[FI] Tietoliikennealan katsaus 2023-04

MENNYTTÄ JA TAPAHTUNUTTA

Starlinkin maailmanlaajuinen, mutta lyhyeksi jäänyt häiriö 8.4. johtui Muskin itsensä mukaan maa-aseman vanhentuneesta varmenteesta. Avaruusseikkailuissa SpaceX:n Starhip-kantoraketin laukaisu meni pieleen ja raketti jouduttiin räjäyttämään. Tapahtumia ja tuhoja Starbasen laukaisualueella Texasissa Meksikon rajalla selvitellään ja paikalliset ovat raivoissaan melusta, pölystä, hiekasta, roskista ja rikki menneistä ikkunoista. Lähellä on myös luonnonsuojelualue. Laukaisua kuvannut valokuvaaja sai kokea mitä tapahtui kuvauskalustolle. Karulla alueella on lopunajan tunnelmat. Falcon Heavy -kantoraketin laukaisu kuitenkin onnistui vieden taivaalle uusia satelliitteja myös uusilta toimijoilta. 

Tutkijat selvittivät myös miksi Starlinkin helmikuinen satelliittilaukaisu epäonnistui. Syynä oli aurinkomyrsky. Kun termosfääri lämpiää, siitä aiheutuu ilmakehän paksuuntuminen ja atmosfäärinen imu, joka hidastaa esineiden kulkemista ilmakehän läpi. Näin Starlink sai kokea miljoonien arvoisen oppitunnin kun se jätti huomiotta avaruussääennusteet. Kuvaaja näyttää miten hurjaa vauhtia Starlink on satelliitteja taivaalle pistänyt 2019 vuodesta lähtien. Samalla tietysti toimimattomien satelliittien määrä on kasvanut. 

Esimerkkinä modernin maailman ohjelmisto-ongelmista on MHR-90-sotilashelikopteri. Taiwanissa on väitetty sotilashelikopterin joutuneen vaikeuksiin, kun siihen ei ollut päivitetty uusinta ohjelmistopäivitystä. Toinen moottori sammui kuumakäynnistyksessä ja ongelma oli tiedossa. Päivityksiä vaan ei ollut tehty helikopterin ohjelmistoon estämään moottorin sammumista. Tosin pilotin toiminnallakin oli vaikutusta, koska ongelmallista kuumakäynnistystä käytettiin ehdoin tahdoin. 

Hetzner on toiminut Suomessa viisi vuotta ja kasvattanut Tuusulan konesalifarmiaan jatkuvasti. Nyt sillä on viisi hallia, joissa on kymmenen konesaliyksikköä. Yhteen yksikköön mahtuu 30000 palvelinta. Alueella on tilaa laajentaa toimintaa vielä kaksinkertaiseksi. Suomen hintataso on nyt Saksaa edullisempi, johtuen energian hinnasta ja pienemmistä jäähdytyskuluista. Hetznerin Tuusulan pilvipalvelimissa oli pieni paikallinen häiriö  13.4. keskipäivällä. 

Googlella sen sijaan oli isompia ongelmia Pariisin Europe-west-9a-zonella 25.4. alkaen. Häiriö vaikutti 90 palveluun. Googlen mukaan salissa oli vesivahinko, mutta taustalla oli myös tulipalo, jonka sammutusvedestä aiheutui ongelmia. FRNOG:n keskusteluissa arvioitiin jäähdytysjärjestelmän vesipumpun vian johtaneen tulvaan akkuhuoneessa, josta olisi seurannut tulipalo. Useampi zone oli jouduttu ajamaan alas. Palautuminen on edelleen kesken ja sitä voi seurata GCP-status-sivulta

Konesaliongelma voi johtua myös haittaohjelmasta. NCR joutui kiristyksen uhriksi ja Aloha-pilvipalvelu jouduttiiin sulkemaan. Aloha on ravintoloiden maksupäätejärjestelmä. Ongelma ei koskenut pankkiautomaatteja tai maksujärjestelmiä. 12.4. alkaneesta häiriöstä palautuminen on ollut odotettua hitaampaa ja asiakkaiden kannalta tuskallista raportointia voi seurata status-sivulta. Osa palveluista oli saatu takaisin toimintaan, mutta osan palautus oli edelleen kesken kolmen viikon jälkeen.

Ohiossa Piquan pikkukaupungissa mies on syytettynä laajamittaisesta mastojen tuhoamisesta. Mies ehti vandalisoida ainakin viittä mastoa yrittäessään estää muukalaisia tulemasta luoksemme sähköjohtoja pitkin. Niinpä miehen piti vetää autolla alueen portti auki ja sähkö- ja kuitukaapelit irti. Taustalla oli ennestään viisi murtoa mobiilisaiteille ja tuomiona voi olla 11,5 vuotta vankeutta ja 37500 dollaria sakkoja. Kaapelien kanssa voi muutenkin sattua kaikenlaista: lehmä voi löytää herkullista popsittavaa laitumelta tai autoilijat voivat joutua väistelemään tiellä vieriviä kaapelikeloja

Historiaosastolla pohditaan oliko MPLS Traffic Engineeringin keksiminen vaivan arvoista. MPLS tuli korvaamaan ATM:ää, jota 1990-luvulla pidettiin tulevaisuuden tekniikkana. Väheksytty IP/Ethernet kuitenkin vei voiton internetin leviämisen myötä. Monien mielestä ATM ja IP eivät voineet esiintyä samassa verkossa, ja MPLS oli silloin hyvin kiistanalainen teknologia. Myös TE jakoi asiakaskunnan. Kehityksessä kuunneltiin asiakkaita, jotka halusivat ATM:n ominaisuudet IP-verkkoon, toiset asiakkaat vähät välittivät ominaisuuksista. Tuloksena oli ylimonimutkainen liikenteenohjausominaisuus, joka ei toiminut parhaalla mahdollisella tavalla. Koko MPLS:ää pidettiinkin aikanaan Ciscon salaliittoteoriana sitoa markkina MPLS-kykyisiin laitteisiin. TE perustui RSVP-protokollaan ja siinä oli paljon ongelmia monimutkaisuudesta ja skaalautuvuudesta johtuen. Tulee mieleen QoS, joka on myös monimutkaisuuden ruumiillistuma. RSVP:stä saatiin kuitenkin käyttöön nopea varareititysmenetelmä FRR. Todellinen TE taitaa olla käytössä vain hyperskaalaajilla, kuten Googlella ja Microsoftilla, ja se perustuu johonkin ihan muuhun kuin RSVP:hen. 

Toinen elämää suurempi ja monimutkaisempi teknologia on multicast. Protokollan kehittäjille on nyt koottu opit multicastin maailmasta. Itse ajoin multicastia ammattimaisesti broadcasting-maailmassa kymmenisen vuotta ja loppujen lopuksi tekniikka on aika yksinkertainen ja luotettava, kun valitsee oikeat tavat tehdä asioita. Ongelmia riitti päätelaitteiden kanssa, koska IP- ja IGMP-protokollatoteutukset ovat ohjelmistoissa vähän mitä sattuu ja niistä aiheutuu verkkolaitteille kummallisia ongelmia. Ongelmanselvitys on vaikeaa. PIM-reititys on toimiva, kunhan operoidaan oman verkon sisällä. Verkkojen yhteenliittäminen on hankalaa, vaikka sitäkin tehtiin eri sisällöntuottajien ja operaattorien kesken. Ongelmat lähtevät siitä, että eri toimijoilla on käytössä eri tekniikkaa ja laitetyyppejä, ja multicastin päästä-päähän -dynaamisuus on myrkkyä eri organisaatioiden välillä. Staattisesti naulattuna reititys ja signalointi jotenkin toimii. Multicast-IP-osoitteissa on hyvin rajallinen julkinen osoitealue ja privaattiosoitteiden päällekkäisyys ja hallitsemattomuus on iso ongelma eri osapuolten kesken. 

