WavebreakMediaMicro - Fotolia
Mettre à profit les données NetFlow en environnement Cloud
Collecter et analyser les données NetFlow peut aider à détecter les incidents de sécurité et à en identifier la cause. L’expert Frank Siemons explique.
Au sein d’un réseau, la connectivité est essentielle. Mais pour sécuriser un réseau, la visibilité l’est tout autant. Et les données NetFlow peuvent servir aux deux. Cette technologie propriétaire de Cisco permet la collecte des métadonnées générées par le flux du trafic au sein d’un réseau. Ces métadonnées n’ont pas de prix pour la planification de la capacité réseau. Mais elles sont également importantes pour la surveillance de la sécurité et de la disponibilité, ainsi que pour l’investigation en cas d’incident de sécurité. Par exemple, ces données peuvent expliquer à un ingénieur réseau où se trouvent les goulots d’étranglement au sein du réseau. Ou encore comment la machine d’un utilisateur a été compromise par un logiciel malveillant, ou la manière dont des données internes ont été exfiltrées.
Certains outils d’analyse Netflow peuvent générer des alertes à partir de seuils définis ou d’anomalies identifiées. Cela permet aux équipes de sécurité de surveiller l’occurrence d’incidents tels que des attaques en déni de service distribué (DDoS) ou de reconnaissance de ports réseau.
Qu’est-ce qui est collecté ?
Au minimum, NetFlow collecte adresses IP source et destination, ports source et destination, et le protocole utilisé – TCP, UDP ou ICMP. Ensemble, ces valeurs constituent un quintuple. Des versions plus avancées de NetFlow, comme Flexible NetFlow peuvent aussi collecter des données relatives aux drapeaux TCP, aux interfaces, et même certaines parties des paquets.
NetFlow n’est en fait qu’à une étape de la collecte de paquets complète. Mais une telle collecte est considérablement plus difficile à mettre en œuvre à grande échelle, et généralement trop coûteuse à déployer et maintenir, pour la plupart des organisations. En outre, la confidentialité est une préoccupation avec la collecte de paquets complets, plus en tout cas qu’avec les métadonnées.
Les défis du Cloud
Les données NetFlow sont transmises sous la forme de messages UDP par des équipements compatibles – commutateurs, routeurs ou pare-feu – à un collecteur. Dans un réseau local traditionnel, c’est relativement simple à mettre en œuvre. Les choses se compliquent lorsqu’il s’agit de collecter ces éléments au sein d’une plateforme Cloud où les serveurs sont des machines virtuelles, connectées via l’implémentation du fournisseur Cloud d’un réseau virtuel transparent.
S’il n’y a pas de commutateur compatible NetFlow entre deux serveurs virtuels hébergés en Cloud, comment collecter les données NetFlow ? Bien que les serveurs soient virtuels, il reste intéressant de collecter les métadonnées du trafic entre eux.
Un attaquant qui est parvenu à s’infiltrer dans le périmètre du réseau Cloud et accède à un serveur de bases de données peut vouloir utiliser un autre serveur pour exfiltrer les données récoltées. Un tel pic de trafic entre deux serveurs internes constitue une anomalie qui devrait être relevée en surveillant le trafic réseau, que les systèmes soient hébergées sur une plateforme Cloud ou dans un centre de calcul en local, traditionnel.
Comment faire cela ?
Si deux serveurs virtuels sont en connexion directe l’un avec l’autre, ils sont les deux seuls endroits où les métadonnées du trafic sont visibles. C’est pourquoi Cisco a créé un agent qui doit être installé directement sur les serveurs en mode Cloud. Cet agent assure la collecte des données des flux réseau et les envoie à un outil de supervision, en local ou en mode Cloud lui-aussi, via un concentrateur dédié. Les données peuvent être alors ingérées comme des données NetFlow classiques.
Les fournisseurs de services Cloud ont conçu aussi leurs propres outils, comme VPC Flow Logs d’Amazon. Il s’agit là de métadonnées comparables à celles de NetFlow qui sont collectées en environnement AWS Virtual Private Cloud et mises à disposition des clients pour stockage et analyse. Il y a toutefois des limites : certaines valeurs de métadonnées peuvent ne pas être disponibles dans un format supporté nativement par les logiciels d’analyse et de surveillance.
Lorsque la plateforme Cloud le permet, la meilleure solution consiste peut-être à configurer NetFlow dans des commutateurs et routeurs virtuels. Mais ce n’est pas toujours une option : nombre de grandes plateformes Cloud ne supportent pas les équipements réseau interne managés. Mais si elle accepte l’utilisation de commutateurs ou de routeurs virtuels, il ne s’agit plus que de configurer une infrastructure NetFlow traditionnelle autour de ces équipements.
Autres technologies de collecte de métadonnées
Il existe d’autres technologies comparables à NetFlow, à commencer par IP Flow Information Expert (IPFIX). C’est une alternative à NetFlow conçue par l’IETF. Il existe là des différences dans le format des données, mais les principes de collecte et de stockage des données sont très similaires. Et les mêmes défis et solutions pour les plateformes Cloud existent. IPFIX présente toutefois quelques avantages en matière de compatibilité, parce qu’il ne s’agit pas d’une technologie propriétaire Cisco.
Les métadonnées réseau peuvent s’avérer d’une grande valeur pour une entreprise, tant du point de vue de la disponibilité que de celui de la sécurité. Le défi lié à la collecte en environnement Cloud vient du fait que la technologie a été conçue pour des routeurs et des commutateurs qui ne sont pas forcément accessibles au client d’une plateforme Cloud.
En fait, une approche totalement nouvelle est nécessaire, d’autant plus que l’adoption du Cloud est appelée à s’étendre. Les solutions basées sur des agents vont dans cette direction. Car elles ne nécessitent pas de changements dans l’infrastructure Cloud et fournissent la visibilité requise avec un coût de déploiement limité.