MENNYTTÄ JA TAPAHTUNUTTA
Microsoftilla oli maailmalaajuisia verkko-ongelmia Azuressa ja omissa palveluissaan 25.1. pieleen menneen reitittimen ip-osoitemuutoksen takia. Thousandeyes näki miten BGP-reitit heiluivat ja aiheuttivat reittimyrskyn. Palveluissa näkyi paljon pakettihäviöitä. Alustavan vikaraportin mukaan palautuminen alkoi itsestään reittien konvergoituessa, mutta WAN-liikenteen ohjausjärjestelmä jouduttiin ottamaan pois käytöstä. Sen myötä jollain reiteillä ilmeni pakettihäiviöitä. Ongelma oli ohi parissa tunnissa. Myös Aruban UX-sensoreilla näkyi selvästi Microsoftin palveluihin kohdistuvat WAN-ongelmat.
Palvelunestohyökkäyksien kohteeksi on joutunut vaihteeksi HUS. Webbisivut saatiin pommitettua alas rajulla pari päivää kestäneellä iskulla. Tekijäksi epäiltiin venäläistä Killmilk-ryhmää, joka oli ilmoittanut hyökkäävänsä länsimaiden sairaaloihin. Suomesta kohdelistalla olivat yliopistosairaalat. Säkylän aiemmin tapahtunut hyökkäys aiheutti ongelmia lähinnä terveydenhuollon ajanvaraukseen ja myös mm. röntgenkuvien katseluun. Apua hyökkäyksen torjuntaan haettiin ulkomaalaisesta yrityksestä. Yhteydet ulos katkaistiin alkeellisesti, mutta varmasti. Valmistautumista oli Säkylässä tehty, mutta ammattimainen hyökkäys onnistui silti. Syy vieritettiin ulkopuoliselle palvelutuottajalle, jonka sanottiin tehneen vakavan virheen. Hyökkäys aiheutti kunnalle usean sadan tuhannen euron vahingot ja korvauksia selvitellään nyt palvelutuottajan kanssa.
Surullisen kuuluisa T-mobile on häkätty ties monennenko kerran. Nyt API-rajapinnan kautta vietiin miljoonien asiakkaiden tiedot. API-rajapintojen hyökkäys on huolestuttava, koska operaattorit ja yritykset avaavat rajapintoja verkkoihinsa yhä enemmän. Tietysti myös hyökkääjät ovat kiinnostuneita niistä. Rajapintojen valvonta on hankalaa ja työlästä, ja siihen eivät enää pelkät lokitiedot riitä.
Ohjusiskut Ukrainaan 26.1. näkyivät IODA:n internet-infran käppyröissä esim. Mykolayivissä ja Odessassa. Yritysten vetäytyminen Venäjältä on vähän niin ja näin. Intel on kaikessa hiljaisuudessa jatkanut ajurien ja sovellusten jakelua Venäjällä. Myös Microsoft on palauttanut automaattisen Windows 11 -päivitykset.
Githubista löytyy kuvaus vanhasta Amazonin Quanta-kytkimestä. Joku oli hankkinut kytkimen käytettynä ja se sattui sisältämään AWS:n konfiguraation. Sisältö avaa hieman vuoden 2016 aikaista verkkokonfiguraatiota. Käyttöjärjestelmä on AWS:n modaama Cumulus nimeltä Almach. Konfiguraatiossa oli noin 1300 käyttäjän tunnukset ja avaimet automaatiokäyttöön. Kytkin näyttää olleen TOR-käytössä. Siinä access-portit ovat L2-bridgessä ja uplinkit OSPF-reititettyinä. Portit on nimetty jrp-alkuisiksi, kun Cumuluksessa ne ovat swp-nimisiä. Kysymys heitetään Justin Pietschille onko hän nimen takana omien nimikirjaintensa vuoksi. R ei mätsää, mutta porttien nimivaihdokselle on ollut kuulemma syy ja nimen on pitänyt olla hassu.
Tammikuussa Networking Field Day NFD30 esitteli Selectorin, Ciscon, Fortinetin, Aryakan, Aristan, Juniperin ja Anutan ratkaisuja. Cloud Field Day CFD16:sa esillä olivat Solo.io, Fortinet ja Forward Networks.
NYKYPÄIVÄN MENOA
Mobiiliverkot
Suomen operaattorikilpailussa Telia vaikuttaa häviäjältä. Aiemmin näytti, että DNA olisi jäämässä jalkoihin Telian ja Elisan ottaessa 40% markkinaosuudet, mutta DNA on kuitenkin kirinyt tasoihin Telian kanssa. Menestys perustuu haastajan asenteeseen eli nopeuteen, rohkeuteen ja suoruuteen. Työntekijöillä on valtaa, vastuuta ja vapautta niin, että johtoakin voidaan haastaa. Asiakkaiden vaihtuvuus on operaattoreilla suurta, mutta DNA on onnistunut pitämään asiakkaat tyytyväisinä, ja vaihtuvuus on pienempää kuin muilla. Pakkomyyntiä ei tehdä kuten Elisalla, ja ongelmat ratkaistaan nopeasti. Asiakaspalvelu on ratkaiseva tekijä kun tekniikka ja hinta on kaikilla sama. DNA on keskittynyt kilpalijoita enemmän kuluttajiin. DNA:n liikevaihdosta yritysasiakkailta tulee 25%, kun Elisalla luku on lähes 40%. 5G-liittymien määrät ovat salaisuuksia, “kuusinumeroisia” lukuja. DNA ei ole julkisuudessa ottanut kantaa sähkön hintaan, mutta sillä on vaikutusta kustannuksiin. Omissa mastoissa sähkön hintaa pystytään suojaamaan, vuokrasaiteilla ei niinkään. 4G-liittymien hintoja on nostettu ja kuluttajia ohjataan 5G:hen paremman tehokkuuden vuoksi. DNA käyttää Ericssonia, Nokiaa ja Huaweita, strategianaan hajautus. Telenor-kauppa ei ole juurikaan vaikuttanut Suomeen kun norjalaisten asettamat taloustavoitteet on täytetty.
Elisan tulos oli odotetulla tasolla ja näkymät tälle vuodelle ovat hyvät taloustilanteesta huolimatta. Kasvua tulee mobiiliverkoista ja digipalveluista. Toistaiseksi taloustilanteella ei ole ollut vaikutusta, mutta yritykset voivat alkaa jarruttaa investointejaan. Kuluttajapuolella epävarmuutta on tv- ja viihdepalveluiden kysynnässä. Sähkön hinta ei ole Elisaan toistaiseksi juurikaan vaikuttanut, mutta hintoja on silti nostettu. Energiakustannukset kuitenkin kasvavat jatkuvasti digitalisaation lisääntyessä, vaikka sähkön hinta ei nousisi. Sähkön hinnan suojauksessa Elisa on onnistunut muita paremmin.
Telia rämpii kannattavuusongelmissa. Nyt Suomen toiminnoita alaskirjataan “liikearvon kirjanpidolliset” 850 miljoonaa euroa. Sama nähtiin myös Norjan toiminnoissa ja pienempiä arvon alennuksia tehtiin myös C More -brändiin ja Ruotsin kaapeliverkkoon. Telia käynnistää 800 työntekijää koskevat muutosneuvottelut, joissa tavoitteena on vähentää 100 työpaikkaa. Telia One -lupaus saa konkretiaa kun Inmics-Nebula yhdistetään Cygateen yhtenäisemmän asiakaskokemuksen toivossa.
VR ja operaattorit junnaavat paikallaan junien verkkoyhteyksien parantamisessa. VR:llä on menossa 4,5 miljoonan euron projekti junien wifin uusinnasta. Nopeuden pitäisi viisinkertaistua. Uusi verkko löytyy yhdestä IC-junasta ja asennukset Pendolinoihin ovat käynnissä. Ongelmana on toisaalta vanhentuneet mobiiliverkon toistimet, toisaalta tukiasemakapasiteetti radan varressa. Junissa on noin 540 toistinta, joista vain 100 on 4G-kykyisiä, ja loput vahvistavat vain 2G/3G-signaalia. Kun 3G tänä vuonna suljetaan, ongelmat voivat pahentua. Toistimien päivitys maksaisi Telian arvion mukaan noin 10 miljoonaa. Periaatteena on, että tilan omistaja maksaa toistimet. VR haluaisi myös parempaa mobiiliverkkoa pääradalle ja Helsinki-Turku -välille, vaikka ei olekaan ilmaissut minkälaista palvelutasoa se operaattoreilta odottaa. Telian hintalappu yhdelle rataosuudelle olisi luokkaa 20-30 miljoonaa, joten ehkä juniin ei voi odottaa huippulaatuisia 5G-yhteyksiä. Myöskään muualle Suomeen tuskin tulee samantasoista verkkoa kuin isojen kaupunkien välille. Kustannusten jako hiertää, ja kun keskustelut VR:n ja operaattorien välillä ei ole tuottanut tulosta, apua huudetaan LVM:ltä ja EU:sta.