ESET:n selvityksessä on paljastunut, että vanhat verkkolaitteet sisältävät yllättävän paljon yritysten tietoa. Kaikki käytöstä poistetut ja myynnissä olevat laitteet pystyi identifioimaan varmuudella käyttäjäyritykseen, ja lähes kaikissa oli myös käyttäjätunnuksia ja salasanoja.  Kolmasosa laitteista sisälsi kolmannen osapuolen yhteystietoja ja viidesosa asiakasdataa. 

Venäjän APT28 on hyväksikäyttänyt kuusi vuotta vanhaa Ciscon SNMP-haavoittuvuutta jo parin vuoden ajan. Censysin skannausten mukaan internetissä on yli 39000 avointa ciscolaista, jotka tosin kaikki eivät ole haavoittuvia. Suurin osa niistä on Euroopassa ja Aasiassa. Nyt CISA ja NCSC ovat julkaisseet asiasta varoituksen, jossa ne kuvaavat hyökkäystaktiikkaa ja antavat ohjeita.  

Tutkijat ovat löytäneet SLP-protokollasta haavoittuvuuden, jonka vahvistuskerroin on heijastetussa DDoS-hyökkäyksessä 2200-kertainen. Portti 427 on auki internetissä yli 70000 laitteessa ja mukana on myös ESXi-hypervisoreita ja Supermicron IPMI-palvelimia. Samaa SLP:tä hyväksikäytettiin myös aiemmassa ESXi-Args-hyökkäyksessä. SLP:n hyökkäyspotentiaali on iso ja siksi hyökkäysten määrän odotetaan kasvavan lähiaikoina.  

Cobalt Strikesta on tullut kymmenessä vuodessa suosittu työkalu punatiimiläisten keskuudessa. Oikeiden hyökkääjien keskuudessa työkalu on ollut myös kiinnostava. Lisenssiä on murrettu ja Cobalt Strikesta on ollut saatavilla kräkättyjä versioita. Nyt Microsoftin johdolla on saatu oikeuden päätös ajaa alas näitä väärennettyjä versiota hostaavat alustat

Maailman suurin verkkolaite- ja tarvikevalmistaja Commscope on joutunut lunnasiskun kohteeksi. Iskussa vietiin tietoa intranetistä ja asiakasportaalista. Sama kävi Western Digitalille, jolta vietiin 10 TB yritystietoa. WD neuvotteli 8-numeroisesta lunnassummasta. Veeam-varmistuspalvelimien haavoittuvuuteen alettiin hyökätä maaliskuussa heti kun haavoittuvudesta oli julkaistu tarkemmat tiedot.  

Lunnashaittaohjelma voi iskeä myös pilvialustaan. Google on kertonut raportissaan, että viime syyskuussa hyökkääjä pääsi käsiksi pieneen määrään GCP:n MySQL-kantoja, kryptasi ne ja vaati lunnaita. Googlen mukaan syynä oli huonosti konfiguroidut salasanat. Invictus kuvaa blogissaan asiakastapausta, jossa lunnasohjelma iski AWS-ympäristöön ja miten lokien kautta selvitettiin mitä tapahtui. Wiz.io:n tutkimuksissa Alibaban pilvessä väärin konfiguroitu kirjoitusoikeus yksityiseen rekisteriin yhdessä konttihaavoittuvuuden kanssa voi johtaa takaoveen, jolla avataan pääsy pilven tietokantapalveluun. 

Ruotsalainen Mullvad VPN:n tilat ratsattiin Göteborgissa. Poliisin vierailun tarkoitus oli takavarikoida koneita, mutta tarkempi syy oli hieman epäselvä. Mullvad joutui selvittämään poliiseille, että se ei tallenna käyttäjätietoja, joten tietoa sisältäviä koneitakaan ei ollut poliisille antaa ja poliisi lähti tyhjin käsin pois.

Maailman suurin kyberharjoitus NATO:n Locked Shields pidettiin jälleen yli 3000 osallistujan, 38 maan ja 24 joukkueen voimin. Voiton vei tällä hertaa Ruoti-Islanti-joukkue, toiseksi tuli Viro-USA ja kolmanneksi Puola. 

New Yorker kertoo pitkässä tarinassaan Suomessakin tutusta tapauksesta, jossa huumerikolliset ottivat suojatut puhelimet omakseen ja alkoivat luottaa niihin sokeasti. Mikä olisikaan ollut herkullisempi tietolähde poliiseille, ja niinpä poliisi alkoi etsiä haavoittuvuuksia Sky E.C.C.- ja Encrochat-palveluista. Palvelimet sijaitsivat sattumalta Ranskassa ja hollantilais-ranskalainen operaatio sai ne murrettua ja datat käsiinsä. Palvelut suljettiin ja kryptopuhelinmarkkina oli käytännössä tuhottu.

Tapahtumapuolella Fortinetin Accelerate-konferenssin keynote-puheevuorot on katsottavissa Youtubessa. Blogi vetää yhteen pääsanomaa. Teemana oli tänä vuonna turvallisen tulevaisuuden kokemus. Kehitys on vauhdikasta ja kaikkien pitää olla valmiina suojaamaan yhteiskuntaa uusilta tuntemattomilta uhilta. Fortinetin pääfilosofia on strateginen ja orgaaninen innovointi, joka keskittyy yhtenäisen alustan ympärille. Menestykseen tarvitaan myös myynnin suorituskykyä, jota Fortinet on tuonut hajautuneella liiketoiminnalla. Siihen kuuluu toisaalta yli 50-tuotteen Security Fabric -paketti ja toisaalta liiketoiminta laajasti eri alueilla ja toimialoilla. Fortinetin orgaanisen kasvun moottori on ollut verkon ja tietoturvan yhdistäminen jo 23 vuoden ajan. Tietoturvakomponentti vaatii verkkolaitteissa eniten tehoa ja siksi muista eroavasta ASIC-strategiasta on etua. Tuotteet integroidaan Security Fabriciin heti alusta lähtien ja siksi oma kehitys on yritysostoja toimivampi keino. NGFW on tietoturvan peruskomponentti, mutta muurit hajautuvat erilaisiin alustoihin ja muotoihin. Hallintaan tarvitaan yhtenäinen tuote. Ympärille rakentuu tietoturvan muita komponentteja. Fortille tärkein on integraatio, jolla kaikki tuotteet juttelevat sujuvasti keskenään. Uusin Forti-OS 7.4 tuo lisää hallintakykyä fabriciin. Turvallisen verkon ja yhtenäisen alustan lisäksi Forti panostaa OT-ympäristöihin. Taustalla toimii oma tutkimus- ja kehitystoiminta. Kyberkenttä tarvitsee ekosysteemiä ja yhteistyötä eri osapuolten kesken, koska kybervihollista ei voi yksin pidättää. Turvallisuuden lähtökohtana on näkyvyys koko toimintakenttään ja operaatiot tulee automatisoida, jotta pysytään mukana vauhdissa. 

