Operaattorit ja 5G
Telia teki diilin Nokian kanssa 5G-verkosta ja se näkyy ja kuuluu mainoksissa, joissa puffataan ainoata “kotimaista ja turvallista” verkkoa. Toimitusjohtaja varoittaa riskeistä ja lupaa ainoana operaattorina suomalaisille “suomalaisen 5G-verkon“. Telialla on ollut kova vuosi ja se on nyt asettanut uudet tavoitteet kestävälle pohjalle. Tarkoitus on keksiä uudelleen verkottunut elämäntyyli, säästää kustannuksissa ja hyödyntää infraa. Tämähän on jo tuttua tekstiä kaikilta operaattoreilta. Jotain konkreettistakin: Telia julkaisi globaalin IoT-palvelun ja ilmoitti sulkevansa 3G-verkon 2023 loppuun mennessä. Näissä verkon sulkemisissa on monesti lipsuttu tai ehkä tavoite on asetettu liian kunnianhimoiseksi. Esim. Verizon lykkäsi alun perin 2019 vuodelle ilmoitettua 3G:n sulkemista 2023 loppuun.
Ruotsissa tuli viime vuoden huhtikuussa voimaan operaattoreiden “NAT-sääntö”, jossa natin takana olevat käyttäjät pitää tunnistaa muustakin kuin IP-osoitteesta. Telia ei ole vuodessa onnistunut toteuttamaan tiedon keräystä ja sitä uhkaa nyt 10M kruunun sakko.
5G:n yksityisverkoista yrityksille on riittänyt puhetta. Kotimaassa Telia, Digita ja Nokia aloittavat yhteistyön, ja Nokia ja Elisa yhdistävät voimansa ja promotakseen privaattiverkkoja yrityksille. DNA:lla yksityisverkko on tulevaisuuden voittava ratkaisu. Myös Nokian Lundmark uskoo, että yritysverkot ohittavat julkisen 5G:n seuraavan kymmenen vuoden aikana ja Ericssonin Ekholm sanoo yrityssovellusten luovan eriten arvoa 5G:ssä. Tarjoapuoli näkee nyt vahvan momentumin, mutta Omdian tutkimuksen mukaan isot yritykset eivät ole kiinnostuneita operaattoreiden tyrkytyksestä. Päinvastoin pienet ja keskisuuret yritykset olisivat innostuneempia, mutta operaattorit eivät halua heitä asiakkaikseen.
5G:n bisnesmalli huokuukin tällä hetkellä enemmän symboliikkaa kuin kestävällä pohjalla olevaa liiketoimintaa. Käytettävät taajuudet seuraavat fysiikan lakeja ja taajuuksilla on hintansa huutokaupan lisäksi myös laitemäärissä ja -paikoissa. Tilanne pahenee kun mennään mm-aaltoihin ja 5G New Radio -standardiin erittäin korkeilla taajuuksilla. Mm-aallot ovat hyvin tehottomia ja ne ovat alttiita sään häiriöille, joten teho pitää suunnata erittäin tarkkaan kohti päätelaitetta. Sovelluksia on laidasta laitaan ja tarpeet ovat hyvin erilaisia. Voikin olla, että eri radiotekniikat ja taajuudet eriytyvät eri sovellusten käyttöön. Joka tapauksessa 5G yleistyy kun käyttö siirtyy pikkuhiljaa uuteen verkkoon ja uudet sovellukset ja käyttökohteet löytävät paikkansa. Siinä vaan menee aikaa.
6G:n kehitystä aloitellaan yrityksissä. Yksi mullistava uudistus saattaa olla datan siirrossa, jossa ei enää ole järkeä siirtää kasvavaa datamassaa edes takaisin ja kasvattaa jatkuvasti tiedonsiirron nopeutta. Jatkossa saatetaan siirtää vain datan malli ja muutokset, ja raaka data pysyy laitteessa. Samalla ratkaistaan yksityisyys- ja tietoturvaongelmia. Silicon Valleyn Pied Piper oli edellä aikaansa.
5G-broadcasting on saanut ETSI:n standardin. Sen avulla 5G-verkossa voitaisiin lähettää broadcast-jakeluna lineaarista TV- ja radio-ohjelmaa. Ominaisuus oli tuotavissa jo 4G-verkkoon eMBMS:llä. Yhdistyvässä jakelutiessä IP:n päällä mobiiliverkossa on hyötyä, koska erillisen antenni-tv-lähetysverkon ylläpito on kallista. Suomessa Yle on lobbannut kaukonäköisesti mobiiliverkon jakelua viimeiset 10 vuotta säästääksen päällekkäisissä jakelukuluissa.
Virve 2.0 on edennyt niin, että bitti kulkee Elisan radioverkon ja Ericssonin coren välillä. Siirtyminen uuteen verkkoon olisi mahdollista suunnitellusti 2023-2025. Tässä pieni katsaus viranomaisverkon historiaan. Ruotsissa ollaan hieman jäljessä, mutta samoissa aikeissa suunnittelemassa heidän Rakel-verkon uudistamista. Erona Suomeen on, että viranomaiskäyttöön tulisi omat taajuudet ja oma organisaatio. Teknisesti Ruotsissa on paljon kunnianhimoisemmat suunnitelmat esim. varavoiman riittävyydessä 7 päiväksi, Suomen nykyisen kolmen tunnin sijaan.
Briteissä verkkoja yritetään turvata ystävällisillä kehotuksilla olla tuhoamatta laitekaappeja.
IoT-verkoissa Lorawanin kilpailija ranskalainen Sigfox on liittoutunut Googlen kanssa tarjotakseen 0G-verkon palveluita tehokkaammin. 2010 perustettu Sigfox on ollut myllerryksessä kun tavoitellut miljardi kytkettyä laitetta ei olekaan toteutunut, vaan verkkoon on saatu vain 17 miljoonaa laitetta. Yleisestikään IoT ei ole toteutunut odotetusti. Sigfox seuraa operaattorien parantumisohjelmaa: itsensä keksiminen uudelleen, infran myyminen ja kustannussäästöt ovat tulossa. Odotukset asetetaan realistisiksi ja paremmin jalostettuja palveluista pyritään tarjoamaan Googlen kanssa.