DNA panosti viime vuonna 5G-rakentamiseen harvemmin asutuilla alueilla. DNA on myös avannut kahdeksan alueellista privaattiverkkoyhdyspistettä ympäri Suomen. Näillä saadaan verkon viive pienemmäksi kun liikenne ei kierrä aina Helsingin kautta. Kaupungit valikoituivat kysynnän perustella ja ne asettuvat samalla myös maantieteellisesti sopivasti ympäri maata. Yksityisiä yhdyspisteitä voidaan tarpeen mukaan tehdä minne vain jos asiakkaalla on tarjota tila ja sähköä. Privaattiverkot toimivat SDN-ohjatusti ja paikallisuus parantaa muun verkon tehokkuutta. 5G-verkon myötä tukiasemat uusitaan, joten myös 4G-verkko paranee alueella.
5G standalone -verkko pysyy pettymyksenä Dell’Oron markkinaseurannassa. Viime vuoden alku oli lupaava, mutta meno hiipui vuoden mittaan. Vain 39 operaattoria oli ottanut käyttöön 5G SA -verkon vuoden aikana. Mikä mättää? Infrastruktuurin täydellinen muutos on vaikea, mutta toisaalta tekniikka lupaa uusia palveluita ja liiketoimintaa. Deloitte ennustaa kiinnostuksen tuplaantuvan tänä vuonna niin, että käyttöönottoja ja testejä olisi yli 200. Dell’Oro on myös nostanut ennustettaan Open RAN:n markkinasta, koska Pohjois-Amerikassa on menty odotettua paremmin eteenpäin. Pohjois-Amerikka ja Aasia muodostavat 95% nykyisistä O-RAN -markkinoista. Nyt ennuste on korjattu hieman ylös: O-RAN:lla olisi 15-20% markkinaosuus vuoteen 2027 mennessä.
5G-pettymysten jälkeen 6G alkaa näyttää tuhon tieltä. Yli 40 vuotta jatkunut generaatiopolku on toiminut ennen kaikkea markkinarakenteena. Nyt termistöön alkaa tulla laimeampia muotoja kuten NextG tai BeyondG, mikä on merkkinä muutoksesta. 4G oli ip-natiivi laajakaista, pilvinatiivi 5G ja New Radio veivät kaiken äärimmilleen. On ultraa ja extremeä, joiden jälkeen pitää keksiä uusia äärimmäisyyksiä markkinointiin. 5G:n ydin on kuitenkin luonnollinen kapasiteetin kehitys ja radioverkon parantaminen. Moni uusi teknologiamääritys on verkoissa vielä toteuttamatta. Verkon tekniikka ei kiinnosta käyttäjiä, vaan sovellukset ratkaisevat. 5G:ssä tärkeää on pilviteknologia ja sen tuoma kehitysvauhti. Ketteryydessä myös muokattavuus ja joustavuus on ratkaisevaa. Tähän vastaavat privaattiverkot. Yrityksen omaan verkkoon voi tehdä muokkauksia odottamatta globaalia standardointia ja valmistajien tukea. Toisaalta standardit toimivat kilpailun rajoittajina, mutta myös ruokkivat innovaatioita. Softa syö nyt mobiiliverkot iltapalaksi, ja nähtäväksi jää mitkä ominaisuudet vaativat laajempaa standardointia. 6G-hype on kuitenkin laitettu jo käyntiin ja luultavati se voittaa. Markkinointi näyttää seuraavan jälleen samaa kaavaa, joka on täynnä visionäärisiä ja katteettomia lupaksia. Hyper-connected future on vain jännittävä visio, joka vaatii paljon muutakin kuin mobiiliverkon. IoT ja sensorit eivät tee mitään ilman sovelluksia ja ekosysteemejä.
Rudolf Van Der Berg on koonnut Euroopan isoimpien operaattorien selitykset verkkojen kasvavasta liikenteestä ja tutkinut mikä on todellisuus julkisuuden takana. Puheista huolimatta liikenteen kasvu ei ole ollut niin suurta kuin on annettu ymmärtää. Se ei aiheuta ongelmia verkoissa. Totuutta on taidettu hieman värittää ja lukuja on kaivettu vähän miten sattuu epäjohdonmukaisesti. Sandvinen raportti näyttää 24% vuosikasvua videoliikenteessä ja 23% kasvua kaikessa internet-liikenteessä. Pandemian aikainen käyttö on jäänyt päälle. Nt yleistyvät supersovellukset, joilla voi hoitaa monenlaisia toimintoja yhdestä paikasta. Somen ja viestinnän liikennemäärät laskevat, Facebookin osuus liikenteestä on tippunut jopa 69%. Tosin syynä on se, että muut sovellukset, kuten Tiktok, vievät enemmän kaistaa. Kymmenestä kovimmasta datankäyttösovelluksesta kahdeksan on videosovelluksia. Operaattorit vinkuvat kannattavuudesta, mutta raportoitu 12% voittomarginaali ei ole mikään huono. Tilastot kertovat myös, että kuuden suuren internet-yhtiön liikennemäärä on tippunut 9 prosenttiyksikköä viime vuoden aikana. Dean Bubley muistuttaa, että alan standardeiksi muodostuneet internet-raportit mm. Ciscolta, Ericssonilta, Sandvinelta ja Akamailta ovat suurimmaksi osaksi tilaajan ja valmistajan markkinointia ja lobbausta. Vaikka raportit perustuvat oikeaan dataan, toimituksellinen sisältö on osin puutteellista ja harhaanjohtavaa. Raportteja käytetään sääntelyyn ja alan muokkaamiseen, joten vaikutukset voivat olla merkittäviä.
Markkinat
Nokia yllätti vahvalla tuloksella, kun taas Ericsson tuotti pettymyksiä. Verkko-Nokian liikevoitto ylitti ensi kertaa miljardin euron rajan ja syynä hyvään tulokseen oli 5G-tuotekehitys. Erityisen hyvä kysyntä oli reitittimillä ja optisilla verkoilla, mutta myös merikaapelijärjestelmissä on ollut kasvua. Ukrainan sota on lisännyt Nokian verkkojen kysyntää, koska asiakkaat haluavat luotettavia ja turvallisia kumppaneita. Patenttilisensoinnissa solmittiin sopimus Samsungin kanssa, mutta Oppon ja Vivon kanssa ei ole edelleenkään päästy sopuun. Kiistaa on sanottu Nokian suurimmaksi uusintaongelmaksi. Oppolle on hävitty siellä missä sillä on merkittävä markkina-asema ja missä Nokialla ei oikein ole vipuvartta. Myös sopimus Applen kanssa päättynee tänä tai ensi vuonna. Lisensointi on puhdasta voittoa ja siksi tärkeää liiketoiminnalle.
Kannattaako operaattoreita vertailla toisiinsa? Doug Dawsonin kokemuksen perusteella rankkaus ja metriikka ei kerro paljonkaan operaattorin menestyksestä tai laadusta. Numeroiden taustalla operaattorit voivat toimia eri tavalla mm. siinä miten ne sitoutuvat asiakkaiden ongelmiin, pitävät toimintoja talossa eivätkä ulkoista, hinnoittelevat tuotteet, tai investoivat työntekijöihin ja infraansa. Niinpä vertailu on vaikeaa. Varsinkin pienemmät operaattorit hyötyvät teknisten ratkaisujen, markkinoinnin ja oman asemansa vertailusta.
Valokuitusen tutkimuksen mukaan lähes puolet haluaa työnantajan osallistuvan kodin laajakaistan kustannuksiin. Yli puolet haluaa tukea netin hankintaan verotuksen kautta. Ihan perusteltua, koska etätyö on normi ja iso osa yritysten tuloksesta tehdään kotona. Liittymissä suomalaiset suosivat toimintavarmuutta, tasalaatuisuutta ja selkeitä sopimusehtoja. Noin joka kymmenennellä on sekä ongelmia että hyvin toimiva verkko. Suuri massa siis jää keskinkertaisen verkon käyttäjiksi. Veikkaanpa, että suurimmat ongelmat liittyvät langattomiin verkkoihin, joko wifiin tai mobiiliverkkoon. Park Associatesin tutkimukseen mukaan 92% amerikkalaisista talouksista käyttää wifiä kotona. Taloudella on keskimäärin 16 wifiin liitettyä laitetta, mikä on yllättävän paljon.