Mielenkiintoisen CyberWarCom-tietoturvakonferenssin viime vuoden videot voi katsoa Youtubessa. Aiheena on kyberuhkien vaikutus yhteiskuntaan. 

Kyberrosvot on Tivin ja DNA:n yhteinen podcast, jossa käydään läpi tosielämän verkkorikostapauksia. Juontajana toimii sulava Peter Nyman ja vakiovieraana on DNA:n Juho Saarinen. Formaatti on kevyt ja helposti lähestyttävä. 

Niklas Wallenius kävi DevOpsCon London 2023 -seminaarissa ja vetää annin yhteen blogissaan

Network Field Day 31 esittelee Backboxin, Kentikin, Hashicorpin ja Itentialin ratkaisuja. NFD-edustajat vierailivat myös Aruba Atmosphere –konferenssissa, jossa arubalaiset esittelivät tuotteitaan. Live-video on jaettu osiin 1 ja 2

NYKYPÄIVÄN MENOA

Markkina

MTN Consulting on kasannut telco-markkinan suurimmat valmistajat Q4/2022. Viime vuoden loppu oli kaikkien aikojen suurin romahdus lähes 10% myynnin laskulla. Huawei on ollut laskussa jo kolme vuotta, mutta paikkaa tilannetta muilla tuotekategorioilla ja kotimarkkinoilla. Huawei on suosiossa Aasiassa, Latinalaisessa Amerikassa ja Lähi-Idässä. Eivät monet Euroopan maatkaan suostu sulkemaan Huaweita pois. Huawein ongelma on kuitenkin komponenttien saatavuus, joka vaikuttaa vielä ainakin kaksi vuotta ja sillä välin operaattorit ehtivät päivittää verkkonsa seuraavaan vaiheeseen. Valmistajien kärkikolmikko Huawei, Nokia ja Ericsson ottivat 38% markkinoista viime vuoden lopussa, mutta niitä hätyyttelevät nyt pilvijätit Amazon, Microsoft ja Google. Sijoilla 4-5 ovat kiinalaiset China Comservice ja ZTE, kuutosena on Intel. Cisco on sijalla kahdeksan ja Commscope on syrjäyttänyt sen paikalla seitsemän. Nec ja Amdocs ottavat sijat 9-10. Kasvu on suurinta Rakutenilla ja pilvijättikolmikolla. Muita kovia kasvajia ovat Vmware, Harmonic, Calix ja joukko pienempiä ja eksoottisempia yrityksiä. Suurimmat häviäjät ovat NEC ja Cisco. Raportti kuvaa myös valmistajien tuntoja toimitusketjun osalta. Helpotusta tuntuu olevan, mutta toisaalta myös valmistajien tilauskanta normalisoituu ja ostajat ovat varovaisia.

Verkon markkina siirtyy vääjäämättä kohti palveluita, mutta kohtaako valmistajien ja käyttäjien todellisuus toisensa? Suhde on epäilevä ja suurin epäilys kohdistuu hinnoittelun muutoksiin. Hybridihinnoittelu on kääntymässä radikaalimpaan NaaS-malliin, jossa rauta ja softa on täysin erotettu toisistaan. Vuosi 2020 oli  jonkinlainen käännekohta, jonka jälkeen tilaushinnoittelu on alkanut kääntyä negatiivisemmaksi asiaksi ostajien keskuudessa. Suurimpana syynä on hinta. Harva kuitenkaan vaihtaa valmistajaa tai hakee säästöjä avoimista verkoista, vaan todennäköisemmin valmistajalta pyydetään alennusta ja alennusta myös saadaan. Säästöjä haetaan myös pidentämällä laitteiden elinkaarta. Asiakkaat ymmärtävät softatilaushinnoittelun nykyisessä jatkuvien päivitysten maailmassa. Mutta tilaushinnoittelu on valmistajan jatkuvan rahastuksen malli, jolla se voi peittää oman tuotteen heikkouksia. Asiakas ei välttämättä näe tuotteelle sitä arvoa, mikä kuukausittain tai vuosittain pitäisi siitä maksaa, ja on siksi haluton suojelurahamalliin. 

Starlinkillä on ollut kova homma valloittaa markkinaa länsimaissa. 80% asiakkaista on USA:ssa ja siellä hintoja on jopa nostettu. Euroopassa suunta on toinen ja hintoja lasketaan nyt jälleen monissa Euroopan maissa. Suomessa ja monissa maissa hinta asettuu 65 euron tienoille ja halvin hinta 50€/kk on Ranskassa. Starlink näyttää olevan toistaiseksi kapasiteetiltaan paras satelliittiyhteys. Ooklan mittauksissa se on vähintään tasoissa kiinteiden liittymien kanssa, jos ei jopa parempi. 

BT tunnustaa, että operaattoreilla on päällään eksistentiaalinen uhka. Pelkkä uuden kasvun etsiminen ei riitä, vaan olennainen osa on myös puolustaa vanhaa markkinaa. Operaattorin IT:eistyminen ei välttämättä ole oikea tie, vaan fokus kannattaa pitää yhteyspalveluissa ja tietoturvassa. Muut IT-rönsyt jäävät kumppaneille ja operaattori toimii kokoonpanijana ja fasilitoijana tuoden yrityksille kokonaisratkaisun. Rooli voi olla verkon, laitteiden ja pilven liitoskohdassa. Myös massamarkkinan ja räätälöinnin välillä pitää tasapainoilla ja osata tehdä valintoja niin, että palveluiden taakse saadaan riittävästi asiakasmassaa eikä sorruta pipertelyyn. OTT-palveluissa teknojättien kansa kilpailu on operaattorille vaikeaa, mutta yhteistyö luontevaa. Kumppanuus pilvien kanssa on vielä melko uutta ja liiketoiminnassa pitää olla tarkkana, etteivät kumppanit vie koko pottia itselleen. 

Ciena yrittää kovasti päästä IP-markkinoille viimeisimmällä julkistuksellaan WaveRouterilla. Se on metroverkon IP-optical-yhdistelmälaite kovalla 192 Tbps -kapasiteetilla. Laite kilpailee perinteisten Ciscon ja Juniperin, mutta myös Drivenetsin kanssa. Erona on kuitenkin, että WaveRouter ei ole avoin ratkaisu, vaan Cienan omasta mielestä hybridi, jossa yhdistyy IP, DWDM ja koherenttioptiikka. Tietysti tehokkaan laitteen markkinoinnissa puhutaan energian ja tilan säästöistä. Ciena luultavasti hakee markkinaa nykyisiltä optisen verkon asiakkailta, mutta vaikeaa voi olla päästä Ciscon ja Juniperin asiakkaisiin. 

Italialainen juristi Innocenzo Genna on kerännyt blogiinsa kattavan listan materiaalia operaattorien ja teknojättien reilun jaon kiistasta. Siinäpä oikeastaan yhteenvetona kaikki mitä on käyty läpi tähän asti. Jan Kammerath käy blogissan läpi internetin kehityksen, jossa siitä on tullut keskitetty ja kaupallinen. Operaattorit ovat kaivaneet oman hautansa. Toivoa voi olla nykyisen internetin rikkomisessa ipv6:lla, peer-to-peer –mallin sovelluksilla ja avoimen koodin yhteisöillä. Itse en kuitenkaan jaksa uskoa 2000-luvun taitteen idealistisen DIY-internetin paluuseen, vaan nykyinen kaupallisuus todennäköisesti pysyy vahvana myös web3-maailmassa, tavalla tai toisella. 

