alphaspirit - stock.adobe.com

Splunk entrevoit la convergence de l’observabilité et de la cybersécurité

Lors de la Splunk Conf. 22, Splunk a annoncé la disponibilité générale de Splunk Enterprise 9.0, avec la promesse de fédérer les données de supervision tout en baissant leur coût de rétention. Dans un même temps, les clients de Splunk Cloud accroissent leur utilisation de la plateforme à l’aune de la complexité du cloud et de la convergence des pratiques d’observabilité et de sécurité.

L’année dernière, Splunk finalisait la refonte de sa plateforme de télémétrie et commercialisait Observability Cloud. Si les annonces effectuées le 14 juin ne sont pas réellement surprenantes, c’est que la plupart d’entre elles concernent des produits ou des fonctionnalités présentées en 2021.

LeMagIT avait évoqué la volonté de l’éditeur de faciliter et d’accélérer l’ingestion de données dans sa plateforme de télémétrie, via l’add-on Data Manager. D’abord pensé pour collecter les données des IAM, l’outil absorbe davantage de données en provenance des services AWS (IAM, GuardDuty, CloudHSM, CloudTrail, EKS, DocumentDB, Lambda, RDS, etc.). Désormais, Data Manager prend en charge les données des services Microsoft Azure, dont Azure Active Directory. Le support de Google Cloud sera accessible dès cet été.

Là encore, Log Observer Connect est connu. Cette intégration permet d’écrire des requêtes SPL sans code depuis une interface visuelle en requêtant les logs situés dans Splunk Enterprise. Sous cette forme Log Observer Connect est entré en disponibilité générale en janvier via les régions américaines d’AWS. Depuis la semaine dernière, Connect est compatible avec Splunk Cloud. Moyennant les bonnes licences, les équipes DevOps et les SRE peuvent utiliser Splunk Log Observer pour rechercher les logs présents dans Splunk Cloud ou Splunk Enterprise depuis une seule interface, et ce sans coût supplémentaire. Cette UI fait d’ailleurs le pont avec le reste de la plateforme Splunk Cloud pour corréler, les métriques, les traces et les logs.

Évidemment, il est de bon ton pour Splunk de tenir au courant ses clients de ses avancées sur sa feuille de route. Aussi, les porte-parole de l’éditeur considèrent qu’en matière de traitement de données et d’observabilité, la boucle est pratiquement bouclée. Les ajustements se font par petites touches.

C’est à la faveur de cette approche que l’éditeur a présenté Splunk Incident Intelligence et Anomaly Detection Assistant. Le premier service, en préversion, doit permettre aux Équipes SRE de créer des workflows unifiés en corrélant des événements, des briques d’automatisation, de la réponse à incident, et un système de routage d’appels.

Le fonctionnement d’Anomaly Detection Assistant est plus limpide. Cette application disponible en bêta depuis Splunkbase, la marketplace de l’éditeur, exécute une suite d’algorithmes écrits en Python à la recherche d’anomalies cachées dans des données de séries chronologiques.

Splunk Enterprise 9.0 : une réponse aux deux problèmes principaux des clients

Quant aux fonctionnalités clés selon l’éditeur, elles ont été rangées dans l’écrin tout beau, tout nouveau qu’est Splunk Enterprise 9.0.

Ainsi, Ingest Actions, qui permet de filtrer les logs à l’indexation ou au transfert de données vers S3, est désormais sortie de sa phase de bêta.

Les mécanismes de fédération de requêtes partant du cloud vers les instances sur site ont été améliorés, tout comme une UI permet de gérer les consentements avant recherche dans les environnements régulés. Il est aussi possible de chercher des points de données et fouiller des data sets et obtenir une « vue unifiée » des données.

À cela, Splunk Enterprise 9.0 ajoute des mécanismes de sécurité. Il présente un filtrage des données par rôle, et Splunk Assist, un service pour vérifier que la plateforme ainsi que les différentes clés de chiffrement et les certificats pour la protéger soient bien à jour.

Outre la sécurité, le point d’attention de nombreux clients concerne le coût du stockage des logs. L’année dernière, Splunk avait publiquement reconnu qu’il devait faire des efforts à ce sujet. Les utilisateurs se plaignaient au moment de recevoir la facture. L’éditeur a mis en place plusieurs mesures. Il a d’abord proposé une tarification basée sur les workloads plutôt que sur l’ingestion de données. Puis, Flex Index était présenté comme le moyen de transférer les données archivées vers un service de tiering, comme S3 Glacier tout en permettant leur interrogation à des fins d’analyses forensiques.

Splunk avait également modifié son indexeur pour y ajouter la fonctionnalité SmartStore afin d’envoyer les données indexées vers des magasins d’objets distants. Après S3, Google Cloud Storage, l’éditeur ajoute le support des services Azure Blob Storage dans Splunk Enterprise 9.0.

Qui plus est, la nouvelle mouture du logiciel introduit une optimisation de l’algorithme de compression des données time series.