Verkkolaitepuolella Gartner on laittanut järjestykseen yritysverkkojen valmistajat. Kärjessä erottuvat kaksikko Juniper ja Aruba, perässä tulevat Extreme, Cisco ja Huawei. Valmistajat osuvat aika hyvin lineaariselle viivalle visionäärisyyden ja markkinavoiman välillä. Aristalla myyntikyky on selvästi ongelma. Gartner muistuttaa, että pelkkä tuote ei ratkaise arvioinnissa. Myös markkinointi, myynti, hinnoittelu, maantieteellinen ulottuvuus ja asiakaskokemus huomioidaan. Vaikka tuotteen ominaisuudet voivat olla samat, esim. Juniper, Aruba ja Cisco voittavat maailmanlaajuisella kattavuudella muita valmistajia. Eli nelikentän kärkeen päästäkseen hyvän tuotteen pitää olla saatavilla laajasti. Markkina kuitenkin muuttuu. Nyt hallittavuudelle ja automaatiolla on kova kysyntä, ja pilvi on varmasti oikea suunta. Cisco tippuu hiljalleen kärkikahinoista ja kohtaa tuoteuudistuksen tarpeen, vaikka myynti vetääkin sitä Gartnerin arviossa ylöspäin. Palomuureissa nelikentän ainoat yläkulmalaiset ovat Fortinet, Paloalto ja Checkpoint. Cisco on mureissakin siirtynyt koko ajan vasemmalle. Vaikka myyntisuorituskyky on hyvä, tuotteet alkavat jäädä jälkeen. Muurituotteetkin ovat muutoksessa kohti hybridiratkaisuja, pilveä ja SASE:a. Hajautettujen etäpisteiden muurien kysyntä on kovassa kasvussa lähivuosina.
Dell’Oron mukaan operaattoriverkkolaitteissa myynnin kasvu on pientä. Kovaa kysyntää on 400G-kykyisille reitittimille, joilla päivitetään runkoverkkoja. Pääpaino on edgessä ja aggregoinnissa. Runkoreititinmarkkina sen sijaan on laskussa. Syyksi Dell’Oro arvelee sen, että operaattorit odottavat uusia piirisarjajulkistuksia, joita olisi tulossa tänä vuonna muutamilta valmistajilta.
Pilvimarkkinan kutistumista on aavisteltu ja merkkejä siitä on. Mutta odotukset voivat olla ylimitoitettuja. Yritykset voivat säästää pilvi-investoinneista, varsinkin kun pilvi ei ole useinkaan halvin vaihtoehto. Toisaalta ne, jotka ovat jo pilvessä, eivät voi sammuttaa palveluita, vaan joutuvat muuten optimoimaan kustannuksia. Kokonaisuudessaan kulutus ei vähene, vaan paino on käytön optimoinnissa. Pilvisovelluksien tulisi olla automaattisesti skaalautuvia niin, että turhaa rahaa niihin ei pala. Pilven joustavuus on voinut pelastaa yrityksiä maailman muutosten aikoina. Pilvitoimittajat haluavat sitouttaa asiakkaat pitkällä tähtäimellä ja kustannusoptimointiin tarjotaan hyvät välineet. Pilvisiirtymän jälkeen yritykset myös hyötyvät investoinneista työkaluihin ja niiden käyttöön. Julkipilvitoimittajat eivät kovin helposti nosta hintoja, koska yrittävät olla suututtamatta asiakkaita. AWS:llä energiakustannukset tuplaantuivat viime vuoden Q3:lla. Microsoft odottaa tälle vuodelle ylimääräistä 800 miljoonan dollarin energialaskua. Toistaiseksi tämä ei ole näkynyt asiakashinnoissa. Pilvi-infran liikevaihdon 40% vuosikasvun aika on ohi, mutta tuskin mihinkään syöksykierteeseenkään joudutaan. Pilvi-infra perustuu käytettävissä olevaan kapasiteettiin, siksi laajentuminen jatkuu ja uusia palveluita tulee ulos. Irtisanomisista huolimatta AWS:llä on nyt 13000 työpaikkaa auki.
Synergy Research ennustaa kovaa myyntiä “pilvi-infralle” lähivuosina. Tosin Synergy sekoittaa tähän “julkisen pilven ekosysteemiin” kaikki konesalien ja pilven raudan, softan ja asiakkaiden ostamat palvelut. Nextplatform yrittää purkaa yhtälöä auki. Joka tapauksessa pilvi kasvaa nyt ja tulevaisuudessa nopeammin kuin muu IT, se ei ole yllätys. Pilven kysynnän myötä myös infra myy. Viime vuonna hyperskaalaajat investoivat infraan 120 miljardia dollaria, joista 81% oli ostamista ja 19% vuokraamista. Hyperskaalan konesalien määrä maailmassa on nyt 850, uusia tulee noin 100 vuodessa ja suunnitteilla on 420 lisää. Julkisesta pilvestä on tullut yleishyödyke. Myös verkkojen solmukohtia löytyy entisät useammasta paikasta. Peeringdb:llä on nyt tietokannassaan yli 5000 tilaa, joissa voi peerata eri verkkojen kesken.
Microsoft on jatkanut yritysostoja konesali-infran ympärillä napaten DPU-valmistaja Fungiblen itselleen. Ostohintaa ei kerrota, mutta AMD maksoi viime vuonna Pensandosta 1,9 miljardia. Microsoftilta on puuttunut oma piirituotanto, joka AWS:llä ja Googlella on. Fungible oli viimeisiä pieniä itsenäisiä DPU-valmistajia. Se on perustettu 2015 ja DPU tuli markkinoille 2020. Perustajina oli Juniperin synnystä tuttu Pradeep Sindhu. HPE myy pois loput Kiinan H3C-yhteisyrityksestään. HPE on omistanut 49% yrityksestä sitten vuoden 2015, jolloin se myi enemmistön Unisplendour Groupille. H3C:llä on ollut vahva sija Kiinan markkinoilla ja se on ollut sille tärkeä markkina-alue. H3C:n puolijohdeyksikkö joutui kuitenkin USA:n pakotelistalle, ja vaikka HPE on ollut tyytyväinen yhtiön tulokseen, se päätyi kuitenkin myymään omistusosuutensa.
Yrityksissä on nähtävissä muutos, jossa ei enää investoida omaan infraan ja sen vaatimaan henkilöstöön. Varsinkin amerikkalaiset startupit ovat syytäneet miljoonia oman skaalautuvan infran rakentamiseen ja pyörän uudelleenkeksimiseen, mutta nyt toiminta on keskittynyt enemmän pieniin pilveä hyödyntäviin tiimeihin. Mitä tapahtuu infra-asiantuntijoille? Työpaikat keskittyvät ja luultavasti vähenevät. Tämän kehityksen näkee erittäin hyvin Suomessa.
Alex Xu:n koostamissa hahmotelmissa pilven kustannuksissa näyttää olevan kolmen vuoden jälkeen kulminaatiopiste, jossa kulut leikkaavat oman infran kulut. Laskelma perustuu viiden vuoden takaiseen MIT:n vertailuun, joten tilanne voi olla nyt erilainen ja varmasti riippuu käytetyistä palveluista ja monesta muusta muuttajasta. Tämän laskelman mukaan pilven kulut alkavat lähes nollasta ja nousevat kuuteen vuoteen asti ja sen jälkeen pysyvät tasaisena. Onpremise-infralla on parin vuoden aloituspiikki, josta kulut laskevat tasaantuen neljän vuoden kohdalla. Jotkut yritykset kotiuttavat ympäristöjään pilvestä, mutta sekin voi olla hankalaa. Heyn kokemukset SUSE:n hinnoittelusta ja myyntitoiminnasta turhauttavat. Pitkitetty myyntiprosessi johti huikeaan 3% alennukseen, kun samaan aikaan rautapuolella Dell tarjoaa 80% alennuksia.
