[FI] Tietoliikennealan katsaus 2022-11

Ongelmat

Venäjän vetäydyttyä Hersonista, myös alueen internet-liikenne alkaa palautua takaisin Ukrainan verkkoihin samaan tapaan kuin se reitittyi sieltä pois Venäjän miehityksen mukana. Venäjän Killnet-ryhmä on pommittanut EU-parlametin palvelimia muutaman tunnin sen jälkeen kun Venäjän todettiin harjoittavan terrorismia. DDoS-isku oli kaikkien aikojen edistynein hyökkäys parlamenttia kohtaan. Haitta jäi tässä kuitenkin vähäiseksi. Kyberturvallisuuskeskus kehottaa kansalaisia valppauteen erityisesti vakoilun, vaikutusyritysten ja haittaohjelmien kanssa. Myös ohjelmistopäivitykset pitäisi jaksaa hoitaa ajan tasalle. Palvelunestohyökkäyksiä satelee Suomessa kymmeniä tuhansia vuodessa, mutta niiden vaikutus on lähinnä hetkellistä kiusantekoa ja yritysten tieto ei niissä vaarannu.

Politiikka ohjaa palvelunestohyökkäyksiä. USA:n välivaaleissa dossattiin nettisivuja ja sielläkin taustalla sanotaan vaikuttaneen venäläisten. Cloudflare on analysoinut vaalien aikaisia hyökkäyksiä tarkemmin. Pohjois-Koreassa ohjusten laukaisun jälkeen neljä maan verkkoblokkia tippui reitityksestä ja samalla meni maan ccTLD-nimipalvelimet, joten koko maa tipahti internetistä.

MM-jalkapallo taas aiheuttaa “häiriöitä” normaaliin internetin liikennekäyrään. USA-Iran -pelin aikana Iranin internet-liikenteen määrä tippui selvästi normaalista.

Googlen SRE:t kertovat tarinoita häiriöiden takaa. Usein fyysinen vika aiheuttaa kummallista toimintaa sovellustasolla. Esim. palvelimen reititysongelma näkyi CPU throttling -viesteinä, mutta todellinen ongelma olikin räkkien jäähdytyksessä ja kuumentunut palvelin sitten sekoili toiminnassaan. Tyylikkäitä ongelmia riittää kerrottavaksi. Asentaja oli korjannut räkin puuttuvat peitelevyt takaisin paikalleen ja näin laittoi kytkimen imemään kuumaa ilmaa. Onneksi kytkin oli Dellin kestävää mallia, joka selvisi yli 100-asteisesta lämpötilasta ilman virheilyä. Kerran konesalista löytyi räkki, joka oli mennyt läpi korotetusta lattiasta. Kaikki toimi ongelmitta ja tilanne paljastui vasta kun joku sattui käymään konesalissa paikan päällä. Pilven ja sovellusten myötä kaikki tällainen fyysinen puoli pääsee unohtumaan, mutta se on kuitenkin pohja kaikelle.

Free julkaisee jälleen kuvia tuhoista, tällä kertaa poltetusta mobiilisaitista. Ulkomaanmatkalla voi törmätä vaikka merikaapeliin, kuten Trondheimissa vierailleelle Ingrid Burringtonille on käynyt. Kaapeli saattaa olla rakenteilla oleva N0r5ke Viking -kaapeli.

Operaattorit ja 5G

Telian tuskailu energiakustannusten kanssa jatkuu. Suomessa Telian energian hinta on nyt kolminkertainen viime vuoteen verrattuna ja sen myötä Telian käyttökate tippui 7%. Sekavasta uutisoinnista on vaikea hahmottaa mikä nyt oikeastaan on tilanne energiakustannusten kanssa. Allison Kirkbyn haastattelu kääntyy nopeasti 5G-jargoniin. Telia on keskittynyt verkon turvallisuuteen, siis Huawein poistamiseen verkosta, varsinkin kun yksityisverkot tekevät tuloaan. Liettuassa on vielä Huaweita, muuten mobiiliverkot on saatu siivottua kiinalaisista. Yhteistyö viranomaisten kanssa ja verkon valvonta on ihan normaalitoimintaa, ei mikään turvallisuuslisä.

Kansainvälisesti operaattoreita puhututtaa liikennemäärien kustannukset. Brittiläiseen vertailuun on kerätty 5000 mobiilidatatilausta 233 maasta. Suurimmassa osassa gigatavun hinta on tippunut hiljalleen, joissakin maissa kuitenkin muutamassa vuodessa lähes kymmenesosaan. On myös poikkeuksia, kuten Suomi ja Espanja, joissa datan hinta on noussut. Suomessa gigatavun hinta on yli viisinkertaistunut, mikä selittyy rajattomilla datapaketeilla. Tällainen holtiton anteliaisuus tappaa operaattorin, tai ainakin niin jotkut operaattorit antavat ymmärtää. Liikennemäärät kasvavat, mutta liikevaihto ei kasva samaan tahtiin. Nyt on energian hinta ja henkilöstön palkkojen nostopaineet ovat tuoneet lisää ongelmia. Siksi energian suojauksesta paljon puhutaan. Liikennemäärä ei kuitenkaan vaikuta energiankulutukseen juurikaan. Vodafone on kertonut uskovansa, että samoilla nykyisillä kuluilla pystytään siirtämään mikä tahansa liikennemäärä. Energian osuus on ollut perinteisesti noin 5% kokonaiskustannuksista. Tehokkuuden lisäämiseksi operaattorien on investoitava rajusti uuteen tekniikkaan. BT:llä investointien osuus on jopa 25% ja se rakentaa kuitua hulluna. Lähinnä operaattorit investoivat vastatakseen kilpailuun, eivät niinkään kapasiteettikysyntään. Siksi on vaikea hyväksyä valitusta epäreilusta OTT-liikenteestä verkoissa. Totuus on enemmän se, että kysyntä vastaa kustannuksiin.

5G on vienyt tai tulee viemään operaattorit ahdinkoon. Vahvasti näyttää, että 5G:n vaikutus ei vielä edes täysin näy ja tilanne vielä pahenee. Verkot eivät ole vielä valmiina ja asiakkaiden into maksaa mobiilipalveluista vähenee. MVNO-mallissa investoivan infraoperaattorin kate laskee kun se tarjoaa virtuaaliverkkoa muille. Myös kiinteän laajakaistan kannattavuus on laskenut jatkuvasti, mutta miksi laajakaista eroaa muista perushyödykkeistä, kuten vedestä ja sähköstä? Tietoliikenteessä teknologia kehittyy ja verkkoja pitää uudistaa jatkuvasti, kilpailun samalla painaessa hintoja alas. Mobiilissa fyysinen kaapeli ei rajoita ja kilpailu on helpompaa. Operaattorien kaupallistuminen ja kilpailu on vienyt niiltä aseman perushyödykkeen tuottajina ja samalla niiltä on hävinnyt varma tuotto.

5G:n kehityksen kannalta elintärkeäksi luokitellut mm-aallot ovat osoittautumassa pettymykseksi. Etelä-Koreassa operaattoreilta on peruuntumassa 28 GHz -luvat, koska ne eivät ole niitä ottaneet käyttöön toimilupien mukaisesti. Ennennäkemättömässä episodissa KT ja LG menettävät luvat, jos eivät saa rakennettua 15000 tukiasemaa puolen vuoden sisällä. Ja miksi taajuuksia ei oteta käyttöön? No kun ei kannata, ei edes Koreassa. Ainoa järkevä käyttö mm-aalloille on hyvin paikallisissa käyttökohteissa, kuten stadioneilla, lentoasemilla, kampuksilla ja yleensäkin rakennuksien sisällä. Korkeat taajuuden vaativat uudenlaista käyttöä ja sitä ei vielä ole. Lisätystä todellisuudesta leivotaan 6G:n käyttökokemusta ja sen myötä puettavat laitteet yleistyisivät. Aijaa, tämähän piti tulla jo 5G:n mukana. Sama pyörä pyörii ja operaattorit vaativat nyt jälleen uusia lyhyen kantaman Ku-taajuuksia 5G/6G-käyttöön. Ku-alue on kuitenkin elintärkeä satelliiteille. Nokia on tehnyt ennätyksen mm-aaltojen uplink-nopeudessa. Australiassa TPG Telocomin testissä päästiin 2 Gbps -nopeuteen.

Starlinkin tehostusohjelmassa, tai omien sanojen mukaan reiluusohjelmassa, on vuorossa datakatto, jolla liittymän kohtuukäyttö rajataan tasolle 1 TB/kk. Sen jälkeen nopeus hidastuu tai normaalinopeudesta joutuu maksamaan 0,25 dollaria gigatavulta. Automaattisen päivityksen voi myös tilata, jolloin nopeus säilyy koko ajan. Yöliikennettä välillä 23-07 ei kuitenkaan lasketa mukaan datarajoitukseen mukaan. Yritysliittymien puolella on kovemmat rajoitukset ja maksut. Starlink RV:ssä ei ole datakattoa ja Maritimeen kuuluu 5 GB dataa kuukaudessa. Apple on kertonut, että sen SOS-satelliittipuhelut maksoivat sille 450 miljoonaa dollaria. Rahat tulevat Applen rahastosta ja menevät pääosin satelliittioperaattori Globalstarille, jolla on taivaalla 24 satelliittia.

USA on kiristänyt kiinalaistuotteiden maahantuontia ja myyntikielto koskee nyt myös valvontateknologiaa. Uusia kiellettyjä valmistajia ovat mm. ZTE, Hytera, Dahua ja Hikvision. Näiden yhtiöiden valmistamia laitteita ei voi tuoda maahan edes white-label -tuotteina. Kun USA ja Eurooppa sulkevat ovensa Huaweilta, Afrikan maissa kauppa käy. Huaweilla on 70% markkinaosuus Afrikan mantereella. Maat haluavat parantaa verkkojansa, mutta uhkat on myös ainakin osittain tiedostettu. Autoritääriset valtiot voivat Huawein erikoisominaisuuksin saada liikenteen hallintaansa, kuten esim. Burundissa, Nigeriassa, Egyptissä, Senegalissa ja Etelä-Afrikassa on käynyt.

Uusi teknologia tuo mukanaan uudet hankaluudet operaattorien hyvin karsittuun organisaatioon. Nokian tutkimuksen mukaan suurin osa operaattoreista on törmännyt useampaan tietoturvahäiriöön viime vuoden aikana. Operaattorit myöntävät, että uudet verkot ovat liian vaikeita heille puolustettavaksi. Uusi toimintaympäristö vaatii uudistumista myös sääntelyltä. Kun verkot kehittyvät, perinteinen sääntely on entistä tärkeämpää. Sääntelijältä vaaditaan kuitenkin uudenlaisia datalähtöisiä taitoja ja välineitä, sekä yhteistyökykyä.

Valokuitusen mukaan kuitulaajakaistamarkkinat ovat kuumentumassa. Valokuitusen tutkimuksessa 37% arvioi kuidun olevan paras ratkaisu. Korona-aikana kuidun arvo kuitenkin alkoi kasvaa ja nyt kuitu on saatavilla puoleen Suomen kotitalouksista. Suomi on kuitenkin hankala markkina, mobiiliusko on kova ja rajattomat datapaketit tekevät biteistä kuluttajalle halpoja. Kuitumarkkinalla on vielä aika matka kuljettavana ennen kuin siitä tulee kuluttajalle helppoa ja arkipäiväistä.

DNA on lyöttäytynyt yhteen Edzcomin kanssa privaattiverkkojen rakentamiseksi yrityksille. Edge computing olisi luonnollinen pari privaattiverkoille, mutta näin ei näytä todellisuudessa olevan. Analysys Masonin selvityksessä vain 16% uusista privaattiverkkototeutuksista sisälsi paikallista laskentakapasiteettia. Edge-ekosysteemi on selvästi epäkypsempi kuin privaattiverkko. Edgen tulo kestää odotettua kauemmin ja liikevaihtoa alkaisi tulla aikaisintaan ensi vuoden loppupuolella. Privaattiverkko sen sijaan kiinnostaa ja toteutuksia käynnistyy jatkuvasti. Suurin osa tulee kehittyneistä maista ja Kiinasta, missä IoT ohjaa kysyntää. Privaattiverkot ovat kuitenkin pääosin 4G:tä ja vasta nyt uusista toteutuksista valtaosa alkaa olla 5G:tä.

Pilvi ja konesali

Edge ei siis suostu kypsymään, vaikka sitä on nyt vuosia hehkutettu. Varsinkin operaattorit ovat olleet etunenässä toitottamassa ilosanomaa ja se on niille yksi toivo uusiin liiketoimintoihin. Isoja investointejakin on tehty, esim. Verizon on laittanut hurjan määrän paukkuja seitsemän vuoden ajan edge-infraan voimatta vieläkään kertoa miten se sillä tekee liiketoimintaa. Verizonilla on nyt yhteistyössä AWS:n kanssa n. 25 edge-paikkaa USA:ssa. Kaiken järjen mukaan edgen aika koittaa joskus väistämättä, mutta miten ja milloin, sitä ei kukaan tiedä. Tilapuolella vuokramäärät ovat viime aikoina nousseet 10%, joten siitä voi päätellä, että hyvin yhteyksien varustettu konesali on haluttu paikka.

Suomikin saa oman AWS-edgensä kun local zone avautui Helsingissä. Local zonesta saa paikalliset palvelut alle 10 ms viiveellä. Gartnerin julkipilven nelikentässä AWS johtaa yhä 12 vuoden jälkeen, mutta Microsoft on mennyt visionäärisyydessä jo ohi ja Google henkäilee niskaan. AWS:n valttina on kattavat ominaisuudet ja sovellusekosysteemi. Asiakkaita kuitenkin häiritsee AWS:n tavoite saada lyhyen tähtäimen voittoja. Lisäksi muutokset johdossa ja prioriteeteissa sekä alueelliset erot vaikeuttavat tulevaisuutta. AWS:n on heikko monipilvessä ja suvereniteettipilvessä. AWS:n markkinaosuuden lasku on väistämätöntä kun Azure vie markkinaa yhä enemmän. Azuren etu on hyvä kokonaisnäkemys hybridi- ja monipilvestä. Azure Arc yrittää vastata tähän, vaikka käyttö on toistaiseksi vähäistä. Tietoturvassa Microsoftilla olisi parannettavaa ja lisensointimallit ja hintojen nousu hiertävät asiakkaita.

Yleisesti ottaen julkisen pilven täytyy tehdä kovasti töitä, että se säilyttäisi vuosikymmenen jatkuneen 30% kasvun tason. Kilpailu kovenee ja kärkikolmikko joutuu tekemään kovia investointeja tekoälyyn, analytiikkaan ja muihin premium-palveluihin erottuakseen joukosta. Näillä palveluilla haetaan uutta ostajakuntaa perinteisen IT-jengin ulkopuolelta. Silti peruskapasiteetti on kysyttyä ja suurin osa liikevaihtoa. Standardi-Kubernetesin ympärillä riittää innovoitavaa pinossa korkeammalle. Tavoitteena on enemmänkin sitoa käyttäjät alustaan ja tarjota kalliimpia palveluita, kuin tuottaa nopeita voittoja. Infrainvestoinnit ovat niin valtavia, että pienemmät kilpailijat ovat jo luovuttaneet.

Gartner ennustaa tasaista pilven kasvua Euroopassa ja myös yritysten budjettien oletetaan kasvavan. Yritykset ovat yleisesti haluttamia solmimaan pitkiä sopimuksia tai kumppanuuksia epävarmassa tilanteessa, mutta tämän ei pitäisi heijastua pilvibudjetteihin. Infrapuolen investointipiikin jälkeen ensi vuonna olisi softainvestointien vuoro nousta kärkeen. Pilvikärjellä mennään, mutta omat järjestelmät kuitenkin pidetään edelleen käynnissä.

Cloudflare nostaa hintoja ensimmäisen kerran koko 12 vuotisen olemassaolonsa aikana. Korotus on reipas 25%. Batteryn pilviraportti opastaa pilvitoimijoita miten luovia myrskyisässä toimintaympäristössä. Supercloud-termi on lanseerattu pilvien pilvenä, mutta Cloudflare käyttää sitä oman alustansa abstraktointikäsitteenä. Superpilven avulla ei tarvitse miettiä montako virtuaalikonetta tarvitsee tai mihin niitä pystyttää. Serverless, funktiot ja edge tekevät alustasta internet-skaalautuvan ja joustavan kehittäjille. Tehokkuus on myös kohdallaan kun kapasiteettia käytetään vain se mitä tarvitaan. Developer week tarjoilee päivitystä Cloudflaren kehittäjäpalveluihin.

DPU:t tekevät tuloaan CPU:n rinnalle, vai tekevätkö? Next Platform on laskenut numeroita ja todennut, että 15% säästö TCO:ssa tulee jo investointien ja energiansäästön jälkeen, huomioimatta tehonkasvua ja sitä kautta palvelinmäärien vähentymistä. Verkkoa, tallennusta, tietoturvaa ja virtualisointia ei tehdä tulevaisuudessa CPU:lla. Heiluri on nyt hajauttamisen puolella ja palvelin alkaa levitä pienempiin osiin. DPU:t voivat olla myös itsenäisiä laitteita kun CPU-socketien välinen väylä saadaa kehitettyä. CPU jää ison ja hitaan muistin käsittelijäksi. Packetpushersin Heavy Networking -podcastissa käydään läpi DPU-kenttää. Se ei olekaan ihan niin selkeä kuin kuvitella saattaisi. Valmistajilla on omat ominaisuudet, lisensointimallit, kehitysrajapinnat, hallintavälineet, yhteensopivat raudat, hyvin rajatut käyttökohteet, yms. ja niiden kanssa pitää todella olla tarkkana. Käyttö on tasapainoilua kustannuksen ja hyödyn välillä. Vaikka parhaimmillaan puhutaan 100-kertaisesta tehosta, riittävää hyötyä voi olla vaikea saada. Intel yrittää kuitenkin avoimempaa ja valmiimpaa ekosysteemia, josta voisi tullakin jonkinlainen menestys.

AWS on julkaissut kuvauksen Nitro-järjestelmän tietoturvasta. Siinä kerrotaan syvällisesti AWS:n virtualisoinnista ja avataan sen tietoturvaa. Intel on vienyt lisensoinnin piiritasolle. Xeon Sapphire Rapids CPU tulee nyt on-demand -ohjelmaan, jossa prosessorin ominaisuuksia ja kapasiteettia ostetaan lennossa käytön mukaan. Se miten järjestelmä käytännössä toimii, jää auki. Tämä saattaa kuitenkin tarkoittaa monille käyttäjille tuttua lisensointipalvelimen pystytystä tai pilvipalvelun käyttöä, ja sitä myöten taas lisää hallittavaa ja mietittävää.

Netmaker on uusi tuloskas pilviverkkotyökaluihin. IBM:n ja Y-Combinatorin pohjalta nouseva yritys tekee Wireguard-VPN:n päälle mesh-verkkoa, joka toimii dynaamisesti ja turvallisesti eri pilvien ja osapuolten välillä. Verkon pystytyksen luvataan olevan 15-kertaa nopeampaa kuin muilla vastaavilla tuotteilla. Ilmainen yhteisöversio on julkaistu viime vuonna  ja sillä on  jo yli 1200 käyttäjää. Kattavampi yritysversio on tullut nyt 1.0-version myötä ulos.

Sääntely leviää myös konesalien puolelle ja niiden energiankulutusta aletaan suitsia kovemmin ottein kun omat toimet eivät vakuuta. Sehän herättää tunteita. Saksassa viranomaiset ehdottavat energiatehokkuuslakia, joka pakottaisi konesalit mm. hukkalämmön hyötykäyttöön. Alan toimijat kuitenkin ovat sitä mieltä, että tällä tapetaan kaikki uudet konesalihankkeet. Vastapalloon isketään myös sillä, että hukkalämpö annettaisiin vaikka ilmaiseksi, mutta kaukolämpöverkkojen kyky ottaa lämpö vastaan on puutteellinen. Energiayhtiöt pitäisi pakottaa ottamaan hukkalämpö vastaan. Konesalialalla on kovat puheet modernista tekniikasta ja hyötysuhteista, mutta vähän konkreettista näyttöä ympäristöystävällisyydestä. Samaa näkyy muuallakin Euroopassa. Amsterdamin palvelinnukutussodassa paikallisia konesalioperaattoreita pyydettiin sammuttamaan turhat käyttämättömät palvelimet, mutta teollisuus ei siihen pysty, koska ala ei toimi niin. Siispä todennäköistä on, että viranomaiset puuttuvat asiaan ja asettavat rajat kuten kunnon vanhempi lapsilleen.

Kyberturvallisuus

EU:n NIS2-direktiivi hyväksyttiin ja sen myötä kyberturvallisuusvaatimukset laajenevat. Mukaan tulee uusia toimialoja yhteiskuntakriittisiltä osa-alueilta ja vaatimuksia on lisätty mm. riskienhallinnan, raportoinnin ja tiedonjaon osalta.

Terveydenhuoltoala harjoitteli KYHA22TH-harjoituksessa JAMK:n RGCE-ympäristössä. Traficom on keskittämässä infrastruktuurin sijaintitietoja yhteen rekisteriin. Ficom ja sen jäsenet näkevät ison kyberriskin tällaisessa keskitetyssä kaapeli- ja putkitietokannassa, ja vastustavat hanketta. Tiedot olisi kuitenkin tarkoitus säilyttää kunkin toimijan omissa järjestelmissä ja koota yhteen näkymään Traficomin palveluun. Hanke on myöhässä sen laajuuden ja vaativuuden takia, osittain varmaan myös yhteistyöhaluttomuuden takia. Ficomin ehdottama Ruotsin-malli eli yhden luukun välityspalvelu ei kuullosta kovin toimivalta ratkaisulta.

Valtioneuvosto jakaa tietoturvaseteleitä yritysten tietoturvan kehittämiseen. Pienemmällä 15000 euron setelissä ei ole omavastuuta ja isommassa 100000 euron setelillä voi kattaa 70% parannusprojektin kuluista. Loihde on tehnyt hyvän markkinointikampanjan seteleiden hyödyntämiseksi ja maalaa ideoita mitä palveluita rahalla voisi ostaa.

Cisco kouluttaa ilmaisella 160 tunnin kurssipaketilla kyberosaajia. Kurssi sopii aloittelijoille ja suorituksesta saa sertifikaatin. Kyberkenttä on laaja, kuten DoD:n määräyskartasta voi nähdä. DoD on julkaissut kahden kuvan zero trust -viitekehyksen toteutusten tekemisen avuksi. Valmistajat kiittävät julkaisua. Se tarjoaa riippumattoman ja yleisluontoisen arviointimallin, ja perustuu enemmän todellisiin tuloksiin, jossa vasta vihollisen pysäyttäminen on se lopullinen tavoite. Siinä on myös huomioitu vanhat järjestelmät ja niiden yhteensopivuus. GAO on arvioinut USA:n salaisen palvelun zero trust -siirtymää raportissaan. Siitä voi itsekin arvioida oman ympäristön kehitysvaiheita perinteinen-kehittynyt-optimaalinen -akselilla.

Myös EU on laatinut toimintasuunnitelman kybervalmiuden parantamiseksi. Jäseniltä pyydetään yhtenäisyyttä ja yhteystyötä. Ranskan strategisessa katsauksessa on julkisesti todettu maan karu kybertilanne: nykyinen toiminta ei riitä ja parantaa pitäisi. Pelote ei enää riitä, vaan vaste pitäisi olla riittävän kova ja kallis hyökkääjälle. Vaste voisi olla laajamittainen valtiollinen, EU-tasoinen ja maailmanlaajuinen toimenpide. ENISA on selvittänyt kyberinvestointeja ja todennut, että budjetit ovat nyt laskussa. Samaan aikaan keskimääräinen isku maksaa kohteelle 200000 euroa, mikä on kaksinkertainen summa viime vuoteen verrattuna.

Packetpushersin podcastissa Cyberstupid käydään läpi alan typeryyttä. Kybervastuu kasvaa jatkuvasti ja silti moraalinen turmio valtaa alaa. Raha vetää ja tyhmyyksien tekeminen on mahdollista, jos typeryyksistä ei joudu vastuuseen. CISO:issa on enemmän sosiopaatteja kuin muilla aloilla, jopa 25-30%. Kyberoppaiden neuvot antavat kuvan, että pienillä tviikkauksilla tietoturva hoituu kuntoon, mutta todellisuudessa on kyse monimutkaisten asioiden vyyhdistä ja jatkuvasta kehityksestä. Kyberin hoitaminen kuntoon vaatii pääsyä liiketoimintapöytiin, ja se taas vaatii parempaa asioiden artikulointia ja uskottavuutta, joka on ansaittava. Mielenkiintoinen ajatus on pysyä mukana kyberuhkien vauhdissa, joko hidastamalla tai koventamalla tahtia. Hidastamalla voi perehtyä kunnolla asioihin ja hoitaa ongelmat kuntoon perusteellisesti. Nopeuttamalla taas voi ratsastaa uuden kenties turvallisemman ja paremman teknologian aallolla ja hypätä nopeammin aina uuteen aaltoon.

MIT Cyber Defense Index rankkaa kyberin 20 suurinta maata. Suomi ei ole listalla, vaikka varmaan olisi päässyt kärkikahinoihin. Johdossa on Australia, Alankomaat, Etelä-Korea, USA ja Kanada. Atlasvpn:n tutkimuksen mukaan 9% amerikkalaisista ei ole koskaan vaihtanut wifi-verkon salasanaansa. Käyttöönoton yhteydessä kuitenkin 37% on vaihtanut salasanan. 23% vaihtaa salasanan vuosittain ja kovimmat 22% jopa kuukausittain. Luvut ovat yllättäviä, koska salasanan säännöllinen vaihtaminen on melko työlästä. Kaspersky on päättänyt lopettaa VPN-palvelun Venäjällä, koska toiminta on tehty mahdottomaksi. Azure alkaa estää domain frontingin, jolla yritetään kiertää internet-estoja. AWS ja GCP ovat estäneet tämän jo 2018 lähtien.

Ethernet ghosting on menetelmä, jolla voi ujuttaa oman laitteen toisen laitteen verkkoyhteydelle. Näin voi sitten kuunnella liikennettä ja lähettää sekaan omaa dataa. 802.1x-autentikoinnin kiertäminen onnistuu huomaamattomasti oikean koneen avulla samaa mac-osoitetta käyttäen. Sharprdphijack-työkalulla voi kaapata RDP-istunnon. Microsoft neuvoo miten DC-palvelimet suojataan hyökkäyksiltä. Eset Researchin APT Activity Report listaa hyökkäyskampanjat, osalliset maat ja kohdesektorit.

Tailscalen Windows VPN-clientin haavoittuvuudella voidaan suorittaa luvattomia komentoja. Tailscalen tuotekehityksestä kerrotaan, että kaikki eivät voi ostaa sen VPN-tuotetta, koska se ei täytä MFA-vaatimuksia. Kybervakuutusten ehdoissa sanotaan, että MFA pitää tehdä aina kun VPN-yhdistää verkkoon. Jos verkko vaihtuu lennossa alla, niin Tailscale ei tee uudelleenautentikointia MFA:lla ja siksi se ei ole yhteensopiva vakuutusehtojen kanssa.

Softajakelussa Redhat lisää zip-paketteihin allekirjoitukset. Github tuo palveluunsa yksityisen haavoittuvuusraportointiominaisuuden. Docker Hubista on löytynyt 1600 haitallista imagea. Linux-jakeluiden repojen sisältöä on havainnollistettu pakettimäärän- ja tuoreuden kuvaajalla. Hajontaa on eri versioiden välillä paljon.

FBI oli lähellä ottaa käyttöön Pegasus-vakoiluohjelman pari vuotta sitten, mutta se vetäytyi hankkeesta kun hurjat tarinat ohjelman väärinkäytöstä maailmalta levisivät mediassa. Forbidden Storien kertoo lisää Pegasus-projektista.

SD-WAN on pois muodista, mutta tuoterintamalla tapahtuu kuitenkin. Vmware on julkistanut SD-WAN -clientin, joka tarjotaan palveluna. Se perustuu Ananda Networkin kehittämään tuotteeseen. Vmware laajentaa myös SASE-alustaansa 16 uudella POP:lla ja lisää SD-WAN -edgeen uusia tekoälyoperaatioita. Cloudbrink on uusi tulokas haastamaan SD-WAN -markkinaa. Softana toimiva HAaaS-palvelu (Hybrid Access as a Service) lupaa parantaa sovellusten suorituskykyä jopa 30-kertaiseksi ja korjata SD-WAN:n virheet. Tämä tapahtuu fast edge -pisteiden avulla, jotka ovat aina 7-20 ms päässä käyttäjästä. Sovellukset voivat käyttää eri polkuja verkossa, ja niiden pakettihäviöt voidaan ennnustaa ja korjata tekoälyn avulla. Lisäksi palvelu tarjoaa tietysti zero trust -mallista turvallisuutta ja nopean käyttöönoton. 

Fortinet haukkuu Microsoftin palomuurit riittämättömiksi. Pilvessä voi olla valmiit rakennuspalikat, mutta ne ovat ominaisuuksiltaa kevyitä ja ne on itse osattava ottaa käyttöön. Palomuurauksen kannalta kuitenkin Azuresta puuttuu mm. IDS, TLS-purku ja URL-suodatus. Voi tietysti kysyä onko pilvi oikea paikka tehdä näitä toimintoja, jotka enemmän liittyvät käyttäjäpäähän. Jos kaipaa täyttä kokonaisratkaisua Fortinetin muurilla security fabric ja SASE hoituu. Paloalto on ilmoittanut ostavansa jälleen yhden israelilaisen yhtiön Cider Securityn. Se tekee sovellustietoturva-alustaa koko CI/CD-ketjulle. Paloalto teki myös ison diilin DoD:n kanssa. Kauppa sisältää Cortexin eli XDR:n, XSOAR:n, XSIAM:n ja Xpansen. Loput uudet neljännen sukupolven muurit on julkaistu pieneen ja isoon päähän tuotereppua. Uusi PAN-OS -version 11 “Nova” tuo yli 50 päivitystä softaan. Lisäksi Paloalto kertoo miten se itse tekee zero trust -ympäristönsä, jossa on 15000 käyttäjää ja yli 200 sovellusta. Siihen sisältyy vähimmän oikeuden periaate, jatkuva luottamuksen vahvistus, ympäristön havainnointi, sekä tiedon ja sovellusten suojaus. Politiikat pyritään muodostamaan todellisen käyttötarpeen mukaan ja käyttäjän toimia valvomaan IAM- ja endpoint-tuottein. Transaktioiden tutkimista myös pyritään parantamaan.

Kvanttisalaus tekee tuloaan ja ensimmäiset toteutukset on jo tehty. MDI-QKD -demo nähtiin jo 2021 Alankomaissa Delftin ja Haagin välisellä linkillä. Mutta kubittien sovittaminen klassiseen bittisignalointiin ei ole ihan helppoa. Nyt Eurofiber ja Juniper ovat aloittamassa laajemman testausohjelman, jossa päätepisteitä on useissa konesaleissa Utrectin alueella. Digicertin ennustuksissa kvanttisalaus onkin yksi ensi vuoden kohteista. Lisäksi listalla on koodiallekirjoituksen siirtyminen pilveen, SBOM-softalistauksien yleistyminen, eSIM:ien tulo, digi-identiteetin ja -lompakoiden maailmanvalloitus, DNS:n merkityksen kasvu ja hyökkäykset zero trustia vastaan. Viimeinen kohta onkin mielenkiintoinen jos hyökkääjät voivat hyödyntää tekoälyä löytämään zero trustin porsaanreiät. Siksipä zero trust ei ole lopullinen ratkaisu, vaan kehittyvä ja kehitystä vaativa jatkuva projekti.

Tekniikka ja operointi

DE-CIX vaihtoi yhdysliikennepisteiden tekniikkaa EVPN:ään ja sen myötä BUM-liikenteen määrä putosi kymmenesosaan. Videolla Bernhard Hahn kertoo tarkemmin muutoksesta ja sen suunnittelusta. Hyvin suunniteltu muutos meni läpi kuudessa sekunnissa.

Nvidia on kikkaillut optisella järjestelmällään Infinibandin siirtokyvyn 400G:llä 40 km mittaiseksi. Juniperin Express 4 -piirin suodatusominaisuudet kuvataan perusteellisesti artikkelissa, joka auttaa ymmärtämään monimutkaisuutta filtterien taustalla. Aristalla on kätevä käännettävä tuuletin, jolla voi lennossa vaihtaa kytkimen ilmankierron suuntaa. Tämä on saatava pakolliseksi kaikkiin konesalilaitteisiin! Arista on julkaissut verkkoautomaatioratkaisun koko CI/CD-ketjulle. Taustalla on Netdl-tietokanta, josta muutokset liipaistaan testauksen kautta tuotantoon ja dokumentaatioon. Muutokset ajetaan automaatiolla koko verkkoon.

BGP:n reitinvalinta on pitkä prosessi. Yleiset tavat vaikuttaa sisään tuleviin reitteihin on laittaa local-preferenceä isommaksi primäärireiteille ja ulospäin AS-prependiä huonommalle reitille. AS-prependin riskinä on kuitekin helpompi reittien kaappaus ja parempi tapa olisi käyttää communityjä, jos naapuri-AS niitä vaan tukee. Communityjä käyttämällä voi ohjelmoida naapurin local-preferenceä ja vaikuttaa sen kautta reitinvalintaan oman AS:n ulkopuolella. Cloudflare esim. määrittää reittien painon omassa verkossa niin, että transitin reitillä arvo on 100, runkoverkolla 150, IXP-peereillä 200 ja privaattipeereillä paras 250. BGP:ssä on myös  cost-community, joka on vapaaehtoinen AS:n sisäinen community. Useinhan BGP:n reitinvalinta ajautuu tasa-arvoisilla reiteillä IGP-metriikkaan tai jopa sitä pidemmälle reitittimen ip-osoitteisiin. Cost on tapa vaikuttaa reittien tässä välissä.

Cloudflare kertoo miten se toteuttaa CDN-palveluiden liikenteen. Sisäänpäin käytetään anycastia, mutta miten taustaliikenne palvelimista ulospäin toimii? Globaalisti tarvitaan eri ip-osoitteita eri alueiden liikenteelle ja eri palveluille. IP-osoitteita kuluu ihan liikaa, joten niiden käyttöä pitää jotenkin jakaa palveluiden kesken. Internetissä ei kuitenkaan voi reitittää host-osoitteita, vaan pitää operoida /24-verkoilla. Siksi yksi aliverkko allokoidaan yhteen konesaliin ja liikenne välitetään anycastina lähimpään sijaintiin, josta se sitten ohjautuu Unimog-kuormanjakajan määrittämänä todelliseen fyysiseen sijaintiin. Siellä oikea palvelin tunnistetaan ip-osoitteen ja protokollan portin mukaan. Menetelmälle on annettu nimi soft-unicast.

Netflixin viimeisin CDN-palvelinkokoonpano on esitelty. Huima kapasiteetti 731 Gpbs tuotetaan Dellin palvelimella, jossa on Nvidian verkkokortit ja NVMe-levyt. Softalla on iso rooli suorituskyvyssä. Zoomin suljettua omaa header-formaattia on ihmetelty ja se on vaikeuttanut Zoomin toiminnan ymmärtämistä. Tutkijat ovat nyt mitanneet Zoomin käyttöä ja suorituskykyä sekä selvittäneet sen toimintaperiaatetta.

Kuten on todettu aiemmin, internetin ruuhka-algoritimit eivät ole tasa-arvoisia. Jokainen tähän mennessä ehdotettu algoritmi BBR, Copa, PCC, FAST ja Vegas, toimivat viiveperustaisesti ja ovat alttiita nääntymiselle. Ongelmia tulee kun kaksi erilaisen viiveen flowta laitetaan samaan FIFO-jonoon. Viiveen tulkinnasta tulee vaikeaa kun algoritmit osaavat mitata vain päästä-päähän -viivettä. Siksi siinä välillä välillä verkon pitäisi pystyä tarjoamaan tietoa viiveistä. Perinteinen ECN on ratkaisu, mutta myös uusia tapoja on olemassa, kuten Microsoftin SWAN ja Googlen BWE. Jatkossa voi olla mahdollisuus kehittää viiveriippumaton algoritmi, jolla vältettäisiin ylimääristen temppujen toteutuksen aiheuttamat kustannukset. L4S on uusi standardi ruuhka-algorimiksi. Se tarjoaa liikenteelle lyhyen viiveen, pienen hävikin ja skaalautuvan läpäisykyvyn. Testauksissa on saatu lupaavia tuloksia wifi- ja 5G-verkoissa. Tämäkin algoritmi on saanut inspiraatiota konesalin DCPTCP-määrityksistä ja se käyttää ECN-bittejä ruuhkien signalointiin. Sen avulla lähetysnopeutta voidaan säätää nopeasti ja kohdistetusti. ECN:n käyttöönotto internetissä ei kuitenkaan oli ihan suoraviivaista yhteensopivuuden vuoksi. L4S ja klassinen liikenne pitää laittaa eri jonoihin, joilla on eri ominaisuudet. Ensimmäinen toteutus on Low Latency DOCSIS. L4S ei kuitenkaa ole edelleenkään reilu ja se ei korjaa ongelmia erittäin vaihtelevissa linkeissä, kuten radioverkoissa.

SI-järjestelmä on saanut lisää etuliitteitä isoihin ja pieniin numeroihin. 10^27 on ronna, 10^30 kvetta, 10^-27 on ronto ja 10^-30 kvekto. Tekoäly voi olla hyvä apuri yhdistelemään ja analysoimaan tietoa, ja muodostamaan dynaamisia peruslinjoja. Mutta se ei riitä. Verkko hajoaa todennäköisesti juuri eri tavalla kuin olisit osannut kuvitella ja siinä auttaa vain silmäparit ja aivot, jotka osaavat ajatella dynaamisesti ja mukautuen.

Netbox on käynnistänyt suunnittelukumppanuusohjelman. Se julkaisee myös yhteisöpuhelua, jossa kerrotaan kuulumiset tuotteen ympäriltä. Myös Network to Code julkaisee Nautobotilleen roadmappia ja kertaa missä mennään tuotteen kanssa.

Grafana on suosittu työkalu kehittäjien, ja nykyään myös yritysten keskuudessa. Tuotteesta yritetään rakentaa laaja-alainen, mutta modulaarinen kokonaisuus, jota on helppo käyttää. Viime vuosina siihen on lisätty metriikkaa (Mimir), lokia (Loki) ja jäljitystä (Tempo). Grafanan liikevaihdosta alle puolet tulee Grafanan käyttöliittymästä. Grafanalla on nyt 2000 maksavaa asiakasta ja miljoona yritystä käyttäjinä. Se haluaa kasvattaa käyttäjämäärää ja SaaS-vaihtoehdolla on siinä iso osa. Pilvialustaasta tulee jo yli puolet liikevaihdosta. Konsultointia ja tukea on hyvin vähän. Avoin koodi markkinoi itseään ja käyttäjäkunta on pääasiassa SRE-tyyppistä. Tuote on kuitenkin päässyt myös isojen yritysten tuotantoon, joten brändi- ja laatupuoli tuntuu olevan kunnossa. Grafanan erottaa kilpailijoista datan avoimuus ja yhteensopivuus. Muilla on tapana sitoa käyttäjä datan kautta omaan tuotteeseensa.

Yritykset ja tuotteet

Elisan selvityksen mukaan maailmantilanne on muuttanut infran kehittämistä. Omat konesalit ovat häviävää perinnettä, kun hybridipilvi on ottanut vallan, osittain maailmantilanteen epävarmuuden vuoksi. Palveluntarjoajissa arvostetaan tietoturvallisuutta ja häiriöiden hoitokykyä. Toisenlainen näkemys tulee Timo Haapavuorelta, joka latelee palvelutoimittajille madonluvut. Sopimusehdot ovat vain sanoja paperilla ja kaikki leikkivät mukana itsepetoksessa. Vastuunkanto jää lopulta aina asiakkaan harteille. Projektit epäonnistuvat samojen tekijöiden tekeminä yhä uudelleen ja uudelleen. Eikö meillä ole valinnanvaraa? Vai olisiko aika kasvaa aikuiseksi ja ottaa vastuuta?

Suomen tietoliikennekentälle on syntynyt uusi toimija Reformo Networks, jonka takana ovat Kai Vuokko ja Aki Anttila. Saa nähdä mihin tämä uudistuksia lupaava yritys lähtee kehittymään ja miten se muuttaa markkinaa.

Valtio on jakanut 100 miljoonaa lisää rahaa ICT-ratkaisuihin ja useat hyvinvointialueet keräsivät miljoonien lisäavustukset. Raha on tarkoitettu välttämättömiin muutoskustannuksiin, palveluiden jatkuvuuteen ja vaatimuksiin mukautumiseen. Istekki puolustaa inhouse-yhtiöiden roolia hankinnoissa yhteiskunnan edulla. Aiemmin itsenäiset ostajat ovat olleet pulassa hankintojen kanssa, mutta inhouse-yhtiöt ovat tuoneet järkeistystä hankintoihin. Keskitetyllä kilpailulla on säästetty 15% kuluissa. Vaikka inhouse-yhtiöiden idea on hyvä, tuntuu että niiden toiminta väistämättä pöhöttyy ja asiakkaan hinnat alkavat salakavalasti nousta.

Ruotsissa IT-palveluiden hinnat ovat nousset ennätyksellisiksi. Tähän asti hinnat ovat aina laskeneet. Pilvi ei ole enää keino säästää rahaa ja hintojen nousulle ei näy loppua. Palveluntarjoajille pilvi on kuitenkin se, mikä tuottaa rahaa. Aiemmin tehdyt pitkät sopimukset voivat nyt säästää rahaa ja entistä vahvempi suositus on olla lukitsematta itseään tiettyyn alustaan. Laskusuhdanne näkyy myös palvelinmyynnissä, vaikka kokonaismarkkina näyttääkin kasvavan. Myyjän on entistä vaikeampi päästä läpi markkinahömpällä oikeisiin liiketoimintapäätöksiin ja ostotarpeisiin asti. Ostajalla taas on tässä rooli artikuloida paremmin tarpeensa, jotta myyjä osaa tarjota oikeaa tuotetta. Osto ja myynti on siis yhteispeliä, jossa pitäisi tavoitella yhteisesti ymmärrettyjä tuotoksia.

Myynnin saloja avaavat huippumyyjä ja tutkija (HS Visio maksumuurin takana). Huippumyyjä on tavoite- ja tulosorientoitunut ja nöyrä. Ennakointi ja oma-aloitteisuus on tärkeää. Asiakasta pitää haluta aidosti auttaa, mutta myös sopivalla tavalla haastaa. Faktat on oltava hallussa ja nopeudesta on hyötyä. Myyjä on yrityksen menestyksen takana ja myyntityötä tehdään monessa roolissa. Siksi myyntiosaamiseen kannattaa panostaa laajemminkin. Myyjällä täytyy olla asiantuntemusta ja asiakaslähtöisyyttä. Myyjä myy tuloksia ja siksi yksityiskohtiin ei pidä mennä. Huonot myyjät esittelevät tuotteita ja tekevät nopeita ratkaisuesityksiä, jolloin he eivät pääse syvempään suhteeseen oikeiden ihmisten kanssa. Hyvä myyjä etsii itse aiheet, aloittaa keskustelut asiakkaan kanssa ja pääsee määrittämään tarvetta. Tarjouspyyntö merkitsee sitä, että joku muu on jo määritellyt tarpeen ja pääset vain myöhässä mukaan kilpailuun, jossa on paljon pienemmät mahdollisuudet voittaa. Hyvä myyjä kartoittaa asiakkaan tarpeet ja ymmärtää mihin kannattaa lähteä mukaan. On kaksi tapaa voittaa: voittaa kauppa tai osata luovuttaa ennen kuin on tehnyt liikaa töitä. Nykymyyjä on kuin johtaja tai konsultti, joka osaa kuunnella, motivoida ja rakentaa. Agressiivisuudella ei pärjää, mutta myöskään ystävystyä asiakkaan kanssa ei tarvitse. Monelle myyjälle virhe on aloittaa liian alhaalta organisaatiossa. Mitä isompi kauppa, sitä ylemmäs pitää tähdätä. Ostopäätöksille pitää löytyä valtuudet, prioriteetit ja sitoutuminen, ja ne on syytä varmistaa ylemmältä johdolta. Silloin tähdätään myös oikeaan paikkaan: strategiaan ja liiketoimintaan. Hinnoittelussa suurin virhe on pistää hinta tiskiin heti. Parhaat myyjät eivät kerro hintaa, vaan varmistavat, että tuote tuottaa arvoa ja asiakas ymmärtää sen. Hinnalla ei ole merkitystä jos asiakas ei ymmärrä sen arvoa. Lopullinen klousaus on vain paperien täyttämistä kun varsinainen myyntityö on tehty ennen sitä.

Isoja irtisanomisia on maailma täynnä. Cisco uudelleenjärjestelee toimintaa ja 5% 83000 työntekijästä saa lähteä. HP leikkaa saman verran 4000 työpaikkaa kolmen seuraavan vuoden aikana. Twitterin uskomaton häröily tarkoitti irtisanomisia 7500:lle eli puolelle työntekijöistä. Sen myötä Euroopan toiminnot on pitkälti ajettu alas ja GDPR-vaatimuksten täyttäminen on mahdotonta. Sääntelyhelvetti odottaa. Lisäksi tietoturvajohto lähti ja yritys ajelehtii tietoturvauhkien ryöpytettävänä. Teknisellä puolella Twitter horjuu hajoamisen partaalla, joka ehkä alkaa näkyä vasta pidemmällä aikavälillä jos tilannetta ei saada käännettyä. Valehuhuja liikkui, että koko verkkotiimi olisi irtisanottu, mutta näin ei ollut. SRE:eistä kuitenkin jopa 80% irtisanottiin ja takaisin ei välttämättä moni enää halunnut Muskin oikuttelun jälkeen. Työilmapiiri tuhottiin parissa viikossa täysin. Potkuja on saanut asiaperusteisen some-kommentoinnin perusteella. Musk on heitellyt absurdeja kommentteja teknisistä ratkaisuista. Esimerkkinä kysymys mitä ihmeen virkaa kaapelella konesalissa on? Kaapelit vievät Muskin mukaan turhaan tilaa ja eivät vaikuta käyttökokemukseen mitenkään. Tai aikomus sammuttaa 80% mikropalveluista turhana bloatwarena. Yksi näistä sammutetuista turhakkeista osoittautui MFA-palveluksi, joka sitten jouduttiin palauttamaan takaisin päälle. Muskin idiotismille on perustettu oma sivu.

Miksi Twitter ei siirrä infraan pilveen? Joidenkin arvausten mukaan Twitterillä voisi olla 500000 palvelinta palvelemassa 500 miljoonaa twiittiä päivässä, mikä tekisi 86,4 CPU-sekuntia jokaiselle twiitille. AWS:ssä tämän pyörittäminen voisi maksaa 300 miljoonaa kuukaudessa. S3-tallennus toisi päälle kymmenen miljoonan laskun. Pilvestä ei edes saisi 50000 palvelinta kovin nopeasti, vaan tilauksia pitää tehdä pienemmissä erissä.

Solarwindin tapaus on sovittu 26 miljoonan dollarin hintaan osakkeenomistajien kanssa. Broadcomin Vmware-kauppa on joutunut arviointiin sekä EU:ssa että Iso-Britanniassa. Broadcomin toimitusjohtaja Hock Tan kertoo oman versionsa blogissaan. Tavoitteena on päästä mukaan monipilveen ja pilvinatiivien sovellusten markkinoille. Hinnoittelussa Tan kiistää riistävänsä olemassa olevia asiakkaita ja keskittyvänsä jatkossa asiakaslähtöiseen kehitykseen. Tärkeintä on integroida Vmware täysin Broadcomiin. Henkilöstöhuolet ovat hieman helpottaneet työntekijöille esitetyn roadmapin myötä. Nutanix näkee tässä markkinaraon ja keskusteluita on käyty moneen Vmware-asiakkaan kanssa.

Yandex haluaa eroon Venäjästä ja alankomaalainen emoyhtiö suunnittelee liiketoimintojen myyntiä. Myyntilistalla olisi mm. ruokakuljetus ja taksitoiminta. Yandexin toiminta on vaikeaa kun johtajat ovat pakotteiden alaisia ja länsimaista teknologiaa tarvittaisiin kehityksen ylläpitämiseksi. Suunnitelmaa on Kremlissä junailemassa entinen valtiovarainministeri Aleksei Kudrin, jolle on pedattu johtopaikka yrityksessä. Venäjä on saavuttanut haluamansa It-itsenäisyyden kun kansainväliset yritykset ovat lähteneet maasta. Tosin vain 20%:lle käytössä olevista ohjelmismkokotoista on olemassa toimiva venäläinen vastine.

Cisco laajentaa Digitaliza-keskustaan Barcelonassa puolijohdesuunnitteluun. Hanke tulee EU:n pyrkimyksiä omavaraisuuteen piirituotannossa. Tom Nolle vertailee Ciscon ja Juniperin tulevaisuudennäkymiä. Ciscolla on kuusi tuotekategoriaa ja kolmessa niistä se kasvoi, Juniperilla on neljä ja kasvua oli kaikissa. Cisco on myyntikone, joka keskittyy tekemään ja varmistamaan kauppoja häiritsemällä muiden valmistajien aikeita. Juniper on tehnyt älykkäitä yritysostoja ja yrittää nyt Ciscon taktiikalla buustata myyntiä. Kumpikaan ei oikeastaan viesti strategista sanomaa kovin hyvin. Ciscon visio ei näy webbisivulla, Juniperilla hieman paremmin. Ciscolla ei ole erityistä mallia tai visiota tavoitteiden saavuttamiseksi. Juniperilla on parempi malli, joka on linjassa markkintrendien kanssa. Juniper myös positioi tuotteensa paremmin. Asiakkaat sijoittavat Juniperin innovoijaksi ja Ciscon toimeenpanijaksi. Cisco osaa hoitaa asiakassuhteen ja vaikuttamisen, Juniper sopii ostajien teknologiatarpeisiin paremmin. Juniperilla on paremmat lähtökohdat tulevaisuuteen ja ostajien uudistuviin tarpeisiin. Uusi markkinavaihe käynnistyy agressiivisella markkinoinnilla ja positioinnilla. Sitä ei ole nyt nähty viiteen vuoteen, joten sitä odotellessa… Sekä Cisco että Juniper ovat molemmat olleet nuoruudessaan haastajia ja taistelleet silloisia mammutteja vastaan. Ciscolla se oli IBM. Haastaja käytti helposti ymmärrettävää kritiikkia johtajaa vastaan ja nousi sen myötä menestykseen. Onko tällainen edes nykyään mahdollista? Kenttä on paljon pirstaleisempi ja softatoimittajat vievät kehitystä eteenpäin.

Kalle Happonen kirjoittaa ketterien palveluiden työstä, mitä työ oikeastaan on ja mistä se koostuu. Työssä on suunniteltua ja suunnittelematonta työtä, ja työn arvo kasvaa mitä suunnitellumpaa se on. Toisaalta suunnittelematon työ vie prioriteetin. Rinnalla pyörii tasapaino kehityksen ja operoinnin välillä. Odotan mielenkiinnolla seuraavaa blogia, jossa kuvataan työn organisointia. Töiden organisoinnissa on tärkeää ymmärtää, että tehokkainta suoritusta tekee tiimi, jolla on joku prosentti toimettomuutta. Täysin työllistetty tiimi on altis häiriöille ja pienikin viivästys aiheuttaa koko projektissa tai organisaatiossa ketjureaktion. Tähän voi tietysti myös itse vaikuttaa antamalla realistisia aikatauluja ja työmääräarvioita. Pienempi työmäärä tekee töistä ennustettavampia ja tuottavampia. Selkeällä ilmaisulla ja kielellä on myös merkitystä. Moni asia menisi paremmin perille tai moni virhe vältettäisiin, jos jätettäisiin jargonit pois ja puhuttaisiin selkeästi ja konkreettisesti niin, että kaikki ymmärtäisivät mistä on kysymys.

Rekrytrendeissä prioriteetit ovat nyt Linkedinin tutkimuksen mukaan työntekijän kannalta kompensaatio, tasapaino, joustavuus ja osaamisen kehittäminen. Ylikuumentunut rekrymarkkina on nyt rauhoittunut ja kääntynyt jopa laskuun. Työntekijät varautuvat taloustilanteen muutoksiin. Jos joudut irtisanotuksi, sen kertominen somessa ei ole enää häpeä, vaan voi olla viisasta sekä työuran että oman mielenterveyden vuoksi. Universum listaa suosikkityönantajat maittain. Suomen top10:ssä on vain yksi teknologia-alan yhtiö Google, yllättäjiä ovat Nordnet ja Business Finland. Muuten mennään perinteisillä Finnaireilla ja Fazereilla.

Myös rekrytoinnissa vähemmän on enemmän. Ihmiset, ennemmin kuin roolit, pitäisi mätsätä työtehtäviin. Ihmisiä haetaan kulttuuriin, ei pelkkiin työtehtäviin. Jos ei ole perehdytyskapasiteettia, ei kannata rekrytä. Parhaat osaajat eivät ole vapaana, vaan heitä pitää jahdata. Asiat eivät tapahdu hetkessä ja kärsivällisyyttä pitää olla. Rekrytointia pitäisi harrastaa jatkuvana toimenpiteenä ja nuoria ottaa mukaan kasvamaan. Myös yrityskuvan ja todellisuuden sen takana, pitää olla kunnossa. Jos saat huippuosaajan taloon, niin hänelle kannattaa antaa paljon vastuuta, mutta kohdistettuna olennaisiin asioihin. Suurin ongelma yrityksissä on, että ne rekryävät vääriä ihmisiä. Kyselyjen mukaan aina alle 20%, kuitenkin yleensä vain 10%, tiimin jäsenistä tuottaa 80% työn arvosta.

Internet

Tavallaan hurjaa, että nykyiset internet-palvelumenestyjät ovat 2000-luvun alun webbihuuman peruja. Web Design Museumin sivulta voi ihailla ensimmäisiä Netflixin, Robloxin, Steamin ja Spotifyn webbisivuja. Internet-tekniikan pikakatsauksessa kerrotaan ytimekkäästi mitä tapahtuu kun urlin syöttää selaimeen.