Pilvi
Hyvä yleiskuva AWS-tietoliikenteestä, parhaat käytännöt ja optimointivinkit. Mitä näitä nyt onkaan: Region, Availability Zone, vPC, shared VPC, Direct Connect, Private Link, Transit GW, VPN, SD-WAN, Gateway Load Balancer, Firewall, Private Virtual Interface, Placement Groups, Flow Logs, Cloudfront… Tiesitkö, että esim. reitityksessä on kovia rajoja, joita ei voi ylittää. Yllättävää miten pieniä ne ovat joissakin tapauksissa. Jatka menoa ja älä lopeta uusien palveluiden julkaisemista AWS!
Muita yleisesityksiä ja vertailua julkisten pilvien tietoliikenteestä Ivan Pepelnjakilta: AWS Networking 101, Azure Networking 101, Availability Zones and Regions in AWS, Azure and GCP, Virtual Networks and Subnets in AWS, Azure, and GCP.
AWS Direct Connectia saa nyt 100Gbps-nopeudella 14 kohteessa ympäri maailman, lähinnä Aasiassa ja USA:ssa. Saatavuus perustunee kysyntään. Pelkän yksityisportin tuntihinta on 22,50$, mikä tekee 16200$ kuukaudessa. Aika mehevä hinta jos porttihintaa vertaa esim. yhdysliikennepisteisiin. Ficixin 100G-portti maksaa mitättömät 445€/kk eli saman kuin 10G. Tukholman Nednodin kautta saa yhteydet kaikkiin julkisiin pilviin ja siellä 100G-portti maksaa 3360€/kk, 400G-portti 7500€/kk. 100G IP-transit voisi maksaa alle 10000€/kk. Mutta turha näitä on spekuloida, se joka tarvitsee, maksaa kiltisti tai neuvottelee paremman hinnan.
Julkista pilveä on pidetty malliesimerkkinä reititetystä IP-ympäristöstä, johon siltauksella ei ole asiaa. Nyt kuitenkin Oracle vesittää periaatteet ja tuo L2-tuen OCI-pilveen. Ominaisuus lienee räätälöity Vmware-ympäristöön. Onko tässä kyse asiakkaiden haalimisesta sisään mahdollisimman helpoin keinoin, ettei pilvisiirtymässä tarvitsisi muuttaa mitään olemassa olevaa? Aika huono idea pidemmän päälle.
Mysocket.io on ilmainen avoimen koodin pilvipalvelu, jolla voi julkaista omat sisäverkon palvelut internettiin. Palvelu sisältää hienoja ominaisuuksia kuten anycast-verkko, kuormanjako ja zero trust-mallinen identiteettiin perustuva pääsy.
Kyberturvallisuus
Solarwinds-tapauksen osapuolia on kuultu USA:n senaatissa. Toisten syyttely on ollut tapa hoitaa asiaa. Solarwinds kertoi, että harjoittelija oli laittanut heikon salasanan Github-repoon. Microsoft sanoi, että tähän murtautumiseen tarvittiin vähintään 1000 taitavaa insinööriä ja vika ei ollut Microsoftin ohjelmissa vaan asiakkaan puolella. Crowdstrike syytti Microsoftia sen monimutkaisesta ja antiikkisesta arkkitehtuurista. Myös AWS yritettiin vetää juttuun mukaan, koska sen pyörittämiä palvelimia käytettiin hyökkäyksessä. AWS kieltäytyi osallistumasta.
Tapaus rönsyilee villisti ja kaikki mahdolliset asiat voidaan yhdistää siihen. Solarwindsin ohjelmista on edelleen löydetty uusia vakavia haavoittuvuuksia, venäläisten lisäksi myös kiinalaiset olisivat vakoilleet USA:n palkkatoimistoa, hakkerit olisivat olleet kiinnostuneita luokittelemattomasta tiedosta O365-ympäristössä ja 30% kohteena olevista yksityisyrityksistä ei olisi edes käyttänyt Solarwindsiä, vaan niihin olisi käytetty muita keinoja. Microsoft kertoi, että siltä on varastattu Azuren, Intunen ja Exchangen lähdekoodia. Extrahop väläytti miten sen EDR-tuote havaitsi epäilyttävän toiminnan kasvun, vaikka hakkerit loivat omia palomuurisääntöjä ja liikkuivat sivuttaissuunnassa yrittäen peittää jälkensä.
Ranskalaisen IT-valvontatuotteen Centreonin väitetään joutuneen pitkäkestoisen venäläishyökkäyksen kohteeksi ohjelmasta löytyneen takaportin kautta. Kohteena ovat olleet ranskalaiset yritykset ja muitakin isoja firmoja. Centreon on korostanut, että tämä ei ole hyökkäys toimitusketjuun, se on kohdistunut vain ohjelman jo vanhentuneeseen open source -versioon ja kaupalliset asiakkaat eivät ole vaarantuneet.
RIPE NCC Access SSO-palvelu joutui brute-force -iskun kohteeksi. Palveluun tuli katkoa, mutta käyttäjätietoa ei vaarantunut. Käyttäjiä pyydetään ottamaan käyttöön kaksivaiheinen tunnistautuminen. Käytännön koe julkisesta palvelimesta, jossa oli salasanallinen SSH-kirjautuminen, osoitti, että murtautujalta meni noin neljä tuntia helpon tunnuksen ja salasanan murtamiseen. Siksi on tärkeää, että julkisen verkon palvelimiin kirjaudutaan vain SSH-avaimilla tai pääsy rajataan omiin IP-osoitteisiin. Root login pitäisi poistaa päältä aina ja käyttää sudoa suoritusoikeuksien kohottamiseksi.
Haavoittuvuuksia on löytynyt Fortinetin Fortiweb-sovelluspalomuurista versioista 6.2 ja 6.3. Sonicwallin verkkolaisiin hyökätään aktiivisesti käyttäen uutta nollpäivähaavoittuvuutta. Microsoftin TCP/IP-toteutuksessa oli kaksi kriittistä komentojen suoritus -haavoittuvuutta. Python-versioissa 3.x-3.9.1 tyypillinen puskuriylivuotohaavoittuvuus ei ollut niin kriittinen, mutta päivitykset suositellaan versioihin 3.8.8 tai 3.9.2.
