Kalawin - stock.adobe.com
Sécurité, coût, cloud : Splunk adapte sa plateforme de télémétrie
Lors de la Splunk Conf 21, l’éditeur étend les capacités de ses plateformes de télémétrie non seulement pour le monitoring et la détection de menaces, mais aussi pour réduire les coûts du stockage de données.
Entre 2019 et 2020, Splunk a conduit la refonte de sa plateforme cloud afin de faire le socle de ses produits d’observabilité et de sécurité. En octobre 2020, Sendur Sellakumar, alors Chief product officer chez Splunk et désormais Chief Cloud Officer, expliquait que l’éditeur avait modifié 30 % du code de Splunk Enterprise pour rendre Splunk Cloud « cloud native ». Pour autant, les feuilles de route des deux produits sont parallèles (voire pratiquement identique).
En l’occurrence, l’éditeur a fait plusieurs annonces pour en apparence améliorer les capacités d’ingestion, d’indexation et d’interrogation de données. En réalité, il injecte des capacités nécessaires aux équipes de sécurité au sein de ses plateformes de télémétrie.
Les capacités de sécurité infiltrent la plateforme de télémétrie
Tout d’abord, Data Manager est un add-on à la plateforme Splunk Cloud. Cet outil en version 1.0 depuis juillet doit offrir une meilleure gestion des configurations des sources de données ingérées comme AWS et Microsoft 365 à travers des scripts d’automatisation et une UI. L’outil collecte des données anonymes toutes les six heures sur l’usage des services et leurs configurations par le biais de requêtes enregistrées.
« Ces requêtes s’exécutent en arrière-plan, que vous ayez choisi ou non d’envoyer des données d’utilisation à Splunk, et n’ont pas d’impact significatif sur les performances », peut-on lire dans la documentation.
Pour l’instant, Data Manager est davantage pensée pour les équipes de sécurité. Avec les services AWS, il s’agit principalement de collecter les données depuis AWS IAM, Security Hub et GuardDuty, donc des alertes de sécurité, des détections de menaces, et des informations sur la gestion des rôles et des accès.
Avec Microsoft 365, il est possible de récupérer des données sur les erreurs de login, les licences dépassées, les tentatives de connexion, les accès à des boîtes mail, les activités des utilisateurs sur Onedrive/Sharepoint ou encore sur les événements de perte de données. D’autres sources de données seront disponibles à l’avenir, notamment pour les services Azure et Google Cloud.
En bêta, Ingest Actions est un mécanisme pour appliquer des règles de transformation à l’ingestion de données via une interface visuelle. Cela doit permettre de filtrer et de masquer des données en temps réel avant de les envoyer vers une instance Splunk Enterprise ou de stocker des logs d’audit dans un bucket externe Amazon S3. Ici, l’usage apparaît lié à la gouvernance des données dans un contexte de supervision et de sécurité.
Pour les clients qui ont opté pour la tarification au workload, Splunk propose en préversion Flex Index. « Flex Index vous permet d’envoyer de grands volumes de données à Splunk pour des enquêtes forensiques et la découverte de données à faible coût, tout en continuant à utiliser la puissance du [langage] SPL de Splunk », peut-on lire sur la page Web dédiée. En clair, il s’agit de stocker, indexer et interroger des données nécessaires à la compréhension d’une cyberattaque, d’un incident majeur d’une application ou d’une infrastructure ou encore à des fins d’audit de performance.
Splunk ne fait pas une croix sur le sur-mesure
Ces fonctions liées à la sécurité propulsent les offres SIEM et SOAR de l’éditeur, qui ont également fait le sujet d’annonces pendant la Splunk Conf 21. Security Cloud donnera accès à des tableaux de bord compréhensibles par les dirigeants, tandis que SOAR App Editor doit permettre de créer des applications et d’intégrer des outils tiers. Mais la présence de solutions packagées n'oblige pas les clients à mettre en place des socles d’analyse de la sécurité ou d’observabilité.
D’autant que l’éditeur met également Splunkbase, sa place de marché abritant plus de 2 400 plug-ins (ou Apps) de son cru et des services tiers. Par exemple, il existe plus de 1 100 extensions de sécurité pour Splunk Cloud et Splunk Enterprise. D’autant que Dashboard Studio, aussi disponible sur mobile, permet de visualiser les données des systèmes.
