Ukrainan sota
Palvelunestohyökkäys Suomen ministeriöiden webbisivuille 8.4.2022 ennen Zelenskyin puhetta eduskunnalle jäljitettiin venäläisen Zhadnost-ryhmän tekemäksi. Hyökkäyksessä käytettiin samaa Mikrotik-bottiverkkoa kuin Ukrainaan kohdistuneisiin hyökkäyksiin. Ulkoministeriön tietoturvapäällikkö Matti Parviainen kertoi, että pienet hyökkäykset olivat jatkuneet useamman päivän ajan. Kovempaa iskua on odotettavissa kun Venäjän pelikirjan mukaan seuraava vaihe on tietoa tuhoavat hyökkäykset.
Ukrainalaisten sanotaan viime hetkellä estäneen Venäjän kyberiskun Ukrainan sähköverkkoon. Pitkään suunniteltu hyökkäys onnistui ainakin yhden sähköaseman ICS-järjestelmään, mutta paikalliset työtekijät saivat manuaalisesti pidettyä sähkönjakelun päällä. Elon Musk on väittänyt, että Venäjä jumitti Ukrainaan vietyjä Starlink-terminaaleja, mutta softapäivityksellä toiminta saatiin jatkumaan normaalisti.
Ukrainan kybervalmiuden rakentaminen on ollut pitkäjänteistä. Hienostuneinta ja tuottoisinta hakkeriryhmää Armageddonia on pidetty silmällä vuosia ja sen käyttämiä menetelmiä on opeteltu ennakkoon. Siksi Ukrainan puolustus on pystynyt vastaamaan iskuihin ja onnistuneista iskuista on toivuttu nopeasti. Microsoft on julkaissut raportin hybridisodankäynnistä Ukrainassa ja siinä avataan venäläisten toimintaa tarkemmin.
Pakon edessä Venäjä erottautuu hiljalleen muista kohti teknologiaitsenäisyyttä ja suljettua internetiä. Tavoitteena voi olla Kiinan malli, mutta helppoa kontrollin rakentaminen sielläkään ei ole ollut. Kiina käytti arviolta 20 miljardia dollaria vuosittain saadakseen kaiken internet-liikenteen hallintaansa. Kiinassa liikenne kulkee muutaman tarkistuspiteen kautta, mutta Venäjällä internet on hyvin hajanainen. Maassa on yli 3000 ISP:tä, internet-ekosysteemi on hyvin sidottu globaaliin internetiin ja Venäjän resurssit tuskin muutenkaan riittävät kaiken liikenteen kontrollointiin. Tyypillisin esto on resetoida yhteys, mutta myös TLS-yhteyksiä voidaan pysäyttää ja blokki-ilmoituksia näyttää DNS:n kautta. Rajattu Runet on ollut käytössä muutaman vuoden. Se koostuu pakettisniffauksesta yritysten verkoissa, kansallisesta DNS-järjestelmästä ja viranomaisille keskitetystä internet-hallinnosta. Nyt venäläiset käyttäjät lataavat VPN-ohjelmia ja siirtyvät käyttämään länsimaisia DNS-palveluita päästäkseen kiinni ulkomaiseen tietoon ja turvatakseen oman selustaansa.
Venäjän teknologiaitsenäistymisen takamatkasta kertoo piirituotannon tavoite. Alustavasti oman piirituotannon kehittämiseen on varattu 38 miljardia dollaria. 2030 mennessä tavoitteena olisi saada tuotantoon 90 nm -teknologia, sama mitä TSMC teki jo vuonna 2011. Venäjä aikoo myös kopioida länsiteknologiaa ja siirtää valmistusta joko Venäjälle tai Kiinaan. Yllättäen myös Huawei on päättänyt vetäytyä Venäjän markkinoilta ainakin osittain, koska kokee tilanteen liian riskialttiiksi. Tällä voi olla isoja vaikutuksia Venäjän verkkojen kehittymiseen.
IT-työläisten pako Venäjältä kohdistuu Kasperskyn selvityksen mukaan enimmäkseen lähimaihin. Suosituimmat kohteet ovat Turkki, Georgia ja Armenia. Suurin syy lähtöön on ahdistuksen tunne, mutta myös pelkoa ja erimielisyyttä on joukossa. On arvioitu, että puolet lähteneistä voisi kuitenkin palata takaisin.
Ongelmat
Yandexin Mäntsälän konesalista on katkaistu sähköt huhtikuun lopulla, koska sähkösopimus ei ole enää voimassa. Palvelut pyörivät toistaiseksi varavoimalla diesel-generaattoreiden varassa. Uusi sähkösopimus on kuulemma neuvotteluissa.
Starlinkillä oli lyhyt, mutta laaja katko 9.4.2022. Katko kesti alle puoli tuntia, mutta sen aikana AS14593:ssä liikenne tippui reippaasti. Myös AMS-IX:ssä tapahtui muutosvalmisteluista johtuva häiriö, joka tiputti lähes 75% BGP-sessioista alas 25 minuutiksi.
Ranskassa tutkitaan ennennäkemättömän laajoja valokuituverkkoon kohdistuvia haitallisia tekoja. Kolme runkokaapelin katkoa eri puolilla Ranskaa samaan aikaan 27.4. aamuyöstä ei voi olla sattumaa. Katkot sattuivat Pariisista Lyoniin, Strasbourgiin ja Lilleen menevissä runkokuiduissa. Tekijällä on täytynyt olla tuntemusta asiasta, joten jonkinlainen sabotaasi on kyseessä. Kuituihin kohdistuva aktivismi on harvinaista, vaikka 5G-verkkoa on tuhottu useasti aiemminkin. Ranskan sisäministeriön sisäisen turvallisuuden yksikkö DGSI tutkii asiaa.
Atlassianin SaaS-alustan pieleen mennyt muutos 5.4.2022 on puhuttanut paljon. Poikkeuksellista oli katkon pituus, joka oli pahimmillaan kaksi viikkoa. Ongelma koski noin 400 asiakasta 226000:sta. Muutoksen yhteydessä viallinen koodi poisti pysyvästi nuo 400 asiakasta pilvipalvelusta ja ne täytyi rakentaa uudelleen tyhjästä. Atlassianin huono viestintä herätti vihaa, kun käyttäjien toimintakriittiset järjestelmät Jira, Confluence ja muut olivat tietämättömän ajan pois käytöstä. Viikon päästä oli saatu palautettua 35% asiakastiedoista ja Atlassian julkaisi selvityksen tapahtuneesta. Pitkä ja perusteellinen post-mortem julkaistiin kuun lopussa. Ironista kyllä, ongelma sattui juuri kun Atlassian oli ilmoittanut lopettavansa palvelintuotteet 2024 mennessä ja keskittyvänsä pilveen. Häiriö ei juurikaan vaikuttanut yhtiön osakkeen hintaan ja käyttäjät unohtavat menneet, kuten yleensäkin taitaa käydä.
Oktan tietomurto on loppuunkäsitelty. Oktan mukaan lopputulos tutkimuksista oli, että murtautuja käytti 21.1.2022 yrityksen työasemaa 25 minuutin ajan ja pääsi sitä kautta kahden asiakkaan rajattuihin tietoihin. Konfiguraatiomuutoksia tai salasananollauksia ei murtautuja päässyt tekemään, eikä myöskään käyttämään Oktan tunnuksia suoraan.
Operaattorit ja 5G
Suomalaisilta kysyttiin mitä etuja 5G:ssä on, ja kansa vastasi: nopeus. Markkinointi on purrut hyvin. Kuluttajat eivät osanneet juurikaan kertoa hyödyistä omin sanoin, vaan ne jäävät hämäriksi. Noin 25% sanoi, että 5G:stä ei ole mitään hyötyä. Uusia sovelluksia ei juurikaan mainittu, vaikka puolet osasi mainita reaaliaikaisuuden. Annetuista vaihtoehdoista nopeus oli ykkösasia, toisena toimivat ja luotettavat yhteydet, ja kolmantena selvästi pienempänä asiana tietoturva. 5G:n demokratisoiva vaikutus haja-asutusalueille kyllä on huomattu. Tietoturvan osalta Huawein kyberturvallisuus- ja tietosuojajohtaja Marja Dunderfelt sysää vastuun käyttäjille, jotka teknologiaa soveltavat käytäntöön. Vakiona tulee nopeus ja viive -diibadaaba, mutta itse verkkoteknologiassa ei tunnu olevan mitään riskiä. Omnitele on mitannut Suomen mobiiliverkkojen nopeuksia ja koonnut tulokset maaliskuulta. 5G näkyy Suomen patenttitilastoissa. Viime vuoden hakemuksista noin puolet on digitaalisen tietoliikenteen alalle ja Nokia on selvästi suurin hakija.