Cloudflaren CIO-viikot esittelevät uusia julkistuksia mm. SASE- ja zero trust-tuotteisiin. Cloudflare myös vertailee sen omia zero trust -tuotteitaan Zscaleriin. SWG:ssä Cloudflaren omien mittaustensa mukaan Gateway ja WARP on yli puolet nopeampi kuin Zscalerin ZIA. Cloudflaren SWG-toiminnolla ei oikeastaan ole vaikutusta nopeuteen, koska hidastelisä on niin pieni. Cloudflare Proxy vastaan Zscaler ZPA on hieman tasaisempi ottelu, mutta silti CF Proxy vie selvän voiton. Blogi esittelee paljon mittausdataa.
Brutaaleista irtisanomisista on yhtäkkiä tullut normi isoissa teknologiayhtiöissä. Tapana on ollut vähentää noin 5% työntekijöistä, mikä tarkoittaa noin 5000-20000 työtekijää. Citrixin muutokset ovat nostattaneet tunteita. Tuhansia työntekijöitä joutuu lähtemään kun omistaja CSG järjestelee pienemmät asiakkaat kanavakumppanien käsiin. Citrix itse keskittyy vain 1000 tärkeimmän asiakkaan hoitamiseen. Tässä on mahdollisuus kumppaneille ottaa bisnes käsiinsä, mutta myös Citrixille näytön paikka miten kumppanitoiminta hoidetaan. Lupauksena kumppaneille on parempi ennustettavuus ja kannattavuus sekä nopeampi ja helpompi toiminta. VDI-kentän koventuneesta kilpailusta on ollut merkkinä Citrixin ja Vmwaren ostot. Kuriositeettina mainittakoon, että nykyisen Citrix-Tibco -johtajan Tom Krausen kerrotaan junailleen Broadcomin Vmware-oston.
Yleisesti teknologiayhtiöiden rajut irtisanomiset herättävät kysymyksiä. Ylireagoivatko johtajat kun kysyntä on kuitenkin vähintäänkin kohtuullista? Kuluttajamarkkina saattaa hiipua, mutta yrityspuolella on laskevista ennusteista huolimatta optimismia, mikä ei nyt näy valmistajien toiminnassa. Varsinkin Microsoftin reagointi huolestuttaa, koska se on yleensä ollut hyvin tarkka ennusteissaan. Sekä Microsoft että AWS ovat kasvattaneet liiketoimintaa reagoimalla nopeasti ympäristön muutoksiin. Microsoftilla on etuna paljon laajempi liiketoimintapohja kuin kilpailijoilla. Apple on poikkeus irtisanomisaallossa, koska viimeiset vuodet se on ollut rauhallisempi rekrytoinneissaan ja ei nyt irtisano ihmisiä niin kuin muut. Apple on kasvattanut henkilöstön määrää tasaisesti riippumatta kannattavuudesta. Yleisesit IT-alalla riittää yhä töitä niin paljon kuin jaksaa tehdä.
Kyberturva
Catharina Candolin ravistelee jälleen valtiota kyberpuolustuksen puutteista (HS maksumuurin takana). Kyberiskua tulisi verrata fyysiseen hyökkäykseen ja puolustuksen pitäisi olla enemmän valtion, kuin yksittäisten yritysten harteilla. Puolustusvoimat suojelee lähinnä itseään, vaikka vastaakin kyberpuolustuksesta. Kriittinen infrastruktuuri tuntuu olevan nyt ilmaista riistaa. Osa yrityksektoreista on hyvin valmistautuneita, osa ei. Suomi tarvitsisi valtiojohtoa lähellä olevan kybernyrkin johtamaan kyberoperaatioita. Jo 2017 tehdyssä raportissa todettiin operatiivisen johtamisen puutteet. VTV on myös huomauttanut puutteista johtamismalleissa, rahoituksessa ja häiriöilmoitusten toimittamisessa. Tilannekuvan kokoaminen, johto ja harjoitellut toimenpiteet pitäisi olla valmiina, kun hyökkäystilanne tulee. Vastatoimiakin pitäisi olla hahmoteltuna. Puolustusministeriö ja valtion kyberturvallisuusjohtaja ovat eri mieltä ja eivät innostu kybernyrkistä. Asioihin on reagoitu, pandemiasta ja Vastaamo-tapauksesta opittu, ja valtiojohdolle on alettu tuottaa tilannekuvaa kyberkentästä. Käynnissä on myös selvitys kyberpuolustuksesta osana maanpuolustusta. Vaikka ministeriöiden välillä on koordinaatioryhmä, tiedonvaihdossa on kuitenkin edelleen kehitettävää, se myönnetään. Vastatoimet ja niiden laillisuus kaipaa myös selkeyttä. Keinoja on eritasoisia diplomatiasta hyökkääjään vaikuttamiseen. Ongelmat ovat todellisia ja viranomaiset vääntelehtivät selittelyissään. Pientä kehitystä on ehkä saatu aikaan. Kansainvälisesti Suomi on hyvällä tasolla, mutta ei kuitenkaan kärjessä. ITU:n vetailussa Suomi on sijalla 22, ja NCSI:n vertailussa Suomi saa muuten täysiä pisteitä, mutta johtamisen pisteet ovat heikot ja tärkeiden toimintojen suojaamisessa ei pisteitä tipu olleenkaan.
Kybertöitä riittäisi maailmanlaajuisesti 3,4 miljoonalle tekijälle. ISC2:n selvityksen mukaan pelkästään viime vuonna tuli tarve 464000 uudelle työntekijälle. Suomessa Kyberala arvio lähivuosien tarpeeksi 8000-10000 osaajaa. Nyt Gofore lähtee mukaan kouluttamaan kyberosaajia puoli vuotta kestävällä palkallisella Hackademy-koulutuksella. Mukaan pääsee alkuun kymmenen kokeneempaa teknistä asiantuntijaa, joiden osaaminen ja motivaatio antavat pohjan tietoturvasuuntautumiseen. Koulutukseen sisältyy työskentely asiakasprojekteissa ja valmistumisen jälkeen koulutetut työllistyvät Goforelle. Haku näyttää olevan käynnissä nyt myös Linkedinissä, joten ilmeisesti hakijoita kaivataan lisää.
Kybertöihin on vaikea saada palkattua ihmisiä ja vika on yleensä enemmän palkkaajissa kuin hakijoissa. Tietoturvaroolit nähdään edelleen hakkereina, vaikka työn tarkoituksen myyminen olisi tärkeää. Työntekijät hakevat tarkoitusta ja mahdollisuutta vaikuttaa. Työnkuvat tuppaavat olemaan laaja-alaisia ja niistä kuvastuu, että yritys ei tiedä mitä se tarvitsee. Rekryvaiheessa on vaikea löytää sopivia valintamenetelmiä, ja ehkä enemmän pitäisi yrittää löytää vain tietoturva-asennetta ja uteliaisuutta teknisiin järjestelmiin. Tekijöitä voi hankkia talon sisältä ja olemassa olevaa henkilöstön osaamista pitää kuitenkin jatkuvasti päivittää, joten joka tapauksessa koulutus maksaa. Yrityksissä tarvittaisiin toimintakulttuurin muutosta ja sitä johtamaan voisi sopia uusi titteli kyberkulttuuripäällikkö. Iso juttu olisi myös tietoturvan operatiivinen johtaminen, joka loistaa poissaolollaan monessa yrityksessä. Työntekijät tarvitsevat ohjausta ja turvallista pohjaa. Oma riittämättömyys kalvaa ja jonkun pitäisi sanoa, että aina ei tarvitse tietää ja osata. Alan monimuotoisuus hiertää ja monet päätyvät perustamaan oman yrityksen. Ala voisi katsoa peiliin ja miettiä miksi työntekijöitä ei saada. No koska yritys ei kiinnosta ja kukaan ei sinne hae.
Socradar ja Paloalto ovat koonneet viime vuoden merkittävimmät kybertapaukset ja opit yhteen. Huomiota kannattaa kiinnittää säännöllisiin tietoturva-arviointeihin, kolmansiin osapuoliin ja sisäisiin uhkiin, inhimillisiin virheisiin ja rajapintojen valvontaan. Arctic Wolf listaa viime vuoden käytetyimmät haavoittuvuudet. Kärjessä on Windowsin, Apachen, Sonicwallin, Redhatin, SAP:n, Linuxin, Sophoksen, Vmwaren, F5:n ja Zyxelin haavoittuvuuksia.