En outre, l’entreprise californienne a annoncé la disponibilité de son opérateur Kubernetes. « Cela permet de déployer Splunk Enterprise embarqué sur des containers Docker, quel que soit le fournisseur de cloud ou l’infrastructure on-premise », déclare Stéphane Estevez, directeur Produits pour la zone EMEA chez Splunk.
En clair, Splunk a beau moderniser son offre et son infrastructure, le groupe ne veut ni se couper de sa base installée (plus de 15 000 clients dans 110 pays) ni empêcher l’émergence de nouveaux cas d’usage.
Fédération de requêtes
D’ailleurs, force est de constater que les clients de l’éditeur doivent faire avec des déploiements multicloud et hybrides. En ce sens, Splunk a mis en avant la capacité de fédération de requêtes (federated search), disponible depuis la version 8.1.2012 de Splunk Cloud et introduite en mai dans Splunk Enterprise 8.2. Les utilisateurs peuvent élaborer des requêtes qui adressent les données présentes dans les déploiements distants des plateformes Splunk Enterprise et Splunk Cloud.
Pour ce faire, les indexeurs de la plateforme depuis laquelle on lance la recherche alimentent une tête de recherche principale contenant un index fédéré. Cette tête de recherche communique à minima avec un fournisseur distant, une plateforme Splunk depuis laquelle l’on souhaite effectuer une recherche. Ce fournisseur distant contient lui-même une tête de recherche, un indexeur et au moins un jeu de données à requêter. Une tête de recherche principale peut communiquer avec plusieurs fournisseurs distants, dont les têtes de recherche exécuteront un bout de la requête, avant de renvoyer le résultat à la tête de recherche principale qui agrégera les informations des fournisseurs distants.
Si une instance de Splunk Enterprise n’est pas dans sa version 8.2, il est possible de mettre à jour une tête de recherche pour effectuer une recherche fédérée. Ce même principe est appliqué par Google avec Omni, MongoDB, ou encore AWS avec RedShift.
Réduire les coûts du stockage
Quant à la réduction des coûts, sujet récurrent chez Splunk, Teresa Carlson, nommée présidente et Chief Growth Officer il y a six mois, a annoncé la disponibilité de la « tarification au workload pour tous ».
« L’une des choses que j’ai entendues c’est que Splunk est cher », déclare Teresa Carlson lors d’une conférence de presse. « Nous nous attaquons à ce problème de front ».
Selon la responsable, « Les clients n’ont plus à se soucier de l’ingestion. Ils peuvent maintenant ingérer toutes les données qu’ils veulent et ils peuvent prendre des décisions sur ce qui est important dans ces données parce que vous ne savez jamais où se trouve l’aiguille dans la botte de foin », vante-t-elle.
Dans les faits, ce n’est pas totalement la réalité, car des contraintes techniques peuvent impliquer des coûts.
Par exemple, SmartStore est une nouvelle fonctionnalité de l’indexeur pensé pour stocker les données indexées sur des magasins d’objets distants, dont S3 et Google Cloud Storage. À ce tiers de stockage froid distant, s’ajoute un gestionnaire de cache afin de conserver « une quantité minimale de données : les buckets chauds, les copies de ces buckets chauds appelés pour des recherches et leurs métadonnées », peut-on lire dans la documentation. SmartStore permettrait de profiter des capacités de haute disponibilité, de la séparation du stockage et du calcul des services de stockage objet distants.
De son côté, Splunk assure la restauration des données et des métadonnées chaudes et leur rétention. Splunk indique clairement dans sa documentation que Smartstore est pensé pour les usages impliquant de gros volumes de données et des requêtes exécutées régulièrement. Pour les petits déploiements, SmartStore « pourrait ne pas compenser les coûts de mise en place et de maintenance d’un magasin distant ». En ce qui concerne les recherches moins récurrentes, plus spécifiques, le stockage local offre de meilleures performances.
Pour autant, la tarification au workload aurait déjà fait ses preuves chez certains clients de Splunk quand elle est appliquée à des charges de travail spécifique. Teresa Carlson mentionne un client de la grande distribution membre du Fortune 500 ayant réduit de 40 % le coût par Go de la supervision de son moteur de recherche de sa plateforme e-commerce.