5G-laajakaista eli FWA tekee tuloaan vakaasti. USA:ssa kaapelioperaattori Comcast on uhitellut, että FWA ei uhkaa heidän perinteisiä kaapelibisneksiään, mutta tosiasiassa tämä vastahyökkäys on selvä merkki FWA:n noususta ja uhkasta. Viime vuonna T-Mobile US on saanut reilut puoli miljoonaan uutta FWA-asiakasta ja Verizon 173000. Uusista laajakaista-asiakkaista 20-40% valitsee FWA:n. Suurin osa siitä on kaapeliyhteyksien korvaamista langattomalla. Comcast on ensimmäinen amerikkalaisoperaattori, joka on ottanut käyttöön onttokuitua (Hollowcore Fiber, HCF). Lumenisityn esitys avaa tätä nopeutta kasvattavaa ja viivettä vähentävää brittiläisten keksimää teknologiaa.
Satelliittiyhteydet ovat kääntyneet tv-ohjelmien välityksestä yleiskäyttöiseksi laajakaistaksi aivan viime aikoina, kiitos Starlinkin. BT:n Neil McRae kertoo omasta näkökulmastaan satelliitteihin. Operaattorit ovat kiinnostuneita tekniikasta kustannustehokkaana ja luotettavana yhteytenä siellä missä oman verkon rakentaminen ei kannata. Satelliitti on vain yksi monista tekniikoista ja BT tutkii myös mm. pitkänmatkan wifiä ja vapaan tilan optiikkaa. Operaattoreilla kustannustehokkuus ja tarkoituksenmukaisuus ratkaisee. Onewebillä oli tarjota sopiva paketti, siksi BT valitsi sen. Käyttökohteita löytyy ajan myötä lisää, mutta normaaliverkon korvaajaksi satelliitista ei ole. Satelliittialakin käy nyt läpi muutosta, jossa uudet tulijat muokkaavat kenttää ja vanhat omahyväiset toimijat ovat vaarassa pudota kelkasta.
Satelliittihommissa laukaisu taivaalle on kallis toimenpide, jossa on omat toimijansa. Amazon on ostanut historian suurimman 83 laukaisun kokonaisuuden kolmelta rakettiyhtiöltä. Arianespace, Blue Origin ja United Launch Alliance (ULA) lennättävät suurimman osan suunnitelluista 3236 satelliitista avaruuteen viiden vuoden aikana. Amazon hyödyntää satelliittitoiminnassaan logistiikan, asiakaspalvelun ja kuluttajalaitteiden osaamistaan sekä tietysti AWS:n palveluita. Amazonilla Project Kuiperin parissa työskentelee yli 1000 ihmistä USA:ssa ja 13 Euroopan maassa. Starlink on tehnyt ensimmäisen sopimuksen lentokone-wifistä charter-lentoyhtiö JSX:n kanssa. Laajakaista olisi tulossa sataan koneeseen. Ranskassa ylin oikeusaste on poistanut Starlinkiltä sille annetut taajuudet, ilmeisesti koska se voisi vaikuttaa haitallisesti laajakaistakilpailuun ja markkina-asemiin.
IoT-verkko-operaattori Sigfox on keikkunut selvitystilassa ja nyt singaporelainen verkko-operaattori Unabiz on ostanut sen 25 miljoonalla eurolla. Toiminta jatkuu, mutta epävarmuuden varjo kyllä seuraa edelleen.
O-RAN saa kovaa kritiikkiä MWC:n jälkimainingeissa suorasanaiselta konsultilta John Strandilta. “Kaikki puhut, mutta kukaan ei osta“, menossa olevia testaussopimuksia pidetään kaupallisina sopimuksina ja uudet valmistajat alkavat panikoida kun kauppaa ei tule. Valmistajia oli messuillakin kuitenkin noin pari tuhatta, mutta kaupallisista, teknisistä ja käytännöllisistä asioista ei kuitenkaan juuri puhuttu. Näyttää, että O-RAN on liian vähän maailmassa, jossa pystytetään 10000 saittia kuukaudessa. Huomattavaa on myös, että radioverkon kustannusten osuus liikevaihdossa käyttäjää kohti on vain 3% luokkaa eli käytännössä ei mitään. O-RAN Alliance kuitenkin aikoo julkaista kasan standardeja tänä vuonna ETSI:n hyväksyttäväksi. Pää paino on yhteensopivuuden varmistamisessa ja integroinneissa.
Nokian hyvä tulos yllätti analyytikot. Erityisesti kannattavuus on kasvanut, vaikka komponenteista on pulaa ja tuotekehitykseen on investoitu reippaasti. Kilpailjat on saavutettu ja tärkeillä alueilla on jo menty ohikin. Erityisesti kiinteän verkon kasvu on kovaa, mutta myös mobiiliverkoissa markkinaosuus on kasvanut. Teknologialisensointiyksikössä sopimuksia ei ole saatu uusittua. Oppo ja Vivo on haastettu oikeuteen patenttiloukkauksista. Venäjällä Nokia jatkaa vielä jonkin aikaa yhteistyötä turvatakseen operaattoriverkkojen toiminnan.
Pilvi ja konesali
Hyvät pilvitulokset jatkuvat Q1:llä, mutta AWS:n kasvun hidastuminen on muistettu mainita. Microsoft ja Google kasvavat nopeammin, mutta pienemmin luvuin. Canalysin mukaan Azuren markkinaosuus kasvaa tasaisesti kahden prosenttiyksikön vuosivauhtia ja on nyt 21%. AWS ottaa 33% ja Google 8% markkinaosuuden. Myös pienemmät yritykset ovat nyt alkaneet investoida pilveen, mikä ruokkii pilvi-infran kasvua. IDC:n ennusteen mukaan pilvikulutuksen kasvu jatkuu ja vain Keski- ja Itä-Eurooppa on laskussa tänä vuonna. Gartnerin ennusteen mukaan mikään mullistus maailmassa ei hätkäytä IT-investointien tai pilven kasvua. Suurimman osuuden pilven kasvusta tekevät IaaS-palvelut, sen jälkeen PaaS-palvelut ja bisnesprosessit.
Investoinnit pilvi-infraan kertovat jotain alustan kehityksestä ja eivät yleensä valehtele. Investoinneissa AWS on omilla lukemillaan ollen yli kaksi kertaa isompi kuin Microsoft ja Google, jotka ovat tasalukemissa keskenään. Kolmoskerhossa pelaavat Oracle ja IBM, joista IBM näyttää edelleen kuolleelta, mutta Oraclen investoinnit ovat nousussa. Silti ne ovat kaiken kaikkiaan pienemmät kuin AWS:n viime vuoden investoinnit. Taustalla pyörii myös mahdollisia nousevia tähtiä, jotka ainakin kovasti puhuvat pilven rakentamisesta, mutta eivät käsitä minkälaiset investoinnit pilvi-infraan vaaditaan. Bank of America rakentaa privaattipilveä itselleen, koska ei usko julkipilven olevan riittävä heidän tarpeisiin, Euroopan GAIA-X on tuhoontuomittu idealistinen höpötys ja Trumpin Media & Technology Group seilaa yritysrypäsmuodostelman rakentamisessa enemmän kuin teknologiassa.
Ranskalainen pilviyhtiö Scaleway erosi turhautuneena itse perustamastaan Euroopan itsenäisen pilven GAIA-X -projektista viime vuoden lopulla. Nyt toimitusjohtaja kollegoineen lähettää kitkerää kritiikkiä EU:lle avoimella kirjeellä. Eurooppa on täysin riippuvainen amerikkalaisista yhtiöistä ja Euroopan oma teknologia edustaa alle 1% osuutta yritysten ostoista. EU hakee nyt apua kiinalaisista yrityksistä, mikä ei ainakaan omavaraisuuden ajatusta paranna ja riskeeraa tulevaisuuden entistä pahemmin. Itsenäisen pilven rakentamistavoite onkin nyt muutettu vain kyvyksi tarjota vaihtoehtoja amerikkalaisyhtiöille. Itse ongelma kielletään. GAIA-X -projektista tuskin tulee ulos mitään kovin mullistavaa tai merkittävää.
