[FI] Tietoliikennealan katsaus 2022-07

Ongelmat

Cloudflare rikkoi jälleen internetin 21.6.2022, mutta vain alle tunniksi. Verkkohäiriön mukana meni moni muu palvelu nurin. Cloudflaren kokonaisliikenne tippui puoleen, vaikka vika koski vain 4% koko sen verkosta. Vika korjattiin nopeasti ja syykin selvisi todella pikaisesti kuuden tunnin jälkeen julkaistusta blogista. Ongelma johtui muutoksen yhteydessä pieleen menneestä Juniperin firewall-filteristä, jossa deny-lause oli vahingossa päätynyt keskelle filtteriä. Näin osa reittimainostuksista tippui pois ja 19 konesalia putosi verkosta. Cloudflaren omien sanojen mukaan asiantuntijat ajoivat korjaavia muutoksia voimaan päällekkäin ja näin kumosivat toistensa tekemisiä. Media repi tästä meheviä otsikoita asiantuntijakaaoksesta. Kaikki kunnia Cloudflaren kyvylle hoitaa ongelmat kuntoon ja raportoida niistä.

Toinen megakatko tapahtui Kanadassa 8.7.2022 kun Rogersin kaikki kiinteän ja mobiiliverkon palvelut tippuivat alas 11 miljoonalta käyttäjältä lähes vuorokauden ajaksi. Tällä häiriöllä se ansaitsi Kanadan historian suurimman katkon tittelin. BGP-mainostukset pysyivät tällä kertaa jakelussa, mutta liikenne ei kulkenut, mikä viittasi sisäiseen IGP-reitityksen häiriöön. Rogers antoi myöhemmin selityksiä viranomaisille ja niistä selvisi, että ongelma oli muutoksen yhteydessä vahingossa poistettu reitityssuodatus. Sen vuoksi keskeiset kolme koontireititintä ylikuormittuivat ja lakkasivat välittämästä liikennettä. Rogers käyttää kahdenmerkkisiä reitittimiä, joilla on eri toimintaperiaate ja protokollat reittien välityksessä ja siksi ongelma pääsi syntymään. Häiriössä menetettiin jälleen hallintayhteys verkkoon ja siksi ongelman korjaus pitkittyi. Rogers yritti myös siirtää mobiiliverkon liikennettä toisille operaattoreille, mutta se ei toiminut, koska tilaajarekisterit eivät olleet toiminnassa.

Pienempi kanadalainen katko syntyi majavan pureskeltua haavan poikki Kanadan länsirannikolla. Puu kaatui kaapelien päälle soisella alueella katkaisten sähköjohtoja ja kuituja sekä aiheuttaen tulipalon. Teluksen asiakkaat menettivät yhteydet alueella n. 10 tunniksi. Viankorjausta vaikeutti hankalat korkean veden olosuhteet, mikä vuoksi paikalle pääseminen oli vaikeaa.

NRK on selvittänyt aiemmin tapahtuneita merikaapelikatkoja Norjanmerellä. Katkojen tapahtumahetkellä alueilla on AIS-järjestelmän tietojen mukaan seilannut vain venäläisiä troolareita. Huippuvuoren kaapelin päältä oli troolari Melkart 5 ajanut yli 20 kertaa. Vesterålenin kaapelin yli oli ajanut Saami-trooleri. Venäläiset kieltävät syytökset ja syyttävät Norjaa mustamaalaamisesta. Norjan poliisi ei uskalla suoraan nimetä syyllisiä, vaikka kommentoi kaapelivaurioiden syyksi luultavasti ihmistoiminnan.

AAE-1 kaapelin katko Egyptissä 7.6.2022 häiritsi laajasti Euroopan ja Aasian välistä liikennettä neljän tunnin ajan. Kentik kuvaa ongelmaa ja Egyptin kaapelireittejä blogissaan. Kuten aiemminkin on mainittu, Egypti näyttelee tärkeää roolia Euroopan ja Aasian välisissä kaapeleissa. Telecom Egypt operoi 10 kuitureittiä Välimeren ja Punaisen meren välillä.

Googlen sarjassa “internetin häiriöt” vuorossa sulanut kuitu. Raman-vahvistimet ovat uudempia ja tehokkaampia kuin perinteiset EDFA-vahvistimet. Raman-vahvistin pumppaa valolähteestä kovat tehot. Määrällisesti 1 watti tuntuu pieneltä, mutta kun teho kohdistetaan mikrometrien alueelle, kuitu voi kirjaimellisesti syttyä tuleen.

Ranskan huhtikuisen kaapelisabotaasin laajuus oli suurempi kuin annettiin ymmärtää. Katkot vaikuttivat kymmeneen operaattoriin, joiden mukana oli mm. Lumen, Zayo ja DE-CIX. Freen kuvissa näkyy miten kaapelikouru on avattu ja kaapelit leikattu nätisti poikki, ilmeisesti jollakin sähkötyökalulla. Monet kaapelit on katkottu kahdesta kohtaa, jolloin korjaaminen on vaikeampaa. Syyllisiksi on esitetty radikaaleja ympäristöaktivisteja, mutta se ei näytä todennäköiseltä. Varmaa tietoa tekijöistä ei ole kellään. Tekijän on joka tapauksessa pitänyt tietää yksitysikohdat tarkkaan ennen iskua. Tällaisen tuhotyön ei uskota jäävän viimeiseksi ja siksi tietoliikenneinfraa pitäisi suojata paremmin. Fyysisesti alueita voidaan aidata ja valvoa kameroin ja sensorein, mutta myös liian teknisen tiedon julkaisemista pitäisi välttää. Lisäksi viranomaisten ja operaattorien välisen uhkatiedon jakaminen voisi estää iskuja.

Cloudflaren raportti vetää yhteen internetin häiriöt Q1/2022 aikana. Akamai raportoi pysäyttäneensä Prolexic-palvelullaan suurimman DDoS-hyökkäyksen Euroopassa. Itä-Eurooppalaista asiakasta pommitettiin kuukauden ajan laajasti eri ip-osoitteisiin ja liikenteen huippuarvot olivat 660 Mpps ja 854 Gbps.

Euroopan kuumuus on aiheuttanut konesalien lämpötilaongelmia. Briteissä ainakin Googlen palveluissa oli häiriöitä jäähdytysongelmien takia ja Oraclen konesalit on jouduttu ajamaan alas ylikuumenemisen varalta.

OVH:n Strasbourgin konesalin viime vuoden tulipalosta on julkaistu BEA-RI:n tutkintaraportti. Tulipalo alkoi lähes samanaikaisesti kahdesta sähkötilasta ja syyksi arvellaan inverttereitä. Raportissa on hienoa kuvamateriaalia valvontakameroista ja tietoa miten palo eteni. Aika hiljaiseksi vetää kipinää syöksevän pillastuneen invertterin edessä. Tapauksen jälkeen OVH on kuitenkin ihan hyvässä vedossa 202M€:n liikevaihdolla ja 26% vuosikasvulla.

Operaattorit ja 5G

Dishin 5G-verkon valmistuminen meni täpärälle, mutta 20% väestöpeitto USA:ssa 14.6. määräaikaan mennessä toteutui sittenkin. Nyt itsenäinen 5G O-RAN -verkko on käytössä yli 120 kaupungissa. Tosiasiassa projekti Genesis on kuitenkin alkutekijöissään ja hakee houkuttelevaa tarjontaa ja sijaa markkinoilla tavoittaakseen toivotut 30-40 miljoonaa käyttäjää. Tuskin teknisiltä ongelmiltakaan voidaan välttyä. Oma verkko rakentuu hiljalleen ja sen ulkopuolella toimitaan virtuaalioperaattorina AT&T:n ja T-mobilen verkossa. Las Vegasin julkistuksessa ainoa verkkoon sopiva laite oli Motorola Edge+. Muualla verkkoon löytyvät Samsung Galaxy S22 ja Netgear-reititin. Seuraava 70% väestöpeiton takaraja tuleekin vastaan vuoden päästä, joten kiirettä pitää.

Vanhojen mobiiliverkkojen sulkemisesta USA:ssa on tullut ongelma puheluiden välittämiselle vieraista verkoista. USA:ssa vierailevat Eurooppalaiset eivät voi välttämättä soittaa 911:een tai jopa mihinkään amerikkalaiseen numeroon ehkä jopa yli vuoteen. Kukaan ei oikein osaa kertoa ongelman laajuutta. Piirikytkentäinen 2G-verkko on toistaiseksi ainoa täysin yhteinen nimittäjä roamingissa. VoLTE ei vielä täysin toimi kaikkialla, vaikka alkaa ollakin yleinen. Ja aina ei suljeta vanhoja verkkoja. T-mobile on sulkenut yrityskaupan myötä Sprintin vanhan 5G-verkon vain reilun vuoden käytön jälkeen. Nyt sitä uhkaa joukkokanne, jossa vihaiset käyttäjät vaativat oikeuksiaan.

Telian Suomen 5G on nyt kokonaan itsenäistä verkkoa. Teollisuus on löytänyt yksityisverkot ja Agnico-Eaglen Kittilän kaivoksessa on soitettu ensimmäinen 5G-puhelu. Kiinassa on käytössä yli 5000 5G-yksityisverkkoa, mikä on reilusti enemmän kuin koko muussa maailmassa yhteensä. Kiinan ministeriön lukuihin pitää tietysti suhtautua varauksella, koska todellisuus voi olla kovin häilyvä.

Huawei on taas noussut esille USA:n uhkakuvissa, kun vuosia sitten aloitettu FBI:n selvitys on vuotanut julkisuuteen. Selvityksessä on vuosien mittaan noussut esiin hälyttäviä tietoja. Viimeinen pisara on Huawein verkot ohjussiilojen ympärillä. Kiinalaiset ovat myös yrittäneet ostaa maata ja rakentaa “salaisista materiaaleista” puiston ja temppelin Washingtonin parhaalle tiedustelupaikalle. Tie- ja kelikamerat ovat myös epäilyttäneet, koska niistä on helppo seurata sotakaluston ja sotilaiden liikkeitä. Raportti johti FCC:n määräykseen, jossa Huawein laitteet pitää korvata toisella.

5G:n rahoitus on ollut ongelma ja nyt EU aikoo laittaa teknojätit maksamaan osansa verkoista syksyllä tulevan määräyksen avulla. Nokialla menee hyvin, mutta pienemmät O-RAN -valmistajat joutuvat kamppailemaan asiakasvaatimusten ja todellisuuden välissä. Parallel Wireless on joutunut korjaamaan liiketoimintasuunnitelmaa ja löysäämään asiakkaiden vaatimaa aikataulua. O-RAN ei vaan etene sprinteissä, vaan enemmän maratonina. Talouden ja toimitusketjun ongelmat vaikeuttavat myös toimintaa.

Hajautettu web3-verkko Heliumin ja sen operaattori Nova Labsin liiketoimintamalli on herättänyt kysymyksiä. Nova Labs teki kesäkuussa liikevaihtoa 6500 dollaria. Verkon käyttäjät eli “palveluntarjoajat” voivat kuitenkin ansaita kivasti hostaamalla verkkoa. Ja hostaajat eivät ole vain yksityisiä ihmisiä, vaan myös organisaatioita. Miljoonan hotspotin raja menee rikki lähiaikoina ja palvelua on saatavilla 161 maassa ja yli 34000 kaupungissa. 5G-teknologiasta huolimatta Helium ei kilpaile kapasiteetilla, vaan on enemmänkin IoT-verkko. Ja mitä IoT-verkkoon tulee, kytkettyjä laitteita on edelleen aivan liian vähän. Hajautettu ja osallistava malli on yksi tapa kasvattaa verkkoa ja palvelua kustannustehokkaasti ilman suuria investointeja. Käynnissä on web3-maailman kokeilu, jossa voi olla järkeä.

Ericsson, Qualcomm ja Thales ovat viemässä 5G:tä avaruuteen, josta se olisi LEO-satelliittien kautta globaalisti käytettävissä missä tahansa maapallolla. 5G NTN -verkkoa testaan Ranskassa ja käyttökohteet ovat mm. turvallisuusalalla ja valtiollisessa toiminnassa. Dishin aikomus käyttä 12 GHz:n taajuutta 5G-verkossa on nostanut äläkän, koska Spacex:n mukaan Starlink muuttuisi pääosin käyttökelvottomaksi USA:ssa. Starlink käyttää samaa taajuutta ja on teettänyt perusteellisen analyysin tilanteesta. Oneweb on yhtynyt Starlinkin kantaan ja lähettänyt kirjeen FCC:lle. Avaruuslaserit ovat kypsyneet teknisesti käyttökelpoisiksi. Näkyvän valon erittäin korkean taajuuden sateelliittisiirto toimii ja sitä voidaan alkaa käyttää LEO- ja GEO-satelliittien välisissä yhteyksissä, joissa tarvitaan lisää kapasiteettia.

Starlink on ylittänyt 400000 tilaajan ja 2500 satelliitin määrän toimien nyt 36 maassa. Laajennusta on odotettavissa Aasiassa, Afrikassa ja Lähi-Idässä. Starlinkin uusi palvelu on venenetti Starlink Maritime, josta joutuu pulittamaan 5000$/kk ja ostamaan lisäksi 10000 dollarin päätelaitteen. Aiemmin on julkaistu myös kohtuuhintainen RV-netti, joka on suunnattu liikkuville karavaanareille.

Starlinkin käytön kasvu alkaa kuitenkin näkyä kapasiteetissa kun verkkoon tulee nykyisellä tahdilla 20000 terminaalia lisää viikossa. Kapasiteetti käy rajalliseksi ja yhteyden laatu huononee. Uusi terminaalilaite ilman ethernet-paikkaa, pohjassa olevalla status-ledillä ja ilman online-päivitysmahdollisuutta ei vakuuta. Starlinkin tuki ongelmiin on ollut tuskaisen hidasta. Palvelu tuntuu olevan vieläkin betatestauksessa, vaikka se on siirtynyt jo tuotantoon. Myönteisenä puolena kuitenkin Starlink on myynyt käytettyjä lautasia ja terminaaleja, vaikkakin hiljaisesti tiskin alta. Gen2-sateelliitit voivat ratkaista ongelmia, mutta ovat esim. viisi kertaa painavampia kuin vanhat mallit ja niitä on hankalampi saada avaruuteen.

Oneweb ja Eutelsat lyövät hynttyyt yhteen ja yhdistyvät isommaksi peluriksi markkinoille. Yhdistyminen todennäköisesti kuitenkin aiheuttaa Britannian ja Ranskan välillä valtapoliittisia ongelmia.

Pilvi ja konesali

Pilven suunta on vertikaaleissa pilvissä, jotka erikoistuvat tiettyyn työkuormaan tai palveluun. Perinteinen pilvi uhkaa jäädä liian yleispäteväksi ja joustamattomaksi uusille palveluille. Markkina on kasvanut niin suureksi, että varaa erikoistumiseen on. Erikoispilvi rakentuu myös yhä useammin erikoistuneen infran päälle. Mitä parempi infra, sitä parempi pilvi. Pilvikilpailussa voi pärjätä hyvällä sovelluskehitysympäristöllä ja korkeamman tason sovellusalustoilla sekä AI-käyttöön optimoidulla infralla. Myös Batteryn pilvianalyysin mukaan julkipilven arvostus on romahtanut ja näemme nyt enemmän kovan kasvun SaaS-yhtiöitä.

USA:ssa paikallisuus on mennyt osavaltiotasolle kun erilaiset lait alkavat vaikuttaa datankäsittelyyn ja sitä kautta pilvipalveluiden sijaintiin. Esim. Proov siirsi sovelluksensa herkän hedelmällisyystiedon aborttilain myötä AWS:stä ja Azuresta Googlen pilveen, koska se oli ainoa alusta turvalliseksi koetussa Nevadassa.

Gartner on listannut IaaS-pilven markkinaosuudet viime vuosilta. Viisi suurinta palveluntarjoajaa kahmivat 80% markkinasta. Googlen kasvu on ollut vauhdikkainta ja Huawei on tehnyt merkittäviä investointeja ekosysteemiin, mutta nyt alueelliset pilvet näyttävät kasvattavan merkitystään. Käyttäjäkokemus ja palveluiden tuottavuus on myös olennaista menestymiselle.

Google Distributed Cloud Edge on saatavissa 5G-kumppanien kautta privaattiverkkoihin. Microsoft julkaisi uuden Sovereign cloud -pilven, samoin Oracle laajensi oman Sovereign Cloudin EU-alueelle Saksaan ja Espanjaan. OCI ja Azure lähentyvät toisiaan Oracle-tietokantapalvelun tullessa Azureen. Tiktok on siirtänyt nyt kaikki USA:n liikenteensä Oraclen pilveen. Omat konesalit toimivat enää varmistuksena ja käyttäjätieto pitäisi poistua niistä piakkoin. Yhteistyössä Oraclen kanssa on kehitteillä tiedonhallintaprotokolla, jolla käyttäjille saataisiin taattua mielenrauta omista tiedoistaan.

Azuressa on ollut kapasiteettiongelmia jo pitkään eri alueilla ja nyt Britanniassa pilveen pääsyä on rajattu uusilta asiakkailta. Kapasiteettiongelmia helpottaisi jos käyttäjät poistaisivat autoskaalauksen käytöstä ja rajaisivat resurssien käytön vain tarpeelliseen. AWS on julkaissut statistiikkaa pilvipalveluidensa käytöstä Prime Day:n aikana. Aurorassa esim. pyöri 5326 tietokantaa, joissa tehtiin 288 miljardia transaktiota. Tietoa tallennettiin 1849 TB ja siirrettiin 749 TB. Dynamodb:llä huippupiikki oli yli 100 miljoona pyyntöä sekunnissa. SES-palvelu lähetti parhaimmillaan 33000 sähköpostia sekunnissa.

AWS:lla on suunnitelmissa Local Zonejen laajennus 32 alueelle USA:n ulkopuolella. Cloud WAN on nyt virallisesti saatavissa ja kumppani-integrointeja löytyy. Uusia aluevaltauksia AWS:llä on Quantum Networking -yksikkö, jolla se valmistautuu salauksen vahvistamiseen ja myös kvanttikoneiden yhdistämiseen. Teknologiassa on odotettavissa osittain samoja tekniikoita mitä jo käytetään, mutta myös heikkoja yhden fotonin lasereita. Valon heikkous taas vaatii vastaanotinten ja vahvistimien kehitystä. AWS on myös toimittanut kansainväliselle avaruusasemalle Snowcone edge-laitteiston. Prime ei toimita avaruuteen, joten lähetys ulkoistettiin Falcon 9 -raketin kyytiin. Snowcone kerää avaruudessa otetut kuvat NAS:lta ja käsittelee ne paikallisesti. Pääsääntöisesti laite palautetaan takaisin maahan tiedon jatkokäsittelyä varten, mutta online-siirtoakin voidaan tehdä Datasyncin avulla. Laitteen konfigurointi SSH:lla on myös onnistunut maasta käsin ja laitteelle on onnistuttu siirtämään isohko 30 GB:n tiedosto. Vastaavasti Planet kertoo kuinka sen 500 satelliitin verkko mallintaa maapalloa avaruudesta tuottaen päivittäin 30 TB tietoa.

Walmart on rakentanut omaan käyttöönsä vaikuttavan hybridipilven, jossa on 10000 edge-laitetta. Se on yksi maailman suurimpia Openstack-pilviä, mutta lisänä käytetään Azurea ja Googlea. Liikennettä reititetään älykkäästi, pilvelle on rakennettu oma hallinta-alusta ja abstraktointikerros, jotka hallitsevat 545000 podia ja lähes sataa tuhatta nodea. Kustannuksia on saatu tiputettua 10-18% ja toimintavarmuutta kasvatettua. Vastaavasti Target on räjätyttänyt sovellukset uusiksi kymmenvuotisen pilvisiirtymänsä aikana. Avoin koodi näyttelee tärkeää osaa ja Target liittyi viime vuonna mukaan Open Compute Projectiin. Verkkokäyttöjärjestelmä Sonic on yksi kehityspoluista. Myös Target aikoo pysyä hybridimallissa, jossa julkipilvestä otetaan skaala- ja kustannushyöty, mutta dataintensiiviset, liiketoimintakriittiset ja edge-palvelut ajetaan omassa privaattipilvessä.

Deloitten pilvitutkimus kertoo, että pilvi tosiaan on antaa mahdollisuuksia moneen ja se ajaa eteenpäin positiivista muutosta. Mutta yritysten innovointikyky ja pilvipalveluiden strateginen hyödyntäminen laahaavat perässä. Yhä enemmän mediassa pyörii ajatus, että serverless-funktiot ovat tärkeä osa pilvinatiiveja sovelluksia ilman infran hallintaa. Koyeb on laskenut Kubernetes-hallinnan kuluja ja todennut, että serverless-kontit ovat monesti tehokkaampia kuin Kubernetes-alusta. Kubernetesin jättäneiden keskusteluryhmä kertoo mikä meni pieleen.

Cloudflare rakentaakin uutta CDN-palvelua workers-funkioidensa päälle. Myös Akamai keskittyy edgeen ja tietoturvaan, jotka ovat molemmat kasvavia alueita. Vaikka sisällönjakelu on edelleen suurin liiketoiminta, sen kasvu hiipuu. Akamain edge-historia tavallaan ulottuu jo 2000-luvun alkuun ja nyt sillä on laskentakykyä 4000 sijainnissa ja lähes 1000 kaupungissa ympäri maailman. Tietoturvapuolella Guardicoren osto auttaa toteuttamaan segmentointia dynaamisemmin ja tehokkaammin. Linoden kehittäjäystävällisen alustan avulla Akamai yritää houkutella sovelluksia edgeensä. Amerikkalainen Lumen aikoo laajentaa edge-alustansa Eurooppaan alkaen Keski-Euroopasta. Vielä tänä vuonna on luvassa laajennusta muuallekin. Samalla huhutaan Lumenin myyvän Euroopan toimintonsa sijoittajille.

Konesalit hivuttautuvat kaupunkeihin kun konesalioperaattorit etsivät tilaa jo olemassa olevan infran piiristä. Kaupungeissa tosin ongelmaksi on noussut sähkön riittävyys ja muut ympäristö- ja viihtyvyysnäkökulmat. Microsoft on ilmoittanut sijoittavansa kolmannen Suomen konesalinsa Vihtiin. Google on hankkinut 50000 neliömetriä maata Haminan konesalin ympäriltä, mutta ei vielä paljasta mitä sillä aikoo tehdä ja milloin. Hamina saa kaupasta 4,3 M€. Luxembourgissa Googlen konesalihanke sen sijaan torpattiin sähköverkon kapasiteetin takia. Myös maailman tiheimmässä konesalikeskittymässä Loudoun Countyssä Virginian pohjoisosassa on törmätty sähköongelmiin ja konesalien jatkokehitys on jäissä ainakin muutaman vuoden. Paikalliset ovat nousseet barrikadeille nyt kun eteläisemmästä Prince William Countystä aiotaan kehittää uutta konesalikeskittymää. Maata otettaisiin syrjäseudun asukkailta ja suojelualueilta, jopa vanhainkodilta ja hautausmaalta. Korruptiolta ei voi välttyä. Vedensaanti herättää myös kysymyksiä. Konesalit luottavat yhä enemmän vesijäähdytykseen ja se on ongelma varsinkin USA:n länsirannikolla. Veden riittävyydestä on tullut uusi kiistakapula yhdessä sähkön kanssa.

Kyberturvallisuus

Trellix on julkaissut yhteenvedon Ukrainan sodan aikaisista kyberhyökkäyksistä ja niiden osapuolista. Venäjän talousahdingossa kyberrikollisuuden uskotaan kasvavan ja erityisesti osaavat venäläiset IT-henkilöt voivat luottokorttivarkauksien kautta maksaa estettyjä palveluita. Korttitietoja voidaan myös kaupata eteenpäin. Venäjä aikoo säätää lain, jolla puhelut väärennetyistä numeroista voisi estää. Tämä tarkoittaa puheluiden kierrättämistä valvontajärjestelmän läpi, joten puheluihin tulisi samanlainen valvonta kuin internet-liikenteessä SORM-järjestelmän kautta on.

T-mobilen viimevuotinen historiallisen suuri 76 miljoonan käyttäjän tietovuoto on johtanut joukkokanteeseen. Yhtiö ei vieläkään myönnä syyllisyyttään, mutta haluaa sopia oikeusjutun kovalla rahalla. Oikeudessa on hyväksytty 500 miljoonaa dollarin hyvitys, josta 350 miljoonaa menisi rahastoon ajettavaksi korvauksina uhreille. Tasan jaettuna siitä tulisi ruhtinaallinen alle viiden dollarin korvaus per asiakas. 150 miljoonaa menee yhtiön oman turvallisuuden parantamiseen. Ainoa mitä T-mobile on asiaan kommentoinut, on että se tuplasi tietoturvainvestointinsa viime vuonna.

Hertzbleed-haavoittuvuus käyttää hyväksi x86-prosessorin vaihtuvaa kellotaajuutta, joka taas riippuu joissakin tapauksissa käsitellystä tiedosta. Haavoittuvuus on todellinen uhka salausohjelmistoille. Inteliltä tai AMD:ltä ei ole tulossa korjausta, mutta Intel ohjeistaa miten vaikutusta voidaan ohjelmallisesti rajata. BPF-haittaohjelmat ovat nyt arkipäivää. Linuxin Berkeley Packet Filterin avulla voi järjestelmään syöttää takaovia. BPF on usein oletuksena päällä ja sen kautta pääsee käsiksi syvälle liikenteen ja palomuurien käsittelyyn.

CISA, NSA ja FBI ovat yhdessä varoittaneet kiinalaisvakoilusta, joka kohdistuu verkko-operaattoreihin maailmanlaajuisesti. Tiedotteessa luetellaan käytetyt haavoittuvuudet, kohteena olevat laitteet ja annetaan kovennusohjeita. Myös kiinalainen Gallium-ryhmä hyökkää operaattoreihin, finanssiyrityksiin ja hallituksen virastoihin. Intiassa monet VPN-yritykset ovat poistaneet palvelimensa käytöstä vastalauseena Intian Certin vaatimukseen kerätä ja ylläpitää käyttäjätietoja viiden vuoden ajan.

OMIGOD-haavoittuvuus tekee paluun uudessa muodossa Azuren hallinta-agenttiin. Tenablen toimitusjohtaja Amit Yoran syyttää Microsoftia Azure-haavoittuvuuksien vähättelystä. Tenable on raportoinut ongelmat Microsoftille, mutta vastaanotto on ollut nihkeää. Samaa Microsoftin penseyttä on havaittu muidenkin tietoturvatutkijoiden kokemuksista. Yksi merkki Microsoftin muuttuneesta linjasta on 2020 käyttöönotettu uusi ilmoituskäytäntö. Myös Microsoftin yritys ostaa Mandiant saa haukut Sentinelonen toimitusjohtajalta. Hänen mukaansa Microsoftin strategia ei palvele tietoturva-alaa ja Google on ehdottomasti parempi paikka Mandiantille. Microsoft jatkaa kuitenkin panostusta tietoturvaan yritysostojen kautta ja on ilmoittanut ostavansa uhka-analyysiyrityksen Miburon.

Huhut kertoivat, että amerikkalainen e-sotayritys L3harris olisi ollut ostamassa Pegasus-vakoiluohjelman tuottaneen israelilaisen NSO Groupin. Tämä herätti raivokkaista vastalauseita ja sittenpä L3harris vetäytyi koko aikeesta. Cato Networksin toimitusjohtaja Sclomo Kramer esittää, että teknoyhtiöt pitäisi ottaa enemmän mukaan NATO:n toimintaan. Kyberturvallisuuden merkitys maailmanrauhassa on nykypäivänä merkittävä ja kybermaailma tarvitsee maailmanlaajuista organisaatiota.

Brittien Channel 4 on tuottanut realistisen kybersarjan The Undeclared War, jossa kuvataan iskua BT:n verkkoinfraan. Sarja saa ammattilaisilta ylistystä totuudenmukaisuudesta. Hahmot käyttävät oikeita työkaluja, murtautuvat palomuurin läpi haavoittuvuutta hyödyntäen, työskentelevät oikean GCHQ:n tiloja vastaavissa olosuhteissa ja laittavat viruksia hiekkalaatikkoon, josta ne sitten karkaavat. Sarja on kolmen vuoden tutkimustyön tulos ja kohtaukset ovat oikeasti tapahtuneet tai ne on käyty läpi harjoituksissa.

Cloudflare One Week juhlisti yhtiön zero trust -palveluita ja julkisti niitä samalla lisää. Yhtiön toimitusjohtaja Matthew Princellä on selvä suunnitelma: voittaja on se, joka pystyy toimittamaan tietoturvan osana muuta infraa ja sovelluksia. Nyt 23000 eli yli 15% Cloudflaren asiakkaista käyttää ainakin yhtä zero trust -palvelua. Kymmenen vuoden päästä asiakkaat eivät ajattele tietoturvaa, vaan verkkokokonaisuutta, jolla asiat saadaan ratkaistua. Cloudflarella on laaja verkko ja se on investoinut zero trust-mallisiin palveluihin innokkaasti. Siksi ei ole epäselvää, että Cloudflare on yksi voittajista. Cloudflare myös perusti uhkatietotutkimusyksikön, jolle se kyseli nimeä. Doppler äänestettiin parhaaksi, mutta yllättäen siitä tulikin Cloudforce One.

Cato Networks on laajentanut verkkoansa Kööpenhaminaan toisella pohjoismaisella POP:lla Tukholman jatkoksi.

Illumion Zero Trust Impact Report kertoo, että zero trust terminä on kärsinyt inflaation. Innostus kasvaa, mutta perusajatus, että kaikki on murrettu, unohtuu. Segmentoinnin käyttöönoton pioneerit näkevät näkyvyyden, rajaamisen ja suojaamisen hyödyt käytännössä. Tosin kypsiä käyttäjiä on vain alle 10% yrityksistä ja edistyviä 24%. Zero trust tarvitsee hajautettua käsittelyä ja siihen taas keskitettyä hallintaa. Service mesh on seuraava askel API-rajapintojen maailmassa ja EBPF on työkalu tehostamaan Service Meshin toimintaa. EBPF on kernelissä toimiva ohjelma ja yhdellä nodella on vain yksi kernel, joten Kubernetesin vaatimasta pod-kohtaisesta sivuvaunu-proxystä päästään eroon. EBPF tuo myös tietoturvaa suoraan välityskerrokselle.

Batteryn raportti tietoturvayhtiöistä kertoo viime vuoden tapahtumista ja kehitystrendeistä alalla. Amerikkalaisyrityksillä menee lujaa: Perimeter 81 ja Devo ovat saaneet 100 miljoonan dollarin sijoitukset, Swimlane 70 miljoonaa. Juniper Research on rankannut kyberturvayhtiöt markkinakentälle. Kolmikenttä antaa hieman erilaisen kuvan todellisuudesta, jossa markkinajohtajina ovat AWS, Cisco, IBM ja Oracle. Cisco julkistikin uusia tuotteita eli päivitti SASE:nsa Security Cloudiksi ja Anyconnect VPN-clientin Secure Client -päätelaitesuojaksi. Honest Security on opas käyttäjän ja päätelaitteen arvojen kunnioittamiseksi tietoturvamaailmassa. Opas on hyvä ja posiitivinen kuvaus tietoturvasta ihmisten ja yksilöiden kannalta, kuitenkin yrityksen eduksi.

Tekniikka ja operointi

Ethernetin suullinen historia on arkisto, jossa alan pioneerit puhuvat suunsa puhtaaksi vielä kun ovat hengissä.

Juniperin video selittää reititin-ASIC:ien sielunelämää ja on monipuolinen kuva laitteiden sisuskaluihin. Oman tuotannon ASIC MX Trio on kaikista joustavin ja monipuolisin, ja taipuu myös tulevaisuuden tarpeisiin. Se on multi-PPE RTC -prosessori, jonka viimeisimmässä 6-versiossa on 160 itsenäistä PPE:tä, joilla se voi ajaa 20 threadia rinnakkain. Eli kyseessä on massiivisesti rinnakkainen arkkitehtuuri. Toinen ASIC-arkkitehtuuri on liukuhihnakäsittely, jota edustavat Juniperin Express ja Broadcomin piirisarjat. Näissä liikenne kulkee aina saman vakioidun linja läpi ja sillä saadaan kova ja ennustettava suorituskyky. Lisäominaisuuksia voi saada käyttöön tiettyjen rajojen puitteissa. Arkkitehtuuri on yhteinen, mutta toteutuksissa ja ominaisuuksissa piireittäin voi olla eroja. Videolla on myös vertailtu Broadcomin Jericho2- ja Qumram-piirien ominaisuuksia. Näiden perusteella sitten pitäisi osata valita oikea osa oikeaan käyttöön.

Ivan Pepelnjak avaa konesali-ASIC:ien ominaisuuksia ja rajoitteita. Yleisimmät erot tulevat puskurimuistin koosta, välitystaulujen koosta, useamman peräkkäisen LPM-haun vaikutuksesta suorituskykyyn, välitysominaisuuksista ja ohjelmoitavuudesta. Tomahawk 3 on kovan suorituskyvyn piiri pienillä tauluilla ja muistella sekä rajatuilla välitysominaisuuksilla. Hintaluokka on 50000 dollaria. Suorituskyvystä kun tinkii, saa Trident 3 -piirillä isommat taulut ja monimutkaisemmat ominaisuudet hintaluokassa 30000 dollaria. Eniten ominaisuuksia tarjoaa Jericho 2, jolla voi tehdä monimutkaista pakettien käsittelyä, ja välitystaulut ja puskurimuistit riittävät isompaankin käyttöön. Hintalappu on kuitenkin välillä 75000-210000 dollaria.

Juniperin Sharada Yeluri antaa yleiskuvauksen fotoniikkaaan ja integroituun optiikkaan. Hyvä tietää, että yhteyspakattua optiikkaa voi käyttää myös sensoreissa ja lidareissa.

Juniperin päätös lakkauttaa MX204-reititin on herättänyt kovan äläkän käyttäjäyhteisössä. Samalla EOL:lättiin MX10003 ja MPC7MRATE-kortti. MX204 on ollut uskomattoman hyvä hinta-laatu-teho -suhteeltaan pienempään käyttöön ja sen korvaava MX304 on 3-4 kertaa kalliimpi. Toinen vaihtoehto korvaajaksi on tuleva ACX7100. Vastaavaa tuotetta ei ole oikein ollut saatavilla muiltakaan valmistajilta. Lopetuspäätöksen takana on komponenttien saatavuus ja Trio 4 -piirissä olevan HMC-muisti, jonka valmistus on lopetettu tiettävästi jo 2018. Onhan laitteille vielä elinkaarta 2028-29 asti, joten hätä on enemmän tunteellinen reaktio.

Juniper uudistaa metroratkaisunsa Cloud Metroksi uuden ACX7000-sarjan myötä. Retro-metro siirtyy syrjään ja mukaan tulee pilvihallittava metro 400G-kapasiteetilla. Yrityspuolella EX4100 on uusi paremman pään access-kytkin, joka solahtaa Mist-pilvihallintaan.

P4-ohjelmoitavat kytkimet ovat nousseet valtavirtaan standardoidun arkkitehtuurin avulla. Mutta nyt edgen mukana tulevat ohjelmoitavat Smartnicit tai DPU:t ovatkin paljon rönsyilevämpi kenttä. Niille voi olla jopa mahdotonta löytää yhteistä standardia. Sama ongelma on Kubernetesilläkin. Pakkostandardointia parempi ratakisu olisi kehittää taas uusi päästä-päähän palvelukerros ohjelmoitavan infran ja Kubernetes-mikropalveluiden päälle. Mikä se olisi? Edgeen voi syntyä erilaisia palvelualustoja eri käyttötarkoituksiin tai sitten kokonaan uusia edge-natiiveja sovelluksia.

Linux Foundationin valkopaperi ” Sharpening the Edge II: Diving Deeper into the LF Edge Taxonomy and Projects” sukeltaa edgen syövereihin ja esittelee trendejä, ongelmia ja ratkaisuja. Paperissa on esitelty kattavasti avoimen koodin projektit, jotka ratkovat kukin tiettyä ongelmaa. Zededan Edge Computing Landscape -raportti kertaa viime vuoden näkymät ja vahvistaa saman tilanteen kuin LF:n raportti.

MPLS-reitittimellä on kaksi tapaa muodostaa route-distinguisher: ASN tai IP. Ainoa oikea tapa on käyttää laitekohtaista ip-osoitetta, mielellään laitteen loopback-osoitetta. Näin joka reitistä tulee yksilöllinen, kuormanjako toimii ja ongelmanselvitys on helpompaa. Junosissa on myös automaattikomento RD:n luomiselle ip:n mukaan: “set routing-options route-distinguisher-id 192.168.1.5”. BGP:n konvergoitumisessa on MRAI-arvo, joka määrittää lyhyimmän väliajan mainostuksille. Internetissä MRAI 0 on luultavasti paras valinta, mutta konesalissa asia on monimutkaisempi. Nolla-arvolla reititin käsittelee mainostuksen heti, mutta kaikki verkon laitteet eivät voi käsitellä mainostusta samaan aikaan, joten päivitysten määrä lisääntyy. Jos MRAI on 1 s, mainostus on hitaampaa, mutta verkon konvergoituminen voi olla jossain tapauksissa nopeampaa. Konesalissa, jossa tarvitaan nopeaa konvergoitumista, kannattaisi harkita IGP:n käyttöä BGP:n sijaan.

Virtuaalireititin Catalyst8000v:n rajoitettua kapasiteettia pystyy itse säätämään isommaksi, kuten Daniel Dib neuvoo blogissaan. Pakettikaappauksen perusteet käydään läpi Tony E:n blogissa. Käyttääkö spania vai TAP:ia, mistä kohdasta kaapata liikenne ja mihin lähettää se? Multipath TCP on lisätty OpenSSH:lle ja sillä voi nyt yhdistellä useita verkkoliitäntöjä samaan yhteyteen. Tailscale on lisännyt SSH:n VPN-konseptiinsa. SSH-avaimet voi jättää pois ja antaa Tailscalen pääsynhallinan hoitaa kirjautumisen. Portnox tarjoaa AAA-palvelua pilvestä TACACS+-as-a-Service -konseptillaan.

Pingaamiseen on oikoteitä kun kaikkia numeroita ei tarvitse välttämättä kirjoittaa. “Ping 1.1” tuottaa monessa käyttöjärjestelmässä lopputuloksen “ping 1.0.0.1”. Ipv6-puolella “lyhyin ping” “ping 2600::”, johtaa Sprintin verkon palveluun. Ping-tilastot Googlen 8.8.8.8-palvelusta kertovat, että sinne tulee tasaisesti 12 Mpps pingiä sisään, mikä vastaa noin 10 Gbps -liikennemäärää.

DNS-kummallisuuksissa on esillä TLD .ch eli Sveitsin maatunnus. Ch on alun perin osoitettu 1970-luvun historiallisen Chaosnetin käyttöön ja siksi kysely “dig ch NS” epäonnistuu. Perään pitää laittaa piste, jolla kysely toimii: “dig ch. NS”. Sama ongelma on ainakin Intian .in-maatunnuksella.

Tampereen kaupunki ottaa käyttöön Signifyn Brightsites-verkon, joka tarjoaa nopean langattoman yhteyden katuvalaisimien kautta. Ketjun lähtöpää on liitetty 10G-linkillä internettiin ja valotolpat muodostavat 60 GHz -taajuudella mesh-verkon. Tolppien täytyy olla 150 säteellä. Näin saadaan käyttäjille jaettu 1,9 Gbps -kapasiteetti. Brightsites on valmiiksi integroitu valaisimiin ja paluukanavana käytetään 5G-linkkiä.

Wifi-verkkoon voi itse luoda QR-koodin kirjautumista varten. Koodiin sisällytetään SSID, autentikointimenetelmä ja salasana. Ja näin saat käyttäjät näppärästi kirjautumaan verkkoon koodin skannaamalla.

HTTPS/3 sai standardin viiden vuoden jälkeen RFC 9114:ssa. RFC9113 päivittää HTTP/2:sta. Mutta HTTP/3 ei pelkästään riitä hyvään suorituskykyyn, vaan mukaan tarvitaan striimin priorisointi, joka on määritetty RFC9218:ssä. Cloudflare kertaa blogissaan HTTP:n kehityspolun, RFC:t ja käyttöstatistiikan eri protokollaversioilla.

Ohjelmistotuotannolla on vakavia ongelmia vastuullisuuden kanssa. Tuntuu, että IT-alalla koodareilta puuttuu riittävä osaaminen ja ymmärrys omasta toiminnastaan. Ohjelmistojen surkea laatu johtaa merkittäviin ongelmiin yhteiskunnassa. IT-alalle pitäisi saada samoja käytäntöjä kuin esim. liikenteessä, energia-alalla tai sairaanhoidossa perinteisesti on. Tarvitaan säännöstelyä, määräyksiä, ohjeita, vaatimuksia yms. Eli IT:stä pitää tulle uskottavaa teollisuutta.

Miten sitten isoissa firmoissa työnteko toimii? Yleinen periaate on, että työt on jaettu pieniin autonomisiin tiimeihin ja työ tehdään projekteina, joita vetää asiantuntija tai Tech Lead. Agile ja Devops ei siis välttämättä ole enää oikea juttu. Devopsit eivät myöskään tykkää pelata infran kanssa, joten yritysten kannattaa luoda kehittäjille sisäinen kehitysalusta (IDP), jonka muoto voi vaihdella tarpeen ja koon mukaan. Periaatteena on, että kehitysalusta olisi sisäinen tuote, jota kehitetään ja ylläpidetään käyttäjien ehdoilla. Mukana pitää olla itsepalveluperiaate sekä standardointia ja rakennetta parhaiden käytäntöjen hyödyntämiseksi.

IaC-työkalu Terraformin haastajaksi noussut Pulumi on täyttänyt viisi vuotta. Kasvu on nopeaa ja sillä on nyt lähes 1000 asiakasta, mm. Snowflake, Univision, Mercedes-Benz ja Docusign. Pulumin toimitusjohtajan Joe Duffyn mukaan Terraformin oma kieli siilouttaa organisaation, kun taas Pulumilla voi kukin tiimi käyttää omaa suosikkikieltään koodin kirjoittamiseen. Sopivalla kielellä saadaan koodin suorituskyky myös optimoitua. Suurin kilpailija Pulumille onkin oikeastaan isojen yritysten omatekoiset koodit. Pilvet tekevät osansa tehdäkseen palveluiden käytöstä helppoa. AWS on tässä johtaja modulaarisella ja laajalla palveluvalikoimalla. Azure ja Google ovat enemmän monoliittisia ja kankeampia. Pulumi tähtää kokonaiseksi pilvihallinta-alustaksi, jossa on mukana hallinta, valvonta ja tietoturva.

AWS:n oma IaC-työkalu Cloudformation on joissakin piireissä määritetty kuolleeksi. Asiasta voi olla montaa mieltä. Cloudformation kuitenkin tulee ilmaiseksi AWS-tilin mukana ja se ei vaadi mitään eritystä asennusta tai ylläpitoa. Työkalu on toimiva, käyttää YAML-koodia ja toimii jopa erillisten AWS-tilien välillä. Verkkoihmisillekin tarpeelliselle regexille löytyy tekoälykääntäjä, jolla voi muotoilla sopivia lauseita.

Infran ja palveluiden valvonta, nykyään hienommin sanottuna observability, lisää infran kustannuksia. Vanha juttu on, että valvonnasta ei kukaan maksa, mutta nyt olisi viimeistään aika miettiä valvontakustannuksia uudelta kantilta. Kehityskaari on nähty pilven käytön yleistymisen myötä: pilvipalveluiden käyttö lisääntyi holtittomasti, kunnes saavuttiin siihen pisteeseen, että tuli tarve jotenkin kontrolloida pilven käyttöä ja luoda sille käyttöperiaatteet. Saman mallin voisi ajatella käyvän myös perinteiseen IT-infraan. Näkyvyydellä ja valvonnalla riittävän syvälle sopiviin yksiköihin asti, saataisiin infran kustannustehokkuus ja toimivuus uudelle tasolle. Tämän voisi ajatella valvontajärjestelmien investoinnin tuottona. Mutta joku raja tässäkin minkälaisia ja -hintaisia tuotteita kannattaa ottaa käyttöön ja kuinka monta. Kerätyllä tiedollakin on myös aina hintansa, joten siinäkin pitää olla valikoiva mitä kaikkea valvoo ja miten. Omaan tarpeeseen sopivat työkalut voivat joka tapauksessa lisätä tuottavuutta ja tehokkuutta merkittävästi.

Cisco on päivittänyt Associate- ja Professional-tasojen sertifikaattikokeita niin, että niihin voi nyt sisältyä labratehtäviä. Labletit sisältävät konfigurointi- ja ongelmanselvitystehtäviä oikeilla laitteilla. Devnet-koe on saamassa samanlaisen päivityksen loppuvuonna. Labletit vedetään kokeeseen kysymyspankeista ja niitä voi tulla tai sitten ei. Kaikissa kokeissa, joissa mainitaan configure, troubleshoot, verify tai muuta tekemistä kuvaavaa, voi odottaa labratehtäviä. Opiskelumateriaalikustantaja Pearson aikoo ottaa käyttöön NFT-kirjat, jotta se pääsisi mukaan kirjojen jälkimarkkinoille.

Yritykset ja tuotteet

Okta listaa taas suosituimmat yrityssovellukset. SaaS-yritysten analyysi Q1/2022 kertoo, että parhaat suoriutujat olivat Datadog, Zoominfo, Sentinelone ja Gitlab. Moni on myös pudonnut takaisin historialliselle tasolle.

Vmware on joutunut selittämään yrityskauppaa USA:n arvopaperi- ja pörssikomissiolle. Kysymykset ovat mielenkiintoisia, mutta vastaukset täyttä yritysjargonia. Esim. komissio penää miten käy Vmwaren innovaatiokyvylle ja miksi Broadcom nähdään innovatiivisena yrityksenä.

Broadcomin nykytilanne on tulosta sen pitkäaikaisesta strategiasta. Itse asiassa Broadcomin oma tarina alkoi spin-offin spin-offista. HP erotti Agilentin omaksi yhtiökseen. Agilent jakautui vielä osiin, joista Avago oli siruliiketoimintayhtiö. Avago heräsi eloon yksityissijoittajien ostaessa yhtiön. Jo silloinen toimitusjohtaja Hock Tan ymmärsi, että puolijohteet ovat kova juttu 2000-luvun alussa. Tosin liiketoiminta oli erittäin kilpailtua, kausittaista ja pienimarginaalista. Avago keksi menetelmän: ostetaan markkinajohtaja vähän kilpaillulta alalta ja kasvatetaan kassavirta seuraavaa ostosta varten. Tällä menetelmällä on saatu USA:n puolijohdeteollisuus kutistettua 2000 yrityksestä nykypäivän 200:aan parissa vuosikymmenessä. Yrityksissä karsitaan kaikki kulut, tuotekehitys ajetaan alas ja johtajille annetaan itsenäisyys ja musertava työkuorma hyvine palkkioineen. Avagon peruja on taito suostutella ostettava yritys myyntiin. Broadcomin nimi jouduttiin ottamaan, jotta saatiin kauppa toteutumaan. Totuus on, että Broadcom ei ole puolijohdeyritys eikä ohjelmistotalo, se on yksityinen rahoitusyhtiö. Kuinka kauan tällainen ostokierre voi jatkua? Luultavasti vielä pitkään. Ongelmat ovat mistä löytää uusia ostettavia, miten integroida ne osaksi yhtiötä ja miten pitää yllä kassavirtaa. Organisaatiosta tulee niin iso, että se sekoaa omiin lonkeroihinsa. Broadcomin taktiikka on ollut antaa itsenäisyys eri yksiköille, mutta se ei voi toimi loputtomiin yhden yhtiön alla. Jos joku liiketoiminta alkaa sakata, se myydään tai erotetaan omaksi yhtiöksi. Näin ei ole vielä käynyt, lukuunottamatta yrityskauppojen mukana tulleita rönsyjä, joista on pitänyt päästä eroon. Verkkopuolen asiakkaiden tyytymättömyys Broadcomin toimintaan on jatkuvasti kasvanut ja se on avannut ovia muille valmistajille ja hyperskaalaajien omalle kehitykselle.

Yritysostojen kohteeksi joutuville työntekijöille on ohje pysyä rauhallisena. Ostouutisten jälkeen johtajat alkavat tiedottaa asiasta, mutta eivät työntekijöitä kiinnostavista asioista. Epämääräisyys laskeutuu. Kello alkaa tikittää ja seuraavan vuoden aikana muutoksia alkaa tulla ja kavereita hävitä ympäriltä. Pitää tehdä omat päätökset: lähteä vai jäädä.

Isoissa teknologiayhtiöissä on nyt yhtäkkiä tapahtunut käänne ja asiantuntijoiden palkkaaminen on monessa yrityksessä jäädytetty. Jopa irtisanomisia on esiintynyt. Yhtiöillä on vaikeuksia liiketoiminnassa ja yhteiskuntasuhteissa. Teknologia-ala viilenee kummasti. USA:ssa teknoalalla yli puolet yrityksistä aikoo luopua korkeakoulututkintojen vaatimuksista uusissa palkkauksissa. Vaatimusten löysäämisellä saadaan työntekijöiden monimuotoisuutta lisättyä. Parhaat yritykset tuovat aikeensa esille hyvissä ajoin ja luovat koulutusohjelmia, joilla saadaan uutta oikean osaamisen porukkaa taloon.

Martin Casado jakaa podcastissa näkemyksiään digi-infrastruktuurin kehityksestä, nykytilasta ja tulevaisuudesta.

Digicert ostaa DNS Made Easyn, josta tulee iso toimija digitaalisen luottamuksen ja DNS-palvelun kentälle.

HUS:n surkea tilanne heijastuu säästöohjelmassa, jossa myös ICT-kustannuksia leikataan loppuvuonna. Hankintoja ja projekteja saatetaan toteuttaa pienemmällä budjetilla tai siirtää seuraavalle vuodelle.

Extremen ostama Ipanema SD-WAN on nyt integroitu mukaan tuotevalikoimaan Cloud SD-WAN:ksi. Pilven myötä apuna on tietysti myös tekoälyapuri ja digitaalinen mallinnus. 5000-sarjan kytkimet ovat myös pilvihallittavia. Pica8 on tuonut virtuaalikytkimen Picos-V:n ilmaseksi ladattavaksi. Rekisteröityminen vaaditaan, mutta muuten sitä voi käyttää vapaasti ESX-, GNS3- tai Virtualbox-alustoilla.

Ciscon uusi suunta on pilvi, yhteiset alustat ja ennustava verkko. Ne ovat ainoa tapa vastata nykypäivän tarpeisiin. Thousandeyes WAN Insight yrittää ennustaa sovellusongelmia etukäteen tekoälyn avulla ja sitä kautta tuoda verkkoon älykästä automaatiota. Sitä voi käyttää SD-WAN -verkon optimointiin. Ciscon on raportoitu havittelevan Firefly Networksia, joka on intiassa  toimiva wifi-tukiasemaverkko.

Miamilainen liikemies on pidätetty väärennettyjen Cisco-tuotteiden myynnistä. Herra Aksoy on myynyt miljardilla dollarilla Kiinasta hankittuja vanhoja laitteita, joita oli paranneltu myyntikuntoon. Väärennettyjä ja epäluotettavia tuotteita oli päätynyt myös kriittisempään käyttöön sairaaloihin, kouluihin, viranomaisille ja armeijalle. Kauppa sai jatkua melkein kymmenen vuotta, vaikka Cisco yritti puuttua asiaan, tulli takavarikoi noin 180 lähetystä ja varastosta takavarikoitiin yli 1000 laitetta.

Hollantilainen ASML syyttää pekingiläistä yritystä yritysalaisuuksien varastamisesta. Dongfang Jingyuan Electronia on pidetty yhtenä maan lupaavimmista teknologiasijoittajista. Entisen ASML:n insinöörin syytetään varastaneen 2 miljoonaa riviä kriittistä lähdekoodia ja vieneen ne kiinalaisyritykseen. USA on itse osittain ajanut puolijohdetuotantoa alas ja siellä ei enää ole montaakaan piirivalmistuksen startup-yhtiötä jäljellä. Sijoittajien mielenkiinto menee ohjelmistoyrityksiin ja rautavalmistus korkeine investointikustannuksineen jää ilman yksityistä rahaa. Osaamista ei enää ole riittävästi ja USA ei voi omalla väestöllään edes täyttää kaikkia 300000 tarvittavaa työpaikkaa. Länsimaissa yleensäkin elektroniikan korjaamisen kulttuuri on hävinnyt, kun taas Aasiassa se on yleistä. Yllättäen Euroopassa on kuitenkin monessa maassa puolijohdeteollisuutta, vaikka se pientä onkin.

USA:n senaatti sai kuin saikin 280 miljardin dollarin piiritehdasrahoituksen läpi, vaikka Intel ehti jo hermostua yli vuoden kestäneeseen vetkutteluun. Ohion tehdas oli jo tulossa Eurooppaan, mutta ei nyt sitten kuitenkaan. Intel on ilmoittanut asiakkailleen nostavansa tuotteiden hintoja. Korotus voi joissakin tuotteissa olla jopa 20%. Myös kuidun hinta nousee, pahimmillaan Euroopassa, Intiassa ja Kiinassa jopa 70% alimmista hinnoista viime vuoden maaliskuussa. Toimitusajat voivat olla 20-50 viikkoa pienemmillä valmistajilla. Pula on kuidun valmistuksessa käytettävistä heliumista, jota tulee yllätys yllätys Venäjältä. Myös toisen komponentin tetrakloridin hinta on noussut.

Internet

Ericsson Mobility Report on julkaistu. Mobiililiikenteen määrä on tuplaantunut kahdessa vuodessa ja ennuste on, että viidessä vuodessa yli puolet liikenteestä olisi siirtynyt 5G-tekniikan päälle. Myös kiinteä laajakaista FWA lisää suosiota.

Maailmalaajuisessa yhteyskapasiteetissa sisällöntuottajat ja pilvijätit käyttävät keskimäärin lähes 70% kapasiteetista. Atlantilla jopa 92%, mutta Eurooppa-Aasia -välillä vain 21% kapasiteetista. Kansainvälinen yhteyskapasiteetti on kaksinkertaistunut kahdessa vuodessa. Google avaa merikaapelien saloja blogissaan. Zayo ilmoitti rakentavansa uuden Zeus-merikaapelin Pohjanmeren yli yhdistäen Lontoon ja Amsterdamin 192 kuituparilla.

Brittein saarilla on rakennettua kuitua innokkaasti viime vuodet. Mutta kuitu tuntuu olevan kaupunkien ylellisyys ja haja-asutusalueet jäävät ilman. Kaupunkialueilla on jopa kuidun ylitarjontaa ja markkinoilla on liikaa toimijoita, joista kaikki eivät voi selvitytyä. Pahin ylirakentaja on BT:n Openreach. Jäljelle jäävä markkinakolmikko olisi Openreach, Cityfibre ja Virgin Media, sekä niiden vuokralaiset. Lopulta ilman kuitua jäävä väestömäärä on todennäköisesti pieni, koska valtion tukea on korvamerkitty haja-asutusalueille. Briteissä on tapahtunut nopea käännös kuparitekniikasta kuituun yksityisen sektorin voimin.

Oikeuskäsittely Koreassa SK:n ja Netflixin välillä jatkuu. Netflixin teettämä raportti selventää kuinka paljon OCA-välityspalvelimet säästävät rahaa operaattorilta. Geoff Huston kertaa miten tähän on tultu: kuka maksaa ja mitä historia opettaa.

Netflixin päivitti kesäkuussa ISP Speed Indexin. Ookla on vertaillut Starlinkin yhteysnopeutta eri maissa. Liettuassa saadaan paras 160/24 Mbps -nopeus 63 ms viiveellä. Apple ja Ookla mittaavat testeissään “working latencyä”. Mikä se on? Idle-viive on optimaalisin tilanne ilman kuormitusta ja working-viive on viive kuormitustilanteessa. Näiden pitäisi olla mahdollisimman lähellä toisiaan. Oman yhteyden viiveet voi testata Bufferbloat-testillä. Jos viiveiden ero on yli 30 ms, ongelmia alkaa tulla. Välttämättä mitään ei ole helposti tehtävissä. Voit soittaa operaattorille, päivittää kotiverkon tai vaihtaa laitteita kiinteään verkkoon.

Ipv6-tuki on lisätty Lynxos-178:lle, jota käytetään sulautetuissa järjestelmissä. Tämän myötä ipv6 tulee myös lentokoneisiin ja muuttaa niiden järjestelmien suunnittelua. Ipv6:lla haetaan pitkäjänteistä teknologiaa, mikä voi olla hyväkin, mutta valitettavasti ipv6 lentokoneen järjestelmissä ei herätä luottamusta.

Valtiollisten internet-estojen hintaa on laskettu. 2019 lähtien tapahtuneiden estojen hinta maailmantaloudelle on ollut yli 27 miljardia dollaria. Kolmen vuoden aikana on tapahtunut 301 laajaa estoa 48 maassa. Maatilaston kärjessä ovat Venäjä, Myanmar ja Kazakstan. Raportista löytyy myös tietoa estoista ja niiden kiertämisestä. Operaattorit on yleensä pakotettu toteuttamaan liikenteen kuuntelumahdollisuus verkossaan. Kalliit Lawful Interception -ratkaisut ja niiden toteutus ovat tuskastuttavia varsinkin pienemmille operaattoreille. OpenLI on maailman ensimmäinen avoimen koodin sieppaussovellus, joka tarjoaa kustannustehokkaan vaihtoehdon määräysten toteuttamiseen. OpenLI:n ovat kehittänyt uusi-seelantilaisen Waikaton yliopiston tutkijaryhmä.

Tapahtumat

Kesän isot konferenssit RSAC ja Cisco Live olivat varsinaisia koronalinkoja. Cisco Liveen osallistui noin 16000 ihmistä Las Vegasin Mandalay Bay -hotellissa. Yksi valituksenaihe koski hotellin jäätävää kylmyyttä verrattuna ulkolämpötilaan. Tapahtuman wifi-verkosta oli blokattu pääsy juniper.net -webbisivulle. Se oli kuulemma vahingossa jäänyt päälle ja korjattiin nopeasti. Tapahtuman verkkoliikenteestä 45% oli ipv6:sta.

NANOG85-arkisto on täynnä teknisiä esityksiä. Metan @scale 2022 tarjoaa näkymää isojen järjestelmien suunnitteluun ja operointiin. P4 Workshop tarjoilee asiaa ohjelmoitavien kytkinten parista.

May Contain Hackers 2022 -tapahtuman esityksissä paneudutaan digi-infrastruktuurin tietoturvaan. 5G ja Open RAN  sisältää monta tietoturvauhhkaa, jotka liittyvät moderneihin IT-periaatteisiin ja -välineisiin. Nahamcon2022 esittelee tietoturva-asioita sovelluspuolelta ja kertoo esim. jatkuvan hyökkäyksen mahdollisuudesta CI-järjestelmissä.

Kuukauden laitepaikka

Englantilaiselle Eastnorin EMF-leirintäfestivaalille on pysytetty verkko lähes 3000 ihmiselle. Laitepaikkana toimii bajamaja. Tästä on hyvä repiä huumoria: IT-kaverilla nousi kusi päähän, en halua nähdä logia, klassinen PoE-setti: Potty over Ethernet, luulin että tällaisessa setissä piti olla TP-linkin vehkeet, löysit bittitoiletin – bitbucketin jatkokehitysversion, surullisin EX3300 ikinä, paskin laitekokoonpano ja aika paska laitekehikko. Englanniksi lisää: Internet is slow as shit, new protocol: Shit LAN or Shitternet, I pee v4, network dump, Pcap – at least the lid is closed,  putting the loo in loopback ip, pooconfig /release. Tosiasiassa tämähän on mainio laitepaikka: säänkestävä, lukittava, ilmastoitu, tilava ja hyvin radiosignaalia läpäisevä. Parempi kuin monesti kentällä näkee.

[FI] Tietoliikennealan katsaus 2022-05

Ukrainan sota

Yandex on Suomessa valtion erityistarkkailussa, vaikka mitään suoraa kyberriskiä siitä ei uskota aiheutuvan. Lähinnä palveluiden kautta välitetään propagandaa. Venäjän Googlen tytäryhtiö on julistautumassa konkurssiin, koska se ei voi enää hoitaa maksuliikennettä. Kaikki maksulliset palvelut on jäädytetty, vain ilmaiset palvelut jatkavat toimintaa. Maksuliikenteen vaikeudet ovat myös vaikuttaneet rikollisten toimintaan vähentäen lunnashaittaohjelmien määrää maailmanlaajuisesti.

Kyberhyökkäykset Suomeen ovat olleet vähäisiä. Varautumista on “parannettu” tai ainakin mediahuomiota lisätty. Monella yrityksellä, kuten DNA:lla, varautuminen on jo perustoimintaa, joten tässä tilanteessa ei varsinaisesti ole mitään uutta tai poikkeavaa. Euroviisujen IT-infraan yrittivät iskeä venäläismieliset Killnet- ja Legion-ryhmät, mutta järjestäjät torjuivat useita kyberhyökkäyksiä.

Laura Halminen kertaa missä mennään kyberrintamalla Suomen ja Venäjän välillä. Yleisesti ottaen on ollut rauhallista, mutta ainakin yksi viikon kestänyt pidempi palvelunestohyökkäys konesaliin on tiedossa. Venäjämyönteisen Conti-ryhmän toimista Suomessa on vain yksittäisiä havaintoja. Hakkerit ovat puolensa valinneet ja Ukrainan puolelle on asettunut 46 ryhmää ja Venäjän puolelle 26. Vakoilu on jatkunut, mutta painopiste on kohdistunut Ukrainaan. Conti-ryhmä on ilmeisesti hajonnut pienemmiksi soluiksi, brändi on kuopattu ja viralliset operaatiot ja toiminta-alustat on suljettu. Myös Revil-ryhmä on sekavassa tilassa. Oikeuskäsittely Venäjällä on keskeytetty kun USA:sta ei ole saatu näyttöä syyllisyydestä. “Uusi Revil” on myös suorittanut L7-DDoS -hyökkäyksen Akamain asiakasta vastaan ja vaatinut Bitcoin-lunnaita. Tässä kuitenkin taitaa olla kyse jäljittelijästä.

VPN-estot Venäjällä ovat perustuneet yksittäisten tuotteiden kieltoihin, mutta nyt tehokkuuden lisäämiseksi testataan koko protokollaliikenteen estoa. Blokattavien listalle päätyisi VPN-protokollia kuten L2TP, IKE, IPSEC. Testejä on tehty jo joillakin alueilla. Esim. Proton vpn ja Nordvpn ovat olleet ongelmissa. Myös suomalaiset uutissivustot päätyivät blokkilistalle toukokuun lopussa.

Ongelmat

Kiinassa kolmessa maakunnassa China Mobile on alkanut estää tekstiviestejä ja puheluita ulkomailta. Perusteluna on ollut huijaukset, mutta todellinen syy voi olla jotain muutakin.

Operaattorit ja 5G

Dishin modernin 5G-verkon kaupallinen aloituspäivämäärä lähestyy ja verkko ei vaan tunnu valmistuvan. Uutena käänteenä Samsung on valittu toimittamaan O-RAN -alustaa. Se on Samsungille merkittävä aluevaltaus USA:n markkinoille, mutta yksi valmistaja lisää Dishin yli 30 sopimusvalmistajan listaan. Vaikka Dish ei alun perin halunnut integraattoriksi toimittajien välillä, se joutui kuitenkin ottamaan koordinaattorin roolin, jotta homma etenisi. Tähän ihmettelyyn saatiin tuhrautumaan aikaa. AWS:n piti olla ykköspilvikumppani ja kaiken keskipisteessä, mutta nyt Dish onkin monipilvitoimija. Joustavuus halutaan säilyttää, kun kaikkia käyttötarpeita ei vielä tiedetä. Monet RAN-komponenteista eivät ole AWS:n päällä, vaan Vmware on yhteinen välikerros monipilven käytölle. Tässä menetetään tietyn pilvialustan edistyneet ominaisuudet ja Vmwaresta voi hyvin tulla koko ratkaisun kipukohta.

5G:ssä jatkuu yhteysalan heikko yhteys todellisuuteen. Messuilla toistellaan mediaseksikkäitä mantroja, mutta kotona ollaan paniikissa 5G-verkkojen kustannusten ja muuttuvien liiketoimintamallien kanssa. Kun kaikki säästötoimet on tehty, viimeisin kikka on laittaa sisältötoimittajat maksamaan verkot. EU:ssa on nyt jopa alettu symppaamaan operaattoreita GSMA:n lisäksi, ja keskustelu reilusta kustannusten jakamisesta julkisen hyvän eduksi on käynnistynyt. Se voisi tarkoittaa, että sisältötoimijat ottaisivat osuuden verkoista itselleen. EU voi aina reguloida yhtiöitä ja laittaa ne maksamaan veroja ja sakkoja, mutta se ei ole toimivin keino. Operaattorien järjestö ETNO on teettänyt raportin, jonka mukaan isommista digialustoista tulee Euroopan operaattoreille 40 miljardin euron kulut vuosittain. Suurin ongelma on, että operaattorit ovat voimattomia näiden sisältöjättiläisten kanssa. Ratkaisuksi ehdotetaan OTT-toimijoiden omien kaupallisten hyötyjen edistämistä eli liikenteen optimointia, johon niillä on hyvät edellytykset. Ja niinhän OTT-toimijat tekevät jo nytkin. Ne myös rakentavat omaa globaalin mittakaavan verkkoa. Etelä-Koreassa Netflixin oikeustaistelu on edennyt korkeimpaan oikeuteen. Netflix on tarjonnut SK Telecomille “uutta arkkitehtuuria” eli OCA-palvelimia tasaamaan kuormaa, mutta SK ei niitä halua ylläpidettäväkseen. Ei siis mitään uttta tältä rintamalta.

