Is the public cloud the only option?

This blog was published originally in Finnish in the Cisco guest blog.


The temptation of public cloud and SaaS services is hard to resist. Who would like to be a brake on technology and business development? Much of IT infrastructure is already in the cloud, and companies are eagerly increasing the use of the cloud. What could go wrong?

Security is not what you think

Security has become the number one priority in today’s business, or at least in minds. The cloud provider is responsible for the security of the service on its own terms, but the responsibility for applications and data remains with the user. The complexity and opacity of the cloud service leave questions about how things really are. The possibility of a misconfiguration is high and many live in the illusion that things are just fine.

Traditional security model changes when you enter the public cloud. The world of developers and applications does not work without dynamic and automated services, proper management and monitoring tools, and application and identity management. The zero trust model and SASE services are easier to implement in the cloud, but still require hard work and a new way of thinking about the entire IT environment.

Bumps in the wire

The public cloud is largely reliable despite recent major problems. The public cloud’s vague SLA guarantees virtually nothing and it is the customer’s job to design availability and distribute services to different zones. Cloud is often far away and its use depends on the reliability and quality of service provider’s connections. For long distances, many potential faults can occur and the delay can be greater than for local services.

The Middle Mile or Cloud On-Ramp has become an important part of cloud connectivity. At least in theory, the service provider connects customers more directly to the cloud through its network bypassing potential bottlenecks along the way. The cloud services themselves also offer their Cloud WAN network through the partners for customer’s use. SASE and SD-WAN services could integrate seamlessly into the cloud. The NaaS (Network as a Service) model will also move networking to the cloud and will change the traditional network model in many ways from technology to billing.

Applications evolve, company doesn’t

Thanks to scalability and decentralization, the public cloud is a good choice to ensure user experience, as long as user application traffic is routed directly to the cloud and does not roam around the corporate network. In the background, however, the application may be based on a database or application logic, which may still reside in a local data center. Traffic travels between the front and the backend degrading application performance and user experience, and adding cloud transport costs.

The public cloud provides comprehensive services for a wide range of needs, and more targeted offerings come out constantly. The benefits of the cloud are best realized when applications are upgraded to cloud-native and more advanced cloud features are used for business needs. This means a change in the entire IT architecture, which will inevitably be reflected in the company’s operating culture. Comprehensive change does not happen in a day. In many cases, traditional applications are so firmly attached to the enterprise operations and business that the renewal is not even worthwhile.

Control gets out of hand

The cost of a public cloud is difficult to predict. The cloud offers more flexibility and features if you can take advantage of them. The cloud can be good for starting and developing services and operations, but as the service grows and stabilizes, the cost of the cloud hits harder. The costs and features of the cloud services are beginning to define the application architecture and put pressure on wider changes in the IT architecture.

It is easy to set up services in the cloud and forget them. The independence of business units easily drives into uncontrolled shadow IT and that, of course, is also reflected in the cost, functionality, availability, and security. The use of the cloud should be governed by at least common rules of use. A large proportion of cloud users do not optimize the cost of the cloud in any way, even if significant savings would be available. There is no actual price competition in the cloud, but users are attracted by the constantly evolving service offering.

Commitment starts to terrify

The benefits of the cloud are gained when services and applications are built by taking advantage of the cloud platform’s features. However, portability to another platform is lost. Cloud usage easily expands to several different cloud platforms, and the variety of SaaS services is constantly increasing. The result is a distributed and complex operating environment. Tools are needed to manage the whole environment but multi-cloud is still far too much: heavy lift, difficult and expensive.

The cloud is good for locking data and users. Hotel California effect defines that the doors are open but you can never get out. The great growth potential of the cloud business lies in the established services of companies that are not easy to transfer to the cloud. That’s why cloud giants are trying to attract the last adopters to the cloud by almost any means.

The ideal of agility

The public cloud is a very large and complex entity for which the company itself often does not have sufficient expertise. The outsourced expertise may not best meet the business needs. The cloud is seen as a crucial productivity tool for digitalization, but it has begun to suffer from inflation. It is difficult for companies to reap the benefits of their cloud investments. The ideal of agility and traditional IT clash violently.

Time for reflection

The public cloud is a good tool for example public services, analytics, artificial intelligence, and modern micro-services. Global reliability, first-class user experience, and flexibility of services are great strengths. Unfortunately in reality, much of the IT environment is messy and layered with history. Moving it to the public cloud may not make sense at all.

Technology is a good tool when it serves a purpose. It should not be the master. Cloud must be weighed in terms of each own needs and realities. If you want to take the reins into your own hands, there are options for building your own capacity and cloud. Everything doesn’t have to be either-or, but a hybrid environment can be a viable model either. But whatever solution you end up with, it requires your effort and commitment to get good results.

[FI] Tietoliikennealan katsaus 2022-04

Ukrainan sota

Palvelunestohyökkäys Suomen ministeriöiden webbisivuille 8.4.2022 ennen Zelenskyin puhetta eduskunnalle jäljitettiin venäläisen Zhadnost-ryhmän tekemäksi. Hyökkäyksessä käytettiin samaa Mikrotik-bottiverkkoa kuin Ukrainaan kohdistuneisiin hyökkäyksiin. Ulkoministeriön tietoturvapäällikkö Matti Parviainen kertoi, että pienet hyökkäykset olivat jatkuneet useamman päivän ajan. Kovempaa iskua on odotettavissa kun Venäjän pelikirjan mukaan seuraava vaihe on tietoa tuhoavat hyökkäykset.

Ukrainalaisten