Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Monitorointiverkon käyttökohteita

7. kesäkuuta 2018

Monitorointiverkon käyttökohteet

Edellisessä kirjoituksessa esiteltiin erilaisia käyttömahdollisuuksia monitorointiliikenteelle. Tässä osassa kerrotaan lisää monitorointiverkon monikäyttöisyydestä ja väläytellään erilaisia ideoita käyttökohteista ja -ympäristöistä.

Monitorointiverkko on askel kohti SDN-maailmaa, jossa palveluita tuotetaan dynaamisesti, tapahtumia havaitaan ja niihin reagoidaan automaattisesti. Käyttötapoja on erilaisia ja käytön laajuus voi vaihdella. Joka tapauksessa automatisointia tarvitaan, ja monitorointi ja analysointi ovat siinä avainasemassa. Erityisesti tietoturvan alueella pitää pystyä muuttamaan toimintaa ja reagointia enemmän jatkuvaksi ja mukautuvaksi. Automatisointi on ainoa tapa, jolla pystytään vastaamaan edes jollain tavalla jatkuviin ja tuntemattomiin uhkiin.

Näkyvyys joka paikkaan – "Tap every rack"

Monitorointiverkon käyttökohteet: Kattava näkyvyys
Image: www.bigswitch.com

Näkyvyyden peruskonsepti muodostuu koko ympäristön kattavasta skaalautuvasta monitorointialustasta. Kuvassa esimerkkinä on konesali, jossa jokaisen palvelimen portista otetaan liikenne valvontaan TAP:n tai kytkimen SPAN-portin kautta. Liikenne keskitetään hierarkisen Packet Broker -verkon avulla yhteen pisteeseen, johon on koottu keskitetty työkalufarmi valvontaa ja analysointia varten. Yhdestä pisteestä voidaan siis valita mikä tahansa yksittäinen verkon piste tarkasteluun. Monitorointiin voidaan valita myös tietty osa laitteista tai vaikka kaikki kerralla ja suodattaa esiin vain haluttu osoite tai protokolla.

Monitoroitava kokonaisuus ei rajoitu konesaliin, vaan se laajenee tarpeen mukaan lähiverkkoon, campukselle, WANiin, etätoimipisteisiin, pilveen, mihin vaan. Kerättyä liikennettä voidaan käyttää joustavasti valvontaan ja näkyvyyteen, ongelmanselvitykseen, tiedon keräämiseen ja tallentamiseen, tietoturvaan, jne.

Näkyvyys ja työkalut pilveen - Virtualisoitu monitorointi

Monitorointiverkon käyttökohteet: Näkyvyys pilveen, virtualisoitu monitorointi
Image: www.netscout.com

Palvelut menevät pilveen ja niin menevät myös monitorointiverkot. TAP:n ja Packet Brokerin saa virtuaaliversiona, jotka voi asentaa yleisimpiin julkisiin pilviin tai omaan hypervisoriin. Näin päästään pilven sisälle näkemään mitä siellä oikeasti tapahtuu ja voidaan hyödyntää myös pilvisovelluksia tiedon käsittelyyn. Virtualisoidun monitoroinnin hyöty on sen dynaamisuus: palvelu voidaan käynnistää tarpeen mukaan ja sitä voi muokata ohjelmallisesti. Näin voidaan tuottaa näkyvyys palveluna -ratkaisuja yrityksen sisällä tai palveluntarjoajana asiakkaille. Esim. ongelmatilanteessa voidaan napin painalluksella käynnistää liikenteen seuranta ja tallennus, mikä helpottaa tapauksen käsittelyä jälkeenpäin.

Näkyvyyttä mustiin laatikoihin - ICS/SCADA valvonta

Monitotrointiverkon käyttökohteet: ICS/SCADA valvonta
Image: NSM 101 for ICS

Teollisuusautomaation ohjaus ja hallintaympäristö (ICS/SCADA) on perinteisesti ollut musta laatikko, johon ei ole ollut kunnollista näkyvyyttä ja valvontaa. OT-ympäristöt (Operation Technology) ovat erittäin kriittinen osa yhteiskunnan infrastruktuuria, siksi ne tulisi ehdottomasti olla jatkuvassa valvonnassa. ICS- ja SCADA-osuuksien liikennettä suositellaan valvottavan kuvan mukaan jokaisesta segmentistä sinisten pallojen kohdata. Modernien IT-valvontajärjestelmien tuominen OT-maailmaan ei ole ollut mahdollista, mutta TAP:ien ja monitorointiverkon avulla saadaan liikenne passiivisesti kerättyä sivuun tuotannon ulkopuolelle. Sen jälkeen valvontaan voidaan hyödyntää monipuolisesti moderneja IT-työkaluja. ICS-liikenteen valvontaan on myös omia tuotteita, jotka ymmärtävät järjestelmien viestejä ja osaavat valvoa niiden poikkeamia.