5G network slicing jakaa verkon virtuaalisiin osiin. Jako tehdään tällä hetkellä slicing manager -ohjelmalla, joka on lisätty valmistajien hallintaohjelmistojen joukkoon. Kypsyysaste vaihtelee ja monet operaattorit ovat vielä kokeiluvaiheessa. Kaupallinen käyttö alkaa pikku hiljaa. Alkuun skaala on parikymmentä siivua, vasta vuosien päästä voidaan päästä tuhansien ja kymmenien tuhansien luokkaan. Tähän vaaditaan operatiivisen monimutkaisuuden hallintaratkaisu koko palvelun elinkaaren ajalta. Jako toteutetaan yleensä niin, ettei olemassa olevaan verkkoon tule muutoksia. Nykyiset viipaloinnit ovat staattisia, vasta myöhemmin järjestelmät kehittyvät hienojakoisempaa ja dynaamisempaan viipalointiin. Liikenteen käsittely QoS-ominaisuuksin on ollut aina mahdollista, mutta viipaloinnilla haetaan kokonaisvaltaisempaa asiakaskohtaisen verkon toimittamista. Viipalointia voi tehdä kahdella tapaa. Erotuksessa tietyt resurssit kohdistetaan yhteen virtuaaliverkkoon ja se ei vaadi uusia toimintoja verkolta. Adaptoinnissa QoS-parametrein sopeutetaan verkkoa vallitseviin olosuhteisiin tai asiakasvaatimuksiin. Tämä vaatii enemmän ohjauskerrokselta ja verkkoelementeiltä.

Kanada on viimeisenä jäsenmaana Five Eyes intelligencesharing alliancessa kieltämässä Huawein 5G-verkoista. USA, Iso-Britannia, Australia ja Uusi-Seelanti ovat saman tehneet jo aiemmin. USA:n rip and replace -projektissa ollaan hyvin eri vaiheissa. Osa on jo ehtinyt purkaa Huaweit pois verkosta, vaikka rahoitus on vielä epäselvä. Esim. PTCI on purkanut raudat pois ja odottaa nyt ohjeita miten ne romutetaan. Se on myös käyttänyt 2 miljoonaa dollaria asiakkaaiden puhelimien uusimiseen. Hallituksen rahoitus kattaa vain verkkolaitteiden osuuden. Laitevalmistajat kuten HPE, Cisco, Nokia ja Ericsson pyytävät kevennyksiä kiinalaisosien tuontirajoituksiin, jotta laitetoimituksia voitaisiin nopeuttaa. Intia on nyt nousemassa Kiinan rinnalle komponenttivalmistuksessa.

EU on koonnut raportin O-RAN:n kyberturvallisuudesta. Rarpotti arvioi riskejä ja opastaa teknologian hyödyntämiseen. O-RAN on vielä alkutaipaleella ja standardoimatta, siksi turvallisuuskin on arvioitava monelta kantilta. Suositus on hajauttaa toteutus moneen valmistajaan kunhan yhteensopivuus saadaan luotettavaksi. Avoimen ratkaisun kautta saadaan käyttöön parempi näkyvyys ja mahdollisuudet virtualisointiin ja  automaatioon. Riskit liittyvät suurempaan määrään avoimia rajapintoja, riippuvuuteen pilvialustoista, resurssien jakoon, monimutkaiseen kokonaisuuteen sekä teknologian ja standardoinnin keskeneräisyyteen. Myös CISA on julkaissut arvion 5G-teknologian turvallisuudesta ja antaa suosituksia turvalliseen käyttöön.

Suomen kentälle on synnytetty 6G-kilpailukyvyn edistämiseen tähtäävä yhteenliittymä 6G Finland. Mukana on mm. yliopistoja, Nokia Bell Labs, VTT, Puolustusvoimien tutkimuslaitos ja yrityksiä. Yhteenliittymä on kansainvälisesti merkittävä Japanin, USA:n ja Saksan vastaavien rinnalla. Tavoitteena on laatia roadmap tärkeimmistä tutkimuskohteista, toimia yhteyspisteenä ja osallistua alan keskusteluun. Suomen 5G-yksityisverkkorintama sai uuden asiakkaan. Telia toimittaa Nokian 5G-privaattiverkon Posivan Eurajoen ydinjätteen loppusijoituspaikalle. Käyttö alkaa testauksella ensi vuonna.

Elisan Henri Korpi kertoo haastattelussa Elisan digikehityksen taipaleesta, joka eroaa merkittävästi keskiverto-operaattorista. Kehitys alkoi 2005 paikkeilla kun kasvua piti hakea pienessä maassa jostain uudesta. Tuohon aikaan oli tapana ostella operaattoreita, mutta Elisa osti yhtiön vain lähimarkkinoilta Virosta, ja keskittyi enemmän digipalveluiden kehitykseen ja yritysostoihin sillä alueella. Jo 2006 nähtiin teknologiamuutos ip- ja pilvipalveluihin ja osaamista alettiin kehittää siihen suuntaan. Softakehitysosaamisen myötä kulttuurimuutostakin saatiin yrityksessä ajettua eteenpäin. Softakehityksen avulla verkkotoimintoja saatiin automatisoitua pitkälle, mikä taas hyödytti perinteistä operaattoritoimintaa. 2010 Elisalta löytyi täysin automatisoitu NOC ja siitä muodostui sitten myytävä tuote nykyinen Polystar, jota on myyty 120 operaattorille. Valmistavan teollisuuden liiketoiminta lähti puolivahingossa vetämään kun sisäiseen käyttöön kehitetty ratkaisu sopikin teollisuusasiakkaan tarpeisiin. Pienellä tiimillä lähdettiin liikkeelle ja toiminta laajentui yhteistyössä Aachenin yliopiston osaamiskeskittymän kanssa. Sitten tulikin iso amerikkalaisasiakas ja nyt teollisuuden Industriq on yhtiön eniten kasvava liiketoiminta. Myös Elisaviihteellä menee hyvin ja siihen panostetaan. Toiminnassa on otettu oppia lean-menetelmästä eli kokeilusta ja jatkuvasta parantamisesta. Johdossa on myös uusi vapaampi kulttuuri. 40% elisalaisista on softahommissa ja operaattorin työntekijäkirjo on paljon laajempi kuin perinteisellä operaattorilla.

Kymmenen vuotta myöhemmin Telia aikoo päivittää henkilöstönsä osaamisen pilviaikaan kouluttamalla 2000 ihmistä yhteistyössä AWS:n kanssa. AWS-koulutusohjelma on pohjoismaiden suurin. Telialla on nyt 800 AWS-ympäristön kehittäjää. Telia Inmics-Nebula palkaa 101 uuttatyötekijää päivittämään Teliasta kokonaisvaltaista ICT-taloa. Ericsson on ollut vuorostaan vaikeuksissa muuttuvassa markkinatilanteessa ja hakee uutta potkua uudesta organisaatiosta. Kaksi uutta liiketoimintaryhmää ovat pilvipalvelut ja yritysverkot. Johtoryhmä uusitaan ja johtajia vaihtuu.

Subspace oli alhaisen viiveen erikoisverkko reaaliaikasovelluksille. Liiketoiminta ei kantanut ja verkko on nyt lopettanut toimintansa. AS32261:n liikenne tippui nollaan 24.5.2022.

Pilvi ja konesali

Suomi on kakkosena Global Cloud Ecosystem Indexissä Singaporen perässä. Suomi saa huippupisteet infrastruktuurista, mutta pohjalukemat ekosysteemien hyödyntämisestä, pilvimyönteisestä regulaatiosta ja luottamuksesta digitaaliseen talouteen. Suomen pilviosaaminen on keskitasolla. Bessemer Venture Partners listaa pilven tilan, ennustukset tulevaan ja mitä pilvestä pitää tietää, jos meinaa olla mukana liiketoiminnassa.

Parametrix on pilvipalveluiden käyttäjien vakutuusyhtiö, joka korvaa julkisen pilven palvelukatkot. AWS, Azure ja Google pätkivät viime vuonna keskimäärin 30 minuuttia kolmen viikon välein. Parametrix valvoo itse pilvipalveluita ja maksaa automaattisesti asiakkaalle omien havaintojen mukaisten katkojen korvaukset tunnin päästä häiriöistä. Valvonta perustuu 700 miljoonaan datapisteeseen tärkeimmissä AWS:n, Azure:n, Googlen ja Oraclen palveluissa. Lisäksi vakuutusta saa myös CDN- ja SaaS-palveluihin. Vakuutusmaksut liikkuvat välillä 10000-500000 dollaria vuodessa. Korvausmäärä asiakkaalle voi olla jopa miljoona dollaria tunnilta.

Monipilven seuraava evoluutio, pilvet yhdistävä Skynet on kuvattu paperiksi, jossa käydään läpi oletukset, vastalauseet, riskit ja mahdollisuudet.

Google on avannut uudet pilvialueet Madridissa. Google myös lisää tietoturvaominaisuuksia pilveen. Assured Open Source Software -palvelu tuo käyttöön valmiita tietoturvatyökaluja, joilla voi skannata, analysoida ja testata haavoittuvuuksia. Beyondcorp laajentuu Enterprise Essentials -tason tilaajien käyttöön ja Siemplify SOAR-alustaa on päivitetty niin, että tiedonjako helpottuu.

Microsoft on vastannut Euroopan syytöksiin rajoittavista lisenssikäytännöistä. Se julkistaa uudet eurooppalaisen pilven periaatteet eli tekee toimintamuutoksia, jotka vastaavat paremmin eurooppalaiseen toimintakenttään. Azuren uusi DNS Private Resolver on sisäinen nimipalvelu yrityskäyttöön. Cloudflaren nimipalvelu 1.1.1.1 on saavuttanut biljoonan (10^12) päiväkyselyn määrän. Palvelu on ollut olemassa neljä vuotta. 20% kyselyistä tulee salatun DoT- tai DoH-protokollan kautta.

Cloudflare on viettänyt alustaviikkoja mm. uusilla julkistuksilla ja suorituskyvyn päivityksellä. Yksi maaginen uusi palvelu on Magic NAT. Maailmanlaajuinen NATaaS. Vihaa tai tykkää. Cloudflaren asiakassitoutuneisuus on hyvää: 81% asiakkaista käyttää yli viittä palvelua, 70% yli kuutta, 58% yli seitsemää, jne.. Cloudflare käyttää myyntiin ja markkinointiin noin puolet liikevaihdosta. Se on paljon, mutta sillä tulee myös yli 50%:n vuosikasvua. 88% myynnistä tulee suoraan, vain 12% kumppanien kautta.

Kilpailija Fastly pisti toimitusjohtaja Bixbyn sivuun ja hankki devausalusta Glitchin vahvistamaan edge-strategiaa. Glitchissä on kyse kehittäjäkokemuksesta. Se on laajan kehittäjäjoukon suosikki, koska low-code -työkalulla pääsee näkemään mitä koodi tekee, mutta samalla hankalat asiat abstraktoidaan taustalle. Fastly käyttää Glitchiä itse sisäisestikin. Edgessä ideana on viedä toimintoja verkon reunalle ja Glitchillä Fastly pääsee edgeä hyödyntävien sovelluskehittäjäpalveluiden joukkoon. Fastly seuraa Akamaita, joka aiemmin osti Linoden. Digital Ocean nostaa hintoja. Suurin osa sen tuloista tulee isoilta asiakkailta, joita on noin 15% 632000 asiakkaasta.

Equinixilla virtuaalinen liittäminen yleistyy kovaa vauhtia. Viimeisellä kvartterilla Equinix Fabricin käytön kasvu oli 31% ja palvelulla on nyt 3000 asiakasta eli noin kolmasosa kaikista asiakkaista. Virtuaalinen liitettävyys on kovaa valuuttaa erityisesti pilviyhteyksissä, joista 66% on virtuaalisia.

Irlannin sähköverkko-operaattori Eirgrid keskeyttää 30 konesalihanketta sähköntuotanto-ongelmien vuoksi. Uusiutuva energia pitäisi saada ensin rakennettua sille tasolle, että uusia hankkeita voidaan ottaa. Konesalien rakennukseeen tulisi viiden vuoden tauko. Konesalit käyttävät nyt yli 10 % maan sähköstä ja 2030 vuonna kulutus olisi jo 30%.

Kyberturvallisuus

Yritysten tietoturva ei juurikaan kehity ja kustannukset vain kasvavat. Jan Mickos kuvaa hyvin mikä meni pieleen: integraation puute. Erilliset ratkaisut ja toiminnot liiketoiminnan kyljessä eivät auta, vaan tietoturva pitää pystyä rakentamaan osaksi toimintaa. Silloin riskienhallinnasta ja tietoturvan toteuttamisesta tulee päivittäistä työtä, kokonaiskuva paranee ja kustannukset laskevat. Alku on vaikea, mutta kun vauhtiin päästään, tietoturva siirtyy vähitelleen osaksi kaikkea normaalia toimintaa ja kustannuksia.

Oktan toimitusjohtaja avautuu nyt tietomurrosta ja sen taustoista. Okta keskittyi oman tuotteensa turvallisuuden hiomiseen, mutta ulkopuolinen kolmannen osapuolen osuus olikin heikompi lenkki. Alihankkija Sitel ei itse käyttänyt Oktan palvelua, vaikka ehkä olisi pitänyt. Sitelin toiminnasta löytyi paljon epämääräisyyksiä ja siksi sopimus irtisanottiin. Lopullisen tutkinnan teki ulkopuolinen taho ja sen mukaan päädyttiin hyvin rajalliseen vaikutukseen aiemmasta ilmoituksesta poiketen. Laajempi arvio oli kuitenkin realistinen siinä hetkessä, kun tiedot eivät olleet vielä täsmentyneet. Asiakkaat olivat turhautuneita, mutta Okta itsekin sai tietää tapauksesta samaan aikaan Lapsuksen paljastuksen myötä. Asiakkaita ei merkittävästi lähtenyt, koska vaihtoehtoisia palveluita ei oikein ole. Okta uskoo, että kertomalla avoimesti tapauksesta asiakkaiden luottamus palautuu, ja tapauksesta opittiin itsekin paljon.

Tutkimusdata 86 ATP:stä ja 350 kampanjasta osoittaa, että hyökkäykset harvoin käyttävät nollapäivähaavoittuvuuksia. Suurin osa on tunnettujen haavoittuvuuksien hyväksikäyttöä. Microsoftin tutkijat raportoivat Linuxiin kohdistuvan Xorddos-haittaohjelman kovasta kasvusta ja sen sielunelämästä. Vakavaa F5 Big-ip -haavoittuvuutta käytetään hyväksi ja laitteita on sen avulla tyhjennetty. Suurin osa on kuitenkin webshellin tiputtamista laitteeseen ja yhteyden avaamista sisään verkkoihin. Väärällä konfiguraatiolla haavoittuvuuden saa aktivoitua myös dataporteissa. Rust-kehittäjien Gitlab CI build -palvelimille yritetään asentaa takaportteja myöhempää hyväksikäyttöä varten CrateDepression-hyökkäyksessä. Bpfdoor on kiinalainen tiedustelutyökalu, jolla Linuxiin istutetaan passiivinen takaportti ilman uusien porttien avaamista. Työkalu käyttää Linuxin BPF:ää hyväksi ja ensimmäinen versio nähtiin jo 2018. EBPF:ää voi kuitenkin käyttää myös havainnointiin ja ajoympäristön pakotukseen suojautumistarkoituksessa. Tetragon on EBPF:n päälle rakennettu työkalu, jolla pääsee reaaliaikaisesti ajoympäristön sisään tarjastelemaan järjestelmää ja pakottamaan tiettyjä suojaustoimintoja. Tetragonilla voi esim. valvoa tiedostopääsyä ja verkkoprotokollien toimintaa, havaita heikkoja salausavaimia ja pakottaa ajonaikaista verkkopolitiikkaa.

Verizon Data Breach Investigation Report täytti 15 vuotta ja taas listataan hyökkäysten maailma yli satasivuiseksi raportiksi. Päälinja on, että hyökkäyksillä on neljä kanavaa: tunnukset, kalastelu, haavoittuvuudet ja botnetit. Lunnashaittaohjelmat ovat jatkuvasti kasvavassa nousussa. Viime vuonna nähtiin, miten yksi toimitusketjuhyökkäys voi vaikuttaa laajasti eri puolille. Toimitusketjuhyökkäys oli taustalla 62%:ssa järjestelmiin tunkeutumisista. Konfiguraatiovirhe, ja erityisesti pilvitallennuksen virhe, on pääosassa murroissa. 82% murroista sisältää inhimillisen elementin, joten ihmisen käytös on selkeästi suurin uhka.

NCSC:n turvallinen PDNS-resolverinimipalvelu on haittaohjelmia suodattava ilmainen nimipalvelu Brittien julkisen puolen organisaatioille.

Fortinetin kyselyssä kartoitetaan osaamisvajetta. Vaikeinta on löytää pilvi- ja sovellustietoturvan osaajia, SOC-työläisiä ja verkkotietoturvan tekijöitä. Yllättäen palkkauksessa sertifikaateilla on merkitystä, kun 81% työtekijöistä hakee sertifioituja henkilöitä. Se voi kyllä huomattavasti hankaloittaa saatavuutta ja eri maiden välillä saatavuudessa onkin suuria eroja.

Tekniikka ja operointi

Vinton Cerfin ja Robert Kahnin luoma TCP/IP-protokolla täytti 48 vuotta. Peter Palúch selittää toisen antiikkisen protokollan STP:n toimintaa. IPv6 yrittää niin kovasti saada jalansijaa, mutta helppoa se ei ole. Osoitteistuksesta ja moninaisista osoitetyypeistä on tehty taidetta. ULA-osoitteet on nyt todettu turhiksi, joten meillä on nyt edes yksi osoitetyyppi vähemmän. Vieläkö Openflow elää? Eipä juuri muutamaa poikkeusta lukuunottamatta. Isoja tuotantototeutuksia on joitakin, pienempiä luultavasti enemmän. Kytkimistä saattaa löytyä tuki protokollalle ja jokut SDN-kontrollerit puhuvat vielä Openflow:ta. P4-ohjelmoitavat kytkimet tulivat ja korvasivat Openflown.

Reititysprotokollan voi ajatella jonkinlaiseksi verkkoautomaatioksi. IGP-protokollissa on enemmän automaattista toimintaa, kun taas BGP on hyvin manuaalisesti konfiguroitava protokolla. BGP:henkin on tulossa automaattisuutta autodiscoveryn ja autoconfiguraation myötä. Kytkimien CRC-virheet näkyvät eri tavalla eri toimintaperiaatteen kytkimissä. On hyvä tietää, että cut-through -kytkimissä fyysinen virhe välittyy eteenpäin seuraavalle laitteelle, koska kytkin ei pysty tarkistamaan koko kehystä kerralla. Virheellinen tarkistussumma kehyksen lopussa aiheuttaa vain portin output error -laskurin värähdyksen. Vianselvitys voi olla vaikeaa kun viallinen kehys kiertää pahimmillaan koko verkon läpi.

Silvano Gai and Mario Baldi käyvät läpi kytkinteknologian historian 90-luvulta nykypäivään. Tietoliikenneasiantuntijan on hyvä ymmärtää rautaa ja siitä aiheutuvia rajoituksia ja kompromisseja. Tässä hyvä resurssi ASIC-maailman ymmärtämiseksi.  Mutta softallakin on olennainen vaikutus laitteen toimintaan. Ajuria vaihtamalla voi esim. tiputtaa viiveen kymmenesosaan ja saada nelinkertaisen läpäisykyvyn, kuten OpenWRT-käyttöjärjestelmän ajurien päivitys Unifi-6 -tukiasemassa osoittaa.

Intel on myös mukana fotoniikan kehityksessä ja on demonnut yhteispakattua 4x400G-modulia. Intelin Light Bender -optiikka on kehityskaaressa 2024-25 aikavälillä. Se voi muuttaa suorittimien tulevaisuutta, kun kaiken ei enää tarvitse olla yhdellä sirulla pakattuna, vaan suoritin voidaan koota eri osista eri tarpeisiin. Inteliltä lähtöisin oleva Cornelis Networks yrittää kehittää monipolkukytkentää eteenpäin Infinibandin pohjalta. Siinä on samoja asioita kuin Googlen Aquila-fabricissa: pakettien pilkkominen pienemmiksi, adaptiivinen reititys ja ruuhkanhallinta. Cornelikselta on tulossa Omni-path Express -kytkentä 400/800G-nopeuksilla. Sillä saadaan 2,5-3 kertainen välitysteho ja viiveet tiputettua 800 nanosekuntiin CPU-corejen välillä. Käyttökohde on superkonemaailmassa, jossa koneeseen halutaan valita parhaat komponentit. 

Englannin ICC on testannut jo vuoden verran Rockportin kytkimetöntä fabricia. Verkon vauhti ei ole pysynyt mukana kehityksessä ja nopeampia yhteyksiä tarvitaan laskentayksiköiden välille. Ongelma on tasainen välityskyky myös kuormitustilanteessa. Spine-leaf -fabric voi todellisuudessa antaa käyttöön vain alle 60% nimelliskapasiteetista. Ongelmallisia ovat äänekkäät naapurit ja ruuhkatilanteet. Uudessa testiverkossa Rockportin kortit on laitettu 224 compute nodeen ja toiset 224 on yhdistetty Infinibandillä. Näin saadaan oikeita ja vertailukelpoisia lukuja isommassa ympäristössä ja kahden eri tekniikan välillä. Testeissä Rockportin viiveeksi on saatu 24 ns kun ethernetillä se on 15000 ns ja Infiniband-ethernetillä 220000 ns.

Juniperin Sharada Yeluri kertaa miten konesali on kehittynyt aikojen saatossa hyödyntämäään Smartnicejä ja DPU:ita. Intelin uutta Mount Evans IPU:a odotellessa, Serve The Homen esittelyssä on FPGA:lla toteutettu Big Spring Canyon DPU. Samalla yritetään valaista mikä merkitys näillä DPU/IPU-korteilla on verkolle. Ethernetin salauksen vaihtoehtoja on listattu markkinakatsauksessa. Kuutakin kovempi ympäristö on Mars. Tavaran toimittaminen sinne on jo itsessään hankalaa, mutta laitteiden ja komponenttien pitää kestää rytinällä tapahtuva laskeutuminen, kylmyys, pöly, säteily ja painovoima. Mars-kopteri ei pysty suoraan kommunikoimaan maahan asti, vaan se käyttää Perseverance-mönkijää välittäjänä. Paikallinen verkko on hyllytavaraa, toteutettu Zigbeellä 250 kbps -siirtonopeudella ja kilometrin kantamalla.

Nokia on julkaissut MX Boost -tekniikan, jolla radioverkon kapasiteettia voidaan buustata yhdistämällä eri tekniikoita ja taajuuksia toisiinsa. Wifi voidaan näin yhdistää mobiiliverkkoihin ja yhteyksien agregointi tapahtuu IP-kerroksella. Daniel Dib antaa vinkkejä onnistuneeseen SDWAN-toteutukseen: kaksi yhteyttä ristiinkytkettynä ilman operaattorin kahdennusprotokollia, julkinen IP ja NAT:n välttäminen helpottavat elämää.

Sisältöpalvelut ovat kärsineet DNS:n huonosta suorituskyvystä ja yksityisyydestä sekä erikoisista vikatilannemahdollisuuksista. DNS:ssä ollaan siirtymässä kohti resolveritonta palvelua. Avoimien resolverien taival alkoi aikoinaan Googlen nimipalvelulla, jota Google tarvitsi hakukonetta varten. Selaimissa siirryttiinkin nopeasti osoitekenttähakuun ja nyt erilaiset yksityisyysprotokollat DoH, DoT, DoQ tulevat selaimiin ja nimipalvelu häviää taustalle. Hankala osuus on DNSSEC, koska sen hallinta on niin vaikeaa. Suosio on jäänyt 30% tasolle. Resolverless DNS kuitenkin vastaa sisältöpalveluiden tarpeisiin ja siirtää nimipalvelun infrasta sovellustasolle.

Testaamiseen ja dokumentointiin on määritelty RFC:ssä omat IP-osoitteet, jotta kukaan ei vahingossa käyttäisi toisten omaisuutta. Myös DNS:lle on määritelty jo vuonna 1999 testikäyttöön varatut domainit. RFC2606 määrittää domaineiksi: .test, .example, .invalid, .localhost, example.com, example.net ja example.org. IP-osoitteet löytyvät RFC3849:stä ja RFC5737:stä. Cisco  IOS:n niin ärsyttävä ja historiallinen ip name-lookup -oletusasetus, joka tekee tunnistamattomista sanoista nimikyselyn, voidaan kiertää “transport preferred” -konfiguraatiolla. Tosin se ei auta kaikkeen, mutta poistaa kirjoitusvirheiden generoimat nimikyselyt. Lopullinen ratkaisu ongelmaan on vanha tuttu “no ip domain lookup”.

Pulumi on Terraformin haastaja IaC-työkaluissa, koska se mm. tukee natiivisti Kubernetesta, yleisiä ohjelmointikieliä ja YAML-formaattia. Miksi API:lla on väliä? Internetin isoja ideoita on Socket API, josta nykyinen sovellusintegraatiomaailma lähti kehittymään. Keksittiin, että API:n voi julkaista verkkoon kaikkien saataville. Tuli XML-RPC, SOAP, REST, service mesh ja nyt API on ensisijainen rajapinta sovellukseen. Amazon jopa kehittyi sisäisen sovellusrajapinnan päälle. API ei kuitenkaan ole oikotie onneen, vaan sen käyttö vaatii enemmän tai vähemmän integrointityötä. API ei ole standardoitu ja käytännön työ määrittelyn ja koodaamisen kanssa voi olla hyvinkin tahmeaa ja hidasta.

Paloalto kertoo miten se löysi tehokkaamman tavan käsitellä isoja tapahtumajonoja. Tapahtumien reaaliaikainen korrelointi eri lähteistä ja tapahtumista on vaativaa ja tavoitteena on saada ulos yksi rikastettu “tarina”, joka kertoo tapahtumakokonaisuuden. Taustalla kokeiltiin yksinkertaista relaatiotietokantaa, mutta sen teho ei riittänyt. ScyllaDB NoSQL ja Kafka nostivat suorituskyvyn sopivalle tasolle, mutta toteutus oli monimutkainen ja hankalasti skaalattava. NoSQL ja viestijono pilvessä tiputti suorituskykyä ja oli edelleen monimutkainen. Lopulta päädyttiin NoSQL:ään ilman viestijonoa. Suorituskyky oli riittävän hyvä ja Kafkasta päästiin eroon. Monimutkaisuutta edelleen jäi, mutta operatiivista kustannusta saatiin tiputettua reilusti.

Observability ei ole valvontaa, vaan järjestelmän ominaisuus, jonka avulla sen toimintaa voidaan tutkia. Järjestelmästä kerätään telemetriatietoa, jonka avulla voidaan tehdä sen hallintaan liittyviä päätöksiä joko ennakoivasti tai jälkikäteen. Tieto on yleensä määrällistä metriikkaa, laadullista lokia ja kausaalista tracea. Telemetriatietoa voidaan käyttää valvontaan ja ongelmanselvitykseen. Ongelmana tietysti on, että tietoa tulee paljon ja oikeiden kysymysten tekeminen oikeaan kohteeseen on vaikeaa. Devops-maailmassa tämä korostuu ja viankorjausajat ovat Logz.io:n kyselyn mukaan pidentyneet viime vuodesta. Tietoturva on kuitenkin kaikkein suurin huoli. Joka tapauksessa liika tieto on alkanut haitata tuotannon laatua ja lisätä kustannuksia.

Forcepointin Janne Pikkarainen esittelee blogissaan Zabbix-valvonnan luovaa käyttöä. Miten olisi ilmalämpöpumpun valvonta, tai partakoneen? Entä 3D- tai VR-valvonta?

Mitä osoitetta pingata valvontamielessä internetistä? Tietysti avoimia nimipalvelimia, joiden osoite on helppo muistaa. Niissä toki on rajoituksia ja anycast-hajautus taustalla, mutta luotettavuus taitaa olla silti riittävän hyvä. Ehkä voisi pingata myös jotain operaattorin osoitetta, root-nimipalvelinta tai jotain tutkimusverkon IP:tä, mutta kaikissa niissä on puutteensa ja riskinsä.

Yritykset ja tuotteet

Teknologiateollisuuden Talousnäkymät-raportin mukaan tietotekniikka-alan liikevaihto kasvoi viime vuonna reilut 8% 17 miljardiin euroon. Alkuvuoden uudet tilaukset olivat selvästi alemmalla tasolla kuin edellisellä neljänneksellä, mutta voimakkaat vaihtelut ovat tyypillisiä. Tilauskehityksen perusteella yritysten liikevaihdon arvioidaa olevan kesällä suurempi kuin viime vuonna. Henkilöstöä tietotekniikka-alan yrityksissä on 76000, jossa on kasvua 2,5% viimeisen neljännesvuoden aikana.

Dicen teknologiapalkkauksen tyytyväisyyskysely USA:ssa kertoo, että keskipalkka on nyt kuusinumeroinen. Lähes puolet uskoo olevansa alipalkattuja ja samalla tyytyväisiä on reilu puolet. Palkat ovat selvästi nousseet viime vuodesta joko omien ansioiden myötä tai työpaikkaa vaihtamalla. Raportti myös listaa keskipalkat hubeittain ja ammateittain.

Venäjän tilanne on opettanut IT-ulkoistajille geopolitiikkaa ja että kaikkia munia ei kannata laittaa samaan koriin. Tilanne ei kuitenkaan estä ulkoistamasta. Osaajien löytämisen vaikeus ajaa yrityksiä aina vaan ulkoistamaan lisää. Myös ulkoistuskumppaneilla on hankalaa kun skaala ja laajuus on kasvanut valtavasti. Intiat ja Filippiinit on käytetty loppuun, ja katse on käännetty muualle Aasiaan, Lähi-Itään ja Afrikkaan. Itä-Euroopalla on myös hyvä maine suurien osaajaerien kouluttajana ja toiminta siellä voi olla nopeampaa kuin kaukomailla. Tilanne on nyt pysyvä ja helpotusta ei ole tiedossa moneen vuoteen.

GDPR täytti neljä vuotta ja sekoitti aikoinaan yritysten päät. Yrittäjien kyselyssä henkilötietoja käsittelevistä yrityksistä kaikki haluavat noudattaa asetusta ja 86% arvioi noudattavansa sitä hyvin. Silti osalla on edelleen vaikeuksia tietosuojan kanssa. Nuoremmilla yrittäjillä osaamisen puute on suurin syy tavoitteista lipsumiseen, mutta se voi johtua myös kovemmasta velvollisuudentunnosta. Myös ajan puute ja kustannukset haittaavat tietosuojan toteutumista. Vajaa puolet yrityksistä on hankkinut ulkopuolista apua.

Aalto on julkaissut analyysin Suomen suosituista verkkosivuista. Tarkoituksena oli selvittää paljonko sivustot käyttävät tiedonsiirtoa. Webbisivut ovat kasvaneet kymmenessä vuodessa yli kolminkertaisiksi ja mobiilisivustot yli kymmenkertaisiksi. Mobiilisivut eivät ole enää kevyitä ja niiden tiedonsiirto kuluttaa paljon energiaa. Sivujen suurin resurssi olivat kuvat (50-60%) ja toiseksi suurin Javascript (20-30%). Nämä kaksi muodostavat siis valtaosan sivun koosta. Jyväskylä yliopiston väitöskirjatutkimus selvittää työkulttuurin vaikutusta ohjelmiston laatuun. Mm. tiimien pysyvyydellä, laadun arvostuksella, koodikatselmointien lisäämisellä ja yhteisellä suunnittelulla saatiin virheitä vähennettyä ja henkilöstön työtyytyväisyyttä parannettua.

Coucbasen tutkimuksen mukaan onnistuneita digiprojekteja määrittää enemmän ihmisten käytöksen muuttaminen kuin uusi liiketoiminta. Muutoksen esteenä ovat vanha teknologia, olennaisen tiedon saaminen ja siiloutuminen. Yrityksillä on huomattava tarve saada uusittua teknologiaa, jotta ne eivät menettäisi myös asiantuntijoitaan. Pandemiasta on opittu budjetoimaan paremmin ja monet ennen mahdottomilta tuntuneet muutokset ovat nyt arkipäivää.

Fortinetin tuloksessa OT on ohittanut SDWAN:n. OT-ympäristöissä nähdään paljon kysyntää ja sinne panostetaan. Fortinet muokkasi muuriensa kalustusta ennakoivasti komponenttien toimitusvaikeuksien takia  ja tuloksena on syntynyt 70F, 600F ja 3700F. Kolme uutta mallia on tulossa vielä lisää tänä vuonna. 3700F:ssä on markkinoiden ensimmäinen 400G-portti. Fortinet myös rakentaa laitteita satoja tuhansia ennakkoon, mikä on helpottanut toimitusta.

Paloalton asiakkailla on kolmikantalähestyminen valmistajan tuotteisiin. Puolet Global 2000 -asiakkaista käyttää kolmea alustaa: Strataa, Prismaa ja Cortexia. Pilvisiirtymä ei tarkoita raudan kuolemaa, vaan pilviyhteyksien lisääntyessä myös rautapalomuurien kapasiteettia on päivitettävä. Maailmantilanteen epävarmuus näkyy hintapaineina, mutta inflaatio ei tunnu huolettavan Paloaltoa.

Ciscon tulos oli lättänä, mistä nousi jonkinlainen kohu mediassa. Taustalla voi olla vakavampia vaikeuksia. Cisco järjestää talouslukujen kategorioita säännöllisesti uusiksi niin, että kehitystä ei pysty seuraamaan pidemmältä ajalta. Ongelmia on ollut Venäjällä ja Kiinassa. Venäjän alueen kauppa on yleensä vain noin 1% Ciscon myynnistä, mutta toimintojen alaskirjaus vei 200 miljoonaa dollaria. Toinen syyllinen oli kiinalainen tehdas, josta ei saatu powereita 11000 odottavalle piirilevylle. Toisaalta hintoja on nostettu nyt kaksi kertaa ja niillä liikevaihtoa on saatu nostettua 1,6%. Myös Acacian sisäänoton hyvä buusti viime vuodelta on käytetty. Asiakkaiden kysyntä on tallella ja tilauskanta oli 15 miljardia, mutta toimituksia ei saada tehtyä ja softassa hävitään kilpailijoille. Tulosennustetta koko vuodelle on laskettu merkittävästi. Cisco tuntuu puhuvan kahdella suulla: toisaalta raudalla on merkitystä, vaikka sitä on vaikea toimittaa, mutta samalla retostellaan softamyynnin kasvulla, josta ei kuitenkaan tule tulosta.

Juniper on uudelleenkäynnistänyt Contrailin pilvinatiivilla päivityksellä CN2. Onnea Openstack- ja Kubernetes-käyttäjät, ja ties monesko uusi Contrail-tuotenimi. VPN-palvelu Tailscale on noussut yksisarviseksi nostettuaan 100 miljoonaa dollaria B-kierroksen rahoitusta. Yritys on lähtöisin ideasta yhdistää softatiimit ja työkalut paikasta riippumatta. 2019 kukaan ei uskonut mahdollisuuteen, mutta 2021 tuote näytti lähtevän lentoon. Nyt kysyntä on kovaa ja myynnin on vaikea pysyä perässä. Sana on kulkenut ensisijaisesti suusta suuhun ja ilmainen palvelu ja yhteisö toimivat sisäänheittäjinä maksulliseen palveluun. Panostus laatuun ja sen seuraamiseen on ollut onnistunut valinta ja ei-täydellisellä tuotteellakin on voinut nousta kärkijoukkoon keskinkertaisessa markkinajoukossa. Saadulla sadalla miljoonalla saisi seitsemän minuuttia Super Bowlin mainosaikaa, mutta Tailscale aikoo parantaa myyntiä, markkinointia ja kanavia, mutta ennen kaikkea tuotteen laatua kuten ennenkin.

Suomalainen piikiekkovalmistaja Okmetikc rakentaa uuden tehtaan Vantaan Koivuhakaan. Suomen mittakaavassa merkittävä 400 miljoonan euron investointi yli kaksinkertaistaa yhtiön liikevaihdon ja tuotantokapasiteetin.  Uusia työpaikkoja tulee 500. Okmetic on piikiekkojen suuria pelureita, markkinaosuudessa sijalla seitsemän. 300 mm piikiekoissa on kysyntä ja raha, joten sen valmistukseen on tulossa lisää kapasiteettia. Puhelimet ja konesali ruokkivat kysynnän kasvua. 200 mm kiekkojen saatavuudessa ei ole näkyvissä parannusta ja se aiheuttaa ongelmia loppukäyttäjätuotteisiin kuten 5G- ja IoT-laitteisiin sekä autoihin. Okmetic on ainoa merkittävä 200 mm kiekkojen kapasiteettia laajentava valmistaja.

Puolijohdepula ei vaan helpota ja voi olla, että maailma on pysyvästi muuttunut. Taustalla on monta muutosta. Avainasia on Aasian väestön vanhenemisesta johtuva työvoimapula tehtaissa. Latinalainen Amerikka on nouseva tähti suoralla maayhteydellä Pohjois-Amerikkaan. Myös meriyhteydet on turvattu. Länsimaiset vaatimukset tarkoitavat kalliimpia hintoja ja vähemmän varastotavaraa. Toimitusketjun seurantasovellukset nousevat tärkeiksi hankalassa markkinakentässä. Intelinkään mukaan tilanne ei normalisoidu ainakaan ennen vuotta 2024.

Olli-Pekka Kallasvuo on nimitetty Cinian hallitukseen.

Broadcom-Vmware

Vmwaren myynti Broadcomille on järisyttävä uutinen alalla ja suurin teknoalan yrityskauppa moneen vuoteen. Ennusmerkkejä on ollut ilmassa pitkään työntekijöiden liikkuvuudesta päätellen. Broadcom tunnetusti ei ole pihistellyt ostoissaan ja 61 miljardin dollarin hinta on erityisen mehevä nykyisille omistajille Michael Dellille (40,2%) ja Silverlake Partnersille (10%). Hinta on samalla tasolla kuin Dell-EMC- ja Microsoft-Activision Blizzard -kaupoissa. Kaupan mukana Broadcom saa Vmwaren 8 miljardin velat. Tosin Broadcomin softaliikevaihto kolminkertaistuu noin 45%:iin koko myynnistä ja siitä tulee heittämällä merkittävä ohjelmistopeluri markkinoille. Broadcomin nykyisen softabisneksen salaisuus on, että puolet liikevaihdosta tulee IBM-suurkoneasiakkuuksista ja vain noin 500 asiakkaasta. Ironisesti Greg Ferron sanoin: Broadcom voi brändätä softaosastonsa Vmwareksi ja siitä tulee isokoneyhtiö. Vmware antaa kuitenkin paljon mahdollisuuksia Broadcomille, jos se vain haluaa niitä hyödyntää.

Mutta Broadcom on tunnettu ostostensa rahastamisesta eli “talousmetriikan maksimoimisesta”. Tyyli on ostaa yritys, nostaa hintoja, leikata kuluja ja sitoa asiakkaat hankalasti vaihdettaviin tuotteisiinsa. Tavoitteena on yli kaksinkertaistaa Vmwaren käyttökate ja repiä siitä 5 miljardia dollaria tuottoa vuosittain. Tähän on vain kaksi mahdollisuutta: lisätä myyntiä ja alentaa kustannukset. Odotettavissa ovat massiiviset henkilöstövähennykset. Broadcomin maailmassa 13 miljardin liikevaihto tarkoittaa 10000 työtekijää eli 70% vähemmän mitä Vmwarella nyt on. Vmware taas on tunnettu innovoinnista ja hyvästä henkilöstöpolitiikasta. Törmäys on kova.

Broadcomin linjasta kertoo miten kävi aiemmille ostoksille CA:lle ja Symantecille. Toimintoja tuotekehityksestä, myynnistä, markkinoinnista ja tukitoiminnoista vähennettiin reippaasti. Symantec katosi Broadcomin tulosjulkistuksista kokonaan, tuotteiden arvostus laski visionääristä haastajaksi ja toimintoja myytiin eteenpäin. Broadcom vähensi kustannuksia CA:sta ja Symantecista 60-70%, mikä tarkoittaa Vmawarelle 5 miljardin säästöjä. Infrapuolella Broadcomin tapana on ostaa parhaita komponenttivalmistajia, joilla ei ole kilpailijoita. Näin hinnat voidaan nostaa ja rautavalmistajat sitoa kytkykauppoihin. HPE:n verkkokorteissa Broadcomin valmistaman ohjaimen hinnat pompsahtivat moninkertaisiksi ja tarinoita PCIe-kytkinten hintojen yhtäkkisistä kolminkertaistumisista on kuultu. Nvidian ostettua Mellanoxin ja Cumuluksen, Broadcomin ASIC-piirien käyttö estettiin avoimelta Cumulus-käyttöjärjestelmältä. Cumulukselta putosi alustavaihtoehdoista laaja kytkinvalikoima pois.

Vmware on merkittävä monella alueella yrityksistä operaattoreihin. Vmwarella on ollut 72% markkinaosuus virtualisointiohjelmistoista. Tosin virtuaalikoneiden ja konesalien trendi on hiipumaan päin, mutta häntä on varmasti todella pitkä ja kauppaa riittää hamaan tulevaisuuteen. Yritykset tarvitsevat kipeästi Vmwaren kaltaista yritystä. Vmware on tehnyt itsestään Sveitsin, joka pelaa puolueettomasti kaikkien kanssa, mutta on lopulta vain väliaikainen ratkaisu. Jossain kohtaa käyttäjät tajuavat, ettei Vmware-kerrosta tarvita enää mihinkään.

Kauppa on vahvistamaton ja muita tarjouksia otetaan vastaan 5.7. asti. Harvalla on varaa pistää enemmän rahaa tiskiin ja Broadcomin odotetaan joka tapauksessa nokittavan muut korotukset. Kauppa vahvistuu vasta joskus ensi vuoden puolella, pahimmillaan ehkä vasta loppuvuodesta 2023. Kaupan esteenä voi olla myös viranomaishyväksyntä kuten kävi Qualcommin oston kanssa. Markkinasyyt voisivat estää kaupan, mutta se on epätodennäköistä. Tietoturvasyistä USA:lla ei ole enää syytä torpata ex-singaporelaisen, nykyään San Josessa pääkonttoriaan pitävän Broadcomin ostosta. Käyttäjien kannalta Vmwaren kohtalo näyttää todella synkältä ja strategisia valintoja tulevaisuutta varten on syytä alkaa miettiä. Mutta nyt vielä kannata tehdä hätiköityjä päätöksiä, koska käänteitä voi tässä tarinassa vielä tapahtua.

Internet

Tutkijat ovat teoretisoineet, että vanhassa puhelinjohdossa voisi nostaa nopeuden kolminkertaiseksi nykyisestä, ainakin lyhyellä matkalla. Tiedonsiirto toimii nyt 1 GHz:llä, mutta kaapeli tukisi 5 GHz -taajuutta, jolla päästäisiin arvion mukaan 3 Gbps -nopeuksiin. Muutokseen tarvittaisiin vain sovitin kaapeliin. Raportti Metan ja Googlen kaapelihankkeista Afrikassa tarjoaa tietoa ja kuvia mitä maanosassa on meneillään. Meta on myös kehittänyt menetelmiä potentiaalisten kuitureittien kartoittamiseen. Perinteisesti tiet ovat selviä valintoja kuidulle helpon ja kustannustehokkaan asennuksen ja ylläpidon vuoksi. Kaikkialle ei ole teitä ja niitä on kallista rakentaa, esimerkkinä Kongo. Maaperätutkimuksilla voidaan suunnitella ja optimoida kuidun asennus maastoon.

Anycast on internet-palveluiden perustekniikka, mutta toteutus ei välttämättä aina ole kovin optimaalinen. Nyt kootaan yhteisöä RFC:tä varten tarkoituksena muodostaa yleisesti hyväksytty BGP community anycast-prefixeille. Näin saataisiin toive ja todellisuus kohtaamaan ja anycast-palveluiden reititys optimaalisemmaksi. Tästähän on tietenkin erimielisyyttä kannattaako koko idea ja onko se edes mahdollista.

Kiinan internetistä on laadittu tilastoraportti. Siinä paljon tietoa ja numeroita Kiinan internet-infrasta ja -palveluista. Akamain alustasta vuoden aikana kerätty data on päätynyt NFT-taideteokseen Portrait of Life Online. Tämä reaaliaikaisesta datasta muodostunut Internet-teos kaupataan huutokaupassa.

Tapahtumat

Teknologia22-messut eivät olleet menestys. Kävijämäärä oli pudonnut puoleen 2019 vuoden tapahtumasta. Voi kysyä, onko messujen aika ohi?

RIPE84 pidettiin Berliinissä ja esityksiä löytyy arkistosta.

Networking Field Day NFD28 esitteli Pathsolutionsin, Progressin, Pica8:n, Netbeezin, Aristan, Netris.ai:n, Juniperin, Augteran ja Gluwaren tuotteita. Dan Kelcher kirjoitti yhteenvetoa annista.

DKNOG12:n arkistoitu livestream löytyy Youtubesta.

Finnish Internet Forum keskusteli aiheesta “Internet at war” osana Internet Societyn ohjelmaa ossallistujina Mikkö Hyppönen, Catharina Candolin ja Peter Sund.

Bsides Knoxville 2022 -videoissa on esillä tietoturva-asiaa.

Googlen I/O ei sisältänyt oikein mitään verkkoasiaa, mutta kertaus konferenssista löytyy kuitenkin blogista.

Kuukauden kielipoliisi

Kielitaistelu on syttynyt: imperfekti pingaamiselle on joidenkin mukaan pung. Verbi taipuisi ping, pang, pung. Vai oliko se sittenkin ping pong pong, uusi PPP? What about the case then I troubleshat a networking problem. I found the problem when I tracerooted and panged my ip.

Is the public cloud the only option?

This blog was published originally in Finnish in the Cisco guest blog.


The temptation of public cloud and SaaS services is hard to resist. Who would like to be a brake on technology and business development? Much of IT infrastructure is already in the cloud, and companies are eagerly increasing the use of the cloud. What could go wrong?

Security is not what you think

Security has become the number one priority in today’s business, or at least in minds. The cloud provider is responsible for the security of the service on its own terms, but the responsibility for applications and data remains with the user. The complexity and opacity of the cloud service leave questions about how things really are. The possibility of a misconfiguration is high and many live in the illusion that things are just fine.

Traditional security model changes when you enter the public cloud. The world of developers and applications does not work without dynamic and automated services, proper management and monitoring tools, and application and identity management. The zero trust model and SASE services are easier to implement in the cloud, but still require hard work and a new way of thinking about the entire IT environment.

Bumps in the wire

The public cloud is largely reliable despite recent major problems. The public cloud’s vague SLA guarantees virtually nothing and it is the customer’s job to design availability and distribute services to different zones. Cloud is often far away and its use depends on the reliability and quality of service provider’s connections. For long distances, many potential faults can occur and the delay can be greater than for local services.

The Middle Mile or Cloud On-Ramp has become an important part of cloud connectivity. At least in theory, the service provider connects customers more directly to the cloud through its network bypassing potential bottlenecks along the way. The cloud services themselves also offer their Cloud WAN network through the partners for customer’s use. SASE and SD-WAN services could integrate seamlessly into the cloud. The NaaS (Network as a Service) model will also move networking to the cloud and will change the traditional network model in many ways from technology to billing.

Applications evolve, company doesn’t

Thanks to scalability and decentralization, the public cloud is a good choice to ensure user experience, as long as user application traffic is routed directly to the cloud and does not roam around the corporate network. In the background, however, the application may be based on a database or application logic, which may still reside in a local data center. Traffic travels between the front and the backend degrading application performance and user experience, and adding cloud transport costs.

The public cloud provides comprehensive services for a wide range of needs, and more targeted offerings come out constantly. The benefits of the cloud are best realized when applications are upgraded to cloud-native and more advanced cloud features are used for business needs. This means a change in the entire IT architecture, which will inevitably be reflected in the company’s operating culture. Comprehensive change does not happen in a day. In many cases, traditional applications are so firmly attached to the enterprise operations and business that the renewal is not even worthwhile.

Control gets out of hand

The cost of a public cloud is difficult to predict. The cloud offers more flexibility and features if you can take advantage of them. The cloud can be good for starting and developing services and operations, but as the service grows and stabilizes, the cost of the cloud hits harder. The costs and features of the cloud services are beginning to define the application architecture and put pressure on wider changes in the IT architecture.

It is easy to set up services in the cloud and forget them. The independence of business units easily drives into uncontrolled shadow IT and that, of course, is also reflected in the cost, functionality, availability, and security. The use of the cloud should be governed by at least common rules of use. A large proportion of cloud users do not optimize the cost of the cloud in any way, even if significant savings would be available. There is no actual price competition in the cloud, but users are attracted by the constantly evolving service offering.

Commitment starts to terrify

The benefits of the cloud are gained when services and applications are built by taking advantage of the cloud platform’s features. However, portability to another platform is lost. Cloud usage easily expands to several different cloud platforms, and the variety of SaaS services is constantly increasing. The result is a distributed and complex operating environment. Tools are needed to manage the whole environment but multi-cloud is still far too much: heavy lift, difficult and expensive.

The cloud is good for locking data and users. Hotel California effect defines that the doors are open but you can never get out. The great growth potential of the cloud business lies in the established services of companies that are not easy to transfer to the cloud. That’s why cloud giants are trying to attract the last adopters to the cloud by almost any means.

The ideal of agility

The public cloud is a very large and complex entity for which the company itself often does not have sufficient expertise. The outsourced expertise may not best meet the business needs. The cloud is seen as a crucial productivity tool for digitalization, but it has begun to suffer from inflation. It is difficult for companies to reap the benefits of their cloud investments. The ideal of agility and traditional IT clash violently.

Time for reflection

The public cloud is a good tool for example public services, analytics, artificial intelligence, and modern micro-services. Global reliability, first-class user experience, and flexibility of services are great strengths. Unfortunately in reality, much of the IT environment is messy and layered with history. Moving it to the public cloud may not make sense at all.

Technology is a good tool when it serves a purpose. It should not be the master. Cloud must be weighed in terms of each own needs and realities. If you want to take the reins into your own hands, there are options for building your own capacity and cloud. Everything doesn’t have to be either-or, but a hybrid environment can be a viable model either. But whatever solution you end up with, it requires your effort and commitment to get good results.

[FI] Tietoliikennealan katsaus 2022-04

Ukrainan sota

Palvelunestohyökkäys Suomen ministeriöiden webbisivuille 8.4.2022 ennen Zelenskyin puhetta eduskunnalle jäljitettiin venäläisen Zhadnost-ryhmän tekemäksi. Hyökkäyksessä käytettiin samaa Mikrotik-bottiverkkoa kuin Ukrainaan kohdistuneisiin hyökkäyksiin. Ulkoministeriön tietoturvapäällikkö Matti Parviainen kertoi, että pienet hyökkäykset olivat jatkuneet useamman päivän ajan. Kovempaa iskua on odotettavissa kun Venäjän pelikirjan mukaan seuraava vaihe on tietoa tuhoavat hyökkäykset.

Ukrainalaisten sanotaan viime hetkellä estäneen Venäjän kyberiskun Ukrainan sähköverkkoon. Pitkään suunniteltu hyökkäys onnistui ainakin yhden sähköaseman ICS-järjestelmään, mutta paikalliset työtekijät saivat manuaalisesti pidettyä sähkönjakelun päällä. Elon Musk on väittänyt, että Venäjä jumitti Ukrainaan vietyjä Starlink-terminaaleja, mutta softapäivityksellä toiminta saatiin jatkumaan normaalisti.

Ukrainan kybervalmiuden rakentaminen on ollut pitkäjänteistä. Hienostuneinta ja tuottoisinta hakkeriryhmää Armageddonia on pidetty silmällä vuosia ja sen käyttämiä menetelmiä on opeteltu ennakkoon. Siksi Ukrainan puolustus on pystynyt vastaamaan iskuihin ja onnistuneista iskuista on toivuttu nopeasti. Microsoft on julkaissut raportin hybridisodankäynnistä Ukrainassa ja siinä avataan venäläisten toimintaa tarkemmin.

Pakon edessä Venäjä erottautuu hiljalleen muista kohti teknologiaitsenäisyyttä ja suljettua internetiä. Tavoitteena voi olla Kiinan malli, mutta helppoa kontrollin rakentaminen sielläkään ei ole ollut. Kiina käytti arviolta 20 miljardia dollaria vuosittain saadakseen kaiken internet-liikenteen hallintaansa. Kiinassa liikenne kulkee muutaman tarkistuspiteen kautta, mutta Venäjällä internet on hyvin hajanainen. Maassa on yli 3000 ISP:tä, internet-ekosysteemi on hyvin sidottu globaaliin internetiin ja Venäjän resurssit tuskin muutenkaan riittävät kaiken liikenteen kontrollointiin. Tyypillisin esto on resetoida yhteys, mutta myös TLS-yhteyksiä voidaan pysäyttää ja blokki-ilmoituksia näyttää DNS:n kautta. Rajattu Runet on ollut käytössä muutaman vuoden. Se koostuu pakettisniffauksesta yritysten verkoissa, kansallisesta DNS-järjestelmästä ja viranomaisille keskitetystä internet-hallinnosta. Nyt venäläiset käyttäjät lataavat VPN-ohjelmia ja siirtyvät käyttämään länsimaisia DNS-palveluita päästäkseen kiinni ulkomaiseen tietoon ja turvatakseen oman selustaansa.

Venäjän teknologiaitsenäistymisen takamatkasta kertoo piirituotannon tavoite. Alustavasti oman piirituotannon kehittämiseen on varattu 38 miljardia dollaria. 2030 mennessä tavoitteena olisi saada tuotantoon 90 nm -teknologia, sama mitä TSMC teki jo vuonna 2011. Venäjä aikoo myös kopioida länsiteknologiaa ja siirtää valmistusta joko Venäjälle tai Kiinaan. Yllättäen myös Huawei on päättänyt vetäytyä Venäjän markkinoilta ainakin osittain, koska kokee tilanteen liian riskialttiiksi. Tällä voi olla isoja vaikutuksia Venäjän verkkojen kehittymiseen.

IT-työläisten pako Venäjältä kohdistuu Kasperskyn selvityksen mukaan enimmäkseen lähimaihin. Suosituimmat kohteet ovat Turkki, Georgia ja Armenia. Suurin syy lähtöön on ahdistuksen tunne, mutta myös pelkoa ja erimielisyyttä on joukossa. On arvioitu, että puolet lähteneistä voisi kuitenkin palata takaisin.

Ongelmat

Yandexin Mäntsälän konesalista on katkaistu sähköt huhtikuun lopulla, koska sähkösopimus ei ole enää voimassa. Palvelut pyörivät toistaiseksi varavoimalla diesel-generaattoreiden varassa. Uusi sähkösopimus on kuulemma neuvotteluissa.

Starlinkillä oli lyhyt, mutta laaja katko 9.4.2022. Katko kesti alle puoli tuntia, mutta sen aikana AS14593:ssä liikenne tippui reippaasti. Myös AMS-IX:ssä tapahtui muutosvalmisteluista johtuva häiriö, joka tiputti lähes 75% BGP-sessioista alas 25 minuutiksi.

Ranskassa tutkitaan ennennäkemättömän laajoja valokuituverkkoon kohdistuvia haitallisia tekoja. Kolme runkokaapelin katkoa eri puolilla Ranskaa samaan aikaan 27.4. aamuyöstä ei voi olla sattumaa. Katkot sattuivat Pariisista Lyoniin, Strasbourgiin ja Lilleen menevissä runkokuiduissa. Tekijällä on täytynyt olla tuntemusta asiasta, joten jonkinlainen sabotaasi on kyseessä. Kuituihin kohdistuva aktivismi on harvinaista, vaikka 5G-verkkoa on tuhottu useasti aiemminkin. Ranskan sisäministeriön sisäisen turvallisuuden yksikkö DGSI tutkii asiaa.

Atlassianin SaaS-alustan pieleen mennyt muutos 5.4.2022 on puhuttanut paljon. Poikkeuksellista oli katkon pituus, joka oli pahimmillaan kaksi viikkoa. Ongelma koski noin 400 asiakasta 226000:sta. Muutoksen yhteydessä viallinen koodi poisti pysyvästi nuo 400 asiakasta pilvipalvelusta ja ne täytyi rakentaa uudelleen tyhjästä. Atlassianin huono viestintä herätti vihaa, kun käyttäjien toimintakriittiset järjestelmät Jira, Confluence ja muut olivat tietämättömän ajan pois käytöstä. Viikon päästä oli saatu palautettua 35% asiakastiedoista ja Atlassian julkaisi selvityksen tapahtuneesta. Pitkä ja perusteellinen post-mortem julkaistiin kuun lopussa. Ironista kyllä, ongelma sattui juuri kun Atlassian oli ilmoittanut lopettavansa palvelintuotteet 2024 mennessä ja keskittyvänsä pilveen. Häiriö ei juurikaan vaikuttanut yhtiön osakkeen hintaan ja käyttäjät unohtavat menneet, kuten yleensäkin taitaa käydä.

Oktan tietomurto on loppuunkäsitelty. Oktan mukaan lopputulos tutkimuksista oli, että murtautuja käytti 21.1.2022 yrityksen työasemaa 25 minuutin ajan ja pääsi sitä kautta kahden asiakkaan rajattuihin tietoihin. Konfiguraatiomuutoksia tai salasananollauksia ei murtautuja päässyt tekemään, eikä myöskään käyttämään Oktan tunnuksia suoraan.

Operaattorit ja 5G

Suomalaisilta kysyttiin mitä etuja 5G:ssä on, ja kansa vastasi: nopeus. Markkinointi on purrut hyvin. Kuluttajat eivät osanneet juurikaan kertoa hyödyistä omin sanoin, vaan ne jäävät hämäriksi. Noin 25% sanoi, että 5G:stä ei ole mitään hyötyä. Uusia sovelluksia ei juurikaan mainittu, vaikka puolet osasi mainita reaaliaikaisuuden. Annetuista vaihtoehdoista nopeus oli ykkösasia, toisena toimivat ja luotettavat yhteydet, ja kolmantena selvästi pienempänä asiana tietoturva. 5G:n demokratisoiva vaikutus haja-asutusalueille kyllä on huomattu. Tietoturvan osalta Huawein kyberturvallisuus- ja tietosuojajohtaja Marja Dunderfelt sysää vastuun käyttäjille, jotka teknologiaa soveltavat käytäntöön. Vakiona tulee nopeus ja viive -diibadaaba, mutta itse verkkoteknologiassa ei tunnu olevan mitään riskiä. Omnitele on mitannut Suomen mobiiliverkkojen nopeuksia ja koonnut tulokset maaliskuulta. 5G näkyy Suomen patenttitilastoissa. Viime vuoden hakemuksista noin puolet on digitaalisen tietoliikenteen alalle ja Nokia on selvästi suurin hakija.

5G-laajakaista eli FWA tekee tuloaan vakaasti. USA:ssa kaapelioperaattori Comcast on uhitellut, että FWA ei uhkaa heidän perinteisiä kaapelibisneksiään, mutta tosiasiassa tämä vastahyökkäys on selvä merkki FWA:n noususta ja uhkasta. Viime vuonna T-Mobile US on saanut reilut puoli miljoonaan uutta FWA-asiakasta ja Verizon 173000. Uusista laajakaista-asiakkaista 20-40% valitsee FWA:n. Suurin osa siitä on kaapeliyhteyksien korvaamista langattomalla. Comcast on ensimmäinen amerikkalaisoperaattori, joka on ottanut käyttöön onttokuitua (Hollowcore Fiber, HCF). Lumenisityn esitys avaa tätä nopeutta kasvattavaa ja viivettä vähentävää brittiläisten keksimää teknologiaa.

Satelliittiyhteydet ovat kääntyneet tv-ohjelmien välityksestä yleiskäyttöiseksi laajakaistaksi aivan viime aikoina, kiitos Starlinkin. BT:n Neil McRae kertoo omasta näkökulmastaan satelliitteihin. Operaattorit ovat kiinnostuneita tekniikasta kustannustehokkaana ja luotettavana yhteytenä siellä missä oman verkon rakentaminen ei kannata. Satelliitti on vain yksi monista tekniikoista ja BT tutkii myös mm. pitkänmatkan wifiä ja vapaan tilan optiikkaa. Operaattoreilla kustannustehokkuus ja tarkoituksenmukaisuus ratkaisee. Onewebillä oli tarjota sopiva paketti, siksi BT valitsi sen. Käyttökohteita löytyy ajan myötä lisää, mutta normaaliverkon korvaajaksi satelliitista ei ole. Satelliittialakin käy nyt läpi muutosta, jossa uudet tulijat muokkaavat kenttää ja vanhat omahyväiset toimijat ovat vaarassa pudota kelkasta.

Satelliittihommissa laukaisu taivaalle on kallis toimenpide, jossa on omat toimijansa. Amazon on ostanut historian suurimman 83 laukaisun kokonaisuuden kolmelta rakettiyhtiöltä. Arianespace, Blue Origin ja United Launch Alliance (ULA) lennättävät suurimman osan suunnitelluista 3236 satelliitista avaruuteen viiden vuoden aikana. Amazon hyödyntää satelliittitoiminnassaan logistiikan, asiakaspalvelun ja kuluttajalaitteiden osaamistaan sekä tietysti AWS:n palveluita. Amazonilla Project Kuiperin parissa työskentelee yli 1000 ihmistä USA:ssa ja 13 Euroopan maassa. Starlink on tehnyt ensimmäisen sopimuksen lentokone-wifistä charter-lentoyhtiö JSX:n kanssa. Laajakaista olisi tulossa sataan koneeseen. Ranskassa ylin oikeusaste on poistanut Starlinkiltä sille annetut taajuudet, ilmeisesti koska se voisi vaikuttaa haitallisesti laajakaistakilpailuun ja markkina-asemiin.

IoT-verkko-operaattori Sigfox on keikkunut selvitystilassa ja nyt singaporelainen verkko-operaattori Unabiz on ostanut sen 25 miljoonalla eurolla. Toiminta jatkuu, mutta epävarmuuden varjo kyllä seuraa edelleen.

O-RAN saa kovaa kritiikkiä MWC:n jälkimainingeissa suorasanaiselta konsultilta John Strandilta. “Kaikki puhut, mutta kukaan ei osta“, menossa olevia testaussopimuksia pidetään kaupallisina sopimuksina ja uudet valmistajat alkavat panikoida kun kauppaa ei tule. Valmistajia oli messuillakin kuitenkin noin pari tuhatta, mutta kaupallisista, teknisistä ja käytännöllisistä asioista ei kuitenkaan juuri puhuttu. Näyttää, että O-RAN on liian vähän maailmassa, jossa pystytetään 10000 saittia kuukaudessa. Huomattavaa on myös, että radioverkon kustannusten osuus liikevaihdossa käyttäjää kohti on vain 3% luokkaa eli käytännössä ei mitään. O-RAN Alliance kuitenkin aikoo julkaista kasan standardeja tänä vuonna ETSI:n hyväksyttäväksi. Pää paino on yhteensopivuuden varmistamisessa ja integroinneissa.

Nokian hyvä tulos yllätti analyytikot. Erityisesti kannattavuus on kasvanut, vaikka komponenteista on pulaa ja tuotekehitykseen on investoitu reippaasti. Kilpailjat on saavutettu ja tärkeillä alueilla on jo menty ohikin. Erityisesti kiinteän verkon kasvu on kovaa, mutta myös mobiiliverkoissa markkinaosuus on kasvanut. Teknologialisensointiyksikössä sopimuksia ei ole saatu uusittua. Oppo ja Vivo on haastettu oikeuteen patenttiloukkauksista. Venäjällä Nokia jatkaa vielä jonkin aikaa yhteistyötä turvatakseen operaattoriverkkojen toiminnan.

Pilvi ja konesali

Hyvät pilvitulokset jatkuvat Q1:llä, mutta AWS:n kasvun hidastuminen on muistettu mainita. Microsoft ja Google kasvavat nopeammin, mutta pienemmin luvuin. Canalysin mukaan Azuren markkinaosuus kasvaa tasaisesti kahden prosenttiyksikön vuosivauhtia ja on nyt 21%. AWS ottaa 33% ja Google 8% markkinaosuuden. Myös pienemmät yritykset ovat nyt alkaneet investoida pilveen, mikä ruokkii pilvi-infran kasvua. IDC:n ennusteen mukaan pilvikulutuksen kasvu jatkuu ja vain Keski- ja Itä-Eurooppa on laskussa tänä vuonna. Gartnerin ennusteen mukaan mikään mullistus maailmassa ei hätkäytä IT-investointien tai pilven kasvua. Suurimman osuuden pilven kasvusta tekevät IaaS-palvelut, sen jälkeen PaaS-palvelut ja bisnesprosessit.

Investoinnit pilvi-infraan kertovat jotain alustan kehityksestä ja eivät yleensä valehtele. Investoinneissa AWS on omilla lukemillaan ollen yli kaksi kertaa isompi kuin Microsoft ja Google, jotka ovat tasalukemissa keskenään. Kolmoskerhossa pelaavat Oracle ja IBM, joista IBM näyttää edelleen kuolleelta, mutta Oraclen investoinnit ovat nousussa. Silti ne ovat kaiken kaikkiaan pienemmät kuin AWS:n viime vuoden investoinnit. Taustalla pyörii myös mahdollisia nousevia tähtiä, jotka ainakin kovasti puhuvat pilven rakentamisesta, mutta eivät käsitä minkälaiset investoinnit pilvi-infraan vaaditaan. Bank of America rakentaa privaattipilveä itselleen, koska ei usko julkipilven olevan riittävä heidän tarpeisiin, Euroopan GAIA-X on tuhoontuomittu idealistinen höpötys ja Trumpin Media & Technology Group seilaa yritysrypäsmuodostelman rakentamisessa enemmän kuin teknologiassa.