SaaS-yritysten osakkeet ovat puristuksissa maailmantilanteesta johtuen. Viime vuosina arvostus on enemmän liitetty investointitehokkuuteen kuin absoluuttiseen kasvuun. Toimialojen välillä on eroja ja parhaiten menee kyberturvallisuudella, vertikaaliratkaisuilla, finanssialalla ja data-alustoilla sekä kehitystyökaluilla. Nyt siis on tärkeää kasvaa optimaalisilla kustannuksilla, ei hinnalla millä hyvänsä.
Google on julkaissut uusia pilvipalveluita. SWIFT on GCP on yhteistyössä Swiftin kanssa tehty maksuliikenneratkaisu pilvessä. Media CDN on nyt julkisesti saatavilla ja sillä tähdätään videostriimausasiakkaisiin. Taustalla on Youtuben tekniikka ja alusta yli 200 maassa ja 1300 kaupungissa. Google Distributed Cloud Edge on myös nyt saatavilla, joko kuuden palvelimen ja kytkimien kokonaisena räkkikonfiguraationa, tai pienempinä 1RU:n applianceina. Edge löytyy myös Suomesta. AWS on poistanut tiedonsiirtomaksut eri availability zonejen väliltä saman alueen sisällä Privatelinkin, Transit-GW:n ja Client-VPN:n osalta. Uusi Brandon Carrolin blogisarja esittelee AWS:n tietoturvaa verkkoihmisille.
Microsoft on valinnut Nokian 7250 IXR -kytkimet Tier-2 -verkon laitteiksi. Microsoft ajaa niissä Sonic-käyttöjärjestelmää. Google on ostanut Mobiledgex:n, joka on telco-pilven ja edgen hallintaan erikoistunut yritys. Alun perin Deutsche Telekomin 2018 perustamasta avoimen koodin projektista oli tarkoitus tulla yleinen ohajuskerros operaattoripilvelle ja se oli suosittu operaattoreidenkin keskuudessa. Nyt Google lisää panostustaan operaattoreihin ja se on saanutkin sijaa operaattoreiden mielissä.
Gartner on uudelleennimennyt Cloud Networking Software -tuoteryhmän Multicloud Networking Softwareksi (MCNS) uuden markkinaoppaan julkaisemisen yhteydessä. MCNS-tuotteella siis suunnitellaan, toteutetaan ja operoidaan monipilviympäristön verkkoa. Listalla on valmistajia Alkira, Arrcus, Arista, Aviatrix, Cohesive Networks, Cisco, F5, Prosimo ja Vmware. Markkina on vielä pieni, mutta kasvussa. Prosimo on julkaissut monipilvi-transitin, joka käsittää koko pinon sovelluksesta sovellukseen. Yhdellä yhdenmukaisella arkkitehtuurilla saadaan kaikki palvelut yhdistettyä toisiinsa eri pilvistä joko verkko- tai sovellustasolla. Avuksi käytetään tietysti koneoppimista, jolla viilataan toiminnot suoraviivaisemmiksi ja helpommiksi. Prosimon perustivat ex-viptelalaiset vuonna 2019 ja se yrittää erottua muista yhden pinon ratkaisuilla eli välttämällä kuormanjakajia, API-GW:eitä tai proxyjä, joita muut valmistajat käyttävät. Gigamonin kysely kertoo, että monipilveen siirtymisen suurin ongelma on näkyvyyden puute, mikä hidastaa hallintaa, syö resursseja ja lisää kustannuksia.
Konesalikentässä amerikkalainen Cyxtera on mynnissä ja Suomessa Ficolon omistaja on vaihtunut Taalerista brittiläiseen Digital 9 Infrastructure PLC:hen. Google varoittaa Irlantia rajoittamasta konesalien kehitystä. Epävarmuus sähkönsaannissa on haitallista liiketoiminnoille ja horjuttaa maan digiekosysteemiä ja siihen liittyviä intohimoja. Konesalitkin voivat joskus olla kauniita ja näyttäviä tai muuten vaan erikoisia. Vai mitä sanotte esim. Barcelonan Mare Nostrum -superkoneen klassisista tiloista, joihin pääsee tutustumaan virtuaalisesti. Tukholman Bahnhof Södermalmin kalliossa tarjoaa maanalaista turvaidylliä. Lontoon Roca-galleriassa oli jopa näyttely konesaliarkkitehtuurista. Suomessa Telian HDC on edes vähän yrittänyt brändätä laitosta ulkonäöllä, mutta samaa ei voi sanoa Equinixin harmaista betonilaatikoista. Konesalit ovat yleensä sisältä samanlaisia, mutta CSC:n Kajaanin konesalin sisustus ja Lumi-supertietokone on melkoinen design-teos.
Kyberturvallisuus
Huoltovarmuuskeskus on taas julkaissut vuosittaisen kartoituksen kyberturvallisuuden nykytilasta eri toimialoilla. Parhaassa jamassa ovat ICT- ja finanssialat, joiden tulee vain ylläpitää samaa hyvää tasoaan. Eniten kehitettävää on media-, elintarvike-, logistiikka- ja kaupan alalla. Yleisesti kaikille yrityksille tärkeimmät kehityskohteet löytyvät strategiasta, arkkitehtuurista ja teknisestä jäljitettävyydestä. Yhteisiä laajempia huoltovarmuuteen liittyviä kehityksen kohteita ovat yhteinen tilannekuva, ohjelmistokehityksen turvallisuus ja henkilöstön osaaminen.
Suomen ensimmäinen kyberturvallisuusstrategia julkaistiin 2013 ja siinä linjattiin eri tahojen yhteistoiminnan, tilannekuvan, vastuunjaon ja lainsäädännön kehittämisen tarvetta. Edelleen periaate on, että jokainen suojaa itseään ja yhteistä kansallista kyberpuolustusta ei ole. Catharina Candolin ottaa vahvasti kantaa kansallisen kyberpuolustuksen puolesta. Ylimääräisellä valtiollisella suojauskerroksella saataisiin vahvempi turva ja korkeampi hyökkäyskynnys. Paperinpyörittely ei riitä, vaan Suomen pitää ottaa aktiivisesti kantaa mitä kyberpuolustuksen toteuttaminen käytännössä tarkoittaa. Myös NATO määrittelee kyberpuolustuksen roolia uudessa maailmantilanteessa.
Puolustusvaoimat ja Maanpuolustuskoulutus voittivat NATO:n Lock Shields 22 -kyberharjoituksen. Yli 2000 henkilön ja 32 maan kilpailussa Liettua ja Puola tulivat toiseksi, kolmanneksi sijoittui Viro. Puolustusvoimien kannalta parasta antia on oppi, jolla kyberpuolustusta kehitetään eteenpäin. Nykyinen turvallisuustilanne saa Valtorin perustamaan uuden turvallisuusyksikön. Kyberturvallisuuskeskus kartoitti kuntien ja SOTE-toimijoiden palveluita ja löysi niistä tavanomaisia haavoittuvuuksia. Ei kuitenkaan hälyttävässä määrin. Palaute kunnilta oli positiivista ja ulkopuolisista kartoituksista toivottiin jatkuvaa käytäntöä. Internet-rajapinnan haavoittuvuusvalvonta ja näkyvyyspalvelut ovat hyviä keinoja löytää korjaustarpeita ja paljastaa prosessien ja toimitusketjujen heikkoudet.
Kiristyshaittaohjelmien kustannukset tulevat Checkpointin laskelmien mukaan kokonaisuudessaan jopa seitsemän kertaa suuremmiksi kuin pelkkä lunnasmaksu. Alan käytäntö lunnasmääräksi on 0,7-5% kohdeorganisaation liikevaihdosta. Todelliset kustannukset muodostuvat mm. reagointi- ja palautumiskustannuksista sekä seurannasta ja oikeudenkäynneistä. Vakuutusyhtiö Corvuksen silmin näyttää, että lunnashaittaohjelmat ovat kuitenkin laskussa sekä määrässä että kustannuksissa. Keskimääräinen lunnasmaksu oli viime vuonna 167000 dollaria, melkein puolet vähemmän kuin edellisenä vuonna. Syynä voi olla kovemmat vakuutusehdot ja sitä kautta yritysten parempi varautuminen. Mutta piikkejäkin esiintyi esim. Exchange-haavoittuvuuden ja Kaseya-tapauksen vuoksi, mutta se ei isoa kuvaa heilauta.