Gartnerin mielestä zero trustin hype ei ole välttämättä hyväksi tietoturvalle. Tarvitaan muitakin menetelmiä täydentämään zero trust- arkkitehtuuria, varsinkin kun yritykset ovat vasta hyvin alussa sen toteuttamisessa ja odotukset saattavat olla ylimitoitettuja. Vaatimustenmukaisuus, tiedon turvaaminen, identiteetinhallinta, operatiivinen tietoturva ja muut osa-alueet ovat tärkeitä. Sipulimalli ja operatiivinen valvonta ja analytiikka ovat hyvä lisä. Gartner ennustaa, että yli puolet hyökkäyksistä kohdistuu zero trust -mallin ulkopuolisiin toimintoihin. Zero trust ei poista hyökkäyksiä, vaan rajaa vaikutuksia. API-rajapinnat ovat hankalia ja pääsy joudutaan sallimaan usein melko löysästi. Zero trustin toteuttamista vaikeuttaa pitkäjänteisyys, jossa on vaikea mitata konkreettisia tuotoksia johdolle raportoitavaksi. Vahva trendi kuitenkin jatkuu ja toteutukset etenevät.
Hakkeriryhmä Ghostsec väittää tehneensä ensimmäisen lunnashaittaohjelman RTU-laitteille, joita teollisuuden ohjauksessa käytetään. Tosiasiassa kyseessä on enemmänkin perinteinen IT-haittaohjelma, jota on sovellettu teollisuuslaitteisiin. RTU sisältää yleensä tavallisen Linux kernelin, joka vaan sattuu ohjaamaan sarjaportteja. Joten mitään mullistavaa ei ole kyseessä, vaikka hyökkäyksiä ICS-verkkoihin onkin tapahtunut. Se joka hyökkää ICS-verkkoon, tietää sen arvon, ja silloin voi olettaa valtiotaustaista hyökkäystä. Yleensä hyökkäykset kuitenkin kohdistuvat IT-järjestelmiin, joilla on vaikutusta automaatiopuoleen.
Trellixin tutkija esittelee Draytek Vigor -laajakaistareitittimien häkkäyksen ja demoaa sen käyttöä. Kiinalaiset verkkolaitteet elävät verkoissa kielloista huolimatta. Strand Consultin raportin mukaan kahdeksassa Euroopan maassa yli puolet 5G-verkon laitteista on kiinalaisia. Maiden määrä on kuitenkin puolittunut vuodessa. 11 Euroopan maassa 5G-verkon on rakennettu kokonaan ilman kiinalaisia tuotteita. Keskiarvona 41% Euroopan 5G-liikenteestä kulkee kiinalaislaitteiden läpi. Ironista kyllä Berliinissä Huaweilla on suurempi markkinaosuus kuin kotimarkkinoilla Pekingissä, jossa kilpailu on paljon kovempaa.
Briteissä tiukat ukaasit Huawein poistamisesta vuoteen 2027 mennessä ovat laimenneet ja viranomaiset ovat hyväksyneet mahdolliset riskit. Kiinalaistuotteille asetettu alle 35% markkinaosuuden vaatimus tämän vuoden kesään mennessä on vaihtunut ystävällismielisiin “missä mahdollista” -suosituksiin. O2:lla ei ollut Huaweita kuin testiverkossa. Three taas oli valinnut Huawein ainoaksi 5G-toimittajakseen, mutta vaihtoi nopeasti Ericssoniin. BT:llä on Huaweita on noin 12500 saitilla kaikista 19000:sta, ja noin puolet mobiiliverkoista on edelleen Huaweita. 3000 saittia on vaihdettu toisiin laitteisiin ja toiset lähes 3000 saittia on vielä vaihtamatta. Vodafone pelaa Open RAN -kortin korvatakseen Huawein noin 2500 saitilta, mutta sille jää sen lisäksi vielä 3000 saittia korvattavaksi muilla laitteilla. Toistaiseksi Vodafonella on vain yksi O-RAN -saitti käytössä. Riskit ovat suuret jos O-RAN ei lennä ja Vodafonen pitää ajaa kahta tekniikkaa tai verkkoa rinnakkain.
Huawei itse on vaihtanut toimitusjohtajakseen Eric Xun, joka linjaa yhtiön uuden normaalin rajoitusten keskellä. Xu nollaa viime vuoden Renin huonot ennusteet ja kannattavuuteen keskittyvät linjaukset. Huawei onnistui vetämään itsensä ylös viime vuoden kriisitilasta ja nyt se panostaa tiettyihin kohteisiin ja tuotekehitykseen, kuten pilveen. Xu kiittää ulkomaalaisia työntekijöitä, jotka ovat jaksaneet etulinjassa vaikeuksista huolimatta ja ottaneet iskuja vastaan asiakkailta. Yhtiö aikoo antaa joillekin paikallisille yksiköille enemmän vapauksia ja dynaamisuutta johtoon.
Red Canary esittelee Linuxin Ebpf:n riskejä haittaohjelmille. Ebpf on oivallinen tehotyökalu sovelluskehittäjille, mutta myös hyökkääjille. Lisää tutkimusta tarvitaan, jotta riskit ymmärretään. Perinteisestä käppyräkuvaajatyökalusta Cactista on löydetty vakava haavoittuvuus. Lastpassin marraskuinen tietomurto on olevan laajempi ja vakavampi, myöntää omistaja Goto. Muun muassa neljän Lastpassiin linkitetyn palvelun tiedot ja osa varmuuskopioiden salausavaimista saatiin myös vietyä. Ranskalaislehti luonnehtii tapausta saippuaoopperaksi. Tapauksen myötä myös Bitwardenin toteutusta on arvioitu ja verrattu Lastpassiin. Oletusasetuksilla Lastpass ja Bitwarden ovat samantasoisia turvallisuudeltaan, mutta erilaiset kryptoiteraatiomäärät vaikutavat tasoon. Ehkä olennaisimpana erona on se, että Lastpass ei salaa kaikkea tietoa, toisin kuin Bitwarden. Keskustelua aiheen ympäriltä löytyy Hacker Newsistä. Apple on lisännyt tileihinsä mahdollisuuden käyttää fyysisiä FIDO-standardoituja MFA-tunnisteita.
Sijoittaja Thomas Bravo on hankkinut omistukseensa Magnet Forensicin, jonka se aikoo yhdistää Grayshiftiin. Ostohinta on messevä 1,3 miljardia dollaria.
Operointi ja työkalut
Viavin State of the Network -tutkimuksen päälöydöt kertovat, että käyttäjäkokemus on 70%:lle IT-tiimeistä tärkein asia. Yli puolet tiimiestä käyttää yli puolet ajastaan ratkoen verkko-ongelmia (tai muiden palveluiden). Erityisen hankalia ovat puhe- ja viestintäpalvelut. Yleensäkin ongelmien rajaaminen ja kohdistaminen johonkin osa-alueeseen on hankalaa. Pahimmat näkyvyyspuutteet liittyvät SASE:en, etäkäyttäjiin, pilvialustoihin ja -sovelluksiin sekä käyttäjäkokemukseen. Kaikki nämä ovat oman infran ulkopuolella. Pilvellä näyttää kuitenkin olevan enemmän hyötyjä kuin haittoja.
Monipilvessä ja hybridimaailmassa verkkotiimeillä on paljon annettavaa, kertoo EMA:n kysely. Parin vuoden päästä lähes kaikilla yrityksillä on käytössä useampia infrapalveluntarjoajia. Tietoliikenteellä on iso rooli osien yhdistäjänä. Infratiimien pitää ottaa johto arkkitehtuurin ja tietoturvan määrittelyssä, mutta tietoliikenneryhmiltä puuttuu vaikutusvalta pilvikeskusteluissa. Verkkoihmiset haluavat lisää vaikutusvaltaa, mutta muut ajattelevat, että heillä on jo liikaa valtaa ja toiminta rajoittaa omaa tekemistä. Tämä johtuu vastakkainasettelusta ja yhteistyöongelmista. Jokainen ryhmä haluaa pitää omat oma järjestelmänsä ja tietonsa, eivätkä luota muihin. Prosessit, käytännöt ja vastuiden selkiyttäminen auttaisivat asiaa. Kun infra laajenee ja hajautuu, johtamista vaaditaan selvästi enemmän. Pilvivetoinen laajentuminen näyttää johtajille liian helpolta kun tietoliikenteen ja tietoturvan monimutkaisuus jää piiloon. Pilvitiimit ovat kuninkaita, ja tottuneet toimimaan yksin omien tapojensa mukaan, vaikka verkkotiimeillä olisi parhaat edellytykset auttaa. Pilvi on usein myös liiketoiminnan sisällä ja verkko infran puolella, joten yhteistyö ei toimi. Verkko ja tietoturva sen sijaan ovat tehneet yhteystyötä vuosia, vaikka vastakkainasetteluakin on paljon. Tietoturva on verkon kanava liiketoimintoihin ja johtoon. Verkko voi “varastaa” tietoturvabudjettia esittämällä omien investointiensa tietoturvavaikutuksia. Yhtenäinen verkkotietoturvaosasto on vahvempi ja vakavammin otettava pilviosastoa vastaan ja vaikuttaminen on helpompaa. Unelmatapaus olisi yksiköiden ja ryhmien välinen keskinäinen luottamus, avoimuus ja yhdessä tekeminen, jolloin kokonaisuus toimisi. Joka tapauksessa verkon ja tietoturvan on oltava osa pilveä, muuten hommat menevät pieleen.