Wired kertaa maailman haavoittuvimman internet-paikan eli Egyptin tilanteen. Asiantuntijat ovat huolissaan 16 kaapelin ja 178 Tbps -kapasiteetin keskittymisestä alueelle. Niiden läpi kulkee 17% maailman internet-liikenteestä. Punainen meri on matala ja siellä tapahtuu paljon kaapelikatkoja. Maailmanlaajuisesti tapahtuu yli 100 kaapelikatkoa vuodessa. Osa reiteistä kuitenkin on hajautettu Egyptin maaperälle. Vaihtoehtoisia reittejä on vaikea löytää kun kiertäminen Syyrian, Irakin, Iranin tai Afganistanin kautta ei houkuttele. Paras yritys on Googlen Blue-Raman, joka kulkee Intiasta Ranskaan Israelin läpi. Se houkuttelee myös muita investointeja Israelin reitille. Mutta vain todella isoilla pelureilla on mahdollisuus toteuttaa uusia maanosien välisiä kaapeleita. Reittien osalta halutaan toisaalta kaapelien läheisyyttä ja yhdistettävyyttä, toisaalta hajautettua varmuutta ja edullista hintaa. Todellisuus on tasapainoilua näiden välillä. Egyptin lisäksi muita internetin solmukohtia, ja myös pullonkauloja, ovat Brittein saaret, Ranska ja Singapore.

Kentikin blogissa kerrataan internet-estojen historia. Laajat estot alkoivat arabikevään 2011 myötä ja laajenivat Afrikan maihin, Myanmariin, ja viimeisimpänä Iraniin. Internetin sulkeminen on nykypäivän ulkonaliikkumiskielto. Koko internetin tai viestintäpalveluiden sulkeminen kuuluu jokaisen autoritäärisen johtajan palettiin.  Mutta estoilla on kova hinta maan taloudelle ja toimintakyvylle. Siksipä jatkossa estot kohdistunevat tarkemmin tiettyihin some-palveluihin ja muihin ei-toivottuun internet-käyttöön. Intiassa operaattoriliikenteen valvonta on jo arkipäivää, sanoo paikallinen operaattorien yhdistys. Kaikki liikenne annetaan keskitettyyn valvontajärjestelmään reaaliaikaisesti. Epäselvää on miten hallitus tätä tietoa käyttää. Intiassa on myös keksitty uusi idea verkkomaksujen hoitamiseen. Laajakaistayhdistys ehdottaa, että jos verkkomaksuja kerran maksetaan, niin operaattorien pitäisi maksaa myös OTT-alustoille.

BITAG on julkaissut oman raporttinsa internetin reititysturvallisuudesta. Ongelmaksi nostetaan kollektiivisen vastuuseen ja ekosysteemiin liittyvät asiat. Turvallisten ratkaisujen toteutusta häiritsevät ristiriitaiset motiivit. RPKI-ekosysteemi on jakautunut RIR:ien alaisiin toteutuksiin. Markkinoilla on viisi yleisesti käytettyä sovellusta, kaikki avointa koodia. Niistä vain paria ylläpidetään säännöllisesti. Routinatorilla on arviolta 2000 käyttäjää ja Krillillä 1400. Operaattorit haluavat toimintavarmuutta ja jatkuvuutta, mutta eivät itse osallistu sovellusten kehitykseen. Teknisesti haluja voisi olla, mutta yritysten sponsorointi voi olla lakiosastojen mielestä ongelmallista. Siispä internet-infran rahoitusmalli on rikki. Myös vanhat ARIN:n alueen ip-osoitealueet ovat ongelmallisia, koska ne on jaettu ennen RIR-mallin tuloa ja ne pitäisi saada rekisteröityä ensin RIR:lle. Afrikassa on käynnissä hyökkäys RIR:iä kohtaan, kun Afrinicin toiminta on saatu lamautettua jo kahden vuoden ajaksi oikeushaasteilla ja varojen jäädytyksillä. Mikä avuksi? Suosituksina on automatisoida operaattorin reititystietojen käsittely ja lisätä näkyvyyttä reitityspolitiikan todentamiseen. Reititysturvallisuus on otettava omaksi ohjelmaksi toiminnassa. Hallinnollisen internet-yhteisön puolella on kannustettava kehityksen monimuotoisuuteen ja yhteistyöhön. Sääntelyssä on annettava vapautta toteutukselle, sen sijaan että määriteltäisiin teknologioita. Operaattoreiden motivaatiota toteuttaa suojauksia pitää ruokkia. Rahoitusta kaivataan pitkäkestoisille valvontaprojekteille, jotka takaavat internet-infran läpinäkyvyyden.

BGP-reittikaappauksia on käytetty kryptohyökkäyksissä. Se onnistuu syöttämällä vääriä route-objekteja RIR:n IRR-tietokantaan. Route-objektin AS-polkua muutetaan niin, että reitti näyttää tulevan halutusta AS-numerosta, esim. AWS:ltä, ja näyttää siis RPKI-validilta. Näin reitti leviää ja kaappaa liikenteen, kunnes oikea omistaja mainostaa paremman reitin. Toinen tapa on käyttää DNS:ää ja ohjata käyttäjä väärille DNS-palvelimille, ja sitä kautta huijaussivustolle. Nyt kuitenkin AWS ja Google ovat allekirjoittaneet DNS-osoitteidensa verkot ja niiden kaappaaminen on melkeinpä mahdotonta. Reittien validointi on toimiva tapa kunhan invalid-reitit hylätään ja ROA:t määritellään tarpeeksi tiukoilla prefixien pituuksilla. BGP- ja DNS-valvontaa tarvitaan, jotta muutokset havaitaan ja ongelmat saadaan korjattua.

Geoff Huston tutkii onko DNS liian keskittynyt palvelu. Resolver-puolella Google on yksittäisten palveluiden johtotähti 14% markkinaosuudella. Kakkonen Cloudflare saa vain 3,2% osuuden. Suurin osa käyttää oman operaattorinsa nimipalvelimia. Kuitenkin Google ottaa avoimien nimipalveluiden markkinasta lähes 69%. Neljällä suurimmalla on hallussaan lähes 92% avoimien resolverien markkinasta. Resolverimarkkina ei siis ole kovin keskittynyt, mutta avoimissa palvelimissa on keskittymisen merkkejä, joita operaattorien omien palveluiden kova käyttö laimentaa. Autoritatiivisissa palvelimissa AWS:llä on 35,7% osuus ja neljän kärki AWS, Cloudflare, Google, Akamai ottavat 57% osuuden. Markkina on kohtalaisen keskittynyt. Keskittymisen riskinä on tietysti monopolin ja kartellin kaltaiset tilanteet, mutta myös tietoturva-aspekti jos tietyllä haavoittuvuudella voi iskeä laajaan infran osaan. Ilmaiset nimipalvelut ovat markkinavirhe, koska kukaan ei maksa palvelusta. Toistaiseksi malli kuitenkin toimii.

USA:n uudet laajakaistakartat on saatu julkaistua ja tarkuudessa on tapahtunut pientä parannusta. LEO-satelliitit ovat uusi tulokas laajakaistamarkkinoilla ja niille pitäisi saada samat toimintamallit ja säännöt kuin muillekin tekniikoille. Internet Society herättelee näkemyksiä reilusta ja tasa-arvoisista pelisäännöistä. Satelliittioperaattoreilta pitäisi vaatia tietyt tekniset toiminnot ja yhteensopivuus, kuten maanpäällisissä verkoissa. Niiden myötä avautuisi mahdollisuus myös uusille tulokkaille. Ongelmana vaan voi olla, että satelliittibisnes on rahakasta touhua ja harvojen mahdollisuus. Jos avoimet internetin mallit saadaan käyttöön, voidaan satelliitit saada paremmin osaksi koko internetiä. Käyttäjien mukaan Starlink on lisänyt Ipv6:n käyttöön verkossaan.

Tapahtumat

Security Field Day 8 esitteli Fortinetin, Criblin, Hashin, Micronin ja Swimlanen tuotteita.

Denog14-videoissa käydään läpi operaattoriasioita. LINX117-videoissa kerrotaan yhdysliikennepisteen toimintaan liittyvistä asioista. Netldn#37-esityksissä käydään läpi odottamaton ipv6-matka ja Project Loon.

Grafanan ObservabilityCON2022-materiaalia pääsee katsomaan rekisteröitymällä. Yhteenveto uutuuksista on julkaistu blogina.

Kuukauden käyttäjäkokemus

Moni on varmaan korona-aikana tehnyt Pearson VUE -sertifikaattitestejä etänä kotoa tai toimistolta. Idea oli hyvä ja alkuun toteutuskin jotenkin siedettävä. Nopeasti käytännöt kuitenkin tiukentuivat ja testeistä tuli stressaavaa painajaista ja absurdia taidetta. Peruslähtökohta on se, että huoneessa ei saa olla mitään epäilyttävää, kartat ja kalenterit pois seiniltä, printterit tyhjäksi paperista, johdot irti monitoreista ja tekstilliset hiirimatot ja muut esineet mäkeen. Joku on keksinyt ripustaa lakanan seinälle peittämään tavaroita, itse naamioin tietokoneen ja lisälaitteet verhojen ja viherkasvien taakse piiloon. Epäilyttävät äänet ulkoa voivat tuhota suorituksen. Linnut voivat pomppia katolla tai lirkutella ikkunalaudalla, lumiaura tai roska-auto voi kolistella kadulla, lapset ja lemmikit ovat suorastaan varmoja kokeentappajia. Suomalainen ratkaisu on tehdä koe saunassa. Itsekseen ei saa puhua tai mumista, saati kosketella itseään. Katse ei saa harhailla, vaan tuijotus pitää pitää tiukasti ruudussa. Sisäänkirjautuminen on oma kokemuksensa asiakirjojen tarkistuksen ja koneen ohjelmien ja prosessien säätämisen kanssa. Koeohjelma saattaa hidastella ja itsellä kerran hiiri oli jumalattoman hidasliikkeinen ja käytännössä käyttökelvoton. Onneksi näppäimistöohjaus toimi. Hullut tilavalmistelut, kokeen tekijän pompotus ja kokeen aikana jatkuva paine pieneenkin virheeseen ja hylkäämiseen, ovat ajaneet monet tekemään testin virallisessa testikeskuksessa, jossa testin tekeminen on tosi rentoa ja vapauttavaa. Kunhan vaan niitä testikeskuksia ja vapaita aikoja löytyisi jostain.

Prince Philip, me, and the midlife crisis

Some time ago I watched Netflix series The Crown. In season 3 episode 7 “Moondust” Philips struggles with his midlife crisis after Apollo 11 space shuttle has landed on the moon. This scene hit me hard because there was something to strongly relate to on a personal level.

In this episode, one Sunday Philips is tired of his life and he’s going to challenge the church to find more productive doing than sitting and discussing with priests. In the discussion session, priests tell that now we know what is on the moon: nothing but dust and silence. Philip gets angry and condemns their views as nonsense. He preaches to the priest that action is what defines our lives, desire to achieve something.

Later Philip gets a chance to meet his idols, the astronauts. He thinks that the offered 15 minutes discussion is a too short time to cover the biggest achievement of mankind. He prepares thorough technical questions for astronauts. When the meeting starts, Philip thinks that these questions are not the ones he wants to get answered. He reflects on the disappointment of his life and wants to hear what astronauts thought on the moon. Astronauts behave like kids, are astonished, and don’t understand the question. They tell that they had a protocol to follow and there was no time to think.

Afterward, Philip talks to Elisabeth that he “expected astronauts to be giants, gods. In reality, they were just three little men, pale-faced, with colds. They were the right ones to do the job. But they totally lacked flair or imagination, originality or spontaneity. They were totally anticlimactic in person.”

Indeed! This immediately linked to my experience in the IT and networking industry. Like astronauts, many engineers are enthusiastic about hard technology and implementation details. Engineers like to configure the wildest configurations, try every nerd knob, and build the most complex setups, just to prove to themselves that you can. Action is the driving force. I have been there too, and I think this is a mandatory transient development phase for all engineers to grow. People also study and certify for vendor’s products and are usually very attached to their pet-vendor. But the more you have played in the networking field, you start to realize that every vendor and their products are eventually pretty much the same. If you understand principles and know what you are trying to achieve, a senior engineer should be doing well with any vendor’s products.

Many engineers are operators who follow predefined orders and protocols, be that company processes, rules, vendor design, best practices, old habits, or something else. They need instructions to start working, implementing the protocol, but they lack the vision of the whole system. This might be a safe, comfortable, and easy way to do the job without bothering the brain too much. We need operators and executors, and protocol is absolutely crucial in many industries and jobs. The problem with operator persons is that they do only what they are told to. In the IT industry management, business, and leaders can make use of that. Tasking engineers with various micro jobs and ever-changing priorities and goals lead to hustling around without any focus on bigger outcomes. 

Some people find it comfortable to work only when told what to do. Some people are very self-driving and can form their own plans and targets supporting a common goal. Self-driven work needs a good vision of what you should achieve. And this comes to architecture. The architect is the person who understands the bigger picture, how components make a system, but also combines business and other perspectives to technical solutions. Forming architecture needs creativity and a larger understanding of different aspects. And I would like to emphasize the business side because that’s what really matters. Technology only gets meaning when it is used for something, it fulfills the user’s needs. Technology is a servant and needs a master. When you grow to senior, you should become a master. In networking, and especially in security, we still need to convert the paradigm far more to business terms to succeed.

Now, in my midlife and mid-career point, it’s obvious that the meaning of professional life comes into question. I’m not disappointed with my career like Philip, but after decades in the networking industry, finding my place has been churning in my mind for recent years. Technology has lost some of its glory and I need more than just hard tech. I have tried to ask what to do in the future, where’s the meaning of work, and how can I find it. Soft skills, creativity, anticipation, and seeing the bigger picture are what I like to utilize. I have found that the understanding larger context of things is an attractive and interesting thing. I like to dig deeper into technology, business, and operational culture, their context, backgrounds, and stakes. Because, if you can understand technology, you can apply it to your use case and purposes in a proper way. Vendors and specific technologies become more and more irrelevant. Other things around count more, and they are also harder to harness.

Like Philip’s thoughts on astronauts, I regularly bump into similar shallow and straightforward executor people in the IT scene. People are narrow-sighted and push forward without seeing what happens around their bubble. People have no time to stop, slow down, and think. The action seems to drive the current world. I really enjoy it when I find someone open-minded to discuss larger perspectives and backgrounds in IT. Sometimes it’s just chitchatting, sometimes it gives new ideas and context to things. You start to see nothing is black and white but more grey. The more you know, the more you also know that you don’t know. There are always two sides to the story and choices to make. Understanding why things are the way they are gives me satisfaction because I’m curious by nature and want to find out the reasons. If you understand the bigger plan, it’s usually easier to move forward to design or implement things without limiting choices to one specific solution. Also understanding the rationale behind mindless decisions makes them somehow easier to accept. At the best, you can have a chance to influence the right place and the right stakeholders.

I think many senior engineers face this mid-career question, especially after working in the same workplace for a decade. Some don’t change and stay as they were, some need more radical changes and improvements. Today’s IT industry means the harder the pace, the crazier the work-life. It might be hard to find a place where interesting, meaningful, and well-organized work meet. For those who look for change, I can only suggest finding a wider view of network engineering outside the traditional scope. That could include tasks in business, marketing, service development, operational, project, or other roles. There also exists a lot of internal teamwork where senior engineers can have great influence to help an organization succeed. Eyvonne Sharp’s The work we want and Nick Scialli’s 10x engineering for the rest of us are excellent posts about that.

Back to Philip’s disappointments. They are mine too. Technology wasn’t everything, former heroes and idols collapsed, uncertainty stresses, work-life is in crisis, and expectations don’t fill up. What to do? I don’t have exact answers. Clear yourself what you really want and what makes you happy. Keep chasing that new role and also remember to be satisfied with what you already have. The perfect place is not going to find. I still have the desire to achieve something, but it’s now more on the personal life level. In my career, I want to do smart and useful things, not dumb. I’ll try to utilize my strengths, and find versatile tasks that I enjoy. These may be little, sometimes silly, things that give me satisfaction and hopefully something to other people too. That’s the best that I can have now.

[FI] Tietoliikennealan katsaus 2022-10

Ongelmat

Whatsappin palvelinongelma 25.10.2022 näkyi myös verkon puolella noin puolentoista tunnin ajan. Whatsappin internet-liikenne tippui selvästi normaalikäyrästä ja vastaavasti piikkasi ylöspäin palvelun palauduttua. Katkon ajan vaihtoehtoinen viestittely näkyi selvänä piikkinä tekstiviestien määrässä. Tosin skaalasta ei ole selvyyttä, joten pienikin muutos määrissä voi näyttää radikaalilta. Italialaiselta TIM-operaattorilta nähtiin outo purkaus, jossa syytettiin häiriön aiheuttaneen operaattorille kustannuksia ja liikennemäärän lisääntymistä, samalla laskien sen oman asiakaskokemuksen laatua. Whatsappin olisi ilmeisesti pitänyt informoida tilanteesta paremmin, jotta asiakkaat eivät olisi kääntyneet operaattorin puoleen ongelmatilanteessa. Tunteisiin taisi mennä.

Merikaapeleita on katkeillut epäilyttävän paljon viime aikoina. Zscaler raportoi Ranskassa Marseillen alueelta lähtevien kaapelien katkoista. Korjausporukka oli paikalla nopeasti, mutta poliisin todistusaineiston keräämistä piti odotella. Ongelmat korjattiin alle vuorokaudessa. Samoihin aikoihin Shetlandinsaarten kuitu katkesi sekä Skotlannin että Färsaarten suuntiin, jättäen saaren eristyksiin internetistä useammaksi päiväksi. Ongelmien aiheuttajaksi on arveltu kalastusaluksia. Vaikka kaksi yhtäaikaista katkoa on harvinainen tapaus, mikään ei tässä tapauksessa kuitenkaan viitannut sabotaasiin.

Ukrainassa yhteydet ovat katkeilleet sähkökatkojen vuoksi. Harkovassa liikenne tippui 80%:iin ja Lvivissä 60%:iin normaalista, Kievissä vähemmän. Suomessa media joutui palvelunestohyökkäysten kohteeksi. Almamedian lehtiä  ja Yle Areenaa pommitettiin hetkellisesti.

Etelä-Koreassa konesalin tulipalo aiheutti paikallisille internet-yhtiöille Naverille ja Kakaolle suuria ongelmia ja hankaloitti niihin luottavien kansalaisten toimintaa vuorokauden ajan. Pangyon konesalia Soulin ulkopuolella on kuvattu viimeisen teknologian ekosaliksi. Sen koko on 67000 neliömetriä. Palon sytyttyä sähköt katkaistiin turvallisuussyistä ja palo saatiin sammumaan noin kahdeksan tunnin jälkeen. Valvontakamerasta selvisi, että palo alkoi akun kipinästä. Automaattinen halogeenisammutus lauksesi.

Ranskassa operaattori Free on erikoistunut julkaisemaan tietoa verkkonsa ongelmista. Kuvista selviää miltä näyttää poltettu DSL-jakamo. Aika masentavan näköistä korjattavaa tuollainen sulanut puhelinkaapelispagetti.

Operaattorit ja 5G

Suomi on noussut entistä enemmän mobiilidatan käytön ykköseksi maailmassa. Data-SIM:t luovat 60% kaikesta liikenteestä, vaikka niiden osuus kaikista SIM:eistä on 20%. Keskimääräinen datankulutus per data-SIM on lähes 100 GB, kun puhelimissa se on vain 19 GB. Silti kiinteät liittymät ovat ottaneet johdon Suomessa niukalla 52%:n markkinaosuudella ohi mobiiliin.

Mitä mobiilidata tarkoittaa operaattorille rahassa? Esim. DNA:lla on 2,7 miljoonaa puhelinliittymää, joiden keskilaskutus on 17 euroa kuukaudessa. DNA saa siis liittymistä tuloa reilut 47 miljoonaa kuukaudessa. Mobiililiittymät ovat noin kaksi kolmasosaa yrityksen liikevaihdosta. Prepaid tuottaa paljon vähemmän ja niiden osuuskin on vain alle 10% liittymistä. Parhaiten tuottavat vanhat kiinteät puhelinliittymät, joita on jäljellä vielä 21000. Niistä saa 40 euroa kuukaudessa.

Operaattorilla kiinteät kulut muodostavat yleensä suurimman osan menoista ja investoinneista. Pieni operaattori tekee palvelua rakkaudesta lajiin ja joutuu elämään säästeliäästi. Isommat investoinnit tai äkilliset muutokset voivat heilauttaa taloutta kohtalokkaasti. Amerikan konsulttien mukaan minimi asiakasmäärä täysiveriselle operaattorille on 2000-3000 asiakasta. Suuruuden ekonomia alkaa purra kun asiakasmäärä saadaan nostettua 20000:een. Tällä skaalalla voi toteuttaa parasta operaattoripalvelua. Tietyn rajan jälkeen tehokkuus alkaa laskea, byrokratia hiipii sisään ja johto menettää kosketuksen todellisuuteen. Huonoina esimerkkeinä ovat yli 200000 asiakkaan jättioperaattorit. Koko ei kuitenkaan oli kuin yksi tekijä, toimintafilosofia ratkaisee. Ihan pienille operaattoreille neuvoksi kerrottakoon, että toiminta on paljon helpompaa yli 10000 asiakkaan kanssa.

Elisa alkaa poistaa 3G-verkkoa Hämeenlinnasta tämän vuoden aikana. Projekti etenee vaiheittain ja verkko ajetaan alas ensi vuoden loppuun mennessä.

Pilvinatiivi 5G ja verkon funktiot avataan Robin.io:n videolla. Se on hyvä teknologiakatsaus mitä verkko sisältää.

Boingo Wireless on ottanut ensimmäisenä TIP-jäsenenä avoimen Wifi6E-verkon kaupalliseen käyttöön. Openwifi on 2021 aloitettu avoimen koodin projekti , jolla erilaisia tukiasemarautoja voi käyttää samalla avoimella käyttöjärjestelmällä ja hallinnalla. Facebookin entinen insinööri aikoo rakentaa oman mobiiliverkon. Ukaman laitteilla voi jakaa oman kotiyhteyden LTE:nä muille käyttäjille. Peruspalikka on 799 dollarin Tower node, jolla voi lähettää signaalia kilometrin säteelle omalta katolta.

Suomen ja Cinian sinnikkäästi ajama arktinen kaapeli Euroopan ja Aasian välillä on taas aktivoitu Venäjän kanssa tapahtuneen takapakin jälkeen. Nyt Cinian, amerikkalaisen Far North Digitalin ja japanilaisen Arterian yhteisyritys alkaa haalia asiakkaita ja sijoituksia kaapelille, jonka uusi reitti kulkee luoteisväylää Grönlannin ja Kanadan ohi Japaniin. Hintalappu on erittäin kova 1,1 miljardia euroa ja kaapelin on suunnitelma valmistuvan 2026. Pääsuunnittelijaksi on valittu Nokian Alcatel Submarine Networks. Reitti on nyt 15% pidempi kuin koillisväylän kautta, mutta uuden reitin varrella on parempia rantautumispaikkoja ja enemmän mahdollisia asiakkaita. Asiantuntijat kuitenkin huomauttavat, että arktisen kaapelin ylläpito on vaikeaa jäätiköiden keskellä ja geopoliittisesti jännittyneellä alueella. Suomella tuntuu olevan päähänpinttymä, että kaapelin pää tekee meistä kansainvälisen liikenteen solmukohdan. Saa nähdä miten käy. EU on myös tukemassa hanketta ja haluaa hajauttaa Aasian kaapelireittejä ohi Suezin kanavan keskityspisteen. Arktinen kaapeli on alettu nähdä strategisena investointina ja se sopii välineeksi transatlanttiseen yhteistyöhön. Kaapeleista on tullut osa sotilaallista toimintaa ja se voi myös olla riski internet-infralle. EU:ssa kaapelit on otettu osaksi hybridiuhkien torjuntaa, jossa olennaisena osana on mm. laivaliikenteen satelliittivalvonta. Ja silloin myös Euroopan satelliittijärjestelmälle tulee isompi rooli puolustuksessa.

Laajakaistapuolella kuituhulluus jatkuu. Rahaa syydetään kuidun rakentamiseen, mutta riskinä on kuitenkin kulujen odottamaton kasvu ja rakentamisen viivästyminen. Kuitu nähdään ylivoimaisena tekniikkana, mutta kuidulla on kuitenkin joku elinikä noin 30 ja 100 vuoden välillä. Kaikki verkot pitää uusia joskus. Fyysisesti lasi vanhenee, samoin kuin kaapelin kuori. Huomaamattomat vauriot asennusvaiheessa voivat aiheuttaa ongelmia myöhemmin, varsinkin kuumuuden ja veden kanssa. Kuitu on kaikkein kallein ja työläin rakentaa. Hintaluokka on n. 25000 euroa/km. Pandemia näytti miten yhteystarve voi äkisti muuttua ja siihen ei kuiturakentamisen tahdilla vastata. Siksi muitakin yhteystapoja on hyvä harkita ja valita niistä kuhunkin kohteeseen ja käyttötarkoitukseen sopivin.

Omalla asuinalueella partioi nyt Valokuitunen lähes päivittäin käännyttämässä ihmisiä kuidun tilaajiksi. Asiakkaita on näköjään vaikea saada riittävästi. Elisa kuitenkin tuli ja nokitti halvimmalla tarjouksella. Rakennusaikataulu siirtyisi sen myötä  taas puoli vuotta eteenpäin. Malli on nyt selvinnyt: kuluttajan pitää liittyä ennakkotilaajaksi kaikille tarjoajille. Riittävän asiakasmäärän kerännyt toimija saa alueelle rakennusluvan ja asiakkaat. Muut ennakkotilaukset raukeavat lopulta kun rakennuspäätöstä ei tule. Kuluttajan kannalta vain on epämukavaa kun ei tiedä mitä saa ja millä hinnalla.

Starlinkin satelliittien käytöstä Ukrainassa nousi haloo kun Musk kertoi, ettei voi enää rahoittaa palvelua, jonka hinta on 400 miljoonaa dollaria vuodessa. Musk pyysi rahaa USA:n puolustusministeriöltä ja sanoo jo maksaneensa 70% parhaista 4500 dollarin kuukausiliittymähinnoista. Kieltämättä näyttää, että hyväntekijänä esiintynyt Musk on lypsänyt rahaa valtioilta ja joukkorajoituksesta. Muutamaa päivää myöhemmin Musk kuitenkin taipui ja heittäytyi marttyyriksi luvaten jatkaa rahoitusta. Ukrainaan on toimitettu 20000 terminaalia ja niitä on pyydetty vielä 8000 lisää. Starlink on ollut Ukrainalle tärkeä väline sodassa, mutta se kuitenkin jopa liian riippuvainen satelliittiyhteyksistä, koska niiden häiriöt ovat vaikeuttaneet joukkojen toimintaa “katastrofaalisesti”. Yhteyskatkot ovat olleet yleisiä varsinkin Venäjän haltuunottamilla alueilla. Ongelmat saattavat johtua siitä, että Starlink on yrittänyt estää Venäjää käyttämästä yhteyksiä. Ukraina on käyttänyt Starlinkiä lennokkien ohjaamiseen, tiedottamiseen ja joukkojen väliseen viestintään. Venäjä taas on uhonnut, että Starlinkistä ja sen provosoivasta käytöstä tulee sodan kohde.

Myös suomalainen Iceye on toimittanut kuvamateriaalia satelliiteista Ukrainan käyttöön. Aalto-yliopiston startupista on tullut valtioiden turvallisuusteknologian edelläkävijä (HS-maksumuurin takana). Puhelimissa toimivalla Eppo-sovelluksella ukrainalaiset voivat raportoida lentävistä ohjuksista tai droneista armeijalle ja näin auttaa ilmapuolustuksessa. Loon-ilmapallonetin tekniikkaa ja toimintaa esitellään perusteellisesti Micah Lernerin blogissa.

Starlinkin uusi lentokonenetti Aviation on kehitysvaiheessa ja toimitukset alkavat ensi vuonna. Rahoittaakseen Starlinkiä Musk saattaa irrottaa sen Spacex:stä omaksi yhtiökseen ja tehdä listautumisannin. Kasvun myötä liikevaihdon ennustettavuus paranee ja pääoman kerääminen on luonteva seuraava askel. Spacex:stä haetaan apua myös avaruusteleskooppi Hubblen laskevan kiertoradan korjaamiseen. Hubble on kuvannut avaruutta jo 32 vuotta, mutta sen rata madaltuu jatkuvasti. Spacex:än Dragon-kapseli voisi työntää Hubblea ylös ja astronautit voisivat myös huoltaa teleskoopin laitteita. Näin saataisiin Hubblelle 20-30 vuotta lisää elinaikaa.

Nokian strategia Lundmarkin johtamana näyttää toimivan ja se on nyt tasavertainen Ericssonin kanssa. Panostus yritysverkkoihin on tuonut 22% kasvun liikevaihtoon ja 30 uutta asiakasta tällä kvartterilla. Merkittävää menestystä on tullut Intiassa. Kilpailukyky on parantunut ja toimitusketjun ongelmat ovat helpottaneet, mutta kannattavuus jäi tavoitteesta. Heikko kohta on pilvi – ja verkkopalvelut, joissa on menossa uudistusten ja isojen investointien kausi. Sen vuoksi kannattavuus on heikko. Talouden näkymät operaattoreilla voivat kuitenkin vähentää investointeja, mikä näkyy laitevalmistajien tuloksessa.

Sähkön hinta painaa erityisesti suurtehoisissa radion pitkäaaltolähetyksissä. RTL Luxembourg on lopettamassa LW-lähetyksen vuoden lopussa ja säästää sillä 6000 MWh vuodessa. AM-masto toimii maasta eristettynä kokonaisvärähtelijänä, joka luo ympärilleen kuolleen pisteen. Siksi operaattorit ovat välttäneet näitä mastoja ja niiden ympäristöä. Käyttämättä jääneille ja hyljeksityille AM-mastoille voisi kuitenkin löytyä käyttöä mobiiliverkossa, jos maston ominaisuuksia pystytään hyödyntämään niin, että antennit saadaa eristettyä maasta samalla AM-taajuudella.

Telia syyttää huonosta tuloksestaan kallistuvaa energiaa. Kustannusten ennustetaan nousevan 900 miljoonaa kruunua eli 600 miljoonaa ennakoitua enemmän, kuin kolme kuukautta sitten osattiin ennakoida. Melko huonoa ennustamista. Operaattorit ovat suojanneet sähkön hinnan tälle vuodelle lähes täysin, joten hintojen nousun ei pitäisi nyt aiheuttaa ongelmia juuri nyt. Tilanne voi olla toinen pidemmällä tähtäimellä. Vodafonen tilaston mukaan energiankulutus ei nouse liikennemäärän kasvaessa, vaan pysyy tasaisena. Tehokkuuden lisääntyessä tietysti suhteellinen energiankulutus per bitti laskee.

Pilvi ja konesali

Sähkön hinta nostaa myös pilvipalveluiden ja konesalipalveluiden hintoja jopa 30%:lla. Euroopassa hintojen nousu on suurempaa kuin USA:ssa. Pilvi-investoinnit ovat IT-alan kaikkien aikojen suurin ilmiö, joka vain jatkaa kasvuaan. Julkipilven kärkiseitsikko on investoinut tänä vuonna 140 miljardia dollaria pilvialustoihin. Pilvisiirtymä alkoi halvan rahan aikana, mutta nyt tilanne muuttuu. Yrityksissä paine kustannussäästöihin pilven osalta kasvaa. Wancloudsin tutkimuksen mukaan 81% johdosta ohjaa säästämään pilvikustannuksissa. Tämä on helpommin sanottu kuin tehty. Pilviasiakkaat on vahvasti lukittu valittuun pilveen ja osaajiin, näkyvyys ja hallintavälineet eivät riitä ja hajautunut hybridi- ja monipilvi ei helpota asiaa.

Pilvijättien tulokset on koottu kivasti puroista joeksi App Economy Insightsin tekemissä kuvissa. Google yllätti suurimmalla 38% liikevaihdon kasvulla. Azurella ja AWS:llä on pienoista kasvun laskua nyt alle 30% lukemilla. Markkinaosuudet ovat pysyneet samoina eli AWS johtaa 34% osuudella. Microsoftin ennusteista herää kysymys miten yritysmarkkina voi. Googlen mukaan pitkäaikaset trendit pilvisiirtymässä ovat nyt entistä tärkeämmässä asemassa kun maailmatilanne on epävarma. Kasvun hidastuminen on väistämätöntä, mutta silti pilvijättiläiset jatkavat konesalien laajentamista. Erityisesti Meta panostaa investointeihin tekoälysovelluksiansa varten. Intel ei kuitenkaan niistä hyödy, vaan Nvidia ja AMD ovat ottaneet nyt 50% osuuden prosessorimyynnistä.

Teknoedelläkävijät luopuvat julkipilvestä, mutta silloin usein puhutaan IaaS- ja PaaS-palveluista. Modernit sovellukset olisi pitänyt jo siirtää serverless-funktioille, eikä pyörittää virtuaalikoneiden päällä. Konesalin ja pilven infrainvestointi on vain noin 20% kaikista kuluista. Suurin osa tulee mm. tiloista, sähköstä, työstä ja osaamisesta, joita voi olla vaikea arvioida. Simon Wardleyn kuva pilvimalleista esittää miten niillä ratsastetaan.

Charles Rosenbauer esittää ennustuksia tietokoneiden tulevaisuuteen. Mooren laki on uhannut päättyä jo pitkään, mutta kehitys jatkuu aina vaan. Mutta nopeasti se johtaa entistä kummallisempaan rautaan. CPU:t nopeutuvat vielä pitkään, mutta jatkossa tutut arkkitehtuurit x86, ARM ja RISC-V hylätään. Kvanttilaskenta inspiroi perinteistä laskentaa. Laskennassa vaikuttavat myös Amdahlin ja Gustafsonin lait. Kvanttilaskennassa, kuten supertietokoneissakin, softalla on väliä. Siksi kvanttikoneille pitää rakentaa sovelluskehitysrajapinnat, kuten Intel on tehnyt.

Intel on julkaissut yhdessä Googlen kanssa uuden Mount Evans E2000 DPU/IPU:n. E2000 tekee verkkoliikenteen paketoinnin CPU:n puolesta ja tuo tietoturvaa jaettuihin CPU:ihin. Yhteiskehityksen tuotosta Intel voi kuitenkin myydä muillekin asiakkaille. Kortti on esittelyssä Serve The Homella.

AWS:llä on kattava lista käytännön oppaita eri palveluiden käyttöön. John Savillin Azure-opasvideot on mainittu ennenkin.

Google avaa ensi vuonna ensimmäisen konesalin Japaniin, joka on ollut sen ensimmäinen Amerikan ulkopuolinen toimisto jo yli kymmenen vuoden ajan. Chiba Datacenter on osa 730 miljoonan dollarin investointia ja se liittyy Topaz-merikaapeliin. Suomessa Ficolon konesalit vaihtavat nimeä Verne Global -brändiksi.

Equinix lopettaa muiden kuin yksimuotokuitujen käytön ristikytkennöissään 2024 maaliskuuhun mennessä. Eipä tämän vaikutus ole kovin suuri, muuten kuin ehkä konesalikampuksen sisäisissä kytkennöissä, jos niissäkään. Siirtymäaika on ainakin pitkä.

Konesalien sähkönkulutus on luokkaa 1-5% maailman sähköstä. 2030 osuus olisi kasvunut 3-13%:iin. EU:ta kiinnostaa nyt digitaalisen teollisuuden energian ja veden kulutus. Metan ja muiden jättien konesaliprojekteja on torpattu Euroopassa ja EU suunnittelee nyt energiamerkkiä konesaleille. Ongelmat kärjistyvät kun lämpötilat nousevat ja vedenpinta laskee. Tänä kesänä nähtiin ensi kertaa konesalien suunnitteluarvojen ylitys ja sen myötä on siirrytty tuntemattomille vesille. Jokainen lisäaste lämmössä tarkoittaa 10-15% kapasiteetin menetystä.

Kyberturvallisuus

Tietoturva Ry on jakanut vuoden tietoturvatunnustukset, joista nostetaan jalustalle Traficomin ja operaattorien yhteistyö, Generation Z Hack Challenge, Women4Cyber Finland, kansalaisten kiinnostus maanpuolustusvalmiuden kehittämiseen, asiantuntojoiden jakama tilannetieto ja Flubot-ryhmän alasajo. Vuoden tietoturvapalvelu on JAMK:n kehittämä kyberturvallisuuden harjoitusympäristö (RGCE).

Oulun yliopisto alkaa kouluttaa kyberturvan maistereita ensi keväänä. Painotus on teknisessä osaamisessa eli järjestelmien, ohjelmistojen ja laitteiden suunnittelussa, kehittämisessä, testaamisessa ja arvioimisessa. Koulutus sisältää kuitenkin myös laajojen ja monimutkaisten järjestelmien tutkimista ihmisten ja prosessien näkökulmasta.

Protocol-media on julkaissut Securing Enterprise -otsikon alla sarjan artikkeleita yritystietoturvaan. Peter Welcher vertailee blogissaan zero trustin vaatimaa pääsynhallintaa verkossa ja päätelaitteessa. Näkyvyys IT-ympäristöön johtaa joka tapauksessa parempaa turvallisuuteen, toteavat tutkimukset. Verkko ja tietoturva pitää saada yhteisiin työkaluihin ja siinä perustyökalut, kuten DDI, ovat paikallaan. DDI-tuotteen metatietoja kannattaa myös hyödyntää. Tämän päivän pirstaloitunut kokonaisuus ei ole enää hallittavissa manuaalisesti, vaan siihen tarvitaan automaatiota. Ja automaatio on välttämättömyys myös valvonnassa ja havainnoinnissa.

Nato-hakemuksen jälkeen Suomeen kohdistuvat hyökkäykset ovat lisääntyneet. Määrä on tuplaantunut viime vuodesta, mikä tarkoittaa 1324 hyökkäystä viikottain. Koulutussektori kerää yli kaksinkertaisen määrän hyökkäyksiä muihin toimialoihin verrattuna. Kiristyshaittaohjelmilla isketään nyt erityisesti terveydenhuoltoon.

Ukraina on tehnyt kybertaistelussa yhteistyötä jo pitkään USA:n, Viron ja Microsoftin kanssa. Harjoittelua on saatu vuosien mittaan ja siksi se selviää nyt yllättävän hyvin kybersodassa. Tosin Venäjäkään ei ole ollut parhaassa iskussa ja toiminta on ollut vaisua. Vaikuttavin isku on ollut KA-SAT-häirintä, vaikka sekään ei tainnut ihan täydellisesti onnistua. Venäjän iskut USA:n vaaleihin ja Ukrainaan 2015 olivat virhe, koska se johti monissa valtioissa ja organisaatioissa mittaviin kyberturvaparannuksiin. USA lähetti jo 2015 tiikeritiimejä Puolaan tukemaan kybersotaa. Ukraina on mm. siirtänyt palveluita pilveen ja muihin maihin, jolloin Venäjällä on korkeampi kynnys hyökätä palveluihin.

Microsoftin tuotteilla on vahva rooli Ukrainassa ja yleensä muutenkin IT-järjestelmiä rakentavilla yrityksillä on luonteva osa kyberturvallisuuden varmistamisessa. Näyttää, että yritykset ovat nyt näkyvästi mukana rakentamassa valtiollista tietoturvaa, mutta valtioiden pitää myös muistaa, että yritysten palveluilla on hinta ja kaikkia kuluja ei voi sysätä yritysten harteille. Valtioiden puolesta taistelevat myös hakkeriryhmät.

Jatkuvaa haavoittuvuusvirtaa tuottaa In The Wildin haavoittuvuusfiidi. Pahoja haavoittuvuuksia on ollut taas liikkeellä. Fortinetin tuotteissa autentikoinnin ohituksella pääsee suosittamaan komentojaOpenssl-kirjastossa ollut puskuriylivuotohaavoittuvuus on korjattu. IOS16 näyttää kommunikoivan Applen omiin palveluihin ohi VPN-tunnelin ja se vuotaa myös DNS-kyselyt. Samanlainen ominaisuus on Androidissa. Saksan BSI on kuitenkin sertifioinut IOS:n ja sen natiivit sovellukset tietoturvallisiksi korotetun tason tiedonkäsittelyyn. Avoimen koodin Zeekurity NDR on nyt osa Windowsin Defenderiä.

Hashicorp Cloudiin on lisätty Boundary-tuote, jolla ZTNA-toiminnot saa käyttöön helposti monipilven kanssa. Ilmainen projektiluonteinen mysocket.io on nyt muuttunut Border0-yritykseksi, joka tarjoaa kitkattoman ja turvallisen pääsyn infraan etänä.

Saksalainen kyberturvatalo Protelion kyntää kriisissä kun selvisi, että se on ex-KGB-agentin perustama. Huhujen mukaan yrityksen skannaustuotteella olisi ollut mahdollisuus välittää käyttäjäorganisaation tiedot suoraan Venäjälle ja antaa pääsy verkkoon.

Vaikka SSH on hyvin salattu protokolla, sessiota voi kuitenkin vakoilla hallussa olevalla hostilla strace– ja script-sovelluksilla tai EBPF:ää väärinkäyttämällä.

Tekniikka ja operointi

Aloituslainaus Marinanne Bellottin kirjasta Kill It with Fire: Manage Aging Computer Systems (and Future Proof Modern Ones): “rakennamme tietokonejärjestelmät samalla tavalla kuin kaupungit: ajan mittaan, suunnittelematta ja raunioiden päälle”.

Teknistä velkaa kertyy, vaikka miten yrittäisi estää. Googlella oli sanonta “juosta paikallaan”, jolla tarkoitettiin sitä kun kaikki kapasiteetti menee riippuvuuksien päivittämiseen ja kehitystä ei päästä tekemään ollenkaan. Velkaa voi yrittää korjata migraatioilla, jotka taas vaativat yhteisiä ponnistuksia eri osapuolten kesken. Migraation tekemiseen on tarjolla kaava, jossa ensin poistetaan riskit suunnitteludokumentilla ja sen katselmoinnilla. Sen jälkeen mahdollistetaan muutos työkaluilla ja ohjeilla. Lopuksi finalisoidaan muutos poistamalla vanha järjestelmä käytöstä.

Historian oppitunnilla on tänään Ethernet-enkapsulointi ja sen monet versiot. Historiallista TCP:tä haastetaan jatkuvasti ja QUIC tuntuu olevan moneen sovellukseen ratkaisu. Roku kehitti omaan videokäyttöön paremmin toimivaa siirtoprotokollaa, jolla uudelleenlähetyksien käisttelyä ja luotettavuutta saatiin parannettua. QUIC:n etuna on tehokkuuden lisäksi käyttöjärjestelmäriippumattomuus, jolloin sitä voidaan tuunata suoraan sovelluksessa ja päätelaitteissa.

Klassinen ISC DHCP Server on ajettu EOL-tilaan ja viimeiset päivitysversiot on pukattu ulos. Suositus on tainnut olla jo pitkään siirtyä Kea Serveriin. IETF määrittelee nyt NTPv5:sta ja siihen liittyviä toimintoja.

Tracketpacer koosti mainion listan mitä on käytännön laiteasennnus ja kaapelointi. Sormet verille, selkä kipeäksi ja hermot kireälle. Siinä unohtuu haaveet kaapelipornosta. Onneksi asennukseen löytyy apua mm. kokemuksesta, varautumisesta, näppäristä työkaluista ja tarvikkeista.

Pete Lumbiksen tarina TAC-keikasta taas kuvaa mitä valmistajan tukiprosessin taustalla tapahtuu. Asiakkaalla oli hankala satunainen ongelma. Labrassa reittiohjelmointiin liittyvä ongelma saatiin toistettua ja kohdistettua laitteen CPU:hun. Mutta kun asia vietiin kehitystiimille, viesti oli että CPU tekee tehtävänsä kuten pitää. Alustatiimi vahvisti, että CPU laskee, mutta se ei selitä pakettihäviöitä. Selvisi, että softa ja rauta eivät toimineet synkassa, siksi osa ping-testeistä toimi jo ohjelmoiduille reiteille, osa ei. Kuinka pitkä katko reittimuutoksesta siis tulee? No se riippuu reittien määrästä ja järjestyksestä, alla olevasta raudasta ja softan suorituskyvystä. Ja mikä oli lopputulos? Klassinen kommentti: “odotettua käytöstä”.

Ciscon Nexus 9300 -kytkimiin on eksynyt 2020 loppupuolella viallisia DIMM-muisteja, jotka saattavat aiheuttaa ongelmia laitteen toimintaan. Cisco on käynnistänyt vaihto-ohjelman.

VXLAN-verkossa pakettikoko saattaa aiheuttaa kinkkisiä ongelmia, koska lähtöpään VTEP:llä ei ole mitään keinoa kertoa lähettäjälle mikä on suurin sallittu koko. VXLAN aiheuttaa 50 B lisää paketin päälle ja RFC:n mukaan VTEP ei saa fragmentoida pakettia. Niinpä liian isot paketit tippuvat hiljaisesti matkalla, laskurit saattavat kertoa asian, tai sitten ei. Isoissa IXP:eissä BUM-liikenteen taustamelu on valtavaa, ja sen levitystä ympäri verkon pyritään minimoimaan kehittyneemmällä verkkotekniikalla. DE-CIX on ottamassa käyttöön ensimmäisenä IXP:nä EVPN-MPLS -peering lanin. Lisäksi mukaan laitetaan ehkä hieman vanhahtava RSVP-TE, jolla voidaan tehdä liikennesuunnittelua.

Sonic-käyttöjärjestelmän ympärille on syntynyt uusi startup Hedgehog, joka tuli nyt julkisuuteen. Tavoitteena on olla verkon Redhat eli avoimen koodin kaupallistaja. Tarkoitus on tuoda Sonic massoille lisäämällä sille paremmat hallintatyökalut ja helpottamalla sen käyttöä myös yrityksissä. Sonic pyörii nyt yli 100 eri kytkinmallilla ja yhteisössä on 850 jäsentä. Hedgehogin takana ovat ex-ciscolaiset Marc Austin ja Mike Dvorkin, sekä ex-apstra/cumuluslainen Josh Saul.  Dvorkin tunnetaan Ciscon ACI-stragian arkkitehtina. Aiemmin avoimia verkkoja on vaivannut pettymykset, mutta nyt Hedgehogilla on selkeä näkemys liiketoimintastrategiasta: mahdollisimman paljon avointa koodia jakoon, helppo käyttöönotto ja päälle kaupalliset hallinta- ja automatisointituotteet. Sonicin mahdollisuutena yrityspuolella nähdään pilven kotiuttaminen ja vaikeammat työkuormat, joita pitää ajaa omassa infrassa. Sonic perustuu pilvimaailmaan, jossa toimitaan eri tavalla kuin perinteisessä verkossa. Siksi on kiinnostavaa kuulla “uuden verkon” periaatteet: sovellus määritellään YAML-tiedostoina ja verkko muodostuu sen mukaan. Sovellukset siirtyvät enemmän Kubernetesin päälle ja siten myös enemmän puhtaaseen L3-verkkoon. Hinnoittelumalli perustuu klusterien nodejen määrään, ei kytkinten määrään tai ominaisuuksiin. Myynti tapahtuu nyt pilviarkkitehdeille, ei perinteisille verkkokavereille. Hedgehog on testausvaiheessa ja automaatiotuote on tulossa ulos ensivuoden alussa.

Marvell on hyödyntänyt Sonicia tallennusverkkoratkaisussaan. EBOF-käytössä suorituskykyä on saatu parannettua vaihtamalla CPU, RAM ja Smartnic Ethernet-kytkimeksi. Sonic toimii myös ARM:lla, joten sitä voi käyttää halvemman luokan sulautetuissa laitteissakin. Ja tietysti myös DPU/IPU/Smartniceillä. Sonicilla saa laajemman telemetrian ja näkyvyyden palvelunlaatuun ja vianselvitystä helpottamaan. Ebayn Isaac Aldrin esittelee omia kokemuksia Sonicista yritysverkossa. Kokemus on ollut pääasiassa hyvä, mutta teeseitse-henkeä ja yhteisön tukea näissä hommissa vaaditaan.

IETF on saanut määriteltyä viiden vuoden jälkeen Intent-based Networkingin konseptit ja termit. Ne löytyvät nyt RFC9315:sta.

Marvell on pukannut tuotekehityksestä ulos 400/800G-AEC-kaapelit. PAM4-modulaatiota käyttäen aktiivikuparikaapelilla päästään muutaman metrin pituuksiin kustannustehokkaasti. Käyttökohde on palvelinkytkennöissä.

BGP:stä ja reititysongelmista on tullut yhteiskunnallinen asia. Nyt jopa OECD on julkaissut selvityksen BGP-häiriöistä ja reitityksen suojaamisesta. Ongelma on tuttu, kuten myös välineet sen hoitamiseen: reittien oikeellisuuden varmistusta ja suodatusta. Ongelma vaan on se miten saada kaikki mukaan, koska internetissä yksin ei pysty koko ketjua suojaamaan. Myös täysin uudenlainen akateeminen kehitelmä SCION on nostettu esiin, mutta se tuskin tulee ratkaisemaan mitään. ASPA taas on vaihtoehtoinen RPKI:n päällä toimiva AS-polun autorisointiobjekti, jota operaattorit voisivat käyttää reittimainostuksissaan.

RPKI:n julistaminen rikkinäiseksi on herättänyt närää internet-yhteisössä. Töitä on tehty asian eteen ja RPKI:n 40% kattavuus on kuitenkin kohtalaisen hyvä. Salliva “fail open” -toimintamalli takaa toimivuuden siirtymäaikana. Pääosa internetin liikenteestä suuntautuu kuitenkin RPKI-valid -reitteihin. Reittimainostuksen toteaminen RPKI-invalidiksi leikkaa mainostukset puoleen, joten vaikutus on merkittävä. Job Sniders ja Doug Madory avaavat blogissan miten RPKI-validointi vaikuttaa reittien leviämiseen ja Madory vielä havainnollistaa asiaa lisää. Vaikka BGPsec on ollut paperilla jo pitkään, se on toteutukseltaan vielä tuore ja vasta tulossa käyttöön seuraavien vuosien aikana. Ciscon BGP Zero to Hero osa 8 esittelee perus suodatusmenetelmiä Cisco-laitteilla.

BGP:ssä AS-polun pituus on yksi bugeja triggeröivä ominaisuus. Quaggassa 500 AS-prependiä aiheutti virhetoimintoja, mutta bugi korjaantui 1.2.4-versiossa. BGP:n historiassa RFC1105:ssa määriteltiin, että saman AS:n sisällä reitittimillä pitää olla yhteinen näkemys reiteistä. Toteutustapa jätettiin auki. Ensin BGP reititit redisdtribuutattiin IGP:hen, jotta kaksi protokollaa toimivat synkassa. Oikeastaan IBGP:tä ei silloin tarvittu ollenkaan jos reitit redistribuutattiin molempiin suuntiin BGP:n ja IGP:n välillä. Tämä ei ollut kovin toimiva ratkaisu ja vaihtoehtoinen tapa oli IGBP full mesh -peeraus kaikkien reititinten kesken. Isommalla reititinmäärällä sekin oli huonosti skaalautuva malli. 1996 esiteltiin route-reflector ja confederation. Confederation oli todella kömpelö ja huonosti mukautuva ratkaisu, jota harva ikinä käytti. Route-reflector jäi elämään ainoana toimivana ratkaisuna. Tosin nyt EVPN:n myötä mukaan luupinestoon on tulossa myös D-PATH -attribuutti, joka toimii kuitenkin minkä tahansa osoiteperheen kanssa.

Työkalupuolella Packetvis on RPKI:n reaaliaikamonitori, jolla voi valvoa BGP- ja RPKI-tapahtumia. Netboxin forkki ja kilpailija Nautobot sisältää nyt useita malleja BGP:n dokumentointiin ja seurantaan. Ranskalaisoperaattori Freen kehittämä flow-keräin ja visusualisointityökalu Akvorado tulee kilpailemaan avoimen koodin markkinoille perinteisen pmacct:n rinnalle. Wiresharkista on julkaistu 4.0.0-versio. Näyttöfilttereissä voi käyttää emojeita. Erilaisia verkkopalveluita saa palveluna pilvestä yhä enemmän. RADIUSaaS tarjoaa radiusta ja Netyce Network Compliance as a Service -palvelua. Jos palvein- ja konfiguraatioautomatisointi kiinnostaa, Ansible for Devops -kirjaa voi nyt ladata ilmaisesksi.

Yritykset ja tuotteet

Greg Ferro keskustelee quiet quitting -ilmiöstä ja hääräämiskulttuurista Packet Pushersin Heavy Strategy -podcastissa. Resursseja kybertyönhakuun löytyy Offensive Securityn Twitter-ketjusta, jossa vinkataan CV:n laadintaan, haastatteluun valmistautumiseen ja muuhun orientoitumiseen. CV:n rakentamiseen löytyy netistä ilmaisia työkaluja.

Saksalainen rahasto panostaa digitaalisen infrastruktuurin teknisen suvereniteetin rakentamiseen avoimen koodin ympärille. Pilottirahoitukseen ovat päässeet mm. Openssh, Openpgp, Curl, Wireguard ja Openbgpd.

25G-verkkokorttien toimitusmäärät ovat ylittäneet 10G-korttien määrän. 25G-korttien myynnin kasvu on ollut kovaa 60%:n vuosikasvulukemilla. Palvelinpuolella 50G ja 100G ovat myös nousussa ja siksipä 25G:n kasvuluvut tuntuvat vieläkin vaikuttavimmilta. Vastaavasti kytkinpuolella 25G-portit ovat ohittaneet 10G-portit toimitusmäärissä. Tosin yleensä konesalikytkimissä portti tukee molempia nopeuksia.

Tietoturvayhtiö Crowdstrike haluaa laajentaa tonttiaan IT-kentällä. Yhtiön tuotteen pohjana on pilvinatiivi sovellusalusta, johon voi helposti lisätä ominaisuuksia. Tällä ratkaisulla Crowstrikestä voi tulla ensimmäinen täysin integroitu sovellusalusta kyberalalla. Integroitu ratkaisu tehostaa toimintaa sekä yhtiön että päätelaiteagentin päässä. Nyt kasvava alue on tiedon havainnointimoduli, joka perustuu Humiolta ostettuun tuotteeseen. Havainnointia voidaan tehdä laajemmin kaikentyyppiseen IT-dataan ja toiminnot eivät rajoitu vain tietoturvaan. Kiva nähdä, että alalla aletaan nyt tajuta tietoturvan olevan tiedonsaanti- ja käsittelyongelma, ja että koko IT-kenttä linkittyy tietoturvallisuuteen ihan perustasolta asti. Crowdstriken toinen panostuskohde voi olla sovellusturva, jota asiakkaat kaipaavat. Crowdstrikella ei  kuitenkaan ole haluja lähteä verkon puolelle tekemään tietoturvaa, vaan se keskittyy päätelaitteisiin ja työkuormiin.