Splunkin State of the Security 2022 -tutkimus toistaa hyökkäysten määrän kasvua ja yritysten voimattomuutta sen edessä. Keskimääräinen palautumisaika kyberhyökkäyksestä on 14 tuntia ja tunnin hinta on 200000 dollaria. Trendmicron Cyber Risk Index kuvaa eri maanosien riskiä joutua hyökkäyksen kohteeksi.
Google ja Mandiant kertovat nollapäivähaavoittuvuuksista viime vuoden osalta. Määrä kaksinkertaistui edellisestä vuodesta. Suuri kasvu määrissä johtunee parantuneesta havainnoinnista ja tietojen julkistamisista. Samoja bugimuotoja käytetään vuodesta toiseen, viime vuonna vain kaksi haavoittuvuutta oli uudenlaisia. CISA:n listalla yleisimmin käytetyt haavoittuvuudet viime vuodelta ovat Log4Shell sekä Exchangen, Manage Enginen, Confluencen, Vsphere-clientin, Pulse Securen ja FortiOS:n haavoittuvuudet. Kaspersky listaa kehittyneiden hyökkäysten trendit viime vuodelta. Geopolitiikka ohjaa hyökkäyksiä ja alatason implantit yleistyvät. Tosin hyvin kehittyneitä hyökkäyksiä ei edes tunnisteta. Ensimmäinen haittaohjelma AWS Lambda -funktioille on myös nyt tunnistettu.
Ciscon WLAN-kontrollerissa on erittäin kriittinen haavoittuvuus, samoin Citrixin SD-WAN:ssa, Zyxelin palomuureissa ja Javassa. Aruban ja Avayan kytkimissä NanoSSL-kirjaston TLStorm 2.0 aiheuttaa haavoittuvuuksia. ICS-järjestelmistä alkuvuodesta löytynyt laaja DNS-haavoittuvuus on edelleen korjaamatta. IoT-laitteissa ja suositussa OpenWRT-käyttöjärjestelmässä käytety C-kirjasto antaa mahdollisuuden myrkyttää DNS-tietoja.
Atlasvpn on vertaillut eri valmistajien tuotteiden haavoittuvuuksien määriä. Applen tuotteissa haavoittuvuuksien määrä on pompannut lähes viisinkertaiseksi viime vuoden aikana. Vakavuuden mukaan riskitason 8 haavoittuvuudet ovat yleisimpiä, mutta pisteiden 5-10 välillä kyllä löytyy tasaisen paljon haavoittuvuuksia. Applen Icloud Relaysta on huomattu ominaisuus, joka ohittaa paikallisen palomuurin säännöt. Relay ei suostu toimimaan palomuurin kanssa: jos säännöt laittaa päälle, relay sulkee itsensä.
Nccgroup on kartoittanut LAPSUS$-ryhmän toimintaa. Tekniikkoina on päästä kuopimaan Sharepoint-saittien dokumentteja tai paikalisia salasanaohjelmien tietokantoja, joista voisi irrota tunnuksia. Kloonaamalla Git-repoja pyritään saamaan API-avaimia. Saaduilla tunnuksilla otetaan sitten VPN-yhteys yrityksen verkkoon. USA:n valtionvarainministeriö on tunnistanut pohjois-korealaisen Lazarus-ryhmän Ronin lohkoketjuvarkauden tekijäksi. Maaliskuun lopussa vietiin historian toiseksi suurin yli 500 miljoonan dollarin kryptovaluuttasaalis. Kryptolompakko on tunnistettu ja siihen on asetettu pakotteita. Hieman yllättäen kryptolompakosta onkin hankala siirtää omaisuutta paljastumatta. Yleisesti ottaen lohkoketju tekniikkana on turvallinen, mutta kryptohaavoittuvuudet ovat enemmän lohkoketjun päälle rakennetuissa ohjelmissa.
T-Mobilen tieskö mones hakkerointi ja sen jälkihoito viime vuonna on paljastunut epäonnistuneeksi. Kun hakkerit yrittivät myydä varastettuja asiakastietoja Raidforumsissa, T-Mobile olisi väitteiden mukaan palkannut Mandiantin ostamaan tiedot pois foorumeilta. Tietoja saatiinkin ostettua 150000 dollarilla, mutta hakkerit jatkoivat tietojen myymistä edelleen. Näyttää siis, että T-Mobile yritti välttää tietojen leviämisen maksamalla hakkereille, mutta epäonnistui.
Cloudflare on torjunut kaikkien aikojen HTTPS-DDoS-hyökkäyksen, joka oli teholtaan 15 mrps. Se ei ole määrältään suurin DDoS, mutta salattu liikenne tekee siitä erityisen. HTTPS-liikenteen generoimiseen ja torjumiseen tarvitaan enemmän resursseja, mikä maksaa myös enemmän. Hyökkäys kestikin vain 15 sekuntia. Bottiverkko koostui noin 6000 laitteesta 112 maassa ja yli 1300 verkossa. Suosituimmat bottialustat olivat mm. eurooppalaiset pilvialustat Hetzner ja OVH. Cloudflare on valinnut Kentikin parantamaan DDoS-havainnointiaan ja sitä voivat myös Cloudflaren asiakkaat käyttää integroituna palveluna. USA:n DOJ on kertonut sulkeneensa Venäjän armeijan hallinnoiman tuhansien laitteiden bottiverkon Cyclops Blinkin.
USA:ssa CISA on määritellyt pilvisovellusten tietoturvan teknisen referenssiarkkitehtuurin SCuBA TRA:n. Määrittelyn odotetaan nostavan tasoa sekä palvelutarjoajien että käyttäjien puolella. CISA:n projektilla on selvä rooli kansallisen turvallisuuden ajamisessa sekä julkiselle että yksityiselle sektorille. Julkisen puolen vaatimukset vetävät myös yksityisyritykset samalle tasolle. Paloalto korostaa identiteetinhallinnan merkitystä pilvitietoturvalle. Salasanoja käytetään liian paljon uudelleen, salasanat ovat heikkoja, pilvitunnukset ovat liian sallivia ja pilven poliitiikkaa ei konfiguroida kunnolla. Nämä kun laittaisi kuntoon, olisi taas reippaan loikan verran turvallisemmilla vesillä. Ja zero trustin toteutuskin lähtee identiteetinhallinasta.
Tenable ostaa Bit Discoveryn, joka on ulkoisen hyökkäyspinta-alan hallintaan erikoistunut yritys. Kauppahinta on käteisenä 44,5 miljoonaa dollaria. Tenable vahvistaa kaupalla kokonaisnäkyvyyttä ja haavoittuvuusriskien minimointikykyä.
Viiden vuoden työstön jälkeen security.txt on määritelty RFC9116:ssa. Idea on siis yksinkertaisesti luoda webbipalvelimelle tekstitiedosto, josta löytyy yhteystiedot ja ohjeet haavoittuvuuksien julkistamiseen.
SASE- ja SD-WAN -rintamalla Cato tuomitsee SSE-termin ärsyttäväksi ja tuottamattomaksi. Koko SSE:n ajatus, että tietoturva olisi parempaa ilman access-osuutta, on virheellinen. Vuosia rakennettu yhtenäisen verkon ja tietoturvan SASE-tarina pitäisikin nyt yhtäkkiä kelata takaisin ja paloitella kahteen eri osuuteen. Pahimmillaan verkon erottamisesta tulee reikä tietoturvaan. Isojen yritysten halua ostaa tietoturva erikseen verkosta, on Caton mielestä vanhoihin kaavoihin jumiutumista ja johtaa operoinnin ja vastuiden sekavuuteen. Verkon kautta olisi saatavilla hyvää tietoa ja kontekstia uhkista. Myös Vmwaren mukaan SD-WAN ei ole poistumassa mihinkään, vaan on entistä olennaisempi. Automatisoitu verkko ja tietoturva saavutetaan SD-WAN:n avulla. Vmware näkee SSE:n vain hyvänä buustina alalle.
ABI Researchin mukaan SASE on mielenkiintoinen idea, mutta tarvitsee todellisuuspohjaa. Nyt valmistajat luovat isoja odotuksia, mutta tuotteet eivät ole välttämättä valmiita. SASE on hyvä yhdistelmä zero trustia, yksityisverkkoa ja näkyvyyttä. Valmistajat lähestyvät asiaa omista lähtökohdistaan joko verkon tai tietoturvan suunnasta, ja se näkyy tuotteissa. SASE:n yhdistäminen 5G-yhteyksiin tuo jatkossa hyvän tavan turvata sovellusten käyttöä ja operaattoreilla on paikkansa palveluntarjoajina. SASE on vielä nuori ja vasta lyömässä läpi muutaman vuoden sisällä.