Pilviverkot eroavat perinteisistä verkoista suurimmaksi osaksi siksi, että verkkokortit hoitavat reitityksen. Azuressa NIC:t hoitavat reitityksen, suodatuksen ja NAT:n. Azuressa reititystaulut konfiguroidaan aliverkoille, ei perinteisesti koko laitteelle. NIC:t on ryhmitelty saman reitityspolitiikan mukaisesti aliverkkoihin, mutta pilven aliverkko ei ole perinteinen L2 broadcast domain. Azure ei myöskään tee rekursiivista reittihakua tai opi osoitteita, koska sen ei tarvitse. Jokainen VM on käytännössä omassa aliverkossa ja kaikki liikenne menee joka tapauksessa NIC:n läpi. Pilvessä ei siis ole BUM-liikennettä, vaikka multicastille voisi olla joskus tarvetta. Sen toteuttaminen pilveen olisi kuitenkin niin hankalaa, että se ei kannata minimaaliselle käyttötarpeelle.
Twitterissä herätellään keskustelua miksi ipv6-verkossa oletusreittinä ei käytettäisi nollareitin sijaan vain allokoitua aluetta 2000::/3? Se rajaisi reitit vain julkisiin unicast-osoitteisiin, mutta jossain kaukana tulevaisuudessa allokoidaan uusi alue 4000::/3 käyttöön, ja silloin pitäisi uusi reitti lisätä joka paikkaan. Nollareitti sisältää kaikenlaisia ipv6-osoitealueita, joita ei välttämättä halua levittää verkosta ulos, mutta niinhän on myös ipv4-maailmassa. Erona on vain se, että ipv4-osoitealuetta ei voi tiivistää yhteen osoiteblokkiin.
RFC9234 on lisäys BGP-reittien vuotojen estoon. BGP:n open-viestiä laajennetaan neuvottelemaan sovittu konfiguraatio ja pakottamaan se käyttöön peerauskumppaneiden välillä. Vaihdetut reitit merkataan BGP role -parametrillä ja ne voidaan siten tunnistaa ja suodattaa. Menetelmä on suunniteltu transit-operaattoreiden käyttöön, mutta sisältää möys Only-to-Customer OTC -atribuutin, jolla estetään AS:iä luomasta vuotoja ja tunnistetaan vuodot AS-polun keskeltä. Toistaseksi tuki löytyy vain avoimen koodin reititysohjelmista.
Juniper MX204 palasi ainakin hetkeksi markkinoille, mutta IP Architechs esittelee sille vaihtoehdon disaggregoidusta ratkaisusta IP Infusionilla. IPI on operaattoritason käyttöjärjestelmä, jota voi ajaa eri rautojen päällä. Kytkinraudoilla saa helposti ja kustannustehokkaasti paljon nopeita portteja ja käyttöjärjestelmä hoitaa muut ominaisuudet. IPI:ssä on hyvin Cisco IOS-tyylinen CLI. EVPN-tuki löytyy, mutta sen konfigurointi on erilaista. Lisensointi toimii yksinkertaisesti ominaisuuksien mukaan. Kokemusten mukaan IPI:n tuki tuntuu olevan kiinnostunut asiakasta ja haluaa auttaa nopeasti. Bugeja korjataan yleensä viikon kahden toimitusajalla. Disaggregoidut ratkaisut voivat olla nyt hyviä vaihtoehtoja, joita saa nopeasti toimitettuna. Hinta asettunee samalle tasolle perinteisten valmistajien halvemman pään integroitujen laitteiden kanssa.
“QoS is Bullshit Methodology Technology” tokaisi Geoff Huston RIPE65-esityksessään aikoinaan. Olen samaa mieltä. Internetin myötä QoS:n merkitys on vain vähentynyt. Menetelmä ei toimi käytännössä kuin hyvin rajatulla ja määritellyllä alueella. Kuitenkin jokainen mobiiliverkkosukupolvi on pitänyt sisällään lupauksen palvelunlaadusta. Miksi ihmeessä kaikki ongelmat pitää ratkoa verkossa? Dean Bubley antaa hyvän katsauksen mitä muita keinoja kuin verkon QoS meillä olisi. Sama lopputulos voidaan saavuttaa esim. ohjelmistoissa pakkaamalla tai puskuroimalla liikennettä, valitsemalla toisenlainen arkkitehtuuri tai hyväksikäyttämällä ihmispsykologiaa. Joskus fyysinen siirto on oikea ratkaisu esim. isojen datamäärien liikuttelussa. Nokkelia ratkaisuja siirtää vastuu pois verkolta on esim. AR/VR-laseista tuttu “foveated rendering” eli resoluution pienentäminen katsomisalueen ulkopuolella. Verkkopelauksessa puhutaan usein viiveistä, mutta oikeastaan tärkeintä on kohtalaisen pieni viive, ja ensisijaisesti tasainen ja ennustettava viive eli pieni jitter. Viivettä ja sen vaihtelua voidaan korjata tasoittamalla se kaikille pelaajille samaksi. Tekoäly osaa nykyään ennustaa ja korjata virheet ja puutteet. Tällainen “packet loss concealment” toimii myös audio/video-siirrossa. Yksi VR-junaverkkoon sopiva esimerkki boksin ulkopuolelta on kaivertaa junien ikkunalaseihin uurteita, jotta ne läpäisevät paremmin radioaaltoja ja nopeuttavat verkkoyhteyksiä.
Merikaapelin asennus on oma lajinsa. Kaapeliin syötetään jopa 12 kV:n jännite ja kaapeli pitää maadoittaa molemmista päistä. Yksi tapa on porata maahan tai upottaa merenpohjaan 2 m pitkä metalliputki tai halkaisijaltaan 2 metrin kokoinen teräslevy.
NSA on ohjeistanut Ipv6-turvallisuuden perusperiaatteita lyhyessä yleisohjeessaan. Daryll Swerr ihmettelee miksi ipv6 ND toimii eri tavalla eri valmistajien laitteissa. ND-pakettien kohde on aina link-local -osoite, mutta toisissa käyttöjärjestelmissä pakettien lähdeosoite on globaali unicast-osoite ja toisissa link-local -osoite. RFC4861 ei tuo selvyyttä asiaan. No, kumpikin tapa kyllä toimii, mutta kysymys kuuluu miksi asia on jätetty näin auki ja toteutukset ovat erilaisia? Ongelma tulee esille esim. palomuurauksessa.
Tietoturvan operoinnissa yksinkertaisuus helpottaa SOC:n toimintaa. SRE-periaatteista johdettuna yksinkertaisuus poistaa yllätyksiä, jotka ovat yleensä tietoturvaongelmien syynä. Sääntely saattaa ohjata yrityksiä vanhentuneisiin ja huonoihin käytäntöihin. Pahin yhtälö saadaan kun yhdistetään haavoittuvat järjestelmät ja prosessit uhkiin ja sääntelyyn. Luottavien prosessien pitäisi lisätä ketteryyttä, sanovat SRE:t. SIEM on monimutkainen tuote, koska sen tehtävä on monimutkainen. Jotkut tuotteet tekevät tehtävästä vielä vaikeampaa. Pilvipalvelut ovat yleensä yksinkertaisempia kuin omien ympäristöjen ratkaisut. Hyvään järjestelmään voi tehdä muutoksia rajattuun osaan. Huono integroitu järjestelmä on huonompi kuin kaksi erillistä toisiinsa liitettyä järjestelmää. Yksinkertaisuutta pitää vaalia. Jokainen sääntö ja rivi on painolastia, jolla luodaan lisää työtä. Yksinkertaiset järjestelmät ja prosessit tuottavat helpommin turvattavan ja valvottavan ympäristön.