Brittien Ofcom on tutkinut pilvimarkkinaa ja hyvä yhteenvetoraportti antaa kattavan tietopaketin pilvestä. Huomio kiinnittyy kolmeen isoon toimittajaan, joilla on 65-80% markkinaosuus. Mutta kolme toimijaahan pitäisi olla kilpailun kannata optimaalinen määrä, joten voi olla, että Euroopassa pilvikeskusteluun liittyy myös vähän kansallismielisyyttä. Pilven erikoisuus on kovat tiedonsiirtomaksut pilvi-infrasta ulos. Asiakas sitoutetaan alennuksilla yhteen toimijaan ja vaihtaminen ei kannata. Myös pilvipalveluiden tekninen toteutus rajoittaa työkuormien siirreltävyyttä. Siksi pilveen olisi tarve saada operaattorimaailmasta tutut vakioidut ja yhteenliitettävät palvelut, joiden kautta palveluiden siirreltävyys nousisi uudelle tasolle ja kilpailu vapautuisi paremmin.  

Nordcloudin myytinmurtajat opastavat miten julkishallinnossa pitäisi toimia pilviennakkoluulojen kanssa. Google Cloud on kääntänyt tuloksen ensi kertaa voitolliseksi koko 15-vuotisen olemassaolonsa aikana. Silti GCP jatkaa reilulla takamatkalla AWS:n ja Azuren perässä. Tästä voi vaan päätellä miten vaikeaa pilvimarkkinassa on menestyä isoillakaan resursseilla. 

Netbox on noussut seitsemässä vuodessa harrastusprojektista merkittäväksi kaupalliseksi tuotteeksi ja osaksi yrityksien operatiivista toimintaa. Nyt Netboxlabs on saanut 20 miljoonan dollarin A-kierroksen rahoituksen kehittääkseen sekä ilmaista että kaupallista tuotettaan.  

Vmware on erottanut verkon ja tietoturvan eli NSX:n ja Carbon Blackin omiksi yksiköikseen. Vmware huomasi, että yksiköiden myyntitapa eroaa paljon toisistaan. Tietoturvaa myydään paljon suoraan asiakkaille ja siinä tarvitaan enemmän liikkumavaraa kuin perinteisessä vSphere-kaupassa. Tuotteiden yhdistetty tietoturvanäkyvyys on hyvä, koska NSX:llä on NDR-kykyä ja Carbon Blackistä julkaistiin XDR viime vuonna. Vmware fokusoi tietoturvassa juuri XDR:ään epävarmuuden häilyessä edessäpäin. Monia johtajia on myös menetetty Broadcom-kauppaa odotellessa. 

Cisco on julkaissut oman XDR-tuotteensa, joka käyttää lähteenä Secure Clientia eli entistä Anyconnectia. Suositun agentin takia Ciscolla on paljon kattavampi näkyvyys päätelaitteisiin kuin keskimääräisellä EDR-toimijalla. Cisco jakaa agenttinsa telemetrian kolmansille osapuolille ja rakentaa näin ekosysteemiä. Yhteensopivuus löytyy monille tunnetuille tuotteille ja muutama iso valmistaja on tulossa jatkossa mukaan. 

Netskope väittää tuoneensa markkinoille ensimmäisen yhtenäisen softa-SASE-clientin. Väite on kummallinen, koska onhan muillakin valmistajilla client-softa ja koko SASE-ajatus perustuu softaan. Teknisesti Netskope on kyllä valmistajien kärjessä Gartnerin SSE-vertailussa. Kaikki kolme Netskope, Zscaler ja Paloalto julistautuvat voittajiksi uudessa SSE Magic Quadrantissa. Nelikenttään uutena noussut Cloudflare sekin juhlii saavutustaan. Paloalto nousi haastajakentästä johtajiin ja korvasi McAfee/Skyhigh:n paikan parannetulla Prisma Access -tuotteellaan. Nyt integrointia ja hallintaa on kehitetty, mutta lisensointi on sekava. Netskope on kehittänyt yhtenäistä SASE-tuotetta yritysostoin, mutta tuote on kalleimmasta päästä, vaikka se ei sisällä DEM-mittarointia. Zscaler on myös ostellut yrityksiä ja kehittänyt tuotetta keräten suosiota ja myyntiä, vaikka hinnoittelussa on parantamisen varaa. Kumppanuudet ja integraatiot ovat vahvoja. CRN listaa kaikista valmistajista tiivistetyn arvion

Checkpoint tiivistää yhteistyötä Aryakan SD-WAN:n kanssa yhteisen SASE-kokemuksen tuottamiseksi. Cradlepoint ostaa Ericomin, jolla on agentiton SASE-malli IoT-ympäristöihin. Versa laajentaa SASE-mallia kampukselle jokaiseen verkkolaitteeseen. SD-LAN- ja ZT-Prem -ratkaisuissa zero trustia toteutetaan integroidusti joka kytkimen portissa. Dell taas uskoo, että yksi valmistaja ei pysty kaikkeen, joten se integroi 30 valmistajan zero trust -kyvyt omaan ekosysteemiinsä. NetWitness tarjoaa ratkaisua imaista pakettidataa ulos SASE-alustoista ulkopuoliseen tarkasteluun.  

Cyberratings.orgin palomuurivertailussa Fortinet on saanut huippupisteet tietoturvatehokkuudessa. Ominaisuuksista testattiin uhkien torjunta, salauksen purku, käytettävyys ja luotettavuus sekä reititys ja pääsynhallinta. Testi ei ole julkinen, mutta SSL/TLS-suorituskyvyn osuus on julkaistu sivulle. Tulosten perusteella Fortigate 600F on siis hyvä ostos. WAF-kentässä Imperva, Microsoft, F5 ja Fortinet on nimetty johtajiksi SecureIQlabin vertailussa. Akamai ja AWS kärkkyvät tulijakentässä nousua. Akamai ostaa API-turvaan keskittyvän Neosecin ja arvatenkin panostaa WAAP-kehitykseen. F5 vähentää 9% työntekijöistään eli 623 henkilöä. Menoja leikataan myös johtajien bonuksista sekä toimisto- ja matkakuluista. 