Ison yritysverkon näkökulmasta SD-WAN ei ole välttämättä optimaalinen, kuten GlaxoSmithKlinen CISO Michael Elmore kuvaa. SD-WAN on ollut ketterä ja kustannustehokas tapa kiertää MPLS-VPN:ien hankaluudet. SD-WAN:n hyödyntäminen vaatii osaamista, jota yrityksillä ei useinkaan ole. Lopulta ongelma on kuitenkin se, että SD-WAN ei ole mitenkään parempi verkko, vaan kasa purkkavirityksiä yksittäisten halpojen komponenttien kasaamiseksi jotenkin toimivaksi kokonaisuudeksi. Jossain mielessä SD-WAN antoi meille huonoimmat puolet kaikista ratkaisuista. Yritykset tarvitsisivat yksityisverkkoa, joka on luotettava ja suorituskykyinen kuin MPLS, mutta samalla ketterä ja kustannustehokas kuin internet. Ratkaisu saattaa löytyä ohjelmoitavasta verkosta ja NaaS-palveluista.
Gartner itse on ottanut kantaa SASE-SSE -jaottelun hämmennykseen. Kyse on hankintamalleista, joissa on kolme tarvetta: toimipisteiden modernisointi (SD-WAN), pilvitietoturva (SSE) ja yhtä kokonaisratkaisua haluavat etunojassa olevat tai pienemmät asiakkaat (SASE). Todellisuudessa kaikki nämä toiminnot sekoittuvat iloisesti eri prioriteettien ja elinkaaren vaiheiden kesken. Kaikki kolme pysyvät, mutta SASE:n verkon ja tietoturvan yhdistävä malli lupaa eniten.
Zscaler on nyt lisännyt Helsingin HEL1-konesalin mukaan palveluihin.
Tekniikka ja operointi
RFC 1 vuodelta 1969 täytti 53 vuotta. Puolessa vuosisadassa on saatu aikaan reilut 9000 RFC:tä. Vuosittainen aprillipäivän RFC saatiin taas ulos. RFC 9225 Software Defects Considered Harmful kannustaa välttämätään softabugeja, koska ne ovat yksi suurimpia kustannuseriä alalla.
Tedium listaa uudempia ja vanhempia tekniikoita, jotka eivät menestyneet. Muistatko tai tunnetko Kermit-protokollan, internetin shakkipalvelimen, Scour P2P-jaon tai Iden-mobiilitekniikan?
Tarvitseeko MPLS:stä välittää enää 2020-luvulla? Keskustelu jatkuu. Terminologia on kaksijakoinen ja aina ei tiedä mitä puhuja MPLS:llä tarkoittaa. MPLS on verkkotekniikka ja MPLS-VPN on palvelu, jota operaattorit tarjoavat asiakkaille. VPN-palvelut rakennetaan MPLS-verkon päälle. MPLS tekniikkana on elegantti, skaalautuva ja joustava. Käyttötarve on sama kuin ennenkin ja käyttö jatkuu aivan varmasti pitkälle tulevaisuuteen. MPLS:n ja Frame Relayn edeltäjä X.25 jatkaa yhä elämäänsä joissakin paikoissa, kuten lentoasemalla. Fabricpath, TRILL ja SPB olivat ethernet-fabricin tekniikoita 2010-luvulla, mutta käytännössä kaikki toteutukset kuolivat melko pian lyhyen pyristelyn jälkeen. Ethernetin teoria on ytimekkäästi kuvattu Microchipin dokumentissa.
BGP on antiikkinen protokolla ja sitä joudutaan viilaamaan parempaan iskuun erilaisilla uusilla ominaisuuksilla. Perinteisiä tietoturvamekanismeja ovat TTL-rajoitus, autentikoinnit ja salaus. IP Journalin pitkässä artikkelissa Geoff Huston avaa BGP:n turvaamisen uusia menetelmiä, joita ovat mm. Secure BGP (sBGP), Secure Origin BGP (soBGP), Pretty Secure BGP (psBGP), Inter-domain Route Validation (IRV), Secure Path Vector Routing (SPV) sekä allekirjoitusten kuolettaminen ja yhdisteleminen. Pelkkä ohjaustakerroksen suojaaminen ei riitä, vaan reittitieto pitää olla paikkansapitävää myös välityskerroksella. IETF:n kehityksessä on tähän tekniikoita RPKI, ROV, BGPsec ja ASPA. Vieläkään ei kuitenkaan ole löydetty sopivaa tasapainoa turvallisuuden ja toteutustavan välillä. BGP-toteutuksissa on eroja ja kaikki reitittimet eivät puhu samaa kieltä standardeista huolimatta. MANRS:n esimerkkitapaus on FRRouting-ohjelmasta, joka ei kaikissa versioissa ole tukenut ADD-APTH-ominaisuutta. Siitä on syntynyt epäselvyyttä kun reittitieto näyttää erilaiselta eri paikoista katsottuna.
Juniperin ASIC-suunnitelun Sharada Yeluri kertoo verkkopiirien kehityksestä 1990-luvulta nykypäivään. Aluksi prosessointi rakennettiin 250 nm -tuotantotekniikalla 4-5 piirin varaan, joilla saatiin aikaiseksi 20 Gpbs -nopeus. Nyt on päästy 5 nm -tuotantoon ja kymmenien Terabittien nopeuksiin. Verkkopiirien teho on kasvanut 1440-kertaiseksi, kun tavallisella CPU:lla kerroin on 1000-1200 ja GPU:lla vain 400. Piiri sisältää satoja prosessoricoreja, joista osa voi olla erikoistuneita tietyn toiminnon kiihdyttämiseen. Vaikein tehtävä on reittien etsintä LPM-menetelmällä. Piiriin liittyy myös muistia, jonotus- ja ajoitustoimintoja sekä väyliä porttien ja piirien välillä. Lopuksi on vielä optimoitava tehonkäyttö.
Nvidian Spectrum-4 ja sen taustat kuvataan hieman tarkemmin Nextplatformin artikkelissa. Nvidian osaaminen serdes-suunnittelussa on auttanut piirin kehityksessä. Analogiaosa serdes on pitkän toimitusajan komponentti ja sen pitää toimia kunnolla. Digitaalinen pakettienkäsittely on paljon suoraviivaisempi toteuttaa. Pakettikäsittelyn tehokkuuden parantaminen ei välttämättä aina mene samassa syklissä kytkinperheiden kapasiteettiportaiden kanssa. Mellanox on aina yrittänyt parantaa erityisesti pakettivälityskapasiteettia ja nyt on päästy tasolle 37,6 miljardia pakettia sekunissa. Liikenteen salaus saadaan tehtyä neljäsosakapasiteetilla linjanopeudesta. Se riittää hyvin pilvien keskimääräiseen DCI-tarpeeseen, joka on luokkaa 4 Tbps. Kytkimen kapasiteetista kertoo jotain se, että yhdellä kytkimellä voisi rakentaa 512-porttisen 100G-fabricin. Edellisellä sukupolvella vastaavaan tarvittiin 12 kertainen määrä kytkimiä. Hinta ei ole vielä tiedossa, mutta sääntönä on ollut, että porttinopeuden kaksinkertaistuessa porttihinta nousee 1,5-1,6 kertaiseksi. 800G-portin hinta asettuisi noin 1800-2000 dollariin kun 400G-portin hinta huitelee nyt noin 1000 dollarin tasolla. Muutakin kehitystä on tapahtunut AI-käyttötarpeiden ajamana ja Infinibandistä lainattuna. Adaptive routing parantaa kapasiteetinhallintaa ECMP-linkeissä myös isoilla flow:illa. Parannettu muistinkäsittely vähentää viivettä RoCE-protokollan käytössä. Erikoistarkka kellotus PTP:llä löytyy esim. hajautettujen tietokantojen synkronointiin. Nvidian kytkinasiakkaita arvellaan olevan Google ja Microsoft, joista ainakin Microsoft käyttää Infinibandia ennestään.