Ranskalainen pilviyhtiö Scaleway erosi turhautuneena itse perustamastaan Euroopan itsenäisen pilven GAIA-X -projektista viime vuoden lopulla. Nyt toimitusjohtaja kollegoineen lähettää kitkerää kritiikkiä EU:lle avoimella kirjeellä. Eurooppa on täysin riippuvainen amerikkalaisista yhtiöistä ja Euroopan oma teknologia edustaa alle 1% osuutta yritysten ostoista. EU hakee nyt apua kiinalaisista yrityksistä, mikä ei ainakaan omavaraisuuden ajatusta paranna ja riskeeraa tulevaisuuden entistä pahemmin. Itsenäisen pilven rakentamistavoite onkin nyt muutettu vain kyvyksi tarjota vaihtoehtoja amerikkalaisyhtiöille. Itse ongelma kielletään. GAIA-X -projektista tuskin tulee ulos mitään kovin mullistavaa tai merkittävää.

SaaS-yritysten osakkeet ovat puristuksissa maailmantilanteesta johtuen. Viime vuosina arvostus on enemmän liitetty investointitehokkuuteen kuin absoluuttiseen kasvuun. Toimialojen välillä on eroja ja parhaiten menee kyberturvallisuudella, vertikaaliratkaisuilla, finanssialalla ja data-alustoilla sekä kehitystyökaluilla. Nyt siis on tärkeää kasvaa optimaalisilla kustannuksilla, ei hinnalla millä hyvänsä.

Google on julkaissut uusia pilvipalveluita. SWIFT on GCP on yhteistyössä Swiftin kanssa tehty maksuliikenneratkaisu pilvessä. Media CDN on nyt julkisesti saatavilla ja sillä tähdätään videostriimausasiakkaisiin. Taustalla on Youtuben tekniikka ja alusta yli 200 maassa ja 1300 kaupungissa. Google Distributed Cloud Edge on myös nyt saatavilla, joko kuuden palvelimen ja kytkimien kokonaisena räkkikonfiguraationa, tai pienempinä 1RU:n applianceina. Edge löytyy myös Suomesta. AWS on poistanut tiedonsiirtomaksut eri availability zonejen väliltä saman alueen sisällä Privatelinkin, Transit-GW:n ja Client-VPN:n osalta. Uusi Brandon Carrolin blogisarja esittelee AWS:n tietoturvaa verkkoihmisille.

Microsoft on valinnut Nokian 7250 IXR -kytkimet Tier-2 -verkon laitteiksi. Microsoft ajaa niissä Sonic-käyttöjärjestelmää. Google on ostanut Mobiledgex:n, joka on telco-pilven ja edgen hallintaan erikoistunut yritys. Alun perin Deutsche Telekomin 2018 perustamasta avoimen koodin projektista oli tarkoitus tulla yleinen ohajuskerros operaattoripilvelle ja se oli suosittu operaattoreidenkin keskuudessa. Nyt Google lisää panostustaan operaattoreihin ja se on saanutkin sijaa operaattoreiden mielissä.

Gartner on uudelleennimennyt Cloud Networking Software -tuoteryhmän Multicloud Networking Softwareksi (MCNS) uuden markkinaoppaan julkaisemisen yhteydessä. MCNS-tuotteella siis suunnitellaan, toteutetaan ja operoidaan monipilviympäristön verkkoa. Listalla on valmistajia Alkira, Arrcus, Arista, Aviatrix, Cohesive Networks, Cisco, F5, Prosimo ja Vmware. Markkina on vielä pieni, mutta kasvussa. Prosimo on julkaissut monipilvi-transitin, joka käsittää koko pinon sovelluksesta sovellukseen. Yhdellä yhdenmukaisella arkkitehtuurilla saadaan kaikki palvelut yhdistettyä toisiinsa eri pilvistä joko verkko- tai sovellustasolla. Avuksi käytetään tietysti koneoppimista, jolla viilataan toiminnot suoraviivaisemmiksi ja helpommiksi. Prosimon perustivat ex-viptelalaiset vuonna 2019 ja se yrittää erottua muista yhden pinon ratkaisuilla eli välttämällä kuormanjakajia, API-GW:eitä tai proxyjä, joita muut valmistajat käyttävät. Gigamonin kysely kertoo, että monipilveen siirtymisen suurin ongelma on näkyvyyden puute, mikä hidastaa hallintaa, syö resursseja ja lisää kustannuksia.

Konesalikentässä amerikkalainen Cyxtera on mynnissä ja Suomessa Ficolon omistaja on vaihtunut Taalerista brittiläiseen Digital 9 Infrastructure PLC:hen. Google varoittaa Irlantia rajoittamasta konesalien kehitystä. Epävarmuus sähkönsaannissa on haitallista liiketoiminnoille ja horjuttaa maan digiekosysteemiä ja siihen liittyviä intohimoja. Konesalitkin voivat joskus olla kauniita ja näyttäviä tai muuten vaan erikoisia. Vai mitä sanotte esim. Barcelonan Mare Nostrum -superkoneen klassisista tiloista, joihin pääsee tutustumaan virtuaalisesti. Tukholman Bahnhof Södermalmin kalliossa tarjoaa maanalaista turvaidylliä. Lontoon Roca-galleriassa oli jopa näyttely konesaliarkkitehtuurista. Suomessa Telian HDC on edes vähän yrittänyt brändätä laitosta ulkonäöllä, mutta samaa ei voi sanoa Equinixin harmaista betonilaatikoista. Konesalit ovat yleensä sisältä samanlaisia, mutta CSC:n Kajaanin konesalin sisustus ja Lumi-supertietokone on melkoinen design-teos.

Kyberturvallisuus

Huoltovarmuuskeskus on taas julkaissut vuosittaisen kartoituksen kyberturvallisuuden nykytilasta eri toimialoilla. Parhaassa jamassa ovat ICT- ja finanssialat, joiden tulee vain ylläpitää samaa hyvää tasoaan. Eniten kehitettävää on media-, elintarvike-, logistiikka- ja kaupan alalla. Yleisesti kaikille yrityksille tärkeimmät kehityskohteet löytyvät strategiasta, arkkitehtuurista ja teknisestä jäljitettävyydestä. Yhteisiä laajempia huoltovarmuuteen liittyviä kehityksen kohteita ovat yhteinen tilannekuva, ohjelmistokehityksen turvallisuus ja henkilöstön osaaminen.

Suomen ensimmäinen kyberturvallisuusstrategia julkaistiin 2013 ja siinä linjattiin eri tahojen yhteistoiminnan, tilannekuvan, vastuunjaon ja lainsäädännön kehittämisen tarvetta. Edelleen periaate on, että jokainen suojaa itseään ja yhteistä kansallista kyberpuolustusta ei ole.  Catharina Candolin ottaa vahvasti kantaa kansallisen kyberpuolustuksen puolesta. Ylimääräisellä valtiollisella suojauskerroksella saataisiin vahvempi turva ja korkeampi hyökkäyskynnys. Paperinpyörittely ei riitä, vaan Suomen pitää ottaa aktiivisesti kantaa mitä kyberpuolustuksen toteuttaminen käytännössä tarkoittaa. Myös NATO määrittelee kyberpuolustuksen roolia uudessa maailmantilanteessa.

Puolustusvaoimat ja Maanpuolustuskoulutus voittivat NATO:n Lock Shields 22 -kyberharjoituksen. Yli 2000 henkilön ja 32 maan kilpailussa Liettua ja Puola tulivat toiseksi, kolmanneksi sijoittui Viro. Puolustusvoimien kannalta parasta antia on oppi, jolla kyberpuolustusta kehitetään eteenpäin. Nykyinen turvallisuustilanne saa Valtorin perustamaan uuden turvallisuusyksikön. Kyberturvallisuuskeskus kartoitti kuntien ja SOTE-toimijoiden palveluita ja löysi niistä tavanomaisia haavoittuvuuksia. Ei kuitenkaan hälyttävässä määrin. Palaute kunnilta oli positiivista ja ulkopuolisista kartoituksista toivottiin jatkuvaa käytäntöä. Internet-rajapinnan haavoittuvuusvalvonta ja näkyvyyspalvelut ovat hyviä keinoja löytää korjaustarpeita ja paljastaa prosessien ja toimitusketjujen heikkoudet.

Kiristyshaittaohjelmien kustannukset tulevat Checkpointin laskelmien mukaan kokonaisuudessaan jopa seitsemän kertaa suuremmiksi kuin pelkkä lunnasmaksu. Alan käytäntö lunnasmääräksi on 0,7-5% kohdeorganisaation liikevaihdosta. Todelliset kustannukset muodostuvat mm. reagointi- ja palautumiskustannuksista sekä seurannasta ja oikeudenkäynneistä. Vakuutusyhtiö Corvuksen silmin näyttää, että lunnashaittaohjelmat ovat kuitenkin laskussa sekä määrässä että kustannuksissa. Keskimääräinen lunnasmaksu oli viime vuonna 167000 dollaria, melkein puolet vähemmän kuin edellisenä vuonna. Syynä voi olla kovemmat vakuutusehdot ja sitä kautta yritysten parempi varautuminen. Mutta piikkejäkin esiintyi esim. Exchange-haavoittuvuuden ja Kaseya-tapauksen vuoksi, mutta se ei isoa kuvaa heilauta.

Splunkin State of the Security 2022 -tutkimus toistaa hyökkäysten määrän kasvua ja yritysten voimattomuutta sen edessä. Keskimääräinen palautumisaika kyberhyökkäyksestä on 14 tuntia ja tunnin hinta on 200000 dollaria. Trendmicron Cyber Risk Index kuvaa eri maanosien riskiä joutua hyökkäyksen kohteeksi.

Google ja Mandiant kertovat nollapäivähaavoittuvuuksista viime vuoden osalta. Määrä kaksinkertaistui edellisestä vuodesta. Suuri kasvu määrissä johtunee parantuneesta havainnoinnista ja tietojen julkistamisista. Samoja bugimuotoja käytetään vuodesta toiseen, viime vuonna vain kaksi haavoittuvuutta oli uudenlaisia. CISA:n listalla yleisimmin käytetyt haavoittuvuudet viime vuodelta ovat Log4Shell sekä Exchangen, Manage Enginen, Confluencen, Vsphere-clientin, Pulse Securen ja FortiOS:n haavoittuvuudet. Kaspersky listaa kehittyneiden hyökkäysten trendit viime vuodelta. Geopolitiikka ohjaa hyökkäyksiä ja alatason implantit yleistyvät. Tosin hyvin kehittyneitä hyökkäyksiä ei edes tunnisteta. Ensimmäinen haittaohjelma AWS Lambda -funktioille on myös nyt tunnistettu.

Ciscon WLAN-kontrollerissa on erittäin kriittinen haavoittuvuus, samoin Citrixin SD-WAN:ssa, Zyxelin palomuureissa ja Javassa. Aruban ja Avayan kytkimissä NanoSSL-kirjaston TLStorm 2.0 aiheuttaa haavoittuvuuksia. ICS-järjestelmistä alkuvuodesta löytynyt laaja DNS-haavoittuvuus on edelleen korjaamatta. IoT-laitteissa ja suositussa OpenWRT-käyttöjärjestelmässä käytety C-kirjasto antaa mahdollisuuden myrkyttää DNS-tietoja.

Atlasvpn on vertaillut eri valmistajien tuotteiden haavoittuvuuksien määriä. Applen tuotteissa haavoittuvuuksien määrä on pompannut lähes viisinkertaiseksi viime vuoden aikana. Vakavuuden mukaan riskitason 8 haavoittuvuudet ovat yleisimpiä, mutta pisteiden 5-10 välillä kyllä löytyy tasaisen paljon haavoittuvuuksia. Applen Icloud Relaysta on huomattu ominaisuus, joka ohittaa paikallisen palomuurin säännöt. Relay ei suostu toimimaan palomuurin kanssa: jos säännöt laittaa päälle, relay sulkee itsensä.

Nccgroup on kartoittanut LAPSUS$-ryhmän toimintaa. Tekniikkoina on päästä kuopimaan Sharepoint-saittien dokumentteja tai paikalisia salasanaohjelmien tietokantoja, joista voisi irrota tunnuksia. Kloonaamalla Git-repoja pyritään saamaan API-avaimia. Saaduilla tunnuksilla otetaan sitten VPN-yhteys yrityksen verkkoon. USA:n valtionvarainministeriö on tunnistanut pohjois-korealaisen Lazarus-ryhmän Ronin lohkoketjuvarkauden tekijäksi. Maaliskuun lopussa vietiin historian toiseksi suurin yli 500 miljoonan dollarin kryptovaluuttasaalis. Kryptolompakko on tunnistettu ja siihen on asetettu pakotteita. Hieman yllättäen kryptolompakosta onkin hankala siirtää omaisuutta paljastumatta. Yleisesti ottaen lohkoketju tekniikkana on turvallinen, mutta kryptohaavoittuvuudet ovat enemmän lohkoketjun päälle rakennetuissa ohjelmissa.

T-Mobilen tieskö mones hakkerointi ja sen jälkihoito viime vuonna on paljastunut epäonnistuneeksi. Kun hakkerit yrittivät myydä varastettuja asiakastietoja Raidforumsissa, T-Mobile olisi väitteiden mukaan palkannut Mandiantin ostamaan tiedot pois foorumeilta. Tietoja saatiinkin ostettua 150000 dollarilla, mutta hakkerit jatkoivat tietojen myymistä edelleen. Näyttää siis, että T-Mobile yritti välttää tietojen leviämisen maksamalla hakkereille, mutta epäonnistui.

Cloudflare on torjunut kaikkien aikojen HTTPS-DDoS-hyökkäyksen, joka oli teholtaan 15 mrps. Se ei ole määrältään suurin DDoS, mutta salattu liikenne tekee siitä erityisen. HTTPS-liikenteen generoimiseen ja torjumiseen tarvitaan enemmän resursseja, mikä maksaa myös enemmän. Hyökkäys kestikin vain 15 sekuntia. Bottiverkko koostui noin 6000 laitteesta 112 maassa ja yli 1300 verkossa. Suosituimmat bottialustat olivat mm. eurooppalaiset pilvialustat Hetzner ja OVH. Cloudflare on valinnut Kentikin parantamaan DDoS-havainnointiaan ja sitä voivat myös Cloudflaren asiakkaat käyttää integroituna palveluna. USA:n DOJ on kertonut sulkeneensa Venäjän armeijan hallinnoiman tuhansien laitteiden bottiverkon Cyclops Blinkin.

USA:ssa CISA on määritellyt pilvisovellusten tietoturvan teknisen referenssiarkkitehtuurin SCuBA TRA:n. Määrittelyn odotetaan nostavan tasoa sekä palvelutarjoajien että käyttäjien puolella. CISA:n projektilla on selvä rooli kansallisen turvallisuuden ajamisessa sekä julkiselle että yksityiselle sektorille. Julkisen puolen vaatimukset vetävät myös yksityisyritykset samalle tasolle. Paloalto korostaa identiteetinhallinnan merkitystä pilvitietoturvalle. Salasanoja käytetään liian paljon uudelleen, salasanat ovat heikkoja, pilvitunnukset ovat liian sallivia ja pilven poliitiikkaa ei konfiguroida kunnolla. Nämä kun laittaisi kuntoon, olisi taas reippaan loikan verran turvallisemmilla vesillä. Ja zero trustin toteutuskin lähtee identiteetinhallinasta.

Tenable ostaa Bit Discoveryn, joka on ulkoisen hyökkäyspinta-alan hallintaan erikoistunut yritys. Kauppahinta on käteisenä 44,5 miljoonaa dollaria. Tenable vahvistaa kaupalla kokonaisnäkyvyyttä ja haavoittuvuusriskien minimointikykyä.

Viiden vuoden työstön jälkeen security.txt on määritelty RFC9116:ssa. Idea on siis yksinkertaisesti luoda webbipalvelimelle tekstitiedosto, josta löytyy yhteystiedot ja ohjeet haavoittuvuuksien julkistamiseen.

SASE- ja SD-WAN -rintamalla Cato tuomitsee SSE-termin ärsyttäväksi ja tuottamattomaksi. Koko SSE:n ajatus, että tietoturva olisi parempaa ilman access-osuutta, on virheellinen. Vuosia rakennettu yhtenäisen verkon ja tietoturvan SASE-tarina pitäisikin nyt yhtäkkiä kelata takaisin ja paloitella kahteen eri osuuteen. Pahimmillaan verkon erottamisesta tulee reikä tietoturvaan. Isojen yritysten halua ostaa tietoturva erikseen verkosta, on Caton mielestä vanhoihin kaavoihin jumiutumista ja johtaa operoinnin ja vastuiden sekavuuteen. Verkon kautta olisi saatavilla hyvää tietoa ja kontekstia uhkista. Myös Vmwaren mukaan SD-WAN ei ole poistumassa mihinkään, vaan on entistä olennaisempi. Automatisoitu verkko ja tietoturva saavutetaan SD-WAN:n avulla. Vmware näkee SSE:n vain hyvänä buustina alalle.

ABI Researchin mukaan SASE on mielenkiintoinen idea, mutta tarvitsee todellisuuspohjaa. Nyt valmistajat luovat isoja odotuksia, mutta tuotteet eivät ole välttämättä valmiita. SASE on hyvä yhdistelmä zero trustia, yksityisverkkoa ja näkyvyyttä. Valmistajat lähestyvät asiaa omista lähtökohdistaan joko verkon tai tietoturvan suunnasta, ja se näkyy tuotteissa. SASE:n yhdistäminen 5G-yhteyksiin tuo jatkossa hyvän tavan turvata sovellusten käyttöä ja operaattoreilla on paikkansa palveluntarjoajina. SASE on vielä nuori ja vasta lyömässä läpi muutaman vuoden sisällä.

Ison yritysverkon näkökulmasta SD-WAN ei ole välttämättä optimaalinen, kuten  GlaxoSmithKlinen CISO Michael Elmore kuvaa. SD-WAN on ollut ketterä ja kustannustehokas tapa kiertää MPLS-VPN:ien hankaluudet. SD-WAN:n hyödyntäminen vaatii osaamista, jota yrityksillä ei useinkaan ole. Lopulta ongelma on kuitenkin se, että SD-WAN ei ole mitenkään parempi verkko, vaan kasa purkkavirityksiä yksittäisten halpojen komponenttien kasaamiseksi jotenkin toimivaksi kokonaisuudeksi. Jossain mielessä SD-WAN antoi meille huonoimmat puolet kaikista ratkaisuista. Yritykset tarvitsisivat yksityisverkkoa, joka on luotettava ja suorituskykyinen kuin MPLS, mutta samalla ketterä ja kustannustehokas kuin internet. Ratkaisu saattaa löytyä ohjelmoitavasta verkosta ja NaaS-palveluista.

Gartner itse on ottanut kantaa SASE-SSE -jaottelun hämmennykseen. Kyse on hankintamalleista, joissa on kolme tarvetta: toimipisteiden modernisointi (SD-WAN), pilvitietoturva (SSE) ja yhtä kokonaisratkaisua haluavat etunojassa olevat tai pienemmät asiakkaat (SASE). Todellisuudessa kaikki nämä toiminnot sekoittuvat iloisesti eri prioriteettien ja elinkaaren vaiheiden kesken. Kaikki kolme pysyvät, mutta SASE:n verkon ja tietoturvan yhdistävä malli lupaa eniten.

Zscaler on nyt lisännyt Helsingin HEL1-konesalin mukaan palveluihin.

Tekniikka ja operointi

RFC 1 vuodelta 1969 täytti 53 vuotta. Puolessa vuosisadassa on saatu aikaan reilut 9000 RFC:tä. Vuosittainen aprillipäivän RFC saatiin taas ulos. RFC 9225 Software Defects Considered Harmful kannustaa välttämätään softabugeja, koska ne ovat yksi suurimpia kustannuseriä alalla.

Tedium listaa uudempia ja vanhempia tekniikoita, jotka eivät menestyneet. Muistatko tai tunnetko Kermit-protokollan, internetin shakkipalvelimen, Scour P2P-jaon tai Iden-mobiilitekniikan?

Tarvitseeko MPLS:stä välittää enää 2020-luvulla? Keskustelu jatkuu. Terminologia on kaksijakoinen ja aina ei tiedä mitä puhuja MPLS:llä tarkoittaa. MPLS on verkkotekniikka ja MPLS-VPN on palvelu, jota operaattorit tarjoavat asiakkaille. VPN-palvelut rakennetaan MPLS-verkon päälle. MPLS tekniikkana on elegantti, skaalautuva ja joustava. Käyttötarve on sama kuin ennenkin ja käyttö jatkuu aivan varmasti pitkälle tulevaisuuteen. MPLS:n ja Frame Relayn edeltäjä X.25 jatkaa yhä elämäänsä joissakin paikoissa, kuten lentoasemalla. Fabricpath, TRILL ja SPB olivat ethernet-fabricin tekniikoita 2010-luvulla, mutta käytännössä kaikki toteutukset kuolivat melko pian lyhyen pyristelyn jälkeen. Ethernetin teoria on ytimekkäästi kuvattu Microchipin dokumentissa.

BGP on antiikkinen protokolla ja sitä joudutaan viilaamaan parempaan iskuun erilaisilla uusilla ominaisuuksilla. Perinteisiä tietoturvamekanismeja ovat TTL-rajoitus, autentikoinnit ja salaus. IP Journalin pitkässä artikkelissa Geoff Huston avaa BGP:n turvaamisen uusia menetelmiä, joita ovat mm. Secure BGP (sBGP), Secure Origin BGP (soBGP), Pretty Secure BGP (psBGP), Inter-domain Route Validation (IRV), Secure Path Vector Routing (SPV) sekä allekirjoitusten kuolettaminen ja yhdisteleminen. Pelkkä ohjaustakerroksen suojaaminen ei riitä, vaan reittitieto pitää olla paikkansapitävää myös välityskerroksella. IETF:n kehityksessä on tähän tekniikoita RPKI, ROV, BGPsec ja ASPA. Vieläkään ei kuitenkaan ole löydetty sopivaa tasapainoa turvallisuuden ja toteutustavan välillä. BGP-toteutuksissa on eroja ja kaikki reitittimet eivät puhu samaa kieltä standardeista huolimatta. MANRS:n esimerkkitapaus on FRRouting-ohjelmasta, joka ei kaikissa versioissa ole tukenut ADD-APTH-ominaisuutta. Siitä on syntynyt epäselvyyttä kun reittitieto näyttää erilaiselta eri paikoista katsottuna.

Juniperin ASIC-suunnitelun Sharada Yeluri kertoo verkkopiirien kehityksestä 1990-luvulta nykypäivään. Aluksi prosessointi rakennettiin 250 nm -tuotantotekniikalla 4-5 piirin varaan, joilla saatiin aikaiseksi 20 Gpbs -nopeus. Nyt on päästy 5 nm -tuotantoon ja kymmenien Terabittien nopeuksiin. Verkkopiirien teho on kasvanut 1440-kertaiseksi, kun tavallisella CPU:lla kerroin on 1000-1200 ja GPU:lla vain 400. Piiri sisältää satoja prosessoricoreja, joista osa voi olla erikoistuneita tietyn toiminnon kiihdyttämiseen. Vaikein tehtävä on reittien etsintä LPM-menetelmällä. Piiriin liittyy myös muistia, jonotus- ja ajoitustoimintoja sekä väyliä porttien ja piirien välillä. Lopuksi on vielä optimoitava tehonkäyttö.

Nvidian Spectrum-4 ja sen taustat kuvataan hieman tarkemmin Nextplatformin artikkelissa. Nvidian osaaminen serdes-suunnittelussa on auttanut piirin kehityksessä. Analogiaosa serdes on pitkän toimitusajan komponentti ja sen pitää toimia kunnolla. Digitaalinen pakettienkäsittely on paljon  suoraviivaisempi toteuttaa. Pakettikäsittelyn tehokkuuden parantaminen ei välttämättä aina mene samassa syklissä kytkinperheiden kapasiteettiportaiden kanssa. Mellanox on aina yrittänyt parantaa erityisesti pakettivälityskapasiteettia ja nyt on päästy tasolle 37,6 miljardia pakettia sekunissa. Liikenteen salaus saadaan tehtyä neljäsosakapasiteetilla linjanopeudesta. Se riittää hyvin pilvien keskimääräiseen DCI-tarpeeseen, joka on luokkaa 4 Tbps. Kytkimen kapasiteetista kertoo jotain se, että yhdellä kytkimellä voisi rakentaa 512-porttisen 100G-fabricin. Edellisellä sukupolvella vastaavaan tarvittiin 12 kertainen määrä kytkimiä. Hinta ei ole vielä tiedossa, mutta sääntönä on ollut, että porttinopeuden kaksinkertaistuessa porttihinta nousee 1,5-1,6 kertaiseksi. 800G-portin hinta asettuisi noin 1800-2000 dollariin kun 400G-portin hinta huitelee nyt noin 1000 dollarin tasolla. Muutakin kehitystä on tapahtunut AI-käyttötarpeiden ajamana ja Infinibandistä lainattuna. Adaptive routing parantaa kapasiteetinhallintaa ECMP-linkeissä myös isoilla flow:illa. Parannettu muistinkäsittely vähentää viivettä RoCE-protokollan käytössä. Erikoistarkka kellotus PTP:llä löytyy esim. hajautettujen tietokantojen synkronointiin. Nvidian kytkinasiakkaita arvellaan olevan Google ja Microsoft, joista ainakin Microsoft käyttää Infinibandia ennestään.

Myös Google on ottanut Infinibandista parhaat puolet uuteen Aquila-kytkentäarkkitehtuuriin ja Gnet-protokollaansa, jotka hylkäävät perinteisen ethernetin. Tavoite on saada viive alas ja yhdenmukaiseksi konesalin sisällä. Google näyttää taas suuntaa alalle omilla tulevaisuuden ratkaisuillaan. Aquila-fabric yhdistää 24 räkkiä sudenkorento-fabriciksi. Räkeissä on kaksi 24 palvelimen podia, joiden palvelimet on kaapeloitu kuparilla keskenään. Palvelimissa on Tor-in-NIC (TiN) -NIC-kytkin -yhdistelmä, joka käyttää omaa Gnet-protokollaa L2-liikenteen optimoimiseen. Räkit voivat olla 100 m päässä toisistaan kuidulla kytkettynä ja niiden välillä on tasainen 30 ns viive. Fabricissa palataan ATM:stä ja verkkolaitteiden sisäisestä toiminnasta tuttuun solukytkentään, jossa tasainen viive saadaan tasamittaisia lyhyitä soluja välittämällä. Alustavissa testeissä fabricin RTT on saatu puristettua alle 40 mikrosekunnin, mikä on viisi kertaa pienempi kuin nykyisessä IP-verkossa. Fabric on rakennettu yhden piirin varaan, jotta kustannuksia saadaan optimoitua. Myös piirien levittäminen mahdollisimman hajalleen, vähentää vikojen vaikutusaluetta. SDN-kontrolleri ohjaa verkkoa, mutta Aquila-piireissä on myös paikallista laskentatehoa omiin tarpeisiin. Piireissä ajetaan FreeRTOS-käyttöjärjestelmää. Myöhemmin P4-ohjelmoitavuus voidaan lisätä fabriciin. Ennen puhuttiin 10000-50000 palvelimen podeista, mutta nyt palvelintehojen kehityksen myötä Googlen isoimman kuorman ajamiseen tarvitaan ehkä vain muutama tuhat palvelinta. Työkuormaa pystytään pilkkomaan podien kesken, mutta se pystytään kuitenkin ajamaan tiiviin alueen sisällä. Aquila-fabricia esiteltiin NSDI22-konferenssissa. Kyse on kuitenkin vasta POC-tyylisestä testailusta, mutta Aquilasta voisi ponnahtaa markkinoille kaupallisia tuotteita esim. Broadcomin kautta. Epäselväksi jää voisiko Aquila hoitaa myös reititystä, jolloin sen vaikutus alalla voisi olla vieläkin merkittävämpi. Joka tapauksessa Google näyttää mihin SDN-verkko pystyy ja ajaa alan kehitystä eteenpäin.

Kytkinportin ajaminen äärimmäisen täyteen liikennettä on paljastanut, että laitteiden kellot eivät ole tarkkoja ja maksimiliikennemäärä voi vaihdella muutaman megabitin suuntaan tai toiseen. Ixian testerin ja kytkimen välillä 100G-linkin liikenne on vaihdellut välillä 99.999 Gbps- 100.001 Gbps ja epäsuhdasta johtuen paketteja tippuu matkalla. Tavallinen 40 ms virtuaalijono ei riitä puskurointiin, vaan vuotaa yli.

Tilastojen mukaan melkein kaksi miljoonaa 400G-optiikkamodulia on toimitettu konesalikäyttöön. Lyhyen matkan QSFP-DD-versiot olivat yleisimpiä, pitkän matkan ZR-koherenttimallia on toimitettu vain 60000 kappaletta. Tiesitkö, että valvontakameroiden infrapunanäkö on herkkä 850 nm -optiikan taajuudelle. Kameralla voit siis etsiä valoa vuotavia kuidunpäitä.

Juniper on yrittää ottaa johtoasemaa fotoniikassa ja perustaa yhteisyrityksen Synopsysin kanssa. Ala on niin erityinen ja nopeasti kehittyvä, että on parempi siirtää osaaminen ja kehitys omaan erityisyksikköönsä. Juniperilla on visio kolmen vuoden päähän toisen polven fotoniikasta, jossa laserit on sijoitettu suoraan piirille yhteispakatuksi optiikaksi. Fotoniikan avulla koko reititys ja liikenteen käsittely saadaan tehtyä piirin sisällä, mikä tehostaa toimintaa huomattavasti. Juniperilla voi olla ässä hihassaan pystyessään yhdistämään konesalin ja WAN:n tekniikan yhtenäiseksi pilviratkaisuksi, mutta teknologiamuutos ja markkinointi ei ole helppoa.

Levyliikennettä saadaan suoraviivaistettua ja nopeutettua NVMeoF-protokollalla ja ethernet-liitäntäisellä SSD-levyllä. Verkon suuntaan riittää 25G-portti. Kioxialta löytyy tällainen ethernet-liitännäinen levyjärjestelmä.

Nokian Bell Labs kertoo mitä avaruudessa vaaditaan laitteilta, jotta LTE-verkko saadaan pystyyn kuussa. Rakettimatkalla laitteisiin kohdistuu tärinää, joka voi rikkoa laitteen palasiksi. Laskeutuessa tömähtää niin, että laitteen pitää kestää törmäys. Tyhjyydestä seuraa epätavallisia oireita. LTE-osissa käytetään nesteitä, jotka tiivistämättä voivat alkaa kiehumaan. Kaasua vapauttaviat komponentteja on syytä välttää tai vähintään tunnistaa ne etukäteen.

Teollisuudessa yhden parin ethernet-kaapeli SPE yleistyy. Nopeus on gigabit-tasoa ja kantama 40 m. Nopeutta laskemalla matka kasvaa kilometriin. Yhden parin kaapeli on ohut ja kevyt, mutta silti PoE toimii sen yli. Trendforcen arviossa wifi6 ja 6E ottavat nopeasti vallan mobiililaitteissa lähivuosina. Käytännössä muutos on nopeaa, koska wifi4-laitteiden markkinaosuus on tippunut jo pari vuotta sitten nollaan.

IT-alalla on siirrytty yhä enemmän bloggaamisesta viihteellisempään materiaaliin, mikä on saanut pitkän linjan konkarit tuskastumaan. Viitsiikö enää mitään juttuja kirjoittaa, jos kukaan ei lue niitä. Kyllähän kollegat kuitenkin lukevat blogeja ja tykkäävät, mutta tunnustus ja palaute on olematonta. Siksi tuntuu, että eihän kukaan välitä ja mietityttää onko hommassa mitään mieltä. Ivan Pepelnjak kokoaa hyvät vinkit ja luo uskoa jatkamaan bloggaamista. Vertailut muihin kannattaa unohtaa ja jatkaa vaan omaa tekemistään.

Uravinkkejä ja näkökulmaa tarjoavat pari Twitter-threadia. 20 oppia verkkotietoturva-asiantuntijalta kertoo hyviä elämänviisauksia alalta. Muutoksissa kannattaa aina olla varasuunnitelma ja muutamia eskalaatiopolkuna valmiina. Joskus asiantuntijan roolina on olla vain terapeutti. Käy tapahtumissa ja päivitä niistä innostuksesi säännöllisesti. Vuorovaikuta pomojen kanssa kun siihen on mahdollisuus. Löydä helpot tavat tehdä töitä eli työskentele viisaammin. Joskus tarvitaan toinen ihminen selvittämään asia, puhuminen toiselle auttaa. Et tiedä ja osaa kaikkea, hyväksy se epämukava tunne. Työ ei lopulta muutu koskaan helpommaksi. Kuusi vuotta tekniikan myynnissä SE-roolissa on opettanut, että tarvitaan vahva tekninen osaaminen, mutta myös ymmärrys liiketoiminnasta ja toimialasta, jatkuvaa uteliaisuutta, esiintymiskykyä ja empatiaa. Työ voi olla toistavaa, vaikka toisaalta saa olla alan kärjessä. Tavoite on kuitenkin myydä ja aina ei myyntiin voi itse vaikuttaa. Asiakkaiden vastustusta on pystyttävä sietämään ja käsittelemään. 10 vinkkiä IT-haaastatteluun on jokaisen haastateltavan omaksuttava.

Dropbox on viimeiset vuodet kehittänyt DR-kykyään ja nyt testannut koko konesalin irrottamista verkosta. Ensinnäkin palvelut, jotka on rakennettu active-active -mallilla, pitää muuntaa active-passive -malliin, jotta vikavaihto voidaan tehdä konesalien välillä. Ennen testiä piti kehittää työkaluja ja prosesseja, mikä tarkoitti vikasietoisuuden perustoimintojen rutiinitestausta ja myös säännöllisempää pidempiaikaista testausta. Lisäksi operatiivisia prosesseja ja niihin liittyviä perusteita piti kehittää. Lopulta testiprosessi meni näin: ensin siirrettiin liikenne pois konesalista, poistettiin hälytykset ja automaattinen vikasietoisuus käytöstä, vedettiin piuhat irti ja tehtiin tarkistukset. Ja sama prosessi toimi toisinpäin palautettaessa. Testi onnistui globaalissa mittakaavassa häiriöttömästi ja San Josen metroalue saatiin poistettua hallitusti verkosta puolen tunnin ajaksi.

Jos vika ei ole verkossa, se on DNS:ssä. Mutta tässä Datadogin tapauksessa vika löytyikin paljon syvemmältä AWS:n, Kubernetesin, Ciliumin ja gRPC:n takaa, vaikka alkuun näytti, että DNS olisi syyllinen. Ongelman syyksi selvisi lopulta väärin toiminut RPF-tarkistus.

Google on julkaissut uuden operaattoreille tähdätyn Nephio-projektin, joka tähtää Kubernetes-automaatioon hajautetussa pilvessä. Sillä voisi esim. provisioida verkkotoimintoja monipilvialustaan. Alan ihmiset näkevät alustassa mahdollisuuksia, mutta telco-markkinaan tähtääminen ei historian valossa luo uskoa tulevaisuuteen. Nephion takana on kuitenkin kattava joukko operaattoreita ja valmistajia, joukossa myös Elisa. Google on myös vihdoin luovuttanut Istio service mesh -projektin CNCF:lle haudottavaksiCue-kielen mahdollisuudet verkkoautomaatiossa on tunnistettu ja sitä verrataan yamlittomaan Daggeriin. Michael Kashin on tehnyt esimerkkiautomaatiota Golla ja Cuella. Oletko miettinyt miltä infrakoodin pitäisi tuntua? No turvalliselta, vakaalta, ymmärrettävältä, nopealta ja kaikenkaikkiaan paremmalta. Scalefactoryn blogi kertoo miten tähän päästään.

Stefano Sasso on tehnyt Graphitella webbikäyttöliitymän netsim-toolsille. Sen avulla voi nyt visualisoida labraverkkotopologian kuten on voinut tehdä myös Containerlabilla.

Automaatiossa kyse on työnkulun ymmärtämisestä ja tehtävien järjestämisestä peräkkäin. Lähtökohta on perusteissa, ei työkaluissa. Verkon simulointi ja testaaminen toimii parhaiten mainospuheissa. Käytännössä oikeiden laitteiden ja esim. virtualisoidun labran välillä tulee aina jotain eroavaisuuksia. Suurin ongelma kuitenkin on konfiguraatioiden yhdenmukaisuus. Miten voit olla varma, että labrassa ja tuotannossa on samanlainen konfis ja vielä joka laitteessa? Automatisoinnin avulla.

Juniper on avannut Specialist-tason sertifikaatteihin liittyvät opiskelusisällöt ilmaisiksi. Samalla saa alennuskupongin testiin.

Yritykset ja tuotteet

Netoxin Trustcast on hyvä katsaus suomalaisen ICT-alan sisälle. Vieraana on laajasti erilaisia ihmisiä, joilta kuulee mitä yrityksissä ja alalla tapahtuu. Codeo on yksi palkka-avoimista yrityksistä ja on julkaissut tilastoja kehittäjien palkoista. Codeon palkkataso on toimialan ylimmässä 10%:ssa ja keskipalkka oli toissa vuonna 6652 €/kk. Kehittäjä saa noin 67% asiakaslaskutuksesta, joten laskutusta tulee n. 10000 €/kk/hlö. Maailmanlaajuisessa tutkimuksessa teknologia-alan naisten työtyytyväisyys on heikkoa. 82% ei ole tyytyväinen palkkaan ja koulutusmahdollisuuksiin. Suurin osa sanoo myös, että positiivinen kulttuuri puuttuu. Siksi alanvaihtoa tapahtuu paljon ja naiset lähtevät muille aloille parempien mahdollisuuksien perässä. Nokia aloittaa jälleen yhteistyön Metropolian kanssa ja lupaa suoran väylän koulusta työhaastatteluun. ICT-alalta valmistuu vuosittain alle 4000 henkilöä ja yritykset voisivat palkata 10000-15000, jos vain oikeaa osaamista löytyisi.

Kuukauden yrityskauppa oli Pensandon myynti AMD:lle 1,9 miljardin dollarin hinnalla. Pensando on ex-ciscolaisten perustama startup, toinen vastaava pienempi valmistaja on Fungible, joka on keskittynyt enemmän tallennusratkaisuihin. Pensando kilpailee DPU-valmistajana Nvidian, Intelin, Marvellin ja AWS Nitron kanssa konesalimarkkinassa. Pensando ei ole pieni yritys, mutta liian pieni pärjätäkseen yksin isoja vastaan. Pensando on ollut mukana Vmwaren hybridipilven Monterey-projektissa ja sen DPU integroitiin viime syksynä Aruban CX10000-kytkimeen. Pensandon DPU on 8-13 kertaa tehokkaampi kuin AWS Nitro, mutta sen tärkeimpiä ominaisuuksia ovat softalla muokattavat rautatoiminnot ja ekosysteemi mm. juuri Vmaren, HPE:n ja Netappin kanssa. Pensandoa on asennettu yli 100000 kappaletta Azureen, Oraclen ja IBM:n pilveen. Yritykset saavat nyt käyttöönsä samat toiminnot kuin pilvialustoissa on. Aiemmin AMD:n ostama Xilinx tekee kovan suorituskyvyn FPGA-SmartNIC:jä. Ongelma on vaan suppeat toiminnot ja FPGA:n ohjelmoiminen. Pensandon P4-ohjelmoitava pakettiprosessori on laaja-alaisempi ja paremmin muokattava, mutta siinäkin on mukana kovakoodatut kiihdytykset yleisimmille toiminnoille. Pensando on panostanut softaan ja API-rajapintoihin ja antaa näin käyttäjälle vapauden valita mitä toimintoja ottaa käyttöön. AMD lupaa jatkossa panostaa vahvasti Xilinxin ja Pensandon kehittämiseen. Korttien arkkitehtuuria on esitelty tarkemmin Serve The Homen sivulla. Arkkitehtuuri myös herättää kysymyksiä kilpailukyvystä.

Intel on ostanut Open Networking Foundationin (ONF) kehittäjät ja Ananki-yrityksen. Microsoft on luovuttanut Sonic-käyttöjärjestelmäprojektin Linux Foundationille. Dell on julkaissut uuden 4.0-version Sonic-käyttöjärjestelmästä yrityksille. Googlen on huhuttu katselevan Fastlya ostomielessä. Elisa Polystar ostaa Frinxin, joka on slovakialainen operaattoriautomaatiotoimittaja. Auvik ostaa Metageekin, joka on wifityökaluvalmistaja pienempiin ympäristöihin. Auvik täydentää keskikokoluokan verkonhalintatuotettaan wifi-osuudella ja se on tulevaisuudessa toimiva vaihtoehto esim. Cisco Primelle tai Solarwindille.

FortiOS 7.2 tuo julkisuuteen yli 300 uutta ominaisuutta mm. verkon ja tietoturvan yhdentymiseen ja tekoälyn hyödyntämiseen littyen. Cisco julkaisi 3100-keskisarjan uudet palomuurit, jotka on rakennettu FPGA:n ympärille kiihdyttämään Ipseciä ja TLS-yhteyksiä. Hallinta tarjotaan pilvestä. Broadcom julkaisi maailman ensimmäisen kokonaisen wifi7-piirisarjan, joka on sopiva monenlaiseen käyttöön.

Grafana Labs saa neljännellä rajoituskierroksella 240 miljoonaa dollaria, jolla se aikoo agressiivisesti kehittää uusia ominaisuuksia käyttäjien toiveiden mukaan. Entinen työntekijä on paljastanut Microsoftin käyttäneen satoja miljoonia vuodessa lahjomiseen Lähi-Idässä ja Afrikassa. Asian käsittely ei ottanut tuulta yrityksen sisällä ja asiasta puhunut työntekijä joutui lähtemään. Älykotituotteiden valmistaja Insteon on kadonnut mitään ilmoittamatta maailmankartalta ja lopettanut palvelunsa. Käyttäjät ovat jääneet tyhjän päälle.

Internetistä ja IP:n kehityksestä voi vetää johtopäätöksiä miten onnistunut järjestelmiä kannattaa suunnitella. Ominaisuuksissa kannattaa aloittaa minimaalisesti ja lisätä tarvittavia ominaisuuksia matkan varrella. Alustan tulisi olla avoin ja joustava, jotta sen päälle voidaan pidemmällä ajalla kehittää kulloinkin eteen tulevien tarpeiden mukaan erilaisia toimintoja. Kehitysnopeutta jarruttavat enemmän operatiiviset ongelmat kuin itse ominaisuuksien kehitys.

USA:ssa piirivalmistuksen lobbaamiseen on käytetty viimeisten vuosien aikana 100 miljoonaa dollaria. Ala on kasvanut voimakkaasti, samoin lobbausrahan käyttö. Vastapalveluksena lobaavat yritykset odottavat mehukkaita tukia uusille tehtaille. Espanja aikoo ottaa johtopaikan Euroopan mikropiirivalmistuksessa investoimalla 11 miljardia euroa alan kehitykseen.

Internet

Akateemisessa maailmassa hahmotellaan ratkaisuja Internetin parantamiseksi, ei ensimmäistä kertaa. Nyt USA:ssa suunnitellaan kokonaan uutta rinnakkaisinternetiä, jossa viive ja kapasiteetti saadaan paremmiksi. Uuden verkon peitoksi riittäisi 120 amerikan suurinta kaupunkia, joilla saataisiin 85% väestöpeitto.  Internetin kapasiteettia onkin saatu jo hyvin kasvatettua, mutta viiveen alentaminen on vaikeampi juttu. Tavoite projektilla on päästä hyvin lähelle valon nopeutta, johon kuitu ei olekaan hyvä ratkaisu. Operaattorit kun vetävät kuidut mutkitellen ja eivät välttämättä reititä liikennettä fyysisesti suorinta reittiä. Kuitu ei edes ole nopein siirtomedia. Siksi ratkaisuksi on valittu nopeampi langaton mikroaaltolinkki. Toinen uudistus on käyttää kahta rinnakkaista linkkiä, joista toinen hoitaa isoa kapasiteettia ja toinen alhaista viivettä. Algoritmillä valitaan kumpaa linkkiä käytetään. Nopeuttamalla 10% webbiliikenteestä voi olla valtava hyöty sovelluksille. Ratkaisu on kuulemma myös kohtuullisen kustannustehokas, mutta vaikea uskoa, että tästä mitään kovin merkittävää syntyisi tässä muodossa ainakaan.

Ripe on tutkinut sisältöjättien jalanjälkeä niiden omien verkkojen ulkopuolella. Viisi suurta sisältöpalvelua tuottavat nyt puolet internet-liikenteestä, kun kymmenen vuotta sitten siihen tarvittiin 150 eri ASN:n liikenne. Sisältöjätit levittävät palvelujaan toisten verkkojen sisään CDN-palvelimillaan ja näkyvyys niihin on ollut heikkoa. Tutkimus on yrittänyt selvittää kuinka paljon tällaista off-net -palvelua verkoissa on. Menetelminä on käytetty IP-osoitteita ja salatun liikenteen myötä on myös sertifikaateista saatu suht luotettava tietolähde. Tuloksena on, että Google on levittänyt palvelunsa lähes 4000 ASN:ään ja Facebook ja Netflix seuraavat samaa mallia, vain pari vuotta jäljessä. Akamain suunta on laskussa kun muut menevät lineaarisesti ylöspäin. Keskimäärin Facebookia käytetään noin puolet FB:n verkon ulkopuolisilta palvelimilta. Tosin alueittain ja palveluittain vaihtelua on paljon. Facebook on panostanut paljon kehittyville alueille, joissa sillä ei ole omaa verkkoa.

Uusi merikaapelikartta on julkaistu. Nyt kartalla on 486 kaapelia ja 1306 maihinnousupaikkaa. Google on vihdoin julkistanut Topaz-kaapelihankkeen Kanadasta Japaniin. Se on Googlen kahdeskymmenes merikaapeli. Kaapelissa tulee olemaan 16 kuituparia ja 240 Tbps -kapasiteetti. Valmista pitäisi olla 2023.

Lähi-Idän konesali- ja IXP-kentällä tapahtuu. Equinix rakentaa konesalin Omaniin, Edgnex Saudi-Arabiaan ja Glocal Cloud Xchange laajentaa verkkoaan Omaniin. LINX laajentaa Saudi-Arabiassa, DE-CIX kumppanoituu Irakissa ja AMX-IX Egyptissä.

Refactoring on uusi tekniikka internetsensuurin kiertämiseksi. VPN-yhteyksien kissa-hiiri -leikin sijaan, ystävällisten operaattorien verkon keskelle sijoitetaan proxyjä, joihin sensuuri ei pääse kiinni muuten kuin blokkaamalla pääsyn koko operaattorin verkkoon. Se taas haittaisi laajasti kaikkea käyttöä ja sensuroijaa itseäänkin ja olisi kalliimpaa toteuttaa. Refaktoroinnille on kehitetty viisi protokollaa ja avain alustan pyörittämiseen on pakettimonitorointikyky suurilla nopeuksilla. Paketeista tutkitaan refaktorointi-clientien luomia piilotussignaaleja, joista nähdään halu päästä blokatulle sivulle ja liikenne pystytään välittämään oikealle palvelimelle. Refaktorointialustaa pyörittävät voittoa tavoittelevat tahot. Käyttäjiä on miljoona ja proxyjä kolmella keskikokoisella operaattorilla. Lisää osallistujia kaivataan.

Microsoft on integroimassa Cloudflaren VPN-toiminnon Edge-selaimeen. Edgen Secure Network mode vaatii kirjautumisen Microsoft-tilille ja yksi gigatavu dataa kuukaudessa on ilmaista. Ylimenevästä osasta laskutetaan.

Brasiliassa on yleistynyt laajakaistayhteyksien kaappaus. Suurimmissa kaupungeissa rikolliset ovat ottaneet verkot omaan haltuunsa ja pyörittävät mafiabisnestä toisten verkolla. Kymmeniä tuhansia käyttäjiä on pakotettu käyttämään epäluotettavaa verkkoa ja käyttömaksut kerätään ovelta ovelle. Samaa mallia on käytetty myös kaasun, veden ja muiden perushyödykkeiden kanssa. Nyt voi sanoa, että internet on päässyt perushyödykkeeksi muiden joukkoon.

USA on julkaissut internetin tulevaisuusjulistuksen. Allianssimallista on siirrytty julistukseen ilman jäsenyysvaatimuksia. Sisältö on päätasolla avoin, ilmainen ja maailmanlaajuinen internet. Julistuksessa sitoudutaan takamaan ihmisoikeudet ja vapaus, tasapuolinen pääsy kaikille, luottamus digitaaliseen ekosysteemiin, globaali yhteensopivuus ja hajautettu hallinto. Viittaukset Kiinan eristämiseen on poistettu ja julistuksesta tulee nyt heikompi, mutta geopoliittisesti yhtenäisempi. Kiina ei silti ole tyytyväinen kun Taiwan on allekirjoittanut julistuksen. Yhteensä noin 60 valtiota, Suomi mukaan lukien, on hyväksynyt julistuksen. Mukana ei kuitenkaan ole Kiinan lisäksi myöskään Brasilia, Chile, Intia, Etelä-Korea, Sveitsi tai Norja.

Tapahtumat

NSDI22-esitykset tarjoavat syvätietoa verkkojärjestelmien suunnittelusta ja toteutuksesta.

Kuukauden tuotteistus

Uusia innovatiivisia tuotteita ja totuus tuotteiden takaa paljastuu Forward Networksin sponsoroimissa mainoksissa. Miten olisi biohartsista ja maissipolymeereistä valmistettu ympäristöystävällinen vegaaninen, gluteeniton ja GMO-vapaa reititin, joka kompostoituu 90 päivässä? Entä hot swap -diili, jossa pizzatilauksen mukana saat Cat6500-powerin? Tai Survira RX -inhalaattori, jolla selviät pieleen menneistä verkkomuutoksista? Kun perinteinen palomuurinäkyvyys ei riitä, avuksi tulee Ampli-firewall, jolla liikennettä voi havainnoida myös äänien avulla. Ensimmäinen verkkovikani -lelun avulla voi kokea ongelmaselvityksen ilon jo ensimmäisinä elinvuosina.

[FI] Tietoliikennealan katsaus 2022-03

Ukrainan sota

Sodan myötä kyberhyökkäyksiä on tehty puolin ja toisin. Venäjän isoimmat hyökkäykset kaatoivat Ukrtelecomin palvelut laajasti, mutta vain hetkeksi. Yhteensä viikon aikana iskettiin Ukrainan 60 kertaa, enimmäkseen hallinnon palveluihin. Suurin osa Ukrainaa vastaan tehdyistä hyökkäyksistä on tiedon keräämistä. Ukraina on ainakin omin sanoin selvinnyt iskuista hyvin ja vaikutukset ovat jääneet pieniksi. Venäjä uhkaa sitä vastaan hyökkääviä kovilla seurauksilla.

Ukrainan johdolla Venäjä on haluttu eristää internetistä, mutta asia ei ole mitenkään suoraviivainen. ICANN ja RIPE kommentoivat, että on pysyttävä neutraalina ja erottamista ei voi tehdä, jotta organisaatioiden prosessit pysyisivät toimivina. Myös yhteisö on kommentoinut mitkä ovat sopivia sanktioita. Parempi tapa voisi olla luovuttaa .ru-domain uudelle omistajalle. Kaupalliset toimijat voivat tehdä vapaammin toimenpiteitä liiketoiminnalleen.

Operaattoreista Cogent ja Lumen sanoivat katkaisevansa yhteydet Venäjältä. Lumen on suurin kansainvälinen operaattori Venäjällä. Todellisuus on kuitenkin tässäkin paljon epäselvempi. Internet ei tunne maiden rajoja ja venäläiset operaattorit voivat peerata muualla. Ilmoituksista huolimatta katkojen toteutus tuntuu olevan vähän niin ja näin. Näyttää, että palveluiden katkaiseminen ei ole vaikuttanut Venäjän yhteyksiin juurikaan, vaikka Cogentin liikenne on oikeasti nollassa joidenkin operaattorien välillä. Venäjän internet on hyvin verkottunut ja kestävä. Yhteenvetona RIPE kertoo, että tier-1 -operaattoreista Arelion jatkaa Venäjällä verkottuneimpana, vaikka on poistanut 13 peeriä maaliskuun aikana. Lumen ja Cogent ovat tiputtaneet 7-8 peeriä molemmat. Venäjän tilanne heijastuu myös naapurimaihin. Lontoon LINX on päättänyt erottaa Megafonin ja Rostelecomin yhdysliikennepisteestään, vaikka sekin myöntää, että katkoilla on negatiivisia vaikutuksia ihmisten elämään.

Ukrainassa on arviolta 32 kansainvälistä kuitua tarjoavaa operaattoria. Kuvia kuitureiteistä löytyy Telegeographyn blogista. Cloudflare kertoo oman alustansa kautta tilanteen Ukrainan liikenteestä ja hyökkäyksistä. RIPE Atlas-mittausten perusteella Ukrainan internet näyttää voivan hyvin. Liikenteen määrä on tippunut normaalista. Thousandeyes on myös analysoinut tilannetta. Venäjä pommitti Ukrainan mobiiliverkon mastoja, mutta samalla meni heidän omien Era-kryptopuhelimien yhteydet, jotka toimivat 3G/4G-verkoissa. BBC toi takaisin lyhytaaltoradiopalvelun, jolla saadaan uutisia Ukrainaan.

Valmistajat ovat yksi toisensa jälkeen lopettaneet toimitukset Venäjälle. Myös pilvialustoista ainakin AWS ja Microsoft ovat lopettaneet palveluiden myynnin. Nyt kuitenkin on selvinnyt, että Nokian tuotekehitys on jatkunut Pietarissa ja Moskovassa ja 200 työntekijän yksiköiden töitä ei ole missään vaiheessa keskeytettykään. Vetäytyminen ei ole helppoa ja suoraviivaista kansan kiivaista vaatimuksista huolimatta. Venäjän liiketoiminta on esim. Microsoftilla, Nokialla ja Ericssonilla noin 1% kokonaisliikevaihdosta. Venäläisten ainoaksi vaihtoehdoksi ovat jääneet kiinalaiset valmistajat, joita toistaiseksi on saatavilla. Huawei onkin suurin toimittaja sekä Venäjän että Ukrainan markkinoilla. Samsung on lopettanut puhelintoimitukset, mutta on odottavalla kannalla verkkolaitteiden osalta. USA:ssa 30 ryhmittymää on lähettänyt kirjeen presidentille, jossa vedotaan, että amerikkalaiset teknologiayhtiöt eivät estäisi internet-palveluitaan venäläisiltä. USA:ssa Kaspersky on päässyt FCC:n kieltolistalle yhdessä China Mobilen ja China Telecomin kanssa.

Samaan aikaan Venäjä on myös itse alkanut pakon edessä eristää itseään suojellakseen toimintojaan ja pitääkseen kansan otteessaan. Silti sen tarkoituksena ei ole täysin eristäytyä internetistä. Hallitus on määrännyt kaikki verkkosivustot kotimaiseen verkkotunnusjärjestelmään, asentamaan selaimiin oman root CA:n, kaikkien operaattoreiden on käytetävää SORM-valvontajärjestelmää, verkkolaitteiden valvonta- ja flow-tiedot pitää lähettää valtiolle, kyberjoukoiksi kerätään isänmaallisia kehittäjiä ja viimeisimpänä käänteenä kaikki ulkomaiset laitteet ja ohjelmistot kielletään vuoden 2025 alusta. Tulevaisuus näyttää tosi epävarmalta ja vaikealta.

Yandexia uhkaa vararikko ja pakotteiden alle joutunut toimitusjohtaja on lähtenyt yrityksestä. Julkisen sektorin IT on ongelmissa kun laitteita tai ohjelmia ei saa ja kysyntä on kasvanut ulkomaisten toimijoiden sulkeutuessa. Nyt yritysten resursseja suunnitellaan otettavaksi haltuun, jotta jatkosta selvittäisiin. Resurssit riittävät ehkä pariksi kuukaudeksi kun esim. valvontakameroiden tallenteet vievät jatkuvasti enemmänä resursseja. Venäläisasiantuntijoiden mukaan Venäjä ei välttämättä selviä yksinään. 5G-verkkojen käyttöönotto menee jäihin, laitteet loppuvat vuoden sisällä, vielä saatavien laitteiden hinnat ovat nousseet 40% ja 50000-70000 asiantuntijaa on lähtenyt maasta ja seuraavat 100000 voivat olla jo jonossa.

Mikrotik puolestaan on toimittanut laitteita Ukrainan avuksi. Venäjänkaupan peli on aika pitkälle pelattu, mutta mitä käy kiinalaisten kanssa? Länsimaat ja Kiina saavat olla varpaillaan kauppapolitiikan kanssa. ZTE-vuotaja on epäillyt, että Kiina ei voi vastustaa Venäjän bisnestä kun paikallinen kulttuuri ja tulkinta laista on hyvin erilainen kuin länsimaissa. Suomessa Mäntsälä saa kokea Yandex-riippuvuuden vaikutukset kaukolämpötuotannossa. Riskiketjut voivat olla pitkiä ja epäsuoria. Pitkään riskaabelia ollut Venäjän ja Kiinan liiketoiminta näyttää nyt luonteensa. Mielenkiintoinen yksityiskohta on, että Valko-Venäjän .by-juuripalvelimista kaksi viidestä näytti olevan AWS:ssä hostattuna. Globaali pilvi voi tuntua turvalliselta vaihtoehdolta, mutta niinpä vaan nyt on nähty yllättäviä ja äkkinäisiä käänteitä, joita ei vielä pari kuukautta sitten olisi uskonut tapahtuvan.

Ongelmat

Ukrainan tilanne heijastuu koko maailmaan. Avoimen koodin kehittäjät ovat hyökänneet Venäjää vastaan sabotoimalla node-ipc -paketin, jota käytetään suosituissa kirjastoissa. Nyt kehittäjät ovat kauhuissaan toimitusketjuhyökkäyksen vaikutuksista ja surevat syntynyttä vahinkoa koko yhteisölle.

Suomessa nähtiin maaliskuun alussa GPS-häirintää laajasti itä-rajan alueella ulottuen Jyväskylään asti. Syyttävä sormi osoittaa Venäjälle, mutta mitään selvyyttä ei asiaan saatu. Häirintä tietyllä taajuudella osuu kaikkiin navigointijärjestelmiin ja vaikutus näkyy selvimmmin yleisimmin käytetyssä GPS:ssä. Mobiiliverkot eivät ole alttiina häiriöille, vaikka aikasynkronointi nojaa satelliittilähteisiin. NTP ja PTP-kellot kuitenkin pysyvät ajassa muiden lähteiden ja omien kellojensa avulla. GNSS Finland tarjoaa valvontanäkymää satelliittisignaaleihin.

KA-SAT -satelliittiterminaalit lakkasivat yhtäkkiä toimimasta sodan alkupäivänä laajasti eri maissa Euroopassa. Tapauksesta ollaan oltu melko vaitonaisia. Ainakin Saksan Enercon menetti n. 5800 tuulivoimalan ohjausta, jotka oli rakennettu satelliittiyhteyksien varaan. Viasat-Eutelsatin laajakaistayhteydet lakkasivat toimimasta. Arviolta 9000 asiakasta ja kymmeniä tuhansia terminaaleja on joutunut uhriksiVenäläis-kenraali itse kertoi kyberiskusta, joiden kohteena on Ukrainan satelliittiyhteydet, mutta vaikutus levisi samalla muualle Eurooppaan. Mahdollisiksi skenaarioiksi pohdittiin DDoS-iskua, radiopulssia, nollapäivähaavoittuvuuden hyväksikäyttöä tai hyökkäystä maa-asemaa vastaan. Terminaalit muuttuivat tiiliskiviksi. Viasat vahvisti myöhemmin, että hyökkäys tehtiin terminaalien hallintajärjestelmän kautta. Joka tapauksessa terminaalit on saatu toimimattomiksi ja palautuminen on hankalaa. Osa laitteista on saatu palautettua ilmapäivityksen kautta, osa joudutaan päivittämään paikan päällä tai vaihtamaan kokonaan. Starlinkiltä on tietysti myös kysytty miten se selviytyisi satelliitteihin kohdistetusta ohjusiskusta. 2000 satelliittia on hankalaa ja kallista ampua ohjuksilla, mutta ehkä tuhoamiseen on helpompiakin tapoja.

Nordea ja muutaman suomalaispankki joutui palvelunestohyökkäyksen kohteeksi usean päivän aikana sodan aloituksen jälkeen. Muuten hyökkäysrintamalla oli hiljaista, mutta nyt on selvästi parempi kuva mitä todennäköisesti on tulossa jatkossa.

Googlen pieleen mennyt Traffic Directorin päivitys 8.3.2022 aiheutti laajaa hämminkiä eri palveluissa noin kahden ja puolen tunnin ajan. HTTP 500 server erroria näkyi monessa palvelussa. Yleisesti häiriömittarina käytetty Downdetector ei välttämättä anna oikeaa kuvaa tilanteesta, koska se ei mittaa oikeaa palvelua, vaan käyttäjähavaintoja. Parempia mittareita ovat Thousandeyes, RIPE Atlas, Kentik ja uutena tulokkaana avoimempi Cloudflare Radar, josta jokainen saa kaivettua yleistietoa.

Brittein saarten helmikuun myrskyt tuhosivat laitteita ja mastoja aiheuttaen laajoja yhteyskatkoja. Openreachilla oli kymmenen kertainen määrä eli 7000 vikaraporttia vuorokaudessa. Myrskyjen jäljiltä piti vaihtaa 650 tuhoutunutta mastoa.

Taiwanissa oli 3.3.2022 sähköverkon häiriö saaren eteläosassa ja sen myötä internet-yhteydet katkesivat laajasti vaikuttaen yli viiteen miljoonaan kotitalouteen. Iranissa konesalipalo Telecom Infrastructure Companyn tiloissa katkaisi yhteyksiä mm. Teheranin alueella. Liikenne tippui molemmissa tapauksissa noin 70%:iin normaalista.

Vuosi sitten tapahtuneen OVH:n Strabourgin SBG2-konesalin tulipalosta on valmistunut palokunnan selvitys. Kritiikki on kovaa: tiloissa ei ollut automaattista sammutusjärjestelmää eikä sähkön pääkytkintä. Sähköhuoneessa oli puukatto, jonka palonkestävyys oli vain tunti, sähkökanavia ei ollut eristetty ja ulkoilmaa käyttävä vapaajäähdytys lisäsi palon voimaa. Paikalle tulleet palomiehet näkivät metrien mittaisia valokaaria ja pelkän sähkön pois saaminen kesti kolme tuntia. Palokunnan raportissa on myös kuvia paikasta ja tietoa tilanteen etenemisestä. Tapauksen jälkeen yli 130 asiakasta on nostanut joukkokanteen OVH:ta vastaan tilanteen huonosta hoitamisesta.

Operaattorit ja 5G

New York Times hyökkäsi Nokiaa vastaan SORM-vakoilulaitteista Venäjän mobiiliverkoissa. Nokia vastasi rajaamalla selkeästi itsensä pois valvontaominaisuuksien käytöstä. Kuuntelurajapinta on pakollinen laitteissa ja valmistaja ei vastaa sen käytöstä eikä ole mukana toteuttamassa vakoilua. Tommi Uitto vielä selventää asiaa HS:n haastattelussa. Ericsson rypee lahjusskandaalissa, osakkeiden arvo on tippunut 25% ja Vonage-kauppa on vaakalaudalla. Börje Ekholm on ottanut vastuun ja haluaa palauttaa terveen yrityskulttuurin taloon. Ekholmilla on hallituksen luottamus, vaikka osakkeenomistajat ovat vaatineet eroa.

Mobile World Congress saatiin pidettyä Barcelonassa noin 60000 vieraalla. O-RAN oli tietysti vahvasti esillä yhdessä metaversumin kanssa. O-RAN -markkina kasvaa, mutta liikevaihtoa merkittävämpää on kuka ostaa ja missä. Suurimmat ostajat ovat Rakuten Japanissa ja Dish USA:ssa. Markkina on toistaiseksi siis uusissa toteutuksissa. Kehitys ei etene samaan tahtiin perinteisen maailman kanssa. Uusia valmistajia on ainakin 20 ja yhdistymistä on odotettavissa. Mavenir on kasvanut jo 5500 hengen yritykseksi, joka toimittaa yhtä monta paketti-corea kuin Ericsson. Vodafone Portugal on valinnut Mavenirin pilvinatiiviksi paketti-coreksi. Rakuten on ostanut Robin.io:n vahvistaakseen telco-pilven osaamista. Mukana tulee yli 70 patenttia.

O-RAN:n käytännön toteutus vaatii kiinteämmin integroitua kokonaispakettia. Uusien valmistajien on aika näyttää konkrettisia tuloksia ratkaisuillaan. Ihan perinteisten valmistajien tasolla ei tarvitse olla, mutta lähellä, jotta toimivuus ja laatu saadaan riittäväksi toimivaan toteutukseen. Vodafonella O-RAN olisi käytössä 30% saiteista 2030 mennessä. Määrä olisi lopulta 30000 saittia, vaikka 2027 suunnitelmissa on vasta 2500 O-RAN -saittia. Vierailu Dishin 5G-saitilla valaisee hieman konkreettisemmin minkälainen on verkon tekniikka ja ympäristö. Operaattori-infran valmistajien kärjessä keikkuu Cisco suurimmalla kasvulla Samsungin, Microsoftin, ja AWS:n edellä. Huawei on menettänyt osuuttaan eniten.

Metaversumin osalta kukaan ei ole osannut selittää miksi se olisi hyvä juttu operaattoreille. Vaatimukset ovat juuri niitä, missä mobiiliverkot ovat olleet huonoja tekniikaltaan ja liiketoiminnaltaan. Dataa pitäisi pystyä jakamaan ja verkon laatua mittaamaan ja optimoimaan koko teknologiakerroksen osalta ilman erillisiä siiloja. Metan Dan Rabinovitsj on kuvannut mitä verkolta vaaditaan. Nopea symmetrinen yhteys alle 10 ms viiveellä on peruslähtökohta. 4K-video ei riitä ja isoja tiedostoja joudutaan siirtämään, joten pakkausalgoritmejä joudutaan kehittämään paremmiksi. Kokonaisvaltaisen reaaliaikaelämyksen takia vaaditaan koordinaatiota verkon ja muiden komponenttien välillä, ja ohjelmiston pitää sopeutua verkon ja käyttäjän kulloisiinkin olosuhteisiin.