Tekniikka

Kuiturakentamisen tahti on nyt vähän hidastumaan päin. Rakentamisessa on erilaisia tapoja, joita voi havainnoida kaduilla kulkiessa. Ilmakuitu asennetaan tolppiin ja maassa kuitu voidaan kaivaa, aurata tai sahata kaivantoon. Rakenteiden ali päästään poraamalla vaakasuoria reikiä.  Omaksi ilokseni Elisa vihdoin ilmoitti rakentavan kuitunsa asuinalueelleni, mutta vasta ensi vuonna. Dave Täht kertaa mikä kuidussa oikeasti on hyvää ja riittävää. Se ei ole nimellinen nopeus, vaan kapasiteetti ja alhainen viive. Kuidun päällä ethernet on parempi kuin jotkut erikoistekniikat. Tosiasiassa 25 Mbps -kapasiteetti riittää melko lailla kaikkeen käyttöön ja sen yli menevä osa ei enää juurikaan vaikuta käyttökokemukseen. Olennaista on tasainen ja alhainen viive. Upload-suunnassa 10 Mbps yleensä riittää, paitsi esim. raskaammissa tiedostolatauksissa. Kuidunkäsittelyn peruskurssin voi käydä netissä Fiber U:n minikursseilla. Jargon-kurssi on tärkein

Merikaapeleissa Brittein Saaret on yksi merkittävä reitti Euroopan ja USA:n välillä. Manchester on yksi pohjoisen solmukohdista, mutta sieltä moni reitti kulkeekin Dublinin läpi länteen. Vain yksi kaapeli lähtee suoraan Irlannin pohjoispuolitse New Yorkiin. Kaapelit keskittyvätkin vahvasti tiettyihin hubeihin Euroopan rannikoilla. 

Monet palveluntarjoajat ovat alkaneet venyttää palvelinten elinikää pidemmäksi, koska palvelimissa ei suurta kehitystä tapahdu. Yleinen ikä tuntuu olevan nyt kuusi vuotta aiemman 4-5 vuoden sijaan.  

Privaatti-5G ja sen radiorajapinta on teknisesti monimutkainen ja työläs konfiguroitava. Wifi-tukiaseman asentaminen on lasten leikkiä sen rinnalla. Operaattori kuitenkin ottaa 5G:n parametrit vastuulleen ja piilottaa monimutkaisuuden asiakkaalta. Silti hankaluus ei varmasti voi olla vaikuttamatta operaattorin puolella ja luultavasti se näkyy jossain muodossa asiakkaalle. 

Tailscale kertoo miten se skaalasi Linuxin Wireguardin tehoa yli 10 Gbps -tasolle käyttämällä UDP-segmentointia ja vastaanoton offloadausta. VPN-tuotteen suosio myötä Tailscale on myös julkaissut yritysversion, jossa on mukana hienostuneempaa tietoturvaa, vaatimustenmukaisuutta ja tukipalveluita. 

Ipv6 -P2P-linkkien osoitteistus ahdistaa aina vaan ja Ivan Pepelnjak puuttuu peliin. Oikeat vaihtoehdot ovat /64 tai /127, ja kaikista paras on link-local-osoite. Jotta asia ei olisi niin selkeä, esim. Broadcomin ASIC:eissa ipv6-taulujen koko on optimoitu /64-prefixeille tai sitä isommille, ja pienemmille jää vain vähän tilaa. Mitä sitten tapahtuu, jää epäselväksi. /64-prefixin käyttö sitten toisaalta altistaa verkon ND-prosessin hyökkäyksille. 

Broadcomilta on tullut uusi Jericho3-AI -tekoälyoptimoitu ASIC. Piiri tekee joitakin funktioita suoraan sirussa, kuten Nvidian Infiniband-sarjan kytkimet, jolloin verkossa vietetty aika vähenee. Tosin Broadcom väittää, että Infiniband on huono AI-kuormille, mutta kunnon perusteita ei oikein löydy. Muutenkin julkaisu oli kummallisen köykäinen. Infiniband tuntuu olevan punainen vaate Broadcomille. Jericho3-AI:n tärkeimpiä ominaisuuksia on kuormanjako, jonka tarkoitus on pitää linkit ruuhkattomina. Kapasiteetiltaan Jericho3 ei ole kärkipäätä, vaan se on piirisarjoista se ominaisuusrikkain. AI-piirin hyöty riippuu siitä miten paljon verkolla on osaa koko järjestelmän suorituskykyyn. Nextplatform tarkastelee suorituskykyasiaa tarkemmin

Kyberturva

Gartner ennustaa, että tietoturvapäälliköt omaksuvat ihmislähtöisen tietoturvan muutaman vuoden sisällä, jotta kitka voidaan minimoida ja kontrolli maksimoida. Se on välttämätöntä, koska suurin osa henkilöstöstä käyttää työkaluja IT:n näkyvyyden ulkopuolelta. Zero trust -mallin toteuttamisen vaikeutta kuvastaa se miten hitaasti käyttöönoton ennustetaan etenevän. Tulosten mittareiksi pitäisi saada enemmän konkreettisesti mitattavia asioita. Pilven myötä laajemmasta hyökkäyspinnan TDIR-havainnoinnista ja -vasteesta tulee valtavirtaa. Lähivuosina lähes puolet tietoturvajohdosta uupuu ja vaihtaa tehtäviä. Yritysten hallituksiin kyberturva-asiantuntijoita kuitenkin odotetaan nousevan tiuhaan ja heiltä odotetaan ymmärrystä hallitusta riskien otosta.  

Suomessa valtion selvitys kyberturvallisuuden toimintaedellytysten kehittämisestä ehdottaa parannuksia viranomaisten yhteistyöhön ja myös viranomaisverkkojen suojauksen parantamiseen. Pohjoismaiden yleisradioyhtiöiden tutkiva journalismi on poikinut Varjojen Sota -TV-sarjan Venäjän tiedustelusta Pohjoismaissa. Viikottain julkaistavasta jaksosta onkin revitty otsikoita mediaan. Ensimmäisissä jaksoissa todistetaan miten Venäjä valmistautuu sabotaasiin kartoittamalla vedenalaisia kaapeleita ja rakenteita. Yle on myös harjoitellut toimintaa kun sen ulkomaanyhteydet ovat poikki.  

USA:ssa avaruusjärjestelmät pitäisi ottaa mukaan kriittisen infrastruktuuriin ehdottaa CSC 2.0 -projekti. Suuri osa avaruussektorista onkin jo toimialansa kautta mukana sääntelyssä, joten tämä ei suurta muutosta tuo. Samalla Kiina rakentaa omaa satelliittien kaappaamiseen tarkoitettua kyberasetta. Ase matkisi satelliittien signalointia ja voisi kaapata koko satelliitin toiminnan itselleen. 

Hankintadokumenteista on selvinnyt, että USA:n verovirasto IRS haluaisi ostaa internetin netflow-dataa Team Cymrulta, kuten armeija ja FBI on tehnyt. Käyttötarkoitus liittynee viraston kyberturvallisuuteen. Cymrun operaattoreilta ostama data jakaa mielipiteitä. Vaikka flow-data on lähinnä metatietoa, tiedoista voi päätellä paljon asioita ja niihin liittyy kuitenkin yksityisyydensuoja-asioita. 

Brittein toiminnalliset kyberjoukot NCF on paljastanut kolmen vuoden salaisen toiminnan jälkeen mitä se on puuhaillut. Listalla on terrorismin torjuntaa, lapsipornon poistoa netistä, armeijan ulkomaanoperaatioiden turvaamista, disinformaation torjuntaa ja vaalien turvaamista. Osasto noudattaa vastuullista toimintamallia eli toimii laillisesti ja tarkoin määritellyllä tarkkuudella. Saksan tiedustelu BSI käyttää Huawein laitteita, mikä näyttää hiukan huonolta ulospäin. Alankomaissa hallitus on asettanut itselleen pakon käyttää RPKI:tä omissa verkoissaan vuoden 2024 loppuun mennessä. 