Fortinet on yhdistänyt pilvi-SSE:n palomuureihin integroiduksi ratkaisuksi ja markkinoi itseään ainoana tällaisen yhden kokonaisuuden tarjoajana. Uutta on pääsy yksityisverkkoon FortiSASE:n, SD-WANin ja ZTNA:n avulla. Lisäksi FortiSASE:n SaaS-palveluiden käytön valvontaa ja kontrollointia on laajennettu.

Loihde osti pilviyhtiö Onregon ja vahvistaa sillä digiprojektien ja pilvitietoturvan kehittämisvoimaa. BLC ja OP:n rahasto investoivat Itä-Suomen elinvoimaisuuteen rakentamalla valokuituverkkoa 80 miljoonalla eurolla. Alueella on keskimäärin huonompi tilanne nopeiden verkkoyhteyksien saatavuudessa, kuin muualla Suomessa.

Juniper yllätti hyvällä tuloksella Q3:lla. Toimitusketjun ongelmat helpottavat ja kysyntä on kovaa varsinkin tietoturvapuolella. Panostus pilveen ja tietoturvaan on tuottanut hedelmää. Myös pilvikonesalien puolella on mennyt hyvin ja pilvijättien viisikko on ostanut tavaraa innokkaasti. App Economy Insightsin tulosvisualisoinneista löytyy teknoyhtiöitä, esimerkkinä Cloudflare, Arista ja Crowdstrike. Ennätyksellisen hyvin meni Aristallakin.

Internet

Internetin rakennetta voi analysoida ja kuvata sosiopoliittisesti. Louise Drulhe rakentaa 15 hypoteesin kautta kuvaa internetin sosiaalisista, poliittisista ja taloudellisista ongelmista ja suhteista.

Amerikan internet-rekisterin ARIN:n historia juontaa juurensa 1960-luvulle ARPANET:n aikohin. Vasta 1992 hallinnon verkko ja kaupallinen internet päätettiin erottaa ja ARIN perustettiin. Euroopassa RIPE perustettiin 1989. ARIN 50 -konferenssi kokosi pitkästä aikaa alan ihmiset Hollywoodiin.

Nettineutraliteettikeskustelu velloo ja jakaa osapuolia. Operaattorien etujärjestön ETNO:n vetoomuskirjeen allekirjoittivat 16 jäsentä, loput kymmenen eivät. Elisa ei ollut tukemassa vetoomusta. EU:n riippumaton sääntelyelin BEREC sanoo, että teknojäteillä ei ole mitään syytä maksaa operaattorien pyytämää 40 miljardin euron vuosilaskua. EU komissaari Thierry Breton kuiten ajaa toista linjaa entisenä France Telecomin pääjohtajana. Historia toistaa itseään. Tällainen episodi nähtiin myös kymmenen vuotta sitten. Traficom on laatinut verkkoneutraliteetin vuosiraportin. Traficomin tehtävänä on valvoa tasapuolisuuden toteutumista Suomessa ja suuntaviivat tulevat EU:n BEREC:ltä.

Myös Intiassa Bharti Airtel vaati kymmenen vuotta sitten Youtube-liikenteestä maksua. Anurag Bhatia selvittää miten OTT-liikenne ja maksullinen peeraus toimii. Niin kuin on moneen kertaan todettu, OTT-liikenne suuntautuu operaattorien maksaville asiakkaille. Sisällöntuottajat optimoivat jakelun CDN-välityspalvelimilla ja peerauksilla operaattorien kanssa. Maksullinen peeraus on jo todellisuutta sisällöntuottajien ja operaattorien välillä. Lopulta kuitenkin käyttäjä aina maksaa palvelusta.

Etelä-Korean parlamentissa verkkomaksulaista on käyty kovaa kiistelyä. Laki kuitenkin on vielä kaukana toteutumisesta. Koreassakin tajutaan, että sisältöjen verkkomaksut saattavat hankaloittaa kotimaista sisällöntuotantoa parin kotimaisen operaattorin suojelemiseksi.

EU on huolissaan Carrier-Grade NAT:n vaikutuksista verkkorikollisuuden selvittämisessä. CGN:llä saman ip-osoitteen taakse natataan suuri joukko käyttäjiä. 90% mobiiliverkoista ja 50% kiinteistä käyttää CGN:ää. Työryhmä on sitä mieltä, että rikostutkimus on epäonnistunut CGN:n käytön takia, koska ip-osoitteita ei ole pystytty tarpeeksi hyvin yhdistämään käyttäjiin. Ratkaisuksi esitetään yhteistä sitoutumista CGN:n käytön vähentämiseen, lähdeporttien lokitukseen tai ipv6:n käyttöönottoon. Rikostutkimuksen kannalta ip-osoitteiden käyttö ainoana identifioivana tekijänä tuntuu päättömältä. Sama kuin tietoturvassa luotetaan pelkkään ip-osoitteeseen. Ehkä olisi aika päästä sovellustasolle tai löytyää käyttäjä jollain muulla tavoin. Käyttäjän tunnistaminen ei ole verkon tai verkkoprotokollan tehtävä.

Internetin energiankulutusta selvitetään ja kulutuksen vähentämiseen etsitään ratkaisuja. Apnicin blogissa listataan IETF:n saavutuksia tällä saralla. Mielenkiintoinen konsepti on energiaohjautuvat ohjauskerrokset. Jo 2013 aloitettu ideointi on nyt neljännellä kierroksella. Tavoitteena on ohjata verkon  toimintaa energiankulutuksen optimoimiseksi esim. kapasiteettia vähentämällä, venyttämällä reittejä pidemmille ja kustannustehokkaammille reiteille, poistamalla rinnakkaisia varareittejä käytöstä ja laittamalla linkkejä lyhyeksi ajaksi mikrouneen.

Tapahtumat

RIPE85:ssa ja ARIN50:ssä käsiteltiin internet-asioita.

Open Compute Projectin vuosikokoontumisen OCP Global Summitin videoilla puhutaan palvelin- ja konesaliasioista.

Kuukauden valeuutinen

Varo internetin itseoppineita wannabe-tuutoreita. Harsha Vardhan opasti netissä ip-osoitteen saloihin: osoitteen ensimmäinen oktetti kuvaa maata, toinen osavaltiota, kolmas ISP:tä ja neljäs laitetta.  Tieto oli kuulemma peräisin intialaisen firman videolta ja Harsha oli itse vasta aloittelija vailla parempaa tietoa. Näin se harmitonkin väärä tieto lähtee leviämään. Harsha kuitenkin kiitti oikaisusta, myönsi olevansa väärässä ja poisti postauksensa. Välillä tuntuu, että somen verkkoyhteisö voi olla aika julma ja tuomitseva, tai ainakin kovasanainen, tai ainakin jotkut persoonat.

[FI] Tietoliikennealan katsaus 2022-09

Ongelmat

Kalifornian helle sulatti Twitterin konesalin Sacramentossa. Vuodettujen tietojen mukaan Twitter joutui “varmistamattomaan” tilaan, koska toiminta oli vain kahden muun konesalin varassa Atlantassa ja Portlandissa. Häiriö näissä olisi voinut katkaista koko Twitterin palvelun osalta käyttäjistä. Kaikki tuotannon muutokset ja päivitykset oli jäädytetty, kunnes infran jatkuvuus olisi saatu riittävälle tasolle. Vuodetusta tiedosta on herännyt kysymys Twitterin infran haavoittuvuudesta, vaikka 2020 se julkistikin kumppanuuden AWS:n kanssa.

Ranskassa kuidunleikkaajat jatkavat toimintaa. Nyt Perpignanissa on sabotoitu kaapeleita ja siitä on aiheutunut internet-katkoja.

Cloudflare on joutunut keskelle internetin sananvapaustaistelua Kiwifarms-keskustelufoorumin kanssa. Kiwifarms on keskittynyt ihmisten kiusaamiseen ja meni niin pitkälle, että toiminta alkoi uhata ihmishenkiä. Cloudflare joutui sulkemaan hostaamansa alustan Kiwifarmsilta. Näissä tapauksissa aina tasapainoillaan alustan, sisällön ja sananvapauden välillä, ja päätökset eivät ole helppo ja selkeitä. Nyt raja ylittyi ja alusta suljettiin. Samaa mieltä on esim. NS1 ja se peräänkuuluttaa teknologia-alustoilta toimia paremman internetin puolesta. HS Vision tutkimuksissa (maksumuurin takana) kävi ilmi, että pahamaineiset äärioikeistolaiset 8kun ja Daily Stormer ovat olleet myös Wanwatechin asiakkaita. Vanwatechille palvelinkapasiteettia on myynyt helsinkiläinen Nikolai Viskarin pyörittämä Crea Nova Hosting Solutions. Crea Novan “riskialtis” asiakasprofiili on poikinut lukuisten poliisien ja toimittajien yhteydenottoja. Crea Nova tunnetaan 2009 tapahtuneesta Nordvpn-hakkeroinnista. Lopulta painostuksen jälkeen Viskari saatiin sulkemaan Vanwatechin palvelimet yhdessä Hollantilaisen palveluntarjoajan kanssa. Ehkä myös Vanvwatechin liikenteen kääntyminen Suomeen kautta pelästytti yrityksen. Kiwifarmsilla tapahtui myös hakkerointi, jonka vuoksi käyttäjät panikoivat identiteettinsä paljastumisesta.

Hostaajien ongelmaa sisällön kanssa kuvaa paljastus, jossa DDoS-palvelua pyöritettiin Cloudflaren palveluilla. “Neutraalit suojauspalvelut” suojasivat myös haitallisia palveluita ja kärjistäen voi sanoa, että  Cloudflare levittää tautia, johon se myy hoitoa.

Iranin protestit ovat johtaneet internet-sulkuihin. Maan mobiilioperaattoreiden verkkoliikenne on tippunut öisin useana päivänä peräkkäin ja pääsy some-palveluihin on estetty. Viestintäministeri syytti katkoja tietoturvauhkista. Starlink on taas rynnännyt apuun aktivoimalla palvelun iranilaisille, mutta hallitus on blokannut pääsyn Starkinkin webbisivulle.

Operaattorit ja 5G

DNA on aloittanut kupariverkon purkamisen Varsinais-Suomesta ja Satakunnasta. Valmista tulisi olla koko Suomen osalta 2025. Lankaverkon asiakkaita ei ole paljoa, mutta yhteyksiä voi olla käytetty erilaisiin tarkoituksiin, kuten mm. kirkonkellojen ohjausjärjestelmään. Tefficientin tilastoissa DNA:n asiakkaat käyttivät eniten mobiilidataa Euroopassa, keskimäärin 43,6 GB kuukaudessa. Toisena olivat Elisan asiakkaat 36 gigatavulla. DNA:n sponsoroimassa Tefficientin raportissa kuvataan tarkemmin mobiilidatan kautta 2021-H1/2022

Telia on ottanut “oikean” 5G standalonen kaupalliseen mobiililaajakaistakäyttöön ensimmäisenä operaattorina maailmassa. Samalla otettiin käyttöön taajuuksien yhdistely. Nokian uudella ohjelmistolla standalone-verkkoa on mahdollista viipaloida kiinteissä liittymissä. Päivityksen myötä verkon viive vähenee, yhteys on vakaampi ja energiatehokkuus paranee.

Miksi 5G-standalonen tulo on kestänyt niin pitkään? Teknisesti taustalla on useita muutoksia. Pilvinatiivi infra on vaikeampi toteuttaa kuin monet kuvittelevat. Myös 5G-core on monimutkainen toteutus komponentteineen ja rajapintoineen. Sopivia taajuuksia pitää olla saatavilla, jotta radioverkon signalointiin ja uplink-kapasiteettiin voidaan varata riittävästi resursseja. Taajuusyhdistely vaatii myös paljon taajuuksia. Standalonea hyödyntävät päätelaitteet ovat vasta tulleet markkinoille ja valikoima on suppea. Liiketoimintapuolella pitäisi löytää joku myyvä tekijä, joka vaikuttaisi asiakkaan ostopäätökseen. Tietoturvariskit pyörivät myös 5G:n ympärillä. CISA on selvittänyt raportissaan O-RAN -arkkitehtuurin tietoturvariskejä.

Monesti Etelä-Koreaa pidetään mobiilidatan mallimaana, mutta OECD:n raportissa Korealla on huono suunta: yhteyksien nopeus ja viive huononivat, kuluttajahinnat nousivat dramaattisesti, sisältö keskittyi vahvasti ja verkkoinvestoinnit vähenivät.

Kuitumarkkinoilla tanskalainen vertailu jättää Suomen pohjalle pohjoismaiden ja Euroopan tilastoissa. Mobiilissa Suomi loistaa, mutta kuitumenestyksen avaimia, edullisia kuituliittymiä ja rakennuskustannuksia, ei ole saatu Suomessa toteutettua. Sain juuri Täyskuidulta ilmoituksen, että omalla alueella ei ollut tarpeeksi kiinnostusta, joten nyt asukkaiden pitäisi lähteä kampanjoimaan kuitulähettiläinä alueelle haalimaan lisää tilaajia. Valokuitunen kävi heti perään markkinoimassa omaa tuotettaan ja täytyy sanoa, että kuluttaja on aika hukassa näiden epämääräisten sitoumusten ja epävarman tulevaisuuden kanssa. Lisäksi alaa hämmentää yhtiöiden, brändien ja taustarahoituksen soppa. Täyskuitu muutti nimensä ja on nyt Valoo. Blogissa selitetään miksi rakentaminen on pitkä prosessi.

USA:n viranomaiset ovat puskeneet BGP-reitityksen turvallisuuden parantamista operaattoreille, koska ne eivät ole tehneet tarpeeksi suojaustoimia kovenevassa kyberkentässä. MANRS eli yhteiset hyvät reitityskäytännöt pitäisi olla ainakin vähimmäislähtökohta. Lisäksi RPKI ja BGPsec on esitetty vaatimuksina. Suurimmat operaattorit ovat hanganneet vastaan. Verizon mukaan internetissä ei voi kansallisilla määräyksillä ratkaista kansainvälistä tietoturvauhkaa ja operaattorien olisi saatava ratkaista omat asiansa omien lähtökohtiensa mukaan. Turvallisuuden parantaminen voisi maksaa operaattoreille liikaa. Operaattorien etujärjestö on tietysti sanonut, että FCC:llä ei ole laillista oikeutta sanella BGP-tekniikan toteutustapoja. Teknoyhtiöistä mm. Fastly on ilkkunut operaattoreille ja kannattaa ehdottomasti turvallisuuden parantamista.

Iphone14:een lisättiin satelliittipuhelut, joita voi toistaiseksi hyödyntää hätäpuheluihin missä päin maailmaa tahansa. Huaweilla on samantyyppinen palvelu Mate50-puhelimissa ja Cat-puhelimiin vastaava palvelu on tulossa ensi vuonna. 5G-standardoinnissa Qualcomm, Ericsson ja Thales ovat kehittämässä satelliittiyhteyksiä. Opensignal on analysoinut satelliittipuheluiden tarvetta ja mahdollisuuksia. Yllättäen suurimmat katveet signaalissa löytyvät Euroopasta Ranskasta, Iso-Britanniasta, Saksasta ja italiasta, sekä Pohjois-Amerikasta. Toistaiseksi satelliittipuhelut ovat rikkaiden ihmisten ja maiden herkkua. Teknisesti ongelmina on nopeasti liikkuvat satelliitit ja signaalin laatu sekä puhelimien rajoittunut akkukesto. Nyt yksinkertaiset lyhytviestipalvelut vastaavat SMS:ää 1990-luvulla. Katvealueiden peittoon on olemassa muitakin vaihtoehtoja ja alan yritysten pitää ymmärtää myös wifin, antennijärjestelmien ja piensolujen merkitys kokonaisuudessa. Myös roamingilla voidaan ratkaista verkkojen välistä puutetta peitossa.

Applen palveluista tulee yleensä normeja, vaikka satelliittipalvelu on herättänyt reaktioita puolesta ja vastaan. Ainakin satelliittialalle on tullut kuhinaa. Kun puhelinten tekninen kehitys sakkaa, Apple on löytänyt polun palveluista ja yksityisyydestä, joilla sitoa asiakkaita mahdollisimman paljon omiin tuotteisiinsa. Näillä on arvoa ainakin kehittyneillä markkinoilla hyvin maksavien asiakkaiden keskuudessa. Tekstiviestipalvelu on käyttäjille ilmainen ainakin kaksi vuotta ja Apple maksaa satelliittikustannukset, jotka ovat sille melkoinen investointi. Palvelu toimii Qualcomin modeemilla, joten sen käyttö olisi mahdollista muillekin valmistajille, mutta toistaalta se sitoo Applen Qualcomiin. Globalstar on varannut 85% satelliittikapasiteetistaan Applelle luultavasti jollakin kilpailua rajoittavalla sopimuksella. 5G NTN tekee myös tuloaan ja tässä leirissä ovat ainakin T-Mobile ja Starlink. Niillä on kuitenkin hankaluutena skaalata palvelua maailmanlaajuiseksi ja niiltä puuttuu ansaintalogiikka. Applen julkaisuun on vaikea vastata nopeasti, joten Applella on nyt etumatka ja se voi laajentaa palvelua kevyesti uusiin toimintoihin.

Blueoriginin raketti tuhoutui Texasin autiomaahan minuutin laukaisun jälkeen. Musk hauskuutti taas maailmaa onnitellen Nasan satelliitin törmäytyksestä asteroidiin. FCC on yrittänyt hallita debristä ja tehdä tilaa avaruuteen lyhentämällä satelliittien poistoaikaa, mutta operaattorit tietysti vastustavat sitä. Huhut kertovat, että Starlinkin sateliittien väliset ISL-linkit olisi aktivoitu usean maan käyttäjille. Mike Puchol on yrittänyt mallintaa Starlinkin kapasiteettia ja samalla ymmärtää teknologian toimintaa. Blogissa selvitetään miten satelliittiteknologia toimii.

Web3-operaattori Helium ei ole saanut luotua liikevaihtoa ja sen työntekijät näyttävät kuitenkin keränneen kymmenien tai satojen miljoonien dollarien arvosta tokeneita omiin lompakoihinsa. Yleensä kryptofirmat antavatkin investoijille ja perustajille tokeneita palkkioksi, mutta ne ilmoitetaan julkisesti. Helium on toiminut läpinäkymättömästi ilman tiedotusta. Yhteisölle on jäänyt vain reilut 30% järjestelmän tokeneista.

Pilvi ja konesali

Pilven hyötykäyttö tulee epäonnistumaan, koska osaamista ei ole riittävästi, kirjoittaa Gartnerin Lydia Leong. Yleisesti ottaen pilveen siirtyessä tavoite on muuttaa sovellukset mahdollisimman pilvinatiiveiksi ja se vaatii uudenlaista osaamista pilvipalveluista ja automaatiosta. Kun osaamista ei löydy, niin IT:ssä alkaa näkyä järjestelmällinen pilvitavoitteista luisuminen ja pilvisiirtymien peruuntuminen. Myöhäiset omaksujat eivät pysty edes hyödyntämään ulkopuolista apua ja ulkopuolisiinkin resursseihin perustetut suunnitelmat on tuomittu epäonnistumaan. Omien tai ulkoisten osaajien hankkimiseksi pitäisi oman yrityksen toiminta saada kuntoon ja työt mielekkäiksi, jotta kukaan niitä pystyisi tekemään.

Toinen Leongin pointti on yritysten pilvistrategiat. Strategiat voivat olla jopa satasivuisia opuksia täynnä epämääräistä bisnesjargonia ja itsestäänselvyyksiä ketteryydestä, innovatiivisuudesta, kustannustehokkuudesta, käytettävyydestä, turvallisuudesta ja muusta. Pilviperiaatteet pitäisi olla jollain tavalla priorisoituja ja valintoja ohjaavia, jotta niiden perusteella voisi tehdä käytännön valintoja ja ratkaisuja.

Forrester on luokitellut virtuaalikoneet vanhentuneeksi ja riskialttiiksi teknologiaksi. No, tilanne ei taida olla yrityksissä kuitenkaan niin selvä. Forrester varoittaa Vmwaren tulevaisuudesta, mahdollisesta hintojen noususta ja kehityksen hidastumisesta. Muita riskaabeleja teknologioita ovat devops manuaalisella integroinnilla, itsenäiset kapasiteetin- ja omaisuudenhallintajärjestelmät, tuottamattomat liiketoimintasovellukset, yksittäiset ratkaisut datanhallintaan ja privaatti-5G. Yleisesti ottaen suositellaan investoimaan tuotteisiin, jotka optimoivat kustannukset ja lisäävät tuottavuutta. Pilvioptimointi on yksi niistä, tekoälyavustimet, CMDB:t ja pilvidata-alustat muita hyviä tuotteita.

Pilvialueiden valinnat tehdään usein mutu-tuntumalta. Maantieteellinen etäisyys ei aina vastaa todellista viivettä. Utku Demir on luonut viivedataan perustuvan mallin, jolla voi valita lyhyimmän viiveen pilvialustan ja myös minimoida käytettyjen pilvialueiden määrään optimaaliseksi alle viiteen.

Edgestä on lupailtu pilven suorituskyvyn parannusta, mutta asia ei ole niin itsestään selvä. Ensin pitäisi ymmärtää sovellus ja mitä hyötyä edgestä olisi sille. Teknisen toteutuksen puolella suurista laitemääristä ja tiedon käsittelystä tulee helposti skaalausongelmia. Kaikista tärkein asia on koko armadan hallinta, joka pitäisi saada tehokkaaksi.

Eurooppalaiset pilvet kasvavat, mutta häviävät silti markkinaosuudessa, kertoo Synergyn tutkimus. Pilvidatan herkkyys alkaa nousta esiin Euroopassa. Tanskassa Googlen alustat on kielletty kouluissa ja Google Analytics GDPR:n vastaisena neljäntenä maana Euroopassa Itävallan, Ranskan ja Italian perässä. IDC:nkin mukaan Eurooppa vaatii nyt datalta suvereniteettiä. Toinen vaatimus on palautumiskyky kyberhyökkäyksistä. Iso-Britanniassa Ofcom arvioi pilviä, viestintäpalveluita ja laitemarkkinoita kilpailun osalta.

Jos ymmärrät paremmin viktoriaanista englantia, tässä AWS:n palvelut selitettynä sillä. Pilvestä ja AWS:stä voi poimia hyviä periaatteita sovellusominaisuuksiksi. Tagit, ID:t, rajoitukset ja sivutus auttavat tiedon ja palveluiden hallinta ja tekevät niistä käyttäjäystävällisempiä. Microsoft on julkaissut eCDN-yritysjakeluverkon. Se perustuu ostetun Peer5-yhtiön vertaisverkko-CDN- ja webrtc-tekniikkaan. Avaruussovelluksille Azure Orbital on saanut kolme ominaisuuspäivitystä.

Cloudflare on viettänyt synttäriviikkoja uusien lanseerauksien kera. Fastly on nokittanut omalla yksityisyysviikollaan.

Kyberturvallisuus

Cloudflare on julkaissut SASE:n mobiiliverkoille osana One-tuotettaan. Sillä operaattorikumppanit voivat toteuttaa zero trust -palveluita käyttäjilleen. Toinen aluevaltaus on zero tust SIM-kortille.

Pitäisikö julkiseen wifiin luottaa vai ei? Se vähän riippuu. VPN:llä on turvassa paikallisilta hyökkääjiltä, mutta yksityisyysdata siirtyy VPN-palvelulle, jonka maineesta taas riippuu sen luotettavuus. Tietoturvapuritanistien mielestä julkinen verkko on sama kuin antaisi tietonsa suoraan hakkereille. Toisaalta salattujen tiedonsiirtoprotokollien pitäisi säilyttää turvallisuus missä oloissa tahansa. Todellisuudessa protokollien ja sovellusten toteutus ei ole aina täysin turvallinen. Siksi on arvioitava miten alla olevaan verkkoon luottaa ja mitä riskit itselle merkitsevät.

Jos etsit avointa ja demokraattista DNS-rootia ilman sensurointia tai ICANN:n hallintoa, valitse Opennic.

JAMK on tehnyt jo kymmenen vuotta työtä kybervalmiuksen kehittämisessä ja harjoittamisessa suomalaisyritysten kanssa. Nyt se on tehnyt sopimuksen Huoltovarmuuskeskuksen kanssa yritysten säännöllisestä kyberharjoittelusta ja -kehittämisestä osana HVK:n Digitaalinen turvallisuus 2030 -ohjelmaa.

Nordstream-sabotaasin jälkeen Huoltovarmuuskeskus rauhoittelee kansainvälisten yhteyksien uhkakuvia. Suomesta on tosiaan monta kaapelia Ruotsiin, Viroon ja Saksaan, ja niiden yhtäaikainen katkaiseminen voisi olla hankalaa. Tosin muutama vuosi sitten Elisan yhden Helsinki-Turku -kuidun katko aiheutti kapasiteettiongelmaa internet-yhteyksissä, joten vähempikin tuho voisi heijastua palveluiden käytettävyyteen.

EU tiukentaa kyberturvavaatimuksia, joilla voi olla yllättäviä vaikutuksia. Esim. Kiinassa valmistettua wifi-reititintä ei voisi tuoda EU-alueelle, jos ne eivät täytä uusia CE-vaatimuksia. NIS2-direktiivi saatiin valmiiksi kesällä ja se on tulossa voimaan ensi vuonna. NIS2 määrää vaatimuksia verkkoon liitetyille laitteille, jotka käsittelevät dataa. Siis myös sulautettuja järjestelmiä.

USA:n hallinto on avannut kyberrahoituksen, jossa jaetaan miljardi dollaria julkisen puolen digiturvan parantamiseen. NSA ja CISA ovat julkaisseet kyberoppaan OT/ICS-verkoille.

Unit42 on julkistanut domain shadowing -tekniikan, jolla hyökkääjä voi saada haltuunsa DNS-tietueita ja luoda uusia alidomaineja. Varjostettuja domaineita on löytynyt yli 12000.

Miten haavoittuvuuden löytymisen jälkeen tilanne etenee? Asia voi hoitua kolmella tapaa. Ideaalitilanne on, että haavoittuvuus raportoidaan yksityisesti ja korjataan ennen julkistusta. Aina ei kuitenkaan mene putkeen ja vahinkoa voi tulla välissä. Joku voi ehtiä käyttämään nollapäivähaavoittuvuutta tai sovellukselle ei löydy ylläpitäjää, joilloin korjausta ei saada tehtyä ennen kuin haavoittuvuus pitää julkistaa. Blogissa tutkiskellaan haavoittuvuuksien vaikutusaikoja ja korjausprosentteja. Yleisesti voidaan sanoa, että bugeja tulee, ja mitä laajemmin käytetty kirjasto tai enemmän riippuvuuksia, sitä pahemmin haavoittuvuus tietysti leviää ja vaikutttaa. Yhteistyö koodin ylläpitäjien ja tutkijoiden välillä on avain haavoittuvuuksien tehokkaaseen hoitoon.

IoT on sotku, jolle toivoisi ratkaisua, mutta sitä ei ole näköpiirissä. Viisi erilaista yhteysteknologiaa, kymmeniä tuhansia käyttökohteita, tuntemattomat operoijat ja halvat laitteet ovat paha yhdistelmä, josta syntyy erilaisia toteutuksia joka lähtöön. IoT-ala tarvitsisi standardointia. Alustapuolella Samsara ja Silicon Labs näyttävät olevan vakuuttavia.

SASE on kovassa kasvussa Dell’Oron tilastoissa. Eriytyneet valmistajat Broadcom/Symantec, Cisco ja Zscaler ottavat 60% markkinan liikevaihdosta ja Fortinet, Cisco ja Vmware 50% markkinaosuuksista. SASE-markkinoilla on yli 35 valmistajaa, joista 11 suurinta edustaa 80% myynnistä. Markkina on jakautunut edelleen tietoturva- ja verkkolaitteisiin, jotka ajavat omaa rataansa kannibalisoimatta suuremmin toisiaan. Pienemmillä asiakkailla yhdistynyt SASE on suositumpi ratkaisu, mutta arvailtavaksi jää, miten kauan ominaisuudet laahaavat parhaimpien tuotteiden perässä. Vielä ollaan aika kaukana ja merkittävä markkinaosuuskin on vielä ainakin viiden vuoden päässä. Isoilla yrityksillä on aika avoimet lompakot tietoturvainvestointeihin kun IoT, OT ja AI ajavat tarvetta eteenpäin. Gartner ennustaa kuitenkin verkon ja tietoturvan yhdistyvän nopeammin, niin että 2025 kolmannes SASE-toteutuksista olisi yhden valmistajan ratkaisuja. Se taas vaatii verkon ja tietoturvan yhteispeliä organisaatiossa sekä myös itse tuotteissa.

Forresterin mukaan SD-WAN ratsastaa kohti auringonlaskua. Markkina siirtyi zero trustiin ja SASE:een, ja SD-WAN jäi WAN-reitittimien optimoinniksi. SD-WAN oli vain joukko ominaisuuksia, ei itsenäinen alusta. Alkuperäiset startupit Clougenix, Velocloud ja Viptela on imaistu perinteisten valmistajien sisään ja kaivattu tietoturva on jäänyt aika köykäiseksi. Tässä on taas yksi esimerkki miten tietoturvaa on yritetty tunkea verkkoon, jossa sitä ei pysty hyvin toteuttamaan. Itse tehdyt SD-WAN -toteutukset ovat vaihtuneet ostettuihin palveluihin. Vertaillessa tuotteita ja tarjoajia kannattaa ottaa huomioon omat tarpeet ja tuotteen ominaisuudet, eikä liikaa tuijottaa softaa pyörittävää rautaa.

Paloalto ostaa Apiiron 600 miljoonalla dollarilla. Apiiro tekee koodiriskin hallintajärjestelmää. Se on Paloalton nappaama kahdeksas israelilaisfirma. Ostoksia on ollut Apiiro, Bridgecrew, Cybera, Lightcyber, Secdo, Twistlock, Puresec ja Demisto. Kauppoihin on käytetty reilut 2 miljardia kolmessa vuodessa. Zscaler ostaa Shiftrightin, joka on suljetun luupin tietoturvatyönkulun automaatiotyökalu. Se integroidaan Zscalerin pilvialustaan ja sillä saadaan yksinkertainen ja fiksu tietoturvapoikkeaminen käsittely.

Ipdetective on työkalu bottiverkkojen ip-osoitteiden paljastamiseen. Palvelusta voi hakea ip-osoitteita ja nähdä kuuluvatko ne bottiverkkoon. Ilmaisessa palvelussa voi kysellä 1000 hakua päivässä.

Aiemmin on raportoitu Team Cymrun ja Paloalton toimittavan halukkaille ostajille flow-tietoa operaattorien internet-liikenteestä. Nyt on paljastunut, että Team Cymru myy myös paljon laajempaa datapakettia sisältäen mm. pakettidataa, cookieita, selaushistoriaa ja sähköpostidataa. Augury-työkalulla kerätään dataa 550 pisteestä ja alustaan päivittyy 100 miljardia tietuetta päivässä. Cymru sanoo anonymisoivansa datan ja sitä ei ole tarkoitettu yksilöivään seurantaan. Asiakkaina Cymrulla on mm. USA:n armeijaa ja tiedusteluyksiköitä, jotka ovat ostaneet tuotteen vähintään 3,5 miljoonalla dollarilla.

Tekniikka ja operointi

Spanning-treen kehittäjä Radia Perlman vastasi yleisön kysymyksiin Redditin AMA:ssa. Harmittavin epäonnistuminen protokollakehityksessä on TRILL:n suosion hiipuminen poliittisten mielipiteiden sodassa. Radian mukaan OSPF taas oli huonompi kopio ISIS:stä, joka joidenkin ihmisten piti keksiä uudelleen ilman järkevää syytä. OSPF:stä tuli monimutkaisempi ja joustamattomampi protokolla. Protokollien pitäisi olla niin toimivia ja topologiariippumattomia, että känninen apinakin voi käyttää niitä.

Ipv6-aliverkotus on taidetta. Ryan Harris tarjoaa hyviä näkemyksiä ja vinkkejä osoitesuunnitteluun. Ipv6:ssa on myös privaattiosoitteet ULA-nimellä. ULA:aan liittyy kylläkin operatiivisia ongelmia ja suositus on käyttää ULA:aa vain puhtaissa ipv6-verkoissa. Osoitteita riittää niin paljon, että turha säästely tulisi unohtaa ja antaa reilusti kaikille globaalit GUA-osoitteet. Silloin ei tarvitse tuskailla ongelmanselvityksen, nattien tai päällekkäisyyksien kanssa,

Vlan1 on erityinen ainakin Cisco-kytkimissä. Se on porttien oletus-vlan ja samalla natiivi-vlan L2-protokollille. Vlan1:stä ei voi poistaa tai sulkea. Siitä seuraa riskejä pääsynhallintaan, vlan-hyppelyyn ja ohjauskerroksen suojaamiseen. Siksi oletus-vlan olisi hyvä vaihtaa aina. Hallinta-vlan on myös hyvä erottaa omakseen. Välityskerroksella vlan1 on kuitenkin kuin mikä tahansa vlan, paitsi, että siinä ajetaan L2-protokollat. Jos vlan1:n poistaa trunkilta, protokollien käytös riippuu protokollasta.

Ja kas, tutkijat ovatkin löytäneet keinon ohittaa kytkimen suojaustoiminnot käyttämällä vlan0:n pinoamista. Vlan0 eli priority tag yhdistettynä LLC/SNAP-kehykseen QinQ-täggäyksessä, antaa mahdollisuuden ohittaa kytkimen ARP inspection, Ipv6 ND protection, RA guard tai muu vastaava suodatusominaisuus. Haavoittuvuus osuu kytkimiin, joissa on näitä suodatusominaisuuksia eli ainakin Ciscoon, Juniperiin ja Aristaan. Tästä johtopäätöksenä voikin todeta, että mitä enemmän älykkäitä ominaisuuksia, sitä haavoittuvampi ohjelmisto.

MPLS-tekniikassa Segment Routingia voi tehdä joko MPLS-labeloinnilla tai ipv6 extension headereilla. Uudempi SRv6 ja SRv6+ tuntuvat olevan valmistajien suosiossa, mutta asiantuntijoiden mukaan MPLS on taattua tavaraa. MPLS:llä on vaan yksinkertaisempi ja toimivampi ohjauskerros ja pienempi overhead, ja MPLS:n päälle on rakennettu iso kasa tekniikoita erilaisiin käyttötarkoituksiin. SRv6 ei tuo juurikaan mitään uutta, muuta kuin uutta bugista softaa. SR-MPLS:äähän voi myös ajaa natiivin ipv6-verkon päällä jos ipv6:sta tykkää.

Nick Modena esittää modernin BGP-arkkitehtuurin, johon kuuluu route-reflectorien irrotus reunareitittimistä omiksi palvelimiksi ja ohjauskerroksen erotus välityskerroksesta. BGP:ssä on suositeltavaa käyttää Add-path-, PIC- ja ORR-tekniikoita joustavan ja skaalautuvan toteutuksen luomiseksi. TCP-AO protokolla-autentikaatiota voi ottaa tuotantokäyttöön. TCP-AO korvaa antiikkisen viimevuosisadan MD5-autentikoinnin. Tuki löytyy ainakin Junosista, IOS-XR:stä ja SR-OS:stä. Linuxille se on tulossa lähiaikoina. Esimerkkikonfiguraatiot ja materiaalit löytyvät Githubista.

Internetin reititystaulu kasvaa ja lähestyy miljoonan prefixin rajaa. Se merkitsee lisäkuormaa raudalle ja kalliimpia komponentteja. Reititystaulun pakkauksesta on keskusteltu alalla ja se on jopa tuotannossa monessa verkossa. Juniperin pakkaussuhde on parhaimmillaan 82%, mutta käytännössä se liikkuu luokassa 50-65%. Pakkaus perustuu reititiedon summarointiin.

Gartnerin Andrew Lerner kysyi blogissaan, onko Cisco ACI kuollut. Kysymys on noussut esiin mm. siitä, että ACI ei juurikaan ollut esillä kesän Cisco Live -tapahtumassa ja asiakkaat ovat alkaneet ostaa enemmän muita konesaliverkkotuotteita. Mutta ACI ei ole kuollut ja uutta softaa tulee luultavasti ainakin vuoteen 2024 asti. Silti Ciscokin on tajunnut tuotteen mahdottomuuden ja aikoo tehdä rajuja muutoksia GUI-hallinnan yksinkertaistamiseksi. Ciscon kevyempi konesaliverkkohallintatuote NDFC on nyt ominaisuuksiltaan samalla tasolla ACI:n kanssa, joten suositus on käyttää sitä. ACI voi olla vaihtoehto isoihin ja automatisoituihin verkkoihin, jos sinnekään.

Esimerkin ACI:n riemuista tarjoaa politiikan validointiohje, jossa on vain 14 kohtaa suoritettavaksi. Taustalla on siis luotuna kymmenkunta objektia, joita klikkaillaan ympäri valikkohierarkiaa. Saman voisi tehdä ja todeta peruskytkimeltä CLI:n kautta muutamalla komennolla alle minuutissa. ACI:ssa vastaavaan hommaan menee helposti vartti tai jopa puolikin tuntia tottumattomalta tekijältä.

EPVN/VXLAN-verkko on nykypäivän standardi, mutta kytkentäinen verkko voisi riittää pienempään käyttöön. MLAG sätkii yhä mukana, mutta se on todettu käytössä monimutkaiseksi ja kömpelöksi. MLAG:ia on pakko yleensä käyttää spine-tasolla eli verkon tärkeimmässä ytimessä, jossa tarvitaan vakautta, ei bugeja ja hankalia konfiguraatioita. EVPN-fabric säästää pahimmilta monimutkaisuuksilta, mutta on kuitenkin konfiguraatiointensiivinen toteuttaa ja yhteensopivuudessa on parannettavaa. Valmistajat suosittelevat usein EBGP-fabricia, joka turhaan monimutkaistaa konfiguraatiota. IBGP IGP:n päällä on harvinaisempi, mutta toimivampi ratkaisu. Jos haet monivalmistajaympäristöä, EBGP:n päällä toimivat IBGP-fabric on luultavasti oikea ratkaisu.

Linuxin bonding on kuin Ciscon Etherchannel, mutta ei kuitenkaan ihan. Erona on se, että Linux osaa myös active/backup-bondingin ja mukautuvan kuormanjaon vastapäästä riippumatta. Broadcastit lähetetään Linuxissa kaikkiin kanavan fyysisiin portteihin. John W. Kerns kertoo perusteet, mutta myös mahdolliset ongelmat. TCP-stackia voi myös itse yrittää koodata. Koodari Samin blogisarjassa aloitetaan Ethernetistä ja ARP:sta. Linuxin kernelin eBPF:lle keksitään koko ajan lisää käyttökohteita. Tässä voi piillä myös tietoturvaongelma, koska eBPF:llä on suora väylä kerneliin ja sen muokkaamiseen. Bugi eBPF:ssä voi aiheuttaa pahoja ongelmia.

Cisco taipuu hitaasti avoimiin verkkoihin ja on nyt avannut näkemyksiä Sonic-käyttöjärjestelmästä. Sonic on Microsoftin vuonna 2016 kehittämä Debian-pohjainen mikropalvelukäyttäjärjestelmä, jota ovat käyttäneet suurimmaksi osaksi hyperskaalaajat ja operaattorit. Kenttä voi laajentua Ciscon kautta yrityksiinkin, vaikka eteneminen onkin aika hidasta. Etuna Sonicilla on riippumattomuus laitteista, mikä ei tietenkään Ciscolle ole hyvä. Cisco valmistajana näkee Sonicin nopeana väylänä markkinoille, koska kehityksessä ja ominaisuuksissa voi keskittyä valmistajakohtaisiin komponentteihin ja ominaisuuksiin, ei koko käyttöjärjestelmään. Joustavuus kehityksessä, mutta samalla myös yhtenäisyys ohjelmistossa ja sen automaatiossa on hyvä asia. Konttikäyttöjärjestelmää voidaan kehittää palasina ominaisuus kerrallaan. Avoimeen koodiin liittyy tietysti yhteisö ja jaetut vastuumallit, joten yhteistyötä täytyy tehdä eri tahojen kanssa. Käyttökohteet ovat lisääntymässä edgen, 5G:n ja IoT:n myötä. Orkestrointia ja automaatiota kehitetään ja laajennetaan koko ajan.

Sonic yhdistää verkkoihin myös toimintoja kiihdyttävät DPU:t. Yalen tutkimuksessa FPGA-kiihdyttimien yleistymisen esteeksi onkin todettu helppojen ohjelmistojen puute. Sonicin lisäksi kentällä pelaavat mm. Vmaccel, Inaccell, ja avoimen koodin projekti Cyborg, joka yhdistää kiihdyttimet Openstackiin.

Intel on esitellyt wifi7-kehitystä ja tarjoaa hyvän kokonaiskuvan wifin kehitykseen, mitä wifi7 tuo tullessaan ja mihin kehitys on menossa. Wifi7 802.11be-luonnos on ajoitettu maaliskuulle 2023 ja valmis standardi olisi tulossa keväällä 2024. Wifi6e saattaa jäädä lyhytaikaiseksi väliinputoajaksi. Intel on esitellyt Broadcomin kanssa ensimmäisen wifi7-toteutuksen, jolla on saatu nopeudeksi 5 Gbps.

Mielenkiintoinen havainto on, että verkkolaitevalmistajat ovat käyttäneet näyttökaapeleita omiin tarkoituksiinsa. HP, Dell ja Netgear käyttävät HDMI-liitäntää kytkimien välillä. HDMI1.3-standardilla saadaan 10 Gbps teoreettinen nopeus. Ciscolla on käytössä WIC-korteissa 60-pinninen Helix-liitin, joka on yleensä useampien näyttöjen liittämiseen tarkoitettu väylä. Aikoinaan 3com käytti DB13W3-liitintä hubeissaan. Kumma kyllä HDMI:tä voi ilmeisesti käyttää ilman lisensointia. HDMI-logoja ei ainakaan näy laitteissa tai “verkkokaapeleissa”.

TCP:n ruuhkanhallinta-algoritmit ovat kehittyneet vuosien mittaan. Dip Singh on blogissaan vertaillut Renoa, Cubicia ja BBR:ää. Tutkijat ovat todistaneet, että verkon ruuhkautuminen on matemaattisesti väistämätöntä. Ongelmien ratkaiseminen voi johtaa vain pahempiin ongelmiin. Algoritmit ovat aina epäreiluja ja antavat kaistaa joillekin muiden kustannuksella. Selvää voittajaa niissä ei ole. Käytännössä verkoissa tulee aina puute kaistasta. Liian hidas tai nopea lähetys ei ole hyvä, ja algoritmit eivät osaa erottaa viiveen ja pakettihäviöiden takana olevia syitä. Siksi lopulta aina ajaudutaan tilanteeseen, jossa joku saa paljon kaistaa ja joku ei mitään. Algoritmien kehitystä ja käytännön testejä tarvitaan edelleen.

Cloudflare on todennut NGINX:n liian rajoittuneeksi omaan käyttöönsä. Oma Rustilla kehitetty Pingora on tehokkaampi ja ominaisuuksiltaan laajempi. Se palvelee biljoonaa pyyntöä päivässä vain kolmasosalla NGINX:n CPU- ja muistikäytöstä. Proxynä sillä saatiin yhteyksien uusiokäyttösuhdetta puristettua lähelle 100%:ia ja uusien yhteyksien määrä väheni 160-kertaisesti.

Leiniön Markku kertoo miten Netboxiin konguroidaan lokitus kuntoon. Netdoc on automaattinen verkon skannaus- ja dokumentointityökalu monivalmistajaverkkoihin. Löydetty tieto pusketaan Netboxiin ja pluginin avulla tiedosta voi luoda topologiakuvia. Jatkosuunnitelmissa on integroida Draw.io -piirto-ohjelma topologianäkymien jatkojalostukseen. Network To Code on julkaissut verkkoautomaation palveluna. NAaaS-palvelun sisältö on vähän epäselvä, mutta kai se rakennetaan aina tapauskohtaisesti. Grafana Cloudiin on lisätty Incident-osuus, jota pääsee ilmaiseksikin käyttämään. Sillä voi luoda vikatikettejä ja käsitellä niitä. Julia Evansin debuggauksen manifesto on hyvä pohja vianselvitykseen.

New Yorker kirjoittaa NTP:n historiasta ja kertaa perusteet. Tarina alkaa David Millsistä, joka sai tehtäväkseen ratkoa aikasynkronoinnin ongelmaa Arpanetissa 1970-luvun lopussa. 1988 NTP oli saatu määriteltyä tietokoneiden kellojen synkronointiin. 2000-luvulla NTP:n käyttö kasvoi räjähdysmäisesti internetin myötä. Samalla alkoivat ongelmat bugien ja palvelunestohyökkäysten kanssa. Maapallon pyörimisen epätasaisuus vaatii ajan säätöä ja lisäsekunti tuli mukaan jo 1972. Google ei pitänyt sekunnin lisäämistä hyvänä ohjelmistoille, joten se kehitti 2005 menetelmän, jossa ylimääräinen sekunti lisätään vähitellen mukaan aikaan. 2008 se tuli Googlen sisäiseen käyttöön ja 2016 julkiseksi sen omilla NTP-palvelimilla. NTP on jämähtänyt versioon 3, vaikka nelonenkin on julkaistu jo 2010. Sen jälkeen kehitys on ollut hidasta, mutta nyt IETF on laatimassa vitosversiota. Samalla tarkempi PTP on tullut mukaan ja NTP:llekin on tehty tietoturvaparannuksia. Avoimen koodin projektia vaivaa kuitenkin ylläpitäjien puute.

Devops tuntuu nyt olevan alamäessä hypen laannuttua. Käytäntö ei toiminut: devaajat eivät halua tehdä operointia, devopsiin ei investoitu riittävästi tai usko ei vaan riittänyt koko ajatukseen. Devauksen ja ylläpidon tehtävät ovat erilaiset ja ei ole järkeä laittaa kaikkia tekemään kaikkea. Erikoistumisella on paikkansa. Googlen luoma suosittu SRE voi olla vaihtoehto. Toinen ratkaisu on sisäinen kehitysalusta tai muuten kurinalainen alustojen ja työkalujen käyttö. Agilella on sama ongelma kuin devopsilla: käytäntöä on vienyt termistö, eivät todelliset asiat. Yritysten pitää uskaltaa myöntää, jos joku tapa ei sovi omaan käyttöön. Jos taas lähdetään mukaan kelkkaan, pitää asiaan investoida ja sitoutua. Google toteaa, että teknologia ei ole menestyksen suurin este, vaan kulttuuri.

Yritykset ja tuotteet

Työn mielekkyys ja työolosuhteet puhuttavat nyt paljon. Eyvonne Sharp kuvaa hyvin asiantuntijan kehityskaaren. Uran alussa keskitytään keräämään kokemusta, mutta vuosien jälkeen työ menettää usein hohtonsa. Jotkut jatkavat kädet savessa ja eivät pysty avaamaan osaamistaan ja jakamaan töitään muille. Samalla osaaminen vanhenee ja uudistuminen vaikeutuu. Urakehityksen kannalta on välttämätöntä laajentua yksilösuoritusta laajemmalle. Pitää pystyä vaikuttamaan ympäristöön ja kokonaisuuteen. Jos esim. pystyt oppimaan ja opettamaan vaikeita asioita, ole arvokkaampi. Edessä on laajempi paletti vaihtoehtoisia työtehtäviä, toivottavasti myös mielenkiintoisempia ja motivoivampia itselle. Työnantajan pitäisi myös pystyä vastamaan tähän pitääkseen työntekijät talossa.

Maailmalla puhutaan paljon 10x engineereistä, jotka ovat huipputuottavia ja -osaavia yksilöitä. Meillä tavallisilla pulliaisilla on kuitenkin mahdollisuus vaikuttaa muilla tavoin kuin teknisellä pätemisellä. Työyhteisön ja oman tiimin eteen tehtävä sosiotekninen työ on todella arvokasta ja vaikuttaa tiimin tai yrityksen kokonaissuoritukseen paljon. Se sopii hyvin vanhemmille asiantuntijoille. Kulttuurin ja työtapojen kehittämisellä voi saavuttaa paljon. Tieteellisesti on myös todistettu, että ylimieliset ja ilkeät yksilöt myrkyttävät koko työyhteisön (maksumuurin takana) ja heistä kannatta hankkiutua eroon.

Organisaatio on pakollinen paha. Usein siihen liittyy hierarkia: asema, valta, palkka, tms. Mutta näin ei ole pakko olla. Yritys kaipaa rakennetta eli organisaatiota, mutta valtahierakian ei tarvitse olla saman muotoinen. Työntekijä kaipaa mahdollisuuksia, mielenkiintoista motivoivaa tekemistä ja etenemismahdollisuuksia. Päätösvaltaa voi antaa ja ottaa joka paikassa. Pakkaa on myös hyvä sekoittaa niin, että asiantuntijat, liiketoiminta ja johto kohtaavat toisiaan. Hyvissä yrityksissä on vahva palautekulttuuri ylös-alas ja sivuttain, sekä yhteinen päätöksenteko. Johdonkin on ansaittava tuki päätöksilleen. Siksi Esim. CTO:lla on hyvä olla tekninen tausta, jotta hän ymmärtää laadun, valintojen, kunnioituksen ja visioinnin päälle, sekä pystyy houkuttelemaan hyvää työvoimaa taloon. Asiantuntijamäärän kasvu ruokkii monessa yrityksessä uusia johtajarooleja, joista syntyy vaan lisää abstraktia johdettavaa hierarkian koneistoon.

Gartner on todennut, että julkishallinnon ostopäätökset kestävät keskimäärin lähes kaksi vuotta. Julkisella puolella on ilman muuta pisin hankintasykli ja prosessiin osallistuu keskimäärin 12 henkilöä. Ylin johto osallistuu vähemmän kuin yksityispuolella, mistä seuraa, että johto vierauttaa itsensä ostopäätöksien mahdollisista ongelmista. Julkishankinnoissa siis asiantuntijoilla on isompi rooli. Hitautta tulee eniten hankinnan valmistelusta ja osasyynsä siinä on hankaluus saada valmistajilta riittävää tietoa. Jukishankinnoissa referenssit painavat, koska ostajat eivät kilpaile ja ovat samassa asemassa. Voittaja on yleensä pystynyt toimittamaan selkeää faktaa ja muuta materiaalia ostajalle. Gartner suositteleekin valmistajille helposti saatavaa listaa julkisen sektorin referensseistä ja selkeää materiaalia tuotteen hyödyistä.

Toimitusketjun hankaluudet voivat johtaa yrityksiä entistä enemmän monivalmistajaympäristöihin. Juniper-Apstran Ben Baker jopa leimaa yhteen konesalivalmistajaan luottavat ongelmankerjääjiksi. EMEA-tasolla yritykset ovat heränneet haluun hallita useita laitemerkkejä. Apstraa on päivitetty Freeform-arkkitehtuurilla, jonka avulla voi hallita mitä verkkotopologiaa tai protokollaa tahansa. Hyperskaalaajien opeista käteen jää yleensä nopeus, mutta niiden toiminnan ytimenä on enemmänkin luotettavuus. Jos ensin keskittyy luotettavuuteen, sen avulla saavutetaan myös nopeus.

Optiikan ja kaapeloinnin hinta verkoissa nousee koko ajan. Hinta per bitti on eri nopeuksilla täysin erilainen. 1G bittihinta on luokkaa 17$ ja 400G:n 2$. Voisi ajatella keskittämisen ja virtualisoinnin tuovan säästöjä verkon kytkennöissä. Tämä vaan edellyttäisi isompia liikuteltavia datamääriä, paljon portteja ja suuruuden ekonomiaa. Tällä hetkellä myyntilastoissa 25G ja 100G ovat tasaisia menestyjiä vielä useamman vuoden ajan. 40G on hiipunut marginaaliin. 10G:n ja alempien nopeuksien häntä on pitkä, vaikka käyttö suhteessa muihin nopeuksiin vähenee. 200G ja suuremmat nopeudet ottavat markkinasta kolmasosan tulevina vuosina. Kytkinpuolella Cisco johtaa edelleen Huawein seuratessa reilun välimatkan perässä. Mutta Arista hätyyttelee Huawein pomppivaa myyntikäyrää taisaiselle kasvullaan. Aristan myynti perustuu pilvijätteihin ja siksi 100G/200G/400G-porttien myynti on huimaa. Aristalla 100G-kytkimet muodostavat jopa yli 70% myynnistä. Juniperin kytkinmyynti on laskussa.

Broadcom on tviikannut Trident 4 -piiriä sisältämään tietoturvaominaisuuksia. Suojausominaisuudet vaativat paljon enemmän paketinkäsittelytehoa ja valvontaa. Ennen esim. tyypillinen näytteistyssuhde oli 1/1000, mutta nyt uudella Trident 4C -piirillä pystyy tutkimaan 5,4 miljardia pakettia sekunnissa ja valvomaan 500000 yhtäaikaista yhteyttä. Piirillä on analyysikone, joka käsittelee 170 miljardia operaatiota sekunnissa. Näistä ominaisuuksista on hyötyä mm. DDoS-hyökkäysten torjunnassa, haavoittuvuuksien havainnoinnissa ja tiedonsiirron valvonnassa. Hyperskaalaajia varten Tomahawk-piiristä voi olla tulossa vastaava versio tai Broadcom voisi tehdä niille vielä tehokkaamman piirin Trident 5C.

Ciscon entinen toimitusjohtaja John Chambers on mukana startup-firmassa Nile, joka aikoo tehdä ihmiset tarpeettomiksi verkonhallinnassa. Nile muuttaa omien sanojensa mukaan koko verkon mallin alusta loppuun. Tavoite on tuottaa suoraan paketista käytettävä zero trust -verkko, joka ei vaadi operointia, vaan toimii palveluna. Laskutus perustuu kulutukseen. Tekniset tiedot toteutuksesta ovat kuitenkin hyvin niukkoja, joten todellisuuspohja jää arvailujen varaan. Tarvetta tällaiselle tuotteelle on, koska verkon operointikulujen lasketaan olevan jopa kolminkertaiset hankintahintaan verrattuna. Nilen taustalla on 170 työntekijää, 40 patenttia ja 125 miljoonan dollarin rahoitus. Kampus- ja LAN-tuotteet ovat tulossa Pohjois-Amerikkaan lähikuukausina.