Avec tous ces mécanismes, « Les clients gérant eux-mêmes Splunk Enterprise peuvent ainsi réduire leurs coûts d’exploitation jusqu’à 70 % », promet l’éditeur.

La difficile maîtrise des coûts pour les clients de Splunk

En réalité, cette réduction des coûts et la gestion des volumes de données deviennent un sujet clé. Tout simplement parce qu’avec le cloud, les approches Shift Left et DevSecOps, les entreprises ont tendance à stocker de plus en plus de données. C’est le cas de Papa John’s, un des clients mis en avant par l’éditeur lors de la conférence. Aussi, les SRE de la chaîne de pizzeria considèrent que l’échantillonnage de logs n’est plus approprié.

Si l’éditeur permet de récolter davantage de données, il assure que ce n’est pas son objectif principal.

« Nous croyons fermement que la différenciation doit venir de l’analytique et de l’apprentissage automatique plutôt que de la collecte de données », affirme Spiros Xanthos, SVP et directeur général Observability chez Splunk. « Si nous contribuons à des standards comme OpenTelemetry, c’est pour le client puisse réunir ses données à un seul endroit, et obtenir un contrôle de ses données ».

Dans les faits, la majorité des clients de Splunk récoltent déjà davantage de données. Selon le rapport sur les résultats du premier trimestre fiscal de Splunk, publié le 25 mai, le taux de rétention net de Splunk Cloud était de 130 %.

Cela signifie qu’un certain nombre de clients SaaS ne se contentent pas de maintenir leur abonnement à Splunk Cloud, mais augmentent leurs dépenses. Dans l’ensemble, Splunk subit toujours une perte nette après une année de bouleversements, mais son chiffre d’affaires a également augmenté en conséquence. Le CA global a crû de 34 % par rapport au même trimestre de l’année précédente, pour atteindre 674 millions de dollars. Les revenus liés au cloud ont grimpé de 66 % d’une année sur l’autre pour atteindre 323 millions de dollars.

Sans oublier que les migrations vers le cloud se multiplient chez les clients de Splunk, comme l’a souligné Spiros Xanthos au MagIT.

« Nous remarquons une convergence de l’observabilité et de la cybersécurité. […] Souvent les jeux de données se chevauchent et sont utiles pour les deux types de cas d’usage. »
Spiros XanthosSVP et directeur général Observability, Splunk

Aussi, la supervision n’a jamais été aussi difficile, constate-t-il. « Presque tous nos clients adoptent une stratégie hybride. Oui, ils adoptent le cloud, mais auprès de deux ou trois fournisseurs différents », poursuit-il. « Les clients maintiennent toujours leur infrastructure et les applications existantes. Donc ils doivent faire face à toute cette complexité », argumente-t-il

Ces phénomènes d’accumulation de données risquent de s’amplifier d’autant que les pratiques de supervision et de sécurité s’entremêlent.

« Nous remarquons une convergence de l’observabilité et de la cybersécurité », affirme Spiros Xanthos. « Souvent les jeux de données se chevauchent et sont utiles pour les deux types de cas d’usage », ajoute-t-il.

Vers une plateforme unifiée pour la cybersécurité et l’observabilité

C’est d’ailleurs dans cette convergence de la sécurité et de l’observabilité que se joue l’avenir de Splunk, selon le dirigeant.

Cet intérêt renforcé pour la cybersécurité chez l’éditeur n’a rien de surprenant quand l’on sait que le remplaçant de Douglas Merrit, l’ex-PDG de Splunk, n’est autre que Gary Steele. Le nouveau CEO qui a pris ses fonctions en mars 2022 était auparavant le président de Proofpoint, un spécialiste de la protection de messageries électroniques.

Malgré tout, l’observabilité pensée comme une unification des outils de monitoring d’infrastructure, d’APM, de RUM, et même d’AIOps demeure « un marché émergeant » selon Spiros Xanthos. Il estime que l’éditeur a rapidement mis sur pied un catalogue complet de solutions, mais il manque encore un pan important pour prétendre à une forme exhaustivité : le monitoring réseau. Il faudra aussi rapprocher les fonctions SIEM pour obtenir cette plateforme unifiée que Splunk appelle de ses vœux.

Quant aux notions Shift Left et DevSecOps, elles intéressent Splunk, mais l’éditeur n’affirme pas pour l’instant suivre les traces du concurrent Datadog, qui a racheté HDIV Security, un spécialiste de l’analyse du code (IAST et SCA).

« Beaucoup de nos clients utilisent Splunk pour des cas d’usage DevSecOps », assure Spiros Xanthos. « Par exemple, ils corrèlent des données en provenance des environnements de développement et de tests avec d’autres sources de données ».

Si Splunk n’a pas de solution spécifique, cette « tendance générale de l’industrie » favorisera d’une manière ou d’une autre les intégrations, selon le directeur général. Toutefois, il rappelle que la clientèle historique de l’éditeur tente encore de dompter les principes de l’observabilité et découvre l’approche DevSecOps.

Pour approfondir sur Administration et supervision du Cloud