Myös Google on ottanut Infinibandista parhaat puolet uuteen Aquila-kytkentäarkkitehtuuriin ja Gnet-protokollaansa, jotka hylkäävät perinteisen ethernetin. Tavoite on saada viive alas ja yhdenmukaiseksi konesalin sisällä. Google näyttää taas suuntaa alalle omilla tulevaisuuden ratkaisuillaan. Aquila-fabric yhdistää 24 räkkiä sudenkorento-fabriciksi. Räkeissä on kaksi 24 palvelimen podia, joiden palvelimet on kaapeloitu kuparilla keskenään. Palvelimissa on Tor-in-NIC (TiN) -NIC-kytkin -yhdistelmä, joka käyttää omaa Gnet-protokollaa L2-liikenteen optimoimiseen. Räkit voivat olla 100 m päässä toisistaan kuidulla kytkettynä ja niiden välillä on tasainen 30 ns viive. Fabricissa palataan ATM:stä ja verkkolaitteiden sisäisestä toiminnasta tuttuun solukytkentään, jossa tasainen viive saadaan tasamittaisia lyhyitä soluja välittämällä. Alustavissa testeissä fabricin RTT on saatu puristettua alle 40 mikrosekunnin, mikä on viisi kertaa pienempi kuin nykyisessä IP-verkossa. Fabric on rakennettu yhden piirin varaan, jotta kustannuksia saadaan optimoitua. Myös piirien levittäminen mahdollisimman hajalleen, vähentää vikojen vaikutusaluetta. SDN-kontrolleri ohjaa verkkoa, mutta Aquila-piireissä on myös paikallista laskentatehoa omiin tarpeisiin. Piireissä ajetaan FreeRTOS-käyttöjärjestelmää. Myöhemmin P4-ohjelmoitavuus voidaan lisätä fabriciin. Ennen puhuttiin 10000-50000 palvelimen podeista, mutta nyt palvelintehojen kehityksen myötä Googlen isoimman kuorman ajamiseen tarvitaan ehkä vain muutama tuhat palvelinta. Työkuormaa pystytään pilkkomaan podien kesken, mutta se pystytään kuitenkin ajamaan tiiviin alueen sisällä. Aquila-fabricia esiteltiin NSDI22-konferenssissa. Kyse on kuitenkin vasta POC-tyylisestä testailusta, mutta Aquilasta voisi ponnahtaa markkinoille kaupallisia tuotteita esim. Broadcomin kautta. Epäselväksi jää voisiko Aquila hoitaa myös reititystä, jolloin sen vaikutus alalla voisi olla vieläkin merkittävämpi. Joka tapauksessa Google näyttää mihin SDN-verkko pystyy ja ajaa alan kehitystä eteenpäin.
Kytkinportin ajaminen äärimmäisen täyteen liikennettä on paljastanut, että laitteiden kellot eivät ole tarkkoja ja maksimiliikennemäärä voi vaihdella muutaman megabitin suuntaan tai toiseen. Ixian testerin ja kytkimen välillä 100G-linkin liikenne on vaihdellut välillä 99.999 Gbps- 100.001 Gbps ja epäsuhdasta johtuen paketteja tippuu matkalla. Tavallinen 40 ms virtuaalijono ei riitä puskurointiin, vaan vuotaa yli.
Tilastojen mukaan melkein kaksi miljoonaa 400G-optiikkamodulia on toimitettu konesalikäyttöön. Lyhyen matkan QSFP-DD-versiot olivat yleisimpiä, pitkän matkan ZR-koherenttimallia on toimitettu vain 60000 kappaletta. Tiesitkö, että valvontakameroiden infrapunanäkö on herkkä 850 nm -optiikan taajuudelle. Kameralla voit siis etsiä valoa vuotavia kuidunpäitä.
Juniper on yrittää ottaa johtoasemaa fotoniikassa ja perustaa yhteisyrityksen Synopsysin kanssa. Ala on niin erityinen ja nopeasti kehittyvä, että on parempi siirtää osaaminen ja kehitys omaan erityisyksikköönsä. Juniperilla on visio kolmen vuoden päähän toisen polven fotoniikasta, jossa laserit on sijoitettu suoraan piirille yhteispakatuksi optiikaksi. Fotoniikan avulla koko reititys ja liikenteen käsittely saadaan tehtyä piirin sisällä, mikä tehostaa toimintaa huomattavasti. Juniperilla voi olla ässä hihassaan pystyessään yhdistämään konesalin ja WAN:n tekniikan yhtenäiseksi pilviratkaisuksi, mutta teknologiamuutos ja markkinointi ei ole helppoa.
Levyliikennettä saadaan suoraviivaistettua ja nopeutettua NVMeoF-protokollalla ja ethernet-liitäntäisellä SSD-levyllä. Verkon suuntaan riittää 25G-portti. Kioxialta löytyy tällainen ethernet-liitännäinen levyjärjestelmä.
Nokian Bell Labs kertoo mitä avaruudessa vaaditaan laitteilta, jotta LTE-verkko saadaan pystyyn kuussa. Rakettimatkalla laitteisiin kohdistuu tärinää, joka voi rikkoa laitteen palasiksi. Laskeutuessa tömähtää niin, että laitteen pitää kestää törmäys. Tyhjyydestä seuraa epätavallisia oireita. LTE-osissa käytetään nesteitä, jotka tiivistämättä voivat alkaa kiehumaan. Kaasua vapauttaviat komponentteja on syytä välttää tai vähintään tunnistaa ne etukäteen.
Teollisuudessa yhden parin ethernet-kaapeli SPE yleistyy. Nopeus on gigabit-tasoa ja kantama 40 m. Nopeutta laskemalla matka kasvaa kilometriin. Yhden parin kaapeli on ohut ja kevyt, mutta silti PoE toimii sen yli. Trendforcen arviossa wifi6 ja 6E ottavat nopeasti vallan mobiililaitteissa lähivuosina. Käytännössä muutos on nopeaa, koska wifi4-laitteiden markkinaosuus on tippunut jo pari vuotta sitten nollaan.
IT-alalla on siirrytty yhä enemmän bloggaamisesta viihteellisempään materiaaliin, mikä on saanut pitkän linjan konkarit tuskastumaan. Viitsiikö enää mitään juttuja kirjoittaa, jos kukaan ei lue niitä. Kyllähän kollegat kuitenkin lukevat blogeja ja tykkäävät, mutta tunnustus ja palaute on olematonta. Siksi tuntuu, että eihän kukaan välitä ja mietityttää onko hommassa mitään mieltä. Ivan Pepelnjak kokoaa hyvät vinkit ja luo uskoa jatkamaan bloggaamista. Vertailut muihin kannattaa unohtaa ja jatkaa vaan omaa tekemistään.
Uravinkkejä ja näkökulmaa tarjoavat pari Twitter-threadia. 20 oppia verkkotietoturva-asiantuntijalta kertoo hyviä elämänviisauksia alalta. Muutoksissa kannattaa aina olla varasuunnitelma ja muutamia eskalaatiopolkuna valmiina. Joskus asiantuntijan roolina on olla vain terapeutti. Käy tapahtumissa ja päivitä niistä innostuksesi säännöllisesti. Vuorovaikuta pomojen kanssa kun siihen on mahdollisuus. Löydä helpot tavat tehdä töitä eli työskentele viisaammin. Joskus tarvitaan toinen ihminen selvittämään asia, puhuminen toiselle auttaa. Et tiedä ja osaa kaikkea, hyväksy se epämukava tunne. Työ ei lopulta muutu koskaan helpommaksi. Kuusi vuotta tekniikan myynnissä SE-roolissa on opettanut, että tarvitaan vahva tekninen osaaminen, mutta myös ymmärrys liiketoiminnasta ja toimialasta, jatkuvaa uteliaisuutta, esiintymiskykyä ja empatiaa. Työ voi olla toistavaa, vaikka toisaalta saa olla alan kärjessä. Tavoite on kuitenkin myydä ja aina ei myyntiin voi itse vaikuttaa. Asiakkaiden vastustusta on pystyttävä sietämään ja käsittelemään. 10 vinkkiä IT-haaastatteluun on jokaisen haastateltavan omaksuttava.