Amerikassa Cogent ostaa Sprintin vanhan verkon T-Mobilelta miljardilla dollarilla. Mukana se saa 1400 asiakasta, noin 20000 reittimailia verkkoa ja lähes 50 konesalia. Netflix on vaikeuksissa kasvavien pilvikulujen kanssa. Siksi se yrittää vähentää saman tiedon tallentamista eri paikkiohin ympäri maailman. Rekrypuolella haetaan nyt enemmän junioreita, jotta palkkakulut saadaan pidettyä kurissa ja kokeneemmat asiantuntijat voivat keskittyä vaikeimpiin asioihin.

Telialla alkaa jälleen muutosneuvottelukierros kun kuluttajaliiketoimintamallia uudistetaan ja asiakaskeskeisyyttä parannetaan. 85 tehtävää on vaarassa. Kaapelivalmistaja Prysmian aikoo rakentaa Kirkkonummen Pikkalaan merikaapelitornin, josta tulisi suomen korkein rakennus. Kaapelien pystysuora vulkanointi vaatii tornin, jonka korkeus olisi 185 m.

Venäläinen sotateollisuus on saanut kolhuja maineeseen ja tämä Azart-radiopuhelin ei lisää uskoa maan tuotekehityskykyyn. Radiopuhelimeksi paljastuu kiinalainen Baofeng UV-5R, joka on naamioitu muovikuorella, valenapeilla ja näyttötarralla.

Internet

Ylen Elävästä Arkistosta löytyy materiaalia 1990-luvun suomi-internetistä. Leviäminen alkoi 1994 ja silloin internet herätti myös pelkoa ja epäluuloa. Kuitenkin talouskasvu ja globalisaatio voittivat ja Suomi pääsi osaksi kansainvälistä verkkoa.

Apnicin kartasta näkee maailman ipv6-valmiuden. Suomi on yli 50% valmiudella muutamien kärkimaiden joukossa.

Qrator Labs on julkaissut vuosittaisen Internetin luotettavuusraportin. Siinä yllättäen Brasilissa on kaikkein vikasietoisin internet-verkko. Myös Ukraina on kärkisijoilla. Suomi sijoittuu kahdeksanneksi.

Verkon neutraliteettikeskustelu jatkuu. Geoff Huston kirjoittelee jälleen pitkät tarinat historiasta ja miten “lähettäjä maksaa”-malli pysyy edelleen samana. Jatkoa ajatellen kannattaa harkita mitä toivoo: emme välttämättä halua antaa sisällön ja yksityisyyden lisäksi vielä verkkojakin internet-jättien käsiin.

Vastapainoksi ETNO:n operaattorinäkökannalle, Analysys Mason on tehnyt pilvipalveluiden tilaamana raportin internetin käyttömallista. Internet-liikennehän on kuluttajista lähtöisin, koska sisällöntuottaja ei lähetä mitään jos kukaan ei kuluta. Internet kehittyi kahdenkeskisten peerausten ympärille ja malli on toiminut hyvin, koska osapuolten välillä on vallinnut tasapaino ja riippuvuus toisistaan. Jos internettiä lähdetään reguloimaan, operaattoreille syntyy monopoli tilaajiin, sama ilmiö joka Euroopassa on ollut 25 vuoden ajan puhelujen kanssa. Nyt on oltava varovainen päätöksissä, koska sisältö voi köyhtyä ja keskittyä. Ja sehän on juuri päinvastainen kehitys, mitä EU haluaisi. Myös sisällönjakelun kehitys ja laajentuminen lähelle kuluttajaa saattaa ottaa takapakkia, mikä nostaisi operaattorien kuluja ja laskisi palvelunlaatua. Rudolf Van Der Bergin esityksessä kerrotaan myös mistä on kyse.

Googlen ilmapalloprojekti Loon kuopattiin pari vuotta sitten kun sille ei löytynyt kaupallista potentiaalia. Nyt startup Aalyria on ottanut sen uudelleen käyttöön. 26-henkisen Aalyrian takana ovat Googlen veteraanit. Loonin ohjelmisto Spacetime on pilvessä toimiva monimutkaisten ilmassa toimivien verkkojen hallintatyökalu. Sen avulla voi ennustaa kymmenien tuhansien liikkuvien objektien signaalia ja ohjata signaalia niin, että yhteys ei katkeile. Toinen Aalyrian haara kehittää vapaan optiikan laserlaitteistoa nimeltä Tightbeam. Vuosikymmenten ajan ongelma on ollut säätilan vaikutus signaalin laatuun, mutta Aalyria on löytänyt algoritmin avulla läpimurron teknologian hyötykäyttöön. Nyt puhutaan 1,6 Tbps -siirtonopeuksista satojen kilometrien päähän. Näin esim. lentokoneeseen saataisiin 1 Gbps -yhteys jokaiselle matkustajalle, Aalyria visioi. Tutkijat ovat skeptisempiä miten tällainen läpimurto fysiikan laeissa nyt yhtäkkiä syntyi. Aalyrian tuotteita kaupataan nyt operaattoreille ja lentoyhtiöille, mutta myös USA:n armeija on testaajien joukossa.

Tapahtumat

Networkin Field Day NFD29:ssä esittelivät ratkaisujaan Broadcom, Nokia, Graphiant, Cisco, Juniper, Kentik, Opengear ja Catchpoint.

UKNOF50:n ja NLNOG:n videoissa puhutaan internet- ja operaattoriasiaa.

Vmware Exploren kertaukset tiivistävät tapahtuman päivät 1 ja 2.

Kuukauden CV

Ipv6-hexamerkeistä saa aikaan hauskoja tekstejä, joita viljellä ip-osoitteissa. Nimipalvelua hyödyntämällä saa laajemman valikoiman tekstiä käyttöön. Louis Poinsignon on muotoillut CV:nsä tracerouten muotoon. Sen saa näkyviin komennolla  traceroute 2001:bc8:3eff:c0::ff.

[FI] Kohti nollaluottamusta

Kirjoitus on julkaistu alunperin Sytyke-lehden numerossa 2/2022 (vain jäsenille).


Kovenevassa kybertilanteessa ja pilvistyneessä IT-kentässä zero trust-malli on nostettu ratkaisuksi palveluiden suojaamiseen. Zero trust on vanha ajatus, joka vasta viime vuosina on noussut kaikkien huulille. Mistä on oikeastaan kyse ja miten zero trust -malli valjastetaan käyttöön?

Pitkä kehityskaari

Zero Trust -ajatuksen historia ulottuu kahden kolmenkymmen vuoden taakse. Jo 2000-luvun alussa heräteltiin ajatusta perinteisen reunasuojauksen kääntämisestä toisenlaiseen malliin. Google aloitti Beyondcorp-mallin toteuttamisen 2009 ja Forrester toi termin zero trust julkisuuteen 2010. Sen jälkeen oli pitkään hiljaiseloa, mutta todellinen räjähdys suuren yleisön tietoisuuteen tapahtui muutama vuosi sitten kun Gartner aloitti SASE Magic Quadrantin julkaisun ja yhdisti zero trustin sen yhdeksi avainteknologiaksi. Valmistajat toki olivat esitelleet ajatusta jo ennen sitä, mutta vasta viime vuosina zero trust -ajatus on levinnyt laajasti kaikkialle.

Reunasuojauksen aikakaudella oman verkon pehmeää sisäosaa suojattiin ulkoiselta pahalta palomuureilla, kenties muilla kohdistetummilla täsmätietoturvalaitteilla ja pääsynhallinnan keinoin. Verkon pääsynhallinnalla (Network Access Control, NAC) yritettiin saada avoimen sisäverkon turvallisuutta hallittua verkkoon liityttäessä. NAC ei koskaan oikein yleistynyt laajasti käyttöön, ja useiden valmistajien omien ratkaisujen ja iterointikierrosten jälkeen elämään on jäänyt standardoitu 802.1x-porttiautentikointi, sekin suurimmaksi osaksi siksi, että sitä käytetään wifin EAP-autentikoinnissa.

Verkon sisällä mikrosegmentointi oli avainteknologia erottamaan resursseja toisistaan ja estämään sivuttaisliikkumista pehmeässä verkon sisuksessa. Perustason aliverkkosegmentointia on tehty aina, mutta mikrosegmentointi laite- tai sovelluskohtaisesti olikin paljon monimutkaisempaa ja vaati isompia muutoksia verkon topologiaan ja toimintaperiaatteisiin. Käytännössä palomuuri olisi pitänyt tuoda joka laitteen eteen ja toteutuksesta tuli verkkotasolla jäykkää ja hankalaa. Tähänkin valmistajat esittelivät erilaisia omia ratkaisujaan, mutta niiden käyttöönotto vanhan verkon palveluille oli edelleen yhtä hankalaa.

Viimeisen viiden vuoden aikana SD-WAN tuli ensin korvaamaan operaattorien MPLS-VPN -yhteyksien jäykkyyttä ja kallista hintaa. Yhteyksien joustavan ohjailtavuuden mukana joka toimipisteeseen tuli samalla palomuuritoiminnot ja muut suojausominaisuudet. SD-WAN yhdistyi tietoturvan keskitettyyn kokonaisratkaisuun, jota alettiin kutsua SASE:ksi (Security Access Service Edge). SASE:n edeltäjä oli pilven myötä tarpeelliseksi noussut CASB (Cloud Access Security Broker), joka jäi kuitenkin marginaaliseksi yhden asian ratkaisuksi. CASB-toiminto yhdistyi myöhemmin osaksi SASE-pakettia.

Vääriä asioita väärässä paikassa

Kun katsoo taaksepäin tietoliikenneasiantuntijan silmin, niin tietoturvaa on yritetty ratkoa verkossa huonolla menestyksellä vuosikymmenien ajan. On yritetty tehdä pääsynhallintaa, keskitettyä palomuurausta, mikrosegmentointia ja erilaisia sovellustason toimintoja infrassa. Tuloksena on ollut kömpelöitä, huonosti toimivia, käytettävyydeltään kehnoja ratkaisuja, jotka eivät merkittävästi ole nostaneet tietoturvan tasoa suhteessa nähtyyn vaivaan. Samaan aikaan pilvi on tullut voimakkaasti mukaan, etätyöstä on tullut normi, internet on ottanut vallan yhteyksissä, yritykset ovat hajautuneet ja yhä monimutkaisemmista sovelluksista on tullut elintärkeitä yhteiskunnan toiminnalle.

Verkko ja muu IT-infra ei voi enää olla oikea paikka tehdä sovellusten tietoturvaa, vaan toiminnot on pakko siirtää sovellustasolle. Silloin tietoturva pystytään kohdistamaan oikealla tarkkuudella oikeisiin paikkoihin joustavasti ja tehokkaasti. Infran roolina on toimia yksinkertaisena ja luotettavana perushyödykkeenä, jonka päälle sovellukset ja niiden tietoturva rakennetaan. Verkossa on etätyön, toimipisteiden, pilven ja SaaS-palveluiden osalta jo paljon siirrytty internet-yhteyksien päälle, joten luottamukseton verkko on jo arkipäivää monessa tilanteessa. Toimiston voi hyvin pystyttää pelkkien internet-yhteyksien päälle ja palvelut voi rakentaa pilveen. Verkon pääsynhallinnasta on tullut tarpeetonta kun verkkoinfraan ei tarvitse luottaa, vaan käytön valtuutus tehdään kohderesurssissa itsessään. Tietoturvariski ei siis enää ole niinkään verkossa, vaan sovelluksissa ja tiedossa, joiden turvaamiseen pitäisi panostaa uusin menetelmin.

Reunapalomuurin turvallisuudentunteesta voi kuitenkin olla vaikea irtautua. Verkon tietoturva on ollut hyvin palomuurikeskeistä ja pääsyä rajoittavaa. Maailmassa on kuitenkin paljon toimivia ratkaisuja, joissa palomuurausta tehdään kevyemmin. Esimerkiksi tiedemaailmassa on ollut ratkaisu nimeltään Science-DMZ, jossa isoja tietomääriä liikutellaan tehokkaasti ohi palomuurin vain reitittimien pääsylistojen suodattamana. Samoin pilvi-infran palomuuripalvelut ovat olleet hyvin yksinkertaisia. Ne ovat vasta äskettäin kehittyneet tilallisiksi ja ominaisuuksia on kehitetty pilvipalveluiden ehdoilla. Palomuurin hienot suodatusominaisuudet eivät tehneet maailmaa paremmaksi tai helpommaksi, varsinkaan kun sovellukset siirtyivät salattujen yhteyksien päälle. Suurin hyöty NGFW-ominaisuuksissa on ollut käyttäjätiedon, DNS-nimien, sovellussisällön ymmärtäminen ja hyödyntäminen sääntöjen teossa. Säännöt on saatu joustavammiksi ja paremmin vastaamaan tarvetta. Nyt pilviympäristöjen kanssa tuskaillaan miten palomuurisäännöt saadaan vastaamaan pilvipalveluiden kehittyneitä ominaisuuksia ja dynaamisuutta.

Tärkeä asia tietoturvan vaikuttavuudessa on käyttäjäkokemus. Jos tietoturvan toteuttaminen vaatii joko käyttäjältä tai ylläpitäjältä suurta vaivaa tai aikaa, erityistä osaamista tai tietämystä, muutoshallintaprosesseja tai hankalia toteutuksia, ei ratkaisu voi käytännössä olla toimiva. Tökkivää tietoturvaa aletaan kiertää ja se vesittää hyvätkin yritykset parantaa tilannetta. Kaiken estämisestä ja kontrolloimisesta tietoturvan varjolla olisi päästävä enemmän toimintaa tukevaan malliin, jolla saataisiin tietoturva luontevaksi osaksi palveluita ja käyttöä. Tietoturvalla on aina hinta ja palveluihin ulkopuolelta päälle liimattujen vaatimusten ja ratkaisujen kustannusvaikutus jää usein hämäräksi. Erillisen tietoturvaorganisaation on helppo kieltää ja vaatia asioita, jos itsellä ei ole liiketoimintavastuuta tai ei joudu painimaan järjestelmän toteutuksen kanssa tuotannossa. Perinteisestä jäykästä tietoturvasta on onneksi monessa paikassa päästy parempaan tilanteeseen, kiitos kehittyvän IT:n.

Zero trust -mallilla parempia tuloksia

Muuttunut IT-ympäristö vaatii siis tietoturvan vaikuttavuuden olennaista parantamista. Se tarkoittaa tietoturvan siirtämistä oikealle tasolle, oikeaan paikkaan ja oikeisiin menetelmiin. Zero Trust Network Access (ZTNA), tai tuttavallisemmin vain zero trust, yrittää vastata tähän tarpeeseen. Zero trust ei ole teknologia, vaan enemmän ajatusmalli miten resurssien käytöstä tehdään dynaamisempaa, kohdistetumpaa ja enemmän identiteettiin sidottua. Mottona on “älä luota, vaan varmista aina”. Resurssien käytön oikeellisuus pyritään siis vahvistamaan varmemmin aina tapauskohtaisesti. Se lisää tiedon turvaa ja resurssien käytöstä tulee paikkariippumatonta. Enää ei ole väliä mistä verkosta käyttäjä palvelua käyttää, koska käyttöoikeus on sidottu identiteettiin, ei fyysiseen infraan.

Zero trust -malli on kokoelma vanhoja hyväksi havaittuja periaatteita, jotka on koottu yhdeksi kokonaisuudeksi. Mitään uutta teknologiaa ei siis ole tarjolla, mikä on vain hyvä asia. Useita päällekkäisiä tai rinnakkaisia toimintoja yhdistelemällä saadaan tietoturvaan kerroksellisuutta ja laajuutta, mutta säilytetään kuitenkin käytön joustavuus. Yksittäisen komponentin pettäminen ei välttämättä vielä vaaranna palvelua.

Zero trust -mallin periaatteet:

  1. Inventaariotieto:  käyttäjät, laitteet, järjestelmät, sovellukset, yms. resurssit mitä IT-ympäristö sisältää.
  2. Tiedonsiirron salaus: salatut liikennöintiprotokollat tai yhteystason salaus aina paikasta riippumatta.
  3. Käyttöpolitiikka: määrittelyt kuka tai mikä saa käyttää mitä resurssia vähimmän oikeuden periaatteella.
  4. Pääsynhallinta resurssia käytettäessä: vahva tunnistautuminen dynaamisen politiikan mukaan, määritellyn politiikan mukainen käyttövaltuus istuntokohtaisesti.
  5. Mikrosegmentointi: resurssien erotus toisistaan ja luottamusrajan pakottaminen lähelle kohdetta.
  6. Ympäristön havainnointi: resurssien tila, käyttäjien toiminta, tiedon keräys.

Zero trust -mallin avulla tietoturvaan saadaan hienojakoisuutta ja joustavuutta, jota nykypäivän dynaamisissa ja hajautuneissa palveluissa  tarvitaan. Tietoturvaan saadaan myös kontekstia kun kaikki palvelun käyttöön liittyvä tieto kerätään yhteen ja siitä voidaan tehdä tarkempia johtopäätöksiä käyttäjästä, laitteesta, sovelluksesta tai yleisesti koko tilanteesta. Tästä on hyötyä varsinkin poikkeamien selvittelyssä, kun kaikki tapaukseen liittyvä tieto on helposti ja nopeasti saatavilla.

Zero trust-malli kääntää tietoturvan luontevaksi osaksi sovelluksia ja niiden kehitystä. Painopiste muuttuu sinne minne suuri osa yrityksistäkin on menossa: sovelluksiin, pilveen ja internetiin. Arvaamattomassa ja vaihtelevassa toimintaympäristössä jatkuvasti muuttuvien teknologian, liiketoiminnan, toimintamallien, kumppanuuksien ja politiikan aikana zero trust -malli näyttää ainoalta mahdolliselta ratkaisulta, jolla selvitä tulevaisuudessa.

Kokonaisvaltainen käyttöönotto

Zero trust-mallia on hankala ottaa käyttöön ilman omaa aktiivisuutta ja oman IT-kokonaisuuden miettimistä. Vaikka yleisimmät sovellukset ja ratkaisut ovatkin monesti samat yrityksestä riippumatta, jokainen IT-ympäristö on kuitenkin jossain määrin omanlainen kokonaisuus. Avaimet käteen -ratkaisua ei ole, vaan soveltamista omaan tarpeeseen on tehtävä. Koska resurssien käytön kontrollointi muuttuu ja hajautuu eri komponenteille, muutos koskee koko IT-ympäristöä ja sen arkkitehtuuria. Erilaisia järjestelmiä ja sovelluksia on käytävä läpi ja sovitettava yhteen yksi kerrallaan. Muutos ei tapahdu kuukaudessa tai vuodessa, vaan on hyvä asennoitua jatkuvaan muutokseen, jossa uusia järjestelmiä integroidaan mukaan jatkuvalla syötöllä. Aina on myös poikkeuksia: sovelluksia, joita ei saa integroitua muihin komponentteihin, tai vanhoja järjestelmiä, joita ei vaan kannata väkisin yrittää tunkea uuteen malliin. Parhaiten zero trust -malliin solahtavat modernit selainsovellukset ja pilvisovellukset, jotka on jo lähtökohtaisesti rakennettu tukemaan nykyaikaisia toimintamalleja rajapintoineen. Niistä voi olla helpointa aloittaa.

Myös ajatusmaailman ja yrityksen toimintakulttuurin täytyy muuttua ja se on kaikkein suurin ja vaikein muutos. Käyttöpolitiikan määrittely on uudenlainen työ identiteettien, laitteiden ja sovellusten välillä. Toteutus alkaa perusasioiden kuntoon laittamisella eli inventaariotiedon keräämisellä ja täydentämisellä. Monella varmasti on jo CMDB-tietoa IT-resursseista ja käyttäjät on määritelty keskitettyyn identiteetinhallintapalveluun. Tästä on hyvä jatkaa. Sovellusten ja niiden ominaisuuksien listaamisen kohdalla homma menee hankalammaksi, ja viimeistään käyttöpolitiikan määrittely käyttäjien ja sovellusten välillä on vaikea ja raskas tehtävä. Työn helpottamiseksi ja tulosten saamiseksi on hyvä aloittaa riittävän karkealla jaottelulla niin, ettei politiikasta tule liian hienojakoista ja monimutkaista. Käyttöönotossa on oltava pitkäjänteinen ja työ kannattaa paloitella pienempiin osiin.

Vaikka aloitus tuntuu vaikealta, on parempi aloittaa pienestä ja yksinkertaisesta asiasta kuin olla tekemättä mitään. Identiteetin käytön vahvistaminen on avainasioita. Vahva autentikointi (MFA) kannattaa liittää mahdollisimman moneen käyttökohteeseen. Identiteettipalvelu Oktan tietomurrosta tai MFA-koodikaappauksista huolimatta mobiili-token tai SMS-koodi on parempi kuin ei mitään. Havainnoinnin parantaminen kannattaa aina. IT-ympäristöstä tulisi kerätä esim. loki-, tapahtuma- ja liikennetietoa, jotta toiminnasta saadaan rakennettua normaalitason kuvaaja. Sen pohjalta on sitten helpompi huomata poikkeamat. Käyttäjien tarkempaan havainnointiin on olemassa oma UEBA-tuotekategoria (User and Entity Behavior Analytics).

Käyttökohteet ja lähestyminen

Zero trust -mallia voi soveltaa mihin tahansa ympäristöön. Periaatteessa vain luovuus on rajana, mutta käytännön toteutus voi olla monimutkaisempi juttu. Zero trust -palvelua voi rakentaa SASE/SSE-palveluiden avulla, mutta myös itse tekemällä. Yksittäisellä tuotteella ei välttämättä saavuteta SASE:n toimintojen laajuutta, mutta toteutus voi olla helpompi ja tehokkaampi omaan IT-ympäristöön. Yrityksen toimintaympäristö ja toimintamalli määrittävät mikä ratkaisu on sopiva.

Karkeasti yritysten IT-ympäristöissä voidaan nähdä kaksi typpiä:

  1. Toimistoympäristöt, jossa tehdään enimmäkseen etätyötä ja käytetään pilvisovelluksia.
  2. Tuotantoympäristöt, jossa on omaa tuotannollista infraa ja järjestelmiä, toimipisteverkkoa ja WAN-yhteyksiä.

Käytännössä moni yritys on yhdistelmä molempia. Vaikka suunta on pilveen, yrityksellä on perinteisiä sovelluksia ja järjestelmiä omassa verkossa. Zero trust -ajatus ja SASE/SSE-palvelut sopivat erityisen hyvin toimistoympäristöön, jossa on paremmat edellytyksen integroida pilvisovellukset ja etätyöläiset keskitettyyn tietoturvaratkaisuun. Tuotantoympäristöissä on kuitenkin osia, joissa zero trust-mallia ja -tuotteita voi hyvin ottaa käyttöön. SD-WAN laajentaa yhtenäisen ja kattavan tietoturvaratkaisun kaikkiin toimipisteisiin. Kumppanien ja omien työntekijöiden etäyhteydet voi kierrättää modernisoidun keskitetyn tietoturvapisteen läpi ja näin turvata järjestelmien ylläpitokanavat. Pilvipalveluita ja IoT-laitteita on helpompi ja turvallisempi hyödyntää kun matkalle saadaan asianmukainen tietoturvakontrolli. Parhaassa tilanteessa parannetaan kyberturvallisuuden tasoa, mutta samalla annetaan mahdollisuus hyödyntää uusia ratkaisuja ja tehdään IT-ympäristön käytöstä ja ylläpidosta joustavampaa ja helpompaa.

Omassa ympäristössä kannattaa etsiä sopivia rajattuja kokonaisuuksia, joista lähteä liikkeelle. Riskiperusteisuus ja vaikuttavuus ovat hyviä lähtökohtia mietittäessä sopivia sovelluksia tai järjestelmiä. Suurin riski on yleensä ihmisessä, joten hyvä peruste on etsiä kohteita, joissa ihmisten kautta tuleva vaikutus järjestelmiin on suuri. Näitä ovat esimerkiksi etäyhteydet ja muut ulkoiset rajapinnat. Riskiperusteisesti saadaan kohdistettua turvaamista oikeisiin paikkoihin ja hyviä tuloksia vaikuttavuudessa. Pienemmilläkin teoilla voi olla merkittäviä vaikutuksia kokonaisturvallisuuden nostossa ja riskien pienentämisessä.

IT-ympäristön tyypin mukaan voi lähteä etsimään sopivaa ratkaisua eri lähtökohdista. Toimistoympäristössä, jossa työasemilta käytetään pilvisovelluksia, SaaS-mallinen SASE/SSE-tuote toimii hyvin. Laitteille asennetaan yleensä agenttisovellus, joka tunneloi liikenteen pilvipalveluun ja tietoturvatoimintojen läpi edelleen varsinaiseen kohteeseen. Kohde voi olla pilvipalvelu tai yrityksen omassa verkossa oleva palvelu. Myös perinteisiä järjestelmiä voi yleensä liittää kokonaisuuteen jonkinlaisen yhdistinagentin avulla. Agentin avulla päätelaitteesta ja sen näkemästä maailmankuvasta saa myös enemmän tietoa ja se voi olla hyvä apu esim. vianselvityksessä. Parhaimmillaan päätelaitteesta voidaan nähdä koko laitteen, sovellusten, verkon ja yhteyksien tila ja sen perusteella kohdistaa käyttäjän ongelmat suoraan oikeaan paikkaan.

Harva ympäristö on kuitenkaan pelkkää pilvisovellusta. Lähes kaikissa vähänkään isommissa yrityksissä on omaa verkkoa, jossa pyöritetään omia sovelluksia ja palveluita. Sovellukset ja järjestelmät voivat olla vanhanaikaisia ja niitä ei saa integroitua järkevästi zero trust-malliin. Verkon reunalla on yleensä palomuuri, joten hyvä vaihtoehto voi olla lähteä tuomaan zero trust -mallia verkkokeskeisesti palomuurin ominaisuuksia laajentamalla. Paikallisesti palomuurilla voidaan esim. lisätä käyttäjä- ja sovelluskohtaisia dynaamisempia sääntöjä ja  lisätä havainnointia keräämällä lokia ja analysoimalla sitä paremmin. Toimintoja palomuuriin voi lisätä joko palomuurivalmistajan itsensä tai sen kumppanin toimittamilla SASE/SSE-pilvipalveluilla, jolloin kokonaisuudesta alkaa tulla kattavammin zero trust-mallin mukainen. Toimipisteverkon palomuurit täydentävän saman yhdenmukaisen palvelutason kaikkiin toimipisteisiin. Virtualisoimalla palomuureja tai käyttämällä pilvialustan omia palomuureja, tietoturvaa voidaan levittää myös palveluiden ja sovellusten eteen hienojakoisemmin kuitenkin hallitsemalla toimintoja yhdenmukaisesti ja keskitetysti.

Tuotantoympäristöissä painopiste on hyvä kohdistaa hallintarajapintoihin, joista on pääsy ympäristön toimintakriittiseen ytimeen. OT-ympäristöt ovat kuitenkin melko erillisiä kokonaisuuksia ja suurin riski niille on IT-rajapinta, johon on helpompi hyökätä yleisillä tavoilla. Vanhentuneisiin ja avoimiin IT-järjestelmiin on helppo iskeä haittaohjelmilla ja sitä kautta lamauttaa tuotantotoimintaa. Siksi IT-kerroksen suojaaminen OT-verkon reunalla on tärkeää. Hyvä puoli on, että OT-järjestelmien suojaukseen toimivat samat yleiset työkalut, joita IT-puolella muutenkin käytetään.

Tuotehämmennys

Zero trust -mallin toteuttamiseen on tietysti paljon erilaisia tuotteita jokaiselta tietoturvavalmistajalta. Zero trust myös usein liitetään pilvi- ja SaaS-palveluihin, joita palveluntarjoaja myy asiakkaille. ZTNA on yksi SASE-palvelun peruspilareista, mutta SASE sisältää muutakin turvalliseen pääsyyn liittyvää toimintoa kuten palomuuri, Secure Web Gateway (SWG), Cloud Access, Security Broker (CASB) tai joku muu lukuisista ominaisuuksia. SASE:n määritelmä ei ole yhdenmukainen ja tuotteiden sisältö määrittyy valmistajan mielihalujen mukaan. SASE on siis yksi tapa lähteä toteuttamaan kokonaisvaltaista tietoturvaa ja zero trust -mallin käyttöönottoa. SASE:n saa yleensä palveluna pilvestä, mikä helpottaa ja nopeuttaa käyttöönottoa ja ylläpitoa. SASE:n etuna on kaikki tietoturvapalvelut tarpeen mukaan joustavasti yhdestä paikasta. SASE sisältää tietoturvaosuuden lisäksi myös verkkopuolen eli access-osuuden, jolla käyttäjät liitetään palveluihin tunneloimalla liikenne. Käyttäjät liittyvät SASE-palveluun yleensä valmistajan omien client-sovellusten avulla tai koko toimisteen osalta SD-WAN:n kautta. SASE-palvelussa käyttäjä ja palvelu kohtaavat toisensa kontrolloidusti.

Markkinakenttä ei kuitenkaan ole selkeä. Juuri kun ihmiset on saatu tutustutettua SASE:en, julkisuuteen tunkee uusi termi SSE (Security Service Edge). Käytännössä SSE on SASE ilman WAN-osuutta eli SD-WAN:ia. SSE toteuttaa tietoturvapalvelut pilvessä, mutta ei sisällä WAN-integrointia. SSE heijastelee markkinan kehitystä, jossa tietoturvaosuus kehittyi nopeammin yhtenäiseksi palvelukokonaisuudeksi kuin verkko-osuus. Tietoturva ostetaan monesti edelleen erillään verkosta, varsinkin isot yritykset valitsevat usein eri tuotteen tietoturvapalveluille ja verkolle. Pienemmät yritykset ottavat mielellään yhden SASE-ratkaisun, joka tarjoaa yhtenäisen tietoturva- ja WAN-ratkaisun. SSE siis kuvaa paremmin vain tietoturvatoiminnon sisältävän tuotekategorian ja yrittää tehdä eroa “kokonaisen SASE:n” ja “puolittaisin SSE:n” välille.

Valmistajien kesken kilpaillaan siitä kenen toteutus perustuu tehokkaaseen ja yhdenmukaisen Unified SASE- tai single-pass -arkkitehtuuriin, jossa tietoturvaominaisuudet ja verkko on tiukasti sidottu yhtenäisesti toimivaksi paketiksi. Yhdenmukainen ratkaisu tehostaa toimintaa ja helpottaa hallintaa. Toisilla valmistajilla tietoturvapalvelut voi olla koottu useiden yritysostojen kautta hajanaiseksi kokonaisuudeksi. SD-WAN -osuus voi olla eri valmistajalta erikseen integroitava toiminto. Markkinoilla on Dell’Oron mukaan yli 30 valmistajaa, mutta niistä kuitenkin vain kymmenen suurinta vastaa 80% myynnistä. Valmistajat vaihtelevat perinteisistä verkkolaite- ja palomuurivalmistajista tietoturvayrityksiin ja uudempiin startupeihin, joista osa onkin jo kasvanut uskottavan kokoisiksi toimijoiksi. Odotettavissa on kuitenkin hajanaisen kentän yhtenäistymistä yritysostojen ja yhdistymisten kautta.

Ratkaisun valinnassa kannattaa kiinnittää huomiota itselle sopivaan ominaisuusvalikoimaan ja sen joustavuuteen sekä teknisen toteutuksen että hinnoittelun osalta. Palveluiden maantieteellinen sijainti on yksi tekninen seikka, joka voi vaikuttaa käyttäjäkokemukseen. Kun IP-osoitteet lokalisoivat internet-yhteyden johonkin muuhun maahan, saattaa esim. palveluiden kieli tai sisällöt muuttua. Dynaamisen palvelun luonteen takia ip-sidonnaisten palveluiden toteuttaminen voi tulla hankalaksi. Lisäksi tietysti kaukana olevien palveluiden käytössä on yleensä suurempi viive ja enemmän riskejä luotettavuudessa, mutta näiden vaikutusta käyttökokemukseen on usein vaikea arvioida.

Laajempi kuva

Sovellusten väliset integraatiot rajapintojen kautta lisääntyvät hurjaa vauhtia. Niiden kierrättäminen SASE/SSE-palvelun läpi on myös mahdollista, jolloin saadaan sovellusten API-rajapintojen käyttöä turvattua. Sovellusrajapintojen suojaamiselle on oma tuotekategoriansa Web Application & API Protection (WAAP), joka on seuraava kehitysalkel Web Application Firewallista (WAF). Myös yrityksille tai kuluttajille tarjottavien SaaS-palveluiden ja esim. käyttäjäkohtaisen tiedon turvaamiseksi voi käyttää SASE/SSE-palveluita hyödyksi.

Etätyön myötä myös päätelaitteiden suojaaminen älykkäämmin EDR-tuottein, ja kokonaisnäkyvyys NDR- tai XDR-tuottein on hyödyllistä täydentämään kokonaiskuvaa. Automaattisen havainnoinnin ja nopeiden vasteiden merkitys kasvaa koko ajan. Se tarkoittaa keskitettyjä ja yhteen integroituja ratkaisuja, hyvää tekoälyavusteista analysointikykyä ja valmiiksi mietittyjä automatisoituja toimenpiteitä. Nopealla havainnoinnilla ja automaattisilla toimenpiteillä voidaan estää suuremmat vahingot. Automaatio on tässä tärkeässä roolissa. Omaa verkkoa tai palveluita on hyvä seurata ulkoapäin esim. EASM-työkaluilla (External Attack Surface Management) tai EWS-havainnoinnilla (Early Warning System), joka kertoo mitä omista palveluista tai tiedoista näkyy julkisesti internetissä.

Katse tulevaisuuteen

Kovimmat intoilijat ovat jo herätelleet ideaa palomuureista ja VPN-yhteyksistä luopumisesta. Ehkä ihan vielä ei ole se päivä kun kaikki muurit romutetaan ja VPN-yhteydet ajetaan alas. Lopulta kuitenkin on kyse vain toimintojen siirtämisestä eri paikkaan tai muotoon, ei varsinaisesti niistä luopumisesta. VPN-yhteydet on ihan mahdollista ja järkevääkin korvata SASE-palvelulla. Omassa tuotantoverkossa kuitenkin tarvitaan edelleen fyysistä ja loogista reunaa ja segmentointia palomuurein. Omat palomuurit tekevät keskitettyä yleiskontrollia ja makrosegmentointia suojaten muuta infraa ja tuoden kokonaisnäkyvyyttä kaikkeen verkkoliikenteeseen. Palomuurit jatkavat rinnakkaiseloa uudempien ratkaisujen kanssa muuttaen myös itse muotoaan. Pilven ja zero trust-mallin myötä palomuurien virtualisointi ja hajauttaminen on entistä ajankohtaisempaa. SASE-palvelut myös siirtävät palomuuritoimintoja pilveen.

Elämme sovellusten maailmassa, jossa infra on irrotettava sovellustoiminnoista ja tietoturvasta. Tietoturvalähestyminen kaipaa modernisointia nykypäivän tasolle ja keskittymistä oikeisiin asioihin. Riskit toiminnan jatkuvuudelle kasvavat jatkuvasti ja riskiä on syytä hallita riskinhallinnan menetelmillä. Onneksi pienilläkin teoilla on iso vaikutus ja riskiä voi pienentää olennaisesti hoitamalla perusasioita kuntoon. Ikävä sanoa, mutta riittää, että on parempi kuin huonoimmat. Hyökkäykset kohdistuvat yleensä helppoihin kohteisiin, joten tekemällä hyökkäämisestä vähän vaikeampaa, voi estää haittaohjelman tai tietomurron kokonaan. Kokonaisuutta miettiessä toimiva keskinkertainen ratkaisu on monesti parempi kuin teknisesti hieno ja monimutkainen puolittaisesti käyttöön saatu ratkaisu.

[FI] Tietoliikennealan katsaus 2022-08

Ongelmat

Palvelunestohyökkäyksiä on sadellut ainakin Suomeen, Viroon ja Taiwaniin. Taustalla on ollut tietysti Venäjä ja Kiina. Eduskunnan webbisivut kaadetiin 9.8. ja perään  Valtioneuvoston julkaisuarkisto kaatui 10.8. Viron julkishallintoon ja yrityksiin kohdistettiin kova isku 17.8. mutta Viron digitapalvelut selviytyivät ja hyökkäyksiä ei välttämättä edes havaittu palveluiden käytössä. Taiwanissa kaadettiin amerikkailaisten ja taiwanilaisten yritysten sivuja Nancy Pelosin vierailun aikana. Myös esim. Triump Dynastyn verkko kaatui 2.8.

Google kertoi 1.6. tapahtuneesta ennätyksellisestä hyökkäyksestä asiakastaan kohtaan. Googlen Cloud Armor oli käytössä ja torjui hyökkäyksen. Voimakkuus oli pahimmillaan 46 miljoonaa https-kyselyä sekunnissa. Hyökkäys alkoi 10000 rps -tasolta ja kymmenkertaistui 8 minuutissa. Silloin Cloud Armor puuttui peliin. Parin minuutin päästä oltiinkin jo 46 mrps -tasolla. Hyökkäys tuli yli 5000 ip-osoitteesta 132 maassa. Salattu https-protokolla tarkoittaa, että hyökkäyskoneet olivat tehokkaita. Tor exit -nodeja käytettiin liikenteen välityksessä. Vaikka ne tässä olivatkin vain 3% hyökkäysvoimasta, exit-nodejen kautta voidaan saada kova hyökkäysvoima.

Brittiläinen Quickhost kaappasi Amazonin 44.235.216.0/24-verkon mainostamalla sitä omassa AS-SET:ssä. RPKI-validoinnista se meni läpi, koska origin AS oli oikein ja kyseessä oli harvinainen tilanne että verkko mainostui vain yhden operaattorin kautta. Amazon korjasi tilanteen nopeasti mainostamalla saman tarkemman prefixin omasta verkosta.

Googlen suurimman konesalin “räjähdys” sai mediahuomiota. Council Bluffsin konesalissa Iowassa tapahtui sähköonnettomuus, jossa valokaaresta loukkaantui kolme asentajaa. Mitään ei kuitenkaan räjähtänyt ja onnettomuus tapahtui konesalirakennuksen ulkopuolisessa sähköjakamossa.

Starlinkillä oli 30.8. maailmanlaajuinen kolmen tunnin katko tai palvelutason alenema, josta ei paljon tietoa herunut muuten kuin käyttäjien vikailmoitusten kautta. Starlinkiltä ei löydy status-sivua ja asiakaspalvelu ei tiennyt tai välittänyt ongelmasta, saati että ongelmasta olisi saatu joku selvitys. Luotettavuus ja raportointi ei taida kuulu Muskin yritysperheen ominaisuuksiin.

Venäjän hyökkäys Viasatin satelliittiverkkoon helmikuussa vaikutti myös Ranskan hätäpuheluihin, Suljetun kokouksen pöytäkirjasta selviää, että ambulanssin ja palokunnan hätänumeroiden varareitti kulkee satelliitin kautta. Tarkempaa vaikutusta häiriöstä ei kuvattu.

Seamewe-5 -merikaapelissa oli katko Suezin kanavan osuudella. Lähes 20000 km kaapeli kulkee Marseillesista Singaporeen. Häiriö tapahtui pakistanilaisen Transworld Associatesin verkossa ja vaikutukset jäivät paikallisiksi. Katko oli maanpäällisessä osassa kaapelia ja siksi korjaus oli nopeampaa ja se ei haitannut Suezin kanaalin laivaliikennettä.

Operaattorit ja 5G

Omnitelen heinäkuun mobiiliverkkojen tiedonsiirtonopeusvertailu selvitti nopeudet kahdeksassa kaupungissa Suomessa. Kaikilla kolmella operaattorilla nopeus oli hyvä. Paikallista vaihtelua oli, mutta keskimäärin paras oli DNA. 5G-nopeus oli kaikilla erittäin hyvä.

Juuri kun 5G:tä on markkinoitu pienellä viiveellä, Ericsson hämmentää vähättelemällä viiveen merkitystä käyttökokemuksessa. 5G-verkoissa nopeus on keskimäärin hyvä ja viive riittävän alhainen. Viiveellä ei loppupelissä olekaan käyttäjälle niin paljon merkitystä ja verkkopelitkin toimivat mobiiliverkon yli. Ultra-alhainen viive (<10ms) on vain koneille tarkoitetun m2m-käytön ominaisuus. Ihmiskäyttäjälle 30 ms viive on hyvä ja tärkeintä on tasainen viive ilman hidastumispiikkejä. Pilvipelaaminen nähdään yhdeksi seuraavaksi operaattorien liiketoimintamahdollisuudeksi.

Kuidun symmetrisyys on valtti, mutta tarvitaanko sitä oikeasti? Openvaultin datan mukaan uplink-käyttö on kasvanut nopeammin kuin downlink-käyttö. Muutamassa vuodessa uplinkin käyttö on kasvanut 2,6-kertaiseksi ja downlinkin käyttö 2,3-kertaiseksi. Kanadassa kiinteän verkon tilasto kertoo päinvastaista. Odotuksista huolimatta uplink-kapasiteettia käytetään suhteessa entistä vähemmän. Ehkä kyseessä on kasvava striimaus. Bostonilainen Starry on tuotteistanut upload boost -ominaisuuden, jonka voi tilata lisähintaan kasvattamaan liittymän kapasiteetin symmetriseksi.

Kuitumarkkina on saanut buustin Suomessa ja ainakin pääkaupunkiseudulla Täyskuitu, Onefiber ja Valokuitunen ovat olleet aktiivisia. Onefiber kuuluu ruotsalaiseen Globalconnect-leiriin . Täyskuidun takana olevan Adolan Tommi Linna kommentoi postauksessaan mobiilioperaattorien asennetta ja Elisan ja Adolan välistä markkinaoikeustaistelua. Itse olen Täyskuidun alueella ja seurannut sen kampanjointia. Samaa yliampuvaa markkinointia tulee Adolalta yhtälailla. Mutta kuidun saaminen koteihin on tarpeellista ja nyt tarjoukset ovat todella houkuttelevia. Taustalla pyörii rahaa ja toivottavasti kuluttajaystävällistä kuitua ja internet-yhteyttä saadaan tällä kierroksella rakennettua.

Amerikassa laajakaistarahoitus on potenssiin kaksi ja siellä yhden miehen paikallisputiikkikin voi saada miljoonia. Akamain arkkitehti Jared Mauch on noussut sankariksi mediassa ja Michiganin peräkylillä omalla paikallisella kuituoperaattoritoiminnallaan. Toiminta alkoi omasta tarpeesta kun isoilla operaattoreille ei ollut järkevää yhteystarjontaa alueelle. Nyt 30 kodin asiakaskunta on yli tuplaantunut ja tuen avulla pitäisi laajentaa toimintaa lähes 600 kiinteistöön. Verkossa on reilut 20 km kuitua ja vaatimus on rakentaa 60 km lisää. Operaattori tarjoaa 100/100M-yhteyttä hintaan 55$/kk ja 1/1G 79$/kk. Asennusmaksu on tyypillisesti 199$.

Toisin on käynyt Starlinkille ja LTD Broadbandille, kun FCC on peruuttanut niiden laajakaistatuet. Starlinkin tukeminen ei voi kohdistua liikemiehen seikkailuihin, joista ei varmuudella tule luotettavaa ja kustannustehokasta palvelua. Nopeudet eivät ole riittäviä ja laitteiden kustannus on liikaa. Vaikka teknologia on lupaavaa, kysymys on siitä voiko julkista tukea antaa orastavalle kehityshankkeelle, jonka budjetti on lähes miljardi seuraavaan kymmenen vuoden aikana ja kapasiteetti kuitenkin hyvin rajoittunut. Minnesotalainen pieni langattoman verkon paikallisoperaattori LTD Broadband taas ei ole kyennyt rakentamaan lupaamaansa kuituverkkoa aikataulussa tai muutenkaan skaalaamaan toimintaa ehtojen mukaisesti. LTD oli saanut suurimman 1,32 miljardin dollarin potin. FCC:llä on vielä jakamatta tukea ja sitä hakevat langattoman gigabit-verkon operaattorit. FCC ei ole vielä päättänyt miten suhtautua näihin ja alueet joutuvat nyt elämään epävarmuudessa odottaen.

Starlink on saanut uudet 46 satelliittia kiertoradalle Falcon 9 -raketin kyydissä. Laukaisu näkyi Suomenkin taivaalla. Huhut Iphone14:n satelliittipuheluista ja Starlinkin liitosta ovat jälleen laukalla. Musk ehkä vain ratsastaa medialla. T-Mobile on allokoinut taajuutta Starlinkin viestintäpalveluille USA:ssa. Starlinkillä ei kuitenkaan ole viranomaislupaa toisen sukupolven sateelliiteille, eikä välineitä saada niitä taivaalle. Aikatalulu on hyvin epäselvä. Satelliittipuhelut ovat kuitenkin nousemassa nyt esiin. Verizon alkaa käyttää Amazonin Kuiperia ja AT&T Onewebiä. Mukana on myös AST Spacemobile ja Lynk. Lynkillä on ainoana yksi toimiva puhelusatelliitti ja lupahakemus vetämässä 35 maahan tämän vuoden ainakan. Lynkillä on sopimuksia muiden kuin amerikkalaisten operaattorien kanssa yhteensä 1,8 miljardille tilaajalle. AST käyttää Nokian Airscale-tukiasemia puheluiden välittämiseen. Tavoite on 168 satelliitin verkossa. Satelliitilla on 64 neliömetrin kokoinen antennimatriisi, jolla se välittää liikenteen maahan. Dean Bubley arvioi, että NTN-verkkojen eli avaruusviestinnän kehitys on hyvin hidasta ja siihen liittyy monia kysymyksiä. Käyttökohteet ovat todennäköisesti pienen volyymin palveluita siellä missä muut kommunikointitavat eivät toimi.

BT ja Nokia ovat esitelleet nelikanavayhdistelyä 5G-liveverkossa. USA:n taajuussekoilu jatkuu nyt Ligadon langattoman verkon mahdollisilla häiriöillä GPS-siganaaleille. 5G:n IoT-API -rajapintojen kautta tarjotaan tietoa kehittäjille. Vähän liiankin avoimesti. Tutkijaryhmä tarkasteli kymmentä verkkoa, joista löytyi kaikista samoja perushaavoittuvuuksia pääsynhallinnassa, rajapintojen pystytyksessä, sim-kortin ja laskutustietojen käsittelyssä. Jopa käyttäjädataa sai ulos alustasta ja IoT-laitteisiin pääsi kiinni luvattomasti. USA:n suurimmista mobiilioperaattoreista kaksi kolmasosaa kerää paikannustietoa, josta käyttäjä ei voi kieltäytyä. Operaattorit väittävät, että ne tarvitsevat tietoja viranomaisvaatimuksia varten ja keräystä ei voi antaa käyttäjille valinnaiseksi ominaisuudeksi.

Lightreading on verrannut operaattorien ja big tech -yhtiöiden tuotekehitysbudjetteja. Operaattorien tuotekehitysmenot ovat säälittävän pieniä verrattuna laitevalmistajiin tai pilviyhtiöihin. Budjetit pienenevät jatkuvasti, ja yhä isompi osa operaattorien ominaisuuksista ja alustoista valuu pilviyhtiöille ja valmistajille. Innovointi keskittyy toimittajille. Operaattorit haluavat olla älykkäämpiä ja tuottaa ylemmän tason palveluita, mutta käytäntö on toinen. Bellin ja AT&T:n historiassa on merkillisiä innovaatioita. AT&T:llä on aikoinaan luotu kokonainen BSP-kirjasto eli Bell System Practices -puhelinlaitoksen toiminnan parhaista menetelmistä. Mukana on mm. saippuan annostelujärjestelmä, mutta myös elektronisesti operoitu filmikamera, jolla kuvattiin liikennerekisterien tilaa. Kuvien perusteella voitiin suunnitella ja optimoida puhelinkeskuksen välityskapasiteettia. Kamerat olivat käytössä noin 1940-70, kunnes siirryttiin tietokonejärjestelmiin.

Dell’Oron mukaan tukiasemaverkkoihin investointi on pienentynyt ensimmäistä kertaa yli kahteen vuoteen. Nokia ja Ericsson on työnnetty ulos Kiinasta, jossa maan omat merkit jyräävät 95% markkinaosuudella. Ericsson johtaa Kiinan ulkopuolella 39% markkinaosuudella. Trendforcen tilastoissa Huawei, Ericsson ja Nokia ottavat 74,5% markkinaosuuden. Huawei johtaa edelleen kaikesta huolimatta, koska Kiina on niin valtava markkina. Lisäksi Huawei menestyy mm. Etelä-Afrikassa, Saudi-Arabiassa, Turkissa, Vietnamissa ja Brasiliassa. Kiinassa on nyt 1,85 miljoonaa 5G-tukiasemaa ja 475 miljoonaa käyttäjää. Sillä se on selvästi maailman suurin mobiiliverkkomarkkina. Suomi on hyvin marginaalien markkina muutamien kymmenien tuhansien tukiasemien määrillä.

Globalconnectin uusi runkokaapeli “digitaalinen E4” Berliinin ja Haaparannan välillä on valmistumassa Tukholman pohjoispuolella tämän vuoden aikana. Matkalla on 13 vahvistinasemaa, joihin voidaan liittää uusia kytkentöjä. Kaapeli palvelee siis koko Ruotsin pohjoisosaa. Etelässä kuitu kiertelee Ruotsin saaret Bornholmin, Öölannin ja Gotlannin. Nyteknikin artikkelissa on kuvia asennuksesta.

Pilvi ja konesali

Bessemer on rankannut sata suurinta pilviyhtiötä. Pilvikenttä on hyvin USA-keskeistä, Suomesta mukaan on päässyt Aiven sijalla 78 ja Euroopasta mukana on vain muutamia yrityksiä. Forbes on tehnyt yhteenvedon yrityksistä.

Käyttäjän kannalta pilveen siirtymällä ei säästä rahaa. Miksi? Koska ympäristöön ei ole riittävää valvontaa ja näkyvyyttä, käytölle ei ole kuria ja sääntöjä, ja pilviresursseja ei optimoida. Laajemmin ajateltuna pilvi muuttaa kustannuksia, koska pilvellä tehdään asioita, joita ei ole aiemmin tehty. Siksi ei voi edes olettaa, että kustannukset laskisivat. Toinen juttu on, että hybridimallinen arkkitehtuuri lisää todennäköisesti pilvikustannuksia kun tietoa joudutaan liikuttamaan pilveen ja ulos, tai tallentamaan pilvikapasiteettiin. Lisäksi yrityksillä tuntuu olevan tunnelinäkö, jossa huomioidaan vain tiedossa olevat kulut ja unohdetaan muut vaihtoehdot. Kaikki alkaa sovellusarkkitehtuurista. Jos se on väärin, mikään kuluoptimointi ei sitä korjaa.

Hashicorpin pilvistrategiakyselyn mukaan monipilvi kasvaa ja luo liiketoimintahyötyä. Forrester antaa suositukset monipilveen: räätälöi pilvi liiketoiminnan tarpeisiin, automatisoi operointi ja tietoturva, luo alustatiimi vastamaan kaikista kerroksista. Toiset työkuormat kuitenkin liikkuvat pois pilvestä. Tekoäly ja koneoppiminen on kustannustehokkaampaa ja suorituskykyisempää omilla laitteilla. Isoissa yrityksissä esim. kaupan alalla on järkevämpää tehdä koneoppimista ja ennusteita paikallisesti. Lisäksi tiedon suojaaminen voi olla iso syy tehdä kaikki omassa ympäristössä. Tosin itse tekeminen vaatii aika rajuja panostuksia osaamiseen ja tuottaa piilokuluja, mikä ei ole mahdollista pienemmille yrityksille. Käyttötarve pitää olla riittävän vaativa, jotta kannattaa tehdä itse.

AWS:stä on tullut selvästi IT-toimittaja ja se on matkalle maailman suurimmaksi. Lenovo on jäämässä jalkoihin tänä vuonna ja Dell on vuorossa seuraavana. Cisco, HPE ja IBM ovat jo jääneet taakse. AWS:llä on nyt 84 availability zonea 26 alueella. Kapasiteettiin on kulutettu 120 miljardia dollaria AWS:n elinaikana. AWS:n investointien osuus Amazonin kaikista investoinneista on noussut jo 60%:iin. Maailmantaloudesta tulee iskuja, mutta rahakas yhtiö pystyy ottamaan niitä vastaan. Kilpailijoilla nähtyjä asiakasalennuksien lisäyksiä ei ole nähty, muille kuin täysillä sisään tuleville asiakkaille.

AWS Private 5G on nyt julkisesti saatavilla, mutta lässähtäneenä betaversiona. Nimestä huolimatta se ei tue 5G:tä, vain 4G:tä. Mobiili-coren voi tehdä vain kolmelle pilvialueelle USA:n itä- ja länsirannikoilla ja tuki löytyy vain yhdelle radiolle 150 Mbps -kapasiteetilla. Blogissa esitellään miten tuotetta käytetään.

Pilven myötä tietoliikenne ja asiantuntijan työ muuttuu. Toni Pasanen on vääntänyt kirjan Azure-tietoliikenteestä ja se on ostettavissa sopuhintaan. Googlella GCP:n ipv6-tuki on nyt julkisesti saatavilla joka paikassa. Työpaikkailmoituksesta päätellen AWS yrittää tuotteistaa NaaS-palvelua operaattoreille.

Pilvijätit tekevät omat piirinsä omaan käyttötarkoitukseen. AWS:n historiassa on viisi omaa prosessoria: Graviton CPU, ML inference -prosessori, Trainium ML-opetusprosessori, Nitro IO ja Nitro System -offloadausprosessorit. Nitro on jo 10 vuotta vanha ja sitä on asennettu lähes jokaiseen palvelimeen tasaamaan hypervisorin kuormaa. AWS:n blogi esittelee labraa missä piirejä tehdään. Myös Youtube on tehnyt oman Argos-piirinsä videoiden transkoodaukseen. Sen avulla on saatu 20-33 -kertainen suorituskyky. Argos v2 on nyt tuhansissa palvelimissa ja kaksi seuraavaa versiota on jo kehityksessä.