Cisco ACI Multi-site Orchestratorissa on ja NX-OS:ssä on löydetty haavoittuvuudet, jossa hyökkääjä voi ohittaa autentikoinnin. JavaScriptissa havaittiin NAT slipstream -haavoittuvuus, jossa natin takana olevalle koneelle avautuukin ulkopuolelta mikä tahansa TCP/UDP-portti. Plex Media Serveriä käytetään DDoS-hyökkäyksiin. Vahvistuskerroin sen SSDP-palvelulla on 5. Uusi Linux-haittaohjelma varastaa SSH-tunnuksia troijalaisen OpenSSH-ohjelman avulla. Se on keskittynyt superkoneisiin ja akateemisen maailman palvelimiin.
Floridan vesilaitoishakkerointi säikäytti koko maailman. Teamviewerillä sisään tullut hyökkääjä sääti veden lipeätasoa, mutta vesilaitoksen operaattorit huomasivat toimet näytöltä ja puuttuivat asiaan. Tunkeutuja käytti luultavasti hyväksi heikkoa salasanaa ja vanhentuneita koneita. Tässä nähtiin miten ihmisen nopea havainnointi ja vaste pelastivat ongelmilta. Automaattinen vaste olisi reagoinut vieläkin nopeammin ja varmemmin. Tosin voi myös kysyä miksi yleensäkään lisäaineiden tasoa voi säätää yli sallitun rajan. Teamviewer on yksi pahimmista riskeistä ja sen ei pitäisi kuulua tuotantolaitoisten työkaluvalikoimaan. Etähallinnan alku ulottuu jo muinaisiin mainframe-koneisin, mutta lähti leviämään työpöydän etähallinnasta 1980-luvun puolivälissä DOS-pohjaisella Carbon Copy -ohjelmalla.
IBM haluaa tukea oppilaitoksia kyberturvallisuuden kehittämisessä. Kouluissa ongelmana on pitkä kesäloma, jolloin koneet ovat kiinni ja päivityksiä ei tehdä. Syksyllä kun kausi käynnistyy, valtava määrä päivittämättömiä koneita ilmestyy verkkoon ja sovellusten käyttö alkaa täysillä. Malli, jossa koneet pitää päivittää sisäverkossa, on vanhentunut ja riskialtis.
IoT-laitteiden monimuotoisuus, pitkä elinikä ja määrä on tehnyt niistä verkkoon kytkettyä jätettä, josta kukaan ei huolehdi. Jos laitteet kerran toimivat, miksi kukaan jaksaisi päivittää ja ylläpitää kaikkia niitä, jos nyt uusia päivityksiä edes julkaistaisiin? Jos emme osaa huolehtia pienemmästä tietokoneverkosta, miten voisimme hallita kokonaista digitaalista infrastruktuuria laitteista sovelluksiin. USA:n kongressi yrittää luoda edes minimivaatimukset myynnin jälkeiselle tuelle, jolla pakotettaisiin valmistajat ottamaan enemmän vastuuta pelkän laitteiden ulostyöntämisen sijaan.
NCSC:llä on painavaa asiaa haittaohjelman uhriksi joutumisesta. Kiristyshaittaohjelma on näkyvä oire vakavammasta tunkeutumisesta yrityksen sisälle. Siksi oireiden hoito eri riitä, vaan syy pitää löytää ja korjata. Esimerkki kertoo yrityksestä, joka maksoi miljoonien kiristyslunnaat, mutta ei tehnyt muuta. Yritys sai datansa takaisin, kunnes parin viikon päästä ilmaantuikin uusi kiristyshaittaohjelma. Yritykselle ei jäänyt muuta mahdollisuutta kuin maksaa lunnaat uudestaan.
Yritysten kyberturvallisuuden tasoa on tutkittu ja havaittu, että todellisuus pinnan alla on aika karu. Ne jotka sanovat turvallisuuden olevan tärkeää, yleensä toimivat paremmin myös käytännössä. Isot yritykset suoriutuvat paremmin, vaikka niissäkin on perusasioissa puutteita. Kyberturvallisuusbudjetit ovat todella vaikeita perustella, koska niillä ei ole suoraa takaisinmaksua. Lisäksi kovat tulostavoitteet ja turhautuminen saattavat kasvattaa riskikäyttäytymistä. Yrityksillä on tapana ulkoistaa riskiä kolmansille osapuolille ja keskittyä itse tärkeämpiin asioihin. Kybervakuutus voi tuntua hyvältä vaihtoehdolta, mutta se ei yleensä kata myynnin ja maineen menetystä tai heikon kohdan korjauskuluja.
Kyberturvallisuuskeskus on julkaissut yhteistyössä yritysten kanssa skenaarioita kyberharjoituksiin.
Tuotteet
Perinteinen WAF eli sovelluspalomuuri ei kerta kaikkiaan pysy mukana sovellusten muutosvauhdissa pilvinatiivissa maailmassa. Sen ylläpito luo valtavan määrän työtä, jossa koneoppiminenkaan ei auta. Siksi WAF on käytännössä vain perustasolla käytössä, jolloin se ei juurikaan suojaa. Checkpoint ja Paloalto siirtyvät pilvinatiiviin sovellussuojaukseen uusilla tuotteillaan. Paloalton Prisma Cloud väittää sisältävänsä alan parhaat WAF-ominaisuudet. Se perustuu erilaisiin pilvinatiiveihin funktioihin, joilla taklataan pilvipalveluiden dynaamisuus. Lisäksi WAF:iin on integroitu muita toimintoja kuten. IAM ja DLP, joten palvelu lähestyy ehkä enemmän zero trust -mallia. Tai oliko sitten WAF ensimmäinen askel zero trust -mallia kohti.
Mitä sitten oikeastaan on zero trust? Kyse on vähimmän oikeuden periaatteesta, identiteetistä ja segmentoinnista. NSA julkaisi lyhyen ytimekkään dokumentin asiasta.
Arista siirtyi aiemman Awake-yritysoston myötä vahvasti mukaan tietoturvapuolelle ja tarjoaa nyt myös zero trust -mallia. Aristan mallissa toiminnot ovat ryhmäkohtainen segmentointi, tilanneäly, näkyvyys verkkoon ja tekoälyavusteinen havainnointi ja vaste. Toiminnot keskittyvät verkkoinfraan ja sen orkestrointiin.
Cisco laajensi AppDynamicsin toimintoja haavoittuvuuksienhallintaan. Secure Application -toiminto yhdistää sovellusvalvonnan ja tietoturvanäkymän yhteen työkaluun.