Dropbox on viimeiset vuodet kehittänyt DR-kykyään ja nyt testannut koko konesalin irrottamista verkosta. Ensinnäkin palvelut, jotka on rakennettu active-active -mallilla, pitää muuntaa active-passive -malliin, jotta vikavaihto voidaan tehdä konesalien välillä. Ennen testiä piti kehittää työkaluja ja prosesseja, mikä tarkoitti vikasietoisuuden perustoimintojen rutiinitestausta ja myös säännöllisempää pidempiaikaista testausta. Lisäksi operatiivisia prosesseja ja niihin liittyviä perusteita piti kehittää. Lopulta testiprosessi meni näin: ensin siirrettiin liikenne pois konesalista, poistettiin hälytykset ja automaattinen vikasietoisuus käytöstä, vedettiin piuhat irti ja tehtiin tarkistukset. Ja sama prosessi toimi toisinpäin palautettaessa. Testi onnistui globaalissa mittakaavassa häiriöttömästi ja San Josen metroalue saatiin poistettua hallitusti verkosta puolen tunnin ajaksi.
Jos vika ei ole verkossa, se on DNS:ssä. Mutta tässä Datadogin tapauksessa vika löytyikin paljon syvemmältä AWS:n, Kubernetesin, Ciliumin ja gRPC:n takaa, vaikka alkuun näytti, että DNS olisi syyllinen. Ongelman syyksi selvisi lopulta väärin toiminut RPF-tarkistus.
Google on julkaissut uuden operaattoreille tähdätyn Nephio-projektin, joka tähtää Kubernetes-automaatioon hajautetussa pilvessä. Sillä voisi esim. provisioida verkkotoimintoja monipilvialustaan. Alan ihmiset näkevät alustassa mahdollisuuksia, mutta telco-markkinaan tähtääminen ei historian valossa luo uskoa tulevaisuuteen. Nephion takana on kuitenkin kattava joukko operaattoreita ja valmistajia, joukossa myös Elisa. Google on myös vihdoin luovuttanut Istio service mesh -projektin CNCF:lle haudottavaksi. Cue-kielen mahdollisuudet verkkoautomaatiossa on tunnistettu ja sitä verrataan yamlittomaan Daggeriin. Michael Kashin on tehnyt esimerkkiautomaatiota Golla ja Cuella. Oletko miettinyt miltä infrakoodin pitäisi tuntua? No turvalliselta, vakaalta, ymmärrettävältä, nopealta ja kaikenkaikkiaan paremmalta. Scalefactoryn blogi kertoo miten tähän päästään.
Stefano Sasso on tehnyt Graphitella webbikäyttöliitymän netsim-toolsille. Sen avulla voi nyt visualisoida labraverkkotopologian kuten on voinut tehdä myös Containerlabilla.
Automaatiossa kyse on työnkulun ymmärtämisestä ja tehtävien järjestämisestä peräkkäin. Lähtökohta on perusteissa, ei työkaluissa. Verkon simulointi ja testaaminen toimii parhaiten mainospuheissa. Käytännössä oikeiden laitteiden ja esim. virtualisoidun labran välillä tulee aina jotain eroavaisuuksia. Suurin ongelma kuitenkin on konfiguraatioiden yhdenmukaisuus. Miten voit olla varma, että labrassa ja tuotannossa on samanlainen konfis ja vielä joka laitteessa? Automatisoinnin avulla.
Juniper on avannut Specialist-tason sertifikaatteihin liittyvät opiskelusisällöt ilmaisiksi. Samalla saa alennuskupongin testiin.
Yritykset ja tuotteet
Netoxin Trustcast on hyvä katsaus suomalaisen ICT-alan sisälle. Vieraana on laajasti erilaisia ihmisiä, joilta kuulee mitä yrityksissä ja alalla tapahtuu. Codeo on yksi palkka-avoimista yrityksistä ja on julkaissut tilastoja kehittäjien palkoista. Codeon palkkataso on toimialan ylimmässä 10%:ssa ja keskipalkka oli toissa vuonna 6652 €/kk. Kehittäjä saa noin 67% asiakaslaskutuksesta, joten laskutusta tulee n. 10000 €/kk/hlö. Maailmanlaajuisessa tutkimuksessa teknologia-alan naisten työtyytyväisyys on heikkoa. 82% ei ole tyytyväinen palkkaan ja koulutusmahdollisuuksiin. Suurin osa sanoo myös, että positiivinen kulttuuri puuttuu. Siksi alanvaihtoa tapahtuu paljon ja naiset lähtevät muille aloille parempien mahdollisuuksien perässä. Nokia aloittaa jälleen yhteistyön Metropolian kanssa ja lupaa suoran väylän koulusta työhaastatteluun. ICT-alalta valmistuu vuosittain alle 4000 henkilöä ja yritykset voisivat palkata 10000-15000, jos vain oikeaa osaamista löytyisi.
Kuukauden yrityskauppa oli Pensandon myynti AMD:lle 1,9 miljardin dollarin hinnalla. Pensando on ex-ciscolaisten perustama startup, toinen vastaava pienempi valmistaja on Fungible, joka on keskittynyt enemmän tallennusratkaisuihin. Pensando kilpailee DPU-valmistajana Nvidian, Intelin, Marvellin ja AWS Nitron kanssa konesalimarkkinassa. Pensando ei ole pieni yritys, mutta liian pieni pärjätäkseen yksin isoja vastaan. Pensando on ollut mukana Vmwaren hybridipilven Monterey-projektissa ja sen DPU integroitiin viime syksynä Aruban CX10000-kytkimeen. Pensandon DPU on 8-13 kertaa tehokkaampi kuin AWS Nitro, mutta sen tärkeimpiä ominaisuuksia ovat softalla muokattavat rautatoiminnot ja ekosysteemi mm. juuri Vmaren, HPE:n ja Netappin kanssa. Pensandoa on asennettu yli 100000 kappaletta Azureen, Oraclen ja IBM:n pilveen. Yritykset saavat nyt käyttöönsä samat toiminnot kuin pilvialustoissa on. Aiemmin AMD:n ostama Xilinx tekee kovan suorituskyvyn FPGA-SmartNIC:jä. Ongelma on vaan suppeat toiminnot ja FPGA:n ohjelmoiminen. Pensandon P4-ohjelmoitava pakettiprosessori on laaja-alaisempi ja paremmin muokattava, mutta siinäkin on mukana kovakoodatut kiihdytykset yleisimmille toiminnoille. Pensando on panostanut softaan ja API-rajapintoihin ja antaa näin käyttäjälle vapauden valita mitä toimintoja ottaa käyttöön. AMD lupaa jatkossa panostaa vahvasti Xilinxin ja Pensandon kehittämiseen. Korttien arkkitehtuuria on esitelty tarkemmin Serve The Homen sivulla. Arkkitehtuuri myös herättää kysymyksiä kilpailukyvystä.
Intel on ostanut Open Networking Foundationin (ONF) kehittäjät ja Ananki-yrityksen. Microsoft on luovuttanut Sonic-käyttöjärjestelmäprojektin Linux Foundationille. Dell on julkaissut uuden 4.0-version Sonic-käyttöjärjestelmästä yrityksille. Googlen on huhuttu katselevan Fastlya ostomielessä. Elisa Polystar ostaa Frinxin, joka on slovakialainen operaattoriautomaatiotoimittaja. Auvik ostaa Metageekin, joka on wifityökaluvalmistaja pienempiin ympäristöihin. Auvik täydentää keskikokoluokan verkonhalintatuotettaan wifi-osuudella ja se on tulevaisuudessa toimiva vaihtoehto esim. Cisco Primelle tai Solarwindille.
FortiOS 7.2 tuo julkisuuteen yli 300 uutta ominaisuutta mm. verkon ja tietoturvan yhdentymiseen ja tekoälyn hyödyntämiseen littyen. Cisco julkaisi 3100-keskisarjan uudet palomuurit, jotka on rakennettu FPGA:n ympärille kiihdyttämään Ipseciä ja TLS-yhteyksiä. Hallinta tarjotaan pilvestä. Broadcom julkaisi maailman ensimmäisen kokonaisen wifi7-piirisarjan, joka on sopiva monenlaiseen käyttöön.
Grafana Labs saa neljännellä rajoituskierroksella 240 miljoonaa dollaria, jolla se aikoo agressiivisesti kehittää uusia ominaisuuksia käyttäjien toiveiden mukaan. Entinen työntekijä on paljastanut Microsoftin käyttäneen satoja miljoonia vuodessa lahjomiseen Lähi-Idässä ja Afrikassa. Asian käsittely ei ottanut tuulta yrityksen sisällä ja asiasta puhunut työntekijä joutui lähtemään. Älykotituotteiden valmistaja Insteon on kadonnut mitään ilmoittamatta maailmankartalta ja lopettanut palvelunsa. Käyttäjät ovat jääneet tyhjän päälle.