Kaikenkaikkiaan tulevaisuudessa vaaditaan suuria parannuksia verkon tasoon. Operaattorit eivät voi yksin maksaa lystiä ja verkon neutraliteetti on entistä kovemmilla. Orangen laskelmien mukaan Ranskassa riittää tällä hetkellä alle kymmenen konesalia ympäri maata, mutta metaversumi ja muutaman millisekunnin viive voi vaatia selvästi enemmän. Radioverkossa yritetään ratkoa symmetrisen yhteyden ongelmaa DmMIMO-tekniikalla. AT&T ja Nokia  kehittävät tekniikkaa, jolla saadaan uplinkin nopeus nostettua 60-90% suuremmaksi. Operaattorien etenemistä sanelee kuitenkin liiketoimintamahdollisuudet. Verizonin suunnitelma etenemisjärjestyksessä on kiinteä laajakaista ensin, sitten edge ja lopuksi metaversumi.

Etelä-Korea johtaa maailman 5G-tilastoissa 319 käyttäjällä 5G-tukiasemaa kohti. Kinalla on 1531, USA:lla 6590 ja EU:lla 3988 käyttäjää tukiasemaa kohti. USA kuitenkin loistaa 5G-saatavuudellaan eli on ykkönen siinä kuinka kauan käyttäjät viipyvät 5G-verkossa. Kiinassa taas on eniten 5G-käyttäjiä, yhteensä 355 miljoonaa, kun USA:ssa on vain 50 miljoonaa. Kiinassa on otettu käyttöön lähes miljoonaa 5G-tukiasemaa, mikä on yli 60% kaikista maailman tukiasemista ja melkein kymmenkertainen määrä EU:hun.

Yksityisverkoista odotetaan paljon ja niihin panostetaan. Analyytikot ennustavat käyttöönottojen kymmenkertaistuvan viiden vuoden aikana. Kokonaismäärä on yli 1000 verkkoa, joista ehkä 200-300 on 5G:tä. 5G:tä lähinnä kokeillaan tässä vaiheessa ja se lähtisi ennusteiden mukaan lentoon muutaman vuoden päästä. Nokialla on yli 380 yksityisverkon asiakasta, joista kuitenkin vain 75 käyttää 5G:tä. Käytännössä mobiiliverkot elävät yhdessä yritys-wifin kanssa rinnan, mutta se ei riitä kaikkiin tarpeisiin esim. OT-maailmassa. Mobiiliverkossa kehitys luotettavuuden, lyhyen viiveen ja suurten koneyhteysmäärien osalta on ollut hidasta, mikä on vesittänyt operaattorien viestiä, samalla kun yritykset kuumeisesti odottavat luvattujen 5G-toimintojen konkretisoitumista.

Yritykset eivät kuitenkaan välitä varsinaisesti tekniikasta, vaan haluavat yhteyksiä sopivilla ominaisuuksilla ja hinnoilla omiin käyttötarkoituksiinsa. Yhteys itsessään ei ole ratkaisu, vaan yhteyden pitää ratkaista liiketoimintaongelmia laajemmin. Operaattoreilla on ongelma kun ne ovat ulkoistaneet omia IT-toimintojaan. Kuka haluaisi ostaa sellaiselta toimijalta IT-ratkaisuja. Siksi osa operaattoreista nyt käynnistelee innovaatioyhteistyötä saadakseen enemmän irti 5G:stä. Pessimistisesti ajateltuna 5G-hype on lähtenyt lapasesta ja operaattori voi tuhota koko 5G:n omalla saamattomuudellaan.

AT&T on sulkenut 3G verkkonsa helmikuussa ilman suurempaa sensaatiota. Ongelmia kuitenkin odotellaan kun miljoonat laitteet jäivät ilman yhteyttä. Osa niistä kuitenkin saatiin roamaamaan T-mobilen verkkoon. Uusilla valmistajilla on ongelma vanhan tekniikan kanssa, koska 2G pitäisi olla tuettuna samoissa verkoissa 4/5G:n kanssa. Samsung esim. ei tue 2G:tä ja se on Vodafonelle ongelma, koska se ei halua ajaa rinnakkaisia verkkoja. Nokia mainostaa tukevansa rinnakkain kaikki 2-5G:tä. 5G release 17 on lukittu standardoinnissa ja se on välivaihe ennen release 18:aa, joka aloittaa 5G Advanced -ominaisuuksien tulon markkinoille. BT:n Howard Watson kertoo, että 6G:ssä todennäköisesti käytetään 20-30 vuotta vanhaa OFDM:ää, koska parempaakaan ei ole kehitetty. 5G:n myötä on saavutettu yhteysteknologian kyllästymistaso, joten huomio pitää nyt kiinnittää enemmän palveluihin. Jatkossa verkot ovat paljon enemmän ohjelmistopohjaisia ja millimetriaallot, tai jopa terahertsin taajuudet, saavat 6G:n elämään. Kysymys on siitä miten nämä erittäin lyhyen kantaman taajuudet saadaan valjastettua hyötykäyttöön.

Mm-aallot on yksi 5G:n tuomista ominaisuuksista. Myyntipuheita on jouduttu tarkentamaan ja nyt parhaaksi kohteeksi kuvataan 1000-3000 käyttäjän tiheät alueet. Esim. Pariisin juna-asemalla gigatavun hinta on 75% alempi kuin alemmilla taajuuksilla toteutettuna ja takaisinmaksuaika on alle neljä vuotta. Siispä optimaatiset käyttökohteet ovat liikenteen solmukohdissa ja tapahtumapaikoilla. Käyttöä pyritään laajentamaan toistimilla. MM-aallot toimivat myös hyvin runkoyhteytenä pienempiin kyliin ja saariin, mutta myös tunneleihin. Ericssonilta on tullut mobiiliyhteyden turbonappi, jolla voi buustata yhteyttä tarpeen mukaan tehokkaammaksi. Käyttäjät ovat Ericssonin mukaan valmiita maksamaan paremmasta käyttökokemuksesta ja tällä avoimella ratkaisulla voidaan pilvihallinnan kautta innovoida uusia sovelluksia. Microsoft näkee mobiilin ja kiinteän verkon yhdistymisen sovellusten kannalta. Teams voi jatkossa palvella puhelinnumeron kanssa yleisviestimenä välittäen puheluita ja tekstiviestejä.

5G:ssä luvataan siirtokerroksen viipalointia, jota voi tehdä pehmeästi tai kovasti. Kova viipalointi on paluu tiukkaan piirikytkentäisyyteen kuin ennenvanhaan SDH-maailmassa. Pehmeässä viipaloinnissa käytetään pakettiverkon ominaisuuksia kuten MPLS:ssä. Kyselyssä yli puolet operaattoreista käyttää molempia tapoja, mutta pehmeä tapa on selvästi yleisempi ja siihen tarkoitukseen Segment Routing on tullut jäädäkseen. SR:n etuna on yksinkertaisuus, jossa turhat protokollat on karsittu pois, mutta silti sillä pystytään tekemään liikenteenohjausta ja viipalointia käyttötarpeen mukaan. Infineran Node-on-a-Blade -ratkaisu käsittääkseni taas edustaa kuidun viipalointia, jota se kehittää Windstreamin kanssa.

Edge-hype on kovaa, mutta sovellusten puuttuessa kehitys on lässähtänyt. Kyse ei ole pelkästään pienestä viiveestä, vaan myös uusista hajautetuista sovelluksista. Niiden kehittyminen on ollut hidasta ja takkuista. Julkisilla pilvillä on laaja vaikutus edgessä, mutta samalla yritykset pelkäävät liikaa sitoutumista tiettyyn pilvialustaan. Nokia on laajentanut edge-infran hallintaan Adaptive Cloud Networking -ratkaisullaan, käyttäjinä mm. Elisa. Nokialta tuli myös kiinteän verkon SDN-kontrolleri Altiplano, jolla voi ohjata kuitu- ja kupariverkkoja. Huawei laajentaa kuidun tuomista joka huoneeseen FTTR-ratkaisullaan. Siihen kuuluu erikoiskuitu ja reitityslaite, joilla asennukset saadaan tehtyä.

Telia ja Ericsson ovat tutkineet eurooppalaisten operaattorien sähkönkulutusta vuosina 2015-2018. Verkoissa siirretty datamäärä kasvaa, mutta tilaajamäärä ja energiankulkutus pysyvät samoina. Mobiiliverkko syö selvästi eniten sähköä, kiinteä laajakaista ja puhelinverkko vain puolet siitä, ja muut runko, konesalit ja toimipisteet vielä näistäkin vain puolet. Teknologian muutos on kuitenkin kokonaisvaltainen ja sähkönkulutuksen mittaus ei ole kovin selvärajaista. Uudet teknologiat ovat joka tapauksessa energiatehokkaampia.

Huawein alamäki jatkuu kun liikevaihto tippui lähes 30% viime vuodesta. Verkkolaitemyynnissä on tapahtunut 50% pudotus, jota osattiin odottaa. Kansainvälisten markkinoiden hiipuminen saattaa olla ongelma, koska Kiinan 5G-verkkojen rakennus on nyt pysähtynyt paikalleen ja kysyntä on heikkoa. Yritysyksikön edellisvuoden hyvä kasvu on mennyttä. Myynnin kustannuksia on pystytty leikkaamaan jopa 42%, mutta samaan aikaan tuotekehitykseen käytetään eniten rahaa kymmeneen vuoteen. Kahdessa vuodessa on leikattukin 10000 työpaikkaa kehityksestä, mutta silti jäljellä on 107000 kehitystyöntekijää, mikä on lähes 55% koko 195000 työntekijästä. Kanadassa pidätetty talousjohtaja Meng Wanzhou palasi takaisin Kiinaan töihin.

Helium sai 200 miljoonan dollarin sijoituksen ja nimeää itsensä uudelleen Nova Labsiksi. Rahoilla kehitetään hajautettua Helium-verkon ekosysteemiä. Globalconnectin oma kuituverkko pohjoismaissa ja Saksassa on laajentunut 100000 kilometriin. Telenor on pääsemässä irti Myanmarista kun juntta on hyväksynyt kaupan M1-ryhmälle ja sen paikalliselle kumppanille. Toimitusjohtaja Sigve Brekke on surullinen lähdöstä pakon edessä ja siitä, että irtautuminen jouduttiin tekemään pelkkien huonojen vaihtoehtojen mukaan.

Historiakatsauksessa kerrotaan New Yorkin salakuuntelumaailmasta 50-luvulla. Salakuuntelulaki oli kirjoitettu jo 1892, mutta se ei menoa hidastanut. Manhattanin keskikaupungilla 55th Streetin asunnossa täpättiin reilussa vuodessa 50000-100000 tilaajaa. Asialla olivat entiset puhelinyhtiöiden miehet, joiden kerrottiin saaneen 250 dollaria päivässä. Uudet induktiokuuntelumenetelmät eivät edes vaatineet fyysistä pääsyä linjaan, mikä helpotti hommaa. Virastojen salakuuntelu sai jatkua 70-luvulle asti rauhassa.

Pilvi ja konesali

AWS on avannut blogissaan Dishin 5G-verkon toteutusta. Ehkä tätä voi käyttää referenssitoteutuksena muihinkin ympäristöihin, koska samoja AWS:n peruspalveluita on käytössä kaikille. AWS:n S3 täytti 16 vuotta. Nyt palvelussa on yli 200 biljoonaa (10^12) objektia ja palveluun kohdistuu 100 miljoonaa pyyntöä sekunnissa. Näillä määrillä GET-pyyntöjen hinnaksi tulisi 40 dollaria sekunnissa, 144000 dollaria tunnissa ja 3,5 miljoonaan dollaria päivässä. OVH on nostanut EU:ssa kartellisyytöksen Microsoftin Azuren hinnoittelusta, joka kytkeytyy Office-tuotteiden käyttöön.

Google on nostanut pilvipalveluidensa hintoja, mikä on nostattanut kuumia tunteita. Perussääntönä pilvessä on ollut, että hinnat eivät nouse. Nyt kuitenkin esim. tiedonsiirtomaksut on hilattu AWS:n tasolle, mikä heijastuu suoraan käyttökustannuksiin. Valitut sovellusarkkitehtuurit eivät välttämättä ole enää optimaalisia kustannusten kannalta. Google on tehnyt myös muita lyhytnäköisiä päätöksiä esim. siirtämällä kaikki ennen ilmaiset G Suite -sovellukset pilvipalveluiden alle maksulliseksi, ja irtisanomalla ja ulkoistamalla teknistä tukea. Corey Quinnin sanoin, kaikki pilvikustannukset ovat arkkitehtuurista kiinni. Ehkä tiedonsiirtomaksuissa on ollut AWS:n tuloksellisuuden ja Googlen tuloksettomuuden syy.

Paloalto on yhdessä AWS:n kanssa tuonut markkinoille pilvinatiivin palomuurin, joka istuu suoraan AWS:n palveluihin, skaalaa dynaamisesti liikenteen mukaan, ei vaadi ylläpitoa ja tukee automaation työnkulkuja. Etuna pilven omaan palomuuriin verrattuna Paloalto lupaa NGFW:n täydet ominaisuudet pilvinatiivisti.

Flexeran pilviraportissa kuvataan pilven nykyisiä linjoja. Tarve FinOpsille kasvaa, koska pilvikulut karkaavat käsistä. Azure on ohittanut suosiossa AWS:n ja pienyritykset ovat nyt kasvava käyttäjäryhmä. Työkaluissa katse kiinnittyy pilven omiin välineisiin ja kolmannen osapuolen työkalut ovat menettämässä merkitystään. Yksityis- ja hybridipilven osalta Openstackin, rautapalvelinten ja Google Anthosin asema on hiipunut, kun taas Azure Stack ja AWS Outpost ovat vahvoilla. Monipilven kasvava suunta näyttää olevan vikasietoisuuden varmistamisessa, muut syyt ovat laskussa. Paluuta monipilvestä ei asiantuntijoiden mukaan kuitenkaan ole. Johto ei välttämättä silti tiedä, että yritys on monipilvessä kun käyttäjät itsekseen valitsevat itselleen sopivia palveluita sieltä täältä. Budjetoinnista ja hallinnasta tulee isompia ongelma. Nutanixin tutkimuksessa monipilvi, tai varmaakin hybridipilvi, on sopiva terveydenhuolto- ja finanssialalle, mutta käyttöönotto on ollut hidasta. Turvallisuus on näillä aloilla suurin huolenaihe ja tietysti normaalit hallinta- ja osaamishuolet painavat. 

Dimitrios Kechagias on vertaillut pilvien suorituskykyä. Openstack on edelleen suosituin avoimen koodin pilvialusta ihan vertailukelpoisella suosiolla Vmwaren, Azure Stackin ja AWS Outpostin rinnalla. Openstack täytti 12 vuotta ja on yksi kolmesta maailman aktiivisimmasta avoimen koodin projektista Linux kernelin ja Chromiumin kanssa. Openstackillä ajetaan 25 miljoonaa corea tuotannossa yli 100 pilvialustassa. Suurimmat käyttäjät ovat operaattorit ja palveluntarjoajat, laitevalmistajat, finanssiala, kauppa, liikenne, terveydenhuolto ja julkishallinto.

Cloudflare piti tietoturvaviikot ja on laajentanut 18 uuteen kaupunkiin ja julkaissut yli 75 uutta ominaisuutta ja lisää tippuu vuoden mittaan. Radar-palveluun on lisätty ASN-tiedot, joista selviää AS-kohtaisesti liikenneprofiili, maantiede, BGP-mainostukset ja hyökkäykset. Cloudflare on mittauksensa mukaan nyt nopein lähes 600 verkossa ympäri maailman.  Oracle on laajentanut pilven palveluvalikoimaansa, mutta verkko on edeelleen melko pieni. Peeringdb:n mukaan sillä on peerausta vain 26 konesalissa. Vaihtoehtopilvi Vultr on kasvanut yli 100 miljoonan liikevaihdon luokkaan ja sillä on 1,5 miljoonaa asiasta yli 50 miljoonassa pilvi-instanssissa. Sekä AWS että Azure ovat julkaisseet palveluita videopeleihin. Kiinassa pilven kärkinelikko Alibaba, Huawei, Tencent ja Baidu ottavat 80% markkinasta ja kasvu on kovaa.

CDN-rintamalla AWS Cloudfront on nyt saatavilla yli 400 konesalissa. Azuren moderni yritys-CDN Front Door on avattu. Se ei tavoittele videojakelua, vaan perustaa toimintonsa pilvitietoturvaan ja devops-integraatioihin. Microsoft jälleenmyy Edgecastia ja Akamaita oman vanhan CDN:n ohella. Fastly osti Fanoutin vahvistaakseen edge-alustaansa. Edgecast siirtyy vuorostaan Yahoolta Limelightille 300 miljoonalla dollarin kaupalla. Nimi vaihtuu Edgioksi ja palveluita laajennetaan DDoS-suojaukseen ja WAF:iin. Asiakkaat yleensä hajauttavat palvelunsa eri CDN:lle ja nyt yhdistymisen myötä Limelight menettää asiakkaita toisille alustoille. Limelightin 20 suurinta asiakasta tuovat lähes 75% liikevaihdosta. Vimeo on muuttanut hinnoittelupolitiikkaansa suurimmille käyttäjille. Ennen 1% eniten siirtokapasiteettia käyttäviä asiakkaita joutui maksamaan erikseen siirretystä datasta. Nyt kaikille kuuluu kuukausihintaan 2 TB tiedonsiirtoa ja ylimenevästä osasta laskutetaan erikseen.

Microsoft on vihdoin vuosien tahkoamisen jälkeen julkistanut konesalihankkeensa Espooseen ja Kirkkonummelle tuoden mukanaan Azuren Suomen kamaralle. Suurimman huomion tuntuu keränneen Fortumin kaukolämpöhanke. Hankkeella saattaa olla vielä mutkia matkassa kun sekä Espoon Hepokorven että Kirkkonummen Kolabackenin kaavoista on valitettu. Lisäksi pitänee muistaa, että konesali ei ole energiaa tuottava voimala, vaan lämpöä syntyy oheistuotteena sähkön kulutuksesta.  Kolmen kauppakeskus Jumbon kokoisen keskuksen kerrotaan yli kaksinkertaistavan Espoon ja Kirkkonummen sähkönkulutuksen. Kuntien kaukolämmön rakentaminen suurelta osin ulkomaisten täysin eri toimialan yritysten varaan on hieman riskialtista. Asiakkailta tulee hankkelle kuitenkin tukea: mm. Nokia, Elisa, Fortum, S-Pankki, Tietoevry, HUS, Verohallinta ja Valtori ovat innostuneita projektista. Ja miksi emme olisikaan kun saamme Azuren aivan omille nurkille. Taloushyötyä ja työllisyysvaikutusta voi kuitenkin arvioida kriittisesti.

Maailmanlaajuisesti hyperskaalan konesalit ylittivät 500 määrän 2018 ja tuhannen raja rikkoutuu 2024. Nyt 40% konesaleista ja puolet kapasiteetista on USA:ssa. CBRE kuvaa Pohjois-Amerikan trendejä. Kysyntä on kovaa ja tulee enimmäkseen pilvipalveluista ja some-yhtiöiltä. Metan Hollannin Zeewolden konesaliprojekti meni pieleen ja nyt yritetään miljardi-investointia Espanjaan Toledon alueelle. Metalla on myös tavoitteena suurempi osaamiskeskittymä Espanjassa kun se aikoo rekrytä 2000 ihmistä Madridiin metaversumia kehittämään. AWS taas investoi Iso-Britanniaan 1,8 miljardia puntaa kehittääkseen maan digitaalista infrastruktuuria ja osaamista.

Konesalien yhteysratkaisuissa törmätään pilvinatiiviin kilpailuun. Konesalitoimijoiden on rakennettava uudenlaisia palveluita ollakseen ketteriä, vertailukelpoisia ja yhteensopivia pilven kanssa. Yritykset voivat saada NaaS-palveluiden myötä vihdoin sitä ovat toivoneet: yksinkertaisia ja joustavia verkkopalveluita. Todellisuudessa on kuitenkin aina toinenkin puoli, joten jää nähtäväksi onko tämä pelkkää onnea ja autuutta.

IT-rauta on edelleen suurin kategoria IT-menoissa. Rautapuolella trendit näyttävät AMD- ja ARM-prosessorien nousua, flash-levyjen ja NVMe-tallennuksen lisääntymistä, pay-as-you-grow -mallista hinnoittelua ja kannettavien tietokoneiden myynnin kasvua. Kovalevyissä flash-levyn hinta tippuu alle perinteisen kovalevyn 2027 kohdalla. Mielenkiintoista on nähdä miten sähkön hinnan kehitys vaikuttaa esim. pilvipalveluiden hintoihin tai omien konesalien pyörittämiseen. USA:n virastojen konesalipalveluiden tavoitteiden vaihtelevaa toteutumista on seurattu GAO:n raportissa.

Netnod yhdysliikennepiste laskeutui Pasilaan Digitan tiloihin maaliskuun alussa ja on nyt käytettävissä liikenteen välitykselle.

Kyberturvallisuus

Ukrainan tilanteen vuoksi varautumista kyberhyökkäyksiin on kehotettu lisäämään. Asiat ovat pitkälti samoja, joita pitäisi muutenkin tehdä, joten tässä on nyt hyvä tilaisuus laittaa kyberturvaa kuntoon perustoimenpiteillä. Sekä Checkpointin että Trendmicron tutkimuksien mukaan pilvessä riskit ovat selvästi virhekonfiguraatioissa ja hyväksikäyttöjen määrä on kasvussa. Monipilvi ei ainakaan vähennä pilven riskejä. Sodan myötä hyökkäykset kiinalaisista ip-osoitteista NATO-maita kohti pomppasivat 116% ylöspäin ja maailmanlaajuisestikin 72%.

Myös VPN-hyökkäyksissä on valtava kasvu ja erityisesti Fortinetin ja Pulsen VPN:ien kanssa pitää olla tarkkana. Suosituimmat hyväksikäytettävät haavoittuvuudet kohdistuvat ranskalaisen ANSSI:n raportin mukaan Exchangeen sekä Pulsen, Fortinetin ja Vmwaren tuotteisiin. Linux kernelin Dirty Pipe -haavoittuvuus osuu myös Androidiin. Putkeen kirjoitus kun ei kysy käyttöoikeuksia. Tutkijat ovat kehitelleet tavan kiertää Spectren ja Meltdownin suojaukset.

Pienemmät DDoS-hyökkäykset ovat kasvussa ja huolestuttavampia. Mitelin puhelinyhdyskäytäviä voidaan käyttää heijastushyökkäykseen ja niillä voi saada aikaan uskomattoman 4293967296:1-vahvistuksen. Myös TCP:llä saa tehtyä heijastusvahvistuksen haavoittuvien palomuurien ja sisällönsuodatusjärjestelmien avulla. TCP Middlebox -heijastuksella voi saada 65-kertaisen vahvistuksen. Microsoft on selvittänyt miksi Mikrotikin laitteita käytetään Trickbot-hyökkäyksessä. Mikrotikin RouterOS:ssä on sopivat Linuxin ominaisuudet, joilla voi etänä ketjuttaa komentoja ja se toimii loistavana proxynä komentokanavan ja laitteen välillä niin, että normaalit suojaukset eivät sitä huomaa.

Autentikointipalvelu Oktan murto on vaikuttanut laajasti eri palveluihin. Teinien vetämä LAPSUS$-ryhmä murtautui alihankkija Sitelin avustuksella RDP-istunnon kautta sisään ja ohitti MFA-autentikoinnin. Oktan mukaan sen 15000 asiakkaasta vain 2,5% eli 366 joutui uhriksi. Okta ei ole käsitellyt asiaa parhaalla mahdollisella tavalla ja on yrittänyt piilotella ja vähätellä tammikuussa tapahtunutta murtoa parin kuukauden ajan. Oktan FAQ tarjoaa vastauksia peruskysymyksiin ja Microsoftilta on tullut perusteellisempi selvitys tapauksesta ja siltä suojautumisesta. Zero trustin idea saattaa tuntua kadonneen kun yksi peruspalikka toteutuksessa murtuu. Mutta oppina tästä voisi vetää vanhan johtopäätöksen, että tietoturvaa pitäisi hajauttaa monikerroksiseksi niin, että yhden palvelun vaikutus ei vielä vaaranna kaikkea. Havainnointia ja nopeaa reagointia voi ainakin lisätä, jotta suuremmilta vahingoilta kenties vältytään.

Haittaohjelmien kanssa on oltava todella nopea, koska tiedostojen salaus tapahtuu jopa viidessä minuutissa. Splunk on vertaillut eri haittaohjelmien salausnopeutta, joka vaihtelee Lockbitin alle kuudesta minuutista Mespinozan lähes kahteen tuntiin. Tutkimuksissa Pohjois-Amerikassa kohta lähes puolet on joutunut haittaohjelman kohteeksi ja jopa 60% on maksanut lunnaita. Keskimääräinen lunnasmaksu on ollut 540000 dollaria. Rahalla saattaa selvitä, tai sitten ei. USA:ssa Cloudflare, Crowdstrike ja Ping Identity ovat muodostaneet Critical Infrastructure Defense Projetin, jossa parannetaan kriittisen infran suojausta. Vaikka 78% käyttää MFA:ta, sen kanssa pitää olla valppaana. Huijauskitit yleistyvät ja MitM-hyökkäyksillä pystytään kiertämään MFA-koodeja. Fyysiset koodipulikat tekevät tuloaan takaisin. F-securelta löytyy vahvan salasanan luontipalvelu näppärästi nettisivulta.

Kvanttimaailmanloppu häämöttää jos kvanttilaskenta päätyy rikollisiin käsiin ja kaikki nykyiset salaukset murretaan. Toisaalta voimme itse olla edellä ja kehittää kvanttisalausta, kuten Bittium ja Insta tekevät. RSA 2048 -salaus riittää vielä vuosikymmeneksi, mutta 15 vuoden päästä alkaa olla hetki käsillä kun nykyiset salausmenetelmät murtuvat.

Applen Icloud Private Relay voi aiheuttaa käyttäjille erilaisia ongelmia kun samojen ip-osoitteiden taakse piilotetaan paljon käyttäjiä. Geolokaatio saattaa myös mennä pieleen ja relay-palvelussa on sisäänrakennettuna turvaominaisuuksia kuten autentikointia ja pääsynrajoitusta.  Mutta yllättäen suorituskyky saattaa jopa parantua välihyppyjen ansiosta.

SASE:n kevyempi version SSE on yhtäkkiä pompahtanut otsikoihin. Mistä on kyse? SSE on yksinkertaisesti SASE ilman access-osuutta eli SD-WAN:ia. Vaikka monet valmistajat mainostavat tuotteiden olevansa SASE, niin todellisuudessa monikaan ei täytä koko Gartnerin täyden SASE:n määritelmää. SSE onkin oikeampi nimi palvelureunalle, joka kypsyi nopeammin ja yhtenäisemmin kuin täysi SASE. SSE:n suuria nimiä ovat mm. Zscaler ja Netskope, joilta puuttuu oma SD-WAN -osuus. SSE ei välttämättä pysty käsittelemään kaikki liikennettä kunnolla ja ongelmia saattaa tulla esim. reaaliaikaliikenteen kanssa. Isot yritykset valitsevat mieluummin tietoturvapalvelut yhdestä paikasta ja WAN-palvelut toisesta. Verkko vasemmalta ja tietoturva oikealta. Pienemmille SASE-kokonaisuus käy maniosti yhtenä pakettina. Markkinahämmennys on suurta, koska kentällä on yli 30 SASE-valmistajaa, mutta kärkikymmenikkö kahmii 80% myynnistä.

Myös Unified-SASE on noussut Dell’Oron analyyseissä esille. Vain Vmware, Cato ja Versa tarjoajat tällaisen kokonaisen paketin. Yhtenäisen SASE:n ratkaisujen odotetaan lyövän hajanaisemmat ratkaisut markkinoilta seuraavan viiden vuoden aikana. ZTNA ja SASE toimivat luontevimmin modernien webbipalveluiden kanssa, mutta Citrix on julkaissut SSE-tuotteen, joka toimii myös ilman agenttia. Se tukee vanhempia client-server -sovelluksia. Tuote osaa myös himmentää palveluita eli rajoittaa tiettyjä ominaisuuksia pois käytöstä sulkematta yhteyttä kokonaan.

Tietoturvan raportoinnista hallitukselle ja johdolle kertova selvitys esittelee löydöksiä ja parhaita käytäntöjä kyberturvallisuusjohtamisen pyörittämiseen. Usein johdossa ei nähdä jatkuvan ja ennakoivan toiminnan merkitystä, vaan toimintaan asti päästään vasta kun kakat on jo housussa. Varoittavat esimerkit uutisissa unohtuvat liian nopeasti. Tietoturvan raportointi ylöspäin on vaikeaa ja ei oikein tiedetä mitä pitäisi kertoa. Suositeltavaa olisi ottaa riskienhallintalähestyminen ja priorisoida asioita. Tietoturvamallit auttavat raportoinnissa ja seuraamisessa. Prosessiin kuuluu myös tavoitteiden seuranta liiketoimintanäkökulmasta sekä itsearviointina että vertaisarviointina.

Microsoftin havittelema Mandiant löysikin paikkansa Googlen kainalosta 5,4 miljardin dollarin kaupassa. Näin Google vahvistaa palvelukykyään ihmisillä ja palveluilla, enemmän kuin teknologialla. Google saa XDR- ja MDR-kykyä sekä palvelutoimintaa modernin SOC:n pyörittämiseksi ja koko tietoturvan elinkaaren ajaksi. Palvelua voidaan tarjota Google-palveluiden ulkopuolellekin. AWS ja Microsoft jäävät takamatkalle ja niillä on paineita tehdä omia ratkaisujaan. Ostosten kohteena voisivat olla Cyberark, Ping, Qualys, Rapid7, Sailpoint, Tenable tai Varonis. Googlella saattaa kuitenkin olla edessä vaikeuksia kaupan hyväksymisen kanssa USA:ssa ja EU:ssa. Mandiantilla on myös Microsoftin ja AWS:n kanssa kumppaniohjelmia, joihin kauppa saattaa vaikuttaa.

Tekniikka ja operointi

Packet Pushersin arkistoista on julkaistu Russ Whiten videosarja Datacenter Fabricin perusteista: 1 Justifying Fabrics, 2 Clos Fabric History, 3 Characteristics Of Data Center Fabrics, 4 Clos Scaling, 5 Buttefly Scaling, 6 BGP Underlay, 7 Link State Protocol In The Underlay, 8 Advanced Underlay Control Planes ja 9 Other Considerations.

Hannes Gredler osasi kertoa historiasta syyn miksi MPLS ei päätynyt käyttämään IGP:tä jakamaan labeleita, vaan keksittiin uusi protokolla LDP. Syy oli siinä, että tekniikkaa kehitettiin eri puolilla USA:a ja IGP ei ollut tuohon aikaan kovin vakaa. Siksi pyydettiin, että kehityksessä ei kosketa IGP-koodiin. Tässä taas yksi esimerkki miten tekniikan kehitys ei ole aina tiedettä vaan siihen vaikuttavat sosiaaliset suhteet ja liiketoiminta.

Ivan Pepelnjak jatkaa pakettienvälitystekniikan tutkimista ja vuorossa on flow-pohjainen välitys. Ipsilon Networks teki ensimmäinen kytkimen, joka lähetti joka flown ensimmäisen paketin CPU:lle ja tallensi tiedot nopeaan välimuistiin, kuten palomuurit nykyään. Ciscon Catalyst 5000 hyödynsi tätä menetelmää, ei aivan menestyksekkäästi. Myöhemmin kytkimeen lisättiin reititinmoduli yksikätisenä kylkeen. Jotkut saattavat muistaa Cat6500:n ensimmäiset versiot CatOS:llä ja IOS:lla, joilla tehtiin kytkentä ja reititys eri paikoissa ja eri käyttöjärjestelmillä. Catalyst 5000 kuoli jossain 2008 paikkeilla ja sen jälkeen tiedeyhteisö keksi saman asian uudelleen Openflow:n muodossa. Sekään ei ollut menestys lukuisten iterointien jälkeenkään. Nykyisin kohtuullisella CPU:lla ja sopivalla raudalla saa suht hyvää suorituskykyä. Flow-välimuistin käyttö voidaan tehdä ohjelmallisesti, jolloin raudan ei tarvitse sisältää niin paljon arvokasta TCAM:ia. Flow-kytkentä tekee uutta tuloaan DPU:iden myötä. Ohjelmoitava dataprosessori pystyy tekemään flow-välitystä tehokkaasti joko erillisenä verkkokorttina tai verkkolaitteen sisällä.

Avoimen koodin DENT-verkkokäyttöjärjestelmästä on julkaistu 2.0 Beeblebrox -versio. DENT on tarkoitettu pieniin ja keskisuuriin yrityksiin, ja varsinkin hajautuneisiin edge-toimintoihin. DENT:n ytimessä on Linux kernel ja Switchdev. Juniper kuvaa hyvin 5G-käyttötapauksen avulla mitä oikeastaan on pilvinatiivi reititys. NFV oli kymmenen vuotta sitten lupaava aloite varsinkin operaattoreille, mutta idea kuivui jotenkin kasaan vuosien mittaan. Pilven myötä Service Mesh vei voiton. Oppina tästä voi pitää sitä, että operoinnin täytyy olla ensisijainen vaikutin  tekniikan kehityksessä. Ja pelkkä tekniikan kehitys ei riitä, vaan myös toimintamallit pitää saada muutettua, mikä on paljon vaikeampaa.

TCP-ruuhkanhallinnasta löytyy tietoa Larry Petersonin, Lawrence Brakmon ja Bruce Davien avoimesta kirjasta. Algoritmit saattavat häiriintyä LAG-linkkien yksittäisten linkkien erilaisista ominaisuuksista. Multipath TCP (MPTCP) RFC8684 määrittelee TCP-socketin käytön usean ip-osoitteen ja linkin yli. MPTCP:n käyttö on ollut hankalaa, koska se ei ole levinnyt yleisimpiin Linux-jakeluihin. Siispä Ben Cox rakensi oman toteutuksensa bondcatin. Käyttökohteita voivat olla esim. linkkiagregointien rajoitusten kiertäminen, nopeampi siirto ja varalinkin käyttö.

Andy Bechtolsheim kertoo piiriin integroituvasta optiikasta Nextplatformin haastattelussa. Tärkein asia on saada lämpökuorma hallintaan tehokkaissa lasereissa. Nykyiset laserit ovat 15 watin tehoisia. Lämpötila vaikuttaa suoraan komponentin luotettavuuteen ja kun laserit on yhteispakattu piirille, niiden vaihtaminen on työlästä ja kallista. Vaihtoehtoisesti uusilla modulaatioilla saadaan helpommin tehonkulutusta alas. Kehityksen kannalta tärkeää on saada valmistusmäärät isoiksi ja sitä kautta kustannukset alas, jotta teknologia leviäisi myös laajempaan käyttöön. Toistaiseksi yhteispakatulle optiikalle ei ole mitään tarvetta, koska 224 Gbps -väylänopeudet voidaan vielä toteuttaa perinteisesti. Ainoa hyöty on tehonsäästö, joka kuitenkin saadaan helpommin toteutettua modulaatiota kehittämällä. Samaa viestiä toistaa Nvidian Kevin Deierling.

Nvidia julkaisi maailman tehokkaimman Spectrum-4 -piirin, jonka kapasiteetti on paljon edellä muita. 51,2 Tbps -kokonaiskapasiteetti voidaan jakaa 64 800G-porttiin tai 128 400G-porttiin 1RU-kytkimessä. Macsec- ja VXLAN-salausta voi tehdä 12,8 Tbps -nopeudella. Ekosysteemi laajentuu Bluefield DPU-, Connectx-7- ja H100 CNX-korttien kesken. Käyttökohteita löytyy hyperskaalaajilta ja tekoälysovelluksista, joissa halutaan pienemmästä boksista enemmän tehoa. Infiniband toimisi vielä käytettävyyden kannalta ethernetiä paremmin, koska ethernetin reititysfunktiot pitää hajauttaa monimutkaisesti hallittavaksi kokonaisuudeksi. Markkinoiden kannalta Infiniband kuitenkin taitaa olla tuomittu kuolemaan ennemmin tai myöhemmin.

Nokia ja Rakuten ovat demonneet DWDM-siirrossa ennätyksellistä nopeutta 1 Tbps per kanava. Jumbo-kehykset ovat kiistanalainen aihe. Yleisen käsityksen mukaan tehokkuushyöty jää 10-15% luokkaan, joten käyttöönottoa todella kannattaa harkita. Riski on, että jumbojen kanssa törmätään ongelmiin kun kehys ei läpäisekään koko siirtoketjua kokonaisena. Tarina AWS-ympäristön tapauksesta kertoo, että vianetsintä on vaikeaa. Chris Hart kertoo tarinan dynaamisista staattisista reiteistä ja pieleen menneestä IP SLA -träkkäyksestä. Opetus on, että käytä dynaamiseen vikasietoisuuteen reititysprotokollia.

Kentik kertaa peeraussuunnittelijan työkalut ja toimintamallit neliosaisessa blogissa. Corsa on laskenut TCO:ta virtuaalimuureille. Automaation ja älykään hallinnan kautta operoitaville muureille voi saada jopa 24 kertaa nopeamman tuotantoonoton ja alentaa TCO:ta melkein 9 kertaisesti. Christofer Hoffin lähes kymmenen vuotta vanha esitys kertaa hyvin SDN:n elämän, joka ei aina ole helppoa.

Broadcom on kertonut wifi6-sirujen toimitusten kaksinkertaistuneen viime vuodesta yli miljardiin toimitukseen. Wifi6 on selvästi nopeimmin levinnyt tekniikka. Langattomien IoT-standardien cheatsheet löytyy Jonathan Davisin blogista. Skotlantilainen Purelifi on esitellyt kokonaisen Lifi@home-kotijärjestelmän Lifi-tekniikan ympärille. Valoon perustuva Lifi kasvattaa siirtonopeutta jopa 100-kertaiseksi wifiin nähden ja pienentää siirtoviivettä.

Michael DeHaan kertoo todellisen syyn miksi mikropalveluista tuli suosittuja. Kehittäjät valitsivat itsekkäästi omat suosikkiteknologiansa ja ratkaisunsa, koska inhosivat koodikatselmuksia ja arkkitehtuureita. Ratkaisut rakennettiin kunkin tiiimin omien valintojen päälle välittämättä muista. Teknologia heitettiin ratkaisemaan ihmisten ongelmia ja itsenäisyys ajoi kokonaisuuden yli. Sama kävi pilven kanssa. Lopputulos on ylivaikea ja kaoottinen ympäristö.

Docker palasi perusasioiden äärelle ja sai 105 miljoonan dollarin rahoituksen. Dockerin perustaja Solomon Hykes tuli julkisuuteen uudella yrityksellä Dagger. Koska kukaan ei tykkää YAML:sta, se auttaa viemään teknologiaa helpommin tuotantoon avoimella CUE-kielellä konfiguroiduilla CI/CD-työnkuluilla. Dagger aloittaa ilmaisella tuotteella, kaupallinen malli on tulossa myöhemmin. Hashi on julkaissut kuvauksen paketin matkasta Consul service meshin läpi. Siitä saa kuvan mitä service mesh tekee.

Gartnerin verkkoautomaation tila -katsaus kertoo, että automaatioaste yrityksissä on korkeintaan keskinkertainen. Automaatiointoilijat ovat kovaäänisiä lähettiläitä ja luovat väärää kuvaa todellisuudesta kaikissa verkoissa. Itsensä automatisointi työttömäksi ei ole kuitenkaan yleisesti pelkona. Tavoitteena kaikille olisi saada nopeita voittoja esim. tiketöinnin, käytettävyyden seurannan ja konfiguraatiohallinnan automatisoinnin kautta. Arviolta 30000 yritystä käyttää Ansiblea, mutta ennuste kääntyy jatkossa kokonaisvaltaisempien automaatiojärjestelmien puoleen. SaaS on yritysten toivoma malli. Gluware kertaa miksi kaupallinen tuote on houkuttelevampi. Valmiilla tuotteella pääsee nopeasti asiaan, siinä on enemmän ominaisuuksia ja se on helpompi laajentaa eri tiimien välille. Kaupallisessa tuotteessa tietoturva, tuki ja alustapuoli on paremmin kunnossa. Tuotteita alkaa olla markkinoilla ihan hyvin, joten kannustaisin katselemaan avoimin mielin hallintatuotteita oman hovivalmistajan ulkopuoleltakin ja hintalappua pelkäämättä.

Cisco on vaihtanut palveluidensa root-sertifikaattia ja sen myötä XE-softissa on ollut ongelmia saada yhteyttä Smart-palveluihin.

DNS on laaja kokonaisuus, joka pyörittää moderneja webbipalveluita. TXT-tietueita käytetään domainin omistajan varmistamiseen ja niitä seuraamalla voi päätellä mitä palveluita yritys käyttää. Esim. Nslookup.io näyttää palvelut kivasti graafisessa muodossa. DNS-terminologia on kuvattu RFC8499-laajennuksessa. Kaikki DNS-RFC:t on koottu yhdelle sivulle. DNSSEC:n tilastoissa .com-zoneista 3% on allekirjoitettu, .org-zoneista 4% ja .net-zoneista 3,4%. Yksikin ison palveluntarjojan mukaantulo voi heilauttaa määriä huomattavasti. Vertailun vuoksi Switchin tilaston mukaan Sveitsin .ch-domaineista on jo 36,5% allekirjoitettu ja tavoite on 2026 mennessä saavuutta 60% taso.

Yritykset ja tuotteet

Inderes listaa IT-palvelusektorin pörssiyhtiöiden suorituksia kaudelta Q4/2021. Mukana on Innofactor, Loihde, Netum ja Tietoevry. Valtorin viime vuosi meni suunnilleen samoin kuin edellinenkin. Henkilöstömäärän kasvu pysähtyi, häiriöt lisääntyivät ja tyytyväisyys laski hiukan. Tutkimuksen mukaan palkka ja uramahdollisuudet houkuttelevat naisia IT-alalle, joka muuten ei ole kovin haluttu ala naisten keskuudessa. IT-alan houkuttelevuus kasvaa iän myötä. Paljon olisi vielä tehtävää, jotta naisia saataisiin alalle enemmän. Gartnerin kyselyn mukaan vain alle 30% IT-työntekijöistä aikoo pysyä nykyisen työnantajan palveluksessa, mikä on 10% vähemmän kuin muilla aloilla. Euroopassa tyytyväisyys on suurinta. Ikä vaikuttaa eli nuoremmat ovat 2,5 kertaa herkempiä vaihtamaan alaa. Työnantajien pitäisi kiinnittää huomiota ihmiskeskeisiin työoloihin ja keskittyä niihin tärkeisiin henkilöihin, jotka ovat herkimpiä lähtemään.

Karl Hughes kuvaa hyvin millaista on edetä uralla asiantuntijasta johtajaksi. Ajankäyttö muuttuu täysin, palautesyklistä tulee pitkäjänteisempi, konfliktien välttely tulee mahdottomaksi, teknisistä asioita ei voi tehdä päätöksiä ja uuden oppiminen loppuu. Jokainen voi arvioida mikä on asioiden painoarvo omalta kohdalta ja on hyvä muistaa, että johtajuuden voi ottaa myös ilman johtajan asemaa, mikä usein toimiikin hyvin.

Yritysten kärsiessä osaajapulasta, palveluiden ostaminen yleistyy, nyt myös verkon osalta enemmän ja enemmän. Kaikkeen ei tarvitse teknistä osaamista, vaan humanisteilla ja ekonomisteillakin voi olla paljon annettavaa esim. kyberturvallisuudessa. Monia teknisiäkin ratkaisuja määrittää yhä enemmän liiketoimintaymmärrys, talous, ihmistuntemus, palvelumuotoilu tai muut pehmeämmät osaamisalueet. Tietoturva vie yhä enemmän resursseja, nyt jo enemmän kuin verkon ylläpito. Syynä on tieturvan laajuus ja monimutkaisuus. Siksi palvelut houkuttelevat. Ostopalveluiden hinta asettuu parhaimmillaankin hieman itse tuotettujen palveluiden hinnan yläpuolelle. Palveluntarjoajan pitää hyödyntää suuruuden ekonomiaa, mutta ongelma on hallintatuotteissa, jotka eivät tätä tue. MSP-tuotteiden pitäisi pystyä vähentämään ihmistyötä mahdollisimman paljon. Toinen suuri ongelma palveluntarjoajalla on, että niille tulee paljon ongelmia, jotka eivät kuulu palveluun. Joka tapauksessa trendi näyttää, että palveluiden kysyntä kasvaa, koska nyt jo ollaan tilanteessa, jossa yritykset eivät osaa korjata omia verkkojaan.

HPE on laajentanut Greenlake-tarjoamaansa 50 uudella palvelulla. Verkko on HPE:llä keskipisteessä ja Aruba-käyttäjien tuominen Greenlake-alustaan toisi sille 120000 käyttäjää, yli 2 miljoonaa laitetta ja API-kutsua. Valmistajat luottavat nyt yhä enemmän palveluntarjoajiin ja hakevat myyntiä sitä kautta. Ciscolla 90-95% palveluista menee kumppanien kautta ja kanavakumppania ei haluta poistaa ketjusta. Asiakkaat haluavat tuotoksia ja kokemuksia, ja rahan käyttö on siirtynyt opex-malliin, joten palveluntarjojat ovat sopiva kanava asiakkaisiin. Sama näkyy mm. Microsoftoilla Azuren myynnissä. 95% myynnistä tulee kumppanien kautta.

Mikä toimii SaaS-palvelun hinnoittelussa? The Diff on vertaillut palveluita ja todennut, että saman tuotteen hinta voi vaihdella viisinkertaisesti. Lopulta menestyvän hinnan ratkaisee tuotteen hyöty asiakkaalle ja suurkuluttajien tarpeet. Hintaa voi yrittää hinata ylös löytämällä marginaalisen ominaisuuden, jonka voi hinnoitella erikseen. Hintakäyrä voi olla lineaarinen, ei-lineaarinen tai nousevat tiettyyn tasoon asti. Tietoturva pitäisi kaiken järjen mukaan olla vakio-ominaisuus kaikissa tuotteissa, mutta niin vain on, että tietoturvaominaisuuksista voi laskuttaa erikseen ja ne on yrityskäyttäjän käytännössä pakko ostaa. Joissain ominaisuuksissa hintaa voi skaalata loputtomasti kasvavan kapasiteetin mukaan, toisissa taas ne myydään kertaluonteisena.

Ubiquiti on kaivanut itselleen kuopan haastamalla Brian Krebsin oikeuteen kirjoitteluista Ubiquitin tietomurrosta väärällä tavalla. 425 miljoonan dollarin vahingonkorvausvaatimus ei voi päättyä Ubiquitin kannalta hyvin.

Hallintatuotteissa näkyy selvästi nyt siirtyminen edge-hallintaan. Apstra lisäsi ominaisuuksia konesalihallintatuotteeseensa ja Nokia julkisti Adaptive Cloud Networking -tuotteensa. Cisco on lisännyt Intersightiinsa Kubernetes-hallinnan, jolla voi hallita julkisten pilvien tai omien alustojen klustereita. Aruba lisäsi Central-hallintaan Netconductor-tuotteen, jolla hallitaan yhdenmukaista politiikkaa eri ympäristöissä aieperustaisesti.

Extreme on aktiivisesti mukana amerikkalaisurheilussa ja se on julkaissut lukuja jalkapallokaudesta. Superbowlin aikana stadionin wifiin oli kytkeytynut reilut 57000 laitetta, jotka siirsivät tietoa 31,2 TB verran. Aktiivisimmat hetket olivat ennen peliä, puoliaikashow ja pelin viimeiset hetket. NFL-kauden tiedonsiirron huippulukemat ovat kasvaneet parissa vuodessa yli kuusinkertaisiksi. Suosituimmat sovellukset ovat some, streaming ja urheilu. Extreme on Juniperin tapaan valinnut Creadlepointin 5G-WAN -kumppaniksi. Samsungin Smartthings IoT -alusta on integroitunut Ruckuksen tukiasemiin, jotka toimivat nyt hubina IoT-laitteille.

Verkkolaitemarkkinoilla myynnit nousivat viime vuonna takaisin pandemiaa edeltävälle tasolle. Yritysverkoissa tietoturva, kampusverkot ja wifi kasvoivat, muuten oli aika tasaista. Cisco jatkaa markkinajohtajana ja kukaan ei sitä hätyyttele, vaikka markkinaosuuden lasku onkin suurinta. IDC:n mukaan myös wifissä Cisco johtaa markkinaa yli 40% osuudella, mikä on yli kolminkertainen seuraavaan kilpailijaan HPE-Arubaan. Kytkinporteissa hinta bittiä kohti on paras 40/100G-nopeuksilla. 25/50G-portin hinta on yllättävästi lähtenyt nousuun viime vuoden aikana. Kytkimissäkin Cisco keikkuu omilla lukemillaan, mutta muut-kategoria alkaa olla lähellä. Juniper on siirretty muut-kategoriaan, mutta myös whitebox-valmistajat ovat nousussa.

Toimitusaikoja vaivaavat Ukrainan sodan lisäksi Japanin voimakas maanjäristys, joka keskeytti piirituotannon Kioxian tehtaalla. Aiemmin tehtaalla oli tapahtunut materiaalien saastuminen, joka tuhosi Western Digitalin levyjä. Valmistajien TSMC:n ja Intelin lisäksi piirisuunnitteluyritykset tekevät hyviä tuloksia. Suurimpien viisikko Qualcomm, Nvidia, Mediatek ja AMD kasvatti liikevaihtoa 50-70% edellisestä vuodesta, lukuunottamatta Broadcomia. USA:n DHS on tehnyt raportin toimitusketjun tilanteesta ja miten varautua ongelmiin.

Redhatiin State of Enterprise Open Source -raportti kertoo, että 82% johtajista valitsee valmistajan, joka on aktiivinen avoimen koodin yhteisössä. Miksi? Koska avoimen koodin prosessit ovat niille tuttuja, ne ylläpitävät kulttuuria ja voivat vaikuttaa kehitykseen, sekä toimivat aktiivisemmin teknisten ongelmien kanssa. Hyvänä puolena käyttäjät näkevät avoimen koodin tuotteiden läpinäkyvyyden, dokumentoinnin ja laajan yhteisöllisen näkemyksen, ohjelmien hyvän testauksen ja nopeat päivitykset. Tietoturva on tärkein hyöty yhdessä koodin laadun kanssa. Ketteryys ja pilvinatiivius ovat myös merkittäviä hyötyjä. Tarkemmin ottaen avoin koodi tarjoaa joustavuutta omiin tarpeisiin, viimeisintä kehitystä, yksinkertaisuutta hybridipilven hyödyntämiseen ja tukee tietoturvastrategiaa. Andreessen & Horowitz on päivittänyt selvitystään mitä tuotteita ja ratkaisuja modernit yritykset käyttävät datainfrastruktuurissaan.

Internet

DFZ on internetin paikka, jossa ei ole oletusreittiä ja BGP-peerit saavat häärätä omiaan. Yhden päivän tilasto kertoo millaista kivaa DFZ:sta löytyy. Yksi prefixi voi generoida yli puoli miljoonaa mainostusta, mutta vain alle 60000 poisvetoa. Yhdestä ASN:n peeristä voi lähteä yli 2 miljoonaa mainostusta. Pisin nähty AS-polku oli 65 ASN:ää ja yhden prefixin lähde-ASN:iä oli enimmillään 22. Yhden prefixin pisin community-set oli 195 communityä.

Internetin levinneisyys on saavuttanut 66%. Korkeimmillaan Pohjois-Amerikassa ja Euroopassa kattavuus on n. 90% tasolla ja huonoimmillaan Afrikassa reilut 40%. Muuta alueet osuvat tähän väliin. Internet Societyn Pulse -monitori, kuvaa internetin tilaa maailmalla ja auttaa ymmärtämään sulkuja, kestävyyttä, teknologiaa ja markkinaa.

Metaversumin vaatimus symmetrisestä laajakaistasta ei näy vielä muussa tarpeessa. Comcastin tilastojen mukaan verkkoliikenne on palautumassa pandemiaa edeltävälle tasolle. Liikenne on kuitenkin edelleen hyvin epäsymmetristä ja downstream on yli 14 kertaa suurempi kuin upstream-liikenne. Sovelluksissa ei siis ole havaittavissa suurtakaan muutosta. Charterin mukaan symmetrisyystarve on markkinahöpinää ja tilastojen perusteella tarvetta ei ole, vaikka uplinkin käyttöaste nouseekin koko ajan. Kuitenkin AT&T:n mukaan symmetrinen yhteys nosti uplinkin käytön kolminkertaiseksi.

Meta on laskenut kuituinvestointien talousvaikutuksia. Euroopassa Atlanttin ylittävän Marea-merikaapelin on laskettu tuoneen vuodesta 2019 lähtien 18 miljardia dollaria Euroopan talouteen. Lisää kapasiteettia on tulossa Atlanttin yli ainakin kahden kaapelin verran vuoteen 2027 mennessä. Niistä saataisiin 30 miljardin buustit talouteen. Mene ja tiedä.

Satelliittipuolella Starlink on ylittänyt 250000 tilaajan rajan kun viime heinäkuussa määrä oli 100000. Puolessa vuodessa käyttäjämäärä on tuplaantunut. USA:ssa entinen 5G-toimija Rivada on uudistanut itsenä satelliittitoimijaksi ostettuaan Luxenburgilaisen Trion Space AG:n. Kaupan mukana se sai hyviä taajuuksia, joilla tavoitellaan 600 LEO-satelliitin muodostelmaa USA:n markkinoille. Kiinassa Galaxyspace on laukaissut maan ensimmäisen LEO-satelliittiryppään. Uusien satelliittien kapasiteetti on 40 Gpbs ja pano 190 kg. Testi todistaa, että Kiina on mukana satelliittien massatuotannossa samalla hintatasolla mikä Starlinkillä on.

Google Domains on ollut betassa 2015 lähtien ja nyt se on täysin avattu. Aloitustarjouksena saa 20% alennusta. Palvelussa on jo 7 miljoonaa aktiivista rekisteröintiä ja palvelu kuulemma on ihan kelvollinen.

Netflixin oikeustaistelu Koreassa avataan Forbesin jutussa perusteellisesti. Netflixin liikenne SKB:n verkossa on ylittänyt 1,3 Tbps -rajan, mutta prosenteissa mitattuna kulutus on 7,2% kaikesta liikenteestä. Netflixin liikenne tuli alun perin Tokion BBIX:n kautta. Kun liikenne kasvoi 200 Gbps:iin, lisättiin peeraus Hongkongissa. Liikenne kasvoi edelleen, kunnes 2018 SKB:n mitta täyttyi ja se haki Netlfixiltä korvauksia kapasiteetti-investoinneista. Netflix on tarjonnut OCA-CDN-palvelimiaan SKB:lle, mutta se ei ole niitä halunnut. Korean 23 miljoonasta laajakaistatilaajasta 5 miljoonaa katselee Netflixiä. Netflixin liikenne on kasvanut kahdenksankertaiseksi parissa vuodessa. Netflix on kuskannut oman liikenteensä Aasian solmupisteisiin ja SKB on kytkenyt verkkonsa niihin. Yhdysliikennepisteet on kuitenkin jätetty reguloinnin piiristä, joten kumpikin ospauoli tekee omat päätöksensä ja vastaa kustannuksistaa. Yleisellä tasolla tuntuu, että Netflixillä on länsimaisen ymmärryksen mukaan vahvempi tapaus, mutta saa nähdä mihin tämä kääntyy.

Tapahtumat

Open Programmable Infrastructure Eventissä puhuttiin infran ohjelmoitavuudesta. Kahden päivän ohjelma löytyy Youtubesta.

Security Field Day XFD7 esittely Rubrikin, Juniperin, ZPE:n, Progressin, Racktopin, Microsoftin, Aristan ja Keeperin ratkaisuja.

Aruba Atmospheren esitykset käytiin NFD-delegaation kanssa läpi rinnakkaistapahtumassa.

IETF 113 kokosi internetin kehityksen ja standardoinnin kokoon Wieniin.

Kuukauden pyhät

ASN-HOLYSEE 8978 mainostaa muutaman pyhän prefixin ulos Vatikaanista. Paavin kanssa voi peerata Rooman NAMEX:ssa, joka on siis maailman ainut siunattu IXP. Ja paavi on myös muistanut allekirjoittaa prefixinsä RPKI:llä ja käyttää ipv6:sta.

ACI Rant #3 Topology and scalability issues.

This microblog was released in Twitter thread.

Cisco ACI feels so robust, complex and pricey that you might think it’s for big networks. Actually, there are many scalability limitations that you might encounter sooner or later.

Mode: First there is a decision between Multi-pod and Multi-site. Multi-pod is single distributed fabric and easier to understand. Multi-site makes ACI more robust with separate fabrics but adds management complexity with Nexus Dashboard Orchestrator layer.

Encryption: Multi-site adds Cloudsec option which means end-to-end VXLAN tunnel encryption between sites and their spines. Multi-pod can’t do Cloudsec but both can use link-level macsec encryption.

Multi-pod spines can be connected back-to-back without IPN routers. Then macsec would encrypt whole VXLAN tunnels between spines. But this limits fabric to two pods only.

Remote-leaf: is add-on to one fabric. It works fine with Multi-pod. Multi-site can extend only one fabric (site) to remote-leaf. This means multi-site stretched vlans can’t be extended to remote-leaf directly.

L2 scale multi-site: If you wanted to stretch L2 bridge-domains between sites Multi-site with NDO limits stretched BDs to 6000. Contracts between site-specific EPGs create shadow EPGs which might cut the total number even smaller.

L2 scale fabric: can have 15000 BDs but each leaf limits vlan scale to 1980 BDs per leaf. That’s surprisingly low number. Leafs have local vlan scope so different leafs can add 1980 BDs each. Legacy mode can make it double but limits the use of other app-centric and L3 features.

Switch capacity: Leaf can have enormous capacity with 36-64 100G ports. That means you don’t need many switches in medium size networks. Dedicating powerful switches to different roles like service, compute and border leaf is often wasting resources and money.

Vlan scale: VXLAN often gives the impression that vlan scale is automatically multiplied to 16M. Well, often the case is much more complex. For starters, ACI fabric can support 15000 BDs total. That’s just a fraction of VXLAN scale though.

Overlapping vlans: can be done but needs more complex policies and mapping specific vlans to specific resources. Shared external services for all customers are common. That means vlans are terminated to one common point and this can make overlapping vlans even harder to handle.

VMM integration: can help a lot with hypervisors. Dynamic vlan assignment is handy when EPGs are created on the port-group level automatically. If the hypervisor was not supported by VMM that’s a total bummer. You lose a lot of ACI capabilities.

App-centric mode: ACI scalability is based on application-centric modern approach where basic vlan stretching can be avoided. But the question is can the user adapt brownfield network to this new model. Looks like it’s very hard and many continue forever with traditional L2 network-centric fabric.

Routing: App-centric model utilizing EPGs, ESGs, contracts, microsegmentation, service-graphs etc. requires ACI to be anycast-gw for EPGs. Routing needs to be done in ACI and that’s a more tedious job. ACI routing has pretty comprehensive features but obviously has limits also.

L2 need: You may ask why anyone would do heavy L2 stretching between sites and need thousands of vlans everywhere. Because customers are usually old-school and have the requirement of distributing their HA setup between two different sites in metro area.

Cloud Availability Zone: Multi-pod is better for stretched BDs and Multi-site for two independent sites with different subnets. Multi-pod is good fit for one site and multiple pods. It can be distributed to multiple sites also.

Cloud Region: Multi-site actually needs multi-pod inside one site if you wanted to do L2 high availability. Then Multi-pod is for L2 availabity zones inside one site and Multi-site forms region with multiple L3 separated independent availabilty zones like public cloud.

Price: The conclusion is that ACI can scale but you have to buy many more components around the basic setup and build your network using ACI-supported architectures. This could mean heavy lifting and investigating platform limits for proper design.

https://www.cisco.com/c/en/us/td/docs/dcn/aci/apic/5x/verified-scalability/cisco-aci-verified-scalability-guide-521.html

[FI] Tietoliikennealan katsaus 2022-02

Ongelmat

Tongan internet on saatu palautettua merikaapeliin 22.2.2022. Kaapelista rakennettiin uudelleen 92 km pätkä Fidzin suuntaan. Väliaikaisen satelliitti-internetin 670 ms viive tippui normaaliin 139 ms:iin. Viive on silti aika iso, koska mittauspiste Singaporessa on yli 9000 km päässä. Kaapelin korjaamisen etenemistä seurasi Twitterissä philBE. Ketjusta saa hyvän kuvan toimien edistymisestä.

Maalla kuidut kulkevat monesti osana rakennettua infraa: siltoja, teitä, tunneleita, rautateitä jne. Välillinen vahinko voi olla riski yhteyksille, kuten parin vuoden takainen junakolari Arizonassa osoittaa.

Ukrainassa sodan alkupäivinä internet-liikenne on tippunut reippaasti normaalista tasosta. Google ei raportoi oman palvelun käytössään häiriöitä Ukrainasta, ennemminkin Valko-Venäjältä. Ukrainalaisilla operaattoreilla on ollut katkoja, mutta internet on toiminut maassa suhteellisen hyvin. Digi- ja varapääministeri Mykhailo Fedorov huusi Elon Muskia Starlinkeineen apuun ja maahan saatiinkin toimivia satelliittiyhteyksiä. Musk kuitenkin varoittaa Starlinkin käytöstä, koska se voi olla Venäjän iskukohde. Starlinkiltä oli saatu myös Tongaan satelliittipaketteja väliaikaiseksi avuksi, ja muuallakin se on auttanut katastrofitilanteessa paikkaamaan paikallista maanpäällistä verkkoa. Tämä hyväntekijän rooli varmasti on hyvää markkinointimannaa Starlinkille, mutta apu on oikeasti tervetullut kun verkot ovat poikki.

Hyökkäykset Venäjän palveluita vastaan ovat johtaneet Rostelecomin vetämään BGP-mainostuksiaan pois ulkomaan reitityksestä. Hallituksen webbipalveluita hostaava AS196747 jouduttiin vetämään pois mainostuksesta, kun Anonymous pommitti mm. gosuslugi.ru-sivustoa. Sattumalta sopivaan aikaan nähtiin myös ukrainalaisen Ukrnames -domain-rekisterin ip-alueen siirto Venäjälle. Ip-osoitteet olivat alun perinkin Venäjältä ja allokointi oli peruttu jo viime kesänä, nyt se vain rekisteröitiin RIPE:n tietokantaan. Samalla verkon reititys siirtyi Venäjälle ruokkien kaappaushuhuja. Kansainvälinen rekisteri Namecheap on potkaisemassa venäläiset asiakkaat pois palvelusta 6.3. mennessä, mikä on aiheuttanut vihaa venäläisissä käyttäjissä.

Muut maat varautuvat kyberiskuihin ja USA:n FCC on esim. laatinut muistion BGP-reitityksen turvattomuudesta. Huonosti toteutettuna varmaan näin ja asian ei pitäisi kyllä kenelläkään tulla yllätyksenä. Paljon on silti tehtävissä parhaiden käytäntöjen mukaan reitityksen suojaamiseksi ja muutenkin kyberturvallisuuden parantamiseksi. Mediassa jaetaan ahkerasti ohjeita turvallisuuden parantamiseksi.

Ukraina on Venäjälle tärkeä kuitureitti länteen. Myös Helsinki on ollut monen operaattorin strateginen portti idän ja lännen välillä. Sodan alkamisen jälkeen ehkä hahmottuu miksi Venäjä on pitkään yrittänyt rakentaa kykyä toimia omavaraisesti irti internetistä. Githubin mukaan Ukraina on avoimessa koodissa kymmenneksi suurin tekijä Euroopassa ja venäläiset ovat kolmanneksi suurin ryhmä saksalaisten ja brittien jälkeen. Ja onhan myös suomalaisyrityksillä toimintaa Ukrainassa, esim. Tietoevryllä on pari tuhatta   työntekijää ympäri Ukrainaa.

AWS on pätkinyt silloin tällöin ja epämääräisiä selittämättömiä häiriöitä on esiintynyt sen päällä toimivissa palveluissa. AWS:n julkisen status-sivun väitetään päivittyvän manuaalisesti, joten se ei kerro koko totuutta palveluiden tilasta.

Operaattorit ja 5G

Tutelan tutkimus rankkasi Suomen operaattorit. Telia voitti tasaisella laadullaan kaikissa verkoissa. Kaikki operaattorit olivat kuitenkin laadultaan erinomaisia, myös 5G:ssä. Tefficient on koonnut Tutelan, Opensignalin ja Ooklan testien tulokset pohjoismaiden osalta samaan taulukkoon.

Aasiasta voimme oppia, että 5G ei yksin riitä operaattoreille, vaan tulovirta vaatii laajempaa liiketoimintapohjaa. Yksi unohdettu käyttökohde 5G:lle on broadcasting, joka olisi sisäänrakennettuna teknologiassa mukana. Verizon, AWS ja Bloomberg testaavat 4K-striimiä edge-toteutuksena, mutta tämä testi taitaa kuitenkin olla perinteistä IP-unicast -striimiä.

Dishin julkisen pilven mobiilicore taitelee toiveiden ja todellisuuden rajamailla, kun tavoitteista lipsutaan jatkuvasti eteenpäin. Vegasin testiverkko on saatu käyntiin, mutta suuria ongelmiakin on mm. hätäpuheluiden, puheluiden ja verkon optimoinnin kanssa. Kova työ on edessä rakentaa toimiluvan edellyttämät 25 kaupunkina 100 päivässä, mutta se on kuulemma tehtävissä.

