Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Monitorointiverkon työkalut – Mitä kaikkea verkosta kerätyllä liikenteellä voi tehdä ja miksi?

17. toukokuuta 2018

Monitorointityökalut tietoturvan ja suorituskyvyn valvontaan

Edellisessä osassa esiteltiin monitorointiverkon keskipiste Network Packet Broker, jolla isot ja hajaantuneet liikennemassat saadaan hallintaan ja ohjattua sopivasti käsiteltynä oikeaan paikkaan. Mihin liikenne sitten tungetaan ja mitä kaikkea tällä liikennedatalla voi tehdä. Tässä joitakin ideoita ja esimerkkejä käyttömahdollisuuksista.

 

Ympäristön hallinta lähtee näkyvyydestä

Näkyvyys liikenteen sisältöön on entistä tärkeämpää, koska pintapuolinen järjestelmien valvonta tai yksittäisten infrastruktuurin parametrien tuijottaminen ei nykypäivänä tuota kaivattua lopputulosta. Valvonnassa tulisi kyetä mittaamaan myös laatua ja epämääräisiä ongelmia: sitä miten sovellus toimii tai miten käyttäjä palvelun kokee. Bittimaailma ei olekaan toiminnan kannalta pelkästään on-off, vaan myös harmaasävyjä siltä väliltä. Tässä on monella asiantuntijalla ja organisaatiolla paljon opittavaa pois vanhoista maneereista.

Vanha totuus on, että vika on aina verkossa, kunnes toisin todistetaan. Verkko on epäkiitollisessa asemassa, koska sen toiminta vaikuttaa kaikkeen ja sieltä saa myös lähes kaiken tarvittavan tiedon kaivettua esiin. Tietoliikenneasiantuntija on yleensä se, joka saa kunnian ja pystyy selvittämään lähes minkä tahansa ongelman. Asiantuntija ja koko IT-osasto tarvitsee kuitenkin apuvälineitä, muuten hankalat ongelmat jäävät selvittämättä tai niihin kuluu kohtuuttomasti aikaa, ja koko organisaatio kärsii.

Mihin ja miten verkkoliikennettä voidaan käyttää hyödyksi valvonnassa tai muissa tarkoituksissa? Mahdollisuuksia on paljon ja oikeastaan vain mielikuvitus on rajana.

Näkyvyys infran ja sovellusten käytettävyyteen ja laatuun

Kaikki palvelut pyörivät jonkin fyysisen infran päällä. Virtualisointi ja abstraktointi lisää aina vaan uusia kerroksia pinoon yrittäen piilottaa fyysisen kerroksen. Fyysisen kerroksen ongelmien löytäminen ja yhdistäminen sovellustasolle on entistä hankalampaa. Järjestelmien ja palveluiden mittausta on tehtävä koko pinon alueella infrasta sovellustasolle. Vain liikenteen eli pakettidatan kautta päästään riittävän syvälle sovellusten toimintaan ja käyttäjäkokemukseen. Laadukkaasti tuotettu pakettidata on kopio alkuperäisestä tilanteesta ja siksi "lopullinen totuus".

  Monitorointityökalut tietoturvan ja suorituskyvyn valvontaan Käytettävyyden ja laadun valvonta on entistä tärkeämpää ympäristön toimivuuden kannalta, kun yritys ulkoistaa. Palveluiden ja palveluntarjoajan hallitsemiseksi pitää olla näkyvyyttä omaan ympäristöön, mutta valitettavan harvoin sitä saa palveluna. Käyttäjällä olisi hyvä olla jotain kättä pidempää, kun homma ei toimi, ja alkaa pitkä sekä tuskastuttava väsytystaistelu epämääräisten ongelmien ratkaisemiseksi. Työkaluina voi käyttää esim. sovellusten ja verkon suorituskykyvalvontaa (Application Performance Monitoring APM, Network Performance Monitoring NPM, Service Assurance), jotka valvovat ympäristöä ja sovellusten toimivuutta tarkemmalla tasolla ja pystyvät osoittamaan ongelmakohdat nopeasti.