Euroopan tietosuojaneuvosto on julkaissut suosituksia pilvipalveluiden käytöstä julkisella sektorilla. Suositusten taustalla on selvitys noin sadan eri EU-organisaation toiminnasta. Suomesta mukana oli kolme organisaatiota. Tietosuojaneuvosto huomauttaa, että organisaatioiden on toimittava täysin EU:n tietosuoja-asetuksen mukaisesti, mikä on pilvessä vaikeaa.
Sosiotekninen käytettävyys on käsite, joka laajentaa järjestelmän luotettavuuden pelkkää valvontametriikkaa syvemmälle. Se katsoo ihmisiin palveluiden takana ja ottaa huomioon käyttäjäkokemuksen. Jo SRE-työkaluissa ja -metriikassa käyttäjäkokemusta johdettiin järjestelmämetriikasta. Sosiotekninen käytettävyys korostaa suunnittelun ja operoinnin merkitystä. Miten asiantuntijat selviävät ongelmista, onko ohjeet olemassa ja harjoiteltu, miten yksi palvelu liittyy kokonaisuuteen ja muihin palveluihin, tiedetäänkö miten palvelua myydään ja markkinoidaan asiakkaille ja mitä asiakkaat odottavat, kuinka väsynyt tiimi on ja miten se selviytyy, onko vastuun rajat selvät erilaisissa tilanteissa? Uusi käytettävyyden määritelmä on: järjestelmän tila + painotettu käyttäjäkokemus, priorisoituna sen hetkisillä voimavaroilla. Parhaiten toimivaan käytäntöön pääsee käsiksi oppimalla kokemuksista eli miten häiriöt on hoidettu. Numerot eivät kerro kaikkea.
Jos toimit esimiehenä, miten säilytät kosketuksen tekniikkaan kun et tee enää töitä kädet savessa? Twitter-ketjussa esitetään muutamia keinoja. Kannattaa ainakin pysyä mukana arkkitehtuurikeskusteluissa, katselmoinneissa, häiriöiden selvityksessä ja analysoimisessa, seurata tekniikan kehitystä, tehdä omia harrastusprojekteja, dokumentoida, ymmärtää asioita, analysoida metriikkaa ja kysellä kysymyksiä.
Caretta on kevyt itsenäinen työkalu, joka visualisoi Kubernetes-klusterin palvelut. Se kerää Ebpf:llä palveluiden välisen liikenteen, syöttää sen Grafanaan, jossa tietoa voi katsella ja kysellä.
Packetvis valvoo BGP- ja RPKI-infraa. Valvontatiedon saa API-rajapinnan kautta integroitua valvontajärjestelmiin kuten esim. Nagios.
AWS:lle on löytyy Security Survival Kit, joka varoittaa ennakoivasti epäilyttävästä toiminnasta. Samanlainen kitti on luotu nyt Azurelle.
Cado Security ja Invictus esittävät blogissaan miten tietoturvatapahtuma hoidetaan AWS:ssä Cado Response tuotteella.
Steampipe on työkalu, jolla voi kysellä tietoa pilvien API-rajapinnoista SQL-muodossa. Sitä voi käyttää tietoturva-auditointiin. Steampipen valmiilla compliance modeilla voi tehdä kyselyitä erilaisia viitekehyksiä vasten.
KEHITYSTÄ JA TULEVAISUUTTA
Tutkijat ovat löytäneet tavan muodostaa kuvan ihmisruumiin muodoista wifin radioaaltojen perusteella. Sen avulla ihmisten havainnointia voitaisiin tehdä halvoilla wifi-laitteilla, anonyymisti, pimeässä ja läpi seinien. Käyttökohteita olisi mm. terveydenhuollossa.
VTT Mikes on kehittänyt pitkään uuden sukupolven optista atomikelloa. Nyt se on osoitettu koekäytössä toimivaksi. Tavoitteena on osallistua uudella kellolla maailmanajan ylläpitoon ja SI-sekunnin tarkempaan määrittelyyn, kun se uudistuu 2030-luvulla. Nykyinen kaupallinen kello vastaa SI-sekuntia 14 desimaalin tarkkuudella eli heittää yhden nanosekunnin vuorukaudessa. Optinen kello on tuhat kertaa tarkempi. Optisten kellojen vertailu on satelliittien epätarkkuuden ja välimatkojen vuoksi hankalaa. Siksi kellot tulevat välillä vierailulle vertailtavaksi paikan päälle. Ajan välittämiseen käytetään yhä enemmän kuitua, koska se on tarkempi kuin satelliitit.
Edelleen on epäselvää mikä on edgen potentiaali. Näyttää, että todellista tarvetta on vielä vähän, jos ollenkaan. Käyttökohde on lyhyen luupin reaaliaikasovelluksilla, jotka synkronoivat todellisen maailman tilan sovelluksille ja lähettävät ohjaustietoa takaisin. Näitä ajetaan toistaiseksi omissa tiloissa ja on vaikea kuvitella, että kaikki siirtyisi yhtäkkiä pilveen. Edgeä ei voi taloudellisesti tuoda joka paikkaan ja joka käyttöön. Se ei ole yleispilvi ja rajautuu maantieteellisesti pienelle tiiviille alueelle. Julkisessa pilvessä on paremmat edellytykset ajaa sovelluksia. Suurin osa sovelluksista toimii ihan hyvin pilvestä asti ja lyhyen viiveen vaatimus on jonkinlainen myytti.
NaaS eli verkko palveluna on tehnyt nousuaan. Onko se sitä mitä ajattelemme? NaaS:ia on ollut olemassa vuosikausia. MPLS VPN:t ovat verkkopalvelua ja verkon voi ulkoistaa palvelutoimittajalle. Valmistajat ovat siirtyneet myymään laitteita tilausmallilla, mikä ei juurikaan ole muuttanut verkon toimintaperiaatetta, vain talouspuolta. NaaS:n tulisi kuitenkin olla joustava muuttuviin tilanteisiin ja tarpeisiin, siksi yritysten reunatoiminnot siirtyvät omista tiloista keskitettyyn paikkaan. Verkkofunktioiden virtualisointi NFV teki tätä vuosia sitten ja uCPE:n oli tarkoitus siirtää yritysten liittymäpalvelut keskitettyyn paikkaan, yleensä operaattorn konesaliin. Pandemian aikana pilvi räjäytti potin ja SASE/SSE-palvelut perustettiin pilveen. Nyt yhä enemmän ja enemmän verkkotoimintoja siirtyy pilveen, joten pilvi ja internet näyttää olevan NaaS:n kononaisvaltainen toteutuma. Siispä voidaan sanoa, että NaaS:n toteutuminen nähtiin jo viime vuonna.
Tulevaisuus näyttää yhä enemmän hybridiltä. Yrityksillä on entistä enemmän datalähteitä siroteltuna ympäriinsä ja jotenkin tiedot pitää kerätä käsiteltäväksi. Tämä ruokkii yhteystarpeita pilveen ja omaan konesaliin. Data hajautuu eri puolille käsiteltäväksi ja sitä pitää liikutella eri paikkojen välillä. Kokonaisuudesta tulee kaikin puolin entistä monimutkaisempi. Myös datan muoto muuttuu rakenteellisesta entistä hajanaisemmaksi. Operaattoreilla ja palveluntarjoajilla on hyvät mahdollisuudet hoitaa datan käsittely ja yhteydet, mutta kumppaneita tarvitaan yhdistämään julkiset pilvet, omat konesalit ja sovellukset.
Dell’Oro:n näkemyksissä SASE:n suunta näyttää kääntyvän tietoturvan eli SSE:n puolelle. SD-WAN -verkkopuoli ei niin kiinnosta yrityksiä nykyisessä taloustilanteessa ja investoinnit priorisoidaan tietoturvaan. SD-WAN -valmistajat joutuvat etsimään kumppania tietoturvapalveluille. Verkko- ja tietoturvakomponenttien ero on jo pysyy. Yritykset, jotka ovat jo kokonaisen SASE:n toteuttaneet, toteavat että verkko ja tietoturva ovat usein hyvin erillisiä osia. Syynä on isojen organisaatioiden siiloutunut toiminta. Myös kokonaisuuden hallinta ja isojen muutosten tekeminen on vaikeaa jos kaikki palvelut ovat samassa korissa. Valmistajien on täytynyt vakuutella asiakkaita teknologian hyödyistä, vaikka kun asiakkaat eivät ole osanneetkaan välttämättä hyödyntää ominaisuuksia. SASE-markkinassa integrointi näyttelee tärkeää osaa. Tietoturvan ja verkon täytyy toimia hyvin yhteen. Yhtenäiset SASE-ratkaisut valtaavat alaa, mutta eivät ole vielä oletusarvo. SASE-markkinassa puhutaan myös yhteensopivuudesta, jota MEF yrittää määritellä ja standardoida. Alan kypsyessä yhdenmukaistumista todennäköisesti tapahtuu joka tapauksessa.