O-RAN -testejä on saatu käyntiin ja KDDI, Samsung ja Fujitsu väittävät laittaneen maailman ensimmäisen 5G standalone O-RAN -saitin käyntiin. Nokia purnaa O-RAN -valmistajien kaksinaamaisuudesta. Haastajat väittävät olevansa avoimia, mutta kun heiltä pyydetään yhdistämään Nokian tuotteita omiinsa, niin halua ei löydykään. Nokia on tehnyt töitä mm. NTT Docomon, Rakutenin ja DT:n kanssa, ja haluaa olla mukana väistämättömässä O-RAN -kehityksessä. Parempi olla mukana, kuin jättäytyä pois. O-RAN:ssa yhteensopivuuden tekee X2-rajapinta, joka on määritelty 3GPP:n standardissa. X2-rajapinta on perinteisillä valmistajilla suljettu tai maksullinen ominaisuus, joka rajoittaa kilpailua, ainakin haastajien mukaan. On silti epäselvää muuttaisiko avoin rajapinta markkinaa ja onko X2 edes operaattoreille tärkeä vaatimus. Eri valmistajien sotkeminen keskenään samalla alueella ei ole muutenkaan toivottavaa. X2:sta saatetaan tarvita vain valmistajakohtaisen verkon rajalla.

USA:ssa Huawein korvausprojektin budjetointi on jäänyt alimittaiseksi ja todellinen tarve on ainakin kolme kertaa suurempi kuin suunniteltu rahoitus. Hakemusten loppusumma on nyt 5,6 miljardia dollaria. Hajonta hakemuksissa on valtava ja avustuksissa noudatetaan priorisointisääntöä, jolla alle 2 miljoonan asiakkaan kehittyneiden palveluiden operaattorit saavat etuoikeuden. Kaikkien 181 hakijan hakemukset on koottu listalle ja siitä on noussut kysymys lypsävätkö operaattorit valtion rahaa. Korvattavana on 24000 Huawei- tai ZTE-laitetta noin 8400 kohteessa, mikä kuulostaa melko pieneltä määrältä. Esim. Viaero ostaisi Ericssonia 1,2 miljardilla dollarilla, mikä tekisi saittihinnaksi noin 1,2 miljoonaa dollaria. Se on ällistyttävä hinta, koska Dish sanoo rakentavasta saitin 250000 dollarilla. Ericsson puolustaa hintaa sanomalla, että se edustaa kehittyneintä vakiintunutta tekniikkaa, ja hakemukseen saattaa kuuulua myös muuta kuin laitekuluja, jotka ovat loppujen lopuksi melko pieni osa kokonaishintaa.  Jos FCC:n apuraha ei riitä kaikkiin hakemuksiin, jaetaan kaikille kolmasosa haetusta summasta ja isommat operaattorit eivät saa mitään.

Amerikan operaattorien historia juontaa 1800-luvun loppuun, jolloin maanviljelijät rakensivat piikkilanka-aitojen ylälangasta puhelinlinjoja tilojen välille. Linjan pituus saattoi olla jopa 250 km. Cowboyllä oli puhelin, joka kytkettiin lankaan ja näin voitiin tiedottaa akuuteista asioista muille alueen asukkaille. Linjan laatua kehitettiin lisäämällä viskipullon kaulasta eriste langan ja tolpan väliin. Sitten tuli idea siirtää lanka sähköjohtojen kanssa tolppiin, mutta viimeisiä piikkilankapuhelimia löytyi käytöstä vielä 1970-luvulla. Amerikan laajakaistan lyhyt historia kertoo, että Bell rakensi puhelinlinjat kaupunkeihin 1800-luvun lopussa. Kun puhelinpatentti raukesi 1900-luvun vaihteessa, puhelinyhtiöt alkoivat levitä ympäri maaseutua. Sen jälkeen Bell sai monopolin vain pyytämällä sitä hallitukselta varmistaakseen kilpailukyvyn kaupunkilaisyhtiöitä vastaan. Mukaan tuli vaiheittain puhelinyhtiöiden sääntely. Toisaalla AT&T rakensi pitkänmatkanlinjat kaupunkien välille, mikä laski puheluhintoja ja operaattorien tuottojen myötä henkilöstäkin jouduttiin vähentämään. Kilpailu palasi 1990-luvulla sääntelyn poistuttua ja silloin saatiin myös ensimmäiset laajakaistat DSL-tekniikalla. Pienet operaattorit pärjäsivät paremmin ja pitivät verkoistaan huolta kehittämällä niitä, kunnes mobiilioperaattorit tulivat ja kahmivat asiakkaat. Niiden jäljiltä maaseutu jäi huonojen yhteyksien varaan. Nyt sitten laajakaistarahaa on taas jaossa ja kenties jonkinlaista kehitystä tulossa koko maahan.

Tulevaisuuden kehityksessä 6G-visio tulee ulos ITU:lta loppuvuodesta. Geopolitiikka uhkaa standardointia ja 5G-investointien takaisinmaksu hiertää operaattoreita. Kukaan ei tarvitse 6G:tä tai ainakaan emme kaipaa enempää sekasotkua, on operaattorienkin viesti. Voisi olla aika siirtyä 10-vuotisista G-sykleistä jatkuvien pienempien päivitysten malliin. Ongelma on vaan rajoituksessa, jota ei saa ilman vetäviä G-siirtymiä. Taajuuslisensoinnissakin voitaisiin katsoa peiliin ja privaattiverkkojen taajuuksien kanssa malli saattaakin muuttua. Isoilla valmistajilla tuntuu olevan vaikutusvaltaa kehityksessä ja standardoinnissa niin, että itse asiakastarve unohtuu. 6G:ssä moni haluaa olla johtaja ja teknologiavalinnoista saattaa tulla vaikeita. Kiinan lisäksi kehitystä voi nousta vetämään esim. Intia omalla ratkaisullaan.

Anuta Networks on mukana myös 5G-kentässä ATOM-automaatio-ohjelmistollaan, jonka amerikkalainen operaattori  on ottanut käyttöön 5G-standalone O-RAN -verkossaan. Anuta ATOM on yleispätevä automaatiotuote, joka käy myös kampus- ja konesaliverkkoihin. Elisan automaatioyksikkö tunnetaan nykyään nimellä Polystar ja se hakee nyt kasvua Googlen AI-alustasta kuten moni muukin operaattori. Viesti on masentava, Elisalla on ollut maine innovoijana, mutta mitään ei voi, eteenpäin ei pääse ilman amerikkalaista teknojättiä. Kasvua on haettava ja sijoittajia ei kiinnosta onko takana Google vai mikä.

Telenor on pattitilanteessa Myanmarissa kun sitä vaaditaan aktivoimaan pakollisia liikenteen seurantalaitteita, jotka ovat taas Telenorin kannalta Norjan ja EU-sääntelyn piirissä. Toimintaa on mahdoton jatkaa ja huoli asiakastietojen joutumisesta armeijajuntan käsiin on ollut aiemmin kynnyskysymys toimintojen myynnissä. Sijoittajat edellyttävät nyt asiakastietojen suojaamista. Myynti näyttäisi toteutuvan niin, että libanonilainen M1-group liittoutuu paikallisen yrityksen kanssa ja täyttää näin juntan asettamat vaatimukset. Ericssonilla taas on epäselviä maksuja Irakissa ja se on saattanut rahoittaa ISIS-terroristeja. Ericssonilla on alla 17-vuotinen Lähi-Idän ja Aasian lahjusskandaali, joka sovitiiin USA:ssa miljardin korvaussummalla. Nyt kuitenkin uusi lahjusepäily rikkoo tuota sopimusta.

Yritysten Q4/2021-tuloksia voi seurata kootusta operaattori- ja pilvituloskatsauksesta.

Pilvi ja konesali

IT:n keskittäminen saavutti huippunsa viime vuonna ja nyt suunta on jälleen hajautuminen. Edge tulee ja paikalliset alle 10 ms päässä olevat metrosaitit lisääntyvät. Pienemmät toimijat yrittävät kahmia markkinaa Equinixin kaltaisilta isoilta toimijoilta. Julkisten pilvien alueet eivät ole riittävän lähellä toisiaan ja tarvitaan Outpost, Arc tai Anthos levittämään palvelu lähelle käyttäjää. Julkinen pilvi ei suoraan menetä markkinaosuuttaan, vaan se laajenee. Monipilven todellisuus tapahtuukin ehkä kolmannen osapuolen tiloissa ja dinosauruksiksi ajatellut palvelinvalmistajat ovat yhtäkkiä taas mukana pelissä SaaS-palveluillaan. Niillä on kokemus pienemmistä hajaantuneista ympäristöistä, mikä vastaa uuteen tarpeeseen. Infrasta ja arkkitehtuurista tulee hienojakoisempaa ja yhdisteltävämpää, ja niitä voidaan käyttää luovemmin palveluiden toteuttamiseen. Hajautumiseen toki vaaditaan myös pilvinatiivit sovellukset, mikropalvelut ja kontit. Multiprem-termi alkaa näkyä ja kuulua useissa paikoissa.

Omat konesalit säilyvät suuryrityksissä vielä pitkään ja matka hajautuneempaan pilveen on vaikea. Liiketoimintakriittisiä sovelluksia pitää uusia ja pilvi on yhtälailla realistinen vaihtoehto niiden toteutukseen. IT vain pitäisi pystyä pitämään alustariippumattomana, yhdenmukaisena ja hallittavana. Cloudboltin tutkimus vahvistaa näkemystä, että pilven kasvu on törmännyt seinään. Työkalut eivät enää riitä saamaan hyötyä irti eksponentiaalisesti monimutkaistuvista pilvipalveluista. Varsinkin monipilvi vie pilvipalvelut hajoamispisteeseen, jossa vaadittaisin uudenlaisia työkaluja pilvien näkyvyyteen, optimointiin, tietoturvaan ja palveluiden vakiointiin ja yhdenmukaisuuteen. Toisessa kyselyssä pilven suurin ongelma tuntuu olevan resurssien tehokas käyttö ja sopivan alustan löytäminen. Ennen pandemiaa panostettiin tietoturvainvestointeihin, mutta taloudelliset realiteetit pudottivat tietoturvan hännille. Nyt tavoitteet ovat olleet ketteryys, vaatimuksenmukaisuus ja suorien tuottojen hakeminen pilvestä.

Suomessa tietosuojavaltuutettu alkaa selvittää julkisen sektorin pilvipalveluiden käyttöä ja tietosuoja-asetuksen noudattamista osana EU-kartoitusta. Selvityksellä pyritään saamaan tietoa miten henkilötietoa käsitellään pilvessä ja minkälaisiin ongelmiin on törmätty. Kartoituksen pohjalta pyritään muodostamaan parhaita käytäntöjä henkilötiedon käsittelyyn ja varmistamaan tietosuojan taso.

Edge-konsepti on totisesti alkanut levitä. AWS on avannut Local Zonet Helsinkiin osana 32 kaupungin laajennusta. Käyttäjien joukossa on mainittu Supercell. Myös Equinix on julkaissut edge-palvelunsa Suomessa. Palvelu sisältää virtuaalikoneita Equinixin verkossa ja niihin voidaan liittää muita Equinixin palveluita. F5 taas on julkaissut oman pilvialustansa ostamansa Volterran avulla. Palvelu tarjoaa sovellusjakelua ja -tietoturvaa. Nyt voi kysellä missä Microsoft ja Google menevät? AWS Cloud WAN:n arkkitehtuuri, toteutusmallit ja roadmap on esittelyssä The Routing Loop -kanavalla.

Cloudflaren tulos kasvoi 54%, mikä on enemmän kuin pilven kärkikolmikolla. Samalla tehtiin yritysostoja tietoturvaan: Vectrix CASB ja Area 1 sähköpostisuojaus tulevat vahvistamaan Cloudflaren SASE-palveluita. Cloudflaren R2:n perässä myös OVH tuo markkinoille oman object storage -palvelun. Akamai astuu merkittävän askeleen perinteisestä CDN:stä kohti pilveä ostamalla amerikkalaisen Linoden, joka on kehittäjäystävällinen pienempi pilvialusta. Cloudflare ja Akamai ovat siis nousemassa pilvikolmikon todellisiksi haastajiksi, mutta eivät varsinaisesti uhkaa toistensa liiketoimintaa. Tässä hyvä esimerkki miten jättiläiset eivät välttämättä luo todellista uudistumista, vaan se tapahtuu pienempien toimijoiden kautta. Iconiq valottaa raportissaan miten SaaS-yrityksen kasvu ja listautuminen tapahtuu.

Rackspacen asiakaspalvelutaso on pudonnut pohjalle viime vuoden lopulla tehtyjen suurten henkilöstövähennysten jälkeen. Käyttäjät eivät saa tukea, palveluita ei saa irtisanottua ja laskutus vaan jatkuu. Rackspace alkaa kuitenkin tarjota Cloudflaren tietoturvapalveluita asiakkailleen.

Kyberturvayritys Acronis avaa pilvikeskuksensa Helsinkiin. Tarjolla on kyberturvapalveluita osana maailmanlaajuista 111 konesalin ja 100 pohjoismaalaisen kumppanin verkostoa. Aika mahtavan kokoinen setti itselle tuntemattomalta yritykseltä. Decixin julkistuksen jälkeen myös Netnod on tulossa Suomen IXP-kentälle. Yhtäkkiä Suomen verkottumismahdollisuudet kasvoivat huomattavasti kansainvälisemmiksi. Yhdysliikennepisteiden laajentuminen on varmasti myös vastausta pilven laajenemiseen. Tampereen TREX on laajentunut uusilla jäsenillä ja liikenne on pandemian aikana kaksinkertaistunut. Mukaan ovat tulleet Globalconnect ja Telia, ST1. Ficix laajentaa pääkaupunkiseudulla Telian HDC:hen ja Equinixin saliin.

Tallinnassa avattiin Baltian suurin konesali GDC, joka kooltaan 14500 neliötä ja kapasiteetistaan 31,5 MW. Virolle tämä laitos on askel modernimpaan infraan ja laadukkaampiin palveluihin. Kooltaan se on melko iso, vaikka esim. Telian HDC on pinta-alaltaan yli kaksi kertaa suurempi. Sisään voi kurkistaa videokierroksella.

Ilmiselvien energia- ja materiaalikysymysten lisäksi konesaleilla on hoidettavanaan myös äänihaittoja. Konesaleista lähtee äänisaastetta esim. jäähdyttimistä, tuulettimista, generaattoreista ja kovalevyistä, mikä voi aiheuttaa lyhyt- tai pitkäaikaisia psykosomaattisia oireita lähistön ihmisille. Ilmastonmuutoksen kannalta on ironista, että muutosten ennustamiseen tarvitaan kaikkein energiansyöpöimpiä tietokoneita. Simulaatiosta voit katsella miten talosi tuhoutuu myrskyssä. Joka tapauksessa olemme siirtymässä klassisesta Mooren laista SysMoore-aikaan, jossa laskentateho 1000-kertaistetaan takaisin eksponentiaalisen kasvun käyrälle. Kustannukset kuitenkin nousevat ja komponenttien paketoinnissa pitää tapahtua kehitystä, jotta datan siirtely laskentayksikön sisällä onnistuisi. Tätä varten perustettiin elektro-optinen Gen-Z -teknologia, jota HPE ja Dell ovat ajaneet eteenpäin. Silicon-fotoniikkaa kehittävät mm. Intel-Barefoot-Broadcom -leiri ja nyt Startup Ayar Labs yhdessä HPE:n kanssa.

Kyberturvallisuus

Gartner on listannut hypekäyrältänsä pilvitietoturvan “pakolliset” teknologiat. Mukana on tietysti SASE, mutta myös SSE, SSPM ja CNAPP. Saat itse selvittää mitä nämä kirjainhirviöt tarkoittavat. Näistä teknologioista alkaa pikkuhiljaa harhaisuus karista ja siirrytään kohti valaistumisen ja käyttöönoton aikaa. Forcepoint oli ensimmäisten joukossa toitottamassa SASE-sanomaa ja nyt se rummuttaa SSE-mallia, joka on käytännössä sama kuin SASE ilman SD-WAN-osuutta. Forcepoint One yhdistää Bitglassin palvelut omiinsa yhdeksi paketiksi.

Paloalto jatkaa SIEM:n kuoppaamista, koska se ei ratkaise nopean havainnoinnin ja vasteen tarvetta. Tekoälyvastetta tuodaan uudella kamalannimisellä Cortex XSIAM -tuotteella. Arista leipoo kattavamman NDR-toiminnon mukaan kytkimiinsä AVA-teknologian avulla. Kytkimet syöttävät flow-tietoa kattavampaa L2-7-tietoa Nucleus-analysaattorille, joka pureksii tekoälyn avulla esiin uhkia ja tekee korjauksia. Juniper on julkaissut pilvipalomuuripalvelunsa Secure Edge. SRX-muurit voi nyt yhdistää pilvipalveluun tai ottaa koko palomuurin pilvestä. Samalla hankittiin Witesand pääsynhallintavalmistaja vahvistamaan zero trust -toteutuksia. NAC:n ongelma on ollut hankala hallinta ja Witesand yrittää modernisoida sen pilvipohjaisella hallinnalla. Mistifiointi varmasti odottaa tätäkin palvelua ja Juniper vahvistaa tuotepalettiaan jälleen yritysverkon puolella. Nämä ovat konkreettisia merkkejä, että verkko ja tietoturva yhdistyvät samoihin tuotteisiin ja yritykset ovat valmiita niitä käyttämään.

Netskope ilmoittaa laajentaneensa privattipilvialustansa yli 50 alueelle. Cato tähtää listautumiseen ja suunnittelee lisäävänsä työntekijämäärää 40%:lla. Myös Cato panostaa palveluntarjoajiin kuten muutkin SASE/SD-WAN -valmistajat. Paloalto parantaa SASE:n palveluntarjoajaominaisuuksia tuomalla pilivhallintaan hierarkisemman rakenteen ja avoimen API-rajapinnan palveluiden provisiointiin. Palveluita voi helposti tarjota asiakkaille valmiiksi määriteltyinä kokonaisuuksina ja esim. identiteettihallinnan saa tehtyä keskitetysti.

Microsoftin huhutaan havittelevan Mandiantia, jonka arvo on reilut 4 miljardia dollaria eli 0,06 Activisionia. Tietoturvassakin kuitenkin raha liikkuu ja yksisarviset lisääntyvät. Viime vuonna 30 yritystä nousi tähän yli miljardin dollarin arvostuksen kategoriaan. Hyppäys on suuri kun vuonna 2020 yksisarvisia tuli vain kuusi. Myös sijoitukset tietoturva-alalle kasvoivat yli tuplaksi viime vuoden aikana.

Netsecopen on avoin tietoturvalaitteiden testausmenetelmä, joka perustuu RFC-draftiin NGFW-suorituskyvyn mittauksesta. Muutamia sertifioituja tuotteita löytyykin jo Paloaltolta, Fortinetiltä, Juniperilta, Ciscolta, Sonicwallillta, Watchguardilta ja Trendiltä. Firewalla on itselle tuntematon kotipalomuurimerkki, joka tunnetaan värikkäistä design-laatikoistaan. Uusin malli on Purple.

Zero trust on kovassa hypessä, mutta käytännön toteutus on vaikeaa. Tuskin kukaan on saanut toteutusta täysin kattavaksi, eikä varmaan koskaan saakaan. Ei edes zero trustin pioneeri Google seitsemän vuoden käyttöönoton aikana. Aina on poikkeuksia, jotka eivät istu malliin, ja uusia järjestelmiä tulee integroitavaksi niin, että homma on aina kesken. Siihen on vaan totuttava. Parempi kuitenkin tehdä jotain. Googlen BeyondCorp-malliin kuuluu käyttäjän ja laitteen luottamus ja sovelluspolitiikka. Näistä laite on vaikein osuus ja laitteista tarvitaan ensinnäkin kattava inventaariotieto. Laitteelle heitetään tarvittaessa autentikointihaaste, mutta laitteesta ei lopulta voi paljon päätellä. Laiteautentikoinnin lisäksi käyttäjä autentikoidaan vahvasti ja segmentoidut sovellukset pakottavat omat politiikkansa. Sovellusten käyttöä valvotaan koko ympäristön laajuudelta. Kuulostaa yksinkertaiselta, mutta käytäntö on paljon paljon monimutkaisempi. Googlen mukaan yksinkertaiset temput tehoavat: MFA leikkaa murrot puoleen ja siksi SaaS-palveluiden kannattaa pakottaa MFA päälle oletuksena.

Internetin porttiskannausen aktiivisuutta voi seurata SANS Internet Storm Centeristä. Vmware varoittaa, että Linux-hyökkäykset ovat yleistymässä, koska ne ovat tehokas väylä IT-infraan. Iranilaisten valtiollisten hakkerien on todettu käyttävän hyväkseen päivittämättömiä Vmware Horizon -palvelimia. Kymmenen vuotta sitten luotu Linuxin takaovi Bvp47 paljastui vasta nyt ja se pystyttiin yhdistämään NSA:n vakoilutyökaluihin, joita on käytetty hyvin kohdistuneesti vajaassa 300 yrityksessä. Takaporttia on olllut yleisissä Linux- ja Unix-jakeluissa kuten JunOS, FreeBSD ja Solaris. Github avaa Advisory-tietokannan yhteisön päivitettäväksi. Githubin tiimi on ylläpitänyt ohjelmistokomponenttien kattavinta haavoittuvuuslistaa, mutta nyt apua haetaan kehittäjistä, jotka voivat jakaa omat havainnot ja tiedot tietokannan kautta muille. Linux Foundationin tutkimus paljastaa, että ohjelmistojen inventaariolista SBOM helpottaisi ohjelmistokomponenttien välisien riippuvuuksien ymmärtämistä, haavoittuvuuksien löytämistä ja lisenssien hallintaa.

Tekniikka ja operointi

Bob Metcalfe tunnetaan Ethernetin keksijänä, mutta hänellä oli tärkeä aisapari David Boggs, joka kuoli nyt 71 vuoden iässä. Tietoverkkojen ja internetin perusteita voi kahlata avoimesta kirjasta, joka on päivitetty kolmanteen versioon. BGP-opetusmateriaalia löytyy kattavasti NSRC:n sivulta. Kentik on tuonut markkinoille BGP-valvontatuotteen. BGP-kaappausten havainnointiin on olemassa avoimen koodin työkaluja kuten Artemis. BGP-toolsiin on lisätty anycast-havainnointi, joka tunnistaa anycast-osoitteet havaitessaan saman osoitteen useammassa valvontapisteessä. Havaintojen mukaan suurimmat anycastaajat ovat AWS, Cloudflare ja Incapsula. Anycast-osoitteet on myös kerätty listoille. Anycast-tekniikkaa ja sen käyttömahdollisuuksia valotetaan Maxin blogissa.

Justin Pietsch on jatkanut BGP-daemonien testaamista ja edennyt kaupallisiin versioihin. Lisenssiehdot ovat tulleet vastaan. Juniper on antanut luvan julkasita tuloksia cRPD:stä, mutta Aristan cEOS-tuloksiin ei ole julkaisulupaa. Ivan Pepelnjak kumoaa BGP route-reflectorin ja cluster-id:n myyttiä. Cluster-id käsitetään yleensä BGP-päivitysten  luupin estoksi, mutta enemmänkin kyse on päivitysten määrän vähentämisestä.

Taas yksi esimerkki standardoidusta epäyhteensopivasta tekniikasta on SRv6. Osa ominaisuuksista on standardoitu, osa ei. Työtä tekevät eri työryhmät. Lopputuloksena valmistajat tukevat SRv6:n erilaisia ominaisuuksia ja yhteensopivuus ei ole lainkaan taattu. MPLS tekniikkana herättää tunteita puolesta ja vastaan. VXLAN on syönyt MPLS-enkapsuloinnilta sijaa overlay-tekniikkana ja WAN-verkoissa SD-WAN on korvannut MPLS-VPN -palvelua. MPLS syntyi Yakov Rekhterin ja Eric Rosenin ideoista juuri yritysverkkojen tarpeisiin. MPLS-VPN ratkaisi operaattoreille tärkeän operatiivisen ongelman asiakasyhteyksien toteuttamisessa skaalautuvasti. MP-BGP toi mukaan monipuolisen moniprotokollareitityksen ja sitä onkin laajennettu jatkuvasti uusiin käyttötarkoituksiin. Aiemmin MPLS-VPN ratkaisi yritysyhteksien ongelman, mutta nyt juna on kääntynyt SD-WAN:iin ja IPSec-tunnelointiin internetin päällä. MPLS on ainakin omasta mielestä tekniikkana hyvä, yksinkertainen ja skaalautuva. MPLS toimii operaattoriverkon virtualisoinnissa hyvin, mutta palveluiden ja asiakkaiden yhdisteltävyys voi olla huono. Yrityskäyttäjille se näkyy jäykkänä ja raskaana tekniikkana, ja siksi SD-WAN tuntuu houkuttelevalta.

Netris on tuore konesaliverkon automaatiosoftan kehittäjä. Michael Kashin on rakentanut demon Netriksellä abstraktoidusta EVPN-palveluiden orkestroinnista. Toinen esimerkki on Netriksen omasta blogista, jossa kerrotaan miten palveluiden gateway voidaan vaihtaa sulavasti eli toteuttaa inframuutoksia asiakkaan ympäristöön joustavasti.

Verkkoa määritellään yleensä kapasiteetin mukaan. Vaikka linkin 10G-kapasiteetti olisi määrällisesti riittävä, siirtonopeus voi silti kasvaa kun linkin nopeus nostetaan isommaksi. Siirtonopeus kasvaa ja viive pienenee. Tämä voi näkyä esim. levypalveluissa nopeampana vasteaikana. Multipath Datagram Congestion Protocol MP-DCCP on monikanavaprotokolla tiedonsiirtoon viiveherkille sovelluksille epäluotettavassa verkossa. Käyttökohde on mobiilin ja kiinteän yhteyden yhdistelmäverkoissa.

Vaikka liikenne olisi verkossa salattua, siitä jää metadataa mm. liikennemääristä, pakettien koosta ja ajoista. Metatiedoista voidaan vakoilla verkon käyttöä. Ditto on tutkijoiden kehittelmä WAN-liikenteen obfuskointiohjelma P4-ohjelmoitaville kytkimille. Sillä voidaan linjanopeudella sekoittaa metatietoja yhdessä linkissä 70 Gbps -nopeuteen asti. Ohjelma lisää täytettä paketteihin ja luo hämäyspaketteja. P4-ohjelmoitavilla kytkimillä voidaan tuoda tekoälyä myös kytkimien sisälle. Näin saadaan esim. poikkeuksien havainnointi tuotua suoraan linjalle.

Pakettien välityksessä laitteen TCAM tekee taikoja, kun pakettien mätsäämiseen pitää käyttää monimutkaisia hakuja. Valmiit bittimaskit tallennetaan TCAM-muistiin, josta ne ovat käytettävissä yhdellä haulla nopeasti. Epäsuorat rekursiiviset haut ovat vieläkin monimutkaisempia. Aikoinaan ne olivat liian vaikeita raudalla toteutettavaksi, joten keksittiin, että tiedot voi laittaa välimuistiin. Cache-based forwarding lähti Ciscolla Fast Switchingistä ja kehittyi rautapohjaiseksi CEF:ksi. Välimusitiin tallentamista on viety vielä pidemmälle esim. LISP:llä, jota Cisco SDA käyttää.

Kuormanjako oli aikoinaan Ciscon leipälaji, mutta eipä enää. Ensimmäinen tuote oli Localdirector, joka tuli Ciscolle NTI-oston myötä. Tuote ehti markkinoille juuri ennen F5:sta 1996. Kolmas sen aikainen valmistaja oli Hybraweb, josta en ole koskaan kuullutkaan. AOL kuitenkin esti kuormanjaon toimivuuden Megaproxeillaan, jotka piilottivat tuhansia käyttäjiä saman ip:n taake ja hajottivat sessioden pysyvyyden. Arrowpoint ratkaisi asian cookieilla ja L7-kuormanjaolla. Cisco ei kehittänyt omaa tuotettaan, vaan osti Arrowpointin vuonna 2000. Siitä tuli CSS-tuote ja senkin Cisco antoi hapantua nurkkiin. F5, Netscaler ja muut ajoivat ohi. F5:n iRulet ovat olleet jotain ainutlaatuista, mihin Cisco ei pystynyt. Ciscolta tuli vielä CSM, josta tuli ACE, mutta menestystä ei koskaan tullut. Vuonna 2013 Cisco lopettu kuormanjakajat. 

Verkon protokollat ovat yleensä melko historiallisia ja niissä ei ole aina osattu ottaa tietoturvanäkökulmaa huomioon. Valmistajat voisivat kuitenkin tehdä toimivista ja turvallisista asetuksista oletusasetuksia, jotta laitteiden käyttöönotossa ei tarvitse lukea kovennusoppaita. Asia ei aina ole niin yksiselitteinen. Esim. ICMP redirect on yleensä haitallinen ominaisuus, mutta RFC 1812 IP reitittimen asetuksista vaatii sen olevan päällä. Joissakin Ciscon kytkimissä vlanit 1002-1005 on edelleen varattu FDDI:lle ja Token Ringille. Jos et halua Catalystiä verkkoon, ota nämä vlanit käyttöön.

Ubiquitin pilvipalvelun monitorointiosoite ping.ui.com viittaa Clouflaren ja Googlen DNS-palveluiden osoitteisiin 1.1.1.1 ja 8.8.8.8. Aika kyseenalaista laittaa oman palvelun valvonta ulkopuolisen tahon DNS-palvelimen osoitteeseen. Samaa tekee kuulemma Meraki. Itsekin olen todistanut sitä, että ulkopuolinen yritys on laittanut palvelunsa valvonnan pingaamaan jotakin toisen yrityksen palvelun ip-osoitetta. Kun pingattava palvelu on sitten siirretty toiseen ip-osoitteeseen tai poistettu käytöstä, valvonta on hajonnut ja yritykselle on tullut pyyntöjä palauttaa vanha ip toimintaan.

1.1.1.1 ja muut “helpot” julkiset ip-alueet ovat valitettavan yleisiä konfiguraatio-ohjeissa ja muissa materiaaleissa. Toisten julkisia osoitteita päätyy verkon konfiguraatioihin ja ne voivat vahingossa kaapata oikeaa liikennettä itseensä. Ben Cox on tutkinut kuinka paljon vääriä osoitteita näkyy internetissä. Kirjoitusvirheet näyttävät olevan melko yleisiä ja privaattiosoite vääntyykin julkiseksi. Viime vuonna USA:n DOD laittoikin omat isot blokkinsa mainostumaan julkisesti arvattavasti siksi, että he eivät halua turhaan pitää isoja osoitealueita kaapattavina. Tutkiskelun perusteella näyttä, että AWS:n VPC:eissä 16% julkisista osoitteista on DOD:n avaruudesta vallattuja osoitteita. Akamain ohjeen mukaan ip-osoitteita ei pitäisi sitoa tokeneihin esim. sisällönsuojaustarkoituksessa. Internetissä käyttäjän ip-osoite voi muuttua tai osoitteita voi olla monia, esim. NAT:n, ipv4/6 dual stackin, VPN-palveluiden, yksityisyysasetusten, verkonvaihdosten, proxy-palvelinten tai striimien castauksen vaikutuksesta.

Automaation hyöty on helppo menettää tiedon keräämisen puutteisiin. Manuaalinen tiedon haaliminen kasaan sieltä täältä ei ole toimiva tapa ja se estää automatisointia toteutumasta kunnolla. Tärkeää olisi saada tiedot kerättyä yhteen paikkaan, josta on sitten helppo ottaa kuva kulloisestakin verkon tilanteesta.

Microsoft tuo Linuxista tutun eBPF:n myös Windowsille. EBPF:ää voi käyttää myös ohjelmoitavissa verkoissa, joissa sen avulla voi valita mitä sovelluksia ajetaan missäkin alustassa ja softamodulissa. Sonic DASH voi hallita koko kytkimien, verkkokorttien ja muiden laitteiden muodostaman verkon ohjelmoitavaa datapolkua eBPF:n avulla. DASH voi jatkossa pyöriä myös Windowsissa. Windowsin modulaarinen ajurirakenne antaa mahdollisuuksia laajempaan eBPF:n käyttöön kuin Linux.

Dockerin ja verkon toimintaa selitetään Dockerin blogissa. Kontit ovat mikropalvelumaailmaa ja on hyvä muistaa, että konttien ja Kubernetesin kanssa vikasietoisuus perustuu uuden palvelun käynnistämiseen, jonka sovellus hoitaa. Virtuaalikoneita ei tarvitse siirtää mihinkään, eikä verkossa tarvitse rakennella palveluille HA-himmeleitä.

Pakettiverkkojen tekniikkaa voidaan hyödyntää myös sähköverkkojen ohjauksessa. Paketointi ja satunnaistaminen voivat ratkaista sähköverkkojen skaalautumisen tulevaisuudessa, koska käyttöä saadaan ohjattua tasaisemmin pienemmissä “paketeissa”. Ohjelmoinnissa taas voi säästää energiaa valitsemalla sopivan kielen. Viiden vuoden takainen tutkimus vertailee eri ohjelmointikielten energiankäytön, suoritusajan ja muistinkäytön määriä. C ja Rust näyttävät olevan tehokkuudessaan hyviä, Python taas ei. Charity Majors muistuttaa, että työkalujen vaihtamisen täytyy olla perusteltua ja hyöty merkittävä, ennen kuin vaihtoa on edes syytä harkita.

Packet Pushers avasi ennen maksullisen sisällön avoimeen jakeluun. Sieltä löytyy monenlaista kirjaa, valkopaperia ja blogia luettavaksi.

Yritykset ja tuotteet

Infosysin kyselyn mukaan teknologia ei ratkaise yritysten tehokkuustavoitteita. Teknologiaa on lisätty agressiivisesti tekoälyä myöten, mutta digikypsyys on saavuttanut jonkinlaisen huipun ja nyt tehokkuus ei enää lisäänny. Aiemmin ketterät pilvitalot menestyivät, mutta enää eivät. Vähemmän tekniset yritykset ovat jopa hieman tehokkaampia kuin muut. Nyt katse pitää siis kääntää teknologian käyttöön painopisteenä ihmiset ja toiminta. Ja ihmisethän osaavat olla itsekkäitä. Nyt olemma tulleet siihen pisteeseen, että työnhakijat haluavat itselle sopivat välineet työntekoon. Microsoft ja muut kömpelöt jättiläiset aiheuttavat huonoja viboja ja niiden kanssa ei saa sopivaa ilon tunnetta ja intohimoa. Väärät sovellukset voivat karkottaa potentiaaliset kanditaatit.

Suomen IT-kentällä Mintly hakee kasvua siirtymällä MB-sijoitusrahaston omistukseen. Advania ostaa Valtin ja jatkaa voimakasta kasvuaan Suomessa. Pohjois-Pohjanmaan sairaanhoitopiiri PPSHP ulkoistaa ICT-infran ja peruspalvelut Istekille, ja samalla Istekille siirtyy 36 asiantuntijaa. Poliisin ICT-menoista saatiin selvitys. Menot ovat kasvaneet ja käyrä on jyrkkä. Silti investointivelkaa on paljon. Maksut Valtorille ovat kasvaneet lähes 60% kolmessa vuodessa ja IT-hankkeita on epäonnistunut. Vanhentunut tekniikka uhkaa jo tietoturvaa. Suunnitelma on tehty kokonaisvaltaiselle uudistumiselle 5-6 vuoden aikana. “ICT maksaa aina ihan hervottomasti“, joten isot rahat ovat tarpeen. Poliisin luova budjetin käyttö herättää kysymyksiä, onko tämä rahojen siirtely eri käyttötarkoitusten välillä julkisen sektorin tapa? Ainakin valtion rahoitus voi helposti hämärtää liiketoiminnan syy-seuraus  -suhteet.

Asiantuntijoiden ongelma on monesti osaamattomuus liiketoiminta-asioissa. Tekninen velka painaa ja uusintatarpeet eivät löydä budjettia ilman yhteistä kieltä ja kunnon perusteluja. Teknisille ja operatiivisille parannuksille pitäisi pystyä löytämään hinta ja hyöty kuten talousasioissa. Johtajia ei kiinnosta jos homma kestää pidempään tai on vaikeampaa, heitä kiinnostaa lopputulokset, tehostaminen ja hyödyt. Siispä käännetään keskustelu rajallisten resurssien investointiin. Ehdotus, jolla on selvä rahallinen vaikutus ja takaisinmaksusuunnitelma, on tehokkain. Investoinnit ovat positiivinen asia ja takaisinmaksu ratkaisee.

Nokia on päässyt takaisin radalle pitkän kyntämisen jälkeen. Siksi onkin aihetta miettiä oliko Alcatel-Lucent -kauppa järkevä. Suomen suurimmassa yrityskaupassa Nokia sai osaamista, tuotevalikoimaa ja markkina-aseman Pohjois-Amerikassa. Paperilla kaikki näytti hyvältä, mutta käytännössä yhdistymisen kitka veti Nokian seitsemäksi vuodeksi rämpimään Alcatel-Lucentin ailahtelevan keskusjohtoisuuden kanssa, ja kilpailijat menivät sillä välin ohi. Ilman yrityskauppaa Nokia olisi voinut joka tapauksessa menettää asemansa kilpailijoille tai se olisi voitu myydä. Markkinat ovat myös vuosien mittaan muuttuneet. Viimeisten vuosien 5G-aikana Nokian juna on saatu käännettyä ja viimeistään nyt Lundmarkin johdossa tulosta on alkanut syntyä.

MIT:n kyselyn mukaan myrkyllinen ilmapiiri on selvästi suurin tekijä, joka ajaa ihmisiä pois työpaikoista. Palkka ei niinkään ratkaise. Hyvien suoriutujien palkitsemisen puute on myös vahva ennuste työtekijöiden lähdölle. IT-alan uusi trendi on ottaa työntekijät yrityksen omistajiksi. Tämä toimii niille vanhemmille osaajille, jotka eivät ole kiinnostuneita pingispödysitä ja ilmaisista juomista. Tietoturva-alalla tietysti jaksaminen on muutenkin rankkaa kun työmäärä ja vastuu kasvavat jatkuvasti. Rankkuutta lisää se, että vastassa on jatkuvasti uuden tyyppistä uhkaa ja asiaa, joista aivot eivät tykkää. Tyypillisesti ihmiset yrittävät vaihtaa parempiin hommiin saman alan sisällä. Pieni osa uupuu ja palaa loppuun. Ihmisillä on stressiä, epävarmuutta ja pelkoa, joten olisi kaikkien kannalta hyvä myöntää asiat niin kuin ne ovat, ja lopettaa leikkiminen, että kaikki on hallinnassa.

Verkkolaitteiden toimitusajoissa ollaan edelleen ongelmissa ja tilanne kestänee ainakin 2023 alkupuolelle. Entiset viikkojen toimitusajat ovat venyneet jopa yli 430 päivän pituisiksi. Tilanne vaikuttaa kaikkiin valmistajiin, mutta eri tavalla. Parempia ja kalliimpia laitteita voi saada helpommin. Vaihtoehtona voi yrittää löytyy käytettyjä laitteita tai optimoida olemassa olevien laitteiden käyttöä. Ukrainan sota vaan lisää ongelmia, koska Aasian lentoreitit kulkevat pitkälti Venäjän yli.

Cisco ja Aruba ovat molemmat yhdistäneet privaatti-5G:n ja wifin samaan pakettiin yritystuotteeksi, jota palveluntarjoajat voivat myydä asiakkailleen. Kummallakin on kumppaneina JMA Wireless ja Airspan, jotka yhdistetään yritysten omiin wifi-tuotteisiin. Aruba väittää olevansa Ciscoa edellä NaaS-tarjoamassaan, mutta yrityksillä on ollut hieman erilainen lähestymiskulma palveluun. Markkinassa on kuitenkin nähtävissä jakautuminen isoihin yrityksiin, jotka haluavat parhaat tuotteet eri valmistajilta, ja pienempiin yrityksiin, jotka haluavat verkon ja tietoturvan yhdessä paketissa. NaaS:n osalta käyttäjät odottelevat vielä sopivaa tuotetta. Mmarkkinapaikka voisi olla jonkun uuden tulokkaan otettavissa. Myös Vmware muuntaa kaikki tuotteensa SaaS-malliin.

Cisco on tarjonnut Splunkista 20 miljardia dollaria. Muuta kommenttia asiasta ei irtoa. Robbinsin mukaan joka ostoksen yhteydessä tarkastellaan 10-15 yritystä. Ostoslistalla tuntuu olevan näkyvyys- ja tietoturvatuotteita. Splunkin hintalappu on kova ja kauppa ei vaikuta todennäköiseltä. Pienemmät yritykset, jotka täydentävät Thousandeyeysiä ja Appdynamicsia sopisivat Ciscon strategiaan paremmin. Muina vaihtoehtoina Splunkille on nähty mm. Devo, Exabeam, Cribl, Observe tai Gigamon. Splunkin kanssa raskaassa sarjassa pyörivät myös Dynatrace ja Datadog, mutta niistä puuttuisi tietoturvaosuus.

Citrixin taru saattaa saada käänteen uuden omistusjärjestelyn myötä. Vuosi 2020 oli vielä tulokseltaan hyvä, mutta viime vuonna Citrixin tulos tippui lähes puoleen. Mikä meni pieleen? Suunta katosi kun pitkäaikainen toimitusjohtaja ja visionääri Mark Templeton lähti 2015. Hän toi taloon mm. aikoinaan menestyksekkään Netscalerin. Johtajia on sen jälkeen mennyt ja tullut, strategia on ollut epäselvä, ja siirtymä pilveen ja SaaS:iin ei ole onnistunut. Tibcon kanssa Citrix pääsee nyt pilveen, mutta yhteistä tarjoamaa ja hyötyä ei silti taida oikein löytyä. SASE:n ja SD-WAN:n myyminen sovellusvirtualisoinnin asiakkaille voi olla vaikeaa, koska tarpeet ovat erilaiset. Siksi Citrixin puolelta voisikin nousta uusi verkkotuotteisiin erikoistunut yhteisyritys.

Uudet verkkovalmistajat Drivenets ja Arrcus molemmat väittävät ottavansa markkinaosuuksia Ciscolta ja Juniperilta. Drivenets tunnetaan pilvinatiivista ohjelmistostaan ja Arrcus on perinteisempi käyttöjärjestelmävalmistaja. Hallintaan ja operoitavuuteen on kiinnitetty huomiota. Hyökkääminen rautavalmistajia vastaan on turhaa, koska jossain alustassa softaa on ajettava, ja softaratkaisu tuskin on kokonaisuudessaan sen halvempi käyttäjälle kuin rautaan perustuvakaan. Joustavuutta kenties tulee lisää, jos sitäkään. Cisco on uudistanut Catalyst-sarjaa 9500/9500X-malleilla, jotka perustuvat Silicon One Q200 -ASIC:iin. Silicon One -perhe laajenee nyt siis yritysverkon puolelle, jossa tarvitaan joustavia ominaisuuksia. Siksi kytkimissä on P4-ohjelmoitava arkkitehtuuri, jota voi muokata monenlaisiin käyttötarkoituksiin. Pluribus on esitellyt seitsemännen polven kytkinohjelmiston avoimille kytkimille. Hallintaan on ympätty mukaan Kubernetes- ja flow-näkyvyystyökaluja ja virtualisoitu packet broker.

Ex-Ekahau, ex-Mist Jussi Kiviniemi on tullut ulos piilosta uuden yrityksensä kanssa. Hamina Wireless tekee radioverkon suunnitteluohjelmistoa, joka yhdistää wifin ja mobiiliverkon samaan tuotteeseen. Lorawan-verkkoa saa nyt Digitalta maailmanlaajuisesti The Thing Industries -yhteistyön kautta.

Ciscon Networking Academy jatkaa porskuttamistaan 24 vuoden jälkeenkin. Toiminta alkoi kun Cisco lahjoitti paikalliseen kouluun laitteita parantaakseen koulun toimintaa. Koululta kuitenkin tuli pyyntö, että he tarvitsisivat apua siihen miten laitteita käytetään. Ja Ciscohan vastasi pyyntöön. Nykyään koulutusohjelmaa vedetään 40% kunnallisista lukioista ja sen myötä koulutuksella on tasa-arvoistava vaikutus. Ohjelman antia on myös yhteistyö jatkokoulutuksen ja yritysten kanssa. Cisco sanoo kouluttaneensa alalle lähes 3 miljoonaa oppilasta 2005 alkaneen tilastoinnin jälkeen.

Uros on Suomen Theranos. Todellisuus menestyksen takana: 84 työntekijää, 15000 euroa rahaa kassassa, 20 miljoonaa velkaa, veronkiertoa ja kirjanpito tekemättä. Väitetty 1,3 miljardin liikevaihto tekisi yli 15 miljoonaa per työntekijä. Yrityksellä oli yksi tuote, johon liittyi sutkautus “tikku sisään, niin kuin uros tekee”.

Internet

OECD on julkaissut uudet laajakaistatilastot. Kuitu kattaa nyt 32% kiinteiden laajakaistojen tilauksista jäsenmaissa. Kasvua on 12% viime vuodesta. Tilastoista saa myös tarkempaa tietoa esim. levinneisyydestä, nopeuksista, käytöstä ja hinnoista. Nielsenin mittauksissa amerikkalaisten striimaus nousi kaikkien aikojen ennätykseen viime vuoden joulukuussa. Siirtotavat jakautuvat melko tasan kolmeen kaapelin, broadcastin ja striimingin kesken. Netflix on hyytynyt kasvussa ja Disney+ kasvattaa nyt eniten tilaajamääriään. Sillä on 130 miljoonalla tilaaja, kasvua tuli viime vuodesta 37%.

Merikaapelialan asioista tietoa jakaa Submarine Telecoms Forum. Sen sivuilta löytyy mm. kartta kaapeleista, raportteja, uutisia ja muita julkaisuja. Starlink yrittää parantaa kannattavuuttaan tuomalla markkinoille Premium-tilauksen, joka maksaa 500 dollaria kuussa. Parempaan ja taattuun nopeuteen vaaditaan myös parempi 2500 dollarin hintainen laitteisto. Kohderyhmää ovat yritykset. Yhteyden luvataan toimivan kovissa olosuhteissa, joten käyttökohteita voi löytyä äärimmäisistäkin paikoista. Tosin perusmallin lautasessakin on lumensulatustoiminto.

Starlinkin alkuhuuman jälkeen on noussut esille koko homman kannattavuus. Viimeisin 49 satelliitin laukaisu maksoi huhujen mukaan 60 miljoonaa dollaria. Siis yli 1,2 miljoonaa per satelliitti. Hinta toki laskee kun raketit kehittyvät, mutta silti satelliitin hinta on Muskin laskujen mukaan vähintään 200000 dollaria kappale. Satelliitin elinikä on 5-7 vuotta, joten niitä joudutaan syytämään taivaalle jatkuvasti. Myös maayhteydet voivat olla kalliita, varsinkin kaukaisilla alueilla. Palvelu on silti täytynyt hinnoitella niin, että se on kannattava pidemmällä tähtäimellä, vaikka nyt alkuun otetaankin tappiota.

Viimeisessä Starlinkin laukaisussa 40 satelliittia ei päässyt kiertoradalle kun geomagneettinen myrsky veti ne takaisin maan ilmakehään. Hienoa debristä voi katsella Puerto Ricon taivalla. Aurinkomyrskyt ovat tuttuja ja niiden vaaroista varoitellaan ajoittain. Tutkijat mallinsivat myrskyjen vaikutuksia internet-infralle ja väittävät, että merikaapelit ovat herkempiä myrskyn vaikutuksille kuin maakaapelit. Ala itse toteaa, että merikaapelit kyllä hyvin sietävät ulkopuolisia jännitteitä ja kaapelit ovat kestäneet hyvin aiemmat aurinkomyrskyt. Tutkimuksen mukaan DNS-infra on hyvin hajautettu, joten vaikutukset sen osalta olisivat pienet. Samoin Googlen konesalit on maantieteellisesti hyvin hajautettu. Aurinkomyrskyn vaikutukset olisivat sijainnin mukaan vaihtelevia. USA ja Eurooppa todennäköisesti menettäisivät yhteydet keskenään, mutta Euroopan sisällä lyhyet kaapelit olisivat varmatoimisempia.

Metaversumin hienoudesta tai huonoudesta antaa hyvää näkökulmaa Dave Tähtin esitys paremmasta tulevaisuudesta, johon voisi sisältyä enemmän tavaraa omalla koneella, enemmän avointa koodia, enemmän ipv6:sta, yksityispilviä ja tiedon ottaminen omaan hallintaan. Metaversumin osalta fysiikan rajat tulevat vastaan kun kokonaisvaltaiseen virtuaalitodellisuuteen vaadittaisiin vähintään tuhatkertainen laskentakapasiteetti. Tällähän on myös joku hintalappu ja on mielenkiintoista nähdä kuka näitä kuluja maksaisi. 5G voi toimia esimerkkinä miten investoinneille pitää löytää maksaja.

Kryptomaailmassa on nähty ovela huijaus, joka perustui BGP-reitityksen kaappaukseen. Korealaisen Klayswap-alustapalvelun infran reititys varastettiin väärällä AS-numerolla ja näin saatiin kehittäjäalustan liikenne kaapattua. Alustalla hostattiin integraatiosovellusta, joka kehittäjien piti ladata. Kehittäjät saatiin lataamaan haitallinen koodi, joka jäi odottamaan selaimeen maksun siirtoa. Siirron ilmaantuessa, rahat siirrettiin hyökkääjän lompakkoon. Kolmen tunnin hyökkäyksen aikana saatiin kerättyä melkein parin miljoonan dollarin arvosta kryptovaluuttaa. Juuri talous onkin web3-maailmaan hyökkääjiä houkutteleva piirre. Kehittäjien pitäisi nyt skarpata tietoturvassa ja olla kiirehtimättä huonosti koodatun tai haavoittuvan sovelluksen julkaisemisessa. Kehitys web3-maailmassa on avointa, joten toisten virheistä olisi helppo oppia. Ja näitä virheitä on tosiaan jo sattunut.

Tapahtumat

Apnicin Apricot 2022 -konferenssista löytyy paljon verkko- ja internet-asiaa. Samoin NANOG84-esityksistä.

Cloud Field Day CFP13 esitteli Netappin, Pure Storagen, Kastenin, Vmwaren, Metallicin, Stormforgen, RckN:n, Fortinetin tuotteita.

WLCP Phoenix 2022:ssa pidetiin 33 esitystä wifin maailmasta.

Taiwanin P4 Workshop esittelee ohjelmoitavien verkkojen innovaatioita.

Fosdem’22 tarjoaa pläjäyksen kehittäjäasiaa.

Kuukauden mainos

Jim Carreyn sähköputkimies on palannut ruutuun 26 vuoden takaa Verizonin uudessa 5G-mainoksessa, joka nähtiin Superbowlissa. Myös T-Mobile USA oli kisaamassa mainoshuomiosta väliaikashow:ssa Dolly Partonin ja Miley Cyruksen kanssa. Jopa analyytikot arvioivat mainoksia ja Verizonin putkimies voitti.

[FI] Tietoliikennealan katsaus 2022-01

Ongelmat

OP joutui palvelunestohyökkäyksen kohteeksi sunnuntaina 9.1.2022. Volumetrinen hyökkäys kaatoi op.fi-sivuston aamupäivän ajaksi. Kummastusta herätti nettisivun virheviesti ”221 2.7.0 Error: I can break rules, too. Goodbye.”, joka on kuitenkin postipalvelin Postfixin vakioviesti kun se ei vastaanota lähetettävää dataa. OP:n palvelu näyttää olevan Akamain suojauksen takana.

Andorrassa järjestetty pelistriimaustapahtuma johti palvelunestohyökkäykseen Minecraft-pelaajia vastaan ja sitä kautta aiheutti maan ainoan operaattorin internet-palveluihin katkoja koko viikonlopun ajan. Taustalla oli turnauksen iso palkintosumma ja ainakin kahdeksan pelaajaa eliminoitiin hyökkäyksellä pois.

Tyynellä merellä tulivuoren purkaus 15.1.2022 katkaisi Tongan merikaapelin ja eristi saaren kokonaan internetistä. Tonga on yli 30000 km pitkän kuituverkon varrella USA:n länsirannikon ja Australian välillä, ja se kytkeytyy vain yhdellä kuidulla verkkoon. Kaapeli katkesi noin 37 km rannikolta. Heti järistyksen jälkeen nähtiin ensin liikenteen väheneminen ja reilun tunnin jälkeen koko yhteys katkesi. Kenties vedenalainen maanvyöry katkaisi silloin kaapelin. Väliaikainen ja rajoitettu internet-yhteys Tongaan saatiin palautettua satelliitin kautta viikon päästä 21.1.

Merikaapelin korjaamiseen menee aikaa arviolta reilu kuukausi. Lähin korjausalus on TE Subcomin CS Reliance Papua-Uusi-Guinean Port Moresbyssä yli 4000 km päässä. Laiva oli matkalla vikapaikalle ja pitäisi olla siellä helmikuun alussa. Kaapelin korjaus kestää arviolta muutaman viikon. Jo kaapelin löytäminen voi olla vaikeaa tulivuorenpurkauksen jäljiltä. Kun sitten kaapeli löytyy, alus nostaa sen pinnalle ja väliin lisätään uusi pätkä kuitua. Liittäminen kestää jopa 16 tuntia. Sen jälkeen kaapeli lasketaan takaisin mereen ja pohjarobotti hautaa sen merenpohjaan. Reutersin jutussa on hyviä karttakuvia ja tietoa korjaustoimista.

Huippuvuorilla maailman pohjoisin merikaapeli SUCS katkesi 7.1.2022. Toinen kahdesta kaapelista jäi toimintaan, joten yhteys saarelle ei katkennut kokonaan. Katko on jossain 130-230 km päässä Svalbardista. Norjalaiset ihmettelevät mitä tapahtui ja epäilyt sabotaasista ovat vahvoja. Huippuvuorilla on puolustusyhtiö Kongsbergin satelliittiasema. Venäjä pitää sotaharjoituksiaan Irlannin lähellä, jossa on Euroopan konesali- ja merikaapelikeskittymä. Irlantilaiset kalastajat saivat venäläisharjoituksen siirrettyä kauemmas, mutta silti harjoitus on melko varmasti kaapelien lähellä. GIUK-väylä Grönlannin, Islannin ja Iso-Britannian välillä on strategisesti merkittävä alue sukellusveneille. Aiemmin pelätty Venäjän tiedustelualus Yantarin on nähty liikkuvan kaapelireittejä pitkin.

Merikaapelialalla on oma etujärjestönsäkin International Cable Protection Committee ISCPC, joka pitää huolta 97% maailman merikaapeleista 180 jäsenen ja 60 maan voimin. Kaapelikatkot ovat suurimmaksi osaksi luonnollisia, mutta laivoilla on kuitenkin suuri vaikutus niihin. Aasiassa Kiina kylvää konfliktia ja epäilys tahallisista vahingoittamisista kytee. Japani vahvistaa omaa kytkeytymistään muuhun maailmaan hajauttamalla kaapeleita, konesaleja ja muuta kriittistä infrastruktuuriaan eri puolille saaria. Intian osalta on ollut kolme yhtäaikaista kaapelikatkoa, joiden vaikutus on näkynyt Eurooppaan suuntautuvan liikenteen hitautena. Liikenne Intiasta Eurooppaan on kiertänyt Aasian ja USA:n kautta, joidenkin operaattorien välillä. Ranskassa tapahtui Bordeauxin SFR Netcenterin ulkopuolella iso kuitukatko, jossa 1600 kuitua meni poikki.

Maailman suurimpiin operaattoreihin kuuluva Verizon ei edelleenkään tee edes perus BGP-suodatusta. Se mainosti väärää tarkempaa reittiä Cloudflaren 1.1.1.0/24-verkkoon kohti Brasilialaista operaattoria, joka oli kaapannut ja vuotanut reitin Verizonille.

Iso amerikkalainen domain-rekisteri ja webbihostaaja Enom sössi konesalimuutoksen yhteydessä webbi- ja nimipalvelunsa alas 15.1.2022. Sen myötä asiakkaat eivät päässeet enää webbisivuilleen tai sähköposteihin. Tilannetta pahensi, että asiakas ei myöskään voinut tehdä DNS-muutoksia ja siirtää palveluita muualle. Asiakkaat olivat toimimattoman palvelun vankeina jopa 36 tuntia.

Robloxin tooosi pitkä katko viime lokakuulta sai vihdoin selityksen. Perusteellinen post-morten julkaistiin ja se sai laajan huomion mediassa. Robloxilla on oma infra, jossa on yli 18000 palvelinta ja niissä 170000 konttia ajossa. Työkaluina on käytössä Hashistack eli Nomad, Vault ja Consul. Tässä tapauksessa service mesh -tuote Consul oli ongelma. Sen suhteellisen uusi streaming-ominaisuus laukaisi bugin, joka aiheutti kuormituksen BoltDB:lle. Vian löytäminen oli vaikeaa kun taas kerran hallintatyökalut olivat vian vaikutuksen piirissä ja niiden käyttö oli estynyt. Vika löytyi viimein yhteistyössä Hashin kanssa. Robloxilla on nyt tarkoitus hajauttaa infra useampaan konesaliin ja availability zoneen, ja poistaa riippuvuuksia hallintatyökalujen ja tuotantoympäristön väliltä.

Operaattorit ja 5G

Telia ilmoitti, että 5G-liikenteen määrä ohitti 3G-liikenteen Suomessa viime vuoden lopussa. 5G-asiakkaat käyttävät mobiilidataa 40% enemmän kuin 4G-asiakkaat. Myös 4G-puheminuutit eli VoLTE ylitti perinteisen 3G-puheajan. Eli nyt voisi sanoa, että ip-puhe on valtavirtaa mobiiliverkoissa.

5G:n vaikutus käyttökokemukseen ei ole valtava. Harva näkee käytännössä mitään eroa megabittien määrässä. Suurin hyöty 5G:stä onkin uusien taajuuksien käyttöönotossa. 4G-verkot olivat pahoin ruuhkautuneita ja niihin kaivattiin lisää kapasiteettia ja kapasiteetin myötä voitiin myös kiinteitä laajakaistapalveluita tarjota laajemmin. Täysin toimiva 4G-saitti nähtiin vasta 2018 lopussa. 4G:n parantaminen markkinoitiin 5G-muutoksena, joka oli välttämätön. Tällä ei ollut oikeasti mitään tekemistä 5G:n kanssa, vaan operaattorit tarvitsivat vain lisää taajuuksia ja asia saatiin lobattua läpi paremmin vetävällä 5G-tarinalla. Sama markkinarumba on kohta käynnistymässä 6G:n kanssa.

5G-yksityisverkkojen markkina ja käyttökohteet ovat monimutkaisempia kuin ajatellaan. Dean Bubley tunnistaa markkinassa kolme kohderyhmää: kriittinen viestintä, mobiiliverkot sisällä ja pilvi-IoT-verkot. Näillä on toistaiseksi yllättävän vähän yhteistä. Ja oikeastaan kyse on enemmän 4G-verkosta kuin 5G:stä. AT&T:n näkemys on, että ala on kehittymässä kohti integroidumpaa tarjontaa, jossa asiakas ostaa kaikki yhteyspalvelut samasta luukusta. Operaattori on hyvässä asemassa jos pystyy tarjoamaan kaikki palvelut. Tämähän on nähty Suomessa jo vuosia sitten tietoliikennepalveluiden vahvana keskittymisenä operaatoreiden kylkeen. En nyt kuitenkaan tiedä onko tämä parantanut asiakaskokemusta.

USA:ssa alan sääntely tai sen toimimattomuus on saanut aikaan jupakan 5G:n C-taajuuksien käytöstä lentokenttien lähistöllä. Operaattorit ja valtion virastot ovat jo vuoden tienneet mahdollisista ongelmista 5G-taajuuksien vaikutuksesta lentokoneiden korkeusmittareihin, mutta asialle ei ole tehty mitään. Nyt AT&T ja Verizon ovat ottamassa taajuuksia käyttöön ja ongelma laukesi käsiin. Hämmentävää kyllä, mahdollinen ongelma koskee vain amerikkalaisia, koska siellä 5G:n taajuusalue on 3,7-3,98 GHz, joka on lentoalan mukaan liian lähellä mittareiden käyttämiä 4,2-4,4 GHz:n taajuuksia. Euroopassa 5G toimii alemmalla 3,4-3,8 GHz:n taajuudella ja varmuusvara on suurempi. USA:ssa on perustettu lentokenttien ympärille kieltoalueita, joilla 5G-tehoa on vähennetty vähintään kymmenkertaisesti. Ranskassa taajuudet on otettu käyttöön kevyin rajoituksin ja ongelmia ei EU-alueella ole.

Sääntelyyn vaikuttaminen ja oman edun ajaminen on operaattoreille iso kuluerä. USA:n kahdeksan suurinta operaattoria käyttivät viime vuonna 66 miljoonaa dollaria lobbaamiseen. 5G:llä ja laajakaistarahoituksella on ollut osansa.

Open RAN -markkinasta on nyt eriäviä mielipiteitä. Dell’Oro näkee kehityksen positiivisena. O-RAN on saanut kunnolla jalansijaa ja se voisi saada n. 15% markkinaosuuden vuoteen 2026 mennessä. Heavy Readingin kysely kertoo, että edistyminen on tasaisen hidasta. Euroopassa kuitenkin operaattorien investoinnit O-RAN:iin ovat mitättömiä. Suurimmat riskit ovat TCO-laskelmissa ja teknologiakuilussa uuden ja vanhan teknologian ja valmistajien välillä. BT demoaa Nokian O-RAN RIC:iä EE:n mobiiliverkon optimointiin. Samaan aikaan”oikean” 5G:n standalone coret ovat harvinaisia. Vain 19 toteutusta on tehty maailmanlaajuisesti ja määrän odotetaan tuplaantuvan tämän vuoden aikana.

Huawei on aloittanut välimiesmenettelyn Ruotsin valtiota vastaan ja vaatii korvauksia Huawei-kiellosta. Alkuperäinen korvausvaatimus oli 495 miljoonaa euroa, mutta se voi nousta paljon isommaksikin. Ruotsi on toinen maa Euroopassa, joka on kieltänyt Huaweit ja määrännyt poistamaan nykyiset laitteet käytöstä. Hinta voi olla Ruotsille kova ja vaikutukset laajoja. Huawei on tippunut RAN-markkinaosuuksissa kolmanneksi Ericssonin ja Nokian taakse tutkimusyhtiö Mobile Expoertsin mukaan. Näkemys on täysin erilainen kuin Dell’Oron tilastoissa, joissa Huawei on edelleen kärkipaikalla.

Toistimet ovat historiallisia komponentteja mutta tekevät nyt tuloa 5G-verkkoihin, joissa tarvitaan signaalivahvistusta. Uudet toistimet ovat “älykkäitä” ja ne osaavat vahvistaa valikoivasti eri taajuuksilla, eri aikana ja eri suunnista. Lisäksi pintamateriaalit ja muodot ovat muokattavissa ympäristöön sopiviksi. Myös perinteisten mikroaaltolinkkien myynti näyttää kasvavan sekä operaattoreilla että muussa IT-käytössä.

Tele2 Viro laajensi Baltic Highway -kuitureitin Suomeen. Nyt Suomesta pääsee Frankfurtiin Baltian ja Puolan kautta osin ilmakaapelia pitkin.

Telia Carrier on lopullisesti tehnyt pesäeron entiseen emoonsa. Uusi nimi on Arelion ja se lausutaan ah-ray-li-yon. Onko se leijona vai oikea leijona? Saku Ytti tietää kertoa, että Telian vanha brändi oli muutettava ja että Arelion on World of Wordcraftin limapeittoinen ruumis. Telia Carrierilla on ollut ainakin väliajan käytössä myös twelve99-nimi. Kauas Teliasta Arelion ei päässyt uudella violetilla aallonpituusvärillään. Logo esittää erikoisliittimiä, joilla kaksi pistettä yhdistetään kaapeleihin, mutta se on kyllä aika kömpelön näköinen. Arelion kuvaa voimaa, ketteryyttä ja intohimoa. Taustalla on adjektiivi reliable, jota on inspiroinut tähtien nimien voima, kauneus ja valo. Arelion on meitä johdattava valo.

Telenor on tosissaan modernisoimassa toimintaansa AWS-kumppanuuden avulla. Se tähtää 5G-palveluiden tuomiseen tietyille toimialoille pilven avulla. Ennestään Telenorilla on AWS:ssä pyörivä kokonainen mobiilicore ruotsalaiselle virtuaalioperaattori Vimlalle. Puhtaalta pöydältä aloittaneen Dishin toimintaideat on koottu periaatteiksi:

  • Pilvi- ja DevOps-ajattelu
  • Pakollinen, mutta toissijainen alusta
  • Kevyt investointimalli
  • Omat työnkulut ja mallit
  • Sisäänrakennetut ja aktiivisesti hallitut luotettavuus, laatu ja turvallisuus

Dish myös ottaa käyttöön chaos engineeriä Verican tuotteen avulla. Tarkoituksena on varmistaa järjestelmien toimivuus kaikissa tilanteissa ja löytää ympäristöstä haavoittuvuuksia.

Pilvi ja konesali

AWS:n työpaikkailmoituksista selviää, että se on suunnittelemassa uutta verkon control planea. Nyt haetaan henkilöitä visioimaan tulevaisuuden pilvialustaa alusta alkaen uusiksi. Myös Prime Videon ja CDN:n puolelle on tulossa laajennuksia. Kapasiteetin kasvatusta tehdään isoja tapahtumia varten, kumppanuuksia muiden CDN:ien ja operaattorien kanssa haetaan, toistosuorituskykyä pyritään parantamaan huonoissakin verkko-olosuhteissa ja sisäistä yhteistyötä pyritään kehittämään. Ben Adam kuvaa millaista oli olla töissä AWS:llä teknisissä hommissa. AWS on päivittämässä Certified Advanced Networking – Specialty -sertifikaattikoettaan ja uusi koe on nyt betatestauksessa saatavissa puoleen hintaan 150 dollarilla huhtikuun alkuun asti. Daniel Dib kertaa oman AWS Advanced Networking -sertifioitumistarinansa. Azuren sertifiointimateriaalia löytyy John Savillin kokoelmista. Youtuben videomateriaali on kuratoitu kokoelmaksi.

Pilven käytön kasvusta on vaikea saada selkoa. Toisaalta usko, toivo ja rakkaus pilveen on kovaa, mutta silti IDC kertoo pilvi-investointien olevan vain 6% kaikista IT-menoista. Vaikea sanoa onko 6% paljon vai vähän, luultavasti normaalin infrakulun luokkaa. Pääpaino investoinneissa taitaa olla kuitenkin sovelluksissa ja SaaS-palveluissa, jotka ovat nyt osa pilvipalvelua. Siinä mielessä kuvittelisin, että pilven osuus investoinneissa kasvaisi reippaasti. Pilven kasvupotentiaali onkin juuri yritysten vakiintuneissa IT-palveluissa, ei niinkään pilven alkukasvua ruokkineissa startup- ja pilvinatiiviedelläkävijöissä.