Trendmicron raportti kyberrikollisjoukoista kuvaa ryhmien toimintamalleja ja liiketoimintaa. Asiaa Killnetistä ja iskuista terveydenhuoltoalalle on koottu HHS:n julkaisuun. YK:n vuosittainen julkaisu kuvaa Pohjois-Korean kyberaktiviteettien kehitystä. Kybervakuutuksilla voi olla hyökkäyksiä vähentävä rooli päinvastoin kuin voisi kuvitella, jos ne onnistuvat pakottamaan yritykset koventamaan ympäristönsä ja ennaltaehkäisemään iskujen vaikutuksia. 

Rezilion on skannaillut Shodanilla internetistä esiin 15 miljoonaa haavoittuvaa laitetta, joilla on KEV-tietokannassa tunnettu hyväksikäytetty haavoittuvuus. 7 miljoonaa osuu Windowsiin. Top 10 -haavoittuvuudet ovat puoliksi yli viisi vuotta vanhoja, joten 800000 laitetta on ollut päivittämättä vuosia. Kolmasosa kaikista haavoittuvuuksista on viime vuosikymmeneltä. Päivityksiä ei siis vaan saada asennettua. 

Microsoft on löytänyt tuhoisan haittaohjelman, joka iskee ensin omaan ympäristöön ja leviää sieltä pilveen tuhoten pilviresurssit.  Entinen MERCURY ja DEV-1084 on uuden nimipolitiikan mukaisesti nyt Storm-1084. Microsoftin hyvin tiiviisti integroidut M365- ja Azure-palvelut ja niiden autentikointi aiheuttavat riskin, jota Trustedsec kuvaa blogissaan. Ukrainan CERT varoittaa Officen kräkätyistä versioista, jotka saastuttavat ICS-ympäristöjä

Euroopan maksuturvallisuusjärjestö EAST sanoo, että eurooppalaiset pankit menettivät viime vuonna 200 miljoonaa euroa kyberrikollisille. Päätapa oli korttiskimmaukset, mutta automaatteihin asennettiin myös haittaohjelmia. Uusia MiTM-hhyökkäyksiä nähtiin alkuvuonna, mutta ne hävisivät loppuvuonna. Thales yrittää itse häkätä satelliitteja avaruuskyberin Cysat-tapahtumassa kehittääkseen satelliittien kyberturvallisuutta.  

Sophoksen vuosiraportin mukaan hyökkääjän keskimääräinen loisimisaika kohdeympäristössä on tippunut viime vuonna 15 päivästä 10 päivään. Lunnashaittaohjelmien jälkeen selvästi yleisin hyökkäys on verkon murto, ja tapana yleensä haavoittuvuuden hyväksikäyttö tai tunnusten murto. Verkkomurron jälkeen myös datan varastamiselle on fifity-fifty-riski. Murrot tapahtuvat aika opportunistisesti minä päivänä tahansa, vaikka yleisesti uskotaan, että perjantai ilta on todennäköinen hyökkäysaika. 

DDoS-hyökkäystilastoja on julkaistu monelta toimijalta. Alankomainen kansallinen pesurikeskus NaWas näkee, että pommituksen määrä on kasvanut Q1:llä selvästi. Taustalla on uusia botnettejä ja kehittyneempiä L7-hyökkäyksiä. Suorat hyökkäykset yrityksiin ovat kasvaneet viime vuonna, vahvistaa myös Netscoutin raportti. Heijastava vahvistushyökkäys on jäänyt vähemmälle ja hyökkäykset laajenevat monipuolisemmiksi ja hienostuneemmiksi. Lähdeosoitteiden spoofauksen esto verkoissa on toiminut. 5G:n osuus hyökkäyskohteena kasvaa sitä mukaa kun tekniikka yleistyy laajakaistassa. Cloudflare listaa Q1:n havainnot: botnetit ovat vahvoja, pilven avulla voi hyökätä jopa 5000-kertaisella voimalla kevyempiin laitteisiin verrattuna. DDoS:lla myös kiristetään entistä enemmän. Kummallisuus tilastoissa on Suomen osuus suurimpana HTTP-hyökkäysten lähteenä. Cloudflarella volumetristen hyökkäysten määrä on iso ja entinen volyymiennätys on nyt taas melkein tuplaantunut 71 Mrps:ään. Puolustuspuolella automatisointi on yhä tärkeämpää. Qrator Labs listaa katsauksessaa myös internetin BGP-häiriöt Q1:ltä. 

Työkalut ja operointi

AWS on julkaissut Lattice-palvelun, jota kehitettiin yhdessä Cloud WAN:n kanssa. Lattice on kuitenkin täysin erilainen lähestyminen verkkoon kuin Coud WAN:n roteva L3-eriytys. Lattice on sovelluskehityksen moderni verkkomalli, jolla kehittäjät voivat yhdistää konttipodit näppärästi ja turvallisesti, varsinaisesti puuttumatta VPC-rakenteeseen ja verkotukseen. Lattice perustuu vahvasti sovellustason identiteetteihin ja kohteisiin, ei verkon portteihin ja ip-osoitteisiin. Se on kuitenkin yhteensopiva VPC-tason kanssa ja toimii useamman VPC:n ja tilin välillä. Rajoituksena kuitenkin on, että se tukee vain HTTP:tä ja gRPC:tä, ja toimii vain AWS:n sisällä. Latticelle löytyy jo Terraform-resurssi, jolla sitä voi hallita. 

Datadogin havainnointitiimi kertoo blogissaan yleisimmät GCP:n uhat ja hyväksikäyttötavat sekä keinot havaita niitä. Huoltovarmuuskeskuksen Digipooli julkaisee oppaan Huoltovarmuutta pilvipalveluilla, jossa se antaa ohjeita pilviliiketoiminnan jatkuvuuden varmistamiseksi. Okta on jakanut oman uhkahavainnointilogiikkansa yleiseen käyttöön. Splunk on jo ehtinyt ensimmäisenä integroida säännöt omaan SIEM:iinsä. Morten Knudsen opastaa blogissaan hyödyntämään Azuren lokituskykyjä perusteellisemmin. Edge on pilvipalveluiden rikastustyökalu, joka kaivaa pilvi-infrasta esiin esim. ip-osoitteet, palvelut ja sijainnit.  

Microsoft julkaisi Security Copilotin, joka avustaa tietoturvatapahtumien käsittelyssä GPT-4:n avulla. Sen on ensimmäinen merkittävä avaus tekoälyn laajemmassa käytössä tietoturvan yhteydessä. Tarkoitus on tukea ihmisanalyytikkoa laajentamalla ja helpottamalla käyttökokemusta pelkkää havainnointia laajemmin. Copilot voi tehdä esim. yhteenvetoja, tarjota ehdotuksia, säätää vasteita ja jakaa löydöksiä. AX eli analyytikkokokemus on seuraavia kuumia tietoturvan alueita. Copilotista voi olla apua osaajapulassa, kun aloittelijat pääsevät paremmin mukaan hommiin. Microsoft on investoinut reippaasti OpenAI:hin ja se aikoo tehdä Copilotista liiman eri palveluiden ja jopa kolmannen osapuolen integrointien välille. Copilotin hyvyys riippuu siitä miten hyvää dataa sille syötetään. Tekoäly voi aina tehdä virheitä, mutta jatkuva opetus parantaa suorituskykyä. Julkiselle saatavuudelle ei ole kuitenkaan vielä julkaistu päivämäärää. Vaikka Copilot olisi Microsoftin Iphone-hetki, se ei vielä riitä, vaan tuotteen pitää pystyä tuottamaan tuloksia. Selvää on, että tuote ei ole valmis ja se kehittyy ajan myötä. 