Juniper yhdistää operaattoripuolen WAN-hallintatuotteitaan Paragon Automation -sateenvarjon alle. Se jatkaa sekavaa nimeämistä ja tuotepositiointia, joka on ollut vallalla Contrail-tuotteissa. Paragon sisältää vanhat Northstarin ja Contrail Healthbotin jälleen kerran uudelleennimettyinä, sekä uudet Netroundsiin perustuvan valvontaosuuten ja Anuta ATOM -konfiguraatiohallinnan. Tarkoitus on hyvä eli parantaa operaattorien yleensä niin surkeaa asiakaskokemusta.
Yrityspuolella Mist on parasta mitä alalla on tapahtunut pitkään aikaan. Juniperilla on nyt selkeä strategia ja hyvä alusta, jonka päälle rakentaa. Ja vauhtia on pidetty tuotteiden integroimisessa. 128 Technologyn yritysostosta on puolisen vuotta ja kaupan vahvistamisesta vasta kaksi kuukautta, ja teknologiaa on jo integroitu Mistin hallinta- ja tekoälyalustaan. 128T on SD-WAN:n uusin malli, jossa sovellusliikennettä reititetään istuntojen mukaan ilman perinteisiä IPSec-tunneleita. Tämä on iso askel kohti todellista sovellusreititystä ja verkkoa palveluna -mallia.
Ja SD-WAN:sta ja SASE:Sta onkin riittänyt taas tarinaa. Nykyisen kaltainen SD-WAN on luultavasti vain välivaihe kohti kokonaisvaltaista SASE:n pilvimallia. SD-WAN tuotiin markkinoille korvaamaan MPLS-yhteyksiä, mutta nykypäivänä se tekee paljon muuta yhdistettynä SASE:en. Erään tutkimuksen mukaan monella yrityksellä on SASE:n elementtejä käytössä, mutta kattava SASE-arkkitehtuuri on vain reilulla 10%:lla, mikä ei juurikaan yllätä. Pisimmällä ovat huoltovarmuusalat ja perässä seuraavat laki-, finanssi- ja terveydenhuoltoalat. IT-osastot vetävät käyttöönottoa selvästi enemmän kuin tietoturvaosasto. Hypestä huolimatta zero trust ja reunan sisällön suodatus ovat vähiten käytettyjä ominaisuuksia. Pilven käyttöaste tuntuu rajoittavan käyttöönottovauhtia.
Toimiston reunalla fyysiset laitteet säilyvät toistaiseksi, mutta pelkkä softa saa yhä enemmän sijaa ratkaisuissa. Cato on yksi softalla reitittäjistä ja tehnyt hurjan nousun yksisarvisarviseksi. Tietoturvaominaisuudet alkavat nousta verkkoa tärkeämmäksi SD-WAN/SASE-ratkaisuissa. Kentälle tulee aivan uusia toimijoita ja esim. pilvifirmat ottavat jalansijaa. Tutkimuksen mukaan perinteiset valmistajat Zscaler, HPE, Cisco, Fortinet, ja Versa ovat kuitenkin kärjessä. Fortinet luottaa yli kaiken omaan rautaansa, vaikka tuokin SASE-pilvipalvelut valikoimaansa. Mutta sillä taktiikalla Fortinet jää pitkällä tähtäimellä rautansa kanssa oman pienenevän genrensä vangiksi.
SD-WAN/SASE:n käyttökohteet laajentuvat IoT-maailmaan ja tuotantoon. SD-WAN -palveluna kelpaisi käyttäjille jos vaan palveluntarjoajat ottaisivat roolia. MEF3.0 standardi on määrittänyt SD-WAN -overlay-palvelun helpottamaan palveluiden rakentamista ja yhteenliittämistä. Sertifioituneita palveluntarjoajiakin löytyy, mm. Telia.
Paloalto ostaa Bridgecrewn ja siirtää sovelluskehityksessä tietoturvaa vasemmalle. Bridgecrewn tuote leivotaan Prisma Cloudin mukaan tuomaan turvallisuus osaksi sovellusten kehitystä ja koko sovellusten elinkaarta. Paloalto matkaa kohti pilvinatiivia maailmaa suunnannäyttäjänä kuten F5.
Pilvikäyttö muuttaa palomuurilisensointia tilausmalliseksi. Käyttäjä voi käyttää muureja vapaammin ja maksaa vain käytöstä. Osa tästä hyötyy, toiset maksavat enemmän kuin ennen. Käytön arviointi on vaikeaa, tai ainakin yhtä ennakoitua tai ennakoimatonta kuin pilvipalveluissa yleensäkin.
Yritykset
Meillä Traficomin sulautuminen yhdeksi organisaatioksi aiheuttaa kitkaa ja jopa pelkoa työntekijöissä, kun sinne siirtynyt Viestintävirasta koetaan jyrääväksi. Pääjohtaja Karlamaa saa kovaa arvostelua tempoilevasta ja autoritäärisestä johtamisesta sekä laiminlyönneistä.
Ciscon tulos pysyi vakaana ja ylitti odotukset. Tietoturva ja palvelut vetivät tulosta ylös. Vertailun vuoksi Ciscon myynti ja tulos olivat suunnilleen samat kuin AWS:n. Ciscon tulos on ollut pitkällä aikavälillä uskomattoman tasainen kaikista puheista ja pienistä notkahduksista huolimatta. Cisco osallistuu laajemminkin yhteiskunnan kehitykseen ja Japanissa yhteistyötä tehdään hallituksen kanssa maan digitalisoimiseksi.
Huaweillakin on mennyt kivasti ongelmista huolimatta. Laajakaistatuotteiden tuotoissa sillä on ollut 40% markkinaosuus ja Huawei näkyy vahvana muissakin tuoteryhmissä, kuten siirtolaitteissa ja konesalissa. KPN esim. on mennyt vastavirtaan ja valinnut Huawein Ericssonin sijaan. DT on ottanut Huawein pilvikumppanikseen laitteiden osalta ja pitänyt operoinnin omissa käsissään. Huawei itse on laajentanut ennestään kattavaa portfoliota sähköautoihin.