Internetistä ja IP:n kehityksestä voi vetää johtopäätöksiä miten onnistunut järjestelmiä kannattaa suunnitella. Ominaisuuksissa kannattaa aloittaa minimaalisesti ja lisätä tarvittavia ominaisuuksia matkan varrella. Alustan tulisi olla avoin ja joustava, jotta sen päälle voidaan pidemmällä ajalla kehittää kulloinkin eteen tulevien tarpeiden mukaan erilaisia toimintoja. Kehitysnopeutta jarruttavat enemmän operatiiviset ongelmat kuin itse ominaisuuksien kehitys.
USA:ssa piirivalmistuksen lobbaamiseen on käytetty viimeisten vuosien aikana 100 miljoonaa dollaria. Ala on kasvanut voimakkaasti, samoin lobbausrahan käyttö. Vastapalveluksena lobaavat yritykset odottavat mehukkaita tukia uusille tehtaille. Espanja aikoo ottaa johtopaikan Euroopan mikropiirivalmistuksessa investoimalla 11 miljardia euroa alan kehitykseen.
Internet
Akateemisessa maailmassa hahmotellaan ratkaisuja Internetin parantamiseksi, ei ensimmäistä kertaa. Nyt USA:ssa suunnitellaan kokonaan uutta rinnakkaisinternetiä, jossa viive ja kapasiteetti saadaan paremmiksi. Uuden verkon peitoksi riittäisi 120 amerikan suurinta kaupunkia, joilla saataisiin 85% väestöpeitto. Internetin kapasiteettia onkin saatu jo hyvin kasvatettua, mutta viiveen alentaminen on vaikeampi juttu. Tavoite projektilla on päästä hyvin lähelle valon nopeutta, johon kuitu ei olekaan hyvä ratkaisu. Operaattorit kun vetävät kuidut mutkitellen ja eivät välttämättä reititä liikennettä fyysisesti suorinta reittiä. Kuitu ei edes ole nopein siirtomedia. Siksi ratkaisuksi on valittu nopeampi langaton mikroaaltolinkki. Toinen uudistus on käyttää kahta rinnakkaista linkkiä, joista toinen hoitaa isoa kapasiteettia ja toinen alhaista viivettä. Algoritmillä valitaan kumpaa linkkiä käytetään. Nopeuttamalla 10% webbiliikenteestä voi olla valtava hyöty sovelluksille. Ratkaisu on kuulemma myös kohtuullisen kustannustehokas, mutta vaikea uskoa, että tästä mitään kovin merkittävää syntyisi tässä muodossa ainakaan.
Ripe on tutkinut sisältöjättien jalanjälkeä niiden omien verkkojen ulkopuolella. Viisi suurta sisältöpalvelua tuottavat nyt puolet internet-liikenteestä, kun kymmenen vuotta sitten siihen tarvittiin 150 eri ASN:n liikenne. Sisältöjätit levittävät palvelujaan toisten verkkojen sisään CDN-palvelimillaan ja näkyvyys niihin on ollut heikkoa. Tutkimus on yrittänyt selvittää kuinka paljon tällaista off-net -palvelua verkoissa on. Menetelminä on käytetty IP-osoitteita ja salatun liikenteen myötä on myös sertifikaateista saatu suht luotettava tietolähde. Tuloksena on, että Google on levittänyt palvelunsa lähes 4000 ASN:ään ja Facebook ja Netflix seuraavat samaa mallia, vain pari vuotta jäljessä. Akamain suunta on laskussa kun muut menevät lineaarisesti ylöspäin. Keskimäärin Facebookia käytetään noin puolet FB:n verkon ulkopuolisilta palvelimilta. Tosin alueittain ja palveluittain vaihtelua on paljon. Facebook on panostanut paljon kehittyville alueille, joissa sillä ei ole omaa verkkoa.
Uusi merikaapelikartta on julkaistu. Nyt kartalla on 486 kaapelia ja 1306 maihinnousupaikkaa. Google on vihdoin julkistanut Topaz-kaapelihankkeen Kanadasta Japaniin. Se on Googlen kahdeskymmenes merikaapeli. Kaapelissa tulee olemaan 16 kuituparia ja 240 Tbps -kapasiteetti. Valmista pitäisi olla 2023.
Lähi-Idän konesali- ja IXP-kentällä tapahtuu. Equinix rakentaa konesalin Omaniin, Edgnex Saudi-Arabiaan ja Glocal Cloud Xchange laajentaa verkkoaan Omaniin. LINX laajentaa Saudi-Arabiassa, DE-CIX kumppanoituu Irakissa ja AMX-IX Egyptissä.
Refactoring on uusi tekniikka internetsensuurin kiertämiseksi. VPN-yhteyksien kissa-hiiri -leikin sijaan, ystävällisten operaattorien verkon keskelle sijoitetaan proxyjä, joihin sensuuri ei pääse kiinni muuten kuin blokkaamalla pääsyn koko operaattorin verkkoon. Se taas haittaisi laajasti kaikkea käyttöä ja sensuroijaa itseäänkin ja olisi kalliimpaa toteuttaa. Refaktoroinnille on kehitetty viisi protokollaa ja avain alustan pyörittämiseen on pakettimonitorointikyky suurilla nopeuksilla. Paketeista tutkitaan refaktorointi-clientien luomia piilotussignaaleja, joista nähdään halu päästä blokatulle sivulle ja liikenne pystytään välittämään oikealle palvelimelle. Refaktorointialustaa pyörittävät voittoa tavoittelevat tahot. Käyttäjiä on miljoona ja proxyjä kolmella keskikokoisella operaattorilla. Lisää osallistujia kaivataan.
Microsoft on integroimassa Cloudflaren VPN-toiminnon Edge-selaimeen. Edgen Secure Network mode vaatii kirjautumisen Microsoft-tilille ja yksi gigatavu dataa kuukaudessa on ilmaista. Ylimenevästä osasta laskutetaan.
Brasiliassa on yleistynyt laajakaistayhteyksien kaappaus. Suurimmissa kaupungeissa rikolliset ovat ottaneet verkot omaan haltuunsa ja pyörittävät mafiabisnestä toisten verkolla. Kymmeniä tuhansia käyttäjiä on pakotettu käyttämään epäluotettavaa verkkoa ja käyttömaksut kerätään ovelta ovelle. Samaa mallia on käytetty myös kaasun, veden ja muiden perushyödykkeiden kanssa. Nyt voi sanoa, että internet on päässyt perushyödykkeeksi muiden joukkoon.
USA on julkaissut internetin tulevaisuusjulistuksen. Allianssimallista on siirrytty julistukseen ilman jäsenyysvaatimuksia. Sisältö on päätasolla avoin, ilmainen ja maailmanlaajuinen internet. Julistuksessa sitoudutaan takamaan ihmisoikeudet ja vapaus, tasapuolinen pääsy kaikille, luottamus digitaaliseen ekosysteemiin, globaali yhteensopivuus ja hajautettu hallinto. Viittaukset Kiinan eristämiseen on poistettu ja julistuksesta tulee nyt heikompi, mutta geopoliittisesti yhtenäisempi. Kiina ei silti ole tyytyväinen kun Taiwan on allekirjoittanut julistuksen. Yhteensä noin 60 valtiota, Suomi mukaan lukien, on hyväksynyt julistuksen. Mukana ei kuitenkaan ole Kiinan lisäksi myöskään Brasilia, Chile, Intia, Etelä-Korea, Sveitsi tai Norja.
Tapahtumat
NSDI22-esitykset tarjoavat syvätietoa verkkojärjestelmien suunnittelusta ja toteutuksesta.
Kuukauden tuotteistus
Uusia innovatiivisia tuotteita ja totuus tuotteiden takaa paljastuu Forward Networksin sponsoroimissa mainoksissa. Miten olisi biohartsista ja maissipolymeereistä valmistettu ympäristöystävällinen vegaaninen, gluteeniton ja GMO-vapaa reititin, joka kompostoituu 90 päivässä? Entä hot swap -diili, jossa pizzatilauksen mukana saat Cat6500-powerin? Tai Survira RX -inhalaattori, jolla selviät pieleen menneistä verkkomuutoksista? Kun perinteinen palomuurinäkyvyys ei riitä, avuksi tulee Ampli-firewall, jolla liikennettä voi havainnoida myös äänien avulla. Ensimmäinen verkkovikani -lelun avulla voi kokea ongelmaselvityksen ilon jo ensimmäisinä elinvuosina.