Tiedon luovuttaminen tekoälykäsittelyyn arveluttaa, mutta Microsoft lupaa, että Copilotin data pysyy asiakkaan omissa käsissä ja sitä ei käytetä yleisiin opetustarkoituksiin. Keskustelut tallennetaan ja niistä jää audit-loki katseltavaksi. Samaan aikaan Microsoft irtisanoi koko tekoälyorganisaation eettisen ja sosiaalisen tiimin osana suuria irtisanomisiaan. Tekoälyn kanssa on sattunut tietovuotoja, kuten Samsungin puolijohdeyksikössä, jossa lähdekoodia kopioitiin ChatGPT:lle. Mm. Kanadassa ja Italiassa tutkitaan ChatGPT:n yksityisyyskäytäntöjä ja tiedonkeruuta, johon käyttäjältä ei ole kysytty lupaa. 

Mikä muu voi mennä vikaan tekoälybottien kanssa? Tekoälyä häkätään koko ajan tekemään haitallisia asioita. Tekoäly avustaa huijauksien ja kalastelun luomisessa. Opetusaineistoja myrkytetään jo ennen kuin niitä on käytetty opetukseen ja aineistojen sisältöä ei ole tarkastettu. Hyökkääjät myös kaappaavat ChatGPT:n premium-tilejä ja myyvät niitä eteenpäin niille, jotka haluavat kiertää rajoituksia. Ongelmat ovat tiedossa, mutta kunnollista korjausta ei ole olemassa. 

CISA on päivittänyt zero trustin kypsyysmalliaan palautteen perusteella. Versiossa 2 on uusi initial-vaihe ja arvioinnin kriteerejä on päivitetty. CISA:n toisessa oppaassa vedotaan valmistajiin ja opastetaan niitä sisäänrakentamaan tietoturvaa tuotteisiin. DevOps-ympäristön hyökkäysvektoreita listataan Microsoftin uhkamatriisissa. Otterize in aieperustainen pääsynhallinta Kubernetes- ja pilvikäyttöön. Sillä voidaan YAML-määrityksen mukainen tavoitetila viedä CI/CD-hihnan konfiguroitavaksi. 

EDR Telemetry Project listaa yleisimpien EDR-tuotteiden telemetriaominaisuudet. Projektin taustaa kerrotaan blogissa. 

Infoblox on löytänyt Decoy Dog -työkalun, jolla pystytetään haittaohjelmien komentokanava DNS:n kautta. Spoofy on domainien SPF- ja DMAC-tietueiden spoofauksen tarkistustyökalu. Ripelabs kertoo miten DNS:n TXT-tietuetta voi vapaasti käyttää omiin käyttötarkoituksiin. TXT-tietue on vapaamuotoisin DNS-tietue ja sen myös osoittaa miljoonan tietueen analysointi. Internet-yhteisö on myös hyväksynyt vapaamuotoisen käytön. Yksi TXT-tietue voi sisältää tekstiä, jopa useita kenttiä, ja domainilla voi olla useita TXT-tietueita. Historiassa ensimmäinen määritys 1987 puhui kuvaavasta tekstistä, 1993 päivitetty määritys muotoili tietueen key-value -pariksi, jolla välitetään domainin konfiguraatiotietoa. Tämä onkin yleisin tapa käyttää sitä domainien oikeellisuuden varmistamisessa. Loput käyttötarkoitukset ovat sekalaista käyttöä, joissa yleensä koodataan jotain omaa tietoa tekstikenttään. 

Tiesitkö, että Windowsin komentoriviltä saat tekstin ohjattua leikepöydälle ”| clip” -lisäkkeellä, esim. “netstat -rn | clip”. RDP-istunto tallentaa koneelle BMP-kuvia istunnosta ja mielenkiintoisessa blogissa kerrotaan miten kuvavälimuistista voi selvitellä mitä istunnon aikana on tehty. Synactivin blogi esittelee millaisia salaisuuksia Windowsissa on ja millä työkaluilla niitä voi kaivella esiin. Toisessa blogissa kuvataan miten Azure Policy for Kubernetes voi helpottaa AKS-palvelun ja klustereiden tietoturvaa ja vaatimustenmukaisuutta. CISA aikoo ottaa suositun avoimen koodin Windowsin lokianalysointityökalun Logging Made Easy (LME) -projektin hoitoonsa NCSC:n jätettyä sen ylläpidon heitteille. 

Honeycombin sponsoroima kirja Observability Engineering – Archiving Production Excellence on ladattavissa ja kertoo kaiken pilvinatiivin järjestelmän havainnoinnista. Linuxin eBPF on hyvä havainnointiväline, mutta siinä on tietoturvakäytössä omat puutteensa. Jos siis aiot käyttää eBPF:ää oikeaan tietoturvavalvontaan, siihen tarvitaan vähän enemmän kuin pientä shell-skriptausta.

Starlinkin terminaalin antamaa dataa voi visualisoida Space Debugger -ohjelmalla. 

Juniper on julkaissut virtuaali-EX:n, yleisnimeltään vjunos-switch, joka korvaa kuolleen vQFX:n. Tosin siinä on omat rajoituksensa ja se pyörii lähinnä raudalla, ei ESXi:ssä. KVM ja EVE-NG pitäisi kuitenkin toimia ja EVE-NG:lle löytyy myös valmis template.  

Cloudflaren websocketeilla voi tehdä tunnelointia mihin tahansa TCP-palveluun. Ilmainen palvelu tosin rajoittaa yhteyksien määrää. Ansibleen voi ottaa käyttöön GUI:n asentamalla Semaphoren

Yrityskulttuuri 

Löysin vanhan Kirsi Pihan tekemän podcastin What’s the point – keskusteluja merkityksestä. Yhdessä itseä kovasti puhuttelevassa jaksossa on vieraana organisaatiopsykologi Jaakko Sahimaa ja keskustelussa käydään läpi mitä työn merkityksellisyydelle pitäisi tehdä ja kenen. Työssä merkityksellisyys eri ihmisillä voi olla eri tasoilla, mutta nykypäivänä merkitysketjut voivat olla niin pitkiä, että merkitystä voi olla vaikea nähdä. Siksi johdon tehtävä on tuoda merkitystä lähemmäs kertomalla tarinaa ja rakentamalla luottamusta. Datalla johtaminen ei aina toimi, jos johto katsoo numeroita ja työntekijät laatua. Siksi yrityksen strategia pitää pukea aidoksi tarinaksi, jolla saadaan herätettyä numerot eloon. Nykypäivänä yhteisön merkitys voi olla suurempi kuin on tajuttu. Asioiden tehokas hoitaminen ei välttämättä olekaan tärkein asia, vaan se voi olla yhteinen identiteetti. Tehokkaan työn taidot ovat joka tapauksessa tavoitteiden asetus, priorisointi, ajanhallinta ja työimun tasapainossa pitäminen. Liika merkitys voi johtaa narkomaniaan ja silloin ei ehdi nauttia merkityksistä. Osa tykkää etätöistä, osa ei. Pitää osata tuntea itsensä ja löytää sen mukaan itselle sopiva työpaikka. Kaikki työpaikat eivät ole kaikille. Oikea paikka löytyykin usein sattumalta kokeilujen kautta, ei pohtimalla. Jatkossa työurat voivat olla paljon moninaisempia ja vasta jälkeenpäin huomaa miten hajanaisilta näyttävät pisteet voivatkin olla selkeä jatkumo.  