Miten sitten saataisiin Mooren lakia kierrettyä varsinkin kun kaikki tehdään softalla? Demikernel on ensimmäinen nanosekuntitason käyttöjärjestelmä, jossa paketti saadaan verkkokortilta sovellukselle 100 nanosekunnissa. DPDK:n avulla prosessorin yksi core pystyy käsittelemään miljoona pakettia sekunnissa. Ratkaisu vaatii koko käyttöjärjestelmän uudelleenkirjoittamista. CPU:n softaoptimoinnilla on kuitenkin rajansa. Siksi rauta on otettava mukaan ja toimintoja siirrettävä raudalle. Kernel bypass on klassinen offload-menetelmä, joka on nyt tullut ajankohtaiseksi. Se taas on vaikea käyttää ja siksi vaatii abstraktointia ja sovellusrajapintaa sovelluksen suuntaan. Avoimia asioita kuitenkin on vielä mitä protokollia yleensäkään pitäisi offloadata, onko enää paikallisia levyjä vai kytketäänkö kaikki tallennus verkkoon, miten ajoitus sovellusten raudankäytössä hoidetaan ja miten raudan turvallisuus ja resurssien erotus toteutetaan?

Digitalocean on ostamassa Cloudways:n, joka on 280 työntekijän SMB-sektorin palveluntarjoaja noin 70000 asiakkaalle. OVH nostaa hintoja joulukuun alusta 10%:lla, Hetzner syyskuun alusta.

AWS:n tietoturvaa johtaa entinen FBI-läinen CJ Moses. Tietoturva ei aiheuta AWS:llä erityistä työtä, koska se on osa kaikkia tuotteita ja toimintaa. Kun tietoturva on jokaisen tuoteryhmän omalla vastuulla, niin itsenäiset ryhmät hoitavat tietoturva-asiatkin nopeasti ja vastuullisesti eteenpäin. Tuotannon haavoittuvuuksia ja ongelmia pyritään kuitenkin välttämään mahdollisimman paljon, koska tuotannossa korjaaminen on erittäin kallista. Tietoturvan siirtäminen vasemmalle ja tuotteiden testaaminen ovat siis suuressa roolissa.

AWS ja muut isot toimijat julkaisivat avoimen Open Cybersecurity Schema Frameworkin (OCSF), josta on tulossa kyberin de facto -formaatti. Sen tarkoituksena on yhdenmukaistaa hajanaista kenttää ja sen kautta nopeuttaa havainnointia ja vastetta sekä laskea kustannuksia. Mukana on 17 isoa taloa Splunkista Paloaltoon ja Zscalerista Broadcomiin. Julkistuksia on tulossa nopeasti ja valmistajakohtaisen koodin ja connectorien on määrä vähentyä nopeasti. Tähän asti valmistajat ovat saaneet kilpailuetua omista suljetuista tuotteista, mutta ehkä aika on nyt kypsä yhteistyölle kokonaiskuvaa ajatellen.

Kyberturvallisuus

Rebootin digiturvatutkimuksessa Suomi nousee maailman turvallisimmaksi maaksi. Phishing-sivuja Suomessa on, mutta korkattuja koneita todella vähän. Suomi on tunnettu verkkojen ja päätelaitteiden hyvästä hygieniasta. Listalla muut kärkisijat menevät yllättäen Väli- ja Etelä-Amerikan maille Hondurasille, Guatemalalle ja Paraguaylle. Euroopan kärkeen sijoittuivat Itävalta, Norja, Sveitsi ja Belgia. Huonoimmat maat olivat Indonesia, Kypros, Malesia, Vietnam ja Bulgaria, ja Euroopassa lisäksi Romania ja Valko-Venäjä.

Huoltovarmuuskeskus julkaisi kybersuosituksia mediayrityksille. Materiaalissa on listattu perusperiaatteita ja ohjeita toimintaan yleisesti ja eri roolin henkilöille. Materiaali osoveltuu kaikille yrityksille.

Venäjällä IT-osaajien asuntolainojen korkoa on tiputettu parilla prosenttiyksiköllä ja lainojen nostoon on annettu etuoikeuksia, jotta asiantuntijat saataisiin pysymään maassa. Moskovassa toimii 29% maan IT-yrityksistä ja sitä pidetään Venäjän IT-alan kehityksen johtajana. Atlasvpn:n mukaan venäläisistä jo 24% käyttää VPN-palveluita kiertämään propagandaa. Sotaa ennen osuus oli alle 10%. Myös Ukrainassa vpn-käyttö on lisääntynyt vajaaseen 10%:iin käyttäjistä. Venäjä lisää voimaa väärinkäyttäytyviä medioita vastaan. Tiktok, Telegram, Zoom, Discord ja Pinterest kieltäytyivät noudattamasta sisältösensuuria ja saavat nyt viranomaiset peräänsä.

Lockbit-jengiä vastaan on pommitetu DDoS:ia. Syynä taitaa olla Entrustin häkkäys ja julkisuuteen vuodettu varastettu tieto. Valkohatut sen sijaan ovat ottaneet haltuun käytöstä poistetun satelliitin, jonka kautta he striimasivat puheita ja elokuvaa. Rojuradalle ajettu sateelliitti on oikeilla välineillä helppo ottaa uudelleenkäyttöön ja se voi muodostaa uhkan väärinkäytöksille.

CISA on lisännyt seitsemän uutta haavoittuvuutta yleisesti käytettyjen haavojen listalle. Paloalton RCE-haavoittuvuus pääsi listalle.

Watchguardin palomuureissa on myös jälleen RCE-haavoittuvuus. Linuxin Netfilterin bugi antaa mahdollisuuden nostaa oikeuksia järjestelmässä. Talos on löytänyt uuden C&C-pilvipalvelun Dark Utilities, jonka kautta voi orkestroida hyökkäyksiä.

Cisco on myöntänyt Lapsus$-jengin päässeen sisään sen yritysverkkoon. Tapaus sattui jo kuukausia sitten mutta tuli nyt julki kun tiedostoja löytyi netistä. Ciscon ja Taloksen mukaan mitään toimintaa vaarantavaa tietoa ei päässyt ulos. Kyseessä oli työntekijän Box-pilvitallennustilin kautta tapahtunut hyökkäys. Vuoto tapahtui kun MFA murtui puhelinsoittohuijauksilla ja Citrix-palvelinten kautta pääsi DC-palvelimille etsimään tunnuksia ja asentamaan takaovia. Tunnus lukittiin, mutta hakkeri yritti samaa huijaustaktiikkaa monta kertaa uudelleen. Sen jälkeen johdolta yritettiin kiristää 3700 tiedoston avulla lunnaita.

Initial Acccess Brokers on tärkeä osa haittaohjelmaketjua. Recorded Future on julkaissut raportin miten skene toimii ja mikä IAB:n rooli on. ThinkstScapes raportoi Q2:n tietoturvateemat moderneista verkoista ohjelmointikieliin ja niiden ekosysteemeihin, rautakomponenteista erikoisempiin haavoittuvuuksiin. Atlantic Councilin raportti Behind the rise of ransomware kertoo taustoista ja antaa kolme suositusta: pakollinen raportointivelvollisuus tapauksista, verohelpotukset ja tuki pienyrityksille tietoturvan parantamiseksi ja osaajien palkkaamiseksi. Brian Krebsin mukaan alan on tuotettava parempia ja turvallisempia tuotteita. Jos Suomessa on sekava kolmen toimijan kyberkenttä, USA:ssa on 5-6 viranomaista joiden kanssa asioida. CISA voisi toimia yhden luukun kontaktina.

Esimerkkinä huonoista tuotteista toimii SSO Wall of Shame, jossa listataan tuotteet joissa SSO-ominaisuus on luksusta ja maksaa erikseen. Kybervakuutusten myöntämisestä on tullut riskaabelia toimintaa. Vakuutusyhtiöt tajusivat, että pilven kautta saa näkyvyyden asiakkaan IT-ympäristöön ja sitä kautta paremman selvyyden vakuutusehtoihin. Vakuutusyhtiöt ovat nyt lyöttäytyneet yhteen pilvialustojen kanssa.

Vaikka suurin osa hakkereita toimii Venäjällä, Kiina on silti isompi uhka, ainakin USA:lle ja monille länsimaille. Kiinalla on tähtäimessä tietotaidon varastaminen laajalla rintamalla. Venäläiset luovat kaaosta, Kiina toimii näkymättömästi. Kiina ei välttämättä ole teknisesti edistynein, mutta suurella massalla onnistuu joskus. Viime vuodet on käytetty kalastelun lisäksi haavoituvuuksia ja Kiinan hallitus on nyt mestari haavoittuvuuksien hyväksikäytössä. Myös kekseliäämpiä hyökkäyksiä, kuten toimitusketjua, on käytetty. Tietovuotoa voi yrittää estää erilaisin DLP-tuottein, haavoittuvuushallinnalla, kunnollisella autentikoinnilla ja zero trust -mallilla. Kiina kuitenkin levittää silkkitietänsä myös fyysisesti ja sen kautta voi tulla toisenlainen uhka.

Italiassa lymyää Euroopan oma NSO ja Pegasus. Roomalaisen Tykelabin ja sen omistajan RCS Labin vakoiluohjelma Hermit asentuu puhelimeen ja sillä voidaan vakoilla liikennettä puhelinverkon SS7-signaloinnin haavoittuvuuksia hyödyntämällä. Yrityksen tiedetään hyväksikäyttäneen verkkoja eriltyisesti Tyynenmeren saarilla ja seuranneen monen maan kansalaisia. Toiminta on ollut kasvussa tämän vuoden ja nyt se näyttää olevan jatkuvaa. EU on huolissaan käsistä lähteneestä vakoituteollisuudesta ja kuuluttaa alan reguloinnin tarpeellisuutta. Pegasus-vakoiluohjelman prototyypistä Syaphanista on julkaistu kuvia, joista voi päätellä minkälainen ohjelma Pegasus on.

Kiinalaistutkijat ovat kehittäneet menetelmän vakoilla puhetta rakennuksen sisältä ulos tulevan kuidun avulla. Tekniikka perustuu siihen, että äänet aiheuttavat kuituun vaihevaihtelua, jonka voi havaita interferometrillä jopa yli kilometrin päästä.

Githubin 35000 repoa kloonattiin haittaohjelmakäyttöön. Githubia tai repoja ei siis mitenkään häkätty, vaan niistä tehtiin muokattu kopio. Mukana ei ollut merkittävimpiä projekteja ja haitalliset kloonirepot laitettiin karanteeniin. Githubissa voi nyt allekirjoittaa ssh-commitin ssh-avaimella ja se näkyy “verified”-statuksella. Ssh:n sormenjäljet voi varmistaa myös DNS:n SSHFP-tietueen kautta. Tutkimus osoittaa, että käyttö on pientä: vain 0,1 promillea domaineista käyttää SSHFP-tietuetta ja niistäkin yli puolet ilman DNSSEC:iä, mikä olisi luotettavuuden vaatimus.

Paloalton Unit 42 on polkaissut käyntiin MDR-palvelun, joka pohjautuu Cortex XDR -tuotteeseen. Palvelu sisältää valvonnan ja vasteen, ennakoivan uhkienmetsästyksen ja säännöllisen tietoturvakatselmoinnin. Netskope on ostanut pilvitietoliikenneyhtiö Infiotin, jolla se pääsee lähemmäksi integroitua SASE-alustaa. Infiotin Borderless WAN on ollut lupaava ja palkittu tuote. Netskopen SASE-gatewayt saavat pilviverkon kylkeensä. Kesäkuussa Netskope osti myös Wootcloudin IoT-ympäristöjen zero trust -kykyjen parantamiseksi. Netskope haluaa yhdistää ja yksinkertaistaa teknologiaa asiakkaiden vaatimuksesta. Sijoittaja Thoma Bravo taas katselee Darktracea ostoaikein.

Mielenkiintoinen suunnitteluperiaate on tietoturvan parantaminen hajauttamalla. Yksittäinen järjestelmän komponentti voi olla heikko, mutta kokonaisuutena niistä voi muodostua turvallinen järjestelmä. Erilaisia komponentteja usein väheksytään tiukan vakioidun rakenteen sijaan. Erilaisuuden kautta voidaan tilastollista tunnettua uhkaa vähentää niin, että järjestelmä kestää jopa tuntemattomat uhkat ja häiriöt. Kovennuksien ja kapasiteetin lisäämisen sijaan erilaisten komponenttien lisäämisellä on suurempi vaikutus järjestelmän oletettuun käytettävyyteen ja kestävyyteen.

Ilmaista kyberturvakoulutusta on koottu 11 kurssin tai koulutusohjelman listalle.

Tekniikka ja operointi

Yli 40 vuotta vanha TCP:n alkuperäinen RFC793 vuodetlta 1981 jää turhaksi kun päivitetty RFC9293 korvaa sen. Spanning-treen äiti Radia Perlman puhuu ethernetin ja protokollien suunnittelusta esityksessään. Jo aikoinaan sovellusten teossa oiottiin ja ne haluttiin tehdä juttelemaan suoraan ethernet-tasolla ilman hankalaa ip:tä. Siitä syntyi tarve ethernet-segmenttien siltaamiselle ja puurakenteen luuppien hallinnalle eli spanning-treelle. Radia teki oman algorhyme-runonkin protokollan toiminnasta. STP:n piti olla nopea häkkäys ja ip:n lopullinen ratkaisu, mutta kuinkas kävikään. STP ja ethernet jäi. Maailma olisi paljon yksinkertaisempi ilman ethernetiä, mutta ip taas on hyvin konfiguraatiointensiivinen. Mutta onhan meillä CLNP, joka on puhdas L3-protokolla. 1992 olisi voitu valita toisin, mutta ip voitti. Ip:n mukana tuli myös ylimääräinen protokolla arp. Radia avaa myös sitä miksi ISIS hello timer ei tarvitse olla sama naapureilla, kun OSPF:ssä pitää. ISIS suunniteltiin oikein ja siinä on asetettavat parametrit, jotka eivät riipu toisesta osapuolesta mutta tietävät mitä toiselta odottaa.

Google kertoo Jupiter-verkon kehityksestä. Konesaliverkon kapasiteettia voi kasvattaa uusimalla kytkimiä, mutta se ei ole käytännöllinen tapa massiivisessa verkossa. Sen sijaan Google korvasi spine-kerroksen optisilla kytkimillä, jotka eivät ota kantaa protokolliin ja porttikapasiteettiin. Apollo OCS -kytkimestä tulee osa datacenter-kaapelointia ja se tukee erilaisia nopeuksia joustavasti. Verkosta tulee nopeampi, edullisempi ja energiatehokkaampi. Samalla kyllä menetetään CLOS-topologian ennustettavuus ja vikasietoisuus, mutta Google käyttää uuden mesh-verkon reaaliaikaiseen liikenteenohjaukseen SDN-kontrolleria. Verkon päivitykset saadaan tehtyä lennossa, mikä myös säästää aikaa ja vaivaa.

Serve The Home esittelee Lightmatterin Passagen, joka on piikiekkotason kytkentämatriisi chiplet-prosessorien ja piifotoniikan välillä. 3,6 cm alueelle saadaan mahtumaan 200 kuitua, mutta nanofotoniikalla ja aaltoputkilla päästään jopa 40-kertaiseen tiheyteen. Kytkentä ja reititys on konfiguroitavissa alle 1 ms viiveellä. Artikkeli kuvaa perusteellisesti mistä on kyse.

Broadcom on julkaissut Tomahawk 5 / BCM78900 -sarjan ASIC:t. Kapasiteetti on 51,2 Tbps kuten Nvidia Spectrum 4:lla, mutta sillä erolla, että Tomahawk 5 on markkinoilla nyt. Broadcomin tyyliin kuuluu julkaista valmiita tuotteita ja Spectrum 4:ää saamme ilmeisesti vielä odottaa tovin. Ensimmäinen Tomahawk on vuodelta 2014 ja sen alkuperäinen 3,2 Tbps -kapasiteetti on onnistuttu tuplaamaan joka toinen vuosi. Viitosversiolla saa nyt 64 800G-porttia ja piirissä on optimoitu vxlan-käsittely tekoälykuormille. Mukana on myös PTP- ja SyncE-synkronoinnit, kuusi ohjelmoitavaa ARM-prosessoria telemetrian käsittelyyn ja TSMC:n 5 nm valmistustekniikan myötä parantanut energiatehokkuus. Erikoisuutena on piirin sisäinen jaettu puskurimuisti. Sillä saadaan erinomainen purskeiden tasaus, joka on tärkeää koneoppimiskäytössä. Hyperskaalaajat ovat ajaneet ASIC-markkinaa ja Broadcom on hyötynyt siitä eniten, vaikka markkinoille on saatu myös monta startupia. Broadcom on syytänyt ulos 6-8 ASIC-versiota vuodessa ja Tomahawk 5:stakin on odotettavissa montaa versiota. Moni asiakas sekoittelee eri sarjoja omissa käyttötarkoituksissa. Trident sopii TOR-kytkimeksi ja Tomahawk muualle konesaliin. Jericho on passeli internet-käyttöön. Kaikissa näissä perheissä on sama SDK, API ja tuki SAI:lle, joten käyttö on yhteensopivaa ja helppoa. 100G serdes sopii lähes mihin tahansa kupariliitännöistä yhteispakattuun optiikkaan. Broadcom uskoo co-pon ekonomiaan. Kytkimen skaalasta kertoo se, että yhdellä uudella kytkimellä voi korvata kuuden edellisen sukupolven kytkimen muodostaman verkon kapasiteetin. Sukupolvien välillä porttikapasiteetti tuplaantuu ja porttihinta tippuu alle 1,5 kertaiseksi. Dell’Oron tilastoissa 400G ottaa nyt 15% konesalikytkentämarkkinasta ja on huipussaan 2024. Sen jälkeen alkaa 800G/1600G:n nousu. Muutos on nopeaa. Konesaliverkot ovat vielä enimmäkseen Clos-topologiaa, mutta Tomahawkilla voi tehdä myös toruksen, dragonflyn tai muita yhdistelmätopologioita.

Kaupalliset piirisarjat ja niiden SDK:t ja API:t ovat ajaneet disagregaatiota eteenpäin. Mutta käyttö on jäänyt aika pitkälti pilvijättiläisten ja suurimpien yritysten puuhailuksi. Avoimet verkot ja SDN eivät ole olleet menestys yrityksissä. Itse asiassa yritykset ovat vain kääntyneet entistä enemmän suljettuihin valmistajakohtaisiin ratkaisuihin esim. virtualisoinnin ja SD-WAN:n osalta. Vmware tuo ESXi 8 -version myötä Nvidian Bluefield DPU:n offloadaamaan hypervisorin ja hallintatyökalujen kuormaa CPU:lta. Laskelmien mukaan DPU parantaa palvelimen tehokkuutta 22%.

TLS 1.3 on tarina kokeilusta ja palveluiden keskittymisestä. Miksi TLS 1.3 levisi niin nopeasti ja laajasti? TLS 1.2 standardoitiin 2008 mutta viiden vuoden päästä sitä ei käyttänyt lähes kukaan. Sitten yhtäkkiä tuli Snowdenin paljastukset ja kaikki selaimet ja palvelimet vaihtoivat modernimpaan salaukseen. 2018 standardoitiin TLS 1.3, mutta jo sitä ennen sillä oli tuki client-sovelluksissa. Palvelimissa se alkoi yleistyä heti standardoinnin jälkeen. TLS 1.3:n käytössä on selvä ero pilvipalveluiden ja muiden palveluiden välillä. Internet-jätit ajoivat omilla palveluillaan protokollan nopeasti sisään ja näyttivät miten ne voivat vaikuttaa internet-teknologian kehitykseen. Siksipä on syytä kiinnittää huomiota teknologiavalintojen taustalla oleviin liiketoimintaintresseihin ja palvelevatko ne koko käyttäjäkuntaa. Koko TLS 1.3 -yhteyden toiminta on avattu ja selitetty webbisivulla yhdessä TLS 1.2:n, QUIC:n ja DTLS:n kanssa.

Haavoittuvuusskannaukset saattavat aiheuttaa yhteysongelmia verkkoon. Chris Hart selittää kytkinongelmaa ARP gleanin ja ohjauskerroksen polisoinnin kanssa. Skannerin tuottama suuri määrä arp-kyselyitä aiheuttaa poliserin puuttumisen peliin ja pakettien tippumisen. Ciscon Hank Preston kertaa Docker-tietoliikenteen perusteet. Russ White avaa route serverien toimintaa. Route server vain heijastaa vastaanotetut reitit eteenpäin ja se ei itse asenna reititystauluun mitään. Siksipä BGP-naapuruudet route serverin kanssa pitää olla suoraan kytkettyjä ja route serverin pitää mainostaa kaikki reitit mitä se vastaanottaa. Muuten syntyy luuppeja.

Linuxista saattaa viimein kadota Decnet-protokollatuki. VMS ei ole kuollut ja Decnetiä on roikutettu mukana kernelissä. Decnetiä on ylläpitänyt Redhatin koodari, joka julisti koodin jo 2010 orvoksi. Nyt Microsoftin koodari ehdotti koodin poistamista Linux kernetlistä juuri sen jälkeen kun Uusi OpenVMS9.2 oli julkaistu. VMS on kuitenkin tukenut ip:tä jo vuosikymmenet, joten aika marginaalisesta asiasta on kyse. Linux Foundation ja CNFC ovat antaneet päivityksen projektiensa kehityksestä ja listannut suosituimmat projektit.

Digitaalinen kaksonen on noussut hypessä korkealle. Vanhaa mallinnuskonseptia on päivitetty koneoppimisella. Valmistajilla on eriasteisia toteutuksia kuten esim. Mist AI, Cisco DNAC, Extreme CloudIQ, mutta myös julkipilvillä on omia työkaluja. Mallinnusta tarvittaisiin entistä enemmän monimutkaistuvissa ympäristöissä. Forward Networks on työstänyt vuosia omaa mallinnus- ja verifiointitekniikkaansa. Viimeisin kumppanuus on Arista Cloudvision, joka on yhdistetty Forwardin alustaan rikastamaan hallintaa. Aiemmin myös tietoturvaa on tuotu mukaan tuotteeseen iRapid7:n haavoittuvuushallinnalla.

Linux-maailman palomuurien automatisointiin löytyy ilmaisia avoimia työkaluja mm. Googlen Capircasta, joka on monivalmistaja ACL-generaattori. Batfishillä voi tehdä konfiguraatioanalyysiä ja tarkistaa ACL:iä. Panda Dataframesilla saa Pythoniin Excelin kaltaista rakennetta ja suodatusmahdollisuuksia.

Lab-as-code -työkalu Netsim-tools on vaihtanut nimensä Netlabiksi. Uusin versio 1.3 tuo mukanaan EPVN/VXLAN:n ja muita lisäyksiä.

Greenfield on myytti kirjoittaa Chris Wahl. Näin on. Vaikka joku osa IT-ympäristöä rakennettaisiin täysin tyhjästä uutena, järjestelmät ovat hyvin toisiinsa verkottuneita ja riippuvuuksia on aina muualle. Viimeistään sovellukset ja käyttäjät sotkevat mukaan vanhaa brownfieldiä. Mikään ei ole irti vanhasta ja siksi greenfieldiä ei ole olemassa. Siksipä olisi syytä hyväksyä, että vanha lasti seuraa ja muutokseen pitää varata resursseja. Järjestelmiä pitää katsoa kokonaisuutena, ei pelkkänä uutena siilona.

Gergely Orosz on listannut kattavasti teknoyhtiöiden päivystyskäytännöt ja -kompensaatiot. Yleisesti ottaen voi sanoa, että teknojätit eivät maksa päivystyksestä erikseen, paitsi Google ja ne alueet, joissa se on pakollista. Loppujen lopuksi normaalipalkka on yleensä niin iso, että se kattaa heittämällä alemman palkan ja erikseen maksetun päivystyslisän.

Yritykset ja tuotteet

Teknojäteillä alkoi tiukemmat ajat ja palkkausta on vähennetty, mutta yleisesti tekniikan alan työpaikat ovat lisääntyneet yli 50% viime vuodesta. Tutkitusita 50 työnantajasta lähes kaikki olivat lisänneet rekrytointeja. Suurin kysyntä on pilviosaajista.

Arista on napannut itselleen Pluribus Networksin, joka tunnetaan SDN-pioneerina ja pilvifabricistaan. Ericssonin kanssa verkkoa on viety operaattorien NFV-käyttöön ja Ericsson on myös sijoittanut Pluribukseen. Pluribus perustettiin 2014 ja aikomuksena oli yhdistää verkko ja palvelimet yhdeksi Freedom-fabriciksi. Freedom-kytkimet sisälsivät kytkimen ja prosessorin, mutta konsepti ei lähtenyt lentoon. Kevyemmät funktiot kytkimissä sen sijaan olivat toimivampi malli. Pluribus tiputti omat kytkinraudat pois ja siirtyi Netvisor One -hallintasoftaan, johon on integroitu myös Nvidian Bluefield DPU:t. Arista osti aiemmin Big Switch Networksin, joka oli aika vastaavanlainen fabric-ratkaisu. Siitä tuli tuote nimeltä Converged Cloud Fabric. Pluribuksesta tuli Aristalla Unified Cloud Fabric, entinen Adaptive Cloud Fabric, joka vastaa Big Switchiä paremmin laajempaan edge- ja operaattorikäyttöön. Aristalla on myös kaksi muuta asiakaskategoriaa ja tuoteryhmää: Cloud Scale pilvijättiläisille ja Cloud Class yritysasiakkaille.  Monet asiakaat käyttävät kuitenkin useita tuotteita. Nimeämisessä on ainakin paljon opeteltavaa. Arista saa Pluribukselta 140 työntekijää. Kauppahintaa ei paljastettu, mutta laskelmien mukaan se olisi voinut olla luokkaa 337 miljoonaa dollaria. Muuten Aristan tulosta ahdistaa edelleen komponenttipula. Monilla osilla on 70 viikon toimitusaika ja toimintaa on suunniteltava hyvin pitkälle eteenpäin.

Pilvinatiivi verkkovalmistaja Drivenets on saanut 262 miljoonan dollarin sijoituksen c-rahoituskierroksella. Kehityksessä on tapahtunut 1000% kasvu liikennemäärissä Drivenets-laitteilla, lähes 100 asiakasta, teknologiakumppanuuksia, työntekijämäärän kasvatus 30%:lla ja toimintojen laajentuminen maailmalaajuisesti.

Huawei on kohdannut maailmantalouden myrskyn ja on siirtymässä selviytymistilaan. Johtaja Ren on kehottanut työntekijöitä keskittymään liikevaihdon ja tuottojen maksimointiin, jotta yritys selviäisi seuraavasta kymmenestä vuodesta. Avainsektorit ovat tulevaisuudessa pilvi, digitaalinen energia ja älyautot.

Cisco yhdistää organisaatiossaan massayksikön ja yrityspuolen yhdeksi päästä-päähän -verkkoratkaisuksi. Operaattori- ja yrityspuolen yhdistämisestä voi olla kahta mieltä, koska asiakasryhmillä on hyvin erilaiset tarpeet ja halut. Toisaalta yritystarpeet ovat laajentuneet operaattoripuolelle ja operaattorit toimittavat yrityspalveluita. Yksi markkinointi ja suunnitteluosasto kahdelle eri sektorille voi kuitenkin tehdä rumaa jälkeä. Se on koitunut monen yrityksen kohtaloksi. Vai näkeekö Robbins tässä keinon ottaa tekninen johtajuus? Aika näyttää. Johtajapelissä yrityspuolen Todd Nightingale, joka tuli taloon Merakin mukana, lähtee nyt Fastlyn toimitusjohtajaksi. Massapuolen johtaja Jonathan Davidson tuli aikoinaan Juniperilta ja jatkaa yhdistelmäyksikön vetäjänä. Startup-kuvio on nähty ennenkin: joku lähtee Ciscolta ja perustaa uuden yrityksen. Cisco ostaa myöhemmin yrityksen itselleen. Huhut kertovat Ciscon haluavan ostaa Megaportin tai Fastlyn. Ex-ciscolaisia on myös Packetfabricin ja Qwiltin johdossa.

Ciscon koko tilikauden tulos oli tasainen. Toimitusongelmat alkavat hieman helpottaa parin vuoden aikana tehtyjen muutosten johdosta. Uusia ja vaihtoehtoisia toimittajia on lisätty ja tuotteita on suunniteltu uusiksi sopivammilla komponenteilla. Koko vuoden tilausmäärät olivat ennätyksellisiä. Raudan tilauskantaa ei kerrota, mutta softapuolella se on 2 miljardia dollaria. Robbinsin mukaan pandemia-aika paljasti sen, että infraa ei pidetty kunnossa ja teknistä velkaa oli kertynyt paljon. Nyt yritykset eivät halua joutua samaan tilanteeseen uudestaan. Monet suunnittelevat koko infran päivitystä vuosien tauon jälkeen. Lisäksi teknologiamuutos ja -trendit lisäävät paineita uudistaa verkkoja. Kysyntää on, mutta taiteilu tapahtuu toimituksien kanssa.

Miten yritysten ostokäyttäytyminen on muuttunut? Tuntumalta harva on vähentänyt investointeja tänä vuonna. Pienet lykkäykset esim. privaatti-5G:ssä voivat olla osa isompaa trendiä. AWS:n privaatti-5G:n laimea alku voi olla oire tästä. Tietoturvakin on paineen alla, vaikka kaikki ovat melko yksimielisiä, että verkon ja tietoturvan parantamisella on lisäarvoa. Tämän vuoden budjetit ovat pysyneet, mutta ensi vuodesta ei ole tietoa. Suurin pelko on yleinen maailmantilanteen epävarmuus ja sen muuttuminen pysyväksi tilaksi. Verkkoteknologian uudistaminen voi olla entistä vaikeampaa kun yritykset takertuvat isoihin tuttuihin valmistajiin ja startupit kärsivät. Budjettia yleensä määrittää RFP-prosessi ja projekteja RFI. Vuosikymmenten aikana on tapahtunut suuri siirtymä budjetti- ja projektirahan tasapainosta kohti budjettirahan ylivoimaa. Nykyään projektirahan osuus voi olla alle 10% investoinneista ja sillä voi olla merkittävää vaikutusta verkon investointeihin. Budjetit ovat luonteeltaan ylläpitorahaa, jolla ei välttämättä tehdä oikeita teknologian kehitysprojekteja. Verkossa ja IT:ssä on monimutkaisuusongelma: meillä on teknisten ratkaisujen komponentteja, mutta niitä on entistä vaikeampi sovittaa tarpeeseen, jos nyt edes tiedämme mitä ongelmia olemme ratkomassa.

Oulun yliopiston tutkimus on tarkastellut normiston muutosta Nokian ja Elcoteqin liikesuhteessa. Tässä tarina opiksi kaikille ulkoistajille HS:n maksumuurin takaa. Nokian ja Elcoteqin suhde alkoi 1984. Suhde perustui syvään luottamukseen, avoimuuteen ja vastavuoroisuuteen. Kun Nokia alkoi 2000-luvun alussa siirtää puhelinvalmistusta Aasiaan, alkoi viisi vuotta kestänyt hankala muutos. Nokian haave oli maailman tehokkain toimitusketju ja globaalia mallia haettiin muilta kilpailijoilta. Aasiassa odotti kuitenkin toinen todellisuus. Tehtailla oli teollisuusvakoilua, ip-oikeuksien menetyksiä ja laatuongelmia, joihin Elcoteqin kanssa ei ollut törmätty. Foxconnin tehtaan olosuhteet eivät olleet kunnossa ja työtekijät hyppivät katolta kuolemaan. Nokia lupasi korjata ongelmat, mutta vuotta myöhemmin 150 työnkijää uhkasi joukkoitsemurhalla jos työoloja ei edelleenkään paranneta. Koko Aasiaan siirtyminen oli luultavasti Nokialle yllätys ja vaikutuksia ei ymmärretty. Halvalla tuntemattomien kanssa ei saanut samaa mitä tutulta kotimaiselta oli saanut. Elcoteq jäi tyhjän päälle ja meni konkurssiin 2011. Sen myötä katosi Suomesta ja Euroopasta iso osa ICT-alaa. Nyt on taas hiljalleen palattu takaisin kotiin päin, osin varmaankin maailmatalouden pakottamana. Viimeistään Venäjän tilanteen jälkeen on selvä, että Kiinan kanssa toimiessa on todella isot riskit. Uusimpana Aasian ulkoistuskohteena näyttää olevan nyt Vietnam.

Kiina yrittää päästä omavaraisuuteen ja kopioi armottomasti länsiteknologiaa. Analysointiyritys on purkanut kiinalaisen SMIC:n sirun ja sieltä on paljastunut 7 nm -valmistusprosessi, joka näyttää samalta kuin TSMC:n prosessi. Valmistus on hankalaa ilman EUV-laitteita, joita on nyt kielletty viemästä Kiinaan. Epäilys onkin, että kiinalaiset olisivat jälkiasentaneet tehtaaseen laitteita kieltoja edeltävältä ajalta.

Internet

Geoff Huston kirjoittelee jälleen mietteitä internetin kehityksestä, ja miten yleensä mahdoton yhtälö isompi, nopeampi, parempi ja halvempi toteutui internetin kohdalla. Isompi verkko ei ollut ratkaisu kaikkeen, vaan sisältö tungettiin reunalle lähelle käyttäjää. Hajautus myös parantaa vasteaikaa ja pienentää verkon hintaa. Tämä näyttää olevan trendi seuraaviksi vuosikymmeniksi. Verkosta on myös ulkoistettu älykkyys päätelaitteille, mikä tekee verkosta toimivan ja kustannustehokkaan. Yhteinen pakettiverkko, protokolla ja osoitteet ovat olleet tehokkuuden edellytys, mutta suunta on kääntynyt pirstaloitumiseen. Mitä on jäljellä internetistä? Yhteinen konsepti, jolla erilaiset palvelut viittaavat toisiinsa.

Internetin hyvä mies, kaikkien kaveri Vijay Gill kuoli ja media täyttyi muistokirjoituksista.

Kuten aiemminkin on kerrottu, AWS käyttää E-luokan osoitteita sisäisesti. Traceroute EC2-instanssista ulos on villiä nähtävää. 22 hyppyä läpi sekalaisten osoitteiden. On 240-osoitetta, on 100.64-osoitetta. E-luokka 240/4 juontaa juurensa 1986-vuodesta, jolloin se määriteltiin tulevaisuuden käyttöön. 1993 tuli käyttöön luokaton CIDR. 2000-luvulla on ollut monta yritystä ottaa E-luokan osoitteet käyttöön, mutta paras anti lienee, että sille saatiin tuki käyttöjärjestelmissä. Nyt näyttää, että 240/4 on epävirallisesti yksityiskäytössä. Ripe on mitannut 240-osoitteiden näkyvyyttä internetissä. Suurimmat käyttäjät näyttävät olevan juuri AWS sekä Vodafone ja Adobe. AWS ei missään julkisesti kerro käyttävänsä E-luokan osoitteita. Päätelmä on, että verkko on niin iso, että normaalit privaattiosoitteet eivät riitä.

Tapahtumat

Fwd:cloudsec -tietoturvakonferenssin videot löytyvät Youtubesta, samoin Defcon -konferenssin videot.

Networking Field Day: Service Provider 2 -esityksissä ja puheenvuoroissa käytiin läpi operaattoriasiaa.

Kuukauden asiantuntijat

Suomen junaliikenne pysähtyi kun varkaat katkaisivat kuitukaapelit Lempäälässä rautatiesillan työmaa-alueella 8.8. yöllä. Kaapelikatkon seurauksena junien ohjausjärjestelmä lakkasi toimimasta puoleksi vuorokaudeksi. Kaapeleita oltiin siirtämässä työmaalla toiseen paikkaan ja ne olivat kiepillä odottamassa asennusta. Useamman sentin paksuinen kaapelin katkaisuun vaaditaan jo kunnon työkaluja ja niitähän varkailla kyllä oli. Varkaat vain unohtivat tarkistaa mitä kaapelia olivat varastamassa. Varkaus jäi lopulta tekemättä, kun kaapeli olikin kuitua eikä sisältänyt himoittua kuparia. Keikka meni tappiolle kun odottamassa on raskaat korvausvaatimukset.

[FI] Tietoliikennealan katsaus 2022-07

Ongelmat

Cloudflare rikkoi jälleen internetin 21.6.2022, mutta vain alle tunniksi. Verkkohäiriön mukana meni moni muu palvelu nurin. Cloudflaren kokonaisliikenne tippui puoleen, vaikka vika koski vain 4% koko sen verkosta. Vika korjattiin nopeasti ja syykin selvisi todella pikaisesti kuuden tunnin jälkeen julkaistusta blogista. Ongelma johtui muutoksen yhteydessä pieleen menneestä Juniperin firewall-filteristä, jossa deny-lause oli vahingossa päätynyt keskelle filtteriä. Näin osa reittimainostuksista tippui pois ja 19 konesalia putosi verkosta. Cloudflaren omien sanojen mukaan asiantuntijat ajoivat korjaavia muutoksia voimaan päällekkäin ja näin kumosivat toistensa tekemisiä. Media repi tästä meheviä otsikoita asiantuntijakaaoksesta. Kaikki kunnia Cloudflaren kyvylle hoitaa ongelmat kuntoon ja raportoida niistä.

Toinen megakatko tapahtui Kanadassa 8.7.2022 kun Rogersin kaikki kiinteän ja mobiiliverkon palvelut tippuivat alas 11 miljoonalta käyttäjältä lähes vuorokauden ajaksi. Tällä häiriöllä se ansaitsi Kanadan historian suurimman katkon tittelin. BGP-mainostukset pysyivät tällä kertaa jakelussa, mutta liikenne ei kulkenut, mikä viittasi sisäiseen IGP-reitityksen häiriöön. Rogers antoi myöhemmin selityksiä viranomaisille ja niistä selvisi, että ongelma oli muutoksen yhteydessä vahingossa poistettu reitityssuodatus. Sen vuoksi keskeiset kolme koontireititintä ylikuormittuivat ja lakkasivat välittämästä liikennettä. Rogers käyttää kahdenmerkkisiä reitittimiä, joilla on eri toimintaperiaate ja protokollat reittien välityksessä ja siksi ongelma pääsi syntymään. Häiriössä menetettiin jälleen hallintayhteys verkkoon ja siksi ongelman korjaus pitkittyi. Rogers yritti myös siirtää mobiiliverkon liikennettä toisille operaattoreille, mutta se ei toiminut, koska tilaajarekisterit eivät olleet toiminnassa.

Pienempi kanadalainen katko syntyi majavan pureskeltua haavan poikki Kanadan länsirannikolla. Puu kaatui kaapelien päälle soisella alueella katkaisten sähköjohtoja ja kuituja sekä aiheuttaen tulipalon. Teluksen asiakkaat menettivät yhteydet alueella n. 10 tunniksi. Viankorjausta vaikeutti hankalat korkean veden olosuhteet, mikä vuoksi paikalle pääseminen oli vaikeaa.

NRK on selvittänyt aiemmin tapahtuneita merikaapelikatkoja Norjanmerellä. Katkojen tapahtumahetkellä alueilla on AIS-järjestelmän tietojen mukaan seilannut vain venäläisiä troolareita. Huippuvuoren kaapelin päältä oli troolari Melkart 5 ajanut yli 20 kertaa. Vesterålenin kaapelin yli oli ajanut Saami-trooleri. Venäläiset kieltävät syytökset ja syyttävät Norjaa mustamaalaamisesta. Norjan poliisi ei uskalla suoraan nimetä syyllisiä, vaikka kommentoi kaapelivaurioiden syyksi luultavasti ihmistoiminnan.

AAE-1 kaapelin katko Egyptissä 7.6.2022 häiritsi laajasti Euroopan ja Aasian välistä liikennettä neljän tunnin ajan. Kentik kuvaa ongelmaa ja Egyptin kaapelireittejä blogissaan. Kuten aiemminkin on mainittu, Egypti näyttelee tärkeää roolia Euroopan ja Aasian välisissä kaapeleissa. Telecom Egypt operoi 10 kuitureittiä Välimeren ja Punaisen meren välillä.

Googlen sarjassa “internetin häiriöt” vuorossa sulanut kuitu. Raman-vahvistimet ovat uudempia ja tehokkaampia kuin perinteiset EDFA-vahvistimet. Raman-vahvistin pumppaa valolähteestä kovat tehot. Määrällisesti 1 watti tuntuu pieneltä, mutta kun teho kohdistetaan mikrometrien alueelle, kuitu voi kirjaimellisesti syttyä tuleen.

Ranskan huhtikuisen kaapelisabotaasin laajuus oli suurempi kuin annettiin ymmärtää. Katkot vaikuttivat kymmeneen operaattoriin, joiden mukana oli mm. Lumen, Zayo ja DE-CIX. Freen kuvissa näkyy miten kaapelikouru on avattu ja kaapelit leikattu nätisti poikki, ilmeisesti jollakin sähkötyökalulla. Monet kaapelit on katkottu kahdesta kohtaa, jolloin korjaaminen on vaikeampaa. Syyllisiksi on esitetty radikaaleja ympäristöaktivisteja, mutta se ei näytä todennäköiseltä. Varmaa tietoa tekijöistä ei ole kellään. Tekijän on joka tapauksessa pitänyt tietää yksitysikohdat tarkkaan ennen iskua. Tällaisen tuhotyön ei uskota jäävän viimeiseksi ja siksi tietoliikenneinfraa pitäisi suojata paremmin. Fyysisesti alueita voidaan aidata ja valvoa kameroin ja sensorein, mutta myös liian teknisen tiedon julkaisemista pitäisi välttää. Lisäksi viranomaisten ja operaattorien välisen uhkatiedon jakaminen voisi estää iskuja.

Cloudflaren raportti vetää yhteen internetin häiriöt Q1/2022 aikana. Akamai raportoi pysäyttäneensä Prolexic-palvelullaan suurimman DDoS-hyökkäyksen Euroopassa. Itä-Eurooppalaista asiakasta pommitettiin kuukauden ajan laajasti eri ip-osoitteisiin ja liikenteen huippuarvot olivat 660 Mpps ja 854 Gbps.

Euroopan kuumuus on aiheuttanut konesalien lämpötilaongelmia. Briteissä ainakin Googlen palveluissa oli häiriöitä jäähdytysongelmien takia ja Oraclen konesalit on jouduttu ajamaan alas ylikuumenemisen varalta.

OVH:n Strasbourgin konesalin viime vuoden tulipalosta on julkaistu BEA-RI:n tutkintaraportti. Tulipalo alkoi lähes samanaikaisesti kahdesta sähkötilasta ja syyksi arvellaan inverttereitä. Raportissa on hienoa kuvamateriaalia valvontakameroista ja tietoa miten palo eteni. Aika hiljaiseksi vetää kipinää syöksevän pillastuneen invertterin edessä. Tapauksen jälkeen OVH on kuitenkin ihan hyvässä vedossa 202M€:n liikevaihdolla ja 26% vuosikasvulla.

Operaattorit ja 5G

Dishin 5G-verkon valmistuminen meni täpärälle, mutta 20% väestöpeitto USA:ssa 14.6. määräaikaan mennessä toteutui sittenkin. Nyt itsenäinen 5G O-RAN -verkko on käytössä yli 120 kaupungissa. Tosiasiassa projekti Genesis on kuitenkin alkutekijöissään ja hakee houkuttelevaa tarjontaa ja sijaa markkinoilla tavoittaakseen toivotut 30-40 miljoonaa käyttäjää. Tuskin teknisiltä ongelmiltakaan voidaan välttyä. Oma verkko rakentuu hiljalleen ja sen ulkopuolella toimitaan virtuaalioperaattorina AT&T:n ja T-mobilen verkossa. Las Vegasin julkistuksessa ainoa verkkoon sopiva laite oli Motorola Edge+. Muualla verkkoon löytyvät Samsung Galaxy S22 ja Netgear-reititin. Seuraava 70% väestöpeiton takaraja tuleekin vastaan vuoden päästä, joten kiirettä pitää.

Vanhojen mobiiliverkkojen sulkemisesta USA:ssa on tullut ongelma puheluiden välittämiselle vieraista verkoista. USA:ssa vierailevat Eurooppalaiset eivät voi välttämättä soittaa 911:een tai jopa mihinkään amerikkalaiseen numeroon ehkä jopa yli vuoteen. Kukaan ei oikein osaa kertoa ongelman laajuutta. Piirikytkentäinen 2G-verkko on toistaiseksi ainoa täysin yhteinen nimittäjä roamingissa. VoLTE ei vielä täysin toimi kaikkialla, vaikka alkaa ollakin yleinen. Ja aina ei suljeta vanhoja verkkoja. T-mobile on sulkenut yrityskaupan myötä Sprintin vanhan 5G-verkon vain reilun vuoden käytön jälkeen. Nyt sitä uhkaa joukkokanne, jossa vihaiset käyttäjät vaativat oikeuksiaan.

Telian Suomen 5G on nyt kokonaan itsenäistä verkkoa. Teollisuus on löytänyt yksityisverkot ja Agnico-Eaglen Kittilän kaivoksessa on soitettu ensimmäinen 5G-puhelu. Kiinassa on käytössä yli 5000 5G-yksityisverkkoa, mikä on reilusti enemmän kuin koko muussa maailmassa yhteensä. Kiinan ministeriön lukuihin pitää tietysti suhtautua varauksella, koska todellisuus voi olla kovin häilyvä.

Huawei on taas noussut esille USA:n uhkakuvissa, kun vuosia sitten aloitettu FBI:n selvitys on vuotanut julkisuuteen. Selvityksessä on vuosien mittaan noussut esiin hälyttäviä tietoja. Viimeinen pisara on Huawein verkot ohjussiilojen ympärillä. Kiinalaiset ovat myös yrittäneet ostaa maata ja rakentaa “salaisista materiaaleista” puiston ja temppelin Washingtonin parhaalle tiedustelupaikalle. Tie- ja kelikamerat ovat myös epäilyttäneet, koska niistä on helppo seurata sotakaluston ja sotilaiden liikkeitä. Raportti johti FCC:n määräykseen, jossa Huawein laitteet pitää korvata toisella.

5G:n rahoitus on ollut ongelma ja nyt EU aikoo laittaa teknojätit maksamaan osansa verkoista syksyllä tulevan määräyksen avulla. Nokialla menee hyvin, mutta pienemmät O-RAN -valmistajat joutuvat kamppailemaan asiakasvaatimusten ja todellisuuden välissä. Parallel Wireless on joutunut korjaamaan liiketoimintasuunnitelmaa ja löysäämään asiakkaiden vaatimaa aikataulua. O-RAN ei vaan etene sprinteissä, vaan enemmän maratonina. Talouden ja toimitusketjun ongelmat vaikeuttavat myös toimintaa.

Hajautettu web3-verkko Heliumin ja sen operaattori Nova Labsin liiketoimintamalli on herättänyt kysymyksiä. Nova Labs teki kesäkuussa liikevaihtoa 6500 dollaria. Verkon käyttäjät eli “palveluntarjoajat” voivat kuitenkin ansaita kivasti hostaamalla verkkoa. Ja hostaajat eivät ole vain yksityisiä ihmisiä, vaan myös organisaatioita. Miljoonan hotspotin raja menee rikki lähiaikoina ja palvelua on saatavilla 161 maassa ja yli 34000 kaupungissa. 5G-teknologiasta huolimatta Helium ei kilpaile kapasiteetilla, vaan on enemmänkin IoT-verkko. Ja mitä IoT-verkkoon tulee, kytkettyjä laitteita on edelleen aivan liian vähän. Hajautettu ja osallistava malli on yksi tapa kasvattaa verkkoa ja palvelua kustannustehokkaasti ilman suuria investointeja. Käynnissä on web3-maailman kokeilu, jossa voi olla järkeä.

Ericsson, Qualcomm ja Thales ovat viemässä 5G:tä avaruuteen, josta se olisi LEO-satelliittien kautta globaalisti käytettävissä missä tahansa maapallolla. 5G NTN -verkkoa testaan Ranskassa ja käyttökohteet ovat mm. turvallisuusalalla ja valtiollisessa toiminnassa. Dishin aikomus käyttä 12 GHz:n taajuutta 5G-verkossa on nostanut äläkän, koska Spacex:n mukaan Starlink muuttuisi pääosin käyttökelvottomaksi USA:ssa. Starlink käyttää samaa taajuutta ja on teettänyt perusteellisen analyysin tilanteesta. Oneweb on yhtynyt Starlinkin kantaan ja lähettänyt kirjeen FCC:lle. Avaruuslaserit ovat kypsyneet teknisesti käyttökelpoisiksi. Näkyvän valon erittäin korkean taajuuden sateelliittisiirto toimii ja sitä voidaan alkaa käyttää LEO- ja GEO-satelliittien välisissä yhteyksissä, joissa tarvitaan lisää kapasiteettia.

Starlink on ylittänyt 400000 tilaajan ja 2500 satelliitin määrän toimien nyt 36 maassa. Laajennusta on odotettavissa Aasiassa, Afrikassa ja Lähi-Idässä. Starlinkin uusi palvelu on venenetti Starlink Maritime, josta joutuu pulittamaan 5000$/kk ja ostamaan lisäksi 10000 dollarin päätelaitteen. Aiemmin on julkaistu myös kohtuuhintainen RV-netti, joka on suunnattu liikkuville karavaanareille.

Starlinkin käytön kasvu alkaa kuitenkin näkyä kapasiteetissa kun verkkoon tulee nykyisellä tahdilla 20000 terminaalia lisää viikossa. Kapasiteetti käy rajalliseksi ja yhteyden laatu huononee. Uusi terminaalilaite ilman ethernet-paikkaa, pohjassa olevalla status-ledillä ja ilman online-päivitysmahdollisuutta ei vakuuta. Starlinkin tuki ongelmiin on ollut tuskaisen hidasta. Palvelu tuntuu olevan vieläkin betatestauksessa, vaikka se on siirtynyt jo tuotantoon. Myönteisenä puolena kuitenkin Starlink on myynyt käytettyjä lautasia ja terminaaleja, vaikkakin hiljaisesti tiskin alta. Gen2-sateelliitit voivat ratkaista ongelmia, mutta ovat esim. viisi kertaa painavampia kuin vanhat mallit ja niitä on hankalampi saada avaruuteen.

Oneweb ja Eutelsat lyövät hynttyyt yhteen ja yhdistyvät isommaksi peluriksi markkinoille. Yhdistyminen todennäköisesti kuitenkin aiheuttaa Britannian ja Ranskan välillä valtapoliittisia ongelmia.

Pilvi ja konesali

Pilven suunta on vertikaaleissa pilvissä, jotka erikoistuvat tiettyyn työkuormaan tai palveluun. Perinteinen pilvi uhkaa jäädä liian yleispäteväksi ja joustamattomaksi uusille palveluille. Markkina on kasvanut niin suureksi, että varaa erikoistumiseen on. Erikoispilvi rakentuu myös yhä useammin erikoistuneen infran päälle. Mitä parempi infra, sitä parempi pilvi. Pilvikilpailussa voi pärjätä hyvällä sovelluskehitysympäristöllä ja korkeamman tason sovellusalustoilla sekä AI-käyttöön optimoidulla infralla. Myös Batteryn pilvianalyysin mukaan julkipilven arvostus on romahtanut ja näemme nyt enemmän kovan kasvun SaaS-yhtiöitä.

USA:ssa paikallisuus on mennyt osavaltiotasolle kun erilaiset lait alkavat vaikuttaa datankäsittelyyn ja sitä kautta pilvipalveluiden sijaintiin. Esim. Proov siirsi sovelluksensa herkän hedelmällisyystiedon aborttilain myötä AWS:stä ja Azuresta Googlen pilveen, koska se oli ainoa alusta turvalliseksi koetussa Nevadassa.

Gartner on listannut IaaS-pilven markkinaosuudet viime vuosilta. Viisi suurinta palveluntarjoajaa kahmivat 80% markkinasta. Googlen kasvu on ollut vauhdikkainta ja Huawei on tehnyt merkittäviä investointeja ekosysteemiin, mutta nyt alueelliset pilvet näyttävät kasvattavan merkitystään. Käyttäjäkokemus ja palveluiden tuottavuus on myös olennaista menestymiselle.

Google Distributed Cloud Edge on saatavissa 5G-kumppanien kautta privaattiverkkoihin. Microsoft julkaisi uuden Sovereign cloud -pilven, samoin Oracle laajensi oman Sovereign Cloudin EU-alueelle Saksaan ja Espanjaan. OCI ja Azure lähentyvät toisiaan Oracle-tietokantapalvelun tullessa Azureen. Tiktok on siirtänyt nyt kaikki USA:n liikenteensä Oraclen pilveen. Omat konesalit toimivat enää varmistuksena ja käyttäjätieto pitäisi poistua niistä piakkoin. Yhteistyössä Oraclen kanssa on kehitteillä tiedonhallintaprotokolla, jolla käyttäjille saataisiin taattua mielenrauta omista tiedoistaan.

Azuressa on ollut kapasiteettiongelmia jo pitkään eri alueilla ja nyt Britanniassa pilveen pääsyä on rajattu uusilta asiakkailta. Kapasiteettiongelmia helpottaisi jos käyttäjät poistaisivat autoskaalauksen käytöstä ja rajaisivat resurssien käytön vain tarpeelliseen. AWS on julkaissut statistiikkaa pilvipalveluidensa käytöstä Prime Day:n aikana. Aurorassa esim. pyöri 5326 tietokantaa, joissa tehtiin 288 miljardia transaktiota. Tietoa tallennettiin 1849 TB ja siirrettiin 749 TB. Dynamodb:llä huippupiikki oli yli 100 miljoona pyyntöä sekunnissa. SES-palvelu lähetti parhaimmillaan 33000 sähköpostia sekunnissa.

AWS:lla on suunnitelmissa Local Zonejen laajennus 32 alueelle USA:n ulkopuolella. Cloud WAN on nyt virallisesti saatavissa ja kumppani-integrointeja löytyy. Uusia aluevaltauksia AWS:llä on Quantum Networking -yksikkö, jolla se valmistautuu salauksen vahvistamiseen ja myös kvanttikoneiden yhdistämiseen. Teknologiassa on odotettavissa osittain samoja tekniikoita mitä jo käytetään, mutta myös heikkoja yhden fotonin lasereita. Valon heikkous taas vaatii vastaanotinten ja vahvistimien kehitystä. AWS on myös toimittanut kansainväliselle avaruusasemalle Snowcone edge-laitteiston. Prime ei toimita avaruuteen, joten lähetys ulkoistettiin Falcon 9 -raketin kyytiin. Snowcone kerää avaruudessa otetut kuvat NAS:lta ja käsittelee ne paikallisesti. Pääsääntöisesti laite palautetaan takaisin maahan tiedon jatkokäsittelyä varten, mutta online-siirtoakin voidaan tehdä Datasyncin avulla. Laitteen konfigurointi SSH:lla on myös onnistunut maasta käsin ja laitteelle on onnistuttu siirtämään isohko 30 GB:n tiedosto. Vastaavasti Planet kertoo kuinka sen 500 satelliitin verkko mallintaa maapalloa avaruudesta tuottaen päivittäin 30 TB tietoa.