Aristalla oli vaikea vuosi pilvijättien kanssa, mutta nyt tulos oli hyvä. Arista jatkaa tuoterepertuaarin laajentamista ja hallinnan yhdistämistä, ja uskoo tuttuun konesali-reititys-campus -kolmioon. Vertailun vuoksi Aristan markkina-arvo on suunnilleen sama kuin Ubiquitin. Paloalton tuloksesta vastasi Prisma Access SASE-tuote, jota päivitettiin uusilla ominaisuuksilla. Extreme panostaa pilvipalveluihinsa unohtamatta rautaa, ja haluaa laajentaa myös 5G-maailmaan. Extreme toteuttaa MLB:n 16 stadionin wifin.
Mielenkiintoinen yksityiskohta USA:sta on Bank Of America, joka on tehtaillut ennätykselliset 722 patenttihakemusta viime vuonna. Yksi painopistealueista oli verkonhallinta ja liikenteen analysointi.
Kotimaassa TEM:n elinkeinopoliittinen tilannekuva kertoo, että digitalisaatio ja ilmastonmuutos ovat tärkeimmät yhteiskuntaan ja talouteen vaikuttavat tekijät 2020-luvulla. Suomessa on teknistä osaamista, mutta ICT-pääoman hyödyntäminen liiketoiminnassa laahaa perässä. Erityisesti Suomessa työn tuottavuuden kasvu on hidastunut ja ICT-pääoman vaikutuksen hiipumisella on siihen suuri merkitys.
Talvimyrskyn vaikutukset Texasissa näkyivät lähinnä sähkönjakelu ja laajakaistayhteyksien alueellisina katkoina ja kohdistuivat enemmän ihmisiin kuin tekniikkaan. Dallas on tärkeä hubi USA:n eteläosissa ja myös Pohjois- ja Etelä-Amerikan välillä. Alueen isoilla konesalitoimijoilla Digital Realtyllä 15 konesalia ja Equinixilla 9 konesalia olivat kaikki toiminnassa varavoimalla ilman katkoja. Sen sijaan tehtaita jouduttiin sulkemaan ja puolijohdevalmistajat Samsung, NXP ja Infineon laittoivat tuotantolinjat kiinni, mikä vaikeutti entisestään puolijohdepulaa.
Operointi
Ilmainen NSX Network Automation for Dummies -kirja on ladattavissa Vmwarelta.
Nokia on julkaissut DelOps-aloitteen, joka ei tarkoita kaiken poistamista, vaan toimitusta (Delivery and Operations) kuten CI/CD. Tavoitteena on uudistaa ja mullistaa 5G-coren ohjelmistojakelu ja toimintojen hallinta ketteräksi.
Merakin pilvihallinnan konfigurointiin on rakennettu CLI-työkalu. Se sisältää yli 400 komentoa ja helpin, joilla voi käyttää pilvihallintaa API-rajapinnan kautta omalta koneelta CLI-komennoilla. Meraki liittyy näin koodattavien pilvipalveluiden joukkoon.
Pari samanlaista tarinaa hankalista levyongelmista kuvaavat miten työlästä on löytää taustalla ollut ihan oikea fyysisen tason verkko-ongelma. Ongelmanselvityksessä auttaisivat kunnolliset valvontatyökalut, joilla päästään riittävän syvälle yksittäisiin ongelmiin kiinni.
SD-WAN:n käyttöä on tutkittu ja siinä esille on noussut käyttäjien tarve parempiin valvontatyökaluihin. Vaikka alustoissa itsessään on sisäänrakennettuna valvontaominaisuuksia, ne eivät tunnu olevan riittäviä. Käyttäjistä iso osa sanoo tarvitsevansa ulkopuolista lisävalvontaa SD-WAN-ympäristöön. Erityisesti tekniset asiantuntijat kaipaavat parempaa näkyvyyttä ongelmien selvittämiseksi. Ongelmien esittäminen taululla ei riitä, vaan niiden syyt pitäisi myös löytää ja pystyä korjaamaan. Juuri ongelmien ratkaisemiseen tarvitaan ulkopuolisia työkaluja. Työtä vaikeuttaa vielä se, että monet SD-WAN -laitteet eivät tue standardeja valvontarajapintoja.
Prometheus ja Grafana alkavat olla vakiotyökalut valvonnassa, mutta verkonvalvonnassa ne eivät aina ole optimaalisia. Grafanaan on saatavissa Draw.io Flowchart -plugin, jolla voi visualisoita telemetriatiedon lähes reaaliaikaisesti. Rich Tracroute on yksinkertainen traceroute-tiedon rikastus- ja jakopalvelu, jolla saa hieman lisätietoa pelkkien IP-osoitteiden päälle.
Python täytti 30 vuotta ja avoimessa lähdekoodissa hajaudutaan jälleen. Ansible on saanut päätökseen uudelleenjärjestelynsä uuden Community-paketin 3.0-version myötä. Ansible on pilkottu kahteen osaan: Core ja Galaxy Collections muodostavat ydintoiminnot ja Community Package sisältää kaikki modulit ja pluginit. Versionumerointi ei olekaan enää yhdenmukainen, vaan Community collections lähti omalle radalle ja Core-osuus jäi omaan 2.10-versioon. Sekavuutta lisäävät nimenvaihdokset ja versioriippuvuudet. Näitä voi yrittää tulkita Q&A-sivulta tai blogista. Community Collectionista on roadmapilla versio 4.0 jo tämän vuoden toukokuulle.
Network to Code -yritys aiheutti hämminkiä forkkaamalla Netboxin omaksi Nautobot-tuotteekseen, jonka se yllättäen esitteli NFD24-esityksessään. Nautobot on täysin avoin ja ilmainen automaatioalusta, mutta NTC tarjoaa siihen kaupallisen tuen. Syitä tälle valinnalle esitellään blogissa. Netboxin ja NTC:n tiet erosivat, käyttäjät ovat ihmeissään ja taustalla haisee henkilöiden ja intressien välirikko.
Tapahtumia ja tekniikkaa
Viime vuonna ensimmäisinä isoina tapahtumina Koronan takia peruttu massiivinen Mobile World Congress aiotaan järjestää tänä vuonna kesäkuussa Barcelonassa. Paikkoja ja aikoja on vaihdettu päittäin Barcelonan ja Shanghain välillä ja messut pidettiinkin jo Shanghaissa helmikuussa. Järjestäjien usko on Barcelonan tapahtumaan kova, vaikka kitkerää kritiikkiä sataa päälle. Messuvieraita olisi arviolta alle puolet normaalista eli n. 50000. Järjestäjät vaativat osallistujilta negatiivisen testituloksen ennakkoon ja lupaavat kosketuksetonta messuympäristöä. Saa nähdä toteutuuko tapahtuma ja kuinka moni sinne sitten oikeasti osallistuu.
