Wireshark, très vieille technologie open source encore utilisée aujourd'hui en tant que standard pour surveiller le comportement réseau, a accouché d'un petit frère. « Wireshark est très bon dans un monde où les terminaux sont connectés à un réseau, mais quand il s'agit d'infrastructure cloud et de clusters Kubernetes nous ne pouvons pas nous fier uniquement au trafic réseau parce que de nouvelles adresses IP sont constamment attribuées », nous a expliqué Nigel Douglas, responsable de la stratégie cloud de Sysdig.
Stratoshark vient ainsi apporter de l'observabilité réseau et sécurité dans des environnements caractérisés par de fortes couches d'abstraction. « Nous vivons dans un monde d'infrastructures hyperconvergées dans lesquels de nombreux services cloud et Kubernetes sont impliqués avec en-dessous des machines virtuelles, des serveurs Ubuntu et des conteneurs. Ce que nous essayons de résoudre avec Stratoshark est de capturer toutes les corrélations de ces activités. »
Les événements sur les bucket S3 et de services SQS aussi collectés
Actuellement en développement (une Build est disponible), cet outil open source apporte une visibilité sur tout ce qui se passe sur différents points, comme les fichiers en cours d'exécution, les opérations, l'activité de lecture/écriture, etc. En somme tout ce qui est lié aux environnements cloud, containers et clusters Kubernetes. Stratoshark s'utilise aussi bien sur Windows, MacOS que sur Linux, une plateforme privilégiée par Sysdig qui se concentre actuellement sur deux cas d'usage : l'analyse des appels système et la collecte d'événements de sécurité temps réel avec Falco. « Outre les appels système, nous pourrions collecter des événements provenant d'un bucket S3, ou d'un service de mise en file d'attente de messages (SQS) », poursuit Nigel Douglas.
Par rapport à Sysdig Monitor ou d'autres solutions d'observabilité cloud comme Datadog, Stratoshark se démarque aux yeux de Nigel Douglas : « Je les considère plutôt comme des solutions de gestion des incidents et d'événements de sécurité qui alimentent des journaux mais pas des appels système comme ce que fait Stratoshark », assure le responsable. « Nous avons compris qu'il y a un problème dans l'industrie car ils ne savent pas comment lire ces fichiers et appels systèmes et c'est pourquoi nous nous sommes concentrés sur cet objectif », conclut-il.
Commentaire