Zero trustin tulevaisuutta ennustavat usean yrityksen edustajat Sdxcentralin kokoamassa kyselyssä. Verkot pysyvät hybrideinä pitkälle tulevaisuuteen. ZTNA siirtyy kohti yleistä internetin ja palveluiden pääsynhallintaa ZTA:ta, johon SSE yhdistyy. Toimintaympäristöstä tulee täysin reunaton ja se helpottaa yritysten hajautunutta toimintaa. Yksittäiset tuotteet eivät yleensä saavuta tavoitetta ja yhdenmukaisuuden puute hidastaa käyttöönottoa. Ala tarvitsee parempaa opastusta sopiviin ratkaisuihin ja toteutustapoihin ihan konkreettisesti. Jotain osviittaa saa esim. NIST:n, DHS:n ja CISA:n ohjeista. Zero trustista voisi jopa tehdä standardin. Tietoturvan automatisointi on pakollinen kehitysaskel ja tietoturva on rakennettava kaikkiin komponentteihin sisään. MFA oli joskus ratkaisu kaikkeen, mutta nyt se on peruspalikka taustalla. Sen käytettävyys kuitenkin puhututtaa. Zero trustissa painopiste tulisi siirtää käyttäjien toiminnan autentikointiin ja valvontaan. Monimutkaisuus ja kasvava ympäristö lisää haavoittuvuutta, ja näkyvyyden puute infraan, sovelluksiin ja laitteisiin estää kunnolliset toteutukset. Sisäinen ja ihmisten tekemien virheiden uhka on olemassa. Tietoturvajohdolla on monesti tukalat paikat ja kiittämätön rooli. Isoissa organisaatioissa voisi nousta esiin uusi rooli Chief Zero Trust Officer CZTO.
ChatGPT:n uhkia ja mahdollisuuksia tietoturvaan on pohdiskeltu. Pahimmillaan tekoäly voisi tehdä tietoturvasta mahdotonta, mutta samalla puolustus voi hyödyntää sitä omaan torjuntaansa. Taistelu siirtyy vain älykkäämmälle ja dynaamisemmalle tasolle. Tekoäly osaa esim. luoda puhetta, jolloin tunnistautuminen puhelimitse menettää merkityksensä. Token-palikat tekevät paluuta. Suojaamisen puolella tekoäly voi tehostamaan toimintaa. Tiedon käsittelystä tulee helpompaa mm. suodatuksen, korreloinnin ja luonnollisen kielen avulla, mikä voi mullistavaa työn tuottavuuden. Socradar testaa mihin ChatGPT:stä on konreettisena kyberavustajana ja Cybernews miten se avustaa hyökkääjää. Ashish Bansal esittelee ChatGPT:n tietoturvan havainnointikykyä blogissaan.
Tietoturvan myynnissä tekoäly on nyt yksi kasvun moottoreista. Palveluiden osuus koko kybermarkkinoista ennustetaan olevan lähes 65%. LAN-verkonhallinnasta tuttua tekoälyapua tuodaan nyt tietoturvatuotteisiin. Esim. Orca on lisännyt GPT-3 -tekoälyn alustaansa tehostaakseen tapahtumien käsittelyä. Tapahtumien data syötetään tekoälylle ja se luo siitä selkeät toipumisohjeet. Tekoälyltä voi myös kysellä lisätietoja ja säätää vastetta tapauskohtaisesti. Tekoälyn kanssa on tietysti aina olemassa epävarmuus ja luottamusongelma, mutta ainakin Orca näkee, että hyödyt voittavat riskit.
HS:ssä asiantuntijat pohtivat yleisesti ChatGPT:n vaikutusta työpaikoilla. Tekoäly tukee mm. näkökulmien etsimisessä ja tiedon omaksumisessa, tai voi hoitaa kirjoitustöitä ja muita rutiinihommia tehokkaasti. Työn laatua voidaan parantaa tekoälyn avulla, mutta aina teknologia ei tuo tuottavuushyötyä. Jotkut työnkuvat voivat olla vaarassa, mutta suuremmin tekoäly ei ihmisiä korvaa. Tekoäly ei tajua asioiden sosiaalisia puolia, ja ihmisen pitää osata kysyä siltä oikeat asiat ja tarkastaa luomukset. Tekoäly voi suoltaa bulkkitekstiä loputtomiin, mutta sellaista inforoskaa ei kukaan halua lisää tähän maailmaan. Alkuinnostuksen myötä yrityksetkin ottavat kantaa tekoälyn käyttöön, kunnes siitä tulee arkipäivää ja osa kaikkia palveluita.
Tekoäly todennäköisesti muuttaa ohjelmointia perusteellisesti. Suurimman osan ohjelmista tekee jatkossa tekoäly. Nykyinen Githubin Copilot -avustin on vain välivaihe, kun jatkossa ohjelmoijan tehtävä on opettaa tekoäly luomaan oikeanlainen lopputulos. Tiedonkäsittelyn perusyksikkö ei ole enää prosessori tai muisti, vaan tekoälymalli. Massiiviset ihmisen kuratoimat data-aineistot eivät ole enää tarpeellisia, vaan tekoälymallien opetus tapahtuu näyttämällä esimerkkiä. Tekniikan töistä tulee enemmän opettamista kuin insinööriyttä. Ongelma vain on se, että kukaan ei enää ymmärrä miten iso tekoälymalli toimii. Tekoäly voi luoda uutta käytöstä, johon sitä ei ole opetettu. Tekoälyn rajoja ei edes nyt pysty määrittämään, saati tulevaisuudessa, kun mallit ovat monikertaisesti suurempia ja monimutkaisempia.
Hyperskaalaajat näyttävät mihin kehitys menee ja yritykset seuraavat 6-7 vuotta perässä. Nextplatform vertailee pilven ja yrityksen infran ominaisuuksia. 800G tekee tuloaan ensin pilvialustoihini, myöhemmin muualle. Tyypillinen pilven infra on 200/400G-palvelinportit ja 800G-uplinkit. Pieni ja ennustettava viive on tärkeä tekoälykuormille. Macsec ja ipsec tarvitaan isoilla kapasiteeteilla ja kustannustehokkuus on tärkeää. Yrityksissä palvelinliitännät ovat nyt 10/25G ja suuntaavat 50/100G-kapasiteettiin kun PCIe4-väylät tulevat käyttöön. Uplinkeissä miksataan eri nopeuksia välillä 25G-400G. Työkuormat ja kapasiteetit ovat vaihtelevia, joten yhteensopivuutta tarvitaan. Laitevalmistajat ovat valmiina ja tuotevalikoimasta löytyy erilaisia laiteversiota. Arista on julkaissut uudet 800G-kytkimet 7050X4 ja 7060X5. Niissä energiankulutusta on saatu laskettua 20-40%. Kapsiteettitiheys on tuplaantunut yhdessä räkkiyksikössä kun nyt kytkimestä saa nyt 32x800G-porttia. Kytkimet tukevat neljää nopeutta, mutta liitännät pysyvät samoina SFP/QSFP-portteina.
Tutkijat ovat kehitelleet Kubernetes-palveluille Segment Rountingia SRv6:lla. Sen avulla klustereita voitaisiin skaalata ja hajauttaa eri paikkoihin samalla säilyttäen kunnollisen liikenteenhallinnan overlay-tunneleille. Testissä on kaksi toteutustapaa: BGP ja Kubernetesin ohjauskerroksen laajentaminen. SRv6:n käytöllä on päästy samaan tehokkuuteen kuin nykyisillä ratkaisuille.
L4S-ruuhka-algoritmista on ollut puhetta viime aikoina. IETF:n yhteensopivuustestissä on saatu hyviä tuloksia. Varsinkin interaktiivisessa käytössä yhteyden laatu paranee selvästi. Domosin blogi esittelee tuloksia tarkemmin.
Internetin kehityksen tapahtumakalenteri listaa alan tapahtumat tälle ja tuleville vuosille.