Cisco Live pidetään virtuaalisena maaliskuun lopussa. All-access -passi maksaa 349$ ja ilmaisella Explorer-passilla jää vaille teknisiä Breakout-sessioita ja muita oheisetuja.
NFD24:ssä esiteltiin taas kuuminta verkkotekniikkaa. Mukana olivat Juniper, Anuta, Network to Code, Drivenets, Itential, Forward Networks, EfficientIP ja NetBeez. Esitykset löytyvät NFD-sivulta tai Youtubesta.
FOSDEM-konferenssin agendalla on avoimen koodin -softaan liittyen verkkojuttujakin SDN- ja verkonvalvonta-linjoilla. Linux on verkoissakin tärkeässä roolissa ja on aika valaisevaa miten paljon Linuxilla ja x86-raudalla pystyykään tekemään ja millä tehoilla. Vai miten on esim. 28 Mpps muutamalla corella, mikä tekee noin 14-300Gbps liikennettä, ja kyky ajaa yhtä elefantti-flowta IPSecillä 40Gbps?
NANOG81 tarjoaa taas alan kovimpia esityksiä. Keynotena historiakatsaus reitittimien kehitykseen miten verkkokortista kehityttiin väylään ja kytkimiin. Nykyinen Clos-mallin spine-leaf -fabric on ollut käytössä 50-luvulta lähtien puhelinkeskuksissa, mutta nyttemmin myös yksittäisten verkkolaitteiden sisällä. Laitteista fabric on vain pullahtanut ulos ja hajautunut ei laitteiden väliseksi kokonaisuudeksi. Spine-leaf –fabricit leviävät nyt myös operaattorien runkoverkkoihin. Geoff Huston kertaa konferenssin antia ja antaa oman lisämausteensa esityksiin.
Russ White esittää filosofiseen tapaansa miten tietoturvaa voisi rakentaa järjestelmien sisään. Tavallisesti monimutkaisuutta yritetään hallita ja vähentää modularisoinnilla. Modulaarisuudessa on myös se hyvä puoli, että siinä on rajapintoja, joihin asettaa luontevasti kontrolli- ja tarkastelupisteitä. Toisaalta uusien rajapintojen luominen lisää hyökkäyspinta-alaa ja vähentää optimointia. Monimutkaisuus ja optimoitavuus säilyy melko vakiona ja valinnat ovat tasapainoilua paikallisen tai hajautetun mallin välillä, kuten tuttu sanonta kuuluu: jos et ole vielä löytänyt ompromisseja, et ole etsinyt tarpeeksi.
Verkon automaatiossa yksi totuuden lähde on tärkeä komponentti. Datan keräämiseen, käsittelyyn ja varmistamiseen menee paljon aikaa ja vaivaa, ja pahimmillaan samaa operaatiota toistetaan joka muutoksen yhteydessä. Itse konfiguraation asentaminen on nopea ja suoraviivainen toimenpide, joten automaatiossa pitäisi keskittyä enemmän työnkulun tarkasteluun ja hiomiseen. Samaa turhautumista purkaa David Gee omassa esityksessään.
nPrint on standardoitu pakettitason analyysityökalu, joka muuntaa pakettidatan koneluettavaan muotoon. Se on hyvä työkalu koneoppimiseen ja muuhunkin koneelliseen liikennedatan käsittelyyn.
UKNOF46- videot on julkaistu. Kiehtovan monipolvinen tarina Cloudflarelta, kertoo miten väärin dokumentoidut ip-osoitteet aihettavat operatiivisia ongelmia verkoissa. Cloudflaren DNS-palvelin 1.1.1.1 on varmasti yksi eniten väärää liikennettä saavista palveluista, koska sen julkista osoitetta on konffattu ties minne labroihin ja testeihin. Tässä tapauksessa jonkun tuntemattoman tahon ERSPAN-liikenne reitittyi DNS-palveluun, jossa ihmeteltiin miksi GRE-tunnelin liikenne aiheuttaa CRC-erroreita Ciscon Nexus-kytkimessä, mutta ei Juniperin QFX:ssä. Paljastui, että Nexus tarkastelee paketteja GRE-tunnelin sisällä ja huomaa virheet. Varsinainen ongelma oli kuitenkin Ciscon Nexus 5k -dokumentaatiossa, jossa ERSPAN-esimerkkikonfiguraatiossa tunnelin kohdeosoitteeksi on laitettu 1.1.1.1. Voitte kuvitella kuinka moni maailmassa on kopioinut sen omaan ERSPAN-sessioonsa! Tästä johtopäätöksenä meille kaikille: dokumentaatioon (ja miksei muuhunkin yksityiskäyttöön) on osoitettu omat julkiset IP-osoitealueensa, jotka eivät reitity. RFC3849 IPv6 Address Prefix Reserved for Documentation (2001:DB8::/32) ja RFC5737 IPv4 Address Blocks Reserved for Documentation (192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24). Käyttäkää näitä.
Reitityksessä hyperskaalaajilla alkaa tulla skaalauksen rajat vastaan nykyisellä tekniikalla. IP-fabricin protokollista on kiistelty ennenkin ja BGP on ollut käytännössä standardi, koska kaikkihan sitä käyttävät kaikkeen, niin miksen minäkin. Mutta BGP ei ole helpoin protokolla. IGP:llä on omat vahvuutensa, kuten supernopea konvergenssi ja yksinkertainen konfiguraatio. Toisaalta taas LSA-tiedon levitys on ongelma isommissa verkoissa. BGP:llä puolestaan on etuna liikenteenohjauskyky, mutta isoissa verkoissa privaatti-AS-numerot loppuvat kesken ja konfigurointi on työlästä. Nyt uusi IP-fabricin protokolla on RIFT, joka pyrkii yhdistämään IGP:n ja BGP:n hyödyt yhteen. Lisäksi protokollaan on tuotu muita ominaisuuksia, joilla verkko muodostaa automaattisemmin itsensä. Sisäänrakennettuna on mm. ZTP ja BFD. Juniperin Day One book valottaa RIFT:iä tarkasti.