 

Käyttöstatistiikkaa vähän syvemmältä

Koko liikenteen kaappaus ja analysointi on raskasta pelkkään tilastokäyttöön ja pidempiaikaiseen tallennukseen. Liikenteestä voidaan kuitenkin jalostaa Broker-kytkinten avulla kevyempää flow-tietoa, jota on helpompi tallentaa ja analysoida. Kytkinten generoima Sflow sisältää moneen tarkoitukseen riittävät liikenteen välitystiedot kuten osoitteet ja protokollat. Näillä päästään liikenteen sisältöön jo melko pitkälle kiinni. Flow-tieto on käypää esim. laskutukseen tai tietoturvavalvontaan ja siitä saadaan perinteistä SNMP-statistiikkaa parempaa osoite- ja protokollakohtaista tietoa liikenteestä ja trendeistä. Monet Packet Broker -tuotteet sisältävät oman analytiikkaosan, joka jalostaa liikennetiedosta graafisia näkymiä helposti käyttäjän katseltavaksi. Brokerilla tuotettu flow-tieto tehdään tuotantoverkon ulkopuolella ja siksi se ei ole riippuvainen tuotantoverkon komponenteista tai vaikuta niihin mitenkään.

 Monitorointityökalut tietoturvan ja suorituskyvyn valvontaan

 

Tietoturvan hallintaa monella tapaa

  Monitorointityökalut tietoturvan ja suorituskyvyn valvontaan Tarkempi tietoturvan toteuttaminen vaatii koko liikenteen ja pakettien sisällön analysointia. Tietoturvaa voidaan tehdä passiivisesti, jolloin liikennettä tarkkaillaan sivusta ja alkuperäiseen liikenteeseen ei voida vaikuttaa suoraan. Aktiivisessa mallissa tuodaan Packet Broker aktiivisesti linjalle ja pakotetaan haluttu liikenne kiertämään tietoturvalaitteiden kautta. Tällä tavalla voidaan tehdä dynaamista palveluketjutusta ja muuttaa tietoturvatarkistuksia eri liikenteille tarpeen mukaan. Packet Brokerilla voidaan ohjata tietty liikenne, esim. osoitteisiin tai protokollaan perustuen, tarkistuksiin tai aktiivisesti estää se. Passiivista valvontaa voidaan hyödyntää ohjaus- ja päätöksentekokerroksena aktiiviseen SDN-tuotantoverkon ohjaukseen. Packet Broker ja tällainen ohjelmoitava verkko tuo tietoturvatuotteiden (mm. SIEM, forensiikka, IDS/IPS, AV, Sandbox, Web-proxy, CASB, DLP, DDoS) käyttöön aivan uusia mahdollisuuksia.

 

Ongelmanselvitykseen tehokkuutta

Monille tuttu kombo ongelmatilanteiden selvittelyssä on kytkimen SPAN-portti ja läppärin Wireshark. Mutta kuka haluaa mennä istumaan paikan päälle konesaliin tai lähteä etäkonttoriin tutkimaan ongelmaa. Pilvestäkin voisi olla kiva nähdä jotain. Läppärin mittauskyky on kuitenkin rajallinen. Mitä jos keskitettäisiin vianselvitystyökalut: valittaisiin riittävän tehokkaat mittalaitteet, tallennusratkaisu ja analysaattorit, ja laitettaisiin ne etäkäyttöön. Packet Brokerin avulla monitorointiliikenteen voi koota mistä pisteestä tahansa yhteen paikkaan joko pysyvästi tai tarpeen mukaan. Ongelmanselvityksen tai mittauksen voi tehdä etänä ja monitorointiliikenne on valmiiksi saatavilla joka paikasta. Mittauksia voi tehdä jopa monesta paikkaa liikenteen vertailemiseksi tietyissä pisteissä. Verkon vaikeisiin paikkoihin pääsee kiinni nopeasti ja vianselvityksen tehokkuus nousee huimasti. Kenties halukkuus käyttää analysaattoriakin kasvaa, kun se on tehty helpoksi.

Monitorointityökalut tietoturvan ja suorituskyvyn valvontaan

 

Tallennusta ja arkistointia tarpeen mukaan

Reguloiduilla aloilla voi olla tarpeen tallentaa kopio alkuperäisestä datasta juuri niin kuin asia oli ja tapahtui tiettynä hetkenä. TAP ja Packet Broker voivat lisätä tarkat aikaleimat ja merkata ne mittapisteen dataan mukaan. Asiakaspalvelussa puheluita, videoita tai muuta kommunikaatiota voidaan tallentaa arkistoon tai myöhempää käsittelyä varten. Protokollien juttelua voi olla tarpeen kerätä esim. järjestelmien toimivuuden tai tietoturvallisuuden seuraamiseksi. Packet Broker tuo lisämausteen tallennukseen ja arkistointiin antamalla mahdollisuuden valita mitä tallennetaan. Tallennukseen voi valita, vaikka osoitteen tai protokollan mukaan, vain halutun datan. Paketeista voi leikata turhan osuuden pois ja näin maskata sensitiivisiä tietoja ja välttää turhan datan tallennusta. Tallennuskuormaa voidaan jakaa useaan porttiin, joten tallennuslaitteet eivät muodostu pullonkaulaksi. Alkuperäisestä liikenteestä voidaan tehdä myös kopioita useammalle tallentimelle. Mikä hienointa, tallennus voidaan tehdä dynaamiseksi ja käynnistää tarpeen mukaan esim. tietoturvauhkan tai -loukkauksen tai muun tapahtuman yhteydessä. Näin saadaan paljon helpotusta jälkiselvittelyihin.

Tilannekuvan muodostaminen

Monitorointiverkon konsepti auttaa ympäristön toiminnan kokonaiskuvan eli tilannekuvan muodostamisessa. Tietoa voidaan kerätä monista lähteistä ja yhdistellä helposti yhteen paikkaan nähtäväksi. Tietoa voidaan käsitellä sopivaan muotoon ja erilaisiin tarpeisiin. Analysointityökalut voidaan keskittää tai hajauttaa mielen mukaan. Lisänä saadaan monia muita mahdollisuuksia tiedon käsittelyyn ja valvontapalveluiden tuottamiseen.

Näkyvyys on valttikortti

Kaikki tieto ja näkyvyys on entistä tärkeämpää ja edellytys ympäristön hallitsemiseksi. Ulkoistus ja palveluiden ostaminen korostavat asian tärkeyttä kun kaikki ei ole enää omissa käsissä. Pilvessäkin asiakas vastaa omasta ympäristöstään ja sen sisältämästä tiedosta. Näkeminen sisälle omaan ympäristöön, oli se sitten millä alustalla ja kenen tahansa ylläpidossa, tarjoaa mahdollisuuden hallita palvelua ja palveluntarjoajaa. Toimiva ympäristö saadaan aikaiseksi vain ottamalla palveluiden hallinta jämäkästi omiin käsiin. Siinä monitorointityökalut ovat tärkeä apu.

Peräänkuulutan myös palveluntarjoajien kykyä tarjota asiakkaalle riittävä näkyvyys omaan ympäristöönsä ja sen suorituskykyyn. Läpinäkyvyys on varmasti yksi valttikortti kilpailussa asiakkaista. Näkyvyys palveluna voisi olla myös yksi uusi palvelu, jolle on yhä enemmän tarvetta.

Seuraavassa kirjoituksessa esittelen vielä joitakin monitorointiverkon käyttökohteita enemmän konkreettisin esimerkein.

Voit lukea kaikki Monitorointiverkko-sarjan osat tästä:

  1. Mikä on monitorointiverkko ja mihin sitä tarvitaan?
  2. Verkkoliikenteen näkyvyys tarkasti ja luotettavasti TAP:n avulla
  3. Network Packet Broker – Monitorointiliikenne tehokkaasti työkaluille
  4. Monitorointiverkon työkalut – Mitä kaikkea verkosta kerätyllä liikenteellä voi tehdä ja miksi?
  5. Monitorointiverkon käyttökohteita

Antti Leimio

 

Olen helsinkiläinen tietoliikenneinsinööri, jolla on pitkä kokemus tietoliikenteestä palveluntarjoajan verkoissa. Olen rakentanut tietoliikenneratkaisuja erilaisille palveluille ja sovittanut palveluita verkon päälle. Erikoisosaamistani ovat MPLS-tekniikka ja -palvelut, konesaliverkot, internet, sekä IP multicast ja audio/videopalvelut.

 

Vapaa-ajalla tykkään puuhailla jotain konkreettista, kotoilla ja matkailla. Harrastan rintamamiestaloelämää lähiössä vaimon ja kolmen tyttären kanssa. Yritän seurata alaa ja jakaa ideoita ja näkemyksiä: Teknisempää ja viihteellisempää asiaa Twitterissä ja yleisempää LinkedInissä.