Cisco Telemetry Broker ouvre la télémétrie à l'analyse avancée du réseau et de la sécurité. (Crédit Cisco)
L'outil Telemetry Broker de Cisco fonctionne à travers les silos de l'entreprise et n'a aucun lien avec des protocoles ou des données propriétaires.
Selon l'équipementier, Telemetry Broker démocratise l'utilisation des principaux flux de télémétrie et permet aux clients d'alimenter plus efficacement les applications d'analyse et d'exploiter les systèmes de gestion de réseau d'entreprise. Générées par les ressources de l'entreprise, comme les commutateurs, les routeurs, l'infrastructure sans fil et les systèmes IoT, les mesures de télémétrie sont utilisées par les applications métiers et technologiques pour surveiller les tendances et aider l'IT à répondre aux menaces ou à réagir à l'évolution de l'état du réseau. L'usage toujours plus important des programmes de surveillance et d'analyse rend nécessaire la capture de données de télémétrie avancées et fiables pour alimenter ces applications.
« En général, les informations de télémétrie sont déversées dans un lac de données ou un référentiel propriétaires où leur utilisation est vraiment limitée », a déclaré TK Keanini, un ingénieur distingué du groupe Security Platform & Response de Cisco. « C'est éventuellement acceptable si une entreprise dispose d'une seule plate-forme analytique, mais aujourd'hui, les entreprises ont 20 systèmes ou plus qui se disputent la télémétrie », a ajouté M. Keanini. « La visibilité devient également problématique, parce que les professionnels de la sécurité doivent travailler avec un tas de protocoles différents et souvent propriétaires pour leurs outils », a ajouté M. Keanini. « Gérer la télémétrie d'une entreprise est souvent un travail à plein temps qui peut impliquer plusieurs administrateurs et des échanges de feuilles de calcul complexes ».
Indépendant des protocoles
« Disponible dès maintenant, Cisco Telemetry Broker est destiné à répondre à ces problèmes en simplifiant la consommation des données de télémétrie par le courtage de données de cloud hybrides, le filtrage des données inutiles et la transformation des données au format préféré du client », a encore déclaré TK Keanini. « Le principe consiste à mettre en place une infrastructure de télémétrie qui fonctionne à travers les silos de l'entreprise sans aucun lien avec des protocoles ou des données propriétaires », a-t-il expliqué. Cisco Telemetry Broker comprend deux logiciels : un noeud de gestion qui fonctionne sur n'importe quel hyperviseur standard, et un noeud de courtage qui fonctionne sur le réseau ou à proximité des ressources sur lesquelles les clients veulent obtenir des données de télémétrie. « Si vous gérez des centaines ou des milliers d'applications et de périphériques qui envoient tous un certain type de données de télémétrie - syslog, NetFlow, SNMP, VPCflowlogs, etc. - il vous suffit de diriger ces mesures vers un noeud Cisco Telemetry Broker et le tour est joué. C'est probablement la dernière fois que vous aurez besoin de toucher à cette configuration, car maintenant tous ces flux de télémétrie deviennent programmables », a déclaré M. Keanini. « De plus, si vous êtes le gestionnaire d'une plate-forme analytique SaaS ou sur site, au lieu d'avoir à demander à plusieurs centaines d'exportateurs de vous envoyer des données, ou pire, d'avoir à supplier une autre plate-forme analytique pour obtenir une copie du flux de données, vous pouvez simplement pointer vers un noeud Cisco Telemetry Broker et spécifier les flux et le format dont vous avez besoin », a encore expliqué TK Keanini.
« La complexité toujours plus importante du réseau rend la gestion de la télémétrie elle-même de plus en plus complexe », avait récemment écrit M. Keanini dans un blog de présentation de l'outil de Cisco. « Le réseau se développe rapidement, et l'on demande de plus en plus aux administrateurs de sécurité de fournir des données télémétriques aux outils », a encore déclaré M. Keanini. « Les options actuelles de télémétrie et de gestion des données peuvent aussi s'avérer coûteuses à mesure que de nouvelles sources sont ajoutées au réseau, ce qui oblige les équipes de sécurité à faire des choix budgétaires difficiles », a ajouté TK Keanini. Ce dernier a aussi expliqué que le nouveau courtier trouvait ses racines dans Stealthwatch UDP-Director de Lancope, lequel utilisait la télémétrie du réseau pour détecter des attaques de sécurité très variées et répliquait le trafic UDP vers plusieurs destinations. Stealthwatch UDP-Director a été introduit en 2006, et Cisco a racheté Lancope en 2015 pour 425 millions de dollars.
Des analyses toujours cloisonnées
« L'idée d'un courtier de télémétrie ouvert et démocratique représente une avancée très positive pour les utilisateurs », ont reconnu les analystes. Mais ces derniers se posent aussi quelques questions. « Conceptuellement, c'est une bonne idée », a déclaré Tom Nolle, président de la société de conseil CIMI Corporation. « La question est de savoir si un outil qui joue essentiellement le rôle de distributeur de télémétrie fait suffisamment avancer les choses pour vraiment simplifier la surveillance et l'analyse des entreprises. On se retrouve toujours avec le potentiel d'applications de surveillance déconnectées travaillant sur des sources unifiées ; est-ce vraiment mieux ? », a-t-il demandé. « Cependant, dans l'ensemble, Cisco ne semble pas parler d'unifier l'analyse, mais seulement de s'assurer que les sources de télémétrie peuvent alimenter plusieurs destinations, ce qui implique une perpétuation des processus analytiques séparés », a encore déclaré Tom Nolle, avant de conclure : « Je doute de l'utilité de ce genre d'outil à long terme ».
Suivez-nous