Optiikassa 400G:n käyttöönotto etenee ja 800G:tä hahmotellaan. Standardointi on hajonnut käsiin kun IEEE:n rinnalle on tullut 2017 alkaen useita MSA-ryhmittymiä, jotka luovat omaa standardiaan. Valmistajat ovat levittäytyneet eri leireihin, jotka ajavat asioita eri lähtökohdista ja tavoitteista. MSA-standardoinneista on poikinut melko eksoottisia väliinputoajatoteutuksia kuten 6 km:n 400G ja 400G-bidi. Joka tapauksessa 100G-aallonpituus on eniten käytetty perusta tulevaisuuden standardeissa, joten sen uskoisi elävän pisimmälle. Optiikkaspagetti, modulaatiot ja nimeäminen eivät jatkossa ainakaan helpota, joten tarvitaan tällaisia selitekarttoja.
Arista on testannut omalla reitittimellään eri valmistajien 400G-ZR-optiikkaa ja yhteensopivuutta Microsoftin 120 km pitkän Open Line -järjestelmän yli. Testin tulos oli positiivinen: lämmönhallinta, suorituskyky ja yhteensopivuus oli erinomaista. Testin tuloksena on, että QSFP-DD on valmis konesalien DCI-ratkaisuihin ja metroon. Toisessa testissä Windstream ajoi oikeassa verkossa 400G-ZR-optiikalla 1027 km matkan. Koherenttioptiikan tuoman tilansäästön lisäksi tehonkulutus on 10 kertaa pienempi. Käyttöönotot alkavat Windstreamilla, jolla tekniikka sopii suoraan 80% linkeistä.
Kun porttinopeudet kasvavat, eri nopeuksisten porttien yhdisteleminen tulee hankalaksi samassa kytkimessä. Itselle uutena tuttavuutena tuli vastaan QSA eli QSFP-SFP-adapteri. Olen kuvitellut, että 100G/40G-portit pitäisi kanavoida ja kytkeä breakout-kaapelilla alempiin nopeuksiin, mutta QSA:lla voikin tehdä yksi-yhteen 100G-portista 10/25G-portin ja käyttää normaalia kuitu- tai DAC-kytkentää. QSA on siis fyysinen adapteri isommasta QSFP-plugarista pienempään SFP:hen. Se kytkee vain yhden neljästä 100G:n kanavasta läpi SFP:lle. Kytkimen konfiguraatiossa pitää säätää portin nopeus vastaamaan hitaampaa nopeutta. Itsellä ei ole näistä kokemusta ja en tiedä tuleeko adapterin käytöstä jotain muita ongelmia eteen.
Lyhyen matkan kytkennöissä, esim. palvelinten ja kytkimien välillä, DAC tai AOC voi säästää rahaa, vaivaa ja tehonkulutusta. Yhden laitteen SFP-pää on yleensä n. 2-3 kertaa kalliimpi kuin DAC tai AOC. DAC/AOC:n kanssa ei myöskään tarvitse pähkäillä liitin- ja kaapelityyppien kanssa, eikä putsailla kuituja. Koko kaapeli liittimineen on tehdasvalmisteinen, mikä lisää sen luotettavuutta. Tosin olen nähnyt myös sellaisia kiinalaisia rimpula-DAC:ja, joita ei voinut paljon vetää tai väännellä, kun jo liittimet lähtivät irti. Ja onhan osa laitteista hyvin nirsoja “väärän” valmistajan moduleille. DAC:n sähkönkulutus on kuitenkin lähellä nollaa ja AOC:n aktiivinen optiikkapiiri tiputtaa tehonkulutusta selvästi verrattuna SFP:hen. Tutkimukset osoittavat, että yksi watti palvelintasolla merkitsee 2,5 wattia konesalin laajuudella. Isossa mitassa sillä voi jo olla merkitystä.
Tiedonsiirrossa kvanttisalauksella valmistaudutaan 10 vuoden päähän kun nykyiset salausmenetelmät eivät riitä. Adva ja Colt ovat testanneet optisessa siirrossa QKD-tekniikkaa (Quantum Key Distibution), jolla saadaan tehtyä vahva L1-tason salaus 100Gbps-nopeudella. QKD on osa kvantti-internetiä ja -siirtoa, jossa data koodataan bittien sijasta kvantteihin ja salausavaimet lähetetään datan mukana. QKD:n avulla on helpompi havaita salakuuntelua. ETSI esittelee erilaisia käyttökohteita QKD:lle ja sitä voidaan käyttää myös L2-L4:lla PPP:n, MACsecin, IPSecin ja TLS:n avainten hallintaan.
Jos olet ihmetellyt miten SD-WAN -laitteisto toimii, tässä kuvaus miten sellainen rakennetaan itse avoimen lähdekoodin -tuotteilla.
Kauppapolitiikka
Puolijohdepula vaivaa maailmaa ja siinä on puhuttu enimmäkseen kuluttajaelektroniikan ja autoalan vastakkainasettelusta. Piirien valmistus on melkein täysin ulkoistettu ja pahasti keskittynyt Samsungille ja TSMC:lle. Isoimmat ostajat, kuten Foxcon ja Apple, pärjäävät hyvin, mutta verkkolaitteissa määrät eivät ole kovin isoja, joten pulaa komponenteista on odotettavissa. Tarkempaa tietoa verkkolaitteiden osalta on vaikea löytää tai saada. Laitevalmistajat ovat aloittaneet asiakkaiden varoittelun ja toimitusajat näyttävät uhkaavasti pidentyvän ennen näkemättömiksi. Puolijohdepulan odotetaan kestävän pitkään ja helpottavan kenties joskus ensi vuoden puolella.
Lahjonta on yleistä Kiinassa ja Venäjällä, mutta myös Lähi-idässä ja muualla Aasiassa. Cisco tutkii “itsensä rikastamista“, jossa kiinalaiset työntekijät olisivat suorittaneet maksuja valtionyhtiöiden työntekijöille. Ericsson on kunnostaunut lahjonnassa monesti ja myös Juniperin tiedetään voidelleen virkailijoita Kiinassa.
Internet
Uusi Telegeographyn internet-kartta on julkaistu. Maailman kapasiteetti, hinnat, tärkeimmät metropolit, yhdysliikennepisteet ja pilvet esitettynä yhdellä lakanalla.