Myyttisen 10x-insinöörin vastapainoksi voit luoda itsestäsi -10x-insinöörin käyttämällä 400 tuntia viikossa kaikkeen ”hyödylliseen”. Tässä siis lista organisaatiolle, mitä ei pidä tehdä, jos haluaa tehostaa toimintaa. Tilastokeskus tarjoaa oikeaa dataa tietotekniikan käytöstä yrityksissä vuosina 2002-2022. Dataa löytyy 20 tietoluokasta ja sitä voi suodattaa vuosittain ja yritysten koon mukaan. 

TULEVAISUUTTA JA KEHITYSTÄ 

IETF on hyväksynyt julkaisuun uuden Message Layer Security (MLS) -salauksen. Salaus siis tehdään sovelluksessa päästä päähän niin, että pilvipalvelut välissä eivät sitä pysty purkamaan. Tältä lisäkerrokselta on puuttunut avoin ja määritelty standardi. MLS tuo käyttöön uudet salausprotokollat, lisätyn tietoturvan, autentikoinnin ja asynkronisen toiminnan. Koekäyttäjinä ovat olleet Webex ja Ringcentral ja Wire, Wickr ja Matrix ovat jo jonossa ottamassa sitä käyttöön. 

Korean SK Telecom on kehittänyt tekniikan kvanttisalauksen integroimiseksi verkkoon automaatiolla. Samalla operaattori yrittää promota teknologiaa ETSI:n standardeiksi. Juniperin Day One -opas kvanttisalauksella vahvistetuista IPSEC-VPN:istä kuvaa hyvin kvanttisalausta yleisesti ja lisäksi kertoo miten QKD ja PQC yhdistetään RFC8784:n mukaisiin VPN-tunneleihin. IPSEC:ssä Diffie-Helman -avaintenvaihdon Shorin algoritmi on haavoittuva kvanttilaskennalle. Siksi avaintenvaihtoa pitää vahvistaa. Salauksessa AES256 ei ole haavoittuva, koska se on symmetrinen algoritmi. AES256:n jälkeen löytyy vielä vahvempia salauksia kuten ChaCha20 ja Salsa20. Kvanttiavaintenhallinta QKD siis suojaa avaintenvaihtoa. Suosituin protokolla on BB84. QKD perustuu fyysiseen fotonien havainnointiin ja sitä voidaan toteuttaa joko kuidussa tai vapaan tilan optiikassa. Käytännön rajoitukset ovat vielä merkittäviä. Etäisyys voi toistaiseksi olla vain muutama sata kilometriä ja QKD vaatii myös huippulaatuista laitteistoa ja olosuhteita, mitkä rajoittavat käyttöä. 

Fotoniikkaa saa kuitenkin QSFP-optiikkana jo muutaman dollarin hintaan. Vaikka transceiver näyttää liityntämodulilta, sen sisällä on paljon aktiivisia komponentteja. Kun fotoniikan avulla integroidaan kaikki yhdelle piirille, säästyy huomattavasti tilaa, laatu nousee ja hinta laskee. Broadcom julkaisi OFC-konferenssissa prototyypin Tomahawk 5 -kytkimestä yhteispakatulla optiikalla koodinimellä Bailly. 800G-portin tehonkulutus on saatu laskettua noin watilla 5,5 wattiin. Dell’Oro arvio teknologian merkitystä teknojäteille. AI-klustereiden kiihdyttimien määrä on kasvussa ja muutaman vuoden päästä klusterien kiihdyttimien kytkeminen aiheuttaa ongelmia. Metan suunnitelmissa on kytkeä kiihdyttimet suoraan optiikalla toisiinsa, jolloin kytkimet jäisivät välistä. Yhteispakattu optiikka CPO näyttää nyt vahvimmalta ratkaisulta ja piifotoniikka on jo volyymiteknologia. Se on toimijoilla kokeilussa ja ekosysteemi kehittyy. Vaihtoehto voi olla Aristan ehdottamassa lineaarisessa LPO:ssa, jossa virtasyöppö ja kallis DSP on jätetty pois optiikasta. Myös muita materiaaleja tutkitaan elektro-optista modulaatiota varten ja niillä voi olla jopa suurempi tehokkuus kuin piifotoniikalla. Kehitys on vauhdikasta ja futuristista teknologiaa voidaan odottaa muutaman vuoden päästä. 800G-toimitukset alkoivat viime vuonna ja massavalmistuksen odotetaan käynnistyvän tämän vuoden lopussa. Seuraavan nopeusluokan 1,6T-komponentit perustuvat 200G-aallonpituuksiin ja niiden odotetaan tulevan massamarkkinoille 2025-26. 

Cisco tarjosi MPLS World Congresissa päivityksen SRv6-teknologiaan. SRv6 uSID hyödyntää uutta käskykantaa, jossa kohdeosoite voi sisältää 14 erilaista käskyä. Se antaa mahdollisuuden ajaa Segment Routing -verkossa mitä tahansa shim-headeria tai imitoida erilaisia yhteystapoja. Nyt siis MPLS:n tilalle voi valita myös VXLAN:in täysin samoilla ominaisuuksilla, jolloin samalla tekniikalla voidaan toteuttaa koko ketju accessistä coren läpi konesaliverkon hostiin asti.  USID:llä  on hyvä rautatehokkuus ja se on yksinkertaisempi ja skaalautuvampi. USID:sta on tulossa standardi ja sen takaa löytyy koko ekosysteemi. 

Uusi RFC9386 kuvaa ipv6-käyttöönoton tilannetta 2022 loppupuolella. Ironista on, että IETF:llä meni tilaston julkaisemiseen puoli vuotta ja alkuperäinen draft RFC:stä on jo vuodelta 2020. Voi ihmetellä onko RFC oikea formaatti tällaisen tiedon julkaisemiseen. Tilastojen mukaan maailman käyttäjistä 30% on ipv6-kykyisiä. Maittain vaihtelua on paljon. Sisällöstä kuitenkin vain 20% on saatavilla ipv6:lla. DNS tuntuu olevan eniten ipv6-kykyinen palvelu. Ongelmia käytön lisäämisessä kuitenkin on. Yrityksillä ei pääsääntöisesti ole mitään motivaatiota siirtyä ipv6:een. OT-puolella vanhakantaiset järjestelmät eivät muutu kymmenessäkään vuodessa paljoa. Pilvessä ja sisällönjakelussa ipv4-yhteensopivuus täytyy säilyttää, vaikka ipv6-palvelukin toki löytyy. Osa päätelaitteista on vanhoja ja uusiutuu hitaasti. Myös verkon hallinnassa ja valvonnassa ipv6 aiheuttaa epävarmuutta ja työn moninkertaistumista. Protokollaversion vaikutus tehokkuuteen ja käyttökokemukseen ei ole yksiselitteinen, vaikka ipv6-kehittyneissä maissa ipv6:n nopeus on hieman parempi. Suurin ongelma on ja pysyy: miksi mennä ipv6:een, kun siitä on itselle lähinnä haittaa ja vaivaa? 

Leave a Reply