Troy Hunt joutui kantapään kautta toteamaan pilven siirtokustannusten vaikutuksen Have I Been Pwned -sivun ylläpitäjänä. Palvelu pyörii Azuressa ja edustalla on Cloudflaren edge cache. 98% palvelun kuluista tulee pilvipalvelun siirtomaksuista. Joulukuussa siirtomaksut pomppasivat ylös ja selvittelyn jälkeen selvisi, että edge cache ei toiminut ladattaville tiedostoille ja kaikki data ladattiin Azuresta asti ulos. Lopputuloksena oli normaalikäytöllä 11000 AU$:n kuukausilasku, joka tekee 350 AU$ päivässä. Cloudflaren johtaja Matthew Prince tuli hätiin ja jakoi laskun Azure-kaverinsa kanssa. Siirtomaksut ovat mitä ovat, se ei ehkä ole suurin ongelma, vaan se miten vaikea niitä on ennakoida.

Mitä IT-infrassa tapahtuu sijoittajan silmin? Kleiner Perkins avaa trendejä. Menossa on pilvialustojen hajautuminen. Pilven johtokolmikkoa haastamaan tulee uusia serverless-toimijoita, kuten Netlify, Snowflake, Planetscale ja Vercel. Pilvien heikkous on niiden käyttöliittymät, mitä uudet toimijat hyödyntävät kilpailussa. Pilvialustojen vastaus kilpailuun on yhteistyö, koska omien palveluiden kehittäminen on niille kallista. Pilvi-infra voi alkaa kehittyä enemmän perushyöykkeeksi, koska sillä saadaan kerättyä hyvä kasvu vähällä vaivalla. Se kuitenkin johtaisi kehittäjien eroon pilvialustasta, joten yhteistyö sovellustoimijoiden kanssa on tärkeää. Tietoturvassa on siirrytty kohti zero trust -mallia, mutta toimitusketjun turvallisuus on jäänyt laahaamaan jälkijunassa. Sovellusmaailmassa luotetaan paljon repositoryihin, kuten Githubiin ja Gitlabiin. Niitä vastaan hyökkääminen voi altistaa kaikki järjestelmät uhille hyvin helposti. Siksi zero trust -malli on tuotava myös koodinhallintaan. Web3 tekee tuloaan ja olennaista siinä on se, että meillä on nyt uusi työkalu ratkoa sovellusten oikeita ongelmia. Pintaa on vasta raaputeltu. Samat vanhat ongelmat ovat edelleen käsissä ja työkalut, valvonta, analytiikka yms. pitää tietysti myös rakentaa web3-maailmalle. Tähän on syntynyt vireä startup-ekosysteemi.

Microsoft osti Activision Blizzard -pelitalon vajaalla 70 miljardilla dollarilla. Se on samansuuruinen summa kuin mitä se on investoinut Azureen. Azuren kasvu on ollut hurjaa myös viimeisellä Q4:lla. Azuren ja muiden pilvipalveluiden liikevaihto kasvoi 46%.

Monipilvi on täällä kertoo Nutanixin kysely. Dell julkisti uusia Apex-perheensä ominaisuuksia monipilvelle. Dell ja HPE rautavalmistajina ja hybridipilven lähettiläinä lupaavat parhaat puolet molemmista maailmoista. Tosiasiassa ne taistelevat modernien softajättiläisten kanssa ja tuskin tulevat pärjäämään kovin hyvin hallintaominaisuuksissa ja IT:n modernisoinnissa yleensäkään. Hyperkonvergenssialustoissa Vmware ja Nutanix jatkavat markkinajohtajina ottaen 66% koko markkinasta. Perässä hiihtävät Huawei, Cisco ja HPE.

Mediassa on noussut esiin termi supercloud, joka on jargonia pahimmasta päästä. Mikä ihme on superpilvi ja mikä siinä on uutta? Termi on lähtenyt jostain journalistien kynästä. Charles Fitzgerald etsii blogeissaan supercloudin olemusta.

Meta on rakentanut oman superkoneensa RSC:n Nvidian grafiikkaprosessorien ympärille, kenties metaversumia varten. Nykyinen toteutus sisältää 760 DGX A100 -järjestelmää, joissa on yhteensä yli 6000 GPU:ta. Tällä pääsee jo maailman nopeimpien tekoälykoneiden listalle. Laajennuksen myötä se ottaa ykköspaikan maailman nopeimpana tekoälykoneena. Jos yksi Nvidian DGX A100 maksaa 200000$, niin koko paketille on tullut hintaa reilut 150 miljoonaa dollaria. Se on samaa luokkaa mitä mitä CSC:n Kajaanin Lumi-koneen kaavailtiin maksavan.

Konesalimarkkinaa peilaavat North American Data Centersin raportti ja Cushman Wakefieldin vertailu. Dcbyte on rankannnut pohjolan metrot ja verrannut niitä Euroopan FLAPD-keskuksiin (Frankfurt, Lontoo, Amsterdam, Paris, Dublin). Helsinki on pohjolan kaupungeista konesalimarkkinaltaan suurin mutta Suomi maana on vasta kolmas. Suomessa siis konesalit keskittyvät pääkaupunkiseudulle ja tyypiltään konesalit erottuvat muista maista olemalla raportin mukaan 80% julkipilvikapasiteettia. Muualla colocationin osuus on paljon suurempi. Sähkö alkaa olla ongelma monissa paikoissa uusien konesalien rakentamiselle. Dublinissa on toistaiseksi kielletty uudet laitokset, kunnes riittävä uusituvan sähkön tuotanto on saatu rakennettua. Hollannin Zeewoldessa asukkaat vastustavat kun Meta aikaa rakentaa alueelle ison konesalin ja viedä kaiken tuulisähkön.

Afrikan konesalimarkkinassa nähdään potentiaalia. Equinix osti joulukuussa MainOnen ja nyt perään Digital Realty aikoo ostaa Teracon, maanosan suuriman konesalioperaattorin. Digital Realtyn suunnitelmista ja Afrikan markkinasta lisätietoa löytyy esityksestä. Afrikan operaattori-infrastruktuuria esitellään Steve Songin vuosittaisessa katsauksessa.

Kyberturvallisuus

Log4j:n hyväksikäyttö hyytyi hieman yllättäen heti joulun jälkeen. Ensimmäisen aallon helpon kokeilun jälkeen  hyväksikäyttöyrityksen ovat vähentyneet selvästi. Onnistuneita iskuja ei ole paljon tullut ja ehkä siksi into hyökätä on hyytynyt. Lisäksi massahyökkäysten tekeminen on vaikeaa, koska hyökkäystä pitää muokata sopivaksi jokaiselle sovellukselle erikseen. Kuitenkin ammattimaisemmat toimijat mahdollisesti jatkavat kohdennetummilla hyökkäyksillä. Uusia log4j-hyökkäyksiä on kohdistunut nyt Solarwindsin ja Zyxelin laitteisiin. Zyxeliä vastaa hyökkää myös Mirai-bottiverkko.

Lockbit-lunnasohjelmasta on havaittu versiot Linuxille ja ESXi:lle. Lunnashaittaohjelmat alkavat nyt olla jo IT-infran uhka. Europolin johdolla kymmenen maan yhteistyössä ajettiin alas VPNLab.net-palvelu, jota hyökkääjät ovat käyttäneet luottoalustanaan kampanjoissaan. Palvelun omistajia ei kuitenkaan ole löydetty. Palvelimien talteen otettu data käydään läpi ja sieltä luultavasti löytyy lisää johtolankoja muihin rikollisiin.

Palvelunestohyökkäyksissä viime vuoden loppu meni Azurella isojen volyymien hyökkäysten torjunnassa. Suurin hyökkäys oli 3,47 Tbps ja 340 Mpps. Hyökkäyksiä tuli vajaa 2000 päivässä, mikä on 40% enemmän kuin alkuvuodesta. Lyhyet UDP-pommitukset ovat yleisiä, mutta yhä useampi isku kestää pidempään. Peliala on yleinen kohde. Intiassa nähtiin hurja kasvu ja Itä-Aasiassa palveluita pommitetaan tasaisesti. Qratorin raportissa joulukuu oli ennätyksellinen BGP-reittivuodoissa: yli 10 miljoonaa vuotoa kuukaudessa. Q4:lla prefixejä kaapanneiden AS:ien määrä ennätykselliset lähes 18000, mikä tekee 16% kaikista AS:sta osalliseksi.

Uhkien torjumiseksi ja tuottavuuden nostamiseksi tietoturvaa pitäisi saada siirrettyä kiinteäksi osaksi infraa, sovelluksia ja palveluita. SASE suojaa sovelluksien käyttäjärajapintaa, mutta ei välttämättä taustapalveluita. Siksi tietoturva on leivottava mukaan osaksi sovelluskehitystä. Paloalto kyseli tilannetta yrityksiltä. Ilmiselvästi automaatio ja DevSecOps lisäävät ryhtiä ja ovat jopa välttämättömiä, jotta nykymenossa voisi pärjätä. Paloalto peräänkuuluttaa tietoturvan ROI:ta. Ne jotka investoivat tietoturvaan, saavat parempia tuloksia. Tietoturvainvestoinnit voi perustella myös ketteryydellä ja liiketoiminnan tuottavuuden parantumisella.

USA:ssa Valkoinen Talo on vaatinut virastot ottamaan käyttöön zero trust -arkkitehtuuria. Bitwardenin salasanakyselystä selviää, että MFA on hyvässä mallissa työkäytössä, mutta suuri osa jakaa salasanoja esim. sähköpostilla tai chatilla, ja yli puolet säilyttää salasanoja tietokoneellaan jossain dokumentissa. Teleportin State of Infrastructure Access and Security Report 2021 tuo esille yritysten ongelmia: talosta lähtevät työntekijät aiehuttavat epävarmuutta, infran hallinnan jaettu vastuu hajauttaa myös tietoturvan, monimutkaisuus lisää vaikeusastetta, näkyvyyden parantamisen tarve on suuri, tietoturvamenetelmät pitäisi saada päivitettyä tähän päivään ja ratkaisuja tehdään vahvasti kehittäjien ehdoilla.

Google on ostanut SOAR-valmistaja Siemplifyn. Se on puuttuva palanen Googlen Chronicleen. Siemplify on israelilainen puolen miljardin ja 200 työntekijän yritys, ja Googlen ensimmäinen israelilaisostos. Siemplifyn tarkoitus on olla SOC:n käyttäjärjestelmä, jolla ohjataa kaikkia tietoturvaoperaatioita. Dynaaminen mallinnus vähentää hälytysten määrää ja lisää tarvittavan kontekstin tapauksiin. SOAR:n ja SIEM:n kuolemaa erillisinä tuotteita on ennustettu ja näin näyttää tapahtuvan, vaikka Swimlanen James Brear jaksaakin uskoa itsenäiseen SOAR:iin. SOAR ja SIEM antavat vain rajallisen näkymän ja vasteen uhkiin, siksi markkina on siirtynyt kohti XDR:n tuottamaa kokonaisvaltaisempaa kuvaa. Myös tekoälyn hyödyntäminen vaatii päästä päähän -näkymää. Googlen ajatuksena on mennä vielä pidemmälle ja yhdistellä tietoa laajemmin.

SOAR on hyvä apuväline tehostamaan toimintaa, mutta siinä heikkoutensa jos sitä käytetään yksinään. SOAR-tuotteet ovat monimutkaisia, koska tietoturvaympäristökin on. Kuka osaa hyödyntää SOAR:ia, määritellä ja tehdä vaadittavat integraatiot eri alustojen välillä? Yliluottamus tekniikkaan ja tuotteeseen voi kostautua. Kaikkea ei voi automatisoida ja ihmiset ovat tärkeä osa kokonaisstrategiaa ja -toimintaa. SOAR ei ratkaise kaikkea ja siihen voi kohdistua epärealistiset odotukset. Tietoturvan seuraava vaihe on työntekijöiden loppuun palaminen, kertoo 1passwordin State of Secure Access -raportti. Ihmispsykologia ja käytös mitätöivät teknologisten ratkaisujen hyödyt.

Kuten on hyvin nähty, monien yritysten tekninen osaaminen on kadonnut lähes täysin. Siksi on surullista nähdä miten yritykset kamppailevat perusasioiden kanssa eivätkä ikinä tule saamaan hienoja ja tehokkaita ratkaisuja käyttöön. Palvelutoimittaja pystyisi tekemään toteutusta, mutta asiakas ei osaa tai halua määritellä asioita, joilla ratkaisu saataisiin omassa ympäristössä kunnolla hyötykäyttöön. Toteutukset jäävät puolittaisiksi ja hyödyt saamatta. Tuottavuus ei nouse. Tosin ammatti-ihmistenkään keskuudessa ei välttämättä ole takeita, että tekeminen on laadukasta. Iso-Britanniassa hallitus aikoo perustaa kyberturvallisuustoimijoille terveydenhuollosta tutun rekisterin, jolla varmistettaisiin tekijöiden pätevyys.

Aryakan vuosittainen State of the WAN Report kertoo toimintaympäristön muutoksesta: toimistot vaihtuvat keittiön pöytiin, pilvimaailma lisää monimutkaisuutta, SASE-villitys kasvaa ja yritykset kääntyvät yhä enemmän palveluntarjoajien puoleen. Oktan Business at Work -raportti listaa työpaikkojen suosituimmat sovellukset, työkalut ja pilvialustat. Caton mukaan oikea SASE-malli on sellainen, joka yhdistää tietoturvan ja suorituskyvyn eli pilvinatiivit tietoturvaominaisuudet ja SD-WAN:n yhdeksi toiminnoksi ilman erillisiä integrointeja. Valmistajilla on kahta tapaa toteuttaa palveluiden yhdistäminen: alustamalli ja tuotevalikoimamalli. Alustamallissa toiminnot ovat sisäänrakennettuna yhtenäiseen alustaan ja hallintaan, mikä tarkoittaa yksinkertaisuutta ja tehokasta tietoturvaa. Tuotemallissa erillisiä tuotteita integroidaan yhteen ja yhtenäisen tietoturva- ja hallintakonseptin kanssa on vähän niin ja näin.

AT&T:n kyselyn mukaan yritykset ovat nyt varaamassa 11-21% projektibudjeteistaan tietoturvalle. Ilmeinen kohde on SASE, mutta vain isommissa yrityksissä. Alle 500 hengen amerikkalaiset pienyritykset eivät ole kiinnostuneita. SASE:n ylivoimaisena etuna nähdään zero trust -mallin toteuttamismahdollisuus. Mitä tietoturvajohtajat ostavat tänä vuonna jos viimeaikainen kehitys heijastuu budjetteihin? Lähes 70% sanoo panostavansa tietoturvaan lisää hankkimalla etätyötä ja digitalisaatiomuutosta tukevia työkaluja eli pilvi-, verkko- ja päätelaitetietoturvaa, tiedon suojaamista ja kybervakuutuksia. Zero trust on kaikkien huulilla, mutta miten se käytännössä toteutetaan? Identiteetti on hyvä paikka aloittaa ja rakentaa sen päälle pääsynhallintaa. Toteutuksessa tulee eteen toimintatapojen muutos. Sovelluksille ja käyttäjille pitää määritellä politiikat ja se ei onnistu yhdellä kertaa. Yksittäisiä palikoita on satoja, jos ei tuhansia, ja kaikki ne pitäisi ensin listata ja sen jälkeen määritellä niille käyttöpolitiikka. Omaisuudenhallinta tulee myös tärkeäksi. Ostajat etsivät yhä enemmän yhtenäisiä kokonaisratkaisuja, johon XDR tuntuu olevan vastaus. Analyysisssa ja vasteessa kannattaa suosio tekoälyä ja automaatiota, jotta tärkeimmät asiat saadaan nostettua esille ja korjattua.

Viime aikoina on nähty kotitoimitolaitteiden tulo markkinoille, mutta onko SD-WAN:lle tilausta kotona? Toistaiseksi AT&T ei ole nähnyt kysyntää kotilaitteille, mutta tilanne saattaa muuttua. Joka tapauksessa riippuu työn luonteesta tarvitaanko kotiin SD-WAN -laitteistoa vai ei. F-secure tutki 80000 ihmisen otannalla miten phishing-hyökkäys toimii. Väärennettyä henkilöstöviestin linkkiä klikkasi 22% vastaanottajista ja yllättäen tekniset ihmiset olivat jopa alttiimpia tietojenkalastelulle kuin muut. Viime vuoden uudet Mac-haittaohjelmat on kasattu yhteen ja analysoitu. Apple on julkaissut iCloud Private Relayn toimintakuvauksen. T-Mobilen raportoitiin blokkaavan Private Relayn joiltakin käyttäjiltä, mutta tosiasiassa kyse oli konfliktista sisällönsuodatuksen kanssa. Xiaomisec on julkaisuut kattavan oppaan miten kuluttaja-IoT -laitteet pitäis toteuttaa kyberturvallisesti.

Tietoturvavalmistajapuolella menee lujaa. Listautumisia odotetaan tänä vuonna ja markkina-arvot ovat korkealla. Listalla ovat Snyk (8,5 mrd$), Cybereason (3 mrd$), Netskope (7,5 mrd$), Lacework (8,3 mrd$) ja Illumio (2,75 mrd$).

Tekniikka ja operointi

Kuten aiemminkin on todettu, kun tekniikka ja ympäristöt monimutkaistuvat, verkon toimintojen pitäisi yksinkertaistua. Kaikki toimintoja ei pidä tehdä verkossa ja verkon ei tarvitse ratkoa kaikkia sovellusongelmia. Olisi aika verkon käyttäjien ottaa vastuu omista ratkaisuistaan ja jättää verkko tehokkaaksi ja luotettavaksi väyläksi käyttäjien ja palveluiden välillä.

Kytkin-reititin -keskustelu jatkuu. Aaron Glenn kirjoitteli omat näkemyksensä mikä on reititin ja mikä kytkin. Oikeastaan ainoa ero on piirillä oleva muisti ja puskurit. Broadcomin piirisarjoista Jericho ja Qumran eli StrataDNX ovat näitä reitittävämpiä malleja eli niissä on isommat muistit reittitauluille ja porttien puskureille. Muilta alan ihmisiltä kerätyissä näkemyksissä reititin tukee erilaisia medioita ja nopeuksia, sisältää vähemmän portteja, sijoittaa linjakortit pystysuuntaan, tekee vaikeampia temppuja, markkinoidaan parempana laitteena ja maksaa enemmän. Dokumentaatiossa toki on hyvä merkitä reititin ja kytkin toimintojensa mukaan erilaisiksi, vaikka rauta olisi samaa. Reitittimet ovat pyöreitä, kytkimet nelikulmaisia, ettäs tiedät.

Kaupallisten piirisarjojen asema saattaa muuttua kun DPU:t yleistyvät. DPU syrjäyttää ASIC:eja ylemmän tason toiminnoissa, mutta ASIC jää isojen kapasiteettien käyttöön. ASIC-markkina on muutaman ison toimijan kenttää ja Broadcom on saanut itselleen lähes monopolin aseman. Siksi uusia nopeusluokkia on saatu tuotua markkinoille vauhdikkaasti. Softalla saadaan tuotua uusia ominaisuuksia joustavasti mutta laatu on ollut vaihtelevaa. Linux-kerneliä voisi pitää hyvänä esimerkkinä laadukkaasta softasta, jossa monimutkaisuus on saatu pidettyä kurissa. Verkon operointi ratkaisee, siinä ASIC ei juurikaan auta.

Juniper on julkaissut uudet omat piirinsä MX-sarjan Trio 6:n ja PTX-sarjan Express 5:n. Näillä Juniper voittaa kilpailijat Cisco P100 ja Nokian FP5 suorituskyvyssä ja energiatehokkuudessa. Cisco ei suostunut kommentoimaan Juniperin väitteitä. Trio 6 on saatavilla heti uusissa tuotteissa MX10004, LC9600 ja MX304. Nokian uusi FP5 on tulossa saataville vasta joskus tänä vuonna, siksi Juniperin on hyvä kehuskella. ASIC:ien vertailu ei ole kovin suoraviivaista, koska piirit kulkevat sykleissä ja reititinrauta ei ole aina samalla tasolla piirien kanssa. Myös käyttötarkoitus vaikuttaa ja esim. Broadcomin Jericho on ihan vertailukelpoinen monissa käyttötarkoituksissa. Joka tapauksessa pienempi MX304 on kauan odotettu lahja Suomen markkinoille. Sitä joudutaan vielä odottamaan ainakin muutama kuukausi.

Googlen odotetaan avaavan 800G-kytkinten hankinnat tänä vuonna kun 800G-optiikkaa tulee saataville. 800G:ssä kustannustehokkuus on parempia ja optiikka maksaa 30% vähemmän kuin kaksi 400G-optiikkaa. Venäläiset ovat integroineet Linuxin SFP:n sisään äly-SFP:ksi. Linuxilla voi vaikka pyörittää route-serveriä, DNS:ää, DHCP:tä, NTP:tä tai toteuttaa hallintayhteyden laitteelle. Plumspace myy näitä pulikoita reilun satasen hinnalla. SLA-probeja on ennenkin nähty SFP:eiden sisällä, mutta vapaasti käytettävä Linux on uutta.

Ciscon Catalyst 4500:sta voi käyttää myös uppopumppuna, mutta Cumulus on kontittanut Cumulus Linuxin viitosversion ja aikoo tuoda sen myös DPU:lle ajettavaksi. Delliltä saa Microsoftin Sonicin yritysversiona. Nvidia-Mellanoxin lisäksi myös Delliltä saa samasta luukusta kytkinraudan, softan ja tuen. Drivenets on aloittanut koulutus- ja sertifiointiohjelmansa pilvinatiiville tietoliikenteelle ja disagregaatiolle.

Virtualisoinnista on tullut labraympäristöjen arkipäivää, ja monimutkaisia ja isojakin ympäristöjä pystyy rakentamaan hetkessä koodilla. Ivan Pepelnjak on rakentanut omaa Netsim-toolsiaan, jonka päälle on rakennettu mm. SR-MPLS-ympäristö SR-Linuxille, ja RSVP-TE- ja SR-ympäristöt Juniper vSRX:lle. Containerlab on toinen alusta ja sille löytyy esim. Aristan OSPF-troubleshooting -ympäristö. Haluatko ymmärtää miten tietoliikenne kulkee Kubernetes-klusterin sisällä ja podien välillä?

Segment routing on hyvää vauhtia korvaamassa MPLS-signaloinnissa LDP:n ja RSVP:n. SR:ään siirtyminen on helppoa ja Chris Parker kertaa ensin teorian ja antaa sitten esimerkkikonfiguraatiot Junosille. BGP-osoiteperheiden tasot ovat moninaiset. Siirtokerros, käytetyt ja neuvotellut AFI:t ja next-hop -osoitteet eroavat toisistaan ja niitä mahdollista sotkea keskenään melko villisti. EVPN:ssä isoissa ympäristöissä ARP ja ND voivat aiheuttaa ongelmia ja siksi niiden levittämiseen on määritelty oma extended community RFC9047:ssa. Uusi RFC9161 kuvaa tarkemmin proxy-ARP/ND-toimintoa ja sen operatiivista puolta. Ominaisuus on tulossa käyttöön mm. DECIX-IXP:ssä luotettavuutta ja turvallisuutta lisäämään.

Nokia ennustaa konesaliverkon uusia tuulia. Automaatiosta tulee enemmän tapahtumalähtöistä ja kokonaisvaltaista palvelua. Edgessä työkuormat ovat hetkellisiä ja niitä ajetaan kulloinkin optimaalisissa paikoissa. Muutoksia tulee tuhansia päivässä tai jopa tunnissa, ja muutokset ajetaan verkkoon jatkuvalla syötöllä. Muutosten testaus tulee tärkeäksi. Gitops, CI/CD ja digitaaliset kaksoset ovat avainsanat. Konttien avulla voidaan rakentaa helposti simulointiympäristöjä. Avoimilla käyttöjärjestelmillä ja laajennettavuudella on osansa automaatiopinon rinnalla elämänlaatua lisäämässä. Konfiguraatiot yhdenmukaistuvat abstraktiomalleiksi, kuten Openconfig. Näin uusien valmistajien on helpompi tulla mukaan toimintaan.

Mitä verkon operaattorit ajattelevat tekoälystä? Paljon puhutaan itseajavasta verkosta ja tapahtumapohjaisesta vikojen automaattisesta korjauksesta, mutta käyttäjät ovat yhtä mieltä siitä, että tärkeintä on muutoshallinta, ei vianhallinta. Tekoäly on hyvä apuri tarjoamaan tilannekuvan, löytämään viat ja kertomaan mikä on vialla monimutkaisissa ympäristöissä. Mutta sen jälkeen ihminen hyppää puikkoihin ja tekee päätökset ja muutokset. Verkon konfigurointi on ongelma ja siinä syntyy virheitä. Käyttäjät haluavat konfiguraation tavoitetilan mukaan muotoiltuna eli deklaratiivisesti. Tämä on intent-based networkingin idea, mutta IBN on nyt häipynyt hypestä täysin. Tekoälyn ongelma sen seurattavuus: mistä tieto tulee, miten tietoa tulkitaan, miten ehdotukset syntyvät, miten muutoksia tehdään jne. Tekoälyn ehdotukset ja päätökset ovat käyttäjän vastuulla, ja käyttäjä haluaa tietää mitä on tekemässä.  Tekoäly voi olla myös väärässä, joten sen valintojen taustoja pitäisi tuotteissa pystyä paremmin tutkimaan. Juniperilta löytyy IBN for Dummies -kirja ja tarkempaa teknistä kuvausta IBM-tuote Apstran käytöstä konesaliverkon hallinnassa.

Gitopsista on tulossa standardi operointimalli sekä pilveen että verkkoihin. Mm. Ericsson, AWS ja Orange ovat investoineet Weaveworksiin, joka on kampanjoinut kehittäjätyökalujen puolesta. Samaa on tehnyt Redhat Openshiftillä. Liiketoimintamielessä Gitops on tapa standardoida sovellusjakelu erilaisiin alustoihin. Samalla valmistaudutaan edge-ympäristöjen operointiin. Järjestelmätasolla  Gitops vastaa jossain määrin intent-based networkingiä ja se osaa seurata verkon tilaa ja tuoda tarvittavat muutokset konfiguraatioiksi. Koodi on alustariippumatonta ja se sovelletaan kulloiseenkin alustaan ajohetkellä. Työkalut eivät yksin riitä vaan ihmistenkin täytyy muuttua ajattelemaan ylemmällä tasolla ja abstraktimmin. On aika aloittaa muutos, muuten uusien sovellusten ja alustojen kanssa ajaudutaan operatiiviseen kriisiin.

Hyvä vinkki Jaana Doganilta: vanhempana asiantuntijana olisi hyvä päästä suunnittelussa ennakoivalle strategiselle tasolle ja vähentää reaktiivista sinkoilua sinne tänne. Reaktiivinen toiminta luo taktisia ratkaisuja, joista seuraa uusia ongelmia. Jos osaa ajatella ja korjata perustavanlaatuisia isoja ongelmia, samalla saattavat muutkin ongelmat kadota!

Chris Hart Cisco TAC:sta kertoo tarinan miten väärin konfiguroitu MOTD-banner aiheutti ongelman konfiguraation tallennuksessa Ciscon Nexus kytkimessä. Samalla avautuu Nexus-kytkimen toimintaperiaate hieman tarkemmin. Toisessa kirjoituksessa Chris tarjoilee apua ruuhkautuneiden porttien löytämiseen verkosta Python-skriptin avulla.

Lisää Pythonia verkkoihmisille löytyy kirjasta Python for Network Engineers. Muita lukusuosituksia verkkoihmisiltä on kerätty AONE:n listalle. John Breth listaa ytimekkäästi hyvät ja huonot puolet läpäisemistään sertifikaateista.

Laajakaistateknologian ryhmittymä BITAG on tehnyt selvityksen verkon viiveistä. Johtopäätös on se, että merkittävin verkon viivettä aiheuttava lähde on puskurointiviive eli pahamaineinen buffer bloat. Se syntyy laitteissa raudan ja sovelluskerroksen välillä. Käyttäjäkokemus ei siis synny pelkästään kapasiteetista, vaan olennaisesti myös viiveestä. Viivettä on yritetty kiertää optimoimalla TCP:n ruuhkautumisalgoritmia, mutta se ei yksin auta, varsinkaan muuttuvan kapasiteetin radioverkoissa. Mitä sitten asialle voidaan tehdä? Vaihtoehtona on ennustaa kapasiteettimuutokset ennalta ja saada näin viivepiikit pienemmiksi. Linkkiä voi myös kuormittaa vähemmän tai nostaa kapasiteettia isommaksi, jotta siinä on enemmän liikkumatilaa. Useampi rinnakkainen linkki myös tasaa kapasiteettia ja vaihtelua. Viivekriittistä liikennettä voidaan myös käsitellä eri tavalla.

Yleensä verkoissa puhutaan millisekunnin tai mikrosekunnin viiveistä, mutta Nasalla on aivan eri tason viiveet avaruuskommunikaatiossa. Jamess Webb -teleskoopille liikenne kulkee 40 kbps 9 sekunnin viiveellä. Mars Odysseylle on käytettävissä mahtavat 28 kps ja viivettä tulee 37 minuuttia. Avaruudessa puhutaan DTN-verkosta (Disruption Tolerant Network) ja Bundle-protokollasta, joka niputtaa datan nippuihin ja lähettää ne epäluotettavan verkon yli.

Wifin uudellennimeäminen on lähtenyt luisumaan USB- ja HDMI-linjalle, jossa alkaa tulla kryptisiä versioita ja nimihirviöitä. Nyt julkaistu wifi6 release 2 tuo parempaa uplinkin käsittelyä ja virransäästöä. Wifi6E siis tuo uuden 6 GHz:n taajuuden mukaan ja release 2 laajentaa sekä wifi6- että 6E-standardia. Mediatek on jo kuitenkin ehtinyt demota wifi7-tekniikkaa käytännössä, vaikka täysi wifi7-standardi 802.11be valmistuu arviolta 2024 jälkeen. Wifi7 parantaa jälleen uplink-kaistan käsittelyä rinnakkaisilla yhteyksillä ja se voisi käyttää eri taajuuksia samaan aikaan. Deeyok on kehittänyt algoritmin, jolla wifin paikannus saadaan 10 cm tarkkuuteen.

Viimeaikaisten isojen verkkohäiriöiden jäljiltä Julia Evans on listannut miten eri tavoin DNS voi hajota. DNS-kyselyn elämästä on myös syntynyt zine. Michael McNamara kertoo tapauksesta, jossa Windows-palvelimella oli kummallista DNS-hitautta. Selvisi, että palvelimen DNS-forwarder -asetuksiin oli laitettu vanhentuneita nimipalvelimia, jotka eivät enää vastanneet. Palvelimissa on yleensä oletuksena root hints -asetus, jota Internic-ylläpitää. Tilalle voi laittaa oman maun mukaan halutut nimipalvelimet, jolloin nimipalvelukyselyketjusta tulee lyhyempi ja tehokkaampi.

Yritykset ja tuotteet

Kärkeen kattava lista ennustuksia tälle vuodelle F5:n Peter Silvalta.

Kaikki varmasti haluaisivat olla mukana digitalisoinnissa, olla ketteriä ja panostaa käyttäjäkokemuksen parantamiseen. Vanhan teknologian painolasti kuitenkin yleensä hidastaa vauhtia armottomasti. Teknologiasta on tullut ketteryyden edellytys, mutta moderni teknologia tietysti myös maksaa rahaa ja monimutkaistaa ympäristöjä. Operointi on noussut tärkeimmäksi ketteryyden edellytykseksi. Ciscon vastaus on alustat. Alusta on toimintojen ja niiden hallintojen ekosysteemi, joka toimii yhtenä kokonaisuutena sujuvasti laajentaen teknologia-alustan kykyjä. Aika paljon toivottu, käytäntö voi toistaiseksi olla hieman erilainen.

Valmistajat ovat kovasti siirtyneet ohjelmistobisnekseen, mutta käytäntö on jäänyt pinnalliseksi. Perinteisillä valmistajilla ei oikein tunnu olevan oikeaa ohjelmistostrategiaa, vaikka ohjelmistojen mahdollisuudet on tunnistettu valtaviksi. Juniper näyttää jälleen tietä ja on lisännyt 128T SD-WAN -hallinnan Mistin alustaan. Lisäksi julkaistiin pienet SSR120/130-purkit SD-WAN -gatewayksi. Myös tietoturvapuoli on laajemmin löytämässä tiensä Mistin alle ja jo nyt etätoimipisteeseen on saatavissa kevyt, mutta riittävä tietoturvapaketti. 5G-puolella Juniper ei tuonut markkinoille omia WAN-purkkeja, kuten kilpailijat, vaan on integroitunut Cradlepointin langattoman WAN:n kanssa. Cradlepointin laitteet voidaan liittää osaksi Mistin hallitsemaa SD-WAN -verkkoa. Ciscolta tuli ulos järeän pään uusi teollisuuskytkin IE9300-kytkin. Cisco Intersightiin lisättiin Service Mesh Manager, joka prantaa Kubernetes-klustereiden havainnointia. Extreme ei julkistanut tuotteita, mutta kumppanuudet urheilussa ja stadioneilla jatkuvat NFL:n lisäksi nyt myös NHL:n ja ManU:n kanssa.

Oracle ostaa Federoksen, joka on tekoälyyn pohjautuvan IT-infran ja -palveluiden hallintajärjestelmän valmistaja. Federoksella Oracle aikaa parantaa pilven ja sovelluksien toimivuuden valvontaa, automatisointia ja muuta palvelutuotantoa. Toisin kuin viimeksi visioitiin, Citrixiä ei myyty Nutanixille, vaan se on menossa sijoittajaryhmittymälle, joka aikoo yhdistää sen ohjelmistotalo Tibcon kanssa digitaalisen työympäristön toimittajaksi.

Loihde myy Kuusamon, Kemijärven ja Sallan seuduilla sijaitsevat kuituverkot Koillisnetille 4,7 miljoonalla eurolla. CGI on saanut oman yrityskohtaisen työehtosopimuksen valmiiksi. Tuloksena oli yleistä sopimusta parempi sopimus Suomen suurimman IT-palvelualan työnantajan 3700 työntekijälle. Etla on tutkinut, että suurin osa suomen ICT-päästöistä syntyy Suomen ulkopuolella. Palvelut sijaitsevat ympäri maailman, vain paikallinen infrastruktuuri on lukittavissa maantieteelliseen sijaintiin. Sähkönkulutuksen kasvu on selvä, mutta missä sitä sähköä kuluu, ei ole niinkään selvää. Siksi nyt suositellaan, että sähkönkulutukselle tulisi raportointivelvoite.

Berliinissä EUV-piirivalmistuslaitteita valmistavan ASML:n tehtaalla oli tulipalo ja sen uskotaan edelleen hidastavan piirien valmistusta tehtaissa. Hollantilainen ASML on ainut EUV-laitteiden valmistaja ja se ei voi nyt toimittaa tälle vuodelle tilattua 55 laitetta. TSMC:n mukaan vanhemmilla piireillä on edelleen sama kysyntä, vaikka uudempien piirien osuus kasvaa. Verkon osalta on mielenkiintoista nähdä miten markkina jakautuu suurkuluttajiin, jotka siirtyvät 400/800G:hen ja tavallisiin pulliaisiin, jotka pärjäävät 10/25/100G:llä vielä pitkään. Harvinainen piirivalmistajan listautuminen on tulossa Credo Technology aikoessa pörssiin. Credo tekee ASIC:eja, DSP:eitä ja AOC-kaapeleita konesali- ja 5G-verkkoihin. EU haluaa saada 20% maailmanlaajuisesta piirituotannosta itselleen 2030 mennessä ja on valmis käyttämään rahaa sen eteen.

Piilaakson historiaa kerrotaan kolmiosaisessa tarinassa: The Roots of Silicon Valley, Part 1: Founders, Legend, Legacy, Part 2: Planar Technology, The Fairchildren ja Part 3: Startup Fever and Venture Capital. Helsingin operaattorikeskittymä liikkuu länteen kun Elisa visioi uusia tiloja Keski-Pasilan pilvenpiirtäjiin Telian vanavedessä.

Internet

Kuumentunut IP-osoitemarkkina saa keinottelua liikkeelle. Viime vuonna Afrikassa käytiin oikeustaistelu osoitteista ja nyt USA:ssa ARIN on vaatinut takaisin teknologiafirman väärin perustein hankkimia 735000 IP-osoitetta. Pitkän taistelun jälkeen Micfo-yrityksen toimitusjohtaja Amir Golestan myöntänyt kaikki 20 petossyytettä ja osa vielä myymättömistä osoitteista on saatu takaisin.

Web-teknologia on siirtymässä kolmosversioon, mutta kerrataan ensin viime vuoden suosituimmat web-teknologiat. Mediassa on paljon viitattu Moxien Marlinspiken kirjoitukseen web3:n ensivaikutelmista. Ensinnäkin ihmiset eivät halua pyörittää omia palvelimiaan, eivät edes nörtit. Protokollat myös muuttuvat paljon hitaammin kuin alustat. Nykyisessä web3-teknologiassa pistää silmään miten huonosti luottamuksen varmistamisen toteutus tehty ja miten kömpelöitä monet ratkaisut ovat. Toimijat ajautuvat samoihin web1-maailman malleihin ja ongelmiin, ja kaikki yhdistyy lopulta kuitenkin alustoiksi. Joten meidän tulisi keskittyä hajauttamaan luottamus hajauttamatta alustaa ja helpottaa sovellusten toteutusta.

Miten web3-pino rakentuu? Perustana toimii Interplanetary File System IPFS, jonka voi asentaa omalle koneelle. IPFS on kuin HTTP ja IPFS-noden kautta julkaistaan tiedosto lohkoketjuun. URL:n sijaan tiedostoon viitataan sisällön allekirjoituksella, joka on tiedoston sisällön mukaan muodostettu. IPFS on peer-to-peer -protokolla, joten tiedostot kopioituvat useille nodeille ja niiden sijaintia ei tarvitse tietää. Lohkoketjuja voi olla monia, joten niiden täytyy kommunikoida keskenään ja siihen vaaditaan integraatiotyökalu. Koodia ja integraatioita ei tarvitse tehdä joka lohkoketjulle, vaan hub-palvelu hoitaa integraation yhden pisteen kautta. Lohkoketjujen väliseen kommunikaatioon on oma Inter-Blockchain Communication protocol IBC, joka hoitaa liikenteen kuten TCP. Protokollan päälle voi kehittää vapaasti erilaisia omia viestejä.

Nykyisen toteutuksen kömpelyydestä on esimerkki markkinapaikka Opensean kaatuminen ja epävarma toiminta. Tietokannan häiriön takia ihmisten NFT:t hävisivät esim. Twitteristä ja kryptolompakoista. Twitter ja Metamask esim. vain suoraan käyttävät Opensean API:a, jolla ne näyttävät sen tietokannan sisältöä. Web3:n “loistavuutta” seuraamaan on jopa perustettu sivusto. Lisäksi kryptovaluuttojen järjetön sähkönkulutus on yhä enemmän nostattanut vastustusta niitä kohtaan. Bitcoinin energiankulutusta seuraava sivu kertoo, että sähkönkulutus on lähtenyt jyrkkään nousuun viime vuonna. Vertailua löytyy myös maittain. Bitcoin on joka tapauksessa hyvin tehoton, kuin lottoaisi oikeaa numeroa. Yksi Bitcoin tapahtuma vastaa lähes 1,5 miljoonaa Visa-tapahtumaa ja yhden Bitcoin-tapahtuman hiilijalanjälki vastaa 2,3 miljoonanaa Visa-tapahtumaa . Sijoittavat kuitenkin uskovat web3:een, lohkoketjuun, defiin, Bitcoiniin ja kryptolompakoihin. Ark Investin esitys kertoo lisää tulevaisuudesta.

Sandvinen internet-raportti tilastoi internet-liikennettä. Video ja sovellusten lukumäärä lisääntyvät. Sovellukset ovat myös entistä monimutkaisempia, ne yhdistelevät eri ominaisuuksia keskenään ja niiden käyttö yksityis- ja yrityskäytössä sekoittuu.  QUIC ottaa valtaa tehokkaampana siirtoprotokollana. Uuden ajan salaus lisääntyy Applen iCloud Relayn mallin viitoittamana. 56% kaikesta liikenteestä tulee Googlen, Netflixin, Facebooking, Applen, Amazonin ja Microsoftin palveluista. Google on tässä listassa ykkönen ja Tiktok neljäs. Cloudflaren tilastoissa Tiktok oli noussut suosituimmaksi palveluksi ja se selittyy sillä, että Google alkoi näyttä hauissaan Tiktok-sisältöä.

Nvidia on julkaissut omasta metaversumistaan Omniversestä ilmaisen version sisällöntuottajille. Nvidia näkee Omniversen kuin käyttöjärjestelmän, jota se haluaa levittää mahdollisimman laajasti käyttöön. Mitä enemmän käyttäjiä sille saadaan, sen parempi. Raha tulee muualta. Ominiverse perustuu Pixarin USD-formaattiin, jolla voi yhdistää 3D-sovelluksia, jotka tyypillisesti eivät ole keskustelleet keskenään. Tämä vuosi ei ole vielä virtuaalitodellisuuden läpimurtovuosi. AR sen sijaan voi yleistyä puhelinsovellusten avulla.

Internet Society näyttää missä maailman AS-numerot majailevat ja miten kasvu on tapahtunut maittain vuosikymmenien aikana. Kaikki lähti USA:sta 1980-luvulla. Eurooppa tuli mukaan 90-luvulla ja 2000-luvulla Japani ja Korea nousivat kärkisijoille. Sen jälkeen  nähtiin Venäjän, Brasilian, Intian ja Kiinan kasvu. Patrick Fälströmin arkistosta löytyy Nordunetin esitys millainen internet oli pohjolassa 1990. EU haluaa rakentaa oman DNS-resolveripalvelun amerikkalaisten jättien vastapainoksi turvatakseen turvallisuuden ja yksityisyyden euronormien mukaan. DNS4EU-hankkeen budjetti on 14 miljoonaa euroa, mikä on aika messevä summa kymmenien palvelimien toteuttamista ja pyörittämistä varten. Käyttäjien siirtymisestä palveluun ei ole tietoa ja anycast-toteutus EU:n sisällä voi olla kyseenalainen kun internet ei toimi maan rajojen mukaan.

Suomen arktisen merikaapelin hanke on ollut läpeensä poliittinen ja sillä on pitkä historia vuodesta 2013. Yle kertoo projektin taustoja. Idea lähti Venäjältä, mutta lopulta sitten Venäjä hankkeesta kuitenkin vetäytyi, ja se voi nykytilanteessa valossa olla hyväkin. Uusi kaapelireitti on pidempi ja kalliimpi kuin alkuperäinen vaihtoehto, mutta etuna on kuitenkin lyhyempi reitti muihin vaihtoehtoihin verrattuna. Viivettä saadaan leikattua pois 100 millisekuntia. Jyväskylän yliopiston kyberturvallisuuden professori Martti Lehto on kirjoittanut 2019 hankkeesta kyberturvallisuusarvion.

Amazonin laajentuva Sidewalk-verkko voi nousta varteenotetttavaksi IoT-verkoksi. Alun perin Amazonin laitteiden mesh-verkoksi naapureiden kesken tarkoitettu 900 MHz:n radioverkko on saanut Bridge-laitteen, jolla kantamaa voi laajentaa jopa 8 kilometriin. Sopivia käyttökohteita voisi olla vaikka maataloudessa, varastoissa, teollisuusalueilla, puistoissa, jne. Bridgelle ei tosin ole vielä regulaattorin hyväksyntää eikä julkaisuaikaa tai hintaa ole kerrottu. IoT:ssä taistelevat myös 5G, LEO-satelliitit ja Lorawan. Lorawan laajenee lähiaikoina myös satelliitteihin Long Range Frequency Hopping Spread Spectrum LR-FHSS -tekniikalla. Toteutukseen löytyy ratkaisuja ainakin Lacunalta ja Semtechiltä. Lorawanin veturi ranskalainen Sigfox on ajautunut kaikista yrityksistä huolimatta maksukyvyttömäksi. IoT-markkina ei ole kehittynyt odotuksien mukaan, Sigfoxin johdossa on ollut kovasti vaihtuvuutta ja viimeisin kumppanuus Googlen kanssa ei sekään auttanut. Saa nähdä miten operaattorin käy, tämä voi olla lopun alkua jos asiakkaat eivät voi enää luottaa yhtiön ja palveluiden jatkuvuuteen.

Avaruus täyttyy satelliiteista ja Elon Muskia syytetään omien sääntöjen luomisesta. Avaruudessa ei ole kansainvälistä regulaatiota laukaisuille ja edellisestä sopimuksesta on jo 50 vuotta aikaa. Silloin ei nähty tällaista kehitystä, jossa vapaiden lentoratojen löytäminen alkaa olla vaikeaa. Debriksessä leijuu yli miljoona 1-10 cm palasta ja USA:n valvontaverkosto seuraa aktiivisesti 15000 esinettä. Satelliiteista on tullut tärkeitä monella sektorilla ja niiden toiminta pitäisi pystyä takaamaan. Samalla rakennetaan valtavaa satelliittiverkostoa palvelemaan satunnaisia käyttäjiä haja-asutusalueilla. Starlink on paljastanut nykyisen asiakasmäärän, joka on 145000 käyttäjää 25 maassa.

Tapahtumat

Cisco Live Euroopassa siirtyi sittenkin virtuaaliseksi ja seuraava yritys on kesäkuussa Vegasissa. Mobile World Congress kuitenkin aiotaan järjestää helmikuun lopulla Barcelonassa perinteisin menoin.

Networking Field Day 27:ssa esittelivät tuotteitaan Itential, Zerotier, IP Fabric, Juniper, Network to Code, ZPE, Forward Networks ja Pica8. Tyler Christiansen on kirjoitellut fiiliksiään tuotteista.

Kuukauden hifibitti

Audiofiilien iloksi pientä viisiporttista UEF gigabit ethernet -kytkintä myydään reilun 2500 dollarin hintaan. Kyseessä ei olekaan mikä tahansa kytkin, vaan se pystyy takaamaan korkeamman laadun audiostriimeille Active EM Cell -teknologialla, joka poistaa eron digitaaliaudion ja vanhojen hyvien analogiäänitteiden väliltä. Myös kytkimen rakenne on erityinen: se eliminoi värinät, jotka voivat häiritä audiosignaalia. Mahtavaa. Saman kytkintoiminnon saisi kaupasta muutamalla kympillä. Digitaalisuudessa kun ne bitit joko ovat tai sitten eivät, bittien värittäminen menee jo kvanttiteknologian puolelle. Hifikaverit kuitenkin arvioivat näitä juttuja tosissaan. Rahaa voi polttaa myös kultakorvien SSD-levyyn, violetteihin kvanttisulakkeisiin tai puiseen madoitusboksiin. Äläkä unohda nostaa kaapeleita ylös lattiatasosta!

[FI] Tietoliikennealan katsaus 2021-12

Ongelmat

Joulukuussa oli AWS:n vuoro herätellä maailmaa yhdellä isolla häiriöllä ja kahdella pienemmällä. US-EAST-1 -alue kärsi laajoista häiriöistä 7.12.2021 Suomen ilta-aikaan. Katko kesti lähes viisi tuntia, koska ongelman selvitys oli mutkikasta. Ongelmat liittyivät pilvi-infran taustajärjestelmiin, joilla saattoi, tai ei saattanut, olla vaikutusta asiakaskuormiin riippuen asiakkaan palveluiden toteutuksesta. US-EAST on AWS:n ensimmäinen ja suurin alue, ja siten pää- ja oletuspaikka monille palveluille. Tekniikka on vanhempaa kuin muilla uudemmilla alueilla, ja aluetta on sanottu ongelmallisimmaksi. Verkon control-plane pyörii tiettävästi vain siellä ja joidenkin infrapalveluiden varmistava alue on EU:n länsirannikolla. Siksi verkon ongelmat US-EAST -alueella vaikuttivat maailmanlaajuisesti koko pilvi-infraan.

Ongelmat alkoivat yhden verkkopalvelun kapasiteetin lisäämisestä, mikä alkoi virheellisesti kuormittaa verkkoa poikkeusellisen suurella yhteysmäärällä. Kuormitus taas johti hitauteen, josta seurasi virheilyä palveluissa. Virheily taas lisäsi kuormitusta, mikä johti pysyvään ylikuormitustilaan. Kuten yleensä, hallinta ja valvonta ei nytkään toiminut, joten ongelmanselvitys oli hankalaa. Ongelmaa etsittiin lokeista ja sieltä päästiin DNS:n jäljille. DNS siirrettiin ensin pois virheilevästä verkosta ja tilanne parani hieman. Aikaa oli kulunut pari tuntia.

Valvonta oli edelleen pois pelistä ja korjauksia jatkettiin. AWS ei kerro mitä oikeasti sitten tehtiin, mutta ongelmat loppuivat lopulta viiden tunnin selvitysten ja korjausten jälkeen. Viallinen automaattiskaalaus poistettiin käytöstä. Koodi on ollut käytössä monta vuotta, mutta se kuitenkin laukaisi piilevän ongelman, josta ei ollut palautumismahdollisuutta. AWS:llä oli myös 15.12. pienempiä palvelinongelmia US-WEST -alueella ja 22.12. sähkökatko US-EAST -alueella. Häiriöitä ilmeni näissäkin tapauksissa AWS:n päälle rakennetuissa palveluissa.

Häiriön myötä on taas nostettu esiin pilven riskit ja ratkaisuksi ongelmaan monipilvi. Yhdenkin pilven kanssa käyttäjän pitäisi osata toteuttaa omien palveluiden monialuehajautus, joka tietysti monimutkaistaa ratkaisua ja nostaa hintaa. Kaikki vikaantuu joskus, mutta tällaisiin pilven sisäisen infran ongelmien vaikutuksiin on asiakkaan mahdotonta varautua. Isoissa pilvissä riskit ovat isot. OVH:n Strasbourgin tulipalon hinnaksi on arvioitu 120 M€ ja vaikutuksia koitui 65000 asiakkaalle ja 3,6 miljoonaan webbisivuun. AWS:llä luku on moninkertainen. Operaattoreilla on mietittävää kun ne vievät 5G-alustojaan pilveen, vaikka ongelmat eivät muutakaan kehityssuuntaa. BT:n Neil McRae twiittasikin, että mobiilicoren tunkeminen pilveen on hölmöille. Operaattoripalveluita varten pilven pitää tarjota ihan eri tason SLA, kovennukset, tietoturva ja luotettavuus. Kriittiset ja tärkeät viestintäpalvelut vaativat palvelutoimittajilta paljon syvempää vastuuta kuin pelkkää käytettävyyden SLA:ta.

Google esitteli metsäpalon vaikutuksia Etelä-Carolinan takamailla. Konesalien välinen 100 Tbps -kuitukapasiteetti tuhoutui, mutta saatiin palautettua 12 tunnissa. Kuitu oli kyllä maan alla, mutta löysää kaapelia oli keritty varalle jakokaappiin, jossa se suli.

Kentik on listannut vuoden kymmenen isointa verkkohäiriötä. AWS ei ehtinyt mukaan listalle.

Operaattorit ja 5G

Huawei-kieltojen myötä Open RAN:sta toivotaan vaihtoehtoa Nokialle ja Ericssonille. Varsinkin Briteissä usko on kova. Turvallisuusvirasto NCSC on liittynyt mukaan O-RAN -allianssiin, mikä on varmasti hyvä tapa olla mukana kehityksessä ja vaikuttaa asioihin. Mediaministeriö on arvioinut, että 2030 yli kolmannes mobiililiikenteestä voisi käyttää O-RAN -arkkitehtuurilla tehtyä verkkoa. Samalla julkaistiin 50 miljoonan punnan tuki tutkimukselle ja kehitykselle. Viime aikoina on kuitenkin oltu pessimistisiä O-RAN:n käyttöönoton kanssa, mutta ehkä pitkällä tähtäimellä merkitys voi olla suurempi. O-RAN -pioneerien Rakutenin ja Dishin välille on jo ehdotettu yhdistymistä, vaikka mitään aikeita ei olekaan tullut julki. Myös Viro on sulkenut Huawein pois verkoistaan. Elisan Viron verkko on Huaweilla tehty ja siksi Elisan kanta on ollut jyrkästi Huawei-kieltoa vastaan. Nyt Elisan paikallinen johtaja Sami Seppänen on eronnut tehtävästään. Elisa on tehnyt viisivuotisen sopimuksen Nokian kanssa.

Joka tapauksessa Huawei jatkaa edelleen operaattorituotteiden markkinajohtajana 28% osuudellaan. Osuus on yhtä suuri kuin Nokialla ja Ericssonilla yhteensä, mutta pakotteiden vaikutus alkaa näkyä hiljalleen numeroissa. Huawei otti kärkipaikkansa 2014 Nokialta ja sen jälkeen Nokian markkinaosuus onkin laskenut koko ajan. Nyt nousussa ovat Samsung ja ZTE. Myös japanilainen 120-vuotias perinneyhtiö NEC aikoo haastaa 5G-markkinaa energianaan O-RAN ja uusi teknologia. Kiinalaiset kuitenkin vaikuttavat monen yhtiön taustalla. Osittain brittiläinen, kiinalaisella rahalla toimiva Picocom esitteli järjestelmäpiirin piensoluihin. Pienemmät valmistajat voivat kilpailla erikoistuneilla piireillä ja käyttökohteilla, ei x86- tai ARM-prosessoreilla. Kiinalaisilta on evätty pääsy amerikkalaisiin komponentteihin, joten vaihtoehdot kiinnostavat ja investointiraha virtaa.

Suomessa DNA on avannut 700 MHz -taajuuden 5G-käyttöön ja kasvattaa sillä peittoaan merkittävästi. Matalalla taajuudella tukiaseman peitto yltää jopa 10 km päähän. DNA on myös julkaissut tilastoja verkkonsa käytöstä Datakronikka 2021 -raportissaan. Mobiilidatan suurkuluttajia ovat alle 30-vuotiaat, mutta myös vanhemmat ovat kasvattaneet kulutustaan yllättävän paljon. Jyväskylässä käytetään eniten dataa per liittymä, 833 megatavua päivässä. DNA:lla on Tefficientin mukaan maailman toiseksi kovin datan kulutus mobiililiittymissään. Positiivinen kierre ruokkii käyttöä: nopeat liittymät tuovat uusia palveluita ja sovelluksia, ja muuttavat käyttötottumuksia, mikä taas kasvattaa datan käyttöä.

5G on ollut yhteinen teknologiaprioriteetti kaikille operaattoreille. Entistä nopeammin kasvavat kustannukset ovat alkaneet eriytyä tuotoista. Kymmenen vuotta sitten kustannuspainetta yritettiin taklata säästämällä investoinneista. Viisi vuotta sitten operaatiivisten kustannusten pienentäminen oli avainsana. Säästöt ovat heijastuneet asiakastyytyväisyyteen, jota suomalaisoperaattorit ovatkin korjanneet viime vuosina parempaan suuntaan. Nyt säästön uskotaan tulevan verkkojen avoimuudesta. Mutta miten? Disaggregaatiota käytetään lähinnä kolmantena valmistajana kirittämään vanhoja valmistajia parempiin alennuksiin. Todellisuudessa avoimet verkot vaativat paljon enemmän omaa työtä ja panostusta, joten avoimuuden edistäminen on jäänyt melko vähäiseksi. Tuotehallinnassa uskotaan, että uudet palvelut luovat enemmän tuloja. Palveluiden suhteen ollaan kuitenkin kyttäysasemassa ja päätöksiä ei saada tehtyä. Odotetaan, että joku muu tekee aloitteen tai hoitaa asiat operaattorien puolestaan. Tarvetta pitäisi rakentaa luomalla infraa ja kapasiteettia, kuten DNA:kin positiivisesta kierteestä totesi. Suomessa tunnutaan olevan tässä mielessä hieman edellä muuta maailmaa.

Uuden Virve-palvelun käyttöönotto alkaa vaiheittain tänä vuonna. Elisan tuottaman laajakaistapalvelun avulla voidaan perinteistä puhepalvelua laajentaa myös videolla, paikkatiedolla ja puheentunnistuksella. Siirtymäajan 2023-2025 push-to-talk -ryhmäpuhelut toimivat uuden ja vanhan verkon välillä. Käyttäjien omat 1300 sovellusta voidaan päivittää vaiheittain laajakaistapalveluun. Elisa kasvattaa verkon maantieteellistä kattavuutta lähivuosina.

Telian henkilöstöraportointi hämärtää yritysrakenteen ymmärtämistä, koska se näyttää ihmisten siirtyvän maayksiköistä “muuhun toimintaan”, jossa on jo kolmannes työntekijöistä. Entinen valtionyhtiö BT on kulkenunut matkan yksityisomistukseen kun sen suurin yksityisomistaja, ranskalais-israelilainen Patrick Drahi on kasvattanut omistuksiaan Altice-omistuksen kautta 18%:iin. Drahi on nyt lähellä vallata BT:n täysin hallintaansa. Myös Saksan DT omistaa toiseksi suurimman osuuden BT:stä, mutta toistaiseksi kaupoista on vain spekuloitu. Maan hallitus on kuitenkin luvannut puolustaa kansallista kriittistä infraa ulkomaiselta hallinnalta.

Pilvi ja konesali

AWS re:Invent tarjoili pläjäyksen uusia julkistuksia. Verkkopuolelle tuli Cloud WAN, Direct Connect SiteLink ja Private 5G. Cloud WAN on AWS:n vastine Azuren Virtual WAN:lle ja Googlen Network Connectivity Centerille. Pilviasiakas voi siirtää WAN-liikenteensä AWS:n verkkoon ja hallita sitä pilvityökaluilla. Kumppanien kautta omat toimipisteet integroituvat mukaan kokonaisuuteen. Kumppaneita ovat Aviatrix, Cisco, Fortinet, Prosimo, VMware, Aruba, Alkira, Intercloud ja DXC Technologies. AWS esittelee Cloud WAN:ia tarkemmin blogissaan. Cloud WAN tarvittiin helpottamaan monimutkaiseksi käynyttä alueiden ja toimipisteiden välistä verkkosekamelskaa, joka ei enää skaalautunut järkevästi. Cloud WAN:n myötä verkosta tulee flätti ja kommunikointi muodostetaan suoraan segmenttien välille ilman Transit-GW- ja peering-hässäköitä. Jos Transit-GW:tä haluaa käyttää, osaa nyt peerata myös saman alueen sisällä.

Direct Connect SiteLink on palvelu, jolla asiakas voi yhdistää omia toimipisteitään AWS:n Direct Connectin kautta suoraan toisiinsa. Kaikki Direct Connectit liittyvät samaan globaaliin yhdyskäytävään (DXGW), jonka avulla ne voivat suoraan välittää liikennettä keskenään. Enää ei tarvita pilvialueiden välisiä siirtolinkkejä operaattorilta. Monimutkaisempia reititysmalleja esitellään blogissa. Re:Invent-esitykset Cloud WAN:sta ja Direct Connect SiteLinkistä on julkaistu ja toisessa esityksessä käydään läpi palvelut tarkemmin.  Cloud WAN:lla ja Direct Connetilla on tietysti myös hinta, jonka laskeminen voi olla vaikeaa.

Suurin yllätys tuli privaatti-5G:n julkaisusta. AWS tarjoaa koko 5G-paketin yksityisverkon rakentamiseen SIM-kortteja, radioita ja sovelluksia myöten. Kaikki kieltävät, että tässä ei astuta operaattorien tai laitevalmistajien varpaille, mutta nähtäväksi jää mihin tämä johtaa. Analyytikot varoittavat laitevalmistajia enemmän kuin operaattoreita, koska harvalla valmistajalla on tarjota yhtä kovaa infran, sovellukset ja palvelun yhdistävää pakettia kuin AWS:llä.  AWS positioi itsensä aloittelevien ja kokeilevien yritysten palveluntarjoajaksi. Jatkossa palvelua on helppo laajentaa yrityksille ja operaattoreille. AWS:n kannalta järkevää olisikin liittoutua operaattorien kanssa, koska operaattoreilla on skaalautuvuus ja taajuudet kansallisesti ja maailmanlaajuisesti. AWS:n tarkoitus on todennäköisesti kahmia lisää asiakkaita pilvipalveluihin ja sitouttaa asiakkaat pilveen. 5G-palvelun käytön aloitus on “shokeeraavan” helppoa, hallinta tulee palveluna ja laskutus juoksee kulutuksen mukaan ilman isoja alkuinvestointeja. Tosin palvelun pitää kehittyä ja skaalautua jatkossa paremmin, jos ja kun käyttö kasvaa. Nyt ei julkaistu mitään suorituskykylukemia.

Kaikki nämä uudet verkkopalvelut ovat taas yksi askel kohti verkkoa palveluna -mallia (NaaS). Operaattori jää tarjoamaan bittiputkea kun pilvialusta ottaa ylemmän tason haltuunsa. Pilvi muuttaa verkon kustannusmallin ja tuo vauhdilla lisää kehitystä ominaisuuksiin. Vaikea olla näkemättä, etteikö pilvi veisi osan operaattoreiden ja laitevalmistajien kakusta siirtämällä verkon kulutuksen pilveen. Pilvi myös tasavertaistaa ja modernisoi verkon samalle tasolle muiden IT- ja sovelluspalveluiden kanssa

AWS syvensi palvelujaan eri toimialoille, kuten teollisuuteen, auto- ja finanssialalle, ja yrittää jopa saada keskuskonesovellukset imettyä pilveen. AWS:n kattavaan ja käyttäjäystävälliseen palveluvalikoimaan voi olla perinteisten operaattoreiden vaikea vastata pelkillä yhteyspalveluilla. 5G:n osalta pitäisi osata keskittyä tiettyihin sektoreihin syvällisesti, eikä jahdata kaikkia toimialoja. Mutta vaikeus tulee siinä mitä jättää pois. Meta on valinnut AWS:n pitkäaikaiseksi strategiseksi kumppaniksi, mikä on merkittävää, koska Meta on yksi viimeisiä jättejä, jotka tekevät omaa infraa. AWS myös julkaisi uudet Graviton 3 -suorittimet, ja pienemmät pizzaboksi-Outpost -kokoonapanot, sekä laajensi Local Zonet Suomeen asti.

AWS on avannut ilmaiset kurssit ja re:Post -keskustelupalstan, jossa voi kysellä kysymyksiä, etsiä vastauksia ja keskustella yhteisön kesken. AWS Global Accelerator on monipuolinen palvelu, joka ei vaan kiihdytä, vaan myös tekee monia muita temppuja globaalissa verkossa. Referenssiarkkitehtuureita on julkaistu verkkopalomuurista ja Route 53 -nimipalvelusta. Google on julkaissut Cloud IDS:n saatavuuden ja uusia ominaisuuksia. Palvelu perustuu Paloalton VM-sarjan palomuurien havainnointiin ja taustalla toimivaan Unit 42 -yksikköön. Palvelu havainnoi sekä internet-liikennettä että palvelinten välistä east-west -liikennettä. Myös Googlen Chronicle -analytiikka-alusta yhdistyy havainnointiin.

AWS jyrää pilvessä yli miljoonan asiakkaan, 190 maan ja 8000 kumppanin voimalla ja siksi re:Invent kertoo mihin pilvi on menossa. Pilvi-infra on integroitumassa ja eriytymässä eri toimialoille suunnattuihin kohdennettuihin palveluihin. Toimialapilviä alkaa syntyä, koska ne auttavat erottautumaan valtavirtapalveluista ja vastaavat paremmin liiketoimintarpeisiin. Pilvi on tehnyt teknologiasta kaikkien käytettävää ja kohderyhmäksi on noussut yhä enemmän liiketoimintateknologistit, maallikkokehittäjät ja data-analyytikot. Vaikka asiakkaat haluaisivat pysyä infraneutraalina, hyvin liiketoimintatarpeeseen vastaavan palvelun helppous ja taloudelliset hyödyt voittavat. Pilven hinnoittelu ja liiketoimintamallit muuttuvat kun funktioiden käytöstä tulee valtavirtaa. Sen myötä sovellusarkkitehtuuritkin muuttuvat. Nyt noin 40% työkuormista ajetaan pilvessä ja sama määrä omissa konesaleissa. Pilvi leviää ulos keskitetyistä konesaleista kun se tavoittelee vaikeimmin siirrettäviä sovelluksia asiakkaiden konesaleista. Asiakkaalle annetaan ainakin vaihtoehto siirtää sovelluksiaan pilveen. Suurin kysymys pilven osalta on se miten kaiken rahan, osaamisen, markkina-aseman kahmivien teknologiajättien kanssa voi elää ja kilpailla. Erikoistuva SaaS näyttää olevan yksi tie, toinen tapa on yhdistää julkista ja privaattipilveä houkuttelevaksi kokonaisuudeksi.

Yrityksille pilveen siirtyminen ei ollut koskaan tavoite, vaan ne tarvitsivat joustavaa kapasiteettia. Pilvi tarjosi elastisuutta, mutta hinta oli kova. Kustannus on tärkein syy mikä rajoittaa yritysten pilven käyttöä. Siksi ne katselevatkin toisiin vaihtoehtoisiin pilviin. Pilven suuret voitot houkuttelevat uusia toimijoita kilpailuun, mutta tekevätkö uudet pelurit pilvestä yhtään kilpaillumpaa? Kuten todettu, erottautuminen ja skaalalla kilpailu ei ole helppoa jättiläisiä vastaan. Oracle ja IBM ovat löytäneet jonkinlaisen paikan, Cloudflare pystyy haastamaan kärkikolmikkoa ja Vmware taiteilee hybridipilven päällä. Monipilvi on toistaiseksi liian vaikea ja kallis yrityksille. Tarvittaisiin yhteensopivia ominaisuuksia, jotta pilvien välinen yhteiskäyttö yleistyisi ja kilpailu lisääntyisi. Tällainen superpilvi, sky computing tai pilvetön yritys on vielä vuosien päässä. Vanha viisaus sanoo, että jos et tiedä mitä tehdä, siirry pinossa ylöspäin. Vuosikymmenen lopulla lähes kaikki menestyvät pilviyritykset ostavat pilvipalvelua, eivät rakenna niitä. Siksi tulevaisuus on “pilvetön”.

Google onkin nyt tehnyt monipilvestä helpompaa sisällyttämällä Anthos-palveluun Azure-tuen. Nyt Googlen Kubernetes-klustereiden hallinta toimii keskitetysti kaikkien kolmen pilven kesken standardoiduilla komennoilla. Googlen Knative-projekti on tehnyt kehitystä pilvifunktioiden standardoimisessa Kubernetes-käyttöön. Nyt projekti on luovutettu Cloud Native Computing Foundationille (CNCF).  Kiistämättä pilvi on ollut muutosvoima, mutta suurimmalla osalla yrityksiä on vaikeuksia löytää pilvisiirtymästä todellista hyötyä. Enemmän arvoa olisi saatavilla luovemmilla palveluilla, joita varten taas pitäisi olla tiiviimmin asiakkaan kanssa yhteistyössä. PwC:n pilvikysely kertoo amerikkalaisten yritysten johdon näkemyksistä pilvitodellisuuteen. Myös IDC toistaa samaa kuvaa: SaaS:sta on tullut normaali tapa tehdä IT-palveluita ja yritykset ovat riippuvaisia näistä perustavanlaatuisista pilvipalveluista. Liiketoimintatuotokset ratkaisevat, ei IT-järjestelmä. Pilvi laajentuu ja hajautuu ympäriinsä, siksi sekalaisten pilviresurssien hallinta on nyt yritysten suurin päänvaiva.

SaaS-toimijoilla, jotka käyttävät julkista pilveä palveluidensa tuottamiseen, kustannukset ovat alkaneet karata käsistä. Zscaler käyttää 0,91 dollaria per asiakas alustakustannuksiin, siksi se menetti 262 miljoonaa dollaria eli yli kolmanneksen viime tilikauden liikevaihdosta. SaaS malli ei ehkä olekaan toimiva. Tai ainakin kasvavan SaaS-yrityksen on kasvatettava alustaa ja markkina-asemaa tappiolla, kuten alustataloudessa on tapana. Päämääränä häämöttää viimeinen pelastus eli listautuminen.

Pilven mukana tuli myös SD-WAN, mutta mihin se riittää ja mikä on sen tulevaisuus? Pilvi alkaa olla myös hajautunutta edgeä, jossa on aivan erilainen toimintamalli kuin suhteellisen staattisten työkuormien isossa keskitetyssä pilvessä. Edgessä palvelut ovat väliaikaisia ja niitä ajetaan siellä missä kulloinkin tarvitaan. Myös verkon pitäisi pystyä vastaamaan tällaisten siellä täällä pompsahtelevien palveluiden tarpeisiin. Verkko voi olla aina sidottu työkuormaan, mutta silloin verkosta tulee iso ja monimutkainen. Toinen vaihtoehto on luoda yhteydet työkuormien tarpeiden mukaan hetkellisesti. Tätä tapaa monipilvihallintatuotteet, kuten Alkira ja Aviatrix käyttävät. Ne ovat myös lisänneet tuotteisiinsa tietoturvaa ja integrointeja eri alustoihin. Myös perinteiset valmistajat kuten Cisco, Fortinet ja Vmware ovat uudistaneet monipilvityökalujaan. Cisco reitittää dynaamisesti tarpeen mukaan Thousandeyesin avulla ja Vmware taas kokoaa hajanaiset sovellukset yhteen keskitettyyn hubiin. SD-WAN -valmistajilla on valmiina vankka asiakaspohja ja laitekanta, joiden kautta on helppo laajentaa uusilla ominaisuuksilla kuten SASE:lla. Isoilla valmistajilla ja laajoilla tuotevalikoimilla on edellytyksiä menestyä. Fortinet ja Paloalto ovat vahvoja myös jatkossa. Toisaalta myös pilvijätit kilpailevat omilla WAN- ja tietoturvapalveluillaan. Tekninen ratkaisu ei enää voita, vaan paketissa pitää olla kokonaisuus kunnossa.

Arctos Labs ratkoo edgen epämääräisyyttä sijoitteluoptimoinnillaan. Edgessä esim. viiveet, kapasiteetti ja energiankäyttö vaikuttavat sovelluksen ajopaikkaan ja niiden pohjalta pyritään määrittelemään optimaalinen sijoittelu missä mikäkin kuorma ajetaan. Arctos on ollut mukana EU:n älykkään verkkoautomaation Celtic-Next AINET-ANIARA -tutkimushankkeessa, johon myös VTT osallistui. Azure jatkaa avaruuden valloitustaan uusilla ominaisuuksillaan ja yhteistyöllä Airbusin kanssa.

Cloudflare on viettänyt CIO-viikkoja ja julkaissut taas yli 30 artikkelia tuotteista ja ominaisuuksista, jotka saattaisivat kiinnostaa tietohallintojohtajaa. Erillisverkkojen Turvapilvipalvelu on kotimainen, räätälöitävä ja internetistä irti oleva pilvipalvelu, joka on suunnattu viranomaisille ja muille turvallisuustoimijoille. Superkoneisiin voi sijoittaa satoja miljoonia, mutta laskentaa voi ajaa myös pilvessä. Koneet eivät ole kiinnostavia, vaan tieto ja sen ympärillä tapahtuva innovointi. Sovellukset ratkaisevat ja siksi pilvi on nousemassa tälläkin saralla enemmän esille. Toteutukset voivat vaihdella privaattipilven Openstackistä julkisen pilven palveluihin.

Oman pilven rakentamista haittaa komponenttipula. Verkkokorttien toimituksissa on myös yli vuoden toimitusaikoja. Verkkokorteissa on paljon komponentteja ja siksi enemmän toimitusvaikeuksia. Ethernet-ohjaimet taas ovat ylemmällä tasolla toimitusketjussa ja niissä on vähemmän komponentteja, joten niitä saa paremmin. Ohjaimien toimitus onkin saavuttanut huippulukemat ja kärkivalmistajat ovat Nvidia, Intel ja Broadcom. SmartNIC:t menevät vielä enimmäkseen pilvijäteille ja ne myös kehittävät omia korttejaan. SmartNIC-valmistajia ovat Marvell, Intel, Xilinx, Nvidia, Napatech, Pensando, Fungible, Ethernity ja Broadcom.

Intel on menettämässä konesalikuninkuutensa kun AMD aja ARM haastavat sitä eri suunnista. Vielä 2017 Intel pyöritti 98% palvelimista, mutta nyt markkinaosuus on enää 77%. Rahassa laskua on tullut miljardeja. AMD on menestynyt uusilla tehokkailla prosessoreilla, vaikka Intel lupaileekin uuden prosessorinsa lyövän AMD:n mennen tullen. ARM on erikoistunut energiatehokas vaihtoehto tiettyihin käyttötarkoituksiin. AWS on kehitellyt omaa Gravitoniaan ja Huawei on ajettu pois x86-maailmasta ARM:n ja RISC-V:n pariin, mikä on lisännyt ARM:n menestystä. Intel aikoo ottaa johtoaseman takaisin parin vuoden päästä ja on joutunut vastaamaan kilpailuun strategisilla päätöksillään. Sen uusi tehdas tulee valmistamaan myös muita prosessoreja kuin x86:ta.

Nutanix on ollut hyperkonvergenssin johtaja, mutta ei ole saanut laajennettua riittävästi tullakseen kannattavaksi. Uusi kumppanuus paljon isomman Citrixin kanssa voisi olla alkua laajemmalla yhdistymiselle, jolla kaksikosta tulisi varteenotettava pilviyhtiö. Ainakin yhtiön nimi loppuisi ix. Nutanix suututti hetkellisesti Vmwaren kun se palkkasi Vmwaren entisen operatiivisen johtajan Rajiv Ramaswamin toimitusjohtajakseen. Syytökset koskivat taustalla vehkeilyä Nutanixin kanssa. Kiista sovittiin nopeasti ja asia kuihtui kasaan.

Konesalimarkkinan tuoreesta tilanteesta saa tietoa Knight Frankin ja Cushman & Wakefieldin raporteista. Rittal jakaa ohjeet miten tuhota datakeskus: älä päivitä, luota upsiin ja laitteiston hälytyksiin, anna ylläpito kiinteistöhuollolle ja säästä suunnittelussa ja kartoituksessa.

Kyberturvallisuus

Viime vuoden joulukuussa Solarwinds-tapaus hätkähdytti, nyt vuorossa oli Apache Log4j-haavoittuvuus. Javan avoimen koodin lokikirjaston hyväksikäyttö esiteltiin alun perin jo 2016 Blackhatissa. Haavoittuvuus on ollut koodissa vuodesta 2013. Kuvat selittävät mistä on kyse. XKCD:n klassikkokuva esittää hyvin miten riippuvainen nyky-yhteiskunta on avoimen koodin ylläpidosta, jota vain muutamat ihmiset tekevät harrastuspohjalta ilmaiseksi. Tämä on siis pelkkää haavoittuvuutta isompi perustavanlaatuinen ongelma. Jälleen on muistuteltu yrityksiä ilmaisen ohjelmiston käytön vastuusta ja siitä miten niiden pitäisi osallistua kehitykseen ja ylläpitokustannuksiin. Ongelmana tässä tapauksessa on se, että Log4j on hyvin laajasti käytetty kirjasto ja kaikkia käyttökohteita ei tiedetä. Siksi tässäkin tapauksessa on tullut esille inventaariotietojen tärkeys. Yrityksellä pitäisi olla tieto käyttämistään ohjelmistoista sisältöineen ja toisaalta valmistajien pitäisi pystyä toimittamaan listaa käyttämistään ohjelmistokomponenteista (SBOM) käyttäjille.

Tapaus on sen verran vakava, että Traficomkin patistaa johtoa välittömiin toimenpiteisiin toiminnan ja talouden jatkuvuuden takaamiseksi.  No, toimitusjohtajat eivät ainakaan korjaa ongelmaa ja hallituksen apu tuskin auttaa kun kyse on sovelluskehitysongelmasta. Haavoittuvuuden häntä on vuosia pitkä, koska kaikkia tapauksia ei tiedetä ja niitä pulpahtelee esiin jatkossa ties mistä. Myös korjaaminen kestää pitkään kun tuhansia tai jopa miljoonia sovelluksia ja satoja miljoonia laitteita on käytävä läpi ja päivitettävä. Tämä voikin olla loppuelämän mittainen työ. Resursseja tapauksen seurantaan voi etsiä esim. referenssioppaasta, cheat sheetista ja Rumblen sovelluslistauksesta. Rob Fuller selventää faktoja tästä tapauksesta. Tutkijat jopa löysivät keinon hyväksikäyttöön paikallisesti ilman verkkoyhteyttä.

Bloomberg kertoo haavoittuvuuden löytäneestä Alibaban tietoturvatutkijasta Chen Zhaojunista ja miten mylly käynnistyi. Kiire oli kova kun tieto vuoti Wechat-ryhmän keskustelusta julkisuuteen. Ensimmäiset hyväksikäytöt nähtiin Cloudflarella yhdeksän päivää ennen haavoittuvuden julkistusta. Sen jälkeen alkoi laajempi pommitus kryptolouhijoilla, lunnasohjelmilla ja muilla haittaohjelmilla. Joulukuun aikana ainakin puolet suomalaisista yrityksistä oli saanut osansa hyökkäyksistä. Tietovuodoista pitäisi ilmoittaa tietosuojavaltuutetulle, mutta loukkauksia oli raportoitu vain pari ja tietovuotoja ei ollut tapahtunut.

Havainnointia ovat vaikeuttaneet jatkuvat skannaukset, joita tietoturvatuotteet ja -palvelut tekevät asiakkaiden omiin järjestelmiin. Jopa 75% havainnoista tulee omista tietoturvatestauksista. Päivitysten julkaisukaan ei mennyt ihan putkeen kun uusia korjauksia tuli alkuun lähes päivittäin ja viimeinen korjattu versio on nyt joulukuun lopulta. Tapaus on sekava ja laaja, joten siitä on hyvä repiä huumoria: viralliset log4shell GIF:t.

Tietoturvaan käytetyn rahan, yli 120 miljardia dollaria vuodessa, voi nähdä 30-vuoden IT-velan korkona.

Sdxcentral muistuttelee viime vuoden pahimmista tietoturvatapauksista, jotka ovat vain jäävuoren huippu. Uudempia kiinalaisia pilviä Huawei Cloudia, Tencentiä ja Baidua vastaan on hyökännyt uusi bottiverkko Abcbot, joka yrittää ottaa haltuun Linux-palvelimia. Alibaba on tietoturvaltaan kehittyneempi ja siksi se on säästynyt iskuilta. Qrator on havainnut uuden bottiverkon, joka iskee kameroihin ja joihinkin reitittimiin. Erikoista tässä on hyökkäystapa TCP random flood, jolla isketään kohdepalvelimeen satunnaisdatalla ja isoilla paketeilla. Dark Mirai bottiverkko iskee TP-linkin reitittimiin ja Meris-bottiverkolle haavoittuvia Mikrotik-laitteita on internetissä edelleen satoja tuhansia, vaikka korjaus on julkaistu kolme vuotta sitten. Google on ajanut alas Glupteba-bottiverkon hajottamalla komentoketjun ja haastamalla kaksi venäläistä henkilöä oikeuteen. Tällä uskotaan olevan kuitenkin vain väliaikainen vaikutus, kunnes toiminta palaa taas entiselleen.

Tutkijat ovat analysoineet yhdeksän suosituinta wifi-reititintä ja löytäneet tuoreimmista ohjelmistoversioista yhteensä 226 mahdollista haavoittuvuutta. Pahimmat olivat TP-Link Archer AX6000 ja Synology RT-2600ac, joissa molemmissa oli yli 30 bugia. Yleisimmät ongelmat olivat vanhentunut Linux kernel, ongelmat vpn- tai mediatoiminnoissa, luotto Busyboxin vanhoihin versioihin tai heikot, kovakoodatut ja selkokieliset salasanat. Hyvä puoli oli kuitenkin se, että valmistajat julkaisivat korjaukset löydöksiin. Sonicwallin SMA100-sarjasssa on jälleen vakavia haavoittuvuuksia, jotka pitää paikata heti. Alemman tason haavoittuvuus on löydetty wifi- ja bluetooth-piireistä, joita on miljardeissa laitteissa kuten puhelimissa. Jaettujen komponenttien avulla laitteessa voi liikkua sivuttain piirin ulkopuolelle ja näin syöttää laitteelle haitallista koodia. Varsinainen kuoleman pommi on HP-palvelinten iLO-bleed -haavoittuvuus. Huippuluokan APT-tason haavoittuvuutta on käytetty 2020 palvelinten tyhjentämiseen iranilaisorganisaatioissa. Tällaista haavoittuvuutta on vaikea edes havaita yleisillä työkaluilla.

Grafana 8 -versiossa on nollapäivähaavoittuvuus, jonka hyväksikäyttöohje on levinnyt mediassa. Se antaa mahdollisuuden päästä kiinni paikallisiin tiedostoihin. Pilviversiota tämä ei koske. Päivittämättömiä Confluence- ja Gitlab-palvelimia vastaan hyökkää jälleen vanha Cerber-lunnashaittaohjelma. Lastpass-salasanapalvelulla oli kummallisia ongelmia, jossa käyttäjät raportoivat, että heidän pääsalasanalla kirjauduttiin luvattomasti sisään. Tapaus näytti tietovuodolta, mutta Lastpass kiisti kaiken. The Record listaa joulukuun lunnashaittaohjelmien tilastoja. Tutkijat varoittavat, että haitallisten uinuvien domainien määrä on kasvussa. Tietoturvatuotteet arvioivat yleensä uudet domainit epäilyttävimmiksi, siksi hyökkäyksiä varten domainit rekisteröidään usein vuosia ennen iskua. Yhtäkkiä uinuva domain saattaa aktivoitua ja sen huomaa liikennemääristä. Toinen merkki haitallisuudesta on alidomainien luominen. Yleisesti myös haittadomaineilla on puutteelliset whois-tiedot.

Venäjä on nyt kieltänyt 15 uutta VPN-tuotetta. Kieltolistalle ovat päässeet  Betternet, Lantern, X-VPN, Cloudflare WARP, Tachyon VPN ja PrivateTunnel. Venäjä on myös yrittänyt hajottaa Tor-verkkoa sulkemalla Tor-nodet maasta. Lisäksi Tor-verkkoon on asennettu haitallisia palvelimia, joilla liikennettä saataisiin purettua. KAX17-ryhmä on ajanut lähes tuhatta omaa palvelinta normaalin 10000 Tor-verkon palvelimen seassa.

Suomessa Vastaamon tapauksesta on langetettu sakkoja potilastietojärjestelmän ylläpidon laiminlyönneistä. Nixun tutkinnassa todettiin palvelimessa olleen SQL-portti auki internetiin ja root-tunnukselta puuttui salasana ainakin puolentoista vuoden ajan. Sakkoja tuli Suomen ennätyksen verran 608000 euroa. SMS-viestintä näyttää saavuttaneen internetin turvallisuustason kun huijausviestejä on lähetelty miljoonia Flubot-kampanjassa. Operaattorit ovat jokseenkin avuttomia suodatustoimien edessä, vaikka viestejä onkin saatu suodatettua satoja tuhansia tai miljoonia. FISC Kyberala ry:n toiminnanjohtaksi on nimetty Peter Sund osaamisalueenaan hallinnolliset asiat. Tammikuun lopussa järjestetään Euroopan laajuinen Flagship 2 -kyberharjoitus. Siinä on mukana avoin osuus, johon voi liittyä kyberanalyytikon roolissa avustamaan varsinaisen harjoituksen osallistujia. Tarkoituksena on tutustuttaa ihmiset tekniseen tutkintaan ja näyttää miten myös teknisten asiantuntijoiden pitää olla perillä organisaation toiminnoista. Mukaan voi hakea 12.1. asti.

DevSecOps ja vasemmalle siirtyminen ovat nyt kuuminta hottia tietoturvassa. On helpompaa ja tehokkaampaa integroida tietoturva jo alun alkaen mukaan sovelluskehitykseen ja korjata bugit kehitysvaiheessa kuin vasta tuotannossa. Kaikki valmistajat haluavat nyt olla mukana ja työkaluista tehdään sovelluskehittäjämyönteisempiä. API on tärkeä osa sovelluksia ja myös niiden suojaamista. Ciscolla on avoimen koodin projekti APIClarity, jossa havainnoitavuutta yritetään tuoda API-tasolle. Ketään ei varmaan yllätä, että automaatio auttaa tietoturvaongelmien ratkaisussa ja resurssipulassa. Lähes kaikki Ciscon tutkimuksen vastaajat, jotka käyttivät automaatiota hyödykseen,  saivat parempaa lopputulosta aikaan. On hyvä muistaa, että automaatio ei ole vain hienoja tekoälytoimintoja, vaan se sopii hyvin tavallisiin rutiinihommiin. Yhden valmistajan tuotteet toimivat käytännössä paremmin kuin monen tuotteen integraatiot. SASE ja zero trust paransivat myös tietoturvatasoa kunhan ne oli otettu kunnolla käyttöön. Tutkimus antoi viisi vinkkiä käytäntöön: ennakoiva päivitys, hyvin integroitu tietoturvateknologia, täsmällinen uhkien havainnointi, nopea vaste ja tarkka jatkuvuussuunnittelu. Nämä toteuttamalla pääset tietoturvallisten yritysten top 80%:n joukkoon.

Zscaler laajensi SASE-mallia julkiseen pilveen. ZIA ja ZPA suojaavat nyt myös julkisen pilven työkuormia myös pilven sisällä ja eri pilvien välillä. Cloudflare taas kampanjoi Oahu-ohjelmallaan perinteisten palomuurien korvaamiseksi pilvinatiivilla vaihtoehdolla. Toimitusjohtaja Princen sanoin Fortinet ja Paloalto eivät vastaa nykypäivän tarpeeseen ja Zscaler ei pysty vastamaan kysyntään. Ratkaisu on siis Cloudflaren oma pilvipalomuuri, joka on sovelluskehittäjämyönteinen ja sisältää myös zero trust -politiikat, salauksen purun ja DDoS-suojauksen.

Trendmicro ennustaa tietoturvan kehitystä vuodelle 2022. Oikeastaan mitään uutta ja mullistavaa ei ole näköpiirissä, nykyiset ongelmat vain pahenevat. Tästä ei kannata masentua, organisaatiot voivat kuitenkin hyvin vastata uhkiin sopivilla toimilla. Microsoft on julkaissut omat kyberturvallisuusarkkitehtuurinsa MCRA-kuvat, joista selviää mitä kaikkea Microsoftilla on tarjota turvallisuuden varmistamiseksi. Oma lukunsa on valtioiden sisäinen kyberorganisaatio, josta esimerkkiä Saksasta. Maassa on lähes 350 organisaatiota, jotka tekevät osansa kyberturvallisuuden puolesta. Toimijat YK:n tasolta paikallistasolle on kuvattu ja lueteltu kyberturvallisuusarkkitehtuuridokumentissa.

Tekniikka ja operointi

NaaS yleistyy hiljalleen valmistajien tuoteportfolioissa. HPE, Dell ja Cisco ovat mainostaneet tuovansa markkinoille kaikki tuotteensa palveluna. Liikkeelle on lähdetty palvelinkapasiteetista ja SASE:sta, verkkotoiminnot ovat vasta tulossa. Vanhin konsepti on HPE:n Greenlake reilun kolmen vuoden takaa. Dell Apex tuli 2019 ja Cisco Plus 2021. HPE:llä on siis pisimmällä tarjoten jo verkkopalveluitakin, ja sillä on vankin pohja 1250 asiakkaallaan ja yli 5,7 miljardin dollarin arvoisilla sopimuksillaan. Käynnistyminen on ollut hidasta ja saa nähdä miten nämä verkkopalvelut saavat sijaa. Hinta on yksi ratkaiseva tekijä ja kuten pilvessäkin rahalle pitäisi löytää vastinetta. Uutta mallia on myös vaikea uittaa vanhan infran sekaan, joten odotettavissa on isompien kokonaisuuksien uusimista.

Kubernetes saa virallisesti ipv4/ipv6 dual stack -toteutuksen versiossa 1.23. Cloudflare kertoo blogissaan miten heidän ohjelmoitava Magic Firewall -palvelu on tehty Linuxin eBPF:llä. Linuxissa palomuurivaihtoehtoja riittää ja tämä palvelu käyttää nftablesia joustavuuden vuoksi. Microsoft taas kertoo uutisia Sonic-verkkokäyttöjärjestelmästään. Yllättävää kyllä palvelinten kahdennukseen ei käytetä linkkiagregointia, vaan se tehdään älykaapelilla, joka muxaa liikenteen eri kytkimille. Vaihtoaika vikatilanteessa on alle yksi mikrosekunti. Dash API integroi SmartNIC:t mukaan ohjelmoitavaan Sonic-verkkoon. L4-käsittelyä saadaan tehostettua SmartNIC:llä 10-100 kertaiseksi. PINS integroi P4-ohjelmoitavat kytkimet yhdeksi keskitetysti ohjattavaksi SDN-verkoksi.

SmartNIC:ssa kyse ei ole vain suorituskyvyn tehostamisesta, vaan myös kontrollipisteen siirtämisestä. Työkuormat ajetaan palvelimissa, erikoistuneet toiminnot ja tietoturva erillisessä raudassa. Raudan pitää olla joustavaa, jotta sinne voidaan ohjelmoida halutut toiminnot. P4 on yhteinen nimittäjä verkkolaitteiden ja SmartNIC:ien välillä. Bruce Davie kertaa miten tähän on tultu ja mistä on kysymys. Reitittimethän olivat alun perin softalla toimivia tietokoneita ja suorituskykytarve johti erikoistuneeseen rautaan. Nyt ollaan samassa tilanteessa kuin vuosikymmeniä sitten kun valtava suorituskyky pitää ympätä mukaan tietokoneisiin. Sun Microsystems oli aikaansa edellä sanoessaan lähes 40-vuotta sitten “verkko on tietokone”.

DPU on siis hyvä salauksessa, pakettien käsittelyssä ja välityksessä sekä tallennussovelluksissa. GPU taas on hyvä isojen rinnakkaissovellusten kiihdytyksessä, kun CPU osaa ajaa vain perinteisiä yksisäikeisiä sovelluksia. Siksi sovellukset on optimoitava ajoympäristöön. DPU-valmistajat ovat luoneet omia SDK:ita kuten Nvidian DOCA. Nvidian on ottanut kumppanikseen Vmwaren ja Project Montereyllä ESXi-hypervisorin kuormaa voidaan siirtää Bluefield-kortille. Muutkin valmistajat, kuten Fortinet, Paloalto ja Juniper tukevat Nvidian Bluefield-kortteja. Jotkut DPU:t on rakennettu yleiskäyttöisen ARM-prosessorin ympärille ja sovelluskohtaiset kiihdyttimet toimivat sen rinnalla tehden tiettyjä erikoistoimintoja. Toiset DPU:t ovat FPGA-pohjaisia ja ne voidaan konfiguroida tarpeen mukaan eri tehtäviin. Konfiguroitavuus ei ole kuitenkaan sama asia kuin ohjelmoitavuus. ARM-prosessorille on helppo kirjoittaa ohjelmia tutuilla kielillä, mutta FPGA:n konfigurointi on paljon vaativampi erikoistaito. DPU:n kustannus on raudassa ja CPU:lla ohjelmien suoritus taas maksaa enemmän. Tämä on tasapainoilua työkuormien ja suorituspaikkojen välillä.

Nvidia on lyönyt uudet huippulukemat pöytään DPU-suorituskyvyssä. Bluefield DPU ylittää palvelimen tallennusliikenteessä 41 miljoona IOPS:ia, mikä on yli neljä kertaa enemmän kuin minkään muun kortin lukema. Nvidia tässä nokitteleekin Fungiblelle, joka kuukautta aiemmin julkisti oman ennätyksensä. Fungiblen mukaan Nvidian testi ei ole vertailukelpoinen, koska Nvidia käytti pieniä 512-tavuisia paketteja ja Fungible 4 kilotavuisia.

Disagregaatiosta haetaan vapautta ja kustannussäästöjä, mutta ilmaista lounasta ei ole. Jonkun pitää kirjoittaa softa, vastata ominaisuuksista, laadusta, turvallisuudesta ja tarjota tukea käyttäjille. Käyttäjä haluaisi vain juuri tietyt tarvitsemansa ominaisuudet mahdollisimman halvalla. Onko verkossa menossa sama kehitys kuin streaming-palveluissa? Jokainen sisältö menee omaan palveluunsa ja ostetaan erikseen eri paikoista. Ehkä jatkossa ostamme jokaisen protokollan ja ominaisuuden sovelluskaupasta ja maksamme niistä erikseen. Loppupeleissä käyttäjän on otettava vastuu kokonaisuuden rakentamisesta ja sehän merkitsee enemmän työtä ja kustannuksia yritykselle.

EANTC on testannut Juniperin pyynnöstä PTX1001-36MR -reitittimen suorituskyvyn ja verrannut sitä Cisco 8201 -reitittimeen. Cisco on esitellyt 8201:n arkkitehtuuria ja suorituskykyä blogissaan. Jos olet ihmetellyt mitä SFP tai AOC sisältää, Kenneth Finnegan on tehnyt patologisia toimenpiteitä optiikoille. Käsittelyssä on 100G-LR4 ja AOC-400G-SR4. Pienen kotelon sisään mahtuu aika paljon tavaraa. Silicon photonics on ollut vuoden kuumia puheenaiheita ja nyt israelilainen Tower Semiconductor on kehittänyt yhdessä Juniperin kanssa maailman ensimmäisen avoimen fotoniikkapiirin mallin, jonka perusteella kuka vaan voi tilata valmistuksen. Tämä tuo helpostusta laitevalmistajille, jotka saavat helpommin ja halvemmalla fotoniikkaa käyttöönsä. Transistoreille on jälleen kehitetty uusia muotoja. IBM ja Samsung  suunnittelivat VTFET-rakenteen, jossa transistorit sijoitettaan pystysuuntaan pinoon nykyisen rinnakkaisen sijoittelun sijaan. Suorituskykyä saadaan lisää ja tehonkulutus putoaa huimat 85%.

QoS on yksi hankalimmista asioista verkkokonfiguraatiossa. Aika harvassa tapauksessa QoS-asetuksista on hyötyä tai se ei ainakaan ratkaise perustavanlaatuisia ongelmia. Useimmiten helpommalla ja halvemmalla pääsee kun ostaa lisää kapasiteettia, kuin virittelemällä loputonta QoS-konfiguraatiota, jossa palvelut pitää laittaa tärkeysjärjestykseen. Chris Parker avaa miten luetaan Juniperin QoS-konfiguraatiota ja siitä voi kukin ihmetellä miten monta juttua asiaan liittykään. Juniperin konfiguraatio on vielä selvimmästä päästä ja Cisco tekee asiasta aivan turhan monimutkaista.

BGP session culling (RFC8327) on käytäntö, jossa BGP-sessiot vedetään alas ennen huoltotöitä. Näin vältetään liikenteen tiputtaminen jos BGP ja alempi verkkokerros eivät ole synkassa. Internetissä tämä on yleinen käytäntö ja hyödynnettävissä muuallakin. Nick Russo on julkaissut kattavan teknisen whitepaperin MPLS-multicastista. EVPN-VXLAN on yleinen tekniikka konesalissa ja kampuksella. VXLAN-tunnelien sisäistä liikennettä voi tutkia ainakin Juniperin ja Paloalton muureilla. Liikennettä ei siis tarvitse purkaa ulos VXLAN-enkapsuloinnista ja näin saadaan parempi suorituskyky ja helpompi toteutus verkolle. Vaihtoehtoja palomuurien toteutukseen voi etsiä Peter Welcherin blogeista. QUIC:sta saattaa olla muodostumassa uusi salattu siirtoprotokolla UDP:lle. Microsoftilta on tullut SMB-toteutus QUIC:n päälle. Windows 11 ja Server 2022:n myötä SMB:stä tulee internet-kykyinen salattu levyjakoyhteys esimerkiksi edge-toteutuksiin.

MEF on yrittänyt standardoida SD-WAN:ia niin, että tuotteet eri valmistajien välillä olisivat yhteensopivia. Uusi standardi MEF W119 on tulossa keväällä ja se määrittelee yhteensopivuuden kaikilla välitys, ohjaus–, hallinta- ja telemetriakerroksilla. Palveluntarjoajat tarvitsevat näitä määrityksiä monivalmistajatoteutuksiinsa ja -palveluihinsa, mutta valmistajat eivät innostu liian latistavista määrityksistä. Valmistajilla olisi paljon enemmän ominaisuuksia tarjottavana suoraan yrityksille ohi palveluntarjoajakanavan. Standardi yrittää lisäksi luoda selvyyttä markkinahämmennykseen, joka estää käyttäjiä ostamasta tuotteita tai palveluita.

Mikä on vaikeinta verkossa? Phil Gervasin kysely kartoittaa mitkä asiat ovat alalla vaikeita. David Gee kyseli kuka käyttää Chefiä tai Puppetia verkkoautomatisoinnissa. Lähes 92% sanoi ei, muutama käyttäjä löytyi. Ansible, Salt ja Python-viritykset ovat valtavirtaa. Ansible on nyt saatavilla Azuressa valmiina palveluna. Ivan Pepelnjak on yhdistänyt automaatiotyökalut yhteen konttiin, jolla saa valmiin paketin käyttöönsä. John Capobianco on tehnyt Cisco-kytkintopologiasta mindmapin. Julia Evans koodasi harjoittelutyökaluksi oman DNS-palvelimen, jolla voi leikkiä ja kokeilla turvallisesti. Juniper kuoppasi automaatioharjoitteluympäristön NRE labsin, joka ei ikinä oikein lähtenyt lentoon. Kolmessa vuodessa kuitenkin ladattiin 55000 sessiota eli noin 50 päivässä.

Tietoliikennealalla tuntuu olevan vahva metathesiophobia eli muutospelko. Haaste tulee eteen tekoälyn kanssa. Milloin yritykset ja tiimit ovat valmiita ottamaan tekoälyapurin osaksi tiimiä? Seuraava suuri muutos nimittäin tulee olemaan apurit ja luonnollisen kielen keskustelukäyttöliittymät. Jos päiväsi ovat tylsiä ja haluat ruudun täydeltä keskustelun mölinää, yhdistä itsesi Art of Network Engineeringin Discord-kanavalle.

Windowsista löytyy näppäriä wlan-komentoja ja jopa raportointiominaisuus. Kokeile “netsh wlan show wlanreport”. Excelissä on kiinnostava ominaisuus kun taulukko sisältää FQDN-nimiä ja se tallennetaan Onedriveen. Silloin Microsoft vierailee kaikissa URL:n osoittamissa sivustoissa. Ominaisuus perustuu Defender 365 -ominaisuuteen, joka tutkii tiedoston sisällön. Tämä on hyvä tietää jos taulukossa on kohteita, jossa ei halua vierailtavan. Endoflife.date on yhteisön ylläpitämä sivu, joka seuraa eri ohjelmien elinkaarta.

Kotiautomaatiostandardi Matter voi tuoda mukanaan yleiskäyttöisen castauksen, joka toimisi kaikilla laitteilla. Amazon-vetoinen TV-standardi haastaa Airplayn ja Google Castin, ja voisi tuoda meille lisäksi yleiskäyttöisen kaukosäätimen puheohjauksella.

Yritykset ja tuotteet

EU on määritellyt digimarkkinasäädökset suurille verkkoalustoille.  Säädöksen tavoitteena on taata oikeudenmukainen toimintaympäristö, lisätä kilpailua ja taata paremmat palvelut kuluttajille. Ns. portinvartijayritysten toimintaa pyritään avaamaan ja toimintaa tehostetaan sakoilla, jotka ovat 5-10% liikevaihdosta. Business Finland valitsi uudet veturiyritykset Nokian, Wärtsilän ja Tietoevryn, joille se antoi 60 miljoonaa euroa rahoitusta uusiin tuotekehityshankkeisiin. Veturien kumppanitkin saavat lisäksi 50 miljoonaa euroa. Ehtona on kehityksen lisääminen Suomessa. Projektien toivotaan tuovan kasvua, työpaikkoja ja myönteisiä vaikutuksia yhteiskuntaan. Nokia aikoo kehittää 5G-teknologiaan perustuvaa edgeä.

IT-sopimusehdot on päivitetty ajan tasalle. IT2022 on saanut uudet lisäykset pientoimituksien sopimuksista ja tiedon hyödyntämisen ehdoista. Valtio on päätynyt jakamaan Sote-muutoksen IT-kustannuksiin puolet varatuista 444 M€ rahoista. Tälle vuodelle kohdistuvat 220 M€ jakautuvat alueiden välille melko epätasaisesti. Pienin saaja on Etelä-Karjala 4 M€ ja suurin Varsinais-Suomi 18 M€. Lisäksi keskitettyihin palveluihin käytetään lähes 5 M€ DigiFinlandin kautta. Hyvinvointialuiden omat laskelmat ovat paljon suuremmat ja arvio muutosbudjetista liikkuu miljardin luokassa. Raha on vain yksi ulottuvuus tässä sopassa. Toteutusaikataulu on mahdoton ja yleensäkin järkevän tekemisen organisoiminen on mahdotonta kun ei tiedetä mitä ollaan tekemässä. Tulee mieleen, että jossain määrin turhien IT- ja hallintohimmeleiden rakentelun sijaan rahalla olisi voinut ehkä tehdä jotain suoraviivaisempia ja tehokkaampia muutoksia SOTE-infraan.

Valtorin uusi Kauko-etäkäyttöpalvelu on käynnistynyt. Se on Fortinetin tuotteilla toteutettu VPN-palvelu, jota toimittaa Elisa. Palvelua käyttää 25000 ihmistä päivittäin. Valtori on ostanut SASE-palvelun ja uusi Verkkosuoja-palvelu tulee käyttöön 2022 aikana.

Kytkinkauppa on noussut uusiin huippulukemiin, vaikka 200/400G:n yleistyminen kestikin odotettua pidempään. Q3:n kärkikolmikko on edelleen Cisco, Arista ja Huawei, mutta whitebox-valmistajat ovat yhtenä kokonaisuutena jo kakkosena. Cisco menettää markkinaosuuttaan kun yrityssegmentin kysyntä on ollut heikompaa. Juniper ja Huawei kasvoivat kovaa, mutta Arista ja whitebox-valmistajat kahmivat suurimman osuuden markkinan kasvusta. Kova kysyntä oli odotettua kun pilvijätit ja isot yritykset ovat vauhdittaneet myyntiä. Yllättävää oli, että toimituksia saatiin myös tehtyä komponenttipulasta huolimatta. Vaikka konesalissa nopeudet ja porttitiheydet kasvavat, alhaisemmilla nopeuksilla on markkinoilla pitkä häntä. Gigabit ethernet tuli ulos vuonna 1998 ja edelleen 1G-kytkimillä on käyttökohteensa. Niitä myytiin Q3:n aikana yli 160 miljonaa porttia lähes 3 miljardin dollarin edestä. Kestää todella pitkään, että kaikki kampus- ja edge-verkot saadaan 10G-kykyisiksi. Alalla on hurja epätasapaino siinä mitä tekniikka pystyy tarjoamaan ja mitä suurin osa yrityksistä oikeasti tarvitsee ja käyttää.

Toimitusketjussa sattuu mokia. American Megatrendsin väärin kirjoitettu tarra emolevyn piirissä on herättänyt kysymyksiä komponenttien luotettavuudesta. Ainakin Dellin kytkimissä ja jopa HPE:n Cray-supertietokoneissa on nähty “American Megatrands” -tarraa. Tehtaattomilla puolijohdeyrityksillä menee lujaa, koska niiden myynti ei kärsi komponenttipulasta. Qualcomm, Nvidia, Broadcom, Mediatek, AMD ja muut kasvattivat liikevaihtoaan keskimäärin 45% vuodessa.

IT-ala on yhdistetty suureen irtosanoutumisaaltoon, joka on lähtenyt vyörymään pandemian aikana. Todellisuudessa kyse on enemmän pienipalkkaisten protestista ja irtautumisesta surkeista työoloista. Kyse onkin suuresta sekoituksesta, jossa ihmiset etsivät sopivaa alaa ja työpaikkaa. Muutos saattaa kestää vuosia ennen kuin tilanne tasaantuu. IT-alalla on menossa myös jonkinlainen sekoitus kun etätyö avaa uusia mahdollisuuksia ja ihmiset vaihtavat työpaikkaa aktiivisemmin.

Hybridityö on tuonut IT-varustelun kotiin. Kyselyssä 75% yrityksistä aikoo asentaa jotakin laitteistoa työntekijöiden kotiin. Tärkeimpänä on verkon tietoturva, kakkosena wifi ja sen jälkeen WAN-reititys. Valmistajat ovat haistaneet markkinaraon ja viimeisimpänä Aruba tuo Edgeconnect Microbranch -paketin markkinoille. Siinä yhdistyy Aruban tukiasemaan SD-WAN ja sen kautta integroitavat SASE-palvelut. Aryaka julkaisi oman SASE-alustansa ja kevyemmän reitittävän FlexCore-verkkonsa pienyrityksille. Aryakan SD-WAN -verkko on ollut L2-toteutus, jolla on saatu tehokkaat ja laadukkaat yksityisyhteydet asiakkaille. Uusi core-verkko on kustannustehokkaampi L3-toteutus ja uusi SASE-palvelu Prime EZ on rakennettu sen päälle käyttäen Secucloudilta ostettua teknologiaa. Fortinet jatkaa SD-WAN -palveluntarjoajamallin laajentamista seitsemällä uudella kumppanilla. Fortinetista onkin tullut operaattorien suosikki.

Suomen yhdysliikennepiste Fixic laajentaa kolmanteen sijaintiin pääkaupunkiseudulla. Ficix1 laajenee Otaniemestä Telian HDC:hen. Kilpailu kovenee kun DE-CIX ilmoitti laajentavansa yhdysliikennepistettään pohjoismaihin. Suomi, Tanska ja Norja ovat saamassa viisi uutta IXP:tä ja yksi niistä tulee Helsinkiin.

Broadcom ostaa Appnetan, jolta se saa verkon suorituskykyvalvontatuotteen. Samsara on IoT-alan kovimpia nimiä ja listautui pörssiin. Samsara on jatkoa Merakin kehittäneiltä kaveruksilta. Se kehittää sensoreita ja kameroita, jotka mittaavat fyysistä maailmaa. Kuten on tapana, Samsarallakin on satojen miljoonien tappiot alla ja lisää on tulossa. Listautumisella kerättiin kasaan 800 miljoonan dollaria, mutta yliarvostustakin on väläytelty.

Yritysten ilmastovastuuta on rankattu CDP-projektissa. Parhaan A-arvosanan saivat mm. Cisco, Juniper, HPE, Nokia ja Equinix. Keskitasolla ovat mm. Paloalto ja F5, ja pohjimmaisena mm. Fortinet ja Fireeye. Arviointi perustuu itseraportointiin, joten se ei kerro ilmastotoimista muuta kuin sen mitä yritys itse raportoi. A-listalle pääsi 12000 yrityksestä 272. Pilviyhtiöt tarjoavat konkreettisia työkaluja ympäristövaikutuksien pienentämiseksi. Microsoftin Cloud for Sustainability, Google Carbon Foortfrint ja AWS Customer Carbon Footprint Tool antavat käyttäjälle tietoa käytettävien palveluiden hiilijalanjäljestä. Toisaalta pilviyhtiö vierittää vastuun käyttäjälle, mutta käyttäjäthän sen kulutuksen kuitenkin luovat.

Ennustukset vuodelle 2022

On taas aika ennustaa tulevaa. Benedict Evans on julkaissut vuosittaisen katsauksen teknologiatrendeihin. Deloitte ennustaa Wifi6:n, kiinteän mobiililaajakaistan, RISC-V:n, AI-reguloinnin ja streaming-sodan tulemista. Puolijohdepula on ja pysyy. AWS:n Werner Vogels ennustaa, että sovelluskehitys saa apua tekoälystä, pilvi laajenee joka paikkaan, älykiinteistöt ja -tilat avustavat käyttäjiä, kestävä kehitys saa sijan järjestelmäarkkitehtuureissa ja satelliittilaajakaista mahdollistaa uudet sovellukset joka paikassa.

Tom Nolle maalaa kolme verkkoa määrittävää linjaa: operaattorit, yritykset ja internet. Operaattorit siirtyvät strategisesta 5G:stä taktiseen, joka on enemmän arkisempaa teknologiajatkumoa edellisestä G:stä. IP-liikenne ja edge-arkkitehtuuri määrittävät myös valmistajia. Se jolla on esittää yhtenäinen visio tähän, voittaa. Yrityspuolella suurta teknologia-ajuria ei ole. Tietoturva on tärkein prioriteetti. SD-WAN ei tuo suurta muutosta olemassa oleviin arkkitehtuureihin, mutta voi tietoturvakomponentin myötä virtualisoida yritysverkot ja muuttaa myös liiketoimintamallit. Tämä huolettaa perinteisiä valmistajia.

Internetissä web3 rakentuu identiteetin, turvallisuuden ja luottamuksen ympärille. Jatkossa virtuaalisuus on yhtä tärkeää tai jopa tärkeämpää kuin fyysinen olemus. Metaversumi on monimutkaisempi asia kuin annetaan ymmärtää. Se ei tule ensi tai seuraavana vuonna. Pilvellä on suuri rooli, ja kenties Applella. Pienien innovatiivisten yritysten ostojen kautta isot pelurit voivat luoda jotain innovatiivista. Meta pystyy rakentamaan metaversumin itse, mutta onko se kannattavaa? Meta ja pilvijätit voivat luoda mullistavan metaversumin. Ne määrittelevät verkkonsa ja kehityksen itse, joten laitevalmistajat eivät ohjaa junaa. Operaattorit ovat jääneet kelkasta ja eivät ole todennäköisiä suunnannäyttäjiä. Joka tapauksessa internettiä on enemmän ja sieltä voi erottua signaaleja markkinamuutoksista.

Sovelluspuolella digitalisaation, etätyön, analytiikan, devopsin ja tietoturvan suosio jatkuu. Tilauspohjainen hinnoittelu saattaa kohdata vaikeuksia. Käyttäjien pitäisi saada rahalleen lisää vastinetta kun tuottavuus laskee. Pilvi ei ole tuottavuuden tehostaja, automaatio on. Pilvikin tarvitsee siis uusia vauhdittajia kuten SaaS. SaaS ei kuitenkaan itsessään mullista mitään, vaan arvo on ominaisuuksissa, jotka tehdään ohjelmallisesti. Valmistajilla vanhan tuotteen siirto ohjelmaksi ja sen kuukausihinnoittelu ei tuo mitään uutta. Softa ja pilvi kuitenkin jatkavat voittokulkuaan.

SdxCentral ennustaa kasvua DevSecOpsille eli tietoturvan automatisoinnille osaksi sovelluskehitystä. Paljon puhuttu O-RAN saa yleisen hyväksynnän, vaikka käytäntö on vielä kaukana. Avoimeen arkkitehtuuriin siirtyminen on kuitenkin väistämätön kehitys ja sitä ei voi enää kääntää. Ihmisaivoja jäljittelevä neuromorfinen laskenta voi mullistaa tekoälyä. Järjestelmien vikatestaus chaos engineering lisääntyy ja sitä voidaan tuottaa myös palveluna. Kiertotalous kasvaa ja voi tuottaa taloudellisia säästöjä toimitusketjussa. Siihen tarvitaan kuitenkin ajatustavan muutosta.

Internet

USA on yrittänyt ottaa internetin moraalisen johdon käsiinsä kun Bidenin hallinnon Tim Wu on kehittämässä uutta tulevaisuuden internet-liittoa ihmisoikeuksien ja kansalaisyhteiskunnan pohjalta. Se on vastaisku autoritäärisille internet-valtioille ja osin myös internetin keskittymiselle yritysjättiläisten hallintaan. Web2.0:n kehittäjä Tim O’Reilly on ottanut kantaa Web3-kehitykseen. Perusviesti on se, että on liian aikaista olla innostunut web3:sta, koska sen muotoa ei vielä tiedetä. Nyt pöhinä on keskittynyt rahan tekemiseen kryptovaluutoilla ja NFT:eillä, mutta paljon kovia ongelmiakin olisi ratkaistavaksi luottamuksen, identiteetin ja talouden hajauttamisen parissa. Nyt ollaan samassa tilanteessa kuin 90-luvun lopun dotcom-kuplassa ja aika näyttää miten ja milloin kupla puhkeaa.

Mitä sitten web3 vaatisi IT-infralta? Ainakin enemmän palvelimia, koska julkisen pilven käyttö sotisi hajautuneisuuden periaatetta vastaan. Puolen vuoden aikana web3-projektit vuokrasivat tuhansia rautapalvelimia mikä ei jäänyt huomaamatta hostaajilta kuten Equinixilta. Myös Hetznerillä on sopivia palvelinkokoonpanoja, mutta sijainti vain Saksassa ja Suomessa rajoittaa käyttöä. Web3-sopivaa palvelinkokoonpanoa ei vielä löydy moneltakaan tarjoajalta. Infran ei tarvitse peer-to-peer -mallissa enää olla niin redundattista. Lisää nopeaa levytilaa tarvitaan tietokannoille. Tavalliset 4 TB:n SSD-levyt eivät riitä. Verkossa nopeus ja pieni viive ovat tärkeitä. Kaistaa ei juurikaan tarvita kun yksi noodi liikennöi yleensä 50 Mbps -kapasiteetilla. Syntropy yrittää kehittää internet-reititystä käyttämällä SRv6- ja DARP-teknologioita tehokkaampien reittien valintaan ohjelmoitavalla verkolla. Kumppaneita ovat mm. AWS, Microsoft ja Oracle. Syntropyn ekosysteemi perustuu NOIA-tokeneihin.

Ipv4-osoitemarkkinoilla on tapahtunut ihmeitä kun osoitteiden hinta on tuplaantunut vuoden sisällä. Kysyntä on kovaa, mutta miksi näin kävi ja mitä asialle olisi tehtävissä? Homma lähti menemään pieleen jo 90-luvulla kun osoitteiden ennustettiin riittävän jopa 2045 asti. Meillä olisi ollut 40 vuotta aikaa korjata tilanne, mutta löysä aikataulu ei pakottanut mihinkään. Lisäksi mitään yhtenäistä siirtymätapaa ei luotu, vaan IETF heitti kehiin yli 30 erilaista ratkaisua. Hätä tuli käteen 2009 kun todettiin, että osoitteita ei riittäisikään kuin pariksi vuodeksi. RIR:t jakoivat viimeiset osoitteet erilaisilla politiikoilla ja nyt osoitteet joutuu hankkimaan ostamalla. NAT on tehostanut osoitteiden käyttöä huimasti ja lisännyt osoitemäärän 2^32:sta 2^50:een. Ipv6 on ollut turhaa pyristelyä ja ipv4-vapaa maailma ei näytä toteutuvan. Mutta eihän nykyinen internet välttämättä tarvitsisi globaaleja osoitteita. Uusi malli voisi perustua nykyiseen sisältöpainotteiseen internetiin ja paikallisiin access-verkkoihin, jotka olisi yhdistetty suoraan sisällönjakelukeskuksiin. Näin päällekkäisiä osoitteita voisi käyttää vapaammin ja julkisten ipv4-osoitteiden tarve voisi romahtaa. Enpä tiedä miten tällainen ratkaisu sopii tulevaan hajautettuun web3-maailmaan. Joka tapauksessa nykyinen epäselvä tilanne jatkuu vielä vuosia. Osoitemarkkinassa voi olla kuplan merkkejä, mutta se selviää vasta myöhemmin.

Ipv6-käyttöönotto ei ole helppoa, sen joutui toteamaan Reddit, joka poisti AAAA-tietueet käytöstä ja palautti liikenteen takaisiin vanhalle webbisivulle. Isoillakin toimijoilla on jatkuvasti vaikuksia Ipv6-toteutusten kanssa.

BT jatkaa kampanjointiaan verkkoneutraliteetin puolesta. Se kuljetti ennätykselliset 23,4 Tbps liikennettä kiinteässä verkossa jalkapallo-ottelun aikaan. 2 Tbps siitä jaeltiin CDN:n kautta. Toimitusjohtaja Marc Allera valittaa, että verkko ei välttämättä kestä näitä piikkejä jatkossa. Joukko OTT-palveluita käyttää 80% kapasiteetista ja se ei ole reilua. Verkon tilaajamäärän mukaan jaettuna se tekee kuitenkin vain reilut 2 Mbps per käyttäjä. Odottavatko operaattorit, että sisällöntuottajat maksavat heille suoraan jonkun käsirahan vai haluavatko he vanhat sopimuskäytännöt takaisin? Regulaatio estää sen monessa maassa ja maksujen tasaus vaatisi lainsäädännön muutoksia. Tavalliselle käyttäjällä internetistä on tullut perushyödyke ja operaattorit ovat seuranneet vierestä tilanteen kehittymistä 30 vuotta. Operaattorit jatkavat säästämistä vielä vuosia kunnes kohtaavat todellisen kriisin. Miten jatkuvasti kasvavasta verkosta saadaan tehtyä yhä halvempi, siinä on todellinen ongelma. OTT-toimijat, laite- ja ohjelmistovalmistajat, pilvet on kaikki otettava mukaan kehittämään uutta verkkomallia. Operaattoreiden pitäisi vaan ryhtyä toimeen, eikä odottaa ihmettä tapahtuvaksi.

Cloudflaren Internetin vuosi 2021 kokoaa suosituimmat asiat ja tapahtumat yhteen. Suosituimmat domainit on myös kerätty listalle ja kärkeen on noussut Googlen ohi Tiktok.

Internet-infrassa ja nimissä käytetään erilaisia maantieteellisiä koodeja, joista voi päätellä laitteiden ja palveluiden sijaintia. Caidan tutkimus kokoaa nimeämiskäytäntöjä yhteen. Geovihjeitä voivat olla: IATA- tai ICAO-lentoasemakoodit, YK:n LOCODE-koodit, Pohjois-Amerikan CCLI -telco-koodit, maiden, alueiden, kaupunkien tai rakennusten nimet.

Cinia on tehnyt uuden sopimuksen Aasian merikaapelista amerikkalaisen Far North Digitalin kanssa. Kaapelin uusi reitti ohittaa Venäjän kulkien Suomesta ja Irlannista Islannin ja Grönlannin ohi Alaskaan ja Kanadaan, jatkaen sieltä Japaniin. Mittaa kaapelille tulee n. 14000 km, kustannusarvio on miljardi euroa ja valmistumisarvio on 2026 mennessä. Euroopan ja Aasian välinen liikenne on suurelta osin riippuvainen Egyptin tarkistuspisteestä Suezilla ja Punaisella merellä. TE-kanavaksi kutsuttu piste antaa Kairossa valtionoperaatori Telecom Egyptille merkittävän mahdollisuuden vaikuttaa globaaliin liikenteeseen. Cinian uuden kaapelin merkitys on vielä avoin ja kapasiteettia suunnitellaan myöhemmin. Rahoituskin on vielä auki, vaikka kiinnostusta on kuulemma ollut.

Satelliittilaajakaistassa Kiina on hyökännyt SpaceX:ää vastaan väittäen avaruusasemansa välttäneen juuri ja juuri törmäyksen Starlink-satelliittiin. Varmaan näin voi olla käynytkin, mutta törmäykset ovat yleisiä ja tilanne vaan pahenee koko ajan kun lisää satelliittia syydetään taivaalle. Starlinkillä on tietysti osansa siinä. USA:n avaruusasema on kymmenen viime vuoden aikana useaan kertaa joutunut väistelemään kiinalaisen satelliitintuhoamiskokeen jäännöksiä. Tästä 2007 tehdystä kokeesta aiheutuikin kaikkien aikojen debris. Nyt siis ollaan siirrytty uuteen avaruusaikaan.

SpaceX on saanut lisärajoitusta reilut 300 miljoonaa dollaria, joten lisää satelliitteja saadaan ilmaan. USA:ssa Starlinkin mediaaninopeus on laskenut 10 Mbps Q3:n aikana. Se saattaa johtua kasvaneesta käyttäjämäärästä. Oneweb on saanut laukaistua 36 uutta satellittia taivaalle. Nyt sillä on 60% tavoitellusta 648 satelliitin kokonaismäärästä käytössä. Onewebillä on rahoitus kunnossa ja velkaongelmaa ei ole.

Muut satelliittiyritykset eivät pelkää LEO-satelliittien kilpailua. Ne eivät näe LEO-satelliiteissa kannattavaa liiketoimintaa, koska terminaalikustannukset ovat isot suhteessa asiakashintaan. Viiveen merkitystä on liioiteltu, koska keskivertokäyttäjälle sillä ei ole merkitystä. Satelliittiverkot myös virtualisoituvat ja menevät pilveen kuten operaattoriverkot muutenkin. Verkosta tulee joustavampi ja kapasiteettia pystytään käyttämään paremmin hyödyksi ohjailemalla sitä oikeaan paikkaan. LEO-kapasiteettia menee valtavasti hukkaan harvaan asutuilla alueilla. Joidenkin maiden, kuten Venäjän tai Intian, markkinoille voi olla vaikea päästä sisään. Sinä aikana kun hakemuksia ja lupia käsitellään, LEO-satelliitin elinkaari ehtii jo umpeutua.

Tapahtumat

AWS re:Inventin kaikki verkon ja sisällönjakelun esitykset on julkaistu Youtubessa.

NFDSP1 Networking Field Day: Service Provider pidetiin ensimmäistä kertaa. Ratkaisujaan esittelivät Arista, Cisco ja Drivenets.

Kuukauden nimenmuutos

F5 Networks on eriytynyt verkkoalkuperästään 25 vuoden aikana niin paljon, että vaihtaa nimensä. “Uusi nimi” on F5, koska se kuvastaa paremmin yrityksen identiteettiä. Maailma on erilainen nyt, niin on F5:kin. Uudella F5:lla on tarjottavanaan tietoturvaa ja kehittyneimpiä sovellusinnovaatioita webbipalvelun nopeudella. Merkittävä uutinen meni itseltä ohi ja muutos oli tapahtunut jo marraskuussa.

[FI] Tietoliikennealan katsaus 2021-11

Ongelmat

Google Cloud kärsi vuorostaan maailmanlaajuisesta häiriöstä 16.11. Pari tuntia kestänyt katko aiheutti ongelmia muille palveluille kuten Spotifylle, Snapchatille ja Discordille. Häiriö johtui bugista, joka korruptoi kuormanjaon asiakaskonfiguraatiomuutoksen.

Erikoisempi mysteeri on 4,3 km kadonnutta merikaapelia Norjan rannikolla. Tutkimuskäytössä oleva 66 km kaapeli yhdistää merenpohjassa olevia tutkimuslaitteita. Ensimmäinen oire havaittiin jo huhtikuussa, mutta silloin epäiltiin virhettä omassa tekniikassa. Nyt kun asiaa tutkittiin roboteilla, selvisi, että 4 km kaapelista oli kadonnut jäljettömiin. Syyksi on arveltu isoa kalastusalusta, joka olisi voinut repiä 200 m syvyydessä olevan kaapelin poikki. Kadonnutta pätkää aletaan etsiä erikseen.

Facebookin ongelman jälkimainingeissa käydään erikoisia keskusteluja. Hollannin hallitus on kyseenalaistanut toimiko IETF ja sen määrittelemä BGP-protokolla oikein. Vai pitäisikö kenties protokollaa muuttaa.

USA:ssa Comcastilla oli kaksi isoa katkoa 9.11. Xfinity-kaapeliverkossaan. Lyhyehköt katkot näkyivät hurjina pudotuksina liikennekäppyröissä ja vaikuttivat miljooniin käyttäjiin. Ilmoille heitettiin arvaus IPv6 DDoS -suojauksen muutoksista ja Juniperin JSA-laitteista.

HUS joutui palvelunestohyökkäyksen kohteeksi noin viikon ajan. Häiriöt näkyivät tietyissä mm. koronaan liittyvissä kirjautumista vaativissa palveluissa. Hyökkäys ei ollut jatkuvaa, vaan ajoittaista. Jatkoselvitys tapahtuu kulisseissa viranomaisten kanssa.

Operaattorit ja 5G

Viime kuussa mediassa teilattiin 5G ja nyt vuorossa on Open RAN. Alkaa tuntua, että uutisointi noudattaa vuosikelloa. Alkuvuonna puhkutaan intoa ja uusia suunnitelmia, ja loppuvuonna todetaan, että suuria odotuksia ei pystytty lunastamaan. Pettymykset purkautuvat pessimistisinä uutisointeina. Tai realismina, miten vaan.

CCS Insightin raportti kertoo, että Open RAN ei ole lähelläkään valmista. O-RAN:lla on mahdollisuus sotkea nykyistä ekosysteemiä, mutta näyttää, että se tapahtuisi ennemminkin vasta 6G-aikakaudella. 5G:n osalta ei ole mahdollisuuksia ehtiä enää mukaan. Arvion mukaan 2025 ehkä 1% toteutuksista voisi olla O-RAN:ia ja 2030 edelleen vain 3%. Ongelma ei ole ehkä vain teknologiassa vaan myös organisaatioiden valmiudessa ja halukkuudessa sitoutua asiaan. Kolmesta valmistajasta Nokia on eniten mukana ja Huawei vähiten. Huawei ei ole O-RAN -allianssin jäsen, mutta vaikuttaa kuitenkin suurimman asiakkaansa China Mobilen taustalla vahvasti. China Mobilella on enemmän asiakkaita kuin Euroopan ja Pohjois-Amerikan operaattoreilla yhteensä, joten sen vaikutusvalta on suuri. O-RAN -allianssi on ihan yhtä kiinalainen kuin Huawei itse, joten Huawein korvaajaksi siitä ei ole. Siksi allianssilta myös kaivataan kovasti läpinäkyvyyttää.

Euroopan rooli onkin O-RAN:ssa jäänyt vähälle ja huoli tulevaisuudesta painaa. Eurooppalaiset operaattorit ovat herätelleet toimijoita mukaan ekosysteemiin omalla raportillaan. Raportin mukaan Euroopassa on vain 13 merkittävää peluria muun maailman 57 toimijaa vastaan. Euroopan merkittävät toimijat ovat ARM, Atos, Canonical, Capgemini, Cellnex, Ericsson, Nokia, NXP, OVHcloud, Reply, Rohde&Schwarz, Spirent ja SUSE. Orange on perustanut Pariisiin O-RAN -labran, johon se kutsuu valmistajia esittelemään ratkaisujaan ja luomaan innovaatioita Euroopan ekosysteemiin. Kuitenkin Orangenkaan suunta ei ole selvä. Avoimeen monivalmistajaratkaisuun sisältyy tietysti monta kokkia, mikä aiheuttaa monimutkaisuutta ja lisää kustannuksia. Operaattorit haluavat uusia vaihtoehtoja, mutta eivät monimutkaisuutta, jonka rakentamiseen tarvitaan integraattoria. BT on ollut selväsanainen, että O-RAN ei voi korvata nykyistä verkkoa, jossa on miljoonia asiakkaita. Puhtaalta pöydältä aloittaminen on helpompaa, kuten Rakutenin ja Dishin tapauksessa.

Rakuten ei ole suoranaisesti ollut hyvää mainosta O-RAN:lle. Yrityksellä menee taloudellisesti kehnosti, tekniikka ei ole vakuuttanut, luvattu kustannussäästö on jäänyt lunastamatta ja asiakaskunta koostuu pääosin uusista toimijoista. Ericsson ja Nokia ovat molemmat todenneet, että O-RAN ei edes ole halvempi kuin perinteinen ratkaisu. Juuri tämä disaggregointi aiheuttaa kustannusten nousun, vaikka yksikköhinnat olisivatkin halvemmat. Kokonaisratkaisuun tarvitaan monia erillisiä komponentteja, joten hintaetu, tehokkuus ja hallittavuus menetetään. Tietoturvapuolella Saksan viranomaiset ovat teettäneet raportin O-RAN:n turvallisuudesta ja sen johtopäätöksenä on, että uusi tekniikka suorastaan kerjää vaikeuksia ja riittäviä toimenpiteitä turvallisuuden takaamiseksi ei ole tehty. Suuria riskejä syntyy laajasta skaalasta erilaisia rajapintoja ja komponentteja. Määrityksissä ei ole riittävästi panostettu tietoturvallisuuteen ja toimintaa ei ohjaa sisäänrakennettu tietoturva. EU arvioi myös 5G:n tietoturvaa ja tällä raportilla voi olla vaikutusta. Saksa on ollut vahvasti huaweilainen valtio ja yli puolet sen 4G-infrasta on Huaweita. USA:ssa FCC on avannut 1,9 miljardin dollarin rahaston Huawein ja ZTE:n korvaamiseksi. Britanniassa hallitus on hyväksynyt lain, jonka mukaan Huaweita ei enää saa käyttää 2026 jälkeen sakon uhalla. Laki siirtää vastuun operaattoreilta viranomaisille ja Ofcom alkaa valvoa lain noudattamista.

Nokia on vahvasti mukana O-RAN -allianssissa, mutta jäsenistössä on uskonnollista fanatismia ja vihamielisyyttä Nokiaa kohtaan. O-RAN on amerikkalaisten vastaisku Huawein lisäksi myös valtaa pitäville Nokialle ja Ericssonille. Kiistely osoittaa, että O-RAN on myös osa geopolitiikkaa. Nokia on saavuttanut 5G-tekniikassa 4000 essentiaalipatenkin rajapyykin. Kehitykseen on investoitu 130 miljardia euroa parinkymmenen vuoden aikana. Kaikkiaan Nokialla on vahva asema tekniikoiden määrittelyssä ja yhteensä noin 20000 patenttiperhettä. Telecom Infra Projectin katsauksesta selviää, että O-RAN:lla on maailmanlaajuisesti 16 teknologiatoimittajaa ja 42 tuotetta. Testauksia on menossa 35 yli 20 maassa. Saksa on vahvasi panostanut kahdella 17 miljoonan euron sijoituksella eurooppalaisen ekosysteemin kehitykseen. Muita TIP:n projekteja ovat mm. OOPT Optical Packet Transport, FIBR Fixed Broadband, IFC International Finance Corporation NaaS, Connected City Infrastructure, 5G Private Networs Solution Group ja Openwifi.

5G:n taustalla on ollut SON, Self-Organizing Network, joka on ollut itseohjautuva dynaaminen radioverkon ohjausratkaisu. 5G:ssä SON on jalostunut O-RAN -määrityksissä RAN Intelligent Controlleriksi. RIC on siis epäonnistuneen ja harvinaisen SON:n paranneltu versio. SON:n automaatioluuppi kesti noin 15 minuuttia, joka ei mitenkään vastannut reaaliaikavaatimuksia. Nyt non-realtime RIC hostataan keskitetysti ja sen automaation vasteaika on luokkaa 1-2 sekuntia. Near-realtime RIC pystyy tukiasemissa hajautettuna toimiessaan 10 ms vasteaikaan. Terminologia ja aikamääritykset ovat hyvin sekavia. Ericsson on julkistanut non-realtime RIC:n nimellä Intelligent Automation Platform. RIC:lle voi kirjoittaa ei-reaaliaikaisia hallintaohjelmia (xApp) ja lähes reaaliaikaisia ohjelmia (rApp). Reaaliaikaisuudessa ja avoimuudessa ei vieläkään ole osoitettu olevan suurta arvoa tai rahastusmahdollisuutta operaattorille. Arvo löytyy enemmän verkon automatisoinnista ja optimoinnista tulevista säästöistä. Kukaan ei ole kuitenkaan kertonut mitä RIC:iin investoimalla voisi mahdollisesti säästää.

Ericsson on tehnyt Wolt-maisen yritysoston hamutessaan Vonagen itselleen 6,2 miljardilla dollarilla. Se on Ericssonin kaikkien aikojen isoin ostos ja kenties myös rohkein. Vonage on kommunikaatioalusta pilvessä ja se tarjoaa rajapintoja sisällytettäviksi sovelluksiin. Ericsson uskoo pääsevänsä 120000 asiakkaan alustan ja miljoonan kehittäjän avulla sisälle yrityspalveluihin, joita se kovasti kaipaa tuotevalikoimaansa. Vonagen voi nähdä yritysten yhteistyöalustana kuten Teamsin, Zoomin tai Webexin. Niitä vastaan kilpailemalla Ericsson tuskin voi voittaa. 5G-yritysverkon palvelut ovat muutenkin hankala ja epäselvä asia. Vonagella ei ole suoraa kytköstä 5G-verkkoon ja hiukan epätoivoista uskoa, että kehittäjät tai yrityskäyttäjät haluaisivat yhtäkkiä alkaa käyttämään 5G-verkon rajapintoja tai QoS-ominaisuuksia. IP-liikenne kuitenkin kulkee ihan kivasti internetissä ilman mitään viiveen viilauksia. Rohkean, riskaabelin ja innovativiisen ostoksen hinta on kova ja kukaan ei lopulta tiedä miltä yritysliiketoiminta näyttää kymmnen vuoden päästä.

Suomessa Telia ehti ensimmäisenä avata itsenäisen 5G-verkon eli 5G standalonen ja oli myös yksi ensimmäisiä operaattoreita Euroopassa. Elisa otti nokkiinsa ja väitti ehtineensä ensin. DNA ottaa lunkisti ja avaa itsenäisen verkon joskus ensi vuoden puolella. Todellisuus on se, että Telialla on 25 tukiasemassa 3,5 GHz:n taajuudella toimiva itsenäinen 5G, jossa on 40 käyttäjää. Verkkoon voi ostaa laitteita ja liittymiä. Elisalla itsenäinen 5G ei ole julkisessa käytössä, mitään lukuja ei paljasteta ja liittymiä ei ole myynnissä. DNA:lla oman verkon tukiasemat on liitetty 5G standalone coreen ja testauksia tehdään. Verkko avautuu ensi vuoden aikana vaiheittain. 26 GHz:n millimetriaalloille DNA:lla ei ole suurta hinkua, koska kaupallista käyttöä ei ole löytynyt ja se vaatisi myös tukiasemien lisärakentamista. Toistaiseksi 3,5 GHz riittää kaikkeen tarvittavaan. 4G:ssä radioverkon viive on luokkaa 10 ms ja itsenäisellä 5G:llä saadaan siitä muutama millisekunti pois. Ei siis kannata odottaa mitään merkittävää tai havaittavaa muutosta viiveen osalta. Mutta ensi vuonna voimme kenties odottaa verkkoviipalointia ja muita 5G:n luvattuja uusia ominaisuuksia.

Kiinnostavaa onkin, että Android 12:ssa on tuki 5G-viipaloinnille. Laite voi reitittää dynaamisen politiikan mukaan sovellusliikenteen eri verkkoviipaleisiin kuten SD-WAN -maailmassa. Miten sitten yritys saa käyttöön privaattiverkon ja mitä laitteita tarvitaan? 5G-taajuuksia haetaan viranomaisilta ja niihin liittyy lisenssimaksu. Saksan esimerkissä tehdasalueen 10 vuoden lisenssimaksu olisi luokkaa 6000 euroa eli nimellinen. Lisäksi tarvitaan 5G-laitteet eli antennit, radioverkon ja coren palvelimet sekä yhteydet laitteiden välille ja ulos. Näitä on esitelty esim. Samsungin whitepaperissa. 5G:n ja yritysverkon yhdistymisestä on puhuttu ja nyt Dishin ja Ciscon kumppanuus antaa esimakua miten perinteinen verkkovalmistaja ottaa roolia 5G:ssä. Dish siis tekee 5G-verkkoa ja Cisco tuo siihen kylkeen verkon viipalointia varten älykkään automatisoidun pilvipohjaisen siirtoverkon, virtuaalista reititystä konteissa, perinteisiä laitteita ja ratkaisuja kuten Nexus- ja NCS-kytkimet ja ACI. Lisäksi Cisco on mukana suunnittelussa, toimituksessa ja operoinnissa. Dish taas myy Ciscon ratkaisuja osana 5G:tä yritysasiakkailleen.

Suomessa on totuttu ajattelemaan, että olemme mobiilitekniikan edelläkävijämaa. Tosiasia on, että Nokiasta huolimatta Suomi ja koko Eurooppa on tippunut kärjestä kun Kiina, Japani ja Korea pitävät kärkiasemaa. Suomessa kuitenkin verkkojen laatu ja kattavuus on hyvä ja sitä arvostetaan. DNA:n radioverkkojohtaja Jarkko Laari murtaa kymmenen myyttiä langattomista nettiyhteyksistä. Oulussa testattiin viranomaisten välisen kriittisen viestinnän laajentamista yksityisten verkkojen palveluilla suuronnettumuutta simuloimalla. PRIORITY-hankkeessa on tutkittu kaupallisten 5G-verkkojen käyttöä kommunikaatiota täydentävänä datansiirtokanavana. Testissä selvisi, että pienet viiveet ja verkon peitto on taattava operaatioalueella, jotta toimiva järjestelmä saadaan rakennutta. Autoihin 5G tulee ryminällä ja 2024 jo 90% autoista on varustettu verkkoyhteydellä. Yhteys muodostetaan eSIM-turvasirulla, jolla autonvalmistajat voivat tarjota parannettuja palveluita turvallisesti ja luotettavasti.

Netin neutraliteetin kaato on saanut lisää pontta kun 13 eurooppalaista operaattoria on ilmaissut kantansa OTT-toimijoita vastaan. Tavoitteena on tasoittaa kustannusrakenne ja liiketoimintamallit operaattorien ja sisällöntuottajien kanssa. Operaattorit siis kilpailevat suoraan teknologiajättien palveluiden kanssa ja kokevat asemansa epäreiluksi. Asiasta on tullut tunteisiin menevä ja värittynyt, koska internet-jätit voittivat alun perin julkisuuden puolelleen ja nykyisestä tilanteesta on tullut normi. Avoin-sanaa toistellaan kerta toisensa jälkeen eri tilanteissa, mutta todellisuus on paljon monimutkaisempi. Sisältöyritykset ovat kyllä rakentaneet oman osansa internet-infrasta ja imeneet käyttäjät ja datan sisäänsä. Operaattorille on jäänyt se perinteinen rooli putkimiehenä. Britit ovat irtaantuneet EU-sääntelystä, mutta samat ehdot on kopioitu omaan lainsäädäntöön, jota Ofcom nyt seuraa ja valvoo. Tefficient on tehnyt vertailua pohjoismaisten operaattoreiden henkilöstömäärän muutoksista viimeisen vuodan aikana. Elisa on harvinainen poikkeus, jolla työntekijöiden määrä on kasvanut.

Myös laajakaistaterminoinnissa on kehitetty ratkaisuja miten dynaamisesti ohjataan verkon parametrejä sovellusten vaatimusten mukaiseksi. Broadband Forum esittelee Dynamic Session Streeringiä demossaan. CloudCO-projektissa on viisi vuotta kehittetty näitä verkkofunktioita BNG:lle. Tekniikalla uskotaan olevan tehostava vaikutus verkon käytölle ja näin operaattori voisi säästää kustannuksia. Tässäkin tapauksessa verkkoneutraliteetista tulee mielenkiintoista. Kupariverkkoja on alettu sulkea ja nyt regulaattorit puuttuvat asiaan. Telenorin täytyy ylläpitää kupariverkkoaan 2025 vuoteen asti, mutta Hollannissa KPN saa sulkea kupariverkon siellä missä on kuitua tarjolla. USA:ssa kaapelinkatkonta jatkuu reippaana. Kymmenenä vuosineljänneksenä peräkkäin operaattorit ovat menettäneet miljoona kaapelitilaajaa. Vuodessa on siis menetetty 4,25 miljoonaa kaapelitilausta. Tilaajat siirtyvät laajakaista-asiakkaiksi ja suurimmat operaattorit ovat keräännet 630000 tilaajaa viimeisenä vuosineljänneksenä. BT kehittelee Metan tapaan kuiturobotteja, joilla voidaan asentaa kuitua ja ylläpitää putkistoja. DNA on avannut kaksi omaa merikaapeliyhteyttä Tukholmaan Seaway-palvelunimellä.

Pilvi ja konesali

Nokia on julkaissut operaattorien SaaS-palveluita, jotka se näkee tulevaisuuden kulutusmallina. Palveluihin sisältyy datan käsittelyä, automaatiota, analytiikkaa ja tietoturvaa. Nokia visioi ja laajentaa rooliaan XDR-, EDR-, SOAR- ja asiantuntijapalveluissa.

Prosimo on tutkinut monipilven tietoliikenteen ongelmakohtia. Suurimpia ongelmia on löytää yhtenäinen tietoliikennetoteutus usean pilven kanssa. Yritykset odottavat tällaista yhtenäistä käyttökokemusta. Toinen iso ongelma on tietoturva, jossa zero trust -ajattelun toteuttaminen tuottaa päänvaivaa. Kolmas kompastuskivi on näkyvyys ja havainnointikyky, joka on liian huono eri pilvien kesken. Lisäksi ongelmia aiheuttaa sovellusten suorituskyky, jota tietoturvamenetelmät helposti alentavat, ja pilven tiedonsiirtomaksut. Lähes kaikki haastatelluista näkevät monipilvisuunnitelmat akuutteina muutaman vuoden sisällä. Puolet tekevät monipilvitietoliikennettä perinteisin keinoin ja kohtaavat operatiivisia hankaluuksia  monimutkaisuuden, suorituskyvyn ja tietoturvan kanssa. Yritykset ovat kuitenkin varsin alkuvaiheessa monipilven käyttöönotossa.

Monipilvitietoliikennetuotteet laajentavat nyt tietoturvaan. Aviatrix on tehnyt monipilven tietoliikennettä ja nyt se julkistaa omat tietoturvatuotteensa, joilla taklataan pilven työkuormiin liittyviä riskejä. Aviatrixin tuote toimii pilven datansiirtokerroksella, joten sillä on näkyvyys kaikkeen liikenteeseen. Näin se näkee kattavasti pilven liikenteen ja voi nostaa sieltä esille uhkia ja automatisoida niiden korjaamista. Tuote ei korvaa palomuuria tai SASE:a, vaan se täyttää aukot, jotka näiltä jää näkemättä. Nähdäänkö seuraavaksi vastavuoroisesti perinteisten palomuurivalmistajien laajentaminen monipilvitietoliikenteen hallintaan? Sitähän osin on jo tehty WAN-osuudella.

Vodafonen ilmoitus kehittää itse eri julkipilvien välillä siirreltävät Telecom as a Service TaaS-palvelut on herättänyt kummastusta. Sovellusten siirreltävyys ja monipilven käyttäminen palveluiden varmistamiseen on kallis ja vaikea tapa järjestää palvelut. Mistä revitään 7000 kehittäjää ja miten vielä vaikeampi toimintakulttuurin muutos saadaan toteutettua? Operaattoreilla on usein vanhat jähmeät ajatusmallit ja niihin kuuluu olennaisena osana huono riskinsietokyky ja luotto palvelunhallintaprosesseihin. Modernissa IT-maailmassa vikoja tulee ja niistä pitää selvitä nopeasti, mielellään automaation avulla. Ongelmia ei ratkota pelkästään rahaa tai ihmisiä lisäämällä.

Pilvi on saanut yrityksissä uskonnollisen vakaumuksen kaltaisen aseman. Ei haittaa, vaikka kulut ovat hallitsemattomia, käyttö on ennustamatonta, kehitysroskaa kertyy nurkkiin, tuotannon skaalauksessa on ylimitoitusta, sitoumuksia ei hyödynnetä tai toteutus on muuten epäoptimaalinen. Tämä kaikki näkyy pilvikustannuksissa ja hallinnan hankaluutena. Pilven kustannusrakenne on vaikea asia.

Linux Foundationin State of the Edge 2021 -raportissa todetaan, että edge on monimutkainen yhtälö. Kaikki eivät sillä saralla menesty ja olennaista on löytää sopivat kumppanit edge-palveluiden toteuttamiseksi. Suurin osa operaattoreista onkin luonut edgeä varten kumppanuuden pilvijättien kanssa, mutta samanlaisilla palveluilla on vaikea erottua massasta.

Cloudflare on viettänyt Full Stack -viikkoa ja kehunut omaa edge-toteutustaan maailman nopeimmaksi tai jotain sinne päin. Ainakin Fastly on joutunut tulilinjalle kun Cloudflaren mittauksen mukaan sen Workers toimii lähes 200% nopeammin kuin Fastlyn Compute@Edge. Fastly tosin on valittanut mittauksia vääristyneiksi ja väittää omaa palveluaan paljon nopeammaksi. Webbipalveluissa sovellusten viivettä kuvaa ensimmäisen tavun latausaika Time-to-First-Byte. Jos sovellus toimii osittain pilvessä ja osittain konesalissa, viivettä tulee jo ihan maantieteen takia kun sovellusliikenne sahaa pilven edustapalveluiden ja konesalin taustapalveluiden välillä. Siinä ei auta edustapalveluiden siirto lähemmäs käyttäjää, vaan koko sovellus pitäisi uudistaa. Ei kannata myöskään unohtaa nimipalvelun vasteajan osuutta kokonaisviiveessä. Sisältöä voi tosin jaella tehokkaasti käyttäjien läheltä CDN-palveluiden kautta.

Oracle Cloud on liittynyt Cloudflaren Bandwidth Allianceen ja sitoutunut siten vähentämään pilvensä tiedonsiirtomaksuja. AWS on nyt tuntenut piston sydämessään ja iskenyt takaisin laskemalla ulospäin suuntautuvan liikenteen hintaa. Hinta sinänsä on pysynyt samana, mutta alueiden välillä voi nyt siirtää ilmaiseksi 100 GB dataa ja Cloudfrontista voi jaella 1 TB sisältöä kuukaudessa ilmaiseksi. Tämän 100 GB kädenojennuksen hinnaksi oli laskettu noin 9 dollaria. AWS:n hinnanpudotuksille on jopa oma blogi, josta voi seurata muutoksia. Verkkopuolella AWS tukee nyt itsenäisiä IPv6-aliverkkoja. IPv6-toteutuksesta on julkaistu opas ja edustalle tarvitaan v6-v4 -muunnokset DNS64 ja NAT64 yhteensopivuuden varmistamiseksi. Hybridipilven toteutuksesta on myös julkaistu opas, jossa kerrotaan tarkemmin miten AWS ja konesali liitetään optimaalisesti yhteen. AWS:n tuotepäällikkö Nick Matthews on vastannut verkkoa koskeviin kysymyksiin Twitterissä ja valottanut hieman AWS:n verkkototeutuksien taustoja. Toni Pasasen AWS-verkkojen opas on nyt saatavilla kirjana halpaan hintaan.

Microsoft on avannut uuden pilvialueen Ruotsissa kolmella paikalla: Gävle, Sandviken ja Staffanstorp. Näissä pyörii Azure ja M365-palvelut. Azure sai uusia ominaisuuksia hybridi- ja monipilven toteuttamiseen. Fortinet on liittynyt Azuren virtuaali-WAN -kumppaniksi ja nyt Fortigate-muurit voi liittää osaksi “pilvirunkoverkkoa”. AWS:n kanssa Fortinet pyrkii tuomaan olemassa olevilla tuotteillaan helpotusta monipilven monimutkaiseen hallintaan. Konsultointipalveluilla perehdytetään asiakas oikeaoppiseen arkkitehtuuriin ja miten Forti-VM -tuotteita käytetään pilven kanssa. Tietoturvapalvelussa havainnoidaan tapahtumia ja löydettyihin ongelmiin ehdotetaan korjauksia.

AWS:n kasvu on ollut valtavaa ja se on syönyt osuutta yritysten omista konesaleista. Miten kauan kasvu voi jatkua tällä kasvuvauhdilla, jossa sen liikevaihto kohta ylittäisi jo koko USA:n talouden tai koko IT-sektorin kulutuksen määrän? Pilven todellisuus on tasapainoilua suorituskyvyn ja kapasiteetin kasvun tulosvaikutusten kanssa. Kasvun on tasaannuttava kun markkina on kyllästynyt riittävästi ja johtotähdetkin sammuvat joskus. AWS ei ole mitenkään avoin talouslukujen erittelyssä eri liiketoimintojen kesken. AWS on ajoittain tehnyt kaiken Amazonin voiton verkkokaupan kulujen noustessa kohisten. Nextplatform on yrittänyt arvailla miltä eroteltu liikevaihto voisi näyttää. Kovimmin kasvava osuus AWS:llä olisi ohjelmistot ja muu IaaS-osuus kulkisi omaa tasaisempaa polkuaan.

Kiinan isossa pilvimarkkinassa kasvu on maailman kovinta. Alibaba on omilla lukemillaan kärjessä lähes 40% markkinaosuudella. Muusta maailmasta poiketen Huawei ja operaattorit ovat ottaneet muut kärkisijat. Baidu ja JD Cloud keikkuvat mukana isojen operaattorien rinnalla. China Telecom on ollut operaattoreista agressiivisin peluri pilveistämis- ja digitalisaatiostrategioineen. Se on myös eriyttänyt pilvitoiminnot omaan yhtiöön, minkä tarkoitus on arveltu kuitenkin olevan enemmän osaajien haalimisessa. Oma yhtiö voi tarjota paremmat ja kilpailukykyisemmät edut kuin perinteisen jäykkä valtionyhtiö. Huawei on päättänyt myydä x86-palvelinliiketoimintansa kiinalaiselle valtionyhtiölle ja yrittää näin itsenäistyä USA:n vallasta. Palvelinyksiköllä on ollut vaikeuksia, vaikka se on ollut neljänneksi suurin palvelinvalmistaja. Nyt tiukan kilpailun ja alhaisen katteen palvelinbisneksestä päästään eroon. Huawei yrittää rakentaa uutta kehittyneempää palvelinekosysteemiä omien ARM-pohjaisten Kunpeng- ja Ascend-piirien ympärille kohteena tekoäly. Se on myös kehitellyt oman ARM:lle sopivan Linux-pohjaisen EulerOS-käyttöjärjestelmän.

Pilvikilpailu on koventunut kun Microsoft ja Google ovat kirineet takamatkalta kiinni. AWS:n etuna on ollut houkuttelevuus kehittäjille, jotka on hurmattu aina uusilla toiminnoilla. Microsoft ja Google ovat kosineet enemmän yritysasiakkaita valmiilla palveluillaan ja yrityssovelluksilla. Microsoft on puskenut kovimmin hybridipilven mallia. Googlella on luultavasti paras tekniikka ja parhaiten skaalautuva alusta. Kolmikon tasapaino ei luultavasti muutu nykyisestä olennaisesti lähitulevaisuudessa. Hybridipilvi ja edge ovat tämänhetkiset trendit, mutta niiden tulevaisuus on epäselvä. IBM ohjaa oppaallaan päättäjiä hybridipilven hyödyntämiseen ja myös avoimen koodin käyttämiseen pilvessä. Battery opastaa miten pilvimaailma kehittyy ja miten rakennetaan onnistunut pilvinatiivi liiketoiminta.

Euroopan tietoinfrastruktuurin itsenäisyysprojekti Gaia-X ei ilmeisesti etene ihan toivotusti, koska ranskalainen hosting-yritys Scaleway jättää projektin. Scaleway oli yksi projektin perustajista, mutta nyt se kritisoi erityisesti saksalaisia amerikkalaisten pilvijättien kanssa kaveeraamisesta ja horinoita kiinalaispilvien sponsoroinnista. Tämä vain vahvistaa olemassa olevaa valtasuhde-epätasapainoa ja Euroopan epätoivoa kahden suurvallan armoilla. Ranskalaisilla ja saksalaisilla on selvästi hyvin erilainen lähestymistapa tiedon itsenäisyyteen. Suomessa julkishallinnon siirtyminen pilveen takkuaa. Vaikka pilvipalvelut ovat uuden linjauksen mukaan ensisijainen vaihtoehto, tietyillä aloilla on suuria vaikeuksia ottaa pilveä käyttöön. Tietosuojalinjauksissa on epäselvyyttä ja pilven käyttö herkillä henkilötiedon alueilla on epävarmaa. Pilveä voi kuitenkin ottaa käyttöön osittain ja tietosuojaa voi taklata kokonaisuudenhallinnalla ja huolellisilla sopimuksilla. Valtionvarainministeriö kokoaa nyt ongelmia listalle ja alkaa ratkoa niitä luodakseen luottamusta pilvipalveluihin.

Mitä IT-päättäjät miettivät pilvestä? Suurimmalla osalla ei ole edelleenkään selkeää pilvistrategiaa ja moni ei aio siirtää työkuormia pilveen. Liiketoiminta haluaisi hyödyntää pilveä, mutta päättäjät jarruttavat sijaintiin ja tietoturvaan vedoten. Tuttu tarina. Tosiasiassa harvalla yrityksellä on oikeasti vaatimuksia pilven sijainnin tai tietoturvaan liittyen, ja M365-palveluiden myötä moni yritys on jo syvällä pilvessä. Isoilla pilvitoimijoilla on infra kunnossa, ongelmat ja riskit liittyvät enemmän käyttäjien itsensä tekemiin virheisiin. Mutta ratkaisisiko pilven käyttö yritysten digitalisaatio-ongelmat? Ei välttämättä. Pilven käyttöön liittyy harhakäsityksiä ja hyödyn saaminen vaatii riittävää osaamista. Pilven kasvu jatkuu ja siksi hintakilpailu ei ole vielä alkanut. Infran saa toteutettua suunnilleen samaan hintaa pilvessä kuin omassa salissakin.

Suurimmat hyperskaalaajat omistavat nyt yhteensä 700 konesali ympäri maailman. Kapasiteetista puolet on USA:ssa, EMEA-alueella 19%, Kiinassa 15%, muualla Aasiassa 13% ja Etelä-Amerikassa 4%. Viidessä vuodessa konesalien määärä on tuplaantunut ja kapasiteetin kaksinkertaistuminen on tapahtunut alle neljässä vuodessa. Pilven johtonelikko on Amazon, Microsoft, Google ja IBM, joilla on konesalit vähintään kolmella mantereella. Metalla on myös suuri kapasiteetti, kuten myös nopeimmin kasvavilla kiinalaisilla Bytedancella , Alibaballa ja Tencentillä. Ketään ei varmaan yllätä, että keskimäärin omat konesalit omassa maassa ovat huomattavasti suurempia kuin vuokratut ja ulkomailla olevat. Poikkeuksiakin tosin on. Hetzner laajentaa datakeskuspuistoansa Tuusulassa jälleen ensi vuoden alussa kahdella salilla. Salien yksikkökapasiteetti on 2 MW, pinta-ala 2000 m2 ja palvelimia mahtuu sisään kymmeniä tuhansia. Vuoden päästä alueella on kymmenen konesalia ja tilaa riittää vielä 20 lisärakennukselle. Työllistämisvaikutus ei ole järin suuri. Hetznerillä on 40 työntekijää, mutta työllistää välillisesti muita, ainakin rakennusaikana.

Konesalialan tehokkuusvaatimukset luovat painetta ympäristöystävällisyydelle. Veden kulutusta jäähdytykseen pitää pienentää, uusiutuvaa energiaa on hankittava enemmän ja tehokkuuden on tietysti parannuttava. Ala on tietoinen tästä ja kehittelee uusia luovia ratkaisuja. Ongelmat saattavat tulla esiin sijoittajilla, jotka ostavat vanhoja saleja ja joutuvat muuttamaan ne modernimmaksi. Pitkällä tähtäimellä kapasiteettia optimoidaan siirtämällä työkuormia sopivaan paikkaan. Nopeutta vaativat kuormat ajetaan paikallisesti tiheillä edge-alueilla ja muut työkuormat voidaan siirtää ajoon kauemmas isoille maaseutukonesaleille.

Operaattoreille kestävä kehitys on ensisijaisesti kauniita päälle liimattuja raportteja vuosikertomuksissa. Todellinen ongelma on sitouttaa kaikki osapuolet tavoitteisiin. 5G vähintään tuplaa energiankulutuksen ja kustannuspaine on kova. Operaattorit investoivatkin nyt uusiutuvaan energiaan. Toinen tapa vaikuttaa on tarjota asiakkaille energianhallintaratkaisuja esim. laiteille ja kiinteistöille. Operaattorit voisivat jopa tehdä kestävästä kehityksestä liiketoimintaa. Niinpä. Australiassa Telstra on alkanut myydä tuottamaansa uusiutuvaa energiaa, ensin työntekijöilleen ja myöhemmin kaikille kotitalouksille.

Kyberturvallisuus

Trendmicron tutkimus kertoo karua kovaa yritysten kyberturvallisuudesta. Lähes kaikki suomalaiset IT-päättäjät sanovat heidän yrityksensä olevan valmis tinkimään kyberturvallisuudesta tuottavuuden tai muiden tavoitteiden vuoksi. Lisäksi IT-päättäjiä painostetaan jatkuvasti vähättelemään kyberriskien vakavuutta ja sen vuoksi päättäjät sensuroivat itseään hallituksen edessä. Näin yritysjohto vieraannuttaa itsensä todellisuudesta. Vain kolmasosa yrityspäättäjistä uskoo ylimmän johdon ymmärtävän tilanteen. Aihe on vaikea, mutta johto ei edes halua kohdata tilannetta. Vastuu sysätään IT-osastolle ja yhteistoiminta liiketoimintojen kanssa on epäjohdonmukaista ja ailahtelevaa.

Valopilkku suomalaisten yritysten tietoturvassa on Lähi-Tapiola, joka Leo Niemelän johdolla on vienyt tietoturvallisuutta kieltojen ja estojen sijaan positiivisen ja kannustavan kulttuurin ja konkreettisten tekojen kautta eteenpäin. Lähi-Tapiola on nyt palkittu Kyberturvallisuuskeskuksen Tietoturvan suunnannäyttäjä -palkinnolla. Isossa maailmassa taistellaan kyberosaajista paremmilla eduilla. USA:ssa kotimaan turvallisuusvirasto julkistaa uuden ohjelman, jolla kyberammattilaisten palkkaa voitaisiin nostaa yli 250000 dollariin eli samaan mitä varapresidentti saa, ja joissain tapauksissa jopa reilusti yli sen.

Monella perinteisellä alalla vallitsee normaaliusharha. Koska mitään ei ole tapahtunut ennen, ei nytkään osata odottaa häiriötä. Miksi haittaohjelma iskisi pankin historialliseen keskuskoneeseen tai eksoottiseen teollisuuden ICS-järjestelmään? IT:tä se kaikki vain on ja siksi riski on olemassa. Tärkeintä olisi tunnustaa uhka ja tehdä perustoimenpiteet riskien minimoimiseksi. Mitä pitäisi tehdä? Ohjeet voivat olla ympäripyöreitä “korjaa kaikki” -tyylisiä. Qualys on julkaissut arviointityökalun, jolla voi mitata oman yrityksen tilanteen konkreettisesti ja priorisoida uhat korjausta varten. Palvelun saa käyttöön ilmaiseksi 60 päiväksi rekisteröitymällä. Mandiant on julkaissut käytännönläheisen white paperin lunnasohjelmilta suojautumiseksi päätelaitteissa. Kyberturvallisuuskeskus listaa ohjeet miten kerätä ja käyttää lokitietoja. NCSC:n avoimen koodin projeti Logging Made Easy on helppo itse pystytettävä Windows-lokiratkaisu.

Maailma on tosiaan muuttunut mätki myyrää peliksi. Jokaiseen tietoturvaongelmaan heitetään kehiin uusi entistä monimutkaisempi työkalu ja lopulta saadaan aikaiseksi vain isompi sotku ja haavoittuvampi ympäristö. Zero Trust -ajatuksen tarkoituksena helpottaa tietoturvan hallintaa ja samalla parantaa tehokkuutta. Käyttäjien ja laitteiden oikeus käyttää resurssia ja sisällön turvallisuus varmistetaan aina kohteessa. Mallia periaatteesta saa esim. M365-palveluiden käytöstä. Zero Trust ei ole tuote vaan toimintamalli, jonka käyttöönotto vaatii asennemuutosta ja aikaa. Haittaohjelma luirii sisään toimisto-IT:n ja käyttäjien kautta, joten käyttäjän varmistamisella ja vahvalla autentikoinnilla on iso vaikutus. MFA torppaa suuren osan hyväksikäyttöyrityksistä. Somessa on vellonut idea pilkkujen lisäämisestä salasanoihin, jolloin salasanat sotkeutuisivat CSV-tiedostoissa. Muitakin merkkejä ja tapoja on väläytelty, mutta tiedä sitten noiden toimivuudesta ja merkityksestä. Ehkä vaan pidetään salasanat riittävän pitkinä.

Israelilainen vakoiluyhtiö NSO on joutunut skandaalien kautta pahoihin vaikeuksiin. Apple on haastanut yrityksen oikeuteen, Ranskaan aiottu miljoonakauppa on peruuntunut, yhtiö on joutunut 65 maan kieltolistalle, velkaa on 500 miljoonaa dollaria ja toimintaa uhkaa lopettaminen. Uusi toimitusjohtaja kävi kääntymässä mutta lähti saman tien pois talosta. NSO on ollut Israelin valtion kansainvälisen politiikan väline, mutta yrityksen alhainen moraali on nyt suistanut toiminnan raiteiltaan. Trendmicro on tutkinut Void Balaur -nimisen rikollisryhmän toimintaa ja kertoo siitä tarkemmin raportissaan.

Domain-rekisteri Go Daddy joutui laajan tietomurron kohteeksi. Siltä vietiin 1,2 miljoonan WordPress-palvelun asiakkaan tiedot ja osa tunnuksista ja avaimista. Vuoto oli toinen parin vuoden sisään. FBI:n huonosti toteutetun webbisivun hakkerointi johti valesähköpostien lähettämiseen. Viesti oli lähinnä varoitus ja nokittelua hakkereiden ja tietoturvatutkijoiden välillä. Hakkeri antoi oma-aloitteisesti Brian Krebsille lisätietoa tapauksesta.

Aruba Central -pilvihallintaportaaliin murtauduttiin ja pieni määrä asiakastietoa saatiin haltuun kahdesta repositorystä. Tiedot sisälsivät wifi-laitteiden telemetriaa ja sijaintitietoa. Murto tapahtui 9.10.2021 ja tieto julkaistiin vasta kuukautta myöhemmin. HPE ei suoran sano milloin se itse havaitsi murron, mutta ongelma poistui säännöllisen pääsyavainten vaihtamisen yhteydessä lokakuun lopussa. Cisco ASA- ja FTD-laitteista on löytynyt vakava haavoittuvuus, samoin kuin harvinaisemmista Catalyst PON-sarjan kytkimistä. Netgearin yli 40 laitemallissa on jälleen päivitettävää välttääkseen riskin täydelliselle hallinnanluovutukselle. Paloalton Global Protect -VPN:ssä on ollut nollapäivähaavoittuvuus vuoden ajan. Randori löysi haavoittuvuuden, piti tiedon itsellään ja käytti sitä osana red team -harjoitusta, mikä on herättänyt närästystä.

DDoS-raportteja on julkaistu Lumenilta ja Radwarelta. Kasperskyn raportti toteaa hyökkäysten monimutkaistuvan. Elokuussa nähtiin aktiivisin päivä ikinä: 8825 dossausta päivässä. Suurimmista hyökkäysvolyymeista vastaa Meris-botnet, josta Cloudflare kertoo lisää. Sen tekemiä hyökkäysiä tapahtuu noin 100 päivässä, joka on n. 1-5% kaikista hyökkäyksistä. Hyökkäysvoima on pysynyt aika samana noin 5 Mrps -tasolla välillä piikaten oikein kunnolla.

Ajan hakkerointia on demottu radiotiellä atomikellon ja NTP-palvelin välillä. NTP-palvelin voi käyttää GPS:n ohella aikalähteenä matalaa radiotaajuutta, jota lähetäään eri puolilta maailmaa. Radiosignaalin voi helposti muuttaa kotitekoisella laitteella ja näin häiritä NTP-palvelimen tarjoamaa aikaa. Tällä voi olla vakavatkin seuraukset aikariippuvaisissa palveluissa, joita yhteiskunta on täynnä. RF-aikasynkronointi on historian jäänne, jossa tieto liikkuu selkokielisenä ilman autentikointi ja vahvin signaali voittaa.

Gartner on julkistanut palomuurien maagisen nelikentän. Johtokolmikko on tuttu Paloalto, Fortinet ja Checkpoint, jotka kaikki julistautuivat johtajiksi. Gartnerin analyysin mukaan Paloalto johtaa zero trust – ja SASE-kyvyillään sekä hyvällä asiakaskokemuksella. Miinuspuolena on kallis tuote ja palomuurien pilvihallinnan puuttuminen. Fortinet johtaa verkko-ominaisuuksillaan, kokonaisvaltaisella ekosysteemillä ja kustannustehokkaalla hinnalla. Huonoa on, että konttipalomuuria ei löydy, SASE-toteutus laahaa jäljessä ja FortiManager-hallintajärjestelmä ei tue kaikkia tuotteita ja ominaisuuksia. Checkpointilla asiakastyytyväisyys on hyvä ja se tarjoaa vahvat tuotteet korkean turvallisuuden tarpeisiin. Vastapainona Checkpoint menettää markkinaa muille, osin siksi, että asiakkaat eivät ole tietoisia muista kuin sen palomuurituotteista. SD-WAN on erillinen kumppanituote ja konttimuurit ovat ominaisuuksiltaan vajavaisia.

Tietoturvan kirjainlyhenneviidakko alkaa olla pahempi kuin perinteisessä tietoliikenteessä. Uusia termejä pilvitietoturvassa ovat CWPP cloud workload protection platform, CSPM cloud security posture management ja nämä yhdessä on CNAPP cloud-native application protection platform. CNAPP suojaa pilvinatiiveita mikropalveluita konteissa ja serverless-funktiossa. Tähän yhdistyy pilvi-infran käytön luvittaminen ja tietoturvan tuominen mukaan ohjelmistokehitykseen. Ohjelmistokehityksen tietoturva ja vasemmalle siirtyminen on nyt nouseva trendi. Tietoturvaa pyritään leipomaan sisään kehitykseen ja konfiguraatioihin koko sovelluksen elinkaaren ajaksi. Kehittäjät eivät ole erityisen kiinnostuneita tietoturvasta tai uusista työkaluista. Tietoturva pitää saada automaattisesti mukaan infrakoodiin. Startupit haastavatkin perinteiset valmistajat kehittäjäkeskeisemmillä työkaluilla.

Paloalton Unit 42 onkin todistanut pilvitietoturvatapahtumien kasvua lähes kaksinkertaiseksi. Se myös odottaa, että ensi vuoden aikana 80% kyberhyökkäyksistä liittyy pilveen jotenkin. Dynaamisen luonteensa takia pilven virheet johtavat isoihin ja monimutkaisiin ongelmiin. Kun infra ja sovellukset muuttuvat jatkuvasti, niin muuttuu ympäristön haavoittuvuuskin. Windows on erityisen houkutteleva kohde rikollisille ja siihen on laskettu kehitettäneen yli 100 miljoonaa haitaketta tänä vuonna. Siis yli 300000 päivässä.

Cato väittää olleensa ensimmäinen SASE-alusta, mutta nyt niitä on tarjolla joka valmistajalta hieman erilaisin värein. Zscaler on saamassa Helsinkiin POP:n, joten lokalisaation ongelmat ehkä poistuvat piakkoin. SASE ei kuitenkaan tarkoita perinteisten palomuurien poistumista, ainakaan lähitulevaisuudessa. Tämä tarkoittaa siis rinnakkaisia ratkaisuja eli enemmän työtä ja kustannuksia. SASE:n hyöty kuitenkin tulee pilvisiirtymän myötä joustavuudesta ja keskitetyn palveluratkaisun kattavuudesta ja ominaisuuksista. SASE on osa laajempaa teknologiatyökalujen yhdistymisen trendiä ja pilvisiirtymää, joka on oikeaan aikaan oikeassa paikassa. Uusi maailma tarvitsee uudenlaisia tietoliikenne- ja tietoturvaratkaisuja, jotka yhdistyvät pilveen, integroituvat muihin järjestelmiin ja tuottavat analytiikkaa käytöstä. SASE-markkinassa on odottettavissa valmistajien yhdistymistä ja isojen pelurien tuotteiden ominaisuuksien lisääntymistä, mutta uusia valmistajiakin pulpahtelee esiin säännöllisesti. Amazonin Eero -wifi-kotilaitteisiin tuodaan Vmwaren kumppanuudella SASE-ominaisuudet. Redhat näkee roolin olla verkon ja tieturvan orkestraattori isoissa yrityksissä ja operaattoreilla. SASE ja SD-WAN tehdään kumppanuuksien kautta ja omaa osaamista on Openshift-konttialustan kautta palveluiden tuottamiseksi erilaisilta pilvialustoilta.

Rahaa tietoturva-alalla on ja Lacework on saanut ennätyksellisen 1,3 miljardin dollarin sijoituksen. Sillä se haastaa Paloaltoa juuri pilvitietoturvan alueella. IoT-tetoturvavalmistaja Armis on yksi nopeimmin kasvavista tietoturvayrityksistä Pohjois-Amerikassa. Armis keskittyy laitteiden näkyvyyteen IoT-ympäristöissä teollisuudesta terveydenhuoltoon teknologia-alustasta riippumatta. NDR-valmistaja Netography saa 45 miljoonan dollarin sijoituksen ja vahvistaa omaa poikkeavaa SaaS-palveluaan. Muut kilpailijat Vectra AI, Darktrace ja Extrahop luottavat appliance-laitteisiin ja DPI-tekniikkaan, mutta Netography lupaa kevyttä ja kattavaa havainnointia pilvinatiivisti. Toimitusjohtaja Roesch tunnetaan entisenä sourcefireläisenä. Deloitte Technology Fast 500 listaa muutkin nopeimmin kasvavat teknologiayritykset. Forrester on rankannut teollisuuden ICS-järjestelmien tietoturvavalmistajat. Johtajina ovat Cisco, Tenable ja Clarity, perässä tulevat Dragos, Forescout, Microsoft, Nozomi, Verve ja Fortinet.

EU tiukentaa langattomien laitteiden tietoturvavaatimuksia Euroopan markkinoilla. Uuden lain mukaan valmistajien täytyy jatkossa ottaa laitteiden kyberturvallisuudesta ja tietojen käsittelystä suurempi vastuu niin, että niiden laitteet eivät aiheuta riskiä digialustoille, johda rahallisiin petoksiin tai vaaranna kuluttajan yksityisyydensuojaa. Trendmicro on julkaissut Black Mirror -henkisiä videoita ja raportin miltä tulevaisuus voisi näyttää 2030-luvulla.

Tekniikka ja operointi

Ethernetin kilpailija Infiniband sätkii vielä ja saa uuden rautapäivityksen Nvidia-Mellanoxin Quantum-2 -piireistä. Kapasiteetti tuplautuu entisestä ja nyt on yhdestä ASIC:sta on saatavilla 64x400G- tai 128x200G-portit. Ethernet-kytkinten ja reitittimien erot ovat sekoittuneet ja kytkimet osaavat jo lähes kaiken. Kytkin on yksinkertainen ja nopea pakettienvälityslaite. L3-kytkin osaa tehdä pakettien välitystä reitityksen avulla. Nykyään lähes kaikki vähänkin paremmat laitteet pystyvät reititykseen, mutta ominaisuuksissa on eroja. Reititin on sitten täysverinen ja kalliimpi laite, jossa on myös puskurointia, QoS-ominaisuuksia ja tunnelointi-, salaus- ja osoitemuunnoskykyjä yms.

Suomalainen Xiphera kehittää internet-liikenteen salauslaitteistoja. Salaus kannattaa tehdä raudassa, koska se on tehokkaampaa, mutta myös turvallisempaa. Avaimet voidaan raudassa pitää erillään salauslaskennasta. Raudassa on huomioitava salausalgoritmien päivitettävyys, joka ohjelmoitavassa FPGA:ssa onnistuu hyvin. Internet-liikenteestä suuri osa on siirtynyt TLS-tunnelin päälle, mikä on köyhdyttänyt internetin alkuperäisen protokollien ja TCP/UDP-porttien monimuotoisuuden. Ennen protokollilla oli käyttötarkoitukseen sopivat ominaisuudet, nyt yksi protokolla hoitaa kaiken. Tässä voi olla taustalla agressiivinen palomuuraus ja välilaitteet, jotka tehokkaasti torppasivat kaiken liikenteen. Vain HTTP-liikenne saattoi mennä läpi, jos sekään. Nyt välilaitteet käyvät turhiksi kun tunnelointi tehdään päästä päähän. Ehkä porttien multipleksaus palaa joskus kymmenen vuoden päästä uutena ideana.

Ensimmäinen kaupallinen yhden piirin mikroprosessori Intel 4004 täytti 50 vuotta. Sitä ennen CPU:t olivat isoja piirikortteja, mutta Intel onnistui kutistamaan toiminnot yhdelle piirille ja loi pohjan PC-koneille. Nykyiset palvelimet ovat kovin erinäköisiä ja OCP Summitissa esitelty pilvirauta WILD on villi. SmartNIC tai DPU alkaa nyt olla valtavirtaa ja Gartner ennustaa, että 2023 kaksi kolmasosaa uusista verkkokorteista olisi SmartNIC:jä. Osa valmistajista on jo esitellyt FPGA-laajennettuja kytkimiä ja Rockport oman kytkimettömän verkkonsa. Juniperin kiinnostava julkistus on Edge Services Platform, jossa DPU ajaa verkkotoimintoja palvelimessa ja keskitetty hallintajärjestelmä, kuten Apstra, ohjelmoi toiminnot kortteihin osana koko verkkoa. Verkko- ja tietoturvatoiminnot saadaan hajautettua pilven reunoille ja kuitenkin otettua kuorma pois CPU:lta. Aiemmin on nähty mm. Vmwaren Project Monterey virtuaalikoneiden ja muiden resurssien orkestrointiin, Paloalton Nvidian Bluefield-kortille suunniteltu virtuaalimuuri ja Fungiblen storage-tuotteet, joissa DPU on kokonaan korvannut x86-prosessorit.

Mitä eroa on SmartNIC:llä, DPU:lla ja IPU:lla? SmartNIC on joustava ja laajennettava laite, joka tekee tiettyjä toimintoja CPU:n puolesta. DPU:lla on laajempi ja yleiskäyttöisempi toimenkuva ja se on infran päätelaite, vähän kuin minitietokone. IPU on Intelin nimitys DPU:lle. Yleensä SmartNIC:iä ohjaa CPU ja DPU:ta pilvioperaattori. DPU:t ovat 30-vuotisen kehityksen tulosta. Intelin IPU on alkuun FPGA-rautaa ja myöhemmin tulee myös tehokkaampi ASIC-versio. Verkkokortteihin voidaan nyt ympätä mukaan P4-ohjelmoitava ja rautariippumaton täysverinen kytkin, joten esim. koko ESX:n vswitch voidaan siirtää IPU:lle hoidettavaksi. P4-kytkin tuo joustavuutta ja ominaisuuksien laajuutta, joten kaikki toiminnot saadaan siirrettyä pois CPU:lta ja viimeisetkin pullonkaulat poistettua. DOCA (Datacenter on a chip Achitecture) on Nvidian malli ja sovelluskehitysympäristö DPU:ille. Sen avulla voidaan ohjelmoida koko infran toiminta yhdelle piirille. Nvidian Morpheus-alusta käyttää DPU:ita hyödyksi tietoturvasensoreina ja pilvitekoälyn palautteen perusteella suojauslaitteina toteuttaen esim. zero trust -periaatetta.

CPU:n osalta puhutaan threadeista, prosesseista ja coreista. Mitä eroa niillä on ja miten ne vaikuttavat verkkolaitteen toimintaan? Threadit ajetaan jaetussa muistissa ja prosessit erillisissä muistialueissa. Perinteinen käyttöjärjestelmä, kuten Cisco IOS, on non-preemptive eli prosessia ei voi keskeyttää kun sitä ajetaan. Linuxissa ja vastaavissa käyttöjärjestelmissä prosessit ja threadit voi keskeyttää ja niitä voi ajaa rinnakkain. Siksi suorituskykyä saadaan enemmän kunhan prosesseille voidaan heittää käyttöön lisää coreja. Verkkolaite tulee yleensä köykäisellä CPU:lla varustettuna, joten laskentasuorituskykyä saadaan paremmin kun käytetään virtuaalikonetta.

NaaS eli verkko palveluna on siirtämässä verkon toimintoja pilveen. Ciscon Global Networkin Trends -raportti kertoo, että NaaS kiinnostaa, koska sen uskotaan vapauttavan IT-resursseja ja parantavan viankorjauksen vasteaikaa. Noin kolmannes uskoo jo käyttävänsä NaaS:ia, mikä kertoo, että termi ei ole selvä. NaaS sekoittuu helposti ostopalveluun, mikä ei ole sama asia. NaaS:iin kuuluu pilvihallittu ympäristö, tuotosperustaisuus, erilaisia käyttö- ja laskutusmalleja sekä SLA-sopimus. SASE ei ole NaaS, mutta askel siihen suuntaan. NaaS-malli yleistynee lähivuosina, mutta ongelmia saattaa tulla kun tajutaan, että malli vaatiikin enemmän määritellyn lähestymisen. Kustannukset ja siirtymisen vaikeus saattavat myös yllättää. Automaation, pilven, NaaS:n ja ihan vaan ylläpidon takia omaa ympäristöä kannattaakin karsia yksinkertaisemmaksi ja palveluita vakioida jo nyt.

Anycast on tapa hajauttaa palvelu maantieteellisesti saman IP-osoitteen taakse. Maailmanlaajuisesti anycast toimii paremmin kuin pienellä alueella, mutta silti se ei automaattisesti takaa nopeinta palvelupistettä käyttäjälle. Dmytro Shypovalovin kirjoitus annycastista ja segment routingista aiheutti pienen poikkeuksellisen some-myrskyn väittäessään virheellisesti, että anycast ei olisi tuettu MPLS-verkossa. Ivan Pepelnjak kumosi myytin demoamalla LDP-toteutuksen. Anycast toimii siis MPLS-verkossa ja on toiminut aina, koska siihenhän internetin palvelut perustuvat. Internetin myyttisiä RFC:eitä on kirjoiteltu lähes joka aprillipäivä ja kattava lista löytyy Wikipediasta. Lainatuin lienee RFC 1925 The Twelwe Networking Truths, jossa on oikeasti paljon asiaakin.

Automaatiosta puhutaan paljon, mutta yksi iso ongelma on asiantuntijoiden haluttomuus muuttaa omia toimintatapojaan. Jos jokainen laite ja asetus pitää käsin säätää kohdilleen ja päivittäin pitää käydä halailemassa omia laitteitaan konesalissa, ei toiminta voi olla ketterää ja skaalautuvaa. Sovellukset ja muut IT-palvelut menevät omalla tasollaan ihan toisessa maailmassa. On osin alan omaa syytä miksi verkkoa pidetään nykyään pullonkaulana IT-palveluiden toimituksessa. Milloin asiantuntija uskallat muuttua, kyselee Nico Vibert.

Automaatiossa Source of Truth eli lähdetiedon yksi piste on olennainen komponentti. Daniel Teycheney antaa johdannon aiheeseen ja SoT:n merkitykseen. Teknisessä toteutuksessa SoT voi olla esim. Netbox, Git tai joku niiden johdannainen. Koodimaailmassa Git saa enemmän kannatusta, koska se on helppo integroida työnkulkuun ja se tarjoaa hyvän versiohallinnan. Netboxin jälkeläinen Nautobot saa myös versionhallintaominaisuuksia ja lokitusta lähiaikoina ja kuroo Gitin etumatkaa umpeen. Uutta ajatusmallia ja työvälineitä herätellään myös Network to Code -blogissa. Git nousee tässäkin parhaaksi kaveriksi. JulioPDX on kuvannut CI/CD-ympäristön ja siihen liittyvät työkalut kuusiosaisessa blogissaan.

Dokumentaatio kaipaa usein parannusta, myös infrastruktuurikoodin aikakaudella. Avoimen koodin dokumentaatio ratkaisee kuinka suosittu projektista tulee ja kuinka tuottava sen käyttäjä on. Hyvä dokumentaatio, siis esim. toimintaohjeet, ensivaikutelma ja kunnollinen kieli, luovat uskottavuutta ja sitoutuneisuutta. Avoimen koodin työkaluissa Grafana 8.2 tahtoo demokratisoida pilvimetriikan ja sisältää joukon käytettävyytä parantavia ominaisuuksia. Tldraw on pienen pieni ja ilmainen piirrosohjelma. Toxiproxy on työkalu verkon olosuhteiden simulointiin esim. kehityksessä ja testauksessa.

Kaupallisella puolella Cisco on yhdistänyt Thousandeyesiin tiedon internet-palveluiden sovelluskatkoista. Nyt siis valvonnasta näkee onko SaaS-ongelma vain meillä vai muillakin. Arista on esitellyt verkon tietoaltaan NetDL, johon kerätään tieto verkosta ja josta AVA-tekoälyapuri osaa nostaa esiin ongelmia, tapahtumia ja uhkia. Arista on esittänyt, että sen Cloudvision-hallinta toimisi myös Cisco-laitteilla ja vastavuoroisesti Cisco ACI toimisi Arista-kytkimillä. En tiedä mihin tällä viitataan, mutta vaikea kuvitella kovin syvää integraatiota. Juniperin Rami Rahim onkin tuominnut nämä puheet ja todennut, että Apstra on ainoa oikea monivalmistajahallinta. Juniper on laajentanut Mistin tekoälyä koko Junos-tuoteperheeseen tukiasiakkaille ilmaisella Support Insight -sovelluksella, joka kokoaa laitetiedot raporteiksi, näkymiksi ja ehdotuksiksi. Mist on tuonut Juniperille käyttäjäkeskeisyyden ja saman suunnan näkevät muutkin valmistajat. Nyt viimeistään on aika nousta kuraisista SNMP-maailmoista käyttäjäkokemuksen tasolle.

Gartnerilta on tullut ulos Wired and Wireless LAN Access Magic Quadrant. Mist on siinä kärjessä Aruba aivan takanaan. Cisco, Extreme, Fortinet ja Huawei kärkkyvät tuntumassa. Aristakin on teknisesti hyvissä asemissa, mutta ei pärjää myynnissä. Mistiltä tuli ulos uudet 6E-tukiasemat ja IoT Assurance, joka helpottaa IoT-laitteiden liittämisessä verkkoon.

Wifi Alliance on määritellyt sertifioinnin Wifi HaLow-tekniikalle. 802.11ah laajentaa wifiä IoT-käyttöön alle 1 GHz taajuudella. Tällä saadaan pitkä kantama, pieni virrankulutus ja vahva yhteys vaikeissakin olosuhteissa. Tekniikka on ollut olemassa jo yli viisi vuotta, mutta on odotellut IoT-käytön nousua. Halow:lla yksi tukiasema voi palvellla n. 8000 laitetta. Yleisesti siis puhutaan 1000-kertaisesta määrästä ja 100-kertaisesta peittoalueesta tavalliseen wifiin verrattuna. Toisenlaista langatonta siirtoa on kokeiltu ydinsäteilyn avulla koodaamalla nopeita neutroneita. Käyttökohde olisi vaikeat olosuhteet, joissa yhteyden pitää toimia esim. metalliseinien läpi ja myös hätäpelastustehtävissä.

OCP Summitissa on esitelty Metan uutta rautaa. Cisco ja Arista tekevät paluun OCP-mallin kytkimiin. Wedge 400C käyttää Ciscon Silicon One -piiriä ja Aristan 7388X5 toimii 200G-fabricissa. Muut kytkinmallit on rakennettu Tomahawk 3 ja 4 -ASIC:n ympärille. Abstraktointitaso on nyt kaikkialla SAI, joten sama rajapinta ulospäin on nyt kaikissa laitteissa käytössä. Sen myötä rautapohjaa on saatu laajennettua, vaikka koko kehitys on kestänyt yli 10 vuotta. SAI on siitä fiksu tapa hoitaa raudan kohtaaminen, että se käyttää rautavalmistajien omia SDK:ita ja ei siten riko valmistajan usein tiukkoja lisenssiehtoja.

OCP-projekti täytti kymmenen vuotta. Se perustettiin 2011 kun Facebook ei saanut vuokrattua sopivaa tilaa ja aloitti itse rakentamaan kapasiteettia. Tehokkuusvaatiukset ajoivat avoimeen ja modulaariseen disagregoituun rautaan ja softaan, joka oli siirreltävä ja luotettava. Tähänkin tarinaan liittyy servetti, johon Jay Park piirsi sähkönsyöttösuunnitelmansa. Alkuvuosien konsepti on pysynyt vuosien mittaan samana, vain optimointia on tehty. Ohjelmisto on iso osa konesalin tehokkuutta, optimointi ja viankorjausta. Metalla on nyt 48 konesalia 18 kampuksella ja 47 uutta on rakenteilla. OCP:n vaikutus Metan konesaleihin on ollut merkittävä. PUE on tippunut alle 1,2:n ja nollapäästöihin päästään 2030 mennessä. Chipletit tehostavat toimintaa kytkeytymällä keskenään suoraan piiritasolla isommiksi kokonaisuuksiksi. Tällä kaikella Meta myös valmistautuu Metaversumin tuloon.

Starlinkin uusi päätelaitteisto on julkaistu nelikulmaisella MacFlatface-lautasella ja uudella reitittimellä. Hinta on käyttäjälle edelleen sama 499$. Uudessa reitittimessä on vain wifi-rajapinta, mutta siihen saa erikseen ostettua ethernet-adapterin. Mesh-tuotetta lupaillaan myös.

Yritykset

Suomi putosi EU:n DESI-digivertailussa kakkoseksi Tanskan ottaessa kärkipaikan. Erot EU:n sisällä ovat suuret. Valokuidussa Suomi on jäänyt takapajulaksi verrattuna esim. Ruotsiin tai Keski-Eurooppaan. Suomessa on uskottu mobiiliverkkoihin, mutta nyt on taas kerran herätty kuidun tarpeeseen. Sijoitusrahaa löytyy ja alueille voi tulla jopa useita verkkoja rinnakkain. Kuluttajia varoitellaan kuitenkin epäselvistä markkinointi- ja myyntipuheista. Kiina on jäänyt kiinni valokuidun polkumyyntihinnoittelusta EU-alueella vuosina 2017-2019 kun kiinalaisten kaapelituotteiden hinta laski yhtäkkiä 23%. EU totesi, että tässä täytyy olla valtiontuki taustalla, ja lätkäisi 20-44% lisätariffit tuotteille. Tämä on se suuri ongelma Huawein kanssa: muut eivät voi kilpailla hinnalla ja sen myötä kilpailu ei ole reilua.

IDC ennustaa IT-inframarkkinan siirtyvän tulevaisuudessa enemmän perinteisistä kanavista kohti sovelluskeskeisiä luotettuja kumppaneita. Liiketoimintatavoitteet priorisoidaan infravalintojen ohi ja työkuormat sidotaan enemmän valmistajakohtaisiin ratkaisuihin. Ympäristövastuu tulee yhä enemmän mukaan hankintoihin. Palvelut ostetaan OPEX-hinnoiteltuina kuukausilaskutuksella. Infra hajautuu ja automatisoituu, tiedon ja arkkitehtuurin yhdenmukaisuus nousee tärkeäksi. Tulosperusteisia palveluita määrittävät SLA:t ja KPI:t.

Cisco on yksinkertaistanut Enterprise Agreement -malliaan versiossa 3.0. Ciscon lisensointi on ollut sotkua, jossa käyttäjää on pitänyt opettaa oikeille tavoille kerta toisensa jälkeen kun lisensointimallia on muutettu joka vuosi.

Nokia on on ollut irtisanomisten takia huonossa huudossa Ranskassa. Nyt se kuitenkin avaa kyberturvallisuuskeskuksen Lannioniin ja vahvistaa asemaa tietoturvapalveluissa. Työllistämisvaikutus on noin 100 henkeä.

Riverbed Technologies on pahoissa talousvaikeuksissa ja järjestelee toimintaansa uudestaan selvitäkseen 1,1 miljardin dollarin veloistaan. Vaikutuksia on odotettavissa 30000 asiakkaaseen ja 1400 työntekijään. Riverbed osti 2010 CACE Technologies -yhtiön, joka oli Wiresharkin pääsponsori. Näin Riverbed on tärkeä Wiresharkin ylläpitäjä.

Lontoon yhdysliikennepiste LINX on valinnut Nokia 7750-SR7 -reitittimet uusiksi laitteikseen kolmeen sijaintiinsa. Valinta on hieman ihmeellinen kun maailma menee pizzalaatikkokytkimien ja fabricien suuntaan. LINX:llä oli jo ennestään disagregoitu Edgecoren ja IP Infusionin EVPN-VXLAN -fabric.

Puolijohdepula on niin kova, että myös piirivalmistukseen käytettävien työkalujen valmistus on vaikeuksissa. Tämä ei varmaan auta itse piirivalmistajien tilannetta. Arista ja Juniper ovat molemmat ilmoittaneet, että joissain tapauksissa toimitusaika voi olla 80 viikkoa. Siis kesälla 2023! Komponenttien hinnat ovat nousseet joiltain osin jopa kaksinkertaisiksi. Laitevalmistajien hinnankorotukset asiakkaille ovat olleet toistaiseksi melko maltillisia 10-15%. Euroopan palvelinmyynti on tippunut alimmas neljään vuoteen. Syynä on komponenttipula ja pilvisiirtymä, mutta myös ohjelmisto-ohjauksen parantama tehokkuus. Samoista resursseista saadan paremmalla hallinnalla enemmän irti.

Arista on ehkä haudannut sotakirveensä Ciscon kanssa ja se voisi käyttää kytkimissään Ciscon Silicon One -piiriä. Kuvio olisi  jännä. Ciscon Silicon One on oma liiketoiminta-alueensa ja komponenttimyynti Aristalle pitäisi onnistua. Arista on ehkä ainoa todellinen haastaja Ciscolle. Se voisi saavuttaa Ciscon porttimäärät konesali- ja kampusverkoissa. Ensimmäiset 50 miljoonaa porttia vei Aristalta 10 vuotta, seuraavat 50 miljoonaa enää viisi vuotta ja seuraavat enää 2-3 vuotta. Aristalla on rahaa ja se voisi ostaa myös ASIC-valmistajan. Xsight Labs on yksi jäljellä olevista. Softaan rahaa ei voi loputtomasta polttaa. Big Switchin osto oli järkevä, tekoälyä ja hallintaa on jo rakennettu Cloudvisioniin. Siispä työntekijöitä palkittiin optioilla. Aristan kannattaisi kuitenkin panostaa yritysmyynnin kehittämiseen, mutta sen hyödyllisyydestä ei ole täyttä varmuutta. Ainakin pilvijätteihin kannattaa panostaa, koska 400G:llä on nyt kysyntää.

Pica8 on tunnettu Ciscon haastamisesta, mutta nyt kohteeksi on joutunut myös Cumulus. Broadcomin tuen loppuminen Cumulukselle Nvidia-kaupan myötä viime vuonna on ajanut Cumulus-käyttäjät raudan osalta tyhjän päälle. Päivityspolkua ei ole eteenpäin Broadcomin raudalla. Pica8 tarjoaa itseään helppona vaihtoehtona siirtyä Cumuluksesta pois.

Hashicorp, yritys avointen infrakoodityökalujen taustalla, on listautumassa pörssiin yhtenä arvokkaimmista pilvi-infra -startupeista. Hashin tavoitteena on tehdä Iphonen kaltaisia hyvän käyttökokemuksen työkaluja, jotka toimivat yhteen. Se myy avointa koodia premium-ominaisuuksilla ja palveluna. Sillä on 1650 työntekijää ja 2100 asiakasta. Microsoftilla ja Googlella on ollut vastaavanlaisia hyviä monipilvityökaluja kuin Hashilla, ei niinkään AWS:llä. Tähän asti on mennyt hyvin, mutta Hashi odottaa kilpailun kovenevan. Avoimen koodin vaihtoehto voi käydä hankalaksi pilvien kanssa kilpailtaessa, jos ne niin päättävät. Hashin taktiikkana on keskittyä käyttäjiin ja tarjota niille hyvää käyttökokemusta.

Redhatilla ei mene yhtä hyvin ja se on jäädyttänyt budjettiaan. Sen vuoksi päälliköille on lähetetty sähköpostiohje olla palkkaamatta liian kalliita vanhempia asiantuntijoita. Aloittelijoiden palkkaaminen voi olla pidemmän päälle ihan hyvä vetokin taloudellisista syistä riippumatta. Ison maailman ohjeita palkkaneuvotteluun voi soveltaa joiltain osin meillekin. Yritysten IT-osaaminen on katoavaa kansanperinnettä ainakin infrapuolella. Konsultin palkkaaminen voi olla hyvä veto kun pitää päivittää teknologiaa ja toisella puolella pöytää konsultointi voi olla mielenkiintoista tehtävää osaavalle kaverille. Asiakastyössä on tärkeä osata kysyä asioita ja kerätä tietoa, joten miten niitä hyvä vastauksia saa?

Internet

Epätoivo IPv4-osoitteiden kanssa syvenee. IETF miettii oletusreitin 0/8 ja loopback-alueen 127/8 ottamista käyttöön. Yhden A-luokan polttamiseen menisi aikaa arviolta 1-2 kk, joten hyöty olisi kyseenalainen, mutta haitat sitäkin suuremmat. Voi vain arvailla minkälaisia koodauksia ohjelmistoissa on näiden tiettyyn käyttöön varattujen osoitteiden osalta. RIPE:n IPv4-jonotuslista kasvaa hurjaa vauhtia. Kysyntää on, mutta osoitteita ei.

Ericsson Mobility Report kertoo mobiiliverkkojen kasvusta. Kymmenessä vuodessa mobiilidatan määrä on kasvanut 300-kertaiseksi. 5G ottaa hallinnan 2027 mennessä, jolloin puolet matkapuhelimista toimii 5G-verkossa. Tällä hetkellä 5G-puhelimien osuus on 23%. Kiinteän mobiililaajakaistan odotetaan kasvavan kolminkertaiseksi reilussa viidessä vuodessa. Laajakaista on noussut asunnonostajien tärkeimpien valintaperusteiden joukkoon brittiläisten kiinteistönvälittäjien tutkimuksen mukaan.

Starlinkin uusi rakettiversion on pahemmissa vaikeuksissa kuin kuviteltiin. Johtaja sai lähteä ja Musk uhkailee konkurssilla jos Gen2-satelliittia ei saada taivaalle suunnitelmien mukaan. Starlinkia ja T-Mobilen FWA:ta on vertailtu keskenään ja muihin laajakaistoihin. Mittaus toistelee samaa tuttua asiaa: FWA ja satelliitti antavat hyvän vaihtoehdon toteuttaa laajakaista siellä missä saatavuus on rajoitettua. Muuten kaksikko on keskenään melko tasainen.

Metaversumi leviää ja Microsoft on astunut mukaan Mesh for Teamsilla. Teamsissa voi esiintyä avatarin avulla, mutta mikä 3D chatin tarkoitus on yrityskäytössä? Lentääkö Metaversumin idea ylipäätään pandemian jälkeisessä ajassa? Uusien futurististen työkalujen tuominen keskivertoyritykseen todennäköisesti kohtaa vastustusta. Xboxilla on sentään pelit ja Hololens tukenaan. Accenture ja saksalaispanimo ovat tehneet toimitiloistaan digitaalisen kaksosen. Nvidia kutsuu alustaansa Omniverseksi ja se yhdistää simulaatiota, tekoälyä ja lisättyä todellisuutta. Omniverse eroaa videopelialustoista, koska siinä luodaan kaikki reaaliajassa. Ominiverse Enterprisen hintalappu on 9000$/paikka. Qualcomm odottaa metaversumista uutta suoritusalustaa ja seuraavaa liiketoimintamallia, jolla se laajentaa toimialaansa. China Telecom on kuvasi metaversumiaan tärkeäksi digitaalisen omaisuuden luomisalustaksi. Se olisi johdonmukaista web3-kehityksen kanssa. Alussa alustalla olisi pienempiä erillisiä virtuaalitodellisuuksia ja myöhemmin alustasta kasvaisi yhtenäinen virtuaalimaailma. Ja Kiinassahan tarvitaan tietysti valtion julkaisulupa tällaisille hankkeille, joten alalle on luotu virallinen yhdistys.

Vaatiiko metaversumi verkolta jotain erityistä, sitä ei tiedä vielä. Todennäköisesti nopeampaa ja isompaa kapasiteettia. Cisco näkee metaversumin tietoturvan villinä läntenä. Kryptovaluutat, lohkoketju ja NFT:t ruokkivat kyberrikollisuutta, lainsäädäntö ja regulaatio laahaavat perässä. Käyttäjien ja digiomaisuuden suojelemiseen pitää tosiaan panostaa ja tietoturva ei saa olla jälkijättöistä.

Tapahtumat

RIPE83, NANOG83 ja DENOG13 ovat jälleen täynnä hyviä esityksiä.

Cloud Field Day 12:ssa esittäytyivät Prosimo, Juniper, Ondat, Redhat, Memverge, Veeam ja Yotascale.

Microsoftin Ignite esityksiä on katsottavissa.

Kuukauden vientituote

Kiina lobbaa suurta palomuurituotettansa vientimarkkinoille. Työkalua ja hallintomallia on esitelty World Internet Conferencessä, joka on tätä varten perustettu kiinalaistapahtuma. Palomuurituotteen ominaisuuksiin kuuluu kyky rajoittaa tietojen valumista ulkomaisille alustoille, tukahduttaa ulkomaisten pilviyhtiöiden toimintaa ja tietysti tehdä sisällönsuodatusta. Omien sanojensa mukaan Kiina tekee konferenssin kautta yhteistyötä, edistää internetin avoimuutta ja rakentaa tervettä järjestystä maailmaan. Kiina on valmis auttamaan kyberapua tarvitsevia maita jakamalla palomuurisääntöjä muidenkin käyttöön. Australialaisen ASPI:n raportti aiheesta kertoo enemmän.