Walmart on rakentanut omaan käyttöönsä vaikuttavan hybridipilven, jossa on 10000 edge-laitetta. Se on yksi maailman suurimpia Openstack-pilviä, mutta lisänä käytetään Azurea ja Googlea. Liikennettä reititetään älykkäästi, pilvelle on rakennettu oma hallinta-alusta ja abstraktointikerros, jotka hallitsevat 545000 podia ja lähes sataa tuhatta nodea. Kustannuksia on saatu tiputettua 10-18% ja toimintavarmuutta kasvatettua. Vastaavasti Target on räjätyttänyt sovellukset uusiksi kymmenvuotisen pilvisiirtymänsä aikana. Avoin koodi näyttelee tärkeää osaa ja Target liittyi viime vuonna mukaan Open Compute Projectiin. Verkkokäyttöjärjestelmä Sonic on yksi kehityspoluista. Myös Target aikoo pysyä hybridimallissa, jossa julkipilvestä otetaan skaala- ja kustannushyöty, mutta dataintensiiviset, liiketoimintakriittiset ja edge-palvelut ajetaan omassa privaattipilvessä.

Deloitten pilvitutkimus kertoo, että pilvi tosiaan on antaa mahdollisuuksia moneen ja se ajaa eteenpäin positiivista muutosta. Mutta yritysten innovointikyky ja pilvipalveluiden strateginen hyödyntäminen laahaavat perässä. Yhä enemmän mediassa pyörii ajatus, että serverless-funktiot ovat tärkeä osa pilvinatiiveja sovelluksia ilman infran hallintaa. Koyeb on laskenut Kubernetes-hallinnan kuluja ja todennut, että serverless-kontit ovat monesti tehokkaampia kuin Kubernetes-alusta. Kubernetesin jättäneiden keskusteluryhmä kertoo mikä meni pieleen.

Cloudflare rakentaakin uutta CDN-palvelua workers-funkioidensa päälle. Myös Akamai keskittyy edgeen ja tietoturvaan, jotka ovat molemmat kasvavia alueita. Vaikka sisällönjakelu on edelleen suurin liiketoiminta, sen kasvu hiipuu. Akamain edge-historia tavallaan ulottuu jo 2000-luvun alkuun ja nyt sillä on laskentakykyä 4000 sijainnissa ja lähes 1000 kaupungissa ympäri maailman. Tietoturvapuolella Guardicoren osto auttaa toteuttamaan segmentointia dynaamisemmin ja tehokkaammin. Linoden kehittäjäystävällisen alustan avulla Akamai yritää houkutella sovelluksia edgeensä. Amerikkalainen Lumen aikoo laajentaa edge-alustansa Eurooppaan alkaen Keski-Euroopasta. Vielä tänä vuonna on luvassa laajennusta muuallekin. Samalla huhutaan Lumenin myyvän Euroopan toimintonsa sijoittajille.

Konesalit hivuttautuvat kaupunkeihin kun konesalioperaattorit etsivät tilaa jo olemassa olevan infran piiristä. Kaupungeissa tosin ongelmaksi on noussut sähkön riittävyys ja muut ympäristö- ja viihtyvyysnäkökulmat. Microsoft on ilmoittanut sijoittavansa kolmannen Suomen konesalinsa Vihtiin. Google on hankkinut 50000 neliömetriä maata Haminan konesalin ympäriltä, mutta ei vielä paljasta mitä sillä aikoo tehdä ja milloin. Hamina saa kaupasta 4,3 M€. Luxembourgissa Googlen konesalihanke sen sijaan torpattiin sähköverkon kapasiteetin takia. Myös maailman tiheimmässä konesalikeskittymässä Loudoun Countyssä Virginian pohjoisosassa on törmätty sähköongelmiin ja konesalien jatkokehitys on jäissä ainakin muutaman vuoden. Paikalliset ovat nousseet barrikadeille nyt kun eteläisemmästä Prince William Countystä aiotaan kehittää uutta konesalikeskittymää. Maata otettaisiin syrjäseudun asukkailta ja suojelualueilta, jopa vanhainkodilta ja hautausmaalta. Korruptiolta ei voi välttyä. Vedensaanti herättää myös kysymyksiä. Konesalit luottavat yhä enemmän vesijäähdytykseen ja se on ongelma varsinkin USA:n länsirannikolla. Veden riittävyydestä on tullut uusi kiistakapula yhdessä sähkön kanssa.

Kyberturvallisuus

Trellix on julkaissut yhteenvedon Ukrainan sodan aikaisista kyberhyökkäyksistä ja niiden osapuolista. Venäjän talousahdingossa kyberrikollisuuden uskotaan kasvavan ja erityisesti osaavat venäläiset IT-henkilöt voivat luottokorttivarkauksien kautta maksaa estettyjä palveluita. Korttitietoja voidaan myös kaupata eteenpäin. Venäjä aikoo säätää lain, jolla puhelut väärennetyistä numeroista voisi estää. Tämä tarkoittaa puheluiden kierrättämistä valvontajärjestelmän läpi, joten puheluihin tulisi samanlainen valvonta kuin internet-liikenteessä SORM-järjestelmän kautta on.

T-mobilen viimevuotinen historiallisen suuri 76 miljoonan käyttäjän tietovuoto on johtanut joukkokanteeseen. Yhtiö ei vieläkään myönnä syyllisyyttään, mutta haluaa sopia oikeusjutun kovalla rahalla. Oikeudessa on hyväksytty 500 miljoonaa dollarin hyvitys, josta 350 miljoonaa menisi rahastoon ajettavaksi korvauksina uhreille. Tasan jaettuna siitä tulisi ruhtinaallinen alle viiden dollarin korvaus per asiakas. 150 miljoonaa menee yhtiön oman turvallisuuden parantamiseen. Ainoa mitä T-mobile on asiaan kommentoinut, on että se tuplasi tietoturvainvestointinsa viime vuonna.

Hertzbleed-haavoittuvuus käyttää hyväksi x86-prosessorin vaihtuvaa kellotaajuutta, joka taas riippuu joissakin tapauksissa käsitellystä tiedosta. Haavoittuvuus on todellinen uhka salausohjelmistoille. Inteliltä tai AMD:ltä ei ole tulossa korjausta, mutta Intel ohjeistaa miten vaikutusta voidaan ohjelmallisesti rajata. BPF-haittaohjelmat ovat nyt arkipäivää. Linuxin Berkeley Packet Filterin avulla voi järjestelmään syöttää takaovia. BPF on usein oletuksena päällä ja sen kautta pääsee käsiksi syvälle liikenteen ja palomuurien käsittelyyn.

CISA, NSA ja FBI ovat yhdessä varoittaneet kiinalaisvakoilusta, joka kohdistuu verkko-operaattoreihin maailmanlaajuisesti. Tiedotteessa luetellaan käytetyt haavoittuvuudet, kohteena olevat laitteet ja annetaan kovennusohjeita. Myös kiinalainen Gallium-ryhmä hyökkää operaattoreihin, finanssiyrityksiin ja hallituksen virastoihin. Intiassa monet VPN-yritykset ovat poistaneet palvelimensa käytöstä vastalauseena Intian Certin vaatimukseen kerätä ja ylläpitää käyttäjätietoja viiden vuoden ajan.

OMIGOD-haavoittuvuus tekee paluun uudessa muodossa Azuren hallinta-agenttiin. Tenablen toimitusjohtaja Amit Yoran syyttää Microsoftia Azure-haavoittuvuuksien vähättelystä. Tenable on raportoinut ongelmat Microsoftille, mutta vastaanotto on ollut nihkeää. Samaa Microsoftin penseyttä on havaittu muidenkin tietoturvatutkijoiden kokemuksista. Yksi merkki Microsoftin muuttuneesta linjasta on 2020 käyttöönotettu uusi ilmoituskäytäntö. Myös Microsoftin yritys ostaa Mandiant saa haukut Sentinelonen toimitusjohtajalta. Hänen mukaansa Microsoftin strategia ei palvele tietoturva-alaa ja Google on ehdottomasti parempi paikka Mandiantille. Microsoft jatkaa kuitenkin panostusta tietoturvaan yritysostojen kautta ja on ilmoittanut ostavansa uhka-analyysiyrityksen Miburon.

Huhut kertoivat, että amerikkalainen e-sotayritys L3harris olisi ollut ostamassa Pegasus-vakoiluohjelman tuottaneen israelilaisen NSO Groupin. Tämä herätti raivokkaista vastalauseita ja sittenpä L3harris vetäytyi koko aikeesta. Cato Networksin toimitusjohtaja Sclomo Kramer esittää, että teknoyhtiöt pitäisi ottaa enemmän mukaan NATO:n toimintaan. Kyberturvallisuuden merkitys maailmanrauhassa on nykypäivänä merkittävä ja kybermaailma tarvitsee maailmanlaajuista organisaatiota.

Brittien Channel 4 on tuottanut realistisen kybersarjan The Undeclared War, jossa kuvataan iskua BT:n verkkoinfraan. Sarja saa ammattilaisilta ylistystä totuudenmukaisuudesta. Hahmot käyttävät oikeita työkaluja, murtautuvat palomuurin läpi haavoittuvuutta hyödyntäen, työskentelevät oikean GCHQ:n tiloja vastaavissa olosuhteissa ja laittavat viruksia hiekkalaatikkoon, josta ne sitten karkaavat. Sarja on kolmen vuoden tutkimustyön tulos ja kohtaukset ovat oikeasti tapahtuneet tai ne on käyty läpi harjoituksissa.

Cloudflare One Week juhlisti yhtiön zero trust -palveluita ja julkisti niitä samalla lisää. Yhtiön toimitusjohtaja Matthew Princellä on selvä suunnitelma: voittaja on se, joka pystyy toimittamaan tietoturvan osana muuta infraa ja sovelluksia. Nyt 23000 eli yli 15% Cloudflaren asiakkaista käyttää ainakin yhtä zero trust -palvelua. Kymmenen vuoden päästä asiakkaat eivät ajattele tietoturvaa, vaan verkkokokonaisuutta, jolla asiat saadaan ratkaistua. Cloudflarella on laaja verkko ja se on investoinut zero trust-mallisiin palveluihin innokkaasti. Siksi ei ole epäselvää, että Cloudflare on yksi voittajista. Cloudflare myös perusti uhkatietotutkimusyksikön, jolle se kyseli nimeä. Doppler äänestettiin parhaaksi, mutta yllättäen siitä tulikin Cloudforce One.

Cato Networks on laajentanut verkkoansa Kööpenhaminaan toisella pohjoismaisella POP:lla Tukholman jatkoksi.

Illumion Zero Trust Impact Report kertoo, että zero trust terminä on kärsinyt inflaation. Innostus kasvaa, mutta perusajatus, että kaikki on murrettu, unohtuu. Segmentoinnin käyttöönoton pioneerit näkevät näkyvyyden, rajaamisen ja suojaamisen hyödyt käytännössä. Tosin kypsiä käyttäjiä on vain alle 10% yrityksistä ja edistyviä 24%. Zero trust tarvitsee hajautettua käsittelyä ja siihen taas keskitettyä hallintaa. Service mesh on seuraava askel API-rajapintojen maailmassa ja EBPF on työkalu tehostamaan Service Meshin toimintaa. EBPF on kernelissä toimiva ohjelma ja yhdellä nodella on vain yksi kernel, joten Kubernetesin vaatimasta pod-kohtaisesta sivuvaunu-proxystä päästään eroon. EBPF tuo myös tietoturvaa suoraan välityskerrokselle.

Batteryn raportti tietoturvayhtiöistä kertoo viime vuoden tapahtumista ja kehitystrendeistä alalla. Amerikkalaisyrityksillä menee lujaa: Perimeter 81 ja Devo ovat saaneet 100 miljoonan dollarin sijoitukset, Swimlane 70 miljoonaa. Juniper Research on rankannut kyberturvayhtiöt markkinakentälle. Kolmikenttä antaa hieman erilaisen kuvan todellisuudesta, jossa markkinajohtajina ovat AWS, Cisco, IBM ja Oracle. Cisco julkistikin uusia tuotteita eli päivitti SASE:nsa Security Cloudiksi ja Anyconnect VPN-clientin Secure Client -päätelaitesuojaksi. Honest Security on opas käyttäjän ja päätelaitteen arvojen kunnioittamiseksi tietoturvamaailmassa. Opas on hyvä ja posiitivinen kuvaus tietoturvasta ihmisten ja yksilöiden kannalta, kuitenkin yrityksen eduksi.

Tekniikka ja operointi

Ethernetin suullinen historia on arkisto, jossa alan pioneerit puhuvat suunsa puhtaaksi vielä kun ovat hengissä.

Juniperin video selittää reititin-ASIC:ien sielunelämää ja on monipuolinen kuva laitteiden sisuskaluihin. Oman tuotannon ASIC MX Trio on kaikista joustavin ja monipuolisin, ja taipuu myös tulevaisuuden tarpeisiin. Se on multi-PPE RTC -prosessori, jonka viimeisimmässä 6-versiossa on 160 itsenäistä PPE:tä, joilla se voi ajaa 20 threadia rinnakkain. Eli kyseessä on massiivisesti rinnakkainen arkkitehtuuri. Toinen ASIC-arkkitehtuuri on liukuhihnakäsittely, jota edustavat Juniperin Express ja Broadcomin piirisarjat. Näissä liikenne kulkee aina saman vakioidun linja läpi ja sillä saadaan kova ja ennustettava suorituskyky. Lisäominaisuuksia voi saada käyttöön tiettyjen rajojen puitteissa. Arkkitehtuuri on yhteinen, mutta toteutuksissa ja ominaisuuksissa piireittäin voi olla eroja. Videolla on myös vertailtu Broadcomin Jericho2- ja Qumram-piirien ominaisuuksia. Näiden perusteella sitten pitäisi osata valita oikea osa oikeaan käyttöön.

Ivan Pepelnjak avaa konesali-ASIC:ien ominaisuuksia ja rajoitteita. Yleisimmät erot tulevat puskurimuistin koosta, välitystaulujen koosta, useamman peräkkäisen LPM-haun vaikutuksesta suorituskykyyn, välitysominaisuuksista ja ohjelmoitavuudesta. Tomahawk 3 on kovan suorituskyvyn piiri pienillä tauluilla ja muistella sekä rajatuilla välitysominaisuuksilla. Hintaluokka on 50000 dollaria. Suorituskyvystä kun tinkii, saa Trident 3 -piirillä isommat taulut ja monimutkaisemmat ominaisuudet hintaluokassa 30000 dollaria. Eniten ominaisuuksia tarjoaa Jericho 2, jolla voi tehdä monimutkaista pakettien käsittelyä, ja välitystaulut ja puskurimuistit riittävät isompaankin käyttöön. Hintalappu on kuitenkin välillä 75000-210000 dollaria.

Juniperin Sharada Yeluri antaa yleiskuvauksen fotoniikkaaan ja integroituun optiikkaan. Hyvä tietää, että yhteyspakattua optiikkaa voi käyttää myös sensoreissa ja lidareissa.

Juniperin päätös lakkauttaa MX204-reititin on herättänyt kovan äläkän käyttäjäyhteisössä. Samalla EOL:lättiin MX10003 ja MPC7MRATE-kortti. MX204 on ollut uskomattoman hyvä hinta-laatu-teho -suhteeltaan pienempään käyttöön ja sen korvaava MX304 on 3-4 kertaa kalliimpi. Toinen vaihtoehto korvaajaksi on tuleva ACX7100. Vastaavaa tuotetta ei ole oikein ollut saatavilla muiltakaan valmistajilta. Lopetuspäätöksen takana on komponenttien saatavuus ja Trio 4 -piirissä olevan HMC-muisti, jonka valmistus on lopetettu tiettävästi jo 2018. Onhan laitteille vielä elinkaarta 2028-29 asti, joten hätä on enemmän tunteellinen reaktio.

Juniper uudistaa metroratkaisunsa Cloud Metroksi uuden ACX7000-sarjan myötä. Retro-metro siirtyy syrjään ja mukaan tulee pilvihallittava metro 400G-kapasiteetilla. Yrityspuolella EX4100 on uusi paremman pään access-kytkin, joka solahtaa Mist-pilvihallintaan.

P4-ohjelmoitavat kytkimet ovat nousseet valtavirtaan standardoidun arkkitehtuurin avulla. Mutta nyt edgen mukana tulevat ohjelmoitavat Smartnicit tai DPU:t ovatkin paljon rönsyilevämpi kenttä. Niille voi olla jopa mahdotonta löytää yhteistä standardia. Sama ongelma on Kubernetesilläkin. Pakkostandardointia parempi ratakisu olisi kehittää taas uusi päästä-päähän palvelukerros ohjelmoitavan infran ja Kubernetes-mikropalveluiden päälle. Mikä se olisi? Edgeen voi syntyä erilaisia palvelualustoja eri käyttötarkoituksiin tai sitten kokonaan uusia edge-natiiveja sovelluksia.

Linux Foundationin valkopaperi ” Sharpening the Edge II: Diving Deeper into the LF Edge Taxonomy and Projects” sukeltaa edgen syövereihin ja esittelee trendejä, ongelmia ja ratkaisuja. Paperissa on esitelty kattavasti avoimen koodin projektit, jotka ratkovat kukin tiettyä ongelmaa. Zededan Edge Computing Landscape -raportti kertaa viime vuoden näkymät ja vahvistaa saman tilanteen kuin LF:n raportti.

MPLS-reitittimellä on kaksi tapaa muodostaa route-distinguisher: ASN tai IP. Ainoa oikea tapa on käyttää laitekohtaista ip-osoitetta, mielellään laitteen loopback-osoitetta. Näin joka reitistä tulee yksilöllinen, kuormanjako toimii ja ongelmanselvitys on helpompaa. Junosissa on myös automaattikomento RD:n luomiselle ip:n mukaan: “set routing-options route-distinguisher-id 192.168.1.5”. BGP:n konvergoitumisessa on MRAI-arvo, joka määrittää lyhyimmän väliajan mainostuksille. Internetissä MRAI 0 on luultavasti paras valinta, mutta konesalissa asia on monimutkaisempi. Nolla-arvolla reititin käsittelee mainostuksen heti, mutta kaikki verkon laitteet eivät voi käsitellä mainostusta samaan aikaan, joten päivitysten määrä lisääntyy. Jos MRAI on 1 s, mainostus on hitaampaa, mutta verkon konvergoituminen voi olla jossain tapauksissa nopeampaa. Konesalissa, jossa tarvitaan nopeaa konvergoitumista, kannattaisi harkita IGP:n käyttöä BGP:n sijaan.

Virtuaalireititin Catalyst8000v:n rajoitettua kapasiteettia pystyy itse säätämään isommaksi, kuten Daniel Dib neuvoo blogissaan. Pakettikaappauksen perusteet käydään läpi Tony E:n blogissa. Käyttääkö spania vai TAP:ia, mistä kohdasta kaapata liikenne ja mihin lähettää se? Multipath TCP on lisätty OpenSSH:lle ja sillä voi nyt yhdistellä useita verkkoliitäntöjä samaan yhteyteen. Tailscale on lisännyt SSH:n VPN-konseptiinsa. SSH-avaimet voi jättää pois ja antaa Tailscalen pääsynhallinan hoitaa kirjautumisen. Portnox tarjoaa AAA-palvelua pilvestä TACACS+-as-a-Service -konseptillaan.

Pingaamiseen on oikoteitä kun kaikkia numeroita ei tarvitse välttämättä kirjoittaa. “Ping 1.1” tuottaa monessa käyttöjärjestelmässä lopputuloksen “ping 1.0.0.1”. Ipv6-puolella “lyhyin ping” “ping 2600::”, johtaa Sprintin verkon palveluun. Ping-tilastot Googlen 8.8.8.8-palvelusta kertovat, että sinne tulee tasaisesti 12 Mpps pingiä sisään, mikä vastaa noin 10 Gbps -liikennemäärää.

DNS-kummallisuuksissa on esillä TLD .ch eli Sveitsin maatunnus. Ch on alun perin osoitettu 1970-luvun historiallisen Chaosnetin käyttöön ja siksi kysely “dig ch NS” epäonnistuu. Perään pitää laittaa piste, jolla kysely toimii: “dig ch. NS”. Sama ongelma on ainakin Intian .in-maatunnuksella.

Tampereen kaupunki ottaa käyttöön Signifyn Brightsites-verkon, joka tarjoaa nopean langattoman yhteyden katuvalaisimien kautta. Ketjun lähtöpää on liitetty 10G-linkillä internettiin ja valotolpat muodostavat 60 GHz -taajuudella mesh-verkon. Tolppien täytyy olla 150 säteellä. Näin saadaan käyttäjille jaettu 1,9 Gbps -kapasiteetti. Brightsites on valmiiksi integroitu valaisimiin ja paluukanavana käytetään 5G-linkkiä.

Wifi-verkkoon voi itse luoda QR-koodin kirjautumista varten. Koodiin sisällytetään SSID, autentikointimenetelmä ja salasana. Ja näin saat käyttäjät näppärästi kirjautumaan verkkoon koodin skannaamalla.

HTTPS/3 sai standardin viiden vuoden jälkeen RFC 9114:ssa. RFC9113 päivittää HTTP/2:sta. Mutta HTTP/3 ei pelkästään riitä hyvään suorituskykyyn, vaan mukaan tarvitaan striimin priorisointi, joka on määritetty RFC9218:ssä. Cloudflare kertaa blogissaan HTTP:n kehityspolun, RFC:t ja käyttöstatistiikan eri protokollaversioilla.

Ohjelmistotuotannolla on vakavia ongelmia vastuullisuuden kanssa. Tuntuu, että IT-alalla koodareilta puuttuu riittävä osaaminen ja ymmärrys omasta toiminnastaan. Ohjelmistojen surkea laatu johtaa merkittäviin ongelmiin yhteiskunnassa. IT-alalle pitäisi saada samoja käytäntöjä kuin esim. liikenteessä, energia-alalla tai sairaanhoidossa perinteisesti on. Tarvitaan säännöstelyä, määräyksiä, ohjeita, vaatimuksia yms. Eli IT:stä pitää tulle uskottavaa teollisuutta.

Miten sitten isoissa firmoissa työnteko toimii? Yleinen periaate on, että työt on jaettu pieniin autonomisiin tiimeihin ja työ tehdään projekteina, joita vetää asiantuntija tai Tech Lead. Agile ja Devops ei siis välttämättä ole enää oikea juttu. Devopsit eivät myöskään tykkää pelata infran kanssa, joten yritysten kannattaa luoda kehittäjille sisäinen kehitysalusta (IDP), jonka muoto voi vaihdella tarpeen ja koon mukaan. Periaatteena on, että kehitysalusta olisi sisäinen tuote, jota kehitetään ja ylläpidetään käyttäjien ehdoilla. Mukana pitää olla itsepalveluperiaate sekä standardointia ja rakennetta parhaiden käytäntöjen hyödyntämiseksi.

IaC-työkalu Terraformin haastajaksi noussut Pulumi on täyttänyt viisi vuotta. Kasvu on nopeaa ja sillä on nyt lähes 1000 asiakasta, mm. Snowflake, Univision, Mercedes-Benz ja Docusign. Pulumin toimitusjohtajan Joe Duffyn mukaan Terraformin oma kieli siilouttaa organisaation, kun taas Pulumilla voi kukin tiimi käyttää omaa suosikkikieltään koodin kirjoittamiseen. Sopivalla kielellä saadaan koodin suorituskyky myös optimoitua. Suurin kilpailija Pulumille onkin oikeastaan isojen yritysten omatekoiset koodit. Pilvet tekevät osansa tehdäkseen palveluiden käytöstä helppoa. AWS on tässä johtaja modulaarisella ja laajalla palveluvalikoimalla. Azure ja Google ovat enemmän monoliittisia ja kankeampia. Pulumi tähtää kokonaiseksi pilvihallinta-alustaksi, jossa on mukana hallinta, valvonta ja tietoturva.

AWS:n oma IaC-työkalu Cloudformation on joissakin piireissä määritetty kuolleeksi. Asiasta voi olla montaa mieltä. Cloudformation kuitenkin tulee ilmaiseksi AWS-tilin mukana ja se ei vaadi mitään eritystä asennusta tai ylläpitoa. Työkalu on toimiva, käyttää YAML-koodia ja toimii jopa erillisten AWS-tilien välillä. Verkkoihmisillekin tarpeelliselle regexille löytyy tekoälykääntäjä, jolla voi muotoilla sopivia lauseita.

Infran ja palveluiden valvonta, nykyään hienommin sanottuna observability, lisää infran kustannuksia. Vanha juttu on, että valvonnasta ei kukaan maksa, mutta nyt olisi viimeistään aika miettiä valvontakustannuksia uudelta kantilta. Kehityskaari on nähty pilven käytön yleistymisen myötä: pilvipalveluiden käyttö lisääntyi holtittomasti, kunnes saavuttiin siihen pisteeseen, että tuli tarve jotenkin kontrolloida pilven käyttöä ja luoda sille käyttöperiaatteet. Saman mallin voisi ajatella käyvän myös perinteiseen IT-infraan. Näkyvyydellä ja valvonnalla riittävän syvälle sopiviin yksiköihin asti, saataisiin infran kustannustehokkuus ja toimivuus uudelle tasolle. Tämän voisi ajatella valvontajärjestelmien investoinnin tuottona. Mutta joku raja tässäkin minkälaisia ja -hintaisia tuotteita kannattaa ottaa käyttöön ja kuinka monta. Kerätyllä tiedollakin on myös aina hintansa, joten siinäkin pitää olla valikoiva mitä kaikkea valvoo ja miten. Omaan tarpeeseen sopivat työkalut voivat joka tapauksessa lisätä tuottavuutta ja tehokkuutta merkittävästi.

Cisco on päivittänyt Associate- ja Professional-tasojen sertifikaattikokeita niin, että niihin voi nyt sisältyä labratehtäviä. Labletit sisältävät konfigurointi- ja ongelmanselvitystehtäviä oikeilla laitteilla. Devnet-koe on saamassa samanlaisen päivityksen loppuvuonna. Labletit vedetään kokeeseen kysymyspankeista ja niitä voi tulla tai sitten ei. Kaikissa kokeissa, joissa mainitaan configure, troubleshoot, verify tai muuta tekemistä kuvaavaa, voi odottaa labratehtäviä. Opiskelumateriaalikustantaja Pearson aikoo ottaa käyttöön NFT-kirjat, jotta se pääsisi mukaan kirjojen jälkimarkkinoille.

Yritykset ja tuotteet

Okta listaa taas suosituimmat yrityssovellukset. SaaS-yritysten analyysi Q1/2022 kertoo, että parhaat suoriutujat olivat Datadog, Zoominfo, Sentinelone ja Gitlab. Moni on myös pudonnut takaisin historialliselle tasolle.

Vmware on joutunut selittämään yrityskauppaa USA:n arvopaperi- ja pörssikomissiolle. Kysymykset ovat mielenkiintoisia, mutta vastaukset täyttä yritysjargonia. Esim. komissio penää miten käy Vmwaren innovaatiokyvylle ja miksi Broadcom nähdään innovatiivisena yrityksenä.

Broadcomin nykytilanne on tulosta sen pitkäaikaisesta strategiasta. Itse asiassa Broadcomin oma tarina alkoi spin-offin spin-offista. HP erotti Agilentin omaksi yhtiökseen. Agilent jakautui vielä osiin, joista Avago oli siruliiketoimintayhtiö. Avago heräsi eloon yksityissijoittajien ostaessa yhtiön. Jo silloinen toimitusjohtaja Hock Tan ymmärsi, että puolijohteet ovat kova juttu 2000-luvun alussa. Tosin liiketoiminta oli erittäin kilpailtua, kausittaista ja pienimarginaalista. Avago keksi menetelmän: ostetaan markkinajohtaja vähän kilpaillulta alalta ja kasvatetaan kassavirta seuraavaa ostosta varten. Tällä menetelmällä on saatu USA:n puolijohdeteollisuus kutistettua 2000 yrityksestä nykypäivän 200:aan parissa vuosikymmenessä. Yrityksissä karsitaan kaikki kulut, tuotekehitys ajetaan alas ja johtajille annetaan itsenäisyys ja musertava työkuorma hyvine palkkioineen. Avagon peruja on taito suostutella ostettava yritys myyntiin. Broadcomin nimi jouduttiin ottamaan, jotta saatiin kauppa toteutumaan. Totuus on, että Broadcom ei ole puolijohdeyritys eikä ohjelmistotalo, se on yksityinen rahoitusyhtiö. Kuinka kauan tällainen ostokierre voi jatkua? Luultavasti vielä pitkään. Ongelmat ovat mistä löytää uusia ostettavia, miten integroida ne osaksi yhtiötä ja miten pitää yllä kassavirtaa. Organisaatiosta tulee niin iso, että se sekoaa omiin lonkeroihinsa. Broadcomin taktiikka on ollut antaa itsenäisyys eri yksiköille, mutta se ei voi toimi loputtomiin yhden yhtiön alla. Jos joku liiketoiminta alkaa sakata, se myydään tai erotetaan omaksi yhtiöksi. Näin ei ole vielä käynyt, lukuunottamatta yrityskauppojen mukana tulleita rönsyjä, joista on pitänyt päästä eroon. Verkkopuolen asiakkaiden tyytymättömyys Broadcomin toimintaan on jatkuvasti kasvanut ja se on avannut ovia muille valmistajille ja hyperskaalaajien omalle kehitykselle.

Yritysostojen kohteeksi joutuville työntekijöille on ohje pysyä rauhallisena. Ostouutisten jälkeen johtajat alkavat tiedottaa asiasta, mutta eivät työntekijöitä kiinnostavista asioista. Epämääräisyys laskeutuu. Kello alkaa tikittää ja seuraavan vuoden aikana muutoksia alkaa tulla ja kavereita hävitä ympäriltä. Pitää tehdä omat päätökset: lähteä vai jäädä.

Isoissa teknologiayhtiöissä on nyt yhtäkkiä tapahtunut käänne ja asiantuntijoiden palkkaaminen on monessa yrityksessä jäädytetty. Jopa irtisanomisia on esiintynyt. Yhtiöillä on vaikeuksia liiketoiminnassa ja yhteiskuntasuhteissa. Teknologia-ala viilenee kummasti. USA:ssa teknoalalla yli puolet yrityksistä aikoo luopua korkeakoulututkintojen vaatimuksista uusissa palkkauksissa. Vaatimusten löysäämisellä saadaan työntekijöiden monimuotoisuutta lisättyä. Parhaat yritykset tuovat aikeensa esille hyvissä ajoin ja luovat koulutusohjelmia, joilla saadaan uutta oikean osaamisen porukkaa taloon.

Martin Casado jakaa podcastissa näkemyksiään digi-infrastruktuurin kehityksestä, nykytilasta ja tulevaisuudesta.

Digicert ostaa DNS Made Easyn, josta tulee iso toimija digitaalisen luottamuksen ja DNS-palvelun kentälle.

HUS:n surkea tilanne heijastuu säästöohjelmassa, jossa myös ICT-kustannuksia leikataan loppuvuonna. Hankintoja ja projekteja saatetaan toteuttaa pienemmällä budjetilla tai siirtää seuraavalle vuodelle.

Extremen ostama Ipanema SD-WAN on nyt integroitu mukaan tuotevalikoimaan Cloud SD-WAN:ksi. Pilven myötä apuna on tietysti myös tekoälyapuri ja digitaalinen mallinnus. 5000-sarjan kytkimet ovat myös pilvihallittavia. Pica8 on tuonut virtuaalikytkimen Picos-V:n ilmaseksi ladattavaksi. Rekisteröityminen vaaditaan, mutta muuten sitä voi käyttää vapaasti ESX-, GNS3- tai Virtualbox-alustoilla.

Ciscon uusi suunta on pilvi, yhteiset alustat ja ennustava verkko. Ne ovat ainoa tapa vastata nykypäivän tarpeisiin. Thousandeyes WAN Insight yrittää ennustaa sovellusongelmia etukäteen tekoälyn avulla ja sitä kautta tuoda verkkoon älykästä automaatiota. Sitä voi käyttää SD-WAN -verkon optimointiin. Ciscon on raportoitu havittelevan Firefly Networksia, joka on intiassa  toimiva wifi-tukiasemaverkko.

Miamilainen liikemies on pidätetty väärennettyjen Cisco-tuotteiden myynnistä. Herra Aksoy on myynyt miljardilla dollarilla Kiinasta hankittuja vanhoja laitteita, joita oli paranneltu myyntikuntoon. Väärennettyjä ja epäluotettavia tuotteita oli päätynyt myös kriittisempään käyttöön sairaaloihin, kouluihin, viranomaisille ja armeijalle. Kauppa sai jatkua melkein kymmenen vuotta, vaikka Cisco yritti puuttua asiaan, tulli takavarikoi noin 180 lähetystä ja varastosta takavarikoitiin yli 1000 laitetta.

Hollantilainen ASML syyttää pekingiläistä yritystä yritysalaisuuksien varastamisesta. Dongfang Jingyuan Electronia on pidetty yhtenä maan lupaavimmista teknologiasijoittajista. Entisen ASML:n insinöörin syytetään varastaneen 2 miljoonaa riviä kriittistä lähdekoodia ja vieneen ne kiinalaisyritykseen. USA on itse osittain ajanut puolijohdetuotantoa alas ja siellä ei enää ole montaakaan piirivalmistuksen startup-yhtiötä jäljellä. Sijoittajien mielenkiinto menee ohjelmistoyrityksiin ja rautavalmistus korkeine investointikustannuksineen jää ilman yksityistä rahaa. Osaamista ei enää ole riittävästi ja USA ei voi omalla väestöllään edes täyttää kaikkia 300000 tarvittavaa työpaikkaa. Länsimaissa yleensäkin elektroniikan korjaamisen kulttuuri on hävinnyt, kun taas Aasiassa se on yleistä. Yllättäen Euroopassa on kuitenkin monessa maassa puolijohdeteollisuutta, vaikka se pientä onkin.

USA:n senaatti sai kuin saikin 280 miljardin dollarin piiritehdasrahoituksen läpi, vaikka Intel ehti jo hermostua yli vuoden kestäneeseen vetkutteluun. Ohion tehdas oli jo tulossa Eurooppaan, mutta ei nyt sitten kuitenkaan. Intel on ilmoittanut asiakkailleen nostavansa tuotteiden hintoja. Korotus voi joissakin tuotteissa olla jopa 20%. Myös kuidun hinta nousee, pahimmillaan Euroopassa, Intiassa ja Kiinassa jopa 70% alimmista hinnoista viime vuoden maaliskuussa. Toimitusajat voivat olla 20-50 viikkoa pienemmillä valmistajilla. Pula on kuidun valmistuksessa käytettävistä heliumista, jota tulee yllätys yllätys Venäjältä. Myös toisen komponentin tetrakloridin hinta on noussut.

Internet

Ericsson Mobility Report on julkaistu. Mobiililiikenteen määrä on tuplaantunut kahdessa vuodessa ja ennuste on, että viidessä vuodessa yli puolet liikenteestä olisi siirtynyt 5G-tekniikan päälle. Myös kiinteä laajakaista FWA lisää suosiota.

Maailmalaajuisessa yhteyskapasiteetissa sisällöntuottajat ja pilvijätit käyttävät keskimäärin lähes 70% kapasiteetista. Atlantilla jopa 92%, mutta Eurooppa-Aasia -välillä vain 21% kapasiteetista. Kansainvälinen yhteyskapasiteetti on kaksinkertaistunut kahdessa vuodessa. Google avaa merikaapelien saloja blogissaan. Zayo ilmoitti rakentavansa uuden Zeus-merikaapelin Pohjanmeren yli yhdistäen Lontoon ja Amsterdamin 192 kuituparilla.

Brittein saarilla on rakennettua kuitua innokkaasti viime vuodet. Mutta kuitu tuntuu olevan kaupunkien ylellisyys ja haja-asutusalueet jäävät ilman. Kaupunkialueilla on jopa kuidun ylitarjontaa ja markkinoilla on liikaa toimijoita, joista kaikki eivät voi selvitytyä. Pahin ylirakentaja on BT:n Openreach. Jäljelle jäävä markkinakolmikko olisi Openreach, Cityfibre ja Virgin Media, sekä niiden vuokralaiset. Lopulta ilman kuitua jäävä väestömäärä on todennäköisesti pieni, koska valtion tukea on korvamerkitty haja-asutusalueille. Briteissä on tapahtunut nopea käännös kuparitekniikasta kuituun yksityisen sektorin voimin.

Oikeuskäsittely Koreassa SK:n ja Netflixin välillä jatkuu. Netflixin teettämä raportti selventää kuinka paljon OCA-välityspalvelimet säästävät rahaa operaattorilta. Geoff Huston kertaa miten tähän on tultu: kuka maksaa ja mitä historia opettaa.

Netflixin päivitti kesäkuussa ISP Speed Indexin. Ookla on vertaillut Starlinkin yhteysnopeutta eri maissa. Liettuassa saadaan paras 160/24 Mbps -nopeus 63 ms viiveellä. Apple ja Ookla mittaavat testeissään “working latencyä”. Mikä se on? Idle-viive on optimaalisin tilanne ilman kuormitusta ja working-viive on viive kuormitustilanteessa. Näiden pitäisi olla mahdollisimman lähellä toisiaan. Oman yhteyden viiveet voi testata Bufferbloat-testillä. Jos viiveiden ero on yli 30 ms, ongelmia alkaa tulla. Välttämättä mitään ei ole helposti tehtävissä. Voit soittaa operaattorille, päivittää kotiverkon tai vaihtaa laitteita kiinteään verkkoon.

Ipv6-tuki on lisätty Lynxos-178:lle, jota käytetään sulautetuissa järjestelmissä. Tämän myötä ipv6 tulee myös lentokoneisiin ja muuttaa niiden järjestelmien suunnittelua. Ipv6:lla haetaan pitkäjänteistä teknologiaa, mikä voi olla hyväkin, mutta valitettavasti ipv6 lentokoneen järjestelmissä ei herätä luottamusta.

Valtiollisten internet-estojen hintaa on laskettu. 2019 lähtien tapahtuneiden estojen hinta maailmantaloudelle on ollut yli 27 miljardia dollaria. Kolmen vuoden aikana on tapahtunut 301 laajaa estoa 48 maassa. Maatilaston kärjessä ovat Venäjä, Myanmar ja Kazakstan. Raportista löytyy myös tietoa estoista ja niiden kiertämisestä. Operaattorit on yleensä pakotettu toteuttamaan liikenteen kuuntelumahdollisuus verkossaan. Kalliit Lawful Interception -ratkaisut ja niiden toteutus ovat tuskastuttavia varsinkin pienemmille operaattoreille. OpenLI on maailman ensimmäinen avoimen koodin sieppaussovellus, joka tarjoaa kustannustehokkaan vaihtoehdon määräysten toteuttamiseen. OpenLI:n ovat kehittänyt uusi-seelantilaisen Waikaton yliopiston tutkijaryhmä.

Tapahtumat

Kesän isot konferenssit RSAC ja Cisco Live olivat varsinaisia koronalinkoja. Cisco Liveen osallistui noin 16000 ihmistä Las Vegasin Mandalay Bay -hotellissa. Yksi valituksenaihe koski hotellin jäätävää kylmyyttä verrattuna ulkolämpötilaan. Tapahtuman wifi-verkosta oli blokattu pääsy juniper.net -webbisivulle. Se oli kuulemma vahingossa jäänyt päälle ja korjattiin nopeasti. Tapahtuman verkkoliikenteestä 45% oli ipv6:sta.

NANOG85-arkisto on täynnä teknisiä esityksiä. Metan @scale 2022 tarjoaa näkymää isojen järjestelmien suunnitteluun ja operointiin. P4 Workshop tarjoilee asiaa ohjelmoitavien kytkinten parista.

May Contain Hackers 2022 -tapahtuman esityksissä paneudutaan digi-infrastruktuurin tietoturvaan. 5G ja Open RAN  sisältää monta tietoturvauhhkaa, jotka liittyvät moderneihin IT-periaatteisiin ja -välineisiin. Nahamcon2022 esittelee tietoturva-asioita sovelluspuolelta ja kertoo esim. jatkuvan hyökkäyksen mahdollisuudesta CI-järjestelmissä.

Kuukauden laitepaikka

Englantilaiselle Eastnorin EMF-leirintäfestivaalille on pysytetty verkko lähes 3000 ihmiselle. Laitepaikkana toimii bajamaja. Tästä on hyvä repiä huumoria: IT-kaverilla nousi kusi päähän, en halua nähdä logia, klassinen PoE-setti: Potty over Ethernet, luulin että tällaisessa setissä piti olla TP-linkin vehkeet, löysit bittitoiletin – bitbucketin jatkokehitysversion, surullisin EX3300 ikinä, paskin laitekokoonpano ja aika paska laitekehikko. Englanniksi lisää: Internet is slow as shit, new protocol: Shit LAN or Shitternet, I pee v4, network dump, Pcap – at least the lid is closed,  putting the loo in loopback ip, pooconfig /release. Tosiasiassa tämähän on mainio laitepaikka: säänkestävä, lukittava, ilmastoitu, tilava ja hyvin radiosignaalia läpäisevä. Parempi kuin monesti kentällä näkee.

[FI] Tietoliikennealan katsaus 2022-05

Ukrainan sota

Yandex on Suomessa valtion erityistarkkailussa, vaikka mitään suoraa kyberriskiä siitä ei uskota aiheutuvan. Lähinnä palveluiden kautta välitetään propagandaa. Venäjän Googlen tytäryhtiö on julistautumassa konkurssiin, koska se ei voi enää hoitaa maksuliikennettä. Kaikki maksulliset palvelut on jäädytetty, vain ilmaiset palvelut jatkavat toimintaa. Maksuliikenteen vaikeudet ovat myös vaikuttaneet rikollisten toimintaan vähentäen lunnashaittaohjelmien määrää maailmanlaajuisesti.

Kyberhyökkäykset Suomeen ovat olleet vähäisiä. Varautumista on “parannettu” tai ainakin mediahuomiota lisätty. Monella yrityksellä, kuten DNA:lla, varautuminen on jo perustoimintaa, joten tässä tilanteessa ei varsinaisesti ole mitään uutta tai poikkeavaa. Euroviisujen IT-infraan yrittivät iskeä venäläismieliset Killnet- ja Legion-ryhmät, mutta järjestäjät torjuivat useita kyberhyökkäyksiä.

Laura Halminen kertaa missä mennään kyberrintamalla Suomen ja Venäjän välillä. Yleisesti ottaen on ollut rauhallista, mutta ainakin yksi viikon kestänyt pidempi palvelunestohyökkäys konesaliin on tiedossa. Venäjämyönteisen Conti-ryhmän toimista Suomessa on vain yksittäisiä havaintoja. Hakkerit ovat puolensa valinneet ja Ukrainan puolelle on asettunut 46 ryhmää ja Venäjän puolelle 26. Vakoilu on jatkunut, mutta painopiste on kohdistunut Ukrainaan. Conti-ryhmä on ilmeisesti hajonnut pienemmiksi soluiksi, brändi on kuopattu ja viralliset operaatiot ja toiminta-alustat on suljettu. Myös Revil-ryhmä on sekavassa tilassa. Oikeuskäsittely Venäjällä on keskeytetty kun USA:sta ei ole saatu näyttöä syyllisyydestä. “Uusi Revil” on myös suorittanut L7-DDoS -hyökkäyksen Akamain asiakasta vastaan ja vaatinut Bitcoin-lunnaita. Tässä kuitenkin taitaa olla kyse jäljittelijästä.

VPN-estot Venäjällä ovat perustuneet yksittäisten tuotteiden kieltoihin, mutta nyt tehokkuuden lisäämiseksi testataan koko protokollaliikenteen estoa. Blokattavien listalle päätyisi VPN-protokollia kuten L2TP, IKE, IPSEC. Testejä on tehty jo joillakin alueilla. Esim. Proton vpn ja Nordvpn ovat olleet ongelmissa. Myös suomalaiset uutissivustot päätyivät blokkilistalle toukokuun lopussa.

Ongelmat

Kiinassa kolmessa maakunnassa China Mobile on alkanut estää tekstiviestejä ja puheluita ulkomailta. Perusteluna on ollut huijaukset, mutta todellinen syy voi olla jotain muutakin.

Operaattorit ja 5G

Dishin modernin 5G-verkon kaupallinen aloituspäivämäärä lähestyy ja verkko ei vaan tunnu valmistuvan. Uutena käänteenä Samsung on valittu toimittamaan O-RAN -alustaa. Se on Samsungille merkittävä aluevaltaus USA:n markkinoille, mutta yksi valmistaja lisää Dishin yli 30 sopimusvalmistajan listaan. Vaikka Dish ei alun perin halunnut integraattoriksi toimittajien välillä, se joutui kuitenkin ottamaan koordinaattorin roolin, jotta homma etenisi. Tähän ihmettelyyn saatiin tuhrautumaan aikaa. AWS:n piti olla ykköspilvikumppani ja kaiken keskipisteessä, mutta nyt Dish onkin monipilvitoimija. Joustavuus halutaan säilyttää, kun kaikkia käyttötarpeita ei vielä tiedetä. Monet RAN-komponenteista eivät ole AWS:n päällä, vaan Vmware on yhteinen välikerros monipilven käytölle. Tässä menetetään tietyn pilvialustan edistyneet ominaisuudet ja Vmwaresta voi hyvin tulla koko ratkaisun kipukohta.

5G:ssä jatkuu yhteysalan heikko yhteys todellisuuteen. Messuilla toistellaan mediaseksikkäitä mantroja, mutta kotona ollaan paniikissa 5G-verkkojen kustannusten ja muuttuvien liiketoimintamallien kanssa. Kun kaikki säästötoimet on tehty, viimeisin kikka on laittaa sisältötoimittajat maksamaan verkot. EU:ssa on nyt jopa alettu symppaamaan operaattoreita GSMA:n lisäksi, ja keskustelu reilusta kustannusten jakamisesta julkisen hyvän eduksi on käynnistynyt. Se voisi tarkoittaa, että sisältötoimijat ottaisivat osuuden verkoista itselleen. EU voi aina reguloida yhtiöitä ja laittaa ne maksamaan veroja ja sakkoja, mutta se ei ole toimivin keino. Operaattorien järjestö ETNO on teettänyt raportin, jonka mukaan isommista digialustoista tulee Euroopan operaattoreille 40 miljardin euron kulut vuosittain. Suurin ongelma on, että operaattorit ovat voimattomia näiden sisältöjättiläisten kanssa. Ratkaisuksi ehdotetaan OTT-toimijoiden omien kaupallisten hyötyjen edistämistä eli liikenteen optimointia, johon niillä on hyvät edellytykset. Ja niinhän OTT-toimijat tekevät jo nytkin. Ne myös rakentavat omaa globaalin mittakaavan verkkoa. Etelä-Koreassa Netflixin oikeustaistelu on edennyt korkeimpaan oikeuteen. Netflix on tarjonnut SK Telecomille “uutta arkkitehtuuria” eli OCA-palvelimia tasaamaan kuormaa, mutta SK ei niitä halua ylläpidettäväkseen. Ei siis mitään uttta tältä rintamalta.

5G network slicing jakaa verkon virtuaalisiin osiin. Jako tehdään tällä hetkellä slicing manager -ohjelmalla, joka on lisätty valmistajien hallintaohjelmistojen joukkoon. Kypsyysaste vaihtelee ja monet operaattorit ovat vielä kokeiluvaiheessa. Kaupallinen käyttö alkaa pikku hiljaa. Alkuun skaala on parikymmentä siivua, vasta vuosien päästä voidaan päästä tuhansien ja kymmenien tuhansien luokkaan. Tähän vaaditaan operatiivisen monimutkaisuuden hallintaratkaisu koko palvelun elinkaaren ajalta. Jako toteutetaan yleensä niin, ettei olemassa olevaan verkkoon tule muutoksia. Nykyiset viipaloinnit ovat staattisia, vasta myöhemmin järjestelmät kehittyvät hienojakoisempaa ja dynaamisempaan viipalointiin. Liikenteen käsittely QoS-ominaisuuksin on ollut aina mahdollista, mutta viipaloinnilla haetaan kokonaisvaltaisempaa asiakaskohtaisen verkon toimittamista. Viipalointia voi tehdä kahdella tapaa. Erotuksessa tietyt resurssit kohdistetaan yhteen virtuaaliverkkoon ja se ei vaadi uusia toimintoja verkolta. Adaptoinnissa QoS-parametrein sopeutetaan verkkoa vallitseviin olosuhteisiin tai asiakasvaatimuksiin. Tämä vaatii enemmän ohjauskerrokselta ja verkkoelementeiltä.

Kanada on viimeisenä jäsenmaana Five Eyes intelligencesharing alliancessa kieltämässä Huawein 5G-verkoista. USA, Iso-Britannia, Australia ja Uusi-Seelanti ovat saman tehneet jo aiemmin. USA:n rip and replace -projektissa ollaan hyvin eri vaiheissa. Osa on jo ehtinyt purkaa Huaweit pois verkosta, vaikka rahoitus on vielä epäselvä. Esim. PTCI on purkanut raudat pois ja odottaa nyt ohjeita miten ne romutetaan. Se on myös käyttänyt 2 miljoonaa dollaria asiakkaaiden puhelimien uusimiseen. Hallituksen rahoitus kattaa vain verkkolaitteiden osuuden. Laitevalmistajat kuten HPE, Cisco, Nokia ja Ericsson pyytävät kevennyksiä kiinalaisosien tuontirajoituksiin, jotta laitetoimituksia voitaisiin nopeuttaa. Intia on nyt nousemassa Kiinan rinnalle komponenttivalmistuksessa.

EU on koonnut raportin O-RAN:n kyberturvallisuudesta. Rarpotti arvioi riskejä ja opastaa teknologian hyödyntämiseen. O-RAN on vielä alkutaipaleella ja standardoimatta, siksi turvallisuuskin on arvioitava monelta kantilta. Suositus on hajauttaa toteutus moneen valmistajaan kunhan yhteensopivuus saadaan luotettavaksi. Avoimen ratkaisun kautta saadaan käyttöön parempi näkyvyys ja mahdollisuudet virtualisointiin ja  automaatioon. Riskit liittyvät suurempaan määrään avoimia rajapintoja, riippuvuuteen pilvialustoista, resurssien jakoon, monimutkaiseen kokonaisuuteen sekä teknologian ja standardoinnin keskeneräisyyteen. Myös CISA on julkaissut arvion 5G-teknologian turvallisuudesta ja antaa suosituksia turvalliseen käyttöön.

Suomen kentälle on synnytetty 6G-kilpailukyvyn edistämiseen tähtäävä yhteenliittymä 6G Finland. Mukana on mm. yliopistoja, Nokia Bell Labs, VTT, Puolustusvoimien tutkimuslaitos ja yrityksiä. Yhteenliittymä on kansainvälisesti merkittävä Japanin, USA:n ja Saksan vastaavien rinnalla. Tavoitteena on laatia roadmap tärkeimmistä tutkimuskohteista, toimia yhteyspisteenä ja osallistua alan keskusteluun. Suomen 5G-yksityisverkkorintama sai uuden asiakkaan. Telia toimittaa Nokian 5G-privaattiverkon Posivan Eurajoen ydinjätteen loppusijoituspaikalle. Käyttö alkaa testauksella ensi vuonna.

Elisan Henri Korpi kertoo haastattelussa Elisan digikehityksen taipaleesta, joka eroaa merkittävästi keskiverto-operaattorista. Kehitys alkoi 2005 paikkeilla kun kasvua piti hakea pienessä maassa jostain uudesta. Tuohon aikaan oli tapana ostella operaattoreita, mutta Elisa osti yhtiön vain lähimarkkinoilta Virosta, ja keskittyi enemmän digipalveluiden kehitykseen ja yritysostoihin sillä alueella. Jo 2006 nähtiin teknologiamuutos ip- ja pilvipalveluihin ja osaamista alettiin kehittää siihen suuntaan. Softakehitysosaamisen myötä kulttuurimuutostakin saatiin yrityksessä ajettua eteenpäin. Softakehityksen avulla verkkotoimintoja saatiin automatisoitua pitkälle, mikä taas hyödytti perinteistä operaattoritoimintaa. 2010 Elisalta löytyi täysin automatisoitu NOC ja siitä muodostui sitten myytävä tuote nykyinen Polystar, jota on myyty 120 operaattorille. Valmistavan teollisuuden liiketoiminta lähti puolivahingossa vetämään kun sisäiseen käyttöön kehitetty ratkaisu sopikin teollisuusasiakkaan tarpeisiin. Pienellä tiimillä lähdettiin liikkeelle ja toiminta laajentui yhteistyössä Aachenin yliopiston osaamiskeskittymän kanssa. Sitten tulikin iso amerikkalaisasiakas ja nyt teollisuuden Industriq on yhtiön eniten kasvava liiketoiminta. Myös Elisaviihteellä menee hyvin ja siihen panostetaan. Toiminnassa on otettu oppia lean-menetelmästä eli kokeilusta ja jatkuvasta parantamisesta. Johdossa on myös uusi vapaampi kulttuuri. 40% elisalaisista on softahommissa ja operaattorin työntekijäkirjo on paljon laajempi kuin perinteisellä operaattorilla.

Kymmenen vuotta myöhemmin Telia aikoo päivittää henkilöstönsä osaamisen pilviaikaan kouluttamalla 2000 ihmistä yhteistyössä AWS:n kanssa. AWS-koulutusohjelma on pohjoismaiden suurin. Telialla on nyt 800 AWS-ympäristön kehittäjää. Telia Inmics-Nebula palkaa 101 uuttatyötekijää päivittämään Teliasta kokonaisvaltaista ICT-taloa. Ericsson on ollut vuorostaan vaikeuksissa muuttuvassa markkinatilanteessa ja hakee uutta potkua uudesta organisaatiosta. Kaksi uutta liiketoimintaryhmää ovat pilvipalvelut ja yritysverkot. Johtoryhmä uusitaan ja johtajia vaihtuu.

Subspace oli alhaisen viiveen erikoisverkko reaaliaikasovelluksille. Liiketoiminta ei kantanut ja verkko on nyt lopettanut toimintansa. AS32261:n liikenne tippui nollaan 24.5.2022.