BGP-optimointilaitteet alkavat olla pahamaineisia, koska niillä on helppo ampua itseä jalkaan. Jälleen yksi Noction-tuotteen käyttäjä, hostaaja Psychz Networks Kaliforniasta, onnistui tekemään konfiguraatiovirheen, joka johti lähes 200000 reitin väärään mainostukseen. Onneksi vastaanottajana oli vain route collector, joten vaikutus jäi olemattomaksi. Muuten aihetta olisi ollut laajaan ongelmaan.
Googlen uusin, 14. merikaapeli Dunant Ranskan ja USA:n välillä on valmistunut. Se käyttää uutta space-division-multiplexing (SDM) -tekniikaa, jolla saadaan ennätyksellinen 250Tbps-kapasiteetti irti kuidusta.
Google on saanut ehkä “maailman tärkeimmän” prefixin 8.8.8.0/24 RPKI-allekirjoitettua ja sen oikea alkuperä voidaan nyt vahvistaa reitityksessä. Melkein koko Googlen AS15169 on nyt mukana RPKI:ssä. RPKI-ROA -sertifikaatit pitää muistaa uusia, etteivät ne pääse vanhenemaan. Onko tässä tulossa uusi ongelma, että reitit vanhenevat ja aiheuttavat erilaisia kummallisia ongelmia internet-palveluissa?
Quad9 eli voittoa tavoittelematon DNS-palvelu 9.9.9.9 muuttaa Californiasta Sveitsiin, jotta voi taata hallinnollisen taustan GDPR-tasoisille yksityisyyslupauksilleen koko maailmassa. DNS-palveluilla on erilaisia tietoturvatasoja, joilla saa tehtyä kevyen SASE-mallisen tietoturvan ihan ilmaiseksi. Quad9 blokkaa oletuksena haittaohjelmia, Cloudflaren 1.1.1.1 for Families voi estää haittaohjelmien lisäksi myös aikuissisältöä ja OpenDNS tarjoaa enemmän säädettävän suodatustason, mutta vaatii kirjautumisen ja portaalin käytön. Googlen DNS ei tee suodatusta kuin poikkeustapauksissa.
Venäjä on valmis irtautumaan internetistä tarvittaessa, kertoi Medvedev. Laki- ja teknologiamielessä valmius on, mutta mitään syytä tehdä niin ei ole kuin ääritilantessa. Venäjällä on valmius myös irtautua kansainvälisestä SWIFT-maksuliikenteestä.
Metsäpalot aiheuttavat vakavia ongelmia tietoliikenneyhteyksille. Australiassa yhden kaupungin runkolinkki tuhoutui palossa ja sen korjaaminen kesti yli vuoden. Kova laajakaistan käyttö on saanut amerikkalaisen Mediacomin puuttumaan kiinteän verkon datansiirtomääriin, koska liika uploadaus aiheuttaa verkossa ongelmia.
Satelliitti-internet
Starlink näyttää etenevän tasaisesti kohti satelliittilaajakaistan voittoa. Sillä on USA:ssa jo 10000 käyttäjää ja beta-testaus on menossa laajasti. Ennakkotilaukset on avattu laajemmin, laitepaketti näyttää särmikkäältä ja asennuskin on kuulemma helppoa. Nopeudet ja viiveet ovat kelpo tasolla, mutta säännöllisiä katkoja vielä esiintyy ja hinta on aika kova. Yleinen hyväksyntä on kuitenkin saatu, tämä on parempi kuin ei mitään. Ranskassa tosin maa-asemien rakentaminen on kohdannut vastustusta.
Satelliittiteknologiassa Starlink on joutunut karsimaan toteutusta suunnitellusta. Satelliittien väliset ISL-laserlinkit on jätetty toistaiseksi pois, mutta ne ovat tulossa kunhan luvat saadaan. Toistaiseksi Starlink on lähettänyt avaruuteen yli 1000 satelliittia, mutta halu on jopa 30000 satelliittiin. Lisäksi muilla toimijoilla on omia suunnitelmia, mikä herättää huolta avaruuden täyttymisestä. Satelliitteja on niin paljon, että ne vaikeuttavat avaruuden tutkimusta. Starlink on ollut yhteistyökykyinen ja yrittänyt ratkoa ongelmia esim. tekemällä mustia satelliitteja, jotka heijastavat vähemmän valoa. Noin 1/40 satelliitista hajoaa, mikä on sellaisenaan vähän, mutta isossa määrässä aiheuttaa ongelmia. Avaruusromun määrä ja riskit törmäyksille alkavat kasvaa.
Tutkijat ovat keksineet, että Starlinkin satelliitteja voisi käyttää GPS:n rinnalla edullisena ja luotettavana paikannusmenetelmänä ja aikalähteenä. Starlink on paikannuksessa jopa 10 kertaa tarkempi ja huomattavasti varmempi kuin GPS, koska LEO-satelliittien signaalit ovat jopa 1000 kertaa voimakkaampia kuin GPS:n.
Rajeev Suri on siirtynyt satelliittiyhtiö Inmarsatin toimitusjohtajaksi. Inmarsat tarjoaa perinteisiä satelliittitaajuuksia ja rakentaa DT:n kanssa Euroopan ilmailuverkkoa. Lynk ja Mobilespace kilpailevat omalla tavallaan mobiiliverkon taajuuksia käyttävillä satelliiteilla. Puhelimet ja muut mobiililaitteet voisivat suoraan jutella satelliittien kanssa.
Historia
Tiesitkö, että hakukoneesta paremmin tunnettu Altavista valmisti myös palomuureja, reitittimiä, verkkokortteja ja sähköpostipalvelimia? Vuoden 1997 testissä Altavistan palomuuri loisti helpolla hallinnalla ja Digital Tech Journal samalta vuodelta kuvailee tuotteita tarkemmin. Itse muistan katselleeni vieressä kun kollegat asensivat Checkpointin Firewall-1:stä palvelimelle jossain vuoden 2000 tienoilla. Se ei ollut helppoa.
1978 videoitu nostalginen esitys, jossa Bob Metcalfe esittelee Ethernetin.
Kuukauden sinnikkäin
AT&T:n asiakkaana vuodesta 1960 ollut 90-vuotias herra nousi barrikadeille ja esitti tyytymättömyytensä yhtiön DSL-yhteyden hitaudesta julkaisemalla Wall Street Journalissa avoimen kirjeen AT&T:n toimitusjohtajalle. Ilmoitus maksoi hänelle 10000 dollaria ja siinä hän purki tuohtumustaan yhtiön kykyyn tarjota parempiai yhteyksiä.