Monessa ympäristössä myös järjestelmätoimittajat toimittavat valmiita kokonaisratkaisuja, joita pitää kytkeä organisaation verkkoon. Näiden mustien laatikoiden sisälle tai rajapintojen toimintaan tarvitaan usein "oikeaa" näkyvyyttä ja tietoa toiminnasta, jota toimittaja ei itse tarjoa. Monitorointiverkon avulla päästään kiinni näiden järjestelmien toimintaan.

Automatisoitua ja dynaamista tietoturvaa - Inline security

Monitorointiverkon käyttökohteet: Inline tietoturva
Image: www.bigswitch.com

Ohjelmoitava Packet Broker on mainio laite tekemään liikenteenohjausta. Broker-kytkin voidaan laittaa aktiivisesti linjalle ohjaamaan haluttu liikenne tietoturvalaitteille tarkistuksiin. Ohjaussäännöt voivat olla hyvin hienojakoisia ja dynaamisesti ohjelmoitavia. Ohjelmointi voi tapahtua koneellisesti rajapintojen kautta tai sääntöjä voidaan muokata käsin graafisen käyttöliittymän kautta. Tietoturvaominaisuuksia voidaan laittaa päälle juuri kulloisenkin tarpeen mukaan. Monitorointia voidaan yhdistää ohjauspäätösten pohjaksi, jolloin valvontatyökalut havaitsevat liikenteestä poikkeamia ja ohjaavat niiden perusteella liikennettä tai esim. käynnistävät tallennuksen. Tietoturva saadaan automatisoitua ja vastaamaan riskiperustaisesti kulloistakin tilannetta.

Itseohjautuva verkko

Monitorointiverkon käyttökohteet: itseohjautuva verkko
Image: www.garlandtechnology.com

Kuten edellä automatisoidussa tietoturvassa, sama voidaan tehdä koko verkon toiminnalle. Viime aikoina on paljon puhuttu itseohjautuvasta verkosta (Self Driving Network), jossa verkon operointi on automatisoitu ja verkko ohjaa itse itseään. Monitorointiverkko liittyy osaksi tätä konseptia niin, että sen kautta saadaan tuotantoverkosta kerättyä ja jalostettua monimuotoista ja kattavaa valvontatietoa. Tietoa analysoidaan ja siitä tehdään päätelmiä. Jos jotain poikkeamia tai korjattavaa huomataan, tehdään ohjauspäätöksiä, jotka pusketaan takaisin SDN-ohjattuun tuotantoverkkoon. Verkko ohjelmoi itsensä haluttuun tilaan ja näin suljettua luuppia hyödyntäen verkko ohjaa itseään.

Yhteenveto

Tieto on entistä tärkeämpää kaikelle toiminnalle. Perustaso ei enää riitä pitkälle, vaan tarvitaan riittävän syvällistä ja kattavaa tietoa, josta oikeasti voi saada jotain merkityksellistä irti. Monitorointiverkko tarjoaa monipuolisen alustan eri käyttötarkoituksiin ja antaa paljon mahdollisuuksia eri toimintojen toteuttamiseen. Aloita siis tiedon kerääminen ja näkyvyyden tuominen ympäristöön nyt.

  • Investoi tiedon keräämiseen, se maksaa takaisin myöhemmin monessa muodossa.
  • Rakenna monitorointi-infraa (TAP, Packet Broker) pala kerallaan. Aloita kevyesti, laajenna myöhemmin.
  • Tuo sopivia valvontatyökaluja mukaan. Hyödynnä monitorointi-infra.
  • Ota tietoa käsittelyyn helposti ja nopeasti.
  • Jalosta tietoa ja hyödynnä se.
  • Hallitse omaa ympäristöä ja palveluita näkyvyyden avulla!

 

Tähän päättyy viisiosainen sarja monitorointiverkoista. Voit lukea kaikki osat tästä:

  1. Mikä on monitorointiverkko ja mihin sitä tarvitaan?
  2. Verkkoliikenteen näkyvyys tarkasti ja luotettavasti TAP:n avulla
  3. Network Packet Broker – Monitorointiliikenne tehokkaasti työkaluille
  4. Monitorointiverkon työkalut – Mitä kaikkea verkosta kerätyllä liikenteellä voi tehdä ja miksi?
  5. Monitorointiverkon käyttökohteita

Antti Leimio

 

Olen helsinkiläinen tietoliikenneinsinööri, jolla on pitkä kokemus tietoliikenteestä palveluntarjoajan verkoissa. Olen rakentanut tietoliikenneratkaisuja erilaisille palveluille ja sovittanut palveluita verkon päälle. Erikoisosaamistani ovat MPLS-tekniikka ja -palvelut, konesaliverkot, internet, sekä IP multicast ja audio/videopalvelut.

 

Vapaa-ajalla tykkään puuhailla jotain konkreettista, kotoilla ja matkailla. Harrastan rintamamiestaloelämää lähiössä vaimon ja kolmen tyttären kanssa. Yritän seurata alaa ja jakaa ideoita ja näkemyksiä: Teknisempää ja viihteellisempää asiaa Twitterissä ja yleisempää LinkedInissä.