Pilvi ja konesali

Suomi on kakkosena Global Cloud Ecosystem Indexissä Singaporen perässä. Suomi saa huippupisteet infrastruktuurista, mutta pohjalukemat ekosysteemien hyödyntämisestä, pilvimyönteisestä regulaatiosta ja luottamuksesta digitaaliseen talouteen. Suomen pilviosaaminen on keskitasolla. Bessemer Venture Partners listaa pilven tilan, ennustukset tulevaan ja mitä pilvestä pitää tietää, jos meinaa olla mukana liiketoiminnassa.

Parametrix on pilvipalveluiden käyttäjien vakutuusyhtiö, joka korvaa julkisen pilven palvelukatkot. AWS, Azure ja Google pätkivät viime vuonna keskimäärin 30 minuuttia kolmen viikon välein. Parametrix valvoo itse pilvipalveluita ja maksaa automaattisesti asiakkaalle omien havaintojen mukaisten katkojen korvaukset tunnin päästä häiriöistä. Valvonta perustuu 700 miljoonaan datapisteeseen tärkeimmissä AWS:n, Azure:n, Googlen ja Oraclen palveluissa. Lisäksi vakuutusta saa myös CDN- ja SaaS-palveluihin. Vakuutusmaksut liikkuvat välillä 10000-500000 dollaria vuodessa. Korvausmäärä asiakkaalle voi olla jopa miljoona dollaria tunnilta.

Monipilven seuraava evoluutio, pilvet yhdistävä Skynet on kuvattu paperiksi, jossa käydään läpi oletukset, vastalauseet, riskit ja mahdollisuudet.

Google on avannut uudet pilvialueet Madridissa. Google myös lisää tietoturvaominaisuuksia pilveen. Assured Open Source Software -palvelu tuo käyttöön valmiita tietoturvatyökaluja, joilla voi skannata, analysoida ja testata haavoittuvuuksia. Beyondcorp laajentuu Enterprise Essentials -tason tilaajien käyttöön ja Siemplify SOAR-alustaa on päivitetty niin, että tiedonjako helpottuu.

Microsoft on vastannut Euroopan syytöksiin rajoittavista lisenssikäytännöistä. Se julkistaa uudet eurooppalaisen pilven periaatteet eli tekee toimintamuutoksia, jotka vastaavat paremmin eurooppalaiseen toimintakenttään. Azuren uusi DNS Private Resolver on sisäinen nimipalvelu yrityskäyttöön. Cloudflaren nimipalvelu 1.1.1.1 on saavuttanut biljoonan (10^12) päiväkyselyn määrän. Palvelu on ollut olemassa neljä vuotta. 20% kyselyistä tulee salatun DoT- tai DoH-protokollan kautta.

Cloudflare on viettänyt alustaviikkoja mm. uusilla julkistuksilla ja suorituskyvyn päivityksellä. Yksi maaginen uusi palvelu on Magic NAT. Maailmanlaajuinen NATaaS. Vihaa tai tykkää. Cloudflaren asiakassitoutuneisuus on hyvää: 81% asiakkaista käyttää yli viittä palvelua, 70% yli kuutta, 58% yli seitsemää, jne.. Cloudflare käyttää myyntiin ja markkinointiin noin puolet liikevaihdosta. Se on paljon, mutta sillä tulee myös yli 50%:n vuosikasvua. 88% myynnistä tulee suoraan, vain 12% kumppanien kautta.

Kilpailija Fastly pisti toimitusjohtaja Bixbyn sivuun ja hankki devausalusta Glitchin vahvistamaan edge-strategiaa. Glitchissä on kyse kehittäjäkokemuksesta. Se on laajan kehittäjäjoukon suosikki, koska low-code -työkalulla pääsee näkemään mitä koodi tekee, mutta samalla hankalat asiat abstraktoidaan taustalle. Fastly käyttää Glitchiä itse sisäisestikin. Edgessä ideana on viedä toimintoja verkon reunalle ja Glitchillä Fastly pääsee edgeä hyödyntävien sovelluskehittäjäpalveluiden joukkoon. Fastly seuraa Akamaita, joka aiemmin osti Linoden. Digital Ocean nostaa hintoja. Suurin osa sen tuloista tulee isoilta asiakkailta, joita on noin 15% 632000 asiakkaasta.

Equinixilla virtuaalinen liittäminen yleistyy kovaa vauhtia. Viimeisellä kvartterilla Equinix Fabricin käytön kasvu oli 31% ja palvelulla on nyt 3000 asiakasta eli noin kolmasosa kaikista asiakkaista. Virtuaalinen liitettävyys on kovaa valuuttaa erityisesti pilviyhteyksissä, joista 66% on virtuaalisia.

Irlannin sähköverkko-operaattori Eirgrid keskeyttää 30 konesalihanketta sähköntuotanto-ongelmien vuoksi. Uusiutuva energia pitäisi saada ensin rakennettua sille tasolle, että uusia hankkeita voidaan ottaa. Konesalien rakennukseeen tulisi viiden vuoden tauko. Konesalit käyttävät nyt yli 10 % maan sähköstä ja 2030 vuonna kulutus olisi jo 30%.

Kyberturvallisuus

Yritysten tietoturva ei juurikaan kehity ja kustannukset vain kasvavat. Jan Mickos kuvaa hyvin mikä meni pieleen: integraation puute. Erilliset ratkaisut ja toiminnot liiketoiminnan kyljessä eivät auta, vaan tietoturva pitää pystyä rakentamaan osaksi toimintaa. Silloin riskienhallinnasta ja tietoturvan toteuttamisesta tulee päivittäistä työtä, kokonaiskuva paranee ja kustannukset laskevat. Alku on vaikea, mutta kun vauhtiin päästään, tietoturva siirtyy vähitelleen osaksi kaikkea normaalia toimintaa ja kustannuksia.

Oktan toimitusjohtaja avautuu nyt tietomurrosta ja sen taustoista. Okta keskittyi oman tuotteensa turvallisuuden hiomiseen, mutta ulkopuolinen kolmannen osapuolen osuus olikin heikompi lenkki. Alihankkija Sitel ei itse käyttänyt Oktan palvelua, vaikka ehkä olisi pitänyt. Sitelin toiminnasta löytyi paljon epämääräisyyksiä ja siksi sopimus irtisanottiin. Lopullisen tutkinnan teki ulkopuolinen taho ja sen mukaan päädyttiin hyvin rajalliseen vaikutukseen aiemmasta ilmoituksesta poiketen. Laajempi arvio oli kuitenkin realistinen siinä hetkessä, kun tiedot eivät olleet vielä täsmentyneet. Asiakkaat olivat turhautuneita, mutta Okta itsekin sai tietää tapauksesta samaan aikaan Lapsuksen paljastuksen myötä. Asiakkaita ei merkittävästi lähtenyt, koska vaihtoehtoisia palveluita ei oikein ole. Okta uskoo, että kertomalla avoimesti tapauksesta asiakkaiden luottamus palautuu, ja tapauksesta opittiin itsekin paljon.

Tutkimusdata 86 ATP:stä ja 350 kampanjasta osoittaa, että hyökkäykset harvoin käyttävät nollapäivähaavoittuvuuksia. Suurin osa on tunnettujen haavoittuvuuksien hyväksikäyttöä. Microsoftin tutkijat raportoivat Linuxiin kohdistuvan Xorddos-haittaohjelman kovasta kasvusta ja sen sielunelämästä. Vakavaa F5 Big-ip -haavoittuvuutta käytetään hyväksi ja laitteita on sen avulla tyhjennetty. Suurin osa on kuitenkin webshellin tiputtamista laitteeseen ja yhteyden avaamista sisään verkkoihin. Väärällä konfiguraatiolla haavoittuvuuden saa aktivoitua myös dataporteissa. Rust-kehittäjien Gitlab CI build -palvelimille yritetään asentaa takaportteja myöhempää hyväksikäyttöä varten CrateDepression-hyökkäyksessä. Bpfdoor on kiinalainen tiedustelutyökalu, jolla Linuxiin istutetaan passiivinen takaportti ilman uusien porttien avaamista. Työkalu käyttää Linuxin BPF:ää hyväksi ja ensimmäinen versio nähtiin jo 2018. EBPF:ää voi kuitenkin käyttää myös havainnointiin ja ajoympäristön pakotukseen suojautumistarkoituksessa. Tetragon on EBPF:n päälle rakennettu työkalu, jolla pääsee reaaliaikaisesti ajoympäristön sisään tarjastelemaan järjestelmää ja pakottamaan tiettyjä suojaustoimintoja. Tetragonilla voi esim. valvoa tiedostopääsyä ja verkkoprotokollien toimintaa, havaita heikkoja salausavaimia ja pakottaa ajonaikaista verkkopolitiikkaa.

Verizon Data Breach Investigation Report täytti 15 vuotta ja taas listataan hyökkäysten maailma yli satasivuiseksi raportiksi. Päälinja on, että hyökkäyksillä on neljä kanavaa: tunnukset, kalastelu, haavoittuvuudet ja botnetit. Lunnashaittaohjelmat ovat jatkuvasti kasvavassa nousussa. Viime vuonna nähtiin, miten yksi toimitusketjuhyökkäys voi vaikuttaa laajasti eri puolille. Toimitusketjuhyökkäys oli taustalla 62%:ssa järjestelmiin tunkeutumisista. Konfiguraatiovirhe, ja erityisesti pilvitallennuksen virhe, on pääosassa murroissa. 82% murroista sisältää inhimillisen elementin, joten ihmisen käytös on selkeästi suurin uhka.

NCSC:n turvallinen PDNS-resolverinimipalvelu on haittaohjelmia suodattava ilmainen nimipalvelu Brittien julkisen puolen organisaatioille.

Fortinetin kyselyssä kartoitetaan osaamisvajetta. Vaikeinta on löytää pilvi- ja sovellustietoturvan osaajia, SOC-työläisiä ja verkkotietoturvan tekijöitä. Yllättäen palkkauksessa sertifikaateilla on merkitystä, kun 81% työtekijöistä hakee sertifioituja henkilöitä. Se voi kyllä huomattavasti hankaloittaa saatavuutta ja eri maiden välillä saatavuudessa onkin suuria eroja.

Tekniikka ja operointi

Vinton Cerfin ja Robert Kahnin luoma TCP/IP-protokolla täytti 48 vuotta. Peter Palúch selittää toisen antiikkisen protokollan STP:n toimintaa. IPv6 yrittää niin kovasti saada jalansijaa, mutta helppoa se ei ole. Osoitteistuksesta ja moninaisista osoitetyypeistä on tehty taidetta. ULA-osoitteet on nyt todettu turhiksi, joten meillä on nyt edes yksi osoitetyyppi vähemmän. Vieläkö Openflow elää? Eipä juuri muutamaa poikkeusta lukuunottamatta. Isoja tuotantototeutuksia on joitakin, pienempiä luultavasti enemmän. Kytkimistä saattaa löytyä tuki protokollalle ja jokut SDN-kontrollerit puhuvat vielä Openflow:ta. P4-ohjelmoitavat kytkimet tulivat ja korvasivat Openflown.

Reititysprotokollan voi ajatella jonkinlaiseksi verkkoautomaatioksi. IGP-protokollissa on enemmän automaattista toimintaa, kun taas BGP on hyvin manuaalisesti konfiguroitava protokolla. BGP:henkin on tulossa automaattisuutta autodiscoveryn ja autoconfiguraation myötä. Kytkimien CRC-virheet näkyvät eri tavalla eri toimintaperiaatteen kytkimissä. On hyvä tietää, että cut-through -kytkimissä fyysinen virhe välittyy eteenpäin seuraavalle laitteelle, koska kytkin ei pysty tarkistamaan koko kehystä kerralla. Virheellinen tarkistussumma kehyksen lopussa aiheuttaa vain portin output error -laskurin värähdyksen. Vianselvitys voi olla vaikeaa kun viallinen kehys kiertää pahimmillaan koko verkon läpi.

Silvano Gai and Mario Baldi käyvät läpi kytkinteknologian historian 90-luvulta nykypäivään. Tietoliikenneasiantuntijan on hyvä ymmärtää rautaa ja siitä aiheutuvia rajoituksia ja kompromisseja. Tässä hyvä resurssi ASIC-maailman ymmärtämiseksi.  Mutta softallakin on olennainen vaikutus laitteen toimintaan. Ajuria vaihtamalla voi esim. tiputtaa viiveen kymmenesosaan ja saada nelinkertaisen läpäisykyvyn, kuten OpenWRT-käyttöjärjestelmän ajurien päivitys Unifi-6 -tukiasemassa osoittaa.

Intel on myös mukana fotoniikan kehityksessä ja on demonnut yhteispakattua 4x400G-modulia. Intelin Light Bender -optiikka on kehityskaaressa 2024-25 aikavälillä. Se voi muuttaa suorittimien tulevaisuutta, kun kaiken ei enää tarvitse olla yhdellä sirulla pakattuna, vaan suoritin voidaan koota eri osista eri tarpeisiin. Inteliltä lähtöisin oleva Cornelis Networks yrittää kehittää monipolkukytkentää eteenpäin Infinibandin pohjalta. Siinä on samoja asioita kuin Googlen Aquila-fabricissa: pakettien pilkkominen pienemmiksi, adaptiivinen reititys ja ruuhkanhallinta. Cornelikselta on tulossa Omni-path Express -kytkentä 400/800G-nopeuksilla. Sillä saadaan 2,5-3 kertainen välitysteho ja viiveet tiputettua 800 nanosekuntiin CPU-corejen välillä. Käyttökohde on superkonemaailmassa, jossa koneeseen halutaan valita parhaat komponentit. 

Englannin ICC on testannut jo vuoden verran Rockportin kytkimetöntä fabricia. Verkon vauhti ei ole pysynyt mukana kehityksessä ja nopeampia yhteyksiä tarvitaan laskentayksiköiden välille. Ongelma on tasainen välityskyky myös kuormitustilanteessa. Spine-leaf -fabric voi todellisuudessa antaa käyttöön vain alle 60% nimelliskapasiteetista. Ongelmallisia ovat äänekkäät naapurit ja ruuhkatilanteet. Uudessa testiverkossa Rockportin kortit on laitettu 224 compute nodeen ja toiset 224 on yhdistetty Infinibandillä. Näin saadaan oikeita ja vertailukelpoisia lukuja isommassa ympäristössä ja kahden eri tekniikan välillä. Testeissä Rockportin viiveeksi on saatu 24 ns kun ethernetillä se on 15000 ns ja Infiniband-ethernetillä 220000 ns.

Juniperin Sharada Yeluri kertaa miten konesali on kehittynyt aikojen saatossa hyödyntämäään Smartnicejä ja DPU:ita. Intelin uutta Mount Evans IPU:a odotellessa, Serve The Homen esittelyssä on FPGA:lla toteutettu Big Spring Canyon DPU. Samalla yritetään valaista mikä merkitys näillä DPU/IPU-korteilla on verkolle. Ethernetin salauksen vaihtoehtoja on listattu markkinakatsauksessa. Kuutakin kovempi ympäristö on Mars. Tavaran toimittaminen sinne on jo itsessään hankalaa, mutta laitteiden ja komponenttien pitää kestää rytinällä tapahtuva laskeutuminen, kylmyys, pöly, säteily ja painovoima. Mars-kopteri ei pysty suoraan kommunikoimaan maahan asti, vaan se käyttää Perseverance-mönkijää välittäjänä. Paikallinen verkko on hyllytavaraa, toteutettu Zigbeellä 250 kbps -siirtonopeudella ja kilometrin kantamalla.

Nokia on julkaissut MX Boost -tekniikan, jolla radioverkon kapasiteettia voidaan buustata yhdistämällä eri tekniikoita ja taajuuksia toisiinsa. Wifi voidaan näin yhdistää mobiiliverkkoihin ja yhteyksien agregointi tapahtuu IP-kerroksella. Daniel Dib antaa vinkkejä onnistuneeseen SDWAN-toteutukseen: kaksi yhteyttä ristiinkytkettynä ilman operaattorin kahdennusprotokollia, julkinen IP ja NAT:n välttäminen helpottavat elämää.

Sisältöpalvelut ovat kärsineet DNS:n huonosta suorituskyvystä ja yksityisyydestä sekä erikoisista vikatilannemahdollisuuksista. DNS:ssä ollaan siirtymässä kohti resolveritonta palvelua. Avoimien resolverien taival alkoi aikoinaan Googlen nimipalvelulla, jota Google tarvitsi hakukonetta varten. Selaimissa siirryttiinkin nopeasti osoitekenttähakuun ja nyt erilaiset yksityisyysprotokollat DoH, DoT, DoQ tulevat selaimiin ja nimipalvelu häviää taustalle. Hankala osuus on DNSSEC, koska sen hallinta on niin vaikeaa. Suosio on jäänyt 30% tasolle. Resolverless DNS kuitenkin vastaa sisältöpalveluiden tarpeisiin ja siirtää nimipalvelun infrasta sovellustasolle.

Testaamiseen ja dokumentointiin on määritelty RFC:ssä omat IP-osoitteet, jotta kukaan ei vahingossa käyttäisi toisten omaisuutta. Myös DNS:lle on määritelty jo vuonna 1999 testikäyttöön varatut domainit. RFC2606 määrittää domaineiksi: .test, .example, .invalid, .localhost, example.com, example.net ja example.org. IP-osoitteet löytyvät RFC3849:stä ja RFC5737:stä. Cisco  IOS:n niin ärsyttävä ja historiallinen ip name-lookup -oletusasetus, joka tekee tunnistamattomista sanoista nimikyselyn, voidaan kiertää “transport preferred” -konfiguraatiolla. Tosin se ei auta kaikkeen, mutta poistaa kirjoitusvirheiden generoimat nimikyselyt. Lopullinen ratkaisu ongelmaan on vanha tuttu “no ip domain lookup”.

Pulumi on Terraformin haastaja IaC-työkaluissa, koska se mm. tukee natiivisti Kubernetesta, yleisiä ohjelmointikieliä ja YAML-formaattia. Miksi API:lla on väliä? Internetin isoja ideoita on Socket API, josta nykyinen sovellusintegraatiomaailma lähti kehittymään. Keksittiin, että API:n voi julkaista verkkoon kaikkien saataville. Tuli XML-RPC, SOAP, REST, service mesh ja nyt API on ensisijainen rajapinta sovellukseen. Amazon jopa kehittyi sisäisen sovellusrajapinnan päälle. API ei kuitenkaan ole oikotie onneen, vaan sen käyttö vaatii enemmän tai vähemmän integrointityötä. API ei ole standardoitu ja käytännön työ määrittelyn ja koodaamisen kanssa voi olla hyvinkin tahmeaa ja hidasta.

Paloalto kertoo miten se löysi tehokkaamman tavan käsitellä isoja tapahtumajonoja. Tapahtumien reaaliaikainen korrelointi eri lähteistä ja tapahtumista on vaativaa ja tavoitteena on saada ulos yksi rikastettu “tarina”, joka kertoo tapahtumakokonaisuuden. Taustalla kokeiltiin yksinkertaista relaatiotietokantaa, mutta sen teho ei riittänyt. ScyllaDB NoSQL ja Kafka nostivat suorituskyvyn sopivalle tasolle, mutta toteutus oli monimutkainen ja hankalasti skaalattava. NoSQL ja viestijono pilvessä tiputti suorituskykyä ja oli edelleen monimutkainen. Lopulta päädyttiin NoSQL:ään ilman viestijonoa. Suorituskyky oli riittävän hyvä ja Kafkasta päästiin eroon. Monimutkaisuutta edelleen jäi, mutta operatiivista kustannusta saatiin tiputettua reilusti.

Observability ei ole valvontaa, vaan järjestelmän ominaisuus, jonka avulla sen toimintaa voidaan tutkia. Järjestelmästä kerätään telemetriatietoa, jonka avulla voidaan tehdä sen hallintaan liittyviä päätöksiä joko ennakoivasti tai jälkikäteen. Tieto on yleensä määrällistä metriikkaa, laadullista lokia ja kausaalista tracea. Telemetriatietoa voidaan käyttää valvontaan ja ongelmanselvitykseen. Ongelmana tietysti on, että tietoa tulee paljon ja oikeiden kysymysten tekeminen oikeaan kohteeseen on vaikeaa. Devops-maailmassa tämä korostuu ja viankorjausajat ovat Logz.io:n kyselyn mukaan pidentyneet viime vuodesta. Tietoturva on kuitenkin kaikkein suurin huoli. Joka tapauksessa liika tieto on alkanut haitata tuotannon laatua ja lisätä kustannuksia.

Forcepointin Janne Pikkarainen esittelee blogissaan Zabbix-valvonnan luovaa käyttöä. Miten olisi ilmalämpöpumpun valvonta, tai partakoneen? Entä 3D- tai VR-valvonta?

Mitä osoitetta pingata valvontamielessä internetistä? Tietysti avoimia nimipalvelimia, joiden osoite on helppo muistaa. Niissä toki on rajoituksia ja anycast-hajautus taustalla, mutta luotettavuus taitaa olla silti riittävän hyvä. Ehkä voisi pingata myös jotain operaattorin osoitetta, root-nimipalvelinta tai jotain tutkimusverkon IP:tä, mutta kaikissa niissä on puutteensa ja riskinsä.

Yritykset ja tuotteet

Teknologiateollisuuden Talousnäkymät-raportin mukaan tietotekniikka-alan liikevaihto kasvoi viime vuonna reilut 8% 17 miljardiin euroon. Alkuvuoden uudet tilaukset olivat selvästi alemmalla tasolla kuin edellisellä neljänneksellä, mutta voimakkaat vaihtelut ovat tyypillisiä. Tilauskehityksen perusteella yritysten liikevaihdon arvioidaa olevan kesällä suurempi kuin viime vuonna. Henkilöstöä tietotekniikka-alan yrityksissä on 76000, jossa on kasvua 2,5% viimeisen neljännesvuoden aikana.

Dicen teknologiapalkkauksen tyytyväisyyskysely USA:ssa kertoo, että keskipalkka on nyt kuusinumeroinen. Lähes puolet uskoo olevansa alipalkattuja ja samalla tyytyväisiä on reilu puolet. Palkat ovat selvästi nousseet viime vuodesta joko omien ansioiden myötä tai työpaikkaa vaihtamalla. Raportti myös listaa keskipalkat hubeittain ja ammateittain.

Venäjän tilanne on opettanut IT-ulkoistajille geopolitiikkaa ja että kaikkia munia ei kannata laittaa samaan koriin. Tilanne ei kuitenkaan estä ulkoistamasta. Osaajien löytämisen vaikeus ajaa yrityksiä aina vaan ulkoistamaan lisää. Myös ulkoistuskumppaneilla on hankalaa kun skaala ja laajuus on kasvanut valtavasti. Intiat ja Filippiinit on käytetty loppuun, ja katse on käännetty muualle Aasiaan, Lähi-Itään ja Afrikkaan. Itä-Euroopalla on myös hyvä maine suurien osaajaerien kouluttajana ja toiminta siellä voi olla nopeampaa kuin kaukomailla. Tilanne on nyt pysyvä ja helpotusta ei ole tiedossa moneen vuoteen.

GDPR täytti neljä vuotta ja sekoitti aikoinaan yritysten päät. Yrittäjien kyselyssä henkilötietoja käsittelevistä yrityksistä kaikki haluavat noudattaa asetusta ja 86% arvioi noudattavansa sitä hyvin. Silti osalla on edelleen vaikeuksia tietosuojan kanssa. Nuoremmilla yrittäjillä osaamisen puute on suurin syy tavoitteista lipsumiseen, mutta se voi johtua myös kovemmasta velvollisuudentunnosta. Myös ajan puute ja kustannukset haittaavat tietosuojan toteutumista. Vajaa puolet yrityksistä on hankkinut ulkopuolista apua.

Aalto on julkaissut analyysin Suomen suosituista verkkosivuista. Tarkoituksena oli selvittää paljonko sivustot käyttävät tiedonsiirtoa. Webbisivut ovat kasvaneet kymmenessä vuodessa yli kolminkertaisiksi ja mobiilisivustot yli kymmenkertaisiksi. Mobiilisivut eivät ole enää kevyitä ja niiden tiedonsiirto kuluttaa paljon energiaa. Sivujen suurin resurssi olivat kuvat (50-60%) ja toiseksi suurin Javascript (20-30%). Nämä kaksi muodostavat siis valtaosan sivun koosta. Jyväskylä yliopiston väitöskirjatutkimus selvittää työkulttuurin vaikutusta ohjelmiston laatuun. Mm. tiimien pysyvyydellä, laadun arvostuksella, koodikatselmointien lisäämisellä ja yhteisellä suunnittelulla saatiin virheitä vähennettyä ja henkilöstön työtyytyväisyyttä parannettua.

Coucbasen tutkimuksen mukaan onnistuneita digiprojekteja määrittää enemmän ihmisten käytöksen muuttaminen kuin uusi liiketoiminta. Muutoksen esteenä ovat vanha teknologia, olennaisen tiedon saaminen ja siiloutuminen. Yrityksillä on huomattava tarve saada uusittua teknologiaa, jotta ne eivät menettäisi myös asiantuntijoitaan. Pandemiasta on opittu budjetoimaan paremmin ja monet ennen mahdottomilta tuntuneet muutokset ovat nyt arkipäivää.

Fortinetin tuloksessa OT on ohittanut SDWAN:n. OT-ympäristöissä nähdään paljon kysyntää ja sinne panostetaan. Fortinet muokkasi muuriensa kalustusta ennakoivasti komponenttien toimitusvaikeuksien takia  ja tuloksena on syntynyt 70F, 600F ja 3700F. Kolme uutta mallia on tulossa vielä lisää tänä vuonna. 3700F:ssä on markkinoiden ensimmäinen 400G-portti. Fortinet myös rakentaa laitteita satoja tuhansia ennakkoon, mikä on helpottanut toimitusta.

Paloalton asiakkailla on kolmikantalähestyminen valmistajan tuotteisiin. Puolet Global 2000 -asiakkaista käyttää kolmea alustaa: Strataa, Prismaa ja Cortexia. Pilvisiirtymä ei tarkoita raudan kuolemaa, vaan pilviyhteyksien lisääntyessä myös rautapalomuurien kapasiteettia on päivitettävä. Maailmantilanteen epävarmuus näkyy hintapaineina, mutta inflaatio ei tunnu huolettavan Paloaltoa.

Ciscon tulos oli lättänä, mistä nousi jonkinlainen kohu mediassa. Taustalla voi olla vakavampia vaikeuksia. Cisco järjestää talouslukujen kategorioita säännöllisesti uusiksi niin, että kehitystä ei pysty seuraamaan pidemmältä ajalta. Ongelmia on ollut Venäjällä ja Kiinassa. Venäjän alueen kauppa on yleensä vain noin 1% Ciscon myynnistä, mutta toimintojen alaskirjaus vei 200 miljoonaa dollaria. Toinen syyllinen oli kiinalainen tehdas, josta ei saatu powereita 11000 odottavalle piirilevylle. Toisaalta hintoja on nostettu nyt kaksi kertaa ja niillä liikevaihtoa on saatu nostettua 1,6%. Myös Acacian sisäänoton hyvä buusti viime vuodelta on käytetty. Asiakkaiden kysyntä on tallella ja tilauskanta oli 15 miljardia, mutta toimituksia ei saada tehtyä ja softassa hävitään kilpailijoille. Tulosennustetta koko vuodelle on laskettu merkittävästi. Cisco tuntuu puhuvan kahdella suulla: toisaalta raudalla on merkitystä, vaikka sitä on vaikea toimittaa, mutta samalla retostellaan softamyynnin kasvulla, josta ei kuitenkaan tule tulosta.

Juniper on uudelleenkäynnistänyt Contrailin pilvinatiivilla päivityksellä CN2. Onnea Openstack- ja Kubernetes-käyttäjät, ja ties monesko uusi Contrail-tuotenimi. VPN-palvelu Tailscale on noussut yksisarviseksi nostettuaan 100 miljoonaa dollaria B-kierroksen rahoitusta. Yritys on lähtöisin ideasta yhdistää softatiimit ja työkalut paikasta riippumatta. 2019 kukaan ei uskonut mahdollisuuteen, mutta 2021 tuote näytti lähtevän lentoon. Nyt kysyntä on kovaa ja myynnin on vaikea pysyä perässä. Sana on kulkenut ensisijaisesti suusta suuhun ja ilmainen palvelu ja yhteisö toimivat sisäänheittäjinä maksulliseen palveluun. Panostus laatuun ja sen seuraamiseen on ollut onnistunut valinta ja ei-täydellisellä tuotteellakin on voinut nousta kärkijoukkoon keskinkertaisessa markkinajoukossa. Saadulla sadalla miljoonalla saisi seitsemän minuuttia Super Bowlin mainosaikaa, mutta Tailscale aikoo parantaa myyntiä, markkinointia ja kanavia, mutta ennen kaikkea tuotteen laatua kuten ennenkin.

Suomalainen piikiekkovalmistaja Okmetikc rakentaa uuden tehtaan Vantaan Koivuhakaan. Suomen mittakaavassa merkittävä 400 miljoonan euron investointi yli kaksinkertaistaa yhtiön liikevaihdon ja tuotantokapasiteetin.  Uusia työpaikkoja tulee 500. Okmetic on piikiekkojen suuria pelureita, markkinaosuudessa sijalla seitsemän. 300 mm piikiekoissa on kysyntä ja raha, joten sen valmistukseen on tulossa lisää kapasiteettia. Puhelimet ja konesali ruokkivat kysynnän kasvua. 200 mm kiekkojen saatavuudessa ei ole näkyvissä parannusta ja se aiheuttaa ongelmia loppukäyttäjätuotteisiin kuten 5G- ja IoT-laitteisiin sekä autoihin. Okmetic on ainoa merkittävä 200 mm kiekkojen kapasiteettia laajentava valmistaja.

Puolijohdepula ei vaan helpota ja voi olla, että maailma on pysyvästi muuttunut. Taustalla on monta muutosta. Avainasia on Aasian väestön vanhenemisesta johtuva työvoimapula tehtaissa. Latinalainen Amerikka on nouseva tähti suoralla maayhteydellä Pohjois-Amerikkaan. Myös meriyhteydet on turvattu. Länsimaiset vaatimukset tarkoitavat kalliimpia hintoja ja vähemmän varastotavaraa. Toimitusketjun seurantasovellukset nousevat tärkeiksi hankalassa markkinakentässä. Intelinkään mukaan tilanne ei normalisoidu ainakaan ennen vuotta 2024.

Olli-Pekka Kallasvuo on nimitetty Cinian hallitukseen.

Broadcom-Vmware

Vmwaren myynti Broadcomille on järisyttävä uutinen alalla ja suurin teknoalan yrityskauppa moneen vuoteen. Ennusmerkkejä on ollut ilmassa pitkään työntekijöiden liikkuvuudesta päätellen. Broadcom tunnetusti ei ole pihistellyt ostoissaan ja 61 miljardin dollarin hinta on erityisen mehevä nykyisille omistajille Michael Dellille (40,2%) ja Silverlake Partnersille (10%). Hinta on samalla tasolla kuin Dell-EMC- ja Microsoft-Activision Blizzard -kaupoissa. Kaupan mukana Broadcom saa Vmwaren 8 miljardin velat. Tosin Broadcomin softaliikevaihto kolminkertaistuu noin 45%:iin koko myynnistä ja siitä tulee heittämällä merkittävä ohjelmistopeluri markkinoille. Broadcomin nykyisen softabisneksen salaisuus on, että puolet liikevaihdosta tulee IBM-suurkoneasiakkuuksista ja vain noin 500 asiakkaasta. Ironisesti Greg Ferron sanoin: Broadcom voi brändätä softaosastonsa Vmwareksi ja siitä tulee isokoneyhtiö. Vmware antaa kuitenkin paljon mahdollisuuksia Broadcomille, jos se vain haluaa niitä hyödyntää.

Mutta Broadcom on tunnettu ostostensa rahastamisesta eli “talousmetriikan maksimoimisesta”. Tyyli on ostaa yritys, nostaa hintoja, leikata kuluja ja sitoa asiakkaat hankalasti vaihdettaviin tuotteisiinsa. Tavoitteena on yli kaksinkertaistaa Vmwaren käyttökate ja repiä siitä 5 miljardia dollaria tuottoa vuosittain. Tähän on vain kaksi mahdollisuutta: lisätä myyntiä ja alentaa kustannukset. Odotettavissa ovat massiiviset henkilöstövähennykset. Broadcomin maailmassa 13 miljardin liikevaihto tarkoittaa 10000 työtekijää eli 70% vähemmän mitä Vmwarella nyt on. Vmware taas on tunnettu innovoinnista ja hyvästä henkilöstöpolitiikasta. Törmäys on kova.

Broadcomin linjasta kertoo miten kävi aiemmille ostoksille CA:lle ja Symantecille. Toimintoja tuotekehityksestä, myynnistä, markkinoinnista ja tukitoiminnoista vähennettiin reippaasti. Symantec katosi Broadcomin tulosjulkistuksista kokonaan, tuotteiden arvostus laski visionääristä haastajaksi ja toimintoja myytiin eteenpäin. Broadcom vähensi kustannuksia CA:sta ja Symantecista 60-70%, mikä tarkoittaa Vmawarelle 5 miljardin säästöjä. Infrapuolella Broadcomin tapana on ostaa parhaita komponenttivalmistajia, joilla ei ole kilpailijoita. Näin hinnat voidaan nostaa ja rautavalmistajat sitoa kytkykauppoihin. HPE:n verkkokorteissa Broadcomin valmistaman ohjaimen hinnat pompsahtivat moninkertaisiksi ja tarinoita PCIe-kytkinten hintojen yhtäkkisistä kolminkertaistumisista on kuultu. Nvidian ostettua Mellanoxin ja Cumuluksen, Broadcomin ASIC-piirien käyttö estettiin avoimelta Cumulus-käyttöjärjestelmältä. Cumulukselta putosi alustavaihtoehdoista laaja kytkinvalikoima pois.

Vmware on merkittävä monella alueella yrityksistä operaattoreihin. Vmwarella on ollut 72% markkinaosuus virtualisointiohjelmistoista. Tosin virtuaalikoneiden ja konesalien trendi on hiipumaan päin, mutta häntä on varmasti todella pitkä ja kauppaa riittää hamaan tulevaisuuteen. Yritykset tarvitsevat kipeästi Vmwaren kaltaista yritystä. Vmware on tehnyt itsestään Sveitsin, joka pelaa puolueettomasti kaikkien kanssa, mutta on lopulta vain väliaikainen ratkaisu. Jossain kohtaa käyttäjät tajuavat, ettei Vmware-kerrosta tarvita enää mihinkään.

Kauppa on vahvistamaton ja muita tarjouksia otetaan vastaan 5.7. asti. Harvalla on varaa pistää enemmän rahaa tiskiin ja Broadcomin odotetaan joka tapauksessa nokittavan muut korotukset. Kauppa vahvistuu vasta joskus ensi vuoden puolella, pahimmillaan ehkä vasta loppuvuodesta 2023. Kaupan esteenä voi olla myös viranomaishyväksyntä kuten kävi Qualcommin oston kanssa. Markkinasyyt voisivat estää kaupan, mutta se on epätodennäköistä. Tietoturvasyistä USA:lla ei ole enää syytä torpata ex-singaporelaisen, nykyään San Josessa pääkonttoriaan pitävän Broadcomin ostosta. Käyttäjien kannalta Vmwaren kohtalo näyttää todella synkältä ja strategisia valintoja tulevaisuutta varten on syytä alkaa miettiä. Mutta nyt vielä kannata tehdä hätiköityjä päätöksiä, koska käänteitä voi tässä tarinassa vielä tapahtua.

Internet

Tutkijat ovat teoretisoineet, että vanhassa puhelinjohdossa voisi nostaa nopeuden kolminkertaiseksi nykyisestä, ainakin lyhyellä matkalla. Tiedonsiirto toimii nyt 1 GHz:llä, mutta kaapeli tukisi 5 GHz -taajuutta, jolla päästäisiin arvion mukaan 3 Gbps -nopeuksiin. Muutokseen tarvittaisiin vain sovitin kaapeliin. Raportti Metan ja Googlen kaapelihankkeista Afrikassa tarjoaa tietoa ja kuvia mitä maanosassa on meneillään. Meta on myös kehittänyt menetelmiä potentiaalisten kuitureittien kartoittamiseen. Perinteisesti tiet ovat selviä valintoja kuidulle helpon ja kustannustehokkaan asennuksen ja ylläpidon vuoksi. Kaikkialle ei ole teitä ja niitä on kallista rakentaa, esimerkkinä Kongo. Maaperätutkimuksilla voidaan suunnitella ja optimoida kuidun asennus maastoon.

Anycast on internet-palveluiden perustekniikka, mutta toteutus ei välttämättä aina ole kovin optimaalinen. Nyt kootaan yhteisöä RFC:tä varten tarkoituksena muodostaa yleisesti hyväksytty BGP community anycast-prefixeille. Näin saataisiin toive ja todellisuus kohtaamaan ja anycast-palveluiden reititys optimaalisemmaksi. Tästähän on tietenkin erimielisyyttä kannattaako koko idea ja onko se edes mahdollista.

Kiinan internetistä on laadittu tilastoraportti. Siinä paljon tietoa ja numeroita Kiinan internet-infrasta ja -palveluista. Akamain alustasta vuoden aikana kerätty data on päätynyt NFT-taideteokseen Portrait of Life Online. Tämä reaaliaikaisesta datasta muodostunut Internet-teos kaupataan huutokaupassa.

Tapahtumat

Teknologia22-messut eivät olleet menestys. Kävijämäärä oli pudonnut puoleen 2019 vuoden tapahtumasta. Voi kysyä, onko messujen aika ohi?

RIPE84 pidettiin Berliinissä ja esityksiä löytyy arkistosta.

Networking Field Day NFD28 esitteli Pathsolutionsin, Progressin, Pica8:n, Netbeezin, Aristan, Netris.ai:n, Juniperin, Augteran ja Gluwaren tuotteita. Dan Kelcher kirjoitti yhteenvetoa annista.

DKNOG12:n arkistoitu livestream löytyy Youtubesta.

Finnish Internet Forum keskusteli aiheesta “Internet at war” osana Internet Societyn ohjelmaa ossallistujina Mikkö Hyppönen, Catharina Candolin ja Peter Sund.

Bsides Knoxville 2022 -videoissa on esillä tietoturva-asiaa.

Googlen I/O ei sisältänyt oikein mitään verkkoasiaa, mutta kertaus konferenssista löytyy kuitenkin blogista.

Kuukauden kielipoliisi

Kielitaistelu on syttynyt: imperfekti pingaamiselle on joidenkin mukaan pung. Verbi taipuisi ping, pang, pung. Vai oliko se sittenkin ping pong pong, uusi PPP? What about the case then I troubleshat a networking problem. I found the problem when I tracerooted and panged my ip.

Is the public cloud the only option?

This blog was published originally in Finnish in the Cisco guest blog.


The temptation of public cloud and SaaS services is hard to resist. Who would like to be a brake on technology and business development? Much of IT infrastructure is already in the cloud, and companies are eagerly increasing the use of the cloud. What could go wrong?

Security is not what you think

Security has become the number one priority in today’s business, or at least in minds. The cloud provider is responsible for the security of the service on its own terms, but the responsibility for applications and data remains with the user. The complexity and opacity of the cloud service leave questions about how things really are. The possibility of a misconfiguration is high and many live in the illusion that things are just fine.

Traditional security model changes when you enter the public cloud. The world of developers and applications does not work without dynamic and automated services, proper management and monitoring tools, and application and identity management. The zero trust model and SASE services are easier to implement in the cloud, but still require hard work and a new way of thinking about the entire IT environment.

Bumps in the wire

The public cloud is largely reliable despite recent major problems. The public cloud’s vague SLA guarantees virtually nothing and it is the customer’s job to design availability and distribute services to different zones. Cloud is often far away and its use depends on the reliability and quality of service provider’s connections. For long distances, many potential faults can occur and the delay can be greater than for local services.

The Middle Mile or Cloud On-Ramp has become an important part of cloud connectivity. At least in theory, the service provider connects customers more directly to the cloud through its network bypassing potential bottlenecks along the way. The cloud services themselves also offer their Cloud WAN network through the partners for customer’s use. SASE and SD-WAN services could integrate seamlessly into the cloud. The NaaS (Network as a Service) model will also move networking to the cloud and will change the traditional network model in many ways from technology to billing.

Applications evolve, company doesn’t

Thanks to scalability and decentralization, the public cloud is a good choice to ensure user experience, as long as user application traffic is routed directly to the cloud and does not roam around the corporate network. In the background, however, the application may be based on a database or application logic, which may still reside in a local data center. Traffic travels between the front and the backend degrading application performance and user experience, and adding cloud transport costs.

The public cloud provides comprehensive services for a wide range of needs, and more targeted offerings come out constantly. The benefits of the cloud are best realized when applications are upgraded to cloud-native and more advanced cloud features are used for business needs. This means a change in the entire IT architecture, which will inevitably be reflected in the company’s operating culture. Comprehensive change does not happen in a day. In many cases, traditional applications are so firmly attached to the enterprise operations and business that the renewal is not even worthwhile.

Control gets out of hand

The cost of a public cloud is difficult to predict. The cloud offers more flexibility and features if you can take advantage of them. The cloud can be good for starting and developing services and operations, but as the service grows and stabilizes, the cost of the cloud hits harder. The costs and features of the cloud services are beginning to define the application architecture and put pressure on wider changes in the IT architecture.

It is easy to set up services in the cloud and forget them. The independence of business units easily drives into uncontrolled shadow IT and that, of course, is also reflected in the cost, functionality, availability, and security. The use of the cloud should be governed by at least common rules of use. A large proportion of cloud users do not optimize the cost of the cloud in any way, even if significant savings would be available. There is no actual price competition in the cloud, but users are attracted by the constantly evolving service offering.

Commitment starts to terrify

The benefits of the cloud are gained when services and applications are built by taking advantage of the cloud platform’s features. However, portability to another platform is lost. Cloud usage easily expands to several different cloud platforms, and the variety of SaaS services is constantly increasing. The result is a distributed and complex operating environment. Tools are needed to manage the whole environment but multi-cloud is still far too much: heavy lift, difficult and expensive.

The cloud is good for locking data and users. Hotel California effect defines that the doors are open but you can never get out. The great growth potential of the cloud business lies in the established services of companies that are not easy to transfer to the cloud. That’s why cloud giants are trying to attract the last adopters to the cloud by almost any means.

The ideal of agility

The public cloud is a very large and complex entity for which the company itself often does not have sufficient expertise. The outsourced expertise may not best meet the business needs. The cloud is seen as a crucial productivity tool for digitalization, but it has begun to suffer from inflation. It is difficult for companies to reap the benefits of their cloud investments. The ideal of agility and traditional IT clash violently.

Time for reflection

The public cloud is a good tool for example public services, analytics, artificial intelligence, and modern micro-services. Global reliability, first-class user experience, and flexibility of services are great strengths. Unfortunately in reality, much of the IT environment is messy and layered with history. Moving it to the public cloud may not make sense at all.

Technology is a good tool when it serves a purpose. It should not be the master. Cloud must be weighed in terms of each own needs and realities. If you want to take the reins into your own hands, there are options for building your own capacity and cloud. Everything doesn’t have to be either-or, but a hybrid environment can be a viable model either. But whatever solution you end up with, it requires your effort and commitment to get good results.

[FI] Tietoliikennealan katsaus 2022-04

Ukrainan sota

Palvelunestohyökkäys Suomen ministeriöiden webbisivuille 8.4.2022 ennen Zelenskyin puhetta eduskunnalle jäljitettiin venäläisen Zhadnost-ryhmän tekemäksi. Hyökkäyksessä käytettiin samaa Mikrotik-bottiverkkoa kuin Ukrainaan kohdistuneisiin hyökkäyksiin. Ulkoministeriön tietoturvapäällikkö Matti Parviainen kertoi, että pienet hyökkäykset olivat jatkuneet useamman päivän ajan. Kovempaa iskua on odotettavissa kun Venäjän pelikirjan mukaan seuraava vaihe on tietoa tuhoavat hyökkäykset.

Ukrainalaisten sanotaan viime hetkellä estäneen Venäjän kyberiskun Ukrainan sähköverkkoon. Pitkään suunniteltu hyökkäys onnistui ainakin yhden sähköaseman ICS-järjestelmään, mutta paikalliset työtekijät saivat manuaalisesti pidettyä sähkönjakelun päällä. Elon Musk on väittänyt, että Venäjä jumitti Ukrainaan vietyjä Starlink-terminaaleja, mutta softapäivityksellä toiminta saatiin jatkumaan normaalisti.

Ukrainan kybervalmiuden rakentaminen on ollut pitkäjänteistä. Hienostuneinta ja tuottoisinta hakkeriryhmää Armageddonia on pidetty silmällä vuosia ja sen käyttämiä menetelmiä on opeteltu ennakkoon. Siksi Ukrainan puolustus on pystynyt vastaamaan iskuihin ja onnistuneista iskuista on toivuttu nopeasti. Microsoft on julkaissut raportin hybridisodankäynnistä Ukrainassa ja siinä avataan venäläisten toimintaa tarkemmin.

Pakon edessä Venäjä erottautuu hiljalleen muista kohti teknologiaitsenäisyyttä ja suljettua internetiä. Tavoitteena voi olla Kiinan malli, mutta helppoa kontrollin rakentaminen sielläkään ei ole ollut. Kiina käytti arviolta 20 miljardia dollaria vuosittain saadakseen kaiken internet-liikenteen hallintaansa. Kiinassa liikenne kulkee muutaman tarkistuspiteen kautta, mutta Venäjällä internet on hyvin hajanainen. Maassa on yli 3000 ISP:tä, internet-ekosysteemi on hyvin sidottu globaaliin internetiin ja Venäjän resurssit tuskin muutenkaan riittävät kaiken liikenteen kontrollointiin. Tyypillisin esto on resetoida yhteys, mutta myös TLS-yhteyksiä voidaan pysäyttää ja blokki-ilmoituksia näyttää DNS:n kautta. Rajattu Runet on ollut käytössä muutaman vuoden. Se koostuu pakettisniffauksesta yritysten verkoissa, kansallisesta DNS-järjestelmästä ja viranomaisille keskitetystä internet-hallinnosta. Nyt venäläiset käyttäjät lataavat VPN-ohjelmia ja siirtyvät käyttämään länsimaisia DNS-palveluita päästäkseen kiinni ulkomaiseen tietoon ja turvatakseen oman selustaansa.

Venäjän teknologiaitsenäistymisen takamatkasta kertoo piirituotannon tavoite. Alustavasti oman piirituotannon kehittämiseen on varattu 38 miljardia dollaria. 2030 mennessä tavoitteena olisi saada tuotantoon 90 nm -teknologia, sama mitä TSMC teki jo vuonna 2011. Venäjä aikoo myös kopioida länsiteknologiaa ja siirtää valmistusta joko Venäjälle tai Kiinaan. Yllättäen myös Huawei on päättänyt vetäytyä Venäjän markkinoilta ainakin osittain, koska kokee tilanteen liian riskialttiiksi. Tällä voi olla isoja vaikutuksia Venäjän verkkojen kehittymiseen.

IT-työläisten pako Venäjältä kohdistuu Kasperskyn selvityksen mukaan enimmäkseen lähimaihin. Suosituimmat kohteet ovat Turkki, Georgia ja Armenia. Suurin syy lähtöön on ahdistuksen tunne, mutta myös pelkoa ja erimielisyyttä on joukossa. On arvioitu, että puolet lähteneistä voisi kuitenkin palata takaisin.

Ongelmat

Yandexin Mäntsälän konesalista on katkaistu sähköt huhtikuun lopulla, koska sähkösopimus ei ole enää voimassa. Palvelut pyörivät toistaiseksi varavoimalla diesel-generaattoreiden varassa. Uusi sähkösopimus on kuulemma neuvotteluissa.

Starlinkillä oli lyhyt, mutta laaja katko 9.4.2022. Katko kesti alle puoli tuntia, mutta sen aikana AS14593:ssä liikenne tippui reippaasti. Myös AMS-IX:ssä tapahtui muutosvalmisteluista johtuva häiriö, joka tiputti lähes 75% BGP-sessioista alas 25 minuutiksi.

Ranskassa tutkitaan ennennäkemättömän laajoja valokuituverkkoon kohdistuvia haitallisia tekoja. Kolme runkokaapelin katkoa eri puolilla Ranskaa samaan aikaan 27.4. aamuyöstä ei voi olla sattumaa. Katkot sattuivat Pariisista Lyoniin, Strasbourgiin ja Lilleen menevissä runkokuiduissa. Tekijällä on täytynyt olla tuntemusta asiasta, joten jonkinlainen sabotaasi on kyseessä. Kuituihin kohdistuva aktivismi on harvinaista, vaikka 5G-verkkoa on tuhottu useasti aiemminkin. Ranskan sisäministeriön sisäisen turvallisuuden yksikkö DGSI tutkii asiaa.

Atlassianin SaaS-alustan pieleen mennyt muutos 5.4.2022 on puhuttanut paljon. Poikkeuksellista oli katkon pituus, joka oli pahimmillaan kaksi viikkoa. Ongelma koski noin 400 asiakasta 226000:sta. Muutoksen yhteydessä viallinen koodi poisti pysyvästi nuo 400 asiakasta pilvipalvelusta ja ne täytyi rakentaa uudelleen tyhjästä. Atlassianin huono viestintä herätti vihaa, kun käyttäjien toimintakriittiset järjestelmät Jira, Confluence ja muut olivat tietämättömän ajan pois käytöstä. Viikon päästä oli saatu palautettua 35% asiakastiedoista ja Atlassian julkaisi selvityksen tapahtuneesta. Pitkä ja perusteellinen post-mortem julkaistiin kuun lopussa. Ironista kyllä, ongelma sattui juuri kun Atlassian oli ilmoittanut lopettavansa palvelintuotteet 2024 mennessä ja keskittyvänsä pilveen. Häiriö ei juurikaan vaikuttanut yhtiön osakkeen hintaan ja käyttäjät unohtavat menneet, kuten yleensäkin taitaa käydä.

Oktan tietomurto on loppuunkäsitelty. Oktan mukaan lopputulos tutkimuksista oli, että murtautuja käytti 21.1.2022 yrityksen työasemaa 25 minuutin ajan ja pääsi sitä kautta kahden asiakkaan rajattuihin tietoihin. Konfiguraatiomuutoksia tai salasananollauksia ei murtautuja päässyt tekemään, eikä myöskään käyttämään Oktan tunnuksia suoraan.

Operaattorit ja 5G

Suomalaisilta kysyttiin mitä etuja 5G:ssä on, ja kansa vastasi: nopeus. Markkinointi on purrut hyvin. Kuluttajat eivät osanneet juurikaan kertoa hyödyistä omin sanoin, vaan ne jäävät hämäriksi. Noin 25% sanoi, että 5G:stä ei ole mitään hyötyä. Uusia sovelluksia ei juurikaan mainittu, vaikka puolet osasi mainita reaaliaikaisuuden. Annetuista vaihtoehdoista nopeus oli ykkösasia, toisena toimivat ja luotettavat yhteydet, ja kolmantena selvästi pienempänä asiana tietoturva. 5G:n demokratisoiva vaikutus haja-asutusalueille kyllä on huomattu. Tietoturvan osalta Huawein kyberturvallisuus- ja tietosuojajohtaja Marja Dunderfelt sysää vastuun käyttäjille, jotka teknologiaa soveltavat käytäntöön. Vakiona tulee nopeus ja viive -diibadaaba, mutta itse verkkoteknologiassa ei tunnu olevan mitään riskiä. Omnitele on mitannut Suomen mobiiliverkkojen nopeuksia ja koonnut tulokset maaliskuulta. 5G näkyy Suomen patenttitilastoissa. Viime vuoden hakemuksista noin puolet on digitaalisen tietoliikenteen alalle ja Nokia on selvästi suurin hakija.

5G-laajakaista eli FWA tekee tuloaan vakaasti. USA:ssa kaapelioperaattori Comcast on uhitellut, että FWA ei uhkaa heidän perinteisiä kaapelibisneksiään, mutta tosiasiassa tämä vastahyökkäys on selvä merkki FWA:n noususta ja uhkasta. Viime vuonna T-Mobile US on saanut reilut puoli miljoonaan uutta FWA-asiakasta ja Verizon 173000. Uusista laajakaista-asiakkaista 20-40% valitsee FWA:n. Suurin osa siitä on kaapeliyhteyksien korvaamista langattomalla. Comcast on ensimmäinen amerikkalaisoperaattori, joka on ottanut käyttöön onttokuitua (Hollowcore Fiber, HCF). Lumenisityn esitys avaa tätä nopeutta kasvattavaa ja viivettä vähentävää brittiläisten keksimää teknologiaa.

Satelliittiyhteydet ovat kääntyneet tv-ohjelmien välityksestä yleiskäyttöiseksi laajakaistaksi aivan viime aikoina, kiitos Starlinkin. BT:n Neil McRae kertoo omasta näkökulmastaan satelliitteihin. Operaattorit ovat kiinnostuneita tekniikasta kustannustehokkaana ja luotettavana yhteytenä siellä missä oman verkon rakentaminen ei kannata. Satelliitti on vain yksi monista tekniikoista ja BT tutkii myös mm. pitkänmatkan wifiä ja vapaan tilan optiikkaa. Operaattoreilla kustannustehokkuus ja tarkoituksenmukaisuus ratkaisee. Onewebillä oli tarjota sopiva paketti, siksi BT valitsi sen. Käyttökohteita löytyy ajan myötä lisää, mutta normaaliverkon korvaajaksi satelliitista ei ole. Satelliittialakin käy nyt läpi muutosta, jossa uudet tulijat muokkaavat kenttää ja vanhat omahyväiset toimijat ovat vaarassa pudota kelkasta.

Satelliittihommissa laukaisu taivaalle on kallis toimenpide, jossa on omat toimijansa. Amazon on ostanut historian suurimman 83 laukaisun kokonaisuuden kolmelta rakettiyhtiöltä. Arianespace, Blue Origin ja United Launch Alliance (ULA) lennättävät suurimman osan suunnitelluista 3236 satelliitista avaruuteen viiden vuoden aikana. Amazon hyödyntää satelliittitoiminnassaan logistiikan, asiakaspalvelun ja kuluttajalaitteiden osaamistaan sekä tietysti AWS:n palveluita. Amazonilla Project Kuiperin parissa työskentelee yli 1000 ihmistä USA:ssa ja 13 Euroopan maassa. Starlink on tehnyt ensimmäisen sopimuksen lentokone-wifistä charter-lentoyhtiö JSX:n kanssa. Laajakaista olisi tulossa sataan koneeseen. Ranskassa ylin oikeusaste on poistanut Starlinkiltä sille annetut taajuudet, ilmeisesti koska se voisi vaikuttaa haitallisesti laajakaistakilpailuun ja markkina-asemiin.

IoT-verkko-operaattori Sigfox on keikkunut selvitystilassa ja nyt singaporelainen verkko-operaattori Unabiz on ostanut sen 25 miljoonalla eurolla. Toiminta jatkuu, mutta epävarmuuden varjo kyllä seuraa edelleen.

O-RAN saa kovaa kritiikkiä MWC:n jälkimainingeissa suorasanaiselta konsultilta John Strandilta. “Kaikki puhut, mutta kukaan ei osta“, menossa olevia testaussopimuksia pidetään kaupallisina sopimuksina ja uudet valmistajat alkavat panikoida kun kauppaa ei tule. Valmistajia oli messuillakin kuitenkin noin pari tuhatta, mutta kaupallisista, teknisistä ja käytännöllisistä asioista ei kuitenkaan juuri puhuttu. Näyttää, että O-RAN on liian vähän maailmassa, jossa pystytetään 10000 saittia kuukaudessa. Huomattavaa on myös, että radioverkon kustannusten osuus liikevaihdossa käyttäjää kohti on vain 3% luokkaa eli käytännössä ei mitään. O-RAN Alliance kuitenkin aikoo julkaista kasan standardeja tänä vuonna ETSI:n hyväksyttäväksi. Pää paino on yhteensopivuuden varmistamisessa ja integroinneissa.

Nokian hyvä tulos yllätti analyytikot. Erityisesti kannattavuus on kasvanut, vaikka komponenteista on pulaa ja tuotekehitykseen on investoitu reippaasti. Kilpailjat on saavutettu ja tärkeillä alueilla on jo menty ohikin. Erityisesti kiinteän verkon kasvu on kovaa, mutta myös mobiiliverkoissa markkinaosuus on kasvanut. Teknologialisensointiyksikössä sopimuksia ei ole saatu uusittua. Oppo ja Vivo on haastettu oikeuteen patenttiloukkauksista. Venäjällä Nokia jatkaa vielä jonkin aikaa yhteistyötä turvatakseen operaattoriverkkojen toiminnan.

Pilvi ja konesali

Hyvät pilvitulokset jatkuvat Q1:llä, mutta AWS:n kasvun hidastuminen on muistettu mainita. Microsoft ja Google kasvavat nopeammin, mutta pienemmin luvuin. Canalysin mukaan Azuren markkinaosuus kasvaa tasaisesti kahden prosenttiyksikön vuosivauhtia ja on nyt 21%. AWS ottaa 33% ja Google 8% markkinaosuuden. Myös pienemmät yritykset ovat nyt alkaneet investoida pilveen, mikä ruokkii pilvi-infran kasvua. IDC:n ennusteen mukaan pilvikulutuksen kasvu jatkuu ja vain Keski- ja Itä-Eurooppa on laskussa tänä vuonna. Gartnerin ennusteen mukaan mikään mullistus maailmassa ei hätkäytä IT-investointien tai pilven kasvua. Suurimman osuuden pilven kasvusta tekevät IaaS-palvelut, sen jälkeen PaaS-palvelut ja bisnesprosessit.

Investoinnit pilvi-infraan kertovat jotain alustan kehityksestä ja eivät yleensä valehtele. Investoinneissa AWS on omilla lukemillaan ollen yli kaksi kertaa isompi kuin Microsoft ja Google, jotka ovat tasalukemissa keskenään. Kolmoskerhossa pelaavat Oracle ja IBM, joista IBM näyttää edelleen kuolleelta, mutta Oraclen investoinnit ovat nousussa. Silti ne ovat kaiken kaikkiaan pienemmät kuin AWS:n viime vuoden investoinnit. Taustalla pyörii myös mahdollisia nousevia tähtiä, jotka ainakin kovasti puhuvat pilven rakentamisesta, mutta eivät käsitä minkälaiset investoinnit pilvi-infraan vaaditaan. Bank of America rakentaa privaattipilveä itselleen, koska ei usko julkipilven olevan riittävä heidän tarpeisiin, Euroopan GAIA-X on tuhoontuomittu idealistinen höpötys ja Trumpin Media & Technology Group seilaa yritysrypäsmuodostelman rakentamisessa enemmän kuin teknologiassa.

Ranskalainen pilviyhtiö Scaleway erosi turhautuneena itse perustamastaan Euroopan itsenäisen pilven GAIA-X -projektista viime vuoden lopulla. Nyt toimitusjohtaja kollegoineen lähettää kitkerää kritiikkiä EU:lle avoimella kirjeellä. Eurooppa on täysin riippuvainen amerikkalaisista yhtiöistä ja Euroopan oma teknologia edustaa alle 1% osuutta yritysten ostoista. EU hakee nyt apua kiinalaisista yrityksistä, mikä ei ainakaan omavaraisuuden ajatusta paranna ja riskeeraa tulevaisuuden entistä pahemmin. Itsenäisen pilven rakentamistavoite onkin nyt muutettu vain kyvyksi tarjota vaihtoehtoja amerikkalaisyhtiöille. Itse ongelma kielletään. GAIA-X -projektista tuskin tulee ulos mitään kovin mullistavaa tai merkittävää.

SaaS-yritysten osakkeet ovat puristuksissa maailmantilanteesta johtuen. Viime vuosina arvostus on enemmän liitetty investointitehokkuuteen kuin absoluuttiseen kasvuun. Toimialojen välillä on eroja ja parhaiten menee kyberturvallisuudella, vertikaaliratkaisuilla, finanssialalla ja data-alustoilla sekä kehitystyökaluilla. Nyt siis on tärkeää kasvaa optimaalisilla kustannuksilla, ei hinnalla millä hyvänsä.

Google on julkaissut uusia pilvipalveluita. SWIFT on GCP on yhteistyössä Swiftin kanssa tehty maksuliikenneratkaisu pilvessä. Media CDN on nyt julkisesti saatavilla ja sillä tähdätään videostriimausasiakkaisiin. Taustalla on Youtuben tekniikka ja alusta yli 200 maassa ja 1300 kaupungissa. Google Distributed Cloud Edge on myös nyt saatavilla, joko kuuden palvelimen ja kytkimien kokonaisena räkkikonfiguraationa, tai pienempinä 1RU:n applianceina. Edge löytyy myös Suomesta. AWS on poistanut tiedonsiirtomaksut eri availability zonejen väliltä saman alueen sisällä Privatelinkin, Transit-GW:n ja Client-VPN:n osalta. Uusi Brandon Carrolin blogisarja esittelee AWS:n tietoturvaa verkkoihmisille.

Microsoft on valinnut Nokian 7250 IXR -kytkimet Tier-2 -verkon laitteiksi. Microsoft ajaa niissä Sonic-käyttöjärjestelmää. Google on ostanut Mobiledgex:n, joka on telco-pilven ja edgen hallintaan erikoistunut yritys. Alun perin Deutsche Telekomin 2018 perustamasta avoimen koodin projektista oli tarkoitus tulla yleinen ohajuskerros operaattoripilvelle ja se oli suosittu operaattoreidenkin keskuudessa. Nyt Google lisää panostustaan operaattoreihin ja se on saanutkin sijaa operaattoreiden mielissä.

Gartner on uudelleennimennyt Cloud Networking Software -tuoteryhmän Multicloud Networking Softwareksi (MCNS) uuden markkinaoppaan julkaisemisen yhteydessä. MCNS-tuotteella siis suunnitellaan, toteutetaan ja operoidaan monipilviympäristön verkkoa. Listalla on valmistajia Alkira, Arrcus, Arista, Aviatrix, Cohesive Networks, Cisco, F5, Prosimo ja Vmware. Markkina on vielä pieni, mutta kasvussa. Prosimo on julkaissut monipilvi-transitin, joka käsittää koko pinon sovelluksesta sovellukseen. Yhdellä yhdenmukaisella arkkitehtuurilla saadaan kaikki palvelut yhdistettyä toisiinsa eri pilvistä joko verkko- tai sovellustasolla. Avuksi käytetään tietysti koneoppimista, jolla viilataan toiminnot suoraviivaisemmiksi ja helpommiksi. Prosimon perustivat ex-viptelalaiset vuonna 2019 ja se yrittää erottua muista yhden pinon ratkaisuilla eli välttämällä kuormanjakajia, API-GW:eitä tai proxyjä, joita muut valmistajat käyttävät. Gigamonin kysely kertoo, että monipilveen siirtymisen suurin ongelma on näkyvyyden puute, mikä hidastaa hallintaa, syö resursseja ja lisää kustannuksia.

Konesalikentässä amerikkalainen Cyxtera on mynnissä ja Suomessa Ficolon omistaja on vaihtunut Taalerista brittiläiseen Digital 9 Infrastructure PLC:hen. Google varoittaa Irlantia rajoittamasta konesalien kehitystä. Epävarmuus sähkönsaannissa on haitallista liiketoiminnoille ja horjuttaa maan digiekosysteemiä ja siihen liittyviä intohimoja. Konesalitkin voivat joskus olla kauniita ja näyttäviä tai muuten vaan erikoisia. Vai mitä sanotte esim. Barcelonan Mare Nostrum -superkoneen klassisista tiloista, joihin pääsee tutustumaan virtuaalisesti. Tukholman Bahnhof Södermalmin kalliossa tarjoaa maanalaista turvaidylliä. Lontoon Roca-galleriassa oli jopa näyttely konesaliarkkitehtuurista. Suomessa Telian HDC on edes vähän yrittänyt brändätä laitosta ulkonäöllä, mutta samaa ei voi sanoa Equinixin harmaista betonilaatikoista. Konesalit ovat yleensä sisältä samanlaisia, mutta CSC:n Kajaanin konesalin sisustus ja Lumi-supertietokone on melkoinen design-teos.

Kyberturvallisuus

Huoltovarmuuskeskus on taas julkaissut vuosittaisen kartoituksen kyberturvallisuuden nykytilasta eri toimialoilla. Parhaassa jamassa ovat ICT- ja finanssialat, joiden tulee vain ylläpitää samaa hyvää tasoaan. Eniten kehitettävää on media-, elintarvike-, logistiikka- ja kaupan alalla. Yleisesti kaikille yrityksille tärkeimmät kehityskohteet löytyvät strategiasta, arkkitehtuurista ja teknisestä jäljitettävyydestä. Yhteisiä laajempia huoltovarmuuteen liittyviä kehityksen kohteita ovat yhteinen tilannekuva, ohjelmistokehityksen turvallisuus ja henkilöstön osaaminen.

Suomen ensimmäinen kyberturvallisuusstrategia julkaistiin 2013 ja siinä linjattiin eri tahojen yhteistoiminnan, tilannekuvan, vastuunjaon ja lainsäädännön kehittämisen tarvetta. Edelleen periaate on, että jokainen suojaa itseään ja yhteistä kansallista kyberpuolustusta ei ole.  Catharina Candolin ottaa vahvasti kantaa kansallisen kyberpuolustuksen puolesta. Ylimääräisellä valtiollisella suojauskerroksella saataisiin vahvempi turva ja korkeampi hyökkäyskynnys. Paperinpyörittely ei riitä, vaan Suomen pitää ottaa aktiivisesti kantaa mitä kyberpuolustuksen toteuttaminen käytännössä tarkoittaa. Myös NATO määrittelee kyberpuolustuksen roolia uudessa maailmantilanteessa.

Puolustusvaoimat ja Maanpuolustuskoulutus voittivat NATO:n Lock Shields 22 -kyberharjoituksen. Yli 2000 henkilön ja 32 maan kilpailussa Liettua ja Puola tulivat toiseksi, kolmanneksi sijoittui Viro. Puolustusvoimien kannalta parasta antia on oppi, jolla kyberpuolustusta kehitetään eteenpäin. Nykyinen turvallisuustilanne saa Valtorin perustamaan uuden turvallisuusyksikön. Kyberturvallisuuskeskus kartoitti kuntien ja SOTE-toimijoiden palveluita ja löysi niistä tavanomaisia haavoittuvuuksia. Ei kuitenkaan hälyttävässä määrin. Palaute kunnilta oli positiivista ja ulkopuolisista kartoituksista toivottiin jatkuvaa käytäntöä. Internet-rajapinnan haavoittuvuusvalvonta ja näkyvyyspalvelut ovat hyviä keinoja löytää korjaustarpeita ja paljastaa prosessien ja toimitusketjujen heikkoudet.

Kiristyshaittaohjelmien kustannukset tulevat Checkpointin laskelmien mukaan kokonaisuudessaan jopa seitsemän kertaa suuremmiksi kuin pelkkä lunnasmaksu. Alan käytäntö lunnasmääräksi on 0,7-5% kohdeorganisaation liikevaihdosta. Todelliset kustannukset muodostuvat mm. reagointi- ja palautumiskustannuksista sekä seurannasta ja oikeudenkäynneistä. Vakuutusyhtiö Corvuksen silmin näyttää, että lunnashaittaohjelmat ovat kuitenkin laskussa sekä määrässä että kustannuksissa. Keskimääräinen lunnasmaksu oli viime vuonna 167000 dollaria, melkein puolet vähemmän kuin edellisenä vuonna. Syynä voi olla kovemmat vakuutusehdot ja sitä kautta yritysten parempi varautuminen. Mutta piikkejäkin esiintyi esim. Exchange-haavoittuvuuden ja Kaseya-tapauksen vuoksi, mutta se ei isoa kuvaa heilauta.

Splunkin State of the Security 2022 -tutkimus toistaa hyökkäysten määrän kasvua ja yritysten voimattomuutta sen edessä. Keskimääräinen palautumisaika kyberhyökkäyksestä on 14 tuntia ja tunnin hinta on 200000 dollaria. Trendmicron Cyber Risk Index kuvaa eri maanosien riskiä joutua hyökkäyksen kohteeksi.

Google ja Mandiant kertovat nollapäivähaavoittuvuuksista viime vuoden osalta. Määrä kaksinkertaistui edellisestä vuodesta. Suuri kasvu määrissä johtunee parantuneesta havainnoinnista ja tietojen julkistamisista. Samoja bugimuotoja käytetään vuodesta toiseen, viime vuonna vain kaksi haavoittuvuutta oli uudenlaisia. CISA:n listalla yleisimmin käytetyt haavoittuvuudet viime vuodelta ovat Log4Shell sekä Exchangen, Manage Enginen, Confluencen, Vsphere-clientin, Pulse Securen ja FortiOS:n haavoittuvuudet. Kaspersky listaa kehittyneiden hyökkäysten trendit viime vuodelta. Geopolitiikka ohjaa hyökkäyksiä ja alatason implantit yleistyvät. Tosin hyvin kehittyneitä hyökkäyksiä ei edes tunnisteta. Ensimmäinen haittaohjelma AWS Lambda -funktioille on myös nyt tunnistettu.

Ciscon WLAN-kontrollerissa on erittäin kriittinen haavoittuvuus, samoin Citrixin SD-WAN:ssa, Zyxelin palomuureissa ja Javassa. Aruban ja Avayan kytkimissä NanoSSL-kirjaston TLStorm 2.0 aiheuttaa haavoittuvuuksia. ICS-järjestelmistä alkuvuodesta löytynyt laaja DNS-haavoittuvuus on edelleen korjaamatta. IoT-laitteissa ja suositussa OpenWRT-käyttöjärjestelmässä käytety C-kirjasto antaa mahdollisuuden myrkyttää DNS-tietoja.

Atlasvpn on vertaillut eri valmistajien tuotteiden haavoittuvuuksien määriä. Applen tuotteissa haavoittuvuuksien määrä on pompannut lähes viisinkertaiseksi viime vuoden aikana. Vakavuuden mukaan riskitason 8 haavoittuvuudet ovat yleisimpiä, mutta pisteiden 5-10 välillä kyllä löytyy tasaisen paljon haavoittuvuuksia. Applen Icloud Relaysta on huomattu ominaisuus, joka ohittaa paikallisen palomuurin säännöt. Relay ei suostu toimimaan palomuurin kanssa: jos säännöt laittaa päälle, relay sulkee itsensä.

Nccgroup on kartoittanut LAPSUS$-ryhmän toimintaa. Tekniikkoina on päästä kuopimaan Sharepoint-saittien dokumentteja tai paikalisia salasanaohjelmien tietokantoja, joista voisi irrota tunnuksia. Kloonaamalla Git-repoja pyritään saamaan API-avaimia. Saaduilla tunnuksilla otetaan sitten VPN-yhteys yrityksen verkkoon. USA:n valtionvarainministeriö on tunnistanut pohjois-korealaisen Lazarus-ryhmän Ronin lohkoketjuvarkauden tekijäksi. Maaliskuun lopussa vietiin historian toiseksi suurin yli 500 miljoonan dollarin kryptovaluuttasaalis. Kryptolompakko on tunnistettu ja siihen on asetettu pakotteita. Hieman yllättäen kryptolompakosta onkin hankala siirtää omaisuutta paljastumatta. Yleisesti ottaen lohkoketju tekniikkana on turvallinen, mutta kryptohaavoittuvuudet ovat enemmän lohkoketjun päälle rakennetuissa ohjelmissa.

T-Mobilen tieskö mones hakkerointi ja sen jälkihoito viime vuonna on paljastunut epäonnistuneeksi. Kun hakkerit yrittivät myydä varastettuja asiakastietoja Raidforumsissa, T-Mobile olisi väitteiden mukaan palkannut Mandiantin ostamaan tiedot pois foorumeilta. Tietoja saatiinkin ostettua 150000 dollarilla, mutta hakkerit jatkoivat tietojen myymistä edelleen. Näyttää siis, että T-Mobile yritti välttää tietojen leviämisen maksamalla hakkereille, mutta epäonnistui.

Cloudflare on torjunut kaikkien aikojen HTTPS-DDoS-hyökkäyksen, joka oli teholtaan 15 mrps. Se ei ole määrältään suurin DDoS, mutta salattu liikenne tekee siitä erityisen. HTTPS-liikenteen generoimiseen ja torjumiseen tarvitaan enemmän resursseja, mikä maksaa myös enemmän. Hyökkäys kestikin vain 15 sekuntia. Bottiverkko koostui noin 6000 laitteesta 112 maassa ja yli 1300 verkossa. Suosituimmat bottialustat olivat mm. eurooppalaiset pilvialustat Hetzner ja OVH. Cloudflare on valinnut Kentikin parantamaan DDoS-havainnointiaan ja sitä voivat myös Cloudflaren asiakkaat käyttää integroituna palveluna. USA:n DOJ on kertonut sulkeneensa Venäjän armeijan hallinnoiman tuhansien laitteiden bottiverkon Cyclops Blinkin.

USA:ssa CISA on määritellyt pilvisovellusten tietoturvan teknisen referenssiarkkitehtuurin SCuBA TRA:n. Määrittelyn odotetaan nostavan tasoa sekä palvelutarjoajien että käyttäjien puolella. CISA:n projektilla on selvä rooli kansallisen turvallisuuden ajamisessa sekä julkiselle että yksityiselle sektorille. Julkisen puolen vaatimukset vetävät myös yksityisyritykset samalle tasolle. Paloalto korostaa identiteetinhallinnan merkitystä pilvitietoturvalle. Salasanoja käytetään liian paljon uudelleen, salasanat ovat heikkoja, pilvitunnukset ovat liian sallivia ja pilven poliitiikkaa ei konfiguroida kunnolla. Nämä kun laittaisi kuntoon, olisi taas reippaan loikan verran turvallisemmilla vesillä. Ja zero trustin toteutuskin lähtee identiteetinhallinasta.

Tenable ostaa Bit Discoveryn, joka on ulkoisen hyökkäyspinta-alan hallintaan erikoistunut yritys. Kauppahinta on käteisenä 44,5 miljoonaa dollaria. Tenable vahvistaa kaupalla kokonaisnäkyvyyttä ja haavoittuvuusriskien minimointikykyä.

Viiden vuoden työstön jälkeen security.txt on määritelty RFC9116:ssa. Idea on siis yksinkertaisesti luoda webbipalvelimelle tekstitiedosto, josta löytyy yhteystiedot ja ohjeet haavoittuvuuksien julkistamiseen.

SASE- ja SD-WAN -rintamalla Cato tuomitsee SSE-termin ärsyttäväksi ja tuottamattomaksi. Koko SSE:n ajatus, että tietoturva olisi parempaa ilman access-osuutta, on virheellinen. Vuosia rakennettu yhtenäisen verkon ja tietoturvan SASE-tarina pitäisikin nyt yhtäkkiä kelata takaisin ja paloitella kahteen eri osuuteen. Pahimmillaan verkon erottamisesta tulee reikä tietoturvaan. Isojen yritysten halua ostaa tietoturva erikseen verkosta, on Caton mielestä vanhoihin kaavoihin jumiutumista ja johtaa operoinnin ja vastuiden sekavuuteen. Verkon kautta olisi saatavilla hyvää tietoa ja kontekstia uhkista. Myös Vmwaren mukaan SD-WAN ei ole poistumassa mihinkään, vaan on entistä olennaisempi. Automatisoitu verkko ja tietoturva saavutetaan SD-WAN:n avulla. Vmware näkee SSE:n vain hyvänä buustina alalle.

ABI Researchin mukaan SASE on mielenkiintoinen idea, mutta tarvitsee todellisuuspohjaa. Nyt valmistajat luovat isoja odotuksia, mutta tuotteet eivät ole välttämättä valmiita. SASE on hyvä yhdistelmä zero trustia, yksityisverkkoa ja näkyvyyttä. Valmistajat lähestyvät asiaa omista lähtökohdistaan joko verkon tai tietoturvan suunnasta, ja se näkyy tuotteissa. SASE:n yhdistäminen 5G-yhteyksiin tuo jatkossa hyvän tavan turvata sovellusten käyttöä ja operaattoreilla on paikkansa palveluntarjoajina. SASE on vielä nuori ja vasta lyömässä läpi muutaman vuoden sisällä.

Ison yritysverkon näkökulmasta SD-WAN ei ole välttämättä optimaalinen, kuten  GlaxoSmithKlinen CISO Michael Elmore kuvaa. SD-WAN on ollut ketterä ja kustannustehokas tapa kiertää MPLS-VPN:ien hankaluudet. SD-WAN:n hyödyntäminen vaatii osaamista, jota yrityksillä ei useinkaan ole. Lopulta ongelma on kuitenkin se, että SD-WAN ei ole mitenkään parempi verkko, vaan kasa purkkavirityksiä yksittäisten halpojen komponenttien kasaamiseksi jotenkin toimivaksi kokonaisuudeksi. Jossain mielessä SD-WAN antoi meille huonoimmat puolet kaikista ratkaisuista. Yritykset tarvitsisivat yksityisverkkoa, joka on luotettava ja suorituskykyinen kuin MPLS, mutta samalla ketterä ja kustannustehokas kuin internet. Ratkaisu saattaa löytyä ohjelmoitavasta verkosta ja NaaS-palveluista.

Gartner itse on ottanut kantaa SASE-SSE -jaottelun hämmennykseen. Kyse on hankintamalleista, joissa on kolme tarvetta: toimipisteiden modernisointi (SD-WAN), pilvitietoturva (SSE) ja yhtä kokonaisratkaisua haluavat etunojassa olevat tai pienemmät asiakkaat (SASE). Todellisuudessa kaikki nämä toiminnot sekoittuvat iloisesti eri prioriteettien ja elinkaaren vaiheiden kesken. Kaikki kolme pysyvät, mutta SASE:n verkon ja tietoturvan yhdistävä malli lupaa eniten.

Zscaler on nyt lisännyt Helsingin HEL1-konesalin mukaan palveluihin.

Tekniikka ja operointi

RFC 1 vuodelta 1969 täytti 53 vuotta. Puolessa vuosisadassa on saatu aikaan reilut 9000 RFC:tä. Vuosittainen aprillipäivän RFC saatiin taas ulos. RFC 9225 Software Defects Considered Harmful kannustaa välttämätään softabugeja, koska ne ovat yksi suurimpia kustannuseriä alalla.

Tedium listaa uudempia ja vanhempia tekniikoita, jotka eivät menestyneet. Muistatko tai tunnetko Kermit-protokollan, internetin shakkipalvelimen, Scour P2P-jaon tai Iden-mobiilitekniikan?

Tarvitseeko MPLS:stä välittää enää 2020-luvulla? Keskustelu jatkuu. Terminologia on kaksijakoinen ja aina ei tiedä mitä puhuja MPLS:llä tarkoittaa. MPLS on verkkotekniikka ja MPLS-VPN on palvelu, jota operaattorit tarjoavat asiakkaille. VPN-palvelut rakennetaan MPLS-verkon päälle. MPLS tekniikkana on elegantti, skaalautuva ja joustava. Käyttötarve on sama kuin ennenkin ja käyttö jatkuu aivan varmasti pitkälle tulevaisuuteen. MPLS:n ja Frame Relayn edeltäjä X.25 jatkaa yhä elämäänsä joissakin paikoissa, kuten lentoasemalla. Fabricpath, TRILL ja SPB olivat ethernet-fabricin tekniikoita 2010-luvulla, mutta käytännössä kaikki toteutukset kuolivat melko pian lyhyen pyristelyn jälkeen. Ethernetin teoria on ytimekkäästi kuvattu Microchipin dokumentissa.

BGP on antiikkinen protokolla ja sitä joudutaan viilaamaan parempaan iskuun erilaisilla uusilla ominaisuuksilla. Perinteisiä tietoturvamekanismeja ovat TTL-rajoitus, autentikoinnit ja salaus. IP Journalin pitkässä artikkelissa Geoff Huston avaa BGP:n turvaamisen uusia menetelmiä, joita ovat mm. Secure BGP (sBGP), Secure Origin BGP (soBGP), Pretty Secure BGP (psBGP), Inter-domain Route Validation (IRV), Secure Path Vector Routing (SPV) sekä allekirjoitusten kuolettaminen ja yhdisteleminen. Pelkkä ohjaustakerroksen suojaaminen ei riitä, vaan reittitieto pitää olla paikkansapitävää myös välityskerroksella. IETF:n kehityksessä on tähän tekniikoita RPKI, ROV, BGPsec ja ASPA. Vieläkään ei kuitenkaan ole löydetty sopivaa tasapainoa turvallisuuden ja toteutustavan välillä. BGP-toteutuksissa on eroja ja kaikki reitittimet eivät puhu samaa kieltä standardeista huolimatta. MANRS:n esimerkkitapaus on FRRouting-ohjelmasta, joka ei kaikissa versioissa ole tukenut ADD-APTH-ominaisuutta. Siitä on syntynyt epäselvyyttä kun reittitieto näyttää erilaiselta eri paikoista katsottuna.

Juniperin ASIC-suunnitelun Sharada Yeluri kertoo verkkopiirien kehityksestä 1990-luvulta nykypäivään. Aluksi prosessointi rakennettiin 250 nm -tuotantotekniikalla 4-5 piirin varaan, joilla saatiin aikaiseksi 20 Gpbs -nopeus. Nyt on päästy 5 nm -tuotantoon ja kymmenien Terabittien nopeuksiin. Verkkopiirien teho on kasvanut 1440-kertaiseksi, kun tavallisella CPU:lla kerroin on 1000-1200 ja GPU:lla vain 400. Piiri sisältää satoja prosessoricoreja, joista osa voi olla erikoistuneita tietyn toiminnon kiihdyttämiseen. Vaikein tehtävä on reittien etsintä LPM-menetelmällä. Piiriin liittyy myös muistia, jonotus- ja ajoitustoimintoja sekä väyliä porttien ja piirien välillä. Lopuksi on vielä optimoitava tehonkäyttö.

Nvidian Spectrum-4 ja sen taustat kuvataan hieman tarkemmin Nextplatformin artikkelissa. Nvidian osaaminen serdes-suunnittelussa on auttanut piirin kehityksessä. Analogiaosa serdes on pitkän toimitusajan komponentti ja sen pitää toimia kunnolla. Digitaalinen pakettienkäsittely on paljon  suoraviivaisempi toteuttaa. Pakettikäsittelyn tehokkuuden parantaminen ei välttämättä aina mene samassa syklissä kytkinperheiden kapasiteettiportaiden kanssa. Mellanox on aina yrittänyt parantaa erityisesti pakettivälityskapasiteettia ja nyt on päästy tasolle 37,6 miljardia pakettia sekunissa. Liikenteen salaus saadaan tehtyä neljäsosakapasiteetilla linjanopeudesta. Se riittää hyvin pilvien keskimääräiseen DCI-tarpeeseen, joka on luokkaa 4 Tbps. Kytkimen kapasiteetista kertoo jotain se, että yhdellä kytkimellä voisi rakentaa 512-porttisen 100G-fabricin. Edellisellä sukupolvella vastaavaan tarvittiin 12 kertainen määrä kytkimiä. Hinta ei ole vielä tiedossa, mutta sääntönä on ollut, että porttinopeuden kaksinkertaistuessa porttihinta nousee 1,5-1,6 kertaiseksi. 800G-portin hinta asettuisi noin 1800-2000 dollariin kun 400G-portin hinta huitelee nyt noin 1000 dollarin tasolla. Muutakin kehitystä on tapahtunut AI-käyttötarpeiden ajamana ja Infinibandistä lainattuna. Adaptive routing parantaa kapasiteetinhallintaa ECMP-linkeissä myös isoilla flow:illa. Parannettu muistinkäsittely vähentää viivettä RoCE-protokollan käytössä. Erikoistarkka kellotus PTP:llä löytyy esim. hajautettujen tietokantojen synkronointiin. Nvidian kytkinasiakkaita arvellaan olevan Google ja Microsoft, joista ainakin Microsoft käyttää Infinibandia ennestään.

Myös Google on ottanut Infinibandista parhaat puolet uuteen Aquila-kytkentäarkkitehtuuriin ja Gnet-protokollaansa, jotka hylkäävät perinteisen ethernetin. Tavoite on saada viive alas ja yhdenmukaiseksi konesalin sisällä. Google näyttää taas suuntaa alalle omilla tulevaisuuden ratkaisuillaan. Aquila-fabric yhdistää 24 räkkiä sudenkorento-fabriciksi. Räkeissä on kaksi 24 palvelimen podia, joiden palvelimet on kaapeloitu kuparilla keskenään. Palvelimissa on Tor-in-NIC (TiN) -NIC-kytkin -yhdistelmä, joka käyttää omaa Gnet-protokollaa L2-liikenteen optimoimiseen. Räkit voivat olla 100 m päässä toisistaan kuidulla kytkettynä ja niiden välillä on tasainen 30 ns viive. Fabricissa palataan ATM:stä ja verkkolaitteiden sisäisestä toiminnasta tuttuun solukytkentään, jossa tasainen viive saadaan tasamittaisia lyhyitä soluja välittämällä. Alustavissa testeissä fabricin RTT on saatu puristettua alle 40 mikrosekunnin, mikä on viisi kertaa pienempi kuin nykyisessä IP-verkossa. Fabric on rakennettu yhden piirin varaan, jotta kustannuksia saadaan optimoitua. Myös piirien levittäminen mahdollisimman hajalleen, vähentää vikojen vaikutusaluetta. SDN-kontrolleri ohjaa verkkoa, mutta Aquila-piireissä on myös paikallista laskentatehoa omiin tarpeisiin. Piireissä ajetaan FreeRTOS-käyttöjärjestelmää. Myöhemmin P4-ohjelmoitavuus voidaan lisätä fabriciin. Ennen puhuttiin 10000-50000 palvelimen podeista, mutta nyt palvelintehojen kehityksen myötä Googlen isoimman kuorman ajamiseen tarvitaan ehkä vain muutama tuhat palvelinta. Työkuormaa pystytään pilkkomaan podien kesken, mutta se pystytään kuitenkin ajamaan tiiviin alueen sisällä. Aquila-fabricia esiteltiin NSDI22-konferenssissa. Kyse on kuitenkin vasta POC-tyylisestä testailusta, mutta Aquilasta voisi ponnahtaa markkinoille kaupallisia tuotteita esim. Broadcomin kautta. Epäselväksi jää voisiko Aquila hoitaa myös reititystä, jolloin sen vaikutus alalla voisi olla vieläkin merkittävämpi. Joka tapauksessa Google näyttää mihin SDN-verkko pystyy ja ajaa alan kehitystä eteenpäin.

Kytkinportin ajaminen äärimmäisen täyteen liikennettä on paljastanut, että laitteiden kellot eivät ole tarkkoja ja maksimiliikennemäärä voi vaihdella muutaman megabitin suuntaan tai toiseen. Ixian testerin ja kytkimen välillä 100G-linkin liikenne on vaihdellut välillä 99.999 Gbps- 100.001 Gbps ja epäsuhdasta johtuen paketteja tippuu matkalla. Tavallinen 40 ms virtuaalijono ei riitä puskurointiin, vaan vuotaa yli.

Tilastojen mukaan melkein kaksi miljoonaa 400G-optiikkamodulia on toimitettu konesalikäyttöön. Lyhyen matkan QSFP-DD-versiot olivat yleisimpiä, pitkän matkan ZR-koherenttimallia on toimitettu vain 60000 kappaletta. Tiesitkö, että valvontakameroiden infrapunanäkö on herkkä 850 nm -optiikan taajuudelle. Kameralla voit siis etsiä valoa vuotavia kuidunpäitä.

Juniper on yrittää ottaa johtoasemaa fotoniikassa ja perustaa yhteisyrityksen Synopsysin kanssa. Ala on niin erityinen ja nopeasti kehittyvä, että on parempi siirtää osaaminen ja kehitys omaan erityisyksikköönsä. Juniperilla on visio kolmen vuoden päähän toisen polven fotoniikasta, jossa laserit on sijoitettu suoraan piirille yhteispakatuksi optiikaksi. Fotoniikan avulla koko reititys ja liikenteen käsittely saadaan tehtyä piirin sisällä, mikä tehostaa toimintaa huomattavasti. Juniperilla voi olla ässä hihassaan pystyessään yhdistämään konesalin ja WAN:n tekniikan yhtenäiseksi pilviratkaisuksi, mutta teknologiamuutos ja markkinointi ei ole helppoa.

Levyliikennettä saadaan suoraviivaistettua ja nopeutettua NVMeoF-protokollalla ja ethernet-liitäntäisellä SSD-levyllä. Verkon suuntaan riittää 25G-portti. Kioxialta löytyy tällainen ethernet-liitännäinen levyjärjestelmä.

Nokian Bell Labs kertoo mitä avaruudessa vaaditaan laitteilta, jotta LTE-verkko saadaan pystyyn kuussa. Rakettimatkalla laitteisiin kohdistuu tärinää, joka voi rikkoa laitteen palasiksi. Laskeutuessa tömähtää niin, että laitteen pitää kestää törmäys. Tyhjyydestä seuraa epätavallisia oireita. LTE-osissa käytetään nesteitä, jotka tiivistämättä voivat alkaa kiehumaan. Kaasua vapauttaviat komponentteja on syytä välttää tai vähintään tunnistaa ne etukäteen.

Teollisuudessa yhden parin ethernet-kaapeli SPE yleistyy. Nopeus on gigabit-tasoa ja kantama 40 m. Nopeutta laskemalla matka kasvaa kilometriin. Yhden parin kaapeli on ohut ja kevyt, mutta silti PoE toimii sen yli. Trendforcen arviossa wifi6 ja 6E ottavat nopeasti vallan mobiililaitteissa lähivuosina. Käytännössä muutos on nopeaa, koska wifi4-laitteiden markkinaosuus on tippunut jo pari vuotta sitten nollaan.

IT-alalla on siirrytty yhä enemmän bloggaamisesta viihteellisempään materiaaliin, mikä on saanut pitkän linjan konkarit tuskastumaan. Viitsiikö enää mitään juttuja kirjoittaa, jos kukaan ei lue niitä. Kyllähän kollegat kuitenkin lukevat blogeja ja tykkäävät, mutta tunnustus ja palaute on olematonta. Siksi tuntuu, että eihän kukaan välitä ja mietityttää onko hommassa mitään mieltä. Ivan Pepelnjak kokoaa hyvät vinkit ja luo uskoa jatkamaan bloggaamista. Vertailut muihin kannattaa unohtaa ja jatkaa vaan omaa tekemistään.

Uravinkkejä ja näkökulmaa tarjoavat pari Twitter-threadia. 20 oppia verkkotietoturva-asiantuntijalta kertoo hyviä elämänviisauksia alalta. Muutoksissa kannattaa aina olla varasuunnitelma ja muutamia eskalaatiopolkuna valmiina. Joskus asiantuntijan roolina on olla vain terapeutti. Käy tapahtumissa ja päivitä niistä innostuksesi säännöllisesti. Vuorovaikuta pomojen kanssa kun siihen on mahdollisuus. Löydä helpot tavat tehdä töitä eli työskentele viisaammin. Joskus tarvitaan toinen ihminen selvittämään asia, puhuminen toiselle auttaa. Et tiedä ja osaa kaikkea, hyväksy se epämukava tunne. Työ ei lopulta muutu koskaan helpommaksi. Kuusi vuotta tekniikan myynnissä SE-roolissa on opettanut, että tarvitaan vahva tekninen osaaminen, mutta myös ymmärrys liiketoiminnasta ja toimialasta, jatkuvaa uteliaisuutta, esiintymiskykyä ja empatiaa. Työ voi olla toistavaa, vaikka toisaalta saa olla alan kärjessä. Tavoite on kuitenkin myydä ja aina ei myyntiin voi itse vaikuttaa. Asiakkaiden vastustusta on pystyttävä sietämään ja käsittelemään. 10 vinkkiä IT-haaastatteluun on jokaisen haastateltavan omaksuttava.

Dropbox on viimeiset vuodet kehittänyt DR-kykyään ja nyt testannut koko konesalin irrottamista verkosta. Ensinnäkin palvelut, jotka on rakennettu active-active -mallilla, pitää muuntaa active-passive -malliin, jotta vikavaihto voidaan tehdä konesalien välillä. Ennen testiä piti kehittää työkaluja ja prosesseja, mikä tarkoitti vikasietoisuuden perustoimintojen rutiinitestausta ja myös säännöllisempää pidempiaikaista testausta. Lisäksi operatiivisia prosesseja ja niihin liittyviä perusteita piti kehittää. Lopulta testiprosessi meni näin: ensin siirrettiin liikenne pois konesalista, poistettiin hälytykset ja automaattinen vikasietoisuus käytöstä, vedettiin piuhat irti ja tehtiin tarkistukset. Ja sama prosessi toimi toisinpäin palautettaessa. Testi onnistui globaalissa mittakaavassa häiriöttömästi ja San Josen metroalue saatiin poistettua hallitusti verkosta puolen tunnin ajaksi.

Jos vika ei ole verkossa, se on DNS:ssä. Mutta tässä Datadogin tapauksessa vika löytyikin paljon syvemmältä AWS:n, Kubernetesin, Ciliumin ja gRPC:n takaa, vaikka alkuun näytti, että DNS olisi syyllinen. Ongelman syyksi selvisi lopulta väärin toiminut RPF-tarkistus.

Google on julkaissut uuden operaattoreille tähdätyn Nephio-projektin, joka tähtää Kubernetes-automaatioon hajautetussa pilvessä. Sillä voisi esim. provisioida verkkotoimintoja monipilvialustaan. Alan ihmiset näkevät alustassa mahdollisuuksia, mutta telco-markkinaan tähtääminen ei historian valossa luo uskoa tulevaisuuteen. Nephion takana on kuitenkin kattava joukko operaattoreita ja valmistajia, joukossa myös Elisa. Google on myös vihdoin luovuttanut Istio service mesh -projektin CNCF:lle haudottavaksiCue-kielen mahdollisuudet verkkoautomaatiossa on tunnistettu ja sitä verrataan yamlittomaan Daggeriin. Michael Kashin on tehnyt esimerkkiautomaatiota Golla ja Cuella. Oletko miettinyt miltä infrakoodin pitäisi tuntua? No turvalliselta, vakaalta, ymmärrettävältä, nopealta ja kaikenkaikkiaan paremmalta. Scalefactoryn blogi kertoo miten tähän päästään.

Stefano Sasso on tehnyt Graphitella webbikäyttöliitymän netsim-toolsille. Sen avulla voi nyt visualisoida labraverkkotopologian kuten on voinut tehdä myös Containerlabilla.

Automaatiossa kyse on työnkulun ymmärtämisestä ja tehtävien järjestämisestä peräkkäin. Lähtökohta on perusteissa, ei työkaluissa. Verkon simulointi ja testaaminen toimii parhaiten mainospuheissa. Käytännössä oikeiden laitteiden ja esim. virtualisoidun labran välillä tulee aina jotain eroavaisuuksia. Suurin ongelma kuitenkin on konfiguraatioiden yhdenmukaisuus. Miten voit olla varma, että labrassa ja tuotannossa on samanlainen konfis ja vielä joka laitteessa? Automatisoinnin avulla.

Juniper on avannut Specialist-tason sertifikaatteihin liittyvät opiskelusisällöt ilmaisiksi. Samalla saa alennuskupongin testiin.

Yritykset ja tuotteet

Netoxin Trustcast on hyvä katsaus suomalaisen ICT-alan sisälle. Vieraana on laajasti erilaisia ihmisiä, joilta kuulee mitä yrityksissä ja alalla tapahtuu. Codeo on yksi palkka-avoimista yrityksistä ja on julkaissut tilastoja kehittäjien palkoista. Codeon palkkataso on toimialan ylimmässä 10%:ssa ja keskipalkka oli toissa vuonna 6652 €/kk. Kehittäjä saa noin 67% asiakaslaskutuksesta, joten laskutusta tulee n. 10000 €/kk/hlö. Maailmanlaajuisessa tutkimuksessa teknologia-alan naisten työtyytyväisyys on heikkoa. 82% ei ole tyytyväinen palkkaan ja koulutusmahdollisuuksiin. Suurin osa sanoo myös, että positiivinen kulttuuri puuttuu. Siksi alanvaihtoa tapahtuu paljon ja naiset lähtevät muille aloille parempien mahdollisuuksien perässä. Nokia aloittaa jälleen yhteistyön Metropolian kanssa ja lupaa suoran väylän koulusta työhaastatteluun. ICT-alalta valmistuu vuosittain alle 4000 henkilöä ja yritykset voisivat palkata 10000-15000, jos vain oikeaa osaamista löytyisi.

Kuukauden yrityskauppa oli Pensandon myynti AMD:lle 1,9 miljardin dollarin hinnalla. Pensando on ex-ciscolaisten perustama startup, toinen vastaava pienempi valmistaja on Fungible, joka on keskittynyt enemmän tallennusratkaisuihin. Pensando kilpailee DPU-valmistajana Nvidian, Intelin, Marvellin ja AWS Nitron kanssa konesalimarkkinassa. Pensando ei ole pieni yritys, mutta liian pieni pärjätäkseen yksin isoja vastaan. Pensando on ollut mukana Vmwaren hybridipilven Monterey-projektissa ja sen DPU integroitiin viime syksynä Aruban CX10000-kytkimeen. Pensandon DPU on 8-13 kertaa tehokkaampi kuin AWS Nitro, mutta sen tärkeimpiä ominaisuuksia ovat softalla muokattavat rautatoiminnot ja ekosysteemi mm. juuri Vmaren, HPE:n ja Netappin kanssa. Pensandoa on asennettu yli 100000 kappaletta Azureen, Oraclen ja IBM:n pilveen. Yritykset saavat nyt käyttöönsä samat toiminnot kuin pilvialustoissa on. Aiemmin AMD:n ostama Xilinx tekee kovan suorituskyvyn FPGA-SmartNIC:jä. Ongelma on vaan suppeat toiminnot ja FPGA:n ohjelmoiminen. Pensandon P4-ohjelmoitava pakettiprosessori on laaja-alaisempi ja paremmin muokattava, mutta siinäkin on mukana kovakoodatut kiihdytykset yleisimmille toiminnoille. Pensando on panostanut softaan ja API-rajapintoihin ja antaa näin käyttäjälle vapauden valita mitä toimintoja ottaa käyttöön. AMD lupaa jatkossa panostaa vahvasti Xilinxin ja Pensandon kehittämiseen. Korttien arkkitehtuuria on esitelty tarkemmin Serve The Homen sivulla. Arkkitehtuuri myös herättää kysymyksiä kilpailukyvystä.

Intel on ostanut Open Networking Foundationin (ONF) kehittäjät ja Ananki-yrityksen. Microsoft on luovuttanut Sonic-käyttöjärjestelmäprojektin Linux Foundationille. Dell on julkaissut uuden 4.0-version Sonic-käyttöjärjestelmästä yrityksille. Googlen on huhuttu katselevan Fastlya ostomielessä. Elisa Polystar ostaa Frinxin, joka on slovakialainen operaattoriautomaatiotoimittaja. Auvik ostaa Metageekin, joka on wifityökaluvalmistaja pienempiin ympäristöihin. Auvik täydentää keskikokoluokan verkonhalintatuotettaan wifi-osuudella ja se on tulevaisuudessa toimiva vaihtoehto esim. Cisco Primelle tai Solarwindille.

FortiOS 7.2 tuo julkisuuteen yli 300 uutta ominaisuutta mm. verkon ja tietoturvan yhdentymiseen ja tekoälyn hyödyntämiseen littyen. Cisco julkaisi 3100-keskisarjan uudet palomuurit, jotka on rakennettu FPGA:n ympärille kiihdyttämään Ipseciä ja TLS-yhteyksiä. Hallinta tarjotaan pilvestä. Broadcom julkaisi maailman ensimmäisen kokonaisen wifi7-piirisarjan, joka on sopiva monenlaiseen käyttöön.

Grafana Labs saa neljännellä rajoituskierroksella 240 miljoonaa dollaria, jolla se aikoo agressiivisesti kehittää uusia ominaisuuksia käyttäjien toiveiden mukaan. Entinen työntekijä on paljastanut Microsoftin käyttäneen satoja miljoonia vuodessa lahjomiseen Lähi-Idässä ja Afrikassa. Asian käsittely ei ottanut tuulta yrityksen sisällä ja asiasta puhunut työntekijä joutui lähtemään. Älykotituotteiden valmistaja Insteon on kadonnut mitään ilmoittamatta maailmankartalta ja lopettanut palvelunsa. Käyttäjät ovat jääneet tyhjän päälle.

Internetistä ja IP:n kehityksestä voi vetää johtopäätöksiä miten onnistunut järjestelmiä kannattaa suunnitella. Ominaisuuksissa kannattaa aloittaa minimaalisesti ja lisätä tarvittavia ominaisuuksia matkan varrella. Alustan tulisi olla avoin ja joustava, jotta sen päälle voidaan pidemmällä ajalla kehittää kulloinkin eteen tulevien tarpeiden mukaan erilaisia toimintoja. Kehitysnopeutta jarruttavat enemmän operatiiviset ongelmat kuin itse ominaisuuksien kehitys.

USA:ssa piirivalmistuksen lobbaamiseen on käytetty viimeisten vuosien aikana 100 miljoonaa dollaria. Ala on kasvanut voimakkaasti, samoin lobbausrahan käyttö. Vastapalveluksena lobaavat yritykset odottavat mehukkaita tukia uusille tehtaille. Espanja aikoo ottaa johtopaikan Euroopan mikropiirivalmistuksessa investoimalla 11 miljardia euroa alan kehitykseen.

Internet

Akateemisessa maailmassa hahmotellaan ratkaisuja Internetin parantamiseksi, ei ensimmäistä kertaa. Nyt USA:ssa suunnitellaan kokonaan uutta rinnakkaisinternetiä, jossa viive ja kapasiteetti saadaan paremmiksi. Uuden verkon peitoksi riittäisi 120 amerikan suurinta kaupunkia, joilla saataisiin 85% väestöpeitto.  Internetin kapasiteettia onkin saatu jo hyvin kasvatettua, mutta viiveen alentaminen on vaikeampi juttu. Tavoite projektilla on päästä hyvin lähelle valon nopeutta, johon kuitu ei olekaan hyvä ratkaisu. Operaattorit kun vetävät kuidut mutkitellen ja eivät välttämättä reititä liikennettä fyysisesti suorinta reittiä. Kuitu ei edes ole nopein siirtomedia. Siksi ratkaisuksi on valittu nopeampi langaton mikroaaltolinkki. Toinen uudistus on käyttää kahta rinnakkaista linkkiä, joista toinen hoitaa isoa kapasiteettia ja toinen alhaista viivettä. Algoritmillä valitaan kumpaa linkkiä käytetään. Nopeuttamalla 10% webbiliikenteestä voi olla valtava hyöty sovelluksille. Ratkaisu on kuulemma myös kohtuullisen kustannustehokas, mutta vaikea uskoa, että tästä mitään kovin merkittävää syntyisi tässä muodossa ainakaan.

Ripe on tutkinut sisältöjättien jalanjälkeä niiden omien verkkojen ulkopuolella. Viisi suurta sisältöpalvelua tuottavat nyt puolet internet-liikenteestä, kun kymmenen vuotta sitten siihen tarvittiin 150 eri ASN:n liikenne. Sisältöjätit levittävät palvelujaan toisten verkkojen sisään CDN-palvelimillaan ja näkyvyys niihin on ollut heikkoa. Tutkimus on yrittänyt selvittää kuinka paljon tällaista off-net -palvelua verkoissa on. Menetelminä on käytetty IP-osoitteita ja salatun liikenteen myötä on myös sertifikaateista saatu suht luotettava tietolähde. Tuloksena on, että Google on levittänyt palvelunsa lähes 4000 ASN:ään ja Facebook ja Netflix seuraavat samaa mallia, vain pari vuotta jäljessä. Akamain suunta on laskussa kun muut menevät lineaarisesti ylöspäin. Keskimäärin Facebookia käytetään noin puolet FB:n verkon ulkopuolisilta palvelimilta. Tosin alueittain ja palveluittain vaihtelua on paljon. Facebook on panostanut paljon kehittyville alueille, joissa sillä ei ole omaa verkkoa.

Uusi merikaapelikartta on julkaistu. Nyt kartalla on 486 kaapelia ja 1306 maihinnousupaikkaa. Google on vihdoin julkistanut Topaz-kaapelihankkeen Kanadasta Japaniin. Se on Googlen kahdeskymmenes merikaapeli. Kaapelissa tulee olemaan 16 kuituparia ja 240 Tbps -kapasiteetti. Valmista pitäisi olla 2023.

Lähi-Idän konesali- ja IXP-kentällä tapahtuu. Equinix rakentaa konesalin Omaniin, Edgnex Saudi-Arabiaan ja Glocal Cloud Xchange laajentaa verkkoaan Omaniin. LINX laajentaa Saudi-Arabiassa, DE-CIX kumppanoituu Irakissa ja AMX-IX Egyptissä.

Refactoring on uusi tekniikka internetsensuurin kiertämiseksi. VPN-yhteyksien kissa-hiiri -leikin sijaan, ystävällisten operaattorien verkon keskelle sijoitetaan proxyjä, joihin sensuuri ei pääse kiinni muuten kuin blokkaamalla pääsyn koko operaattorin verkkoon. Se taas haittaisi laajasti kaikkea käyttöä ja sensuroijaa itseäänkin ja olisi kalliimpaa toteuttaa. Refaktoroinnille on kehitetty viisi protokollaa ja avain alustan pyörittämiseen on pakettimonitorointikyky suurilla nopeuksilla. Paketeista tutkitaan refaktorointi-clientien luomia piilotussignaaleja, joista nähdään halu päästä blokatulle sivulle ja liikenne pystytään välittämään oikealle palvelimelle. Refaktorointialustaa pyörittävät voittoa tavoittelevat tahot. Käyttäjiä on miljoona ja proxyjä kolmella keskikokoisella operaattorilla. Lisää osallistujia kaivataan.

Microsoft on integroimassa Cloudflaren VPN-toiminnon Edge-selaimeen. Edgen Secure Network mode vaatii kirjautumisen Microsoft-tilille ja yksi gigatavu dataa kuukaudessa on ilmaista. Ylimenevästä osasta laskutetaan.

Brasiliassa on yleistynyt laajakaistayhteyksien kaappaus. Suurimmissa kaupungeissa rikolliset ovat ottaneet verkot omaan haltuunsa ja pyörittävät mafiabisnestä toisten verkolla. Kymmeniä tuhansia käyttäjiä on pakotettu käyttämään epäluotettavaa verkkoa ja käyttömaksut kerätään ovelta ovelle. Samaa mallia on käytetty myös kaasun, veden ja muiden perushyödykkeiden kanssa. Nyt voi sanoa, että internet on päässyt perushyödykkeeksi muiden joukkoon.

USA on julkaissut internetin tulevaisuusjulistuksen. Allianssimallista on siirrytty julistukseen ilman jäsenyysvaatimuksia. Sisältö on päätasolla avoin, ilmainen ja maailmanlaajuinen internet. Julistuksessa sitoudutaan takamaan ihmisoikeudet ja vapaus, tasapuolinen pääsy kaikille, luottamus digitaaliseen ekosysteemiin, globaali yhteensopivuus ja hajautettu hallinto. Viittaukset Kiinan eristämiseen on poistettu ja julistuksesta tulee nyt heikompi, mutta geopoliittisesti yhtenäisempi. Kiina ei silti ole tyytyväinen kun Taiwan on allekirjoittanut julistuksen. Yhteensä noin 60 valtiota, Suomi mukaan lukien, on hyväksynyt julistuksen. Mukana ei kuitenkaan ole Kiinan lisäksi myöskään Brasilia, Chile, Intia, Etelä-Korea, Sveitsi tai Norja.

Tapahtumat

NSDI22-esitykset tarjoavat syvätietoa verkkojärjestelmien suunnittelusta ja toteutuksesta.

Kuukauden tuotteistus

Uusia innovatiivisia tuotteita ja totuus tuotteiden takaa paljastuu Forward Networksin sponsoroimissa mainoksissa. Miten olisi biohartsista ja maissipolymeereistä valmistettu ympäristöystävällinen vegaaninen, gluteeniton ja GMO-vapaa reititin, joka kompostoituu 90 päivässä? Entä hot swap -diili, jossa pizzatilauksen mukana saat Cat6500-powerin? Tai Survira RX -inhalaattori, jolla selviät pieleen menneistä verkkomuutoksista? Kun perinteinen palomuurinäkyvyys ei riitä, avuksi tulee Ampli-firewall, jolla liikennettä voi havainnoida myös äänien avulla. Ensimmäinen verkkovikani -lelun avulla voi kokea ongelmaselvityksen ilon jo ensimmäisinä elinvuosina.