos Centros de Dados traz uma certa sensação de segurança. Afinal, se um dos Centros de Dados sucumbir a criminosos, eles estarão confinados aos sistemas deste e não chegarão aos demais sistemas da empresa, localizados em outros Centros de Dados. Mas também sabe-se que os custos de implementação e gerenciamento de Centros de Dados são muito altos, portanto ter diversos Centros não é economicamente interessante. Muito menos se houver vários Centros de Dados apenas por uma questão de segurança ou conformidade com regulamentações que exigem segmentação de ambientes.
Além disso, a eficácia desta segurança será maior ou menor dependendo do nível de segregação existente entre os diferentes Centro de Dados, e de como seus usuários os acessam. Portanto, não é uma premissa necessariamente verdadeira. No melhor cenário (segurança eficaz), com certeza a solução de segurança tem custo de implementação e gerenciamento muito alto, é pouco flexível e muito complexa, podendo levar a erros que resultem em brechas ou indisponibilidade. Pode-se afirmar isso porque as técnicas usualmente adotadas para isolar ambientes são sub-redes configuradas em roteadores, firewalls ou switches (em redes locais virtuais – VLANs), baseadas em endereços de rede, que aumentam exponencialmente a quantidade e complexidade das regras existentes nestes elementos (dezenas de milhares de regras são comuns, e pode ser o caso da sua empresa).
Há soluções no mercado que permitem a consolidação de Centros de Dados e sua consequente redução de custo, e ao mesmo tempo o aumento do nível de segurança e conformidade, de forma simples, flexível e econômica.
Considere soluções de micro segmentação, por exemplo. Elas criam pequenos Centros de Dados virtuais dentro do seu Centro de Dados. Seguem o conceito de Rede (segura) definida por Software, que têm custo de implementação baixo e podem aproveitar o investimento já realizado em outro hardware e software. Têm custo operacional baixo pois micro segmentam sistemas e seus grupos de usuários por software, sendo simples e ágil reconfigurá-los. Usuários são autorizados por meio de sua identidade, em função do mínimo que precisam saber, limitando a quem de direito o acesso de modo seguro e onde quer que eles estejam, sem lidar com endereçamentos. E cobrem os micro segmentos com um manto criptográfico que os torna invisíveis aos usuários não autorizados. Ou seja, para quem não tem direito de acesso, aqueles micro segmentos simplesmente não existem, tornando-os imunes às técnicas de descoberta e varreduras usadas pelos criminosos para reconhecimento de ambientes. E alguém conseguiria invadir um sistema que não vê e que não sabe que existe?
Portanto, consolidar Centros de Dados adotando soluções de micro segmentação resulta no melhor de dois mundos. Atinge-se redução de custos na implementação e gerenciamento do ambiente de Centro de Dados, e redução de CAPEX e OPEX na camada de segurança que o protege. Camada que ainda é fortalecida, ao incluir soluções de micro segmentação para isolar os sistemas e seus usuários em comunidades virtuais seguras e invisíveis a criminosos.
Ao manter os ovos em diferentes “cestos virtuais”, os mesmos resultados de segurança e conformidade poderão ser atingidos por uma fração do custo de estratégias onde os cestos são “físicos”.
* Leonardo Carissimi lidera a Prática de Segurança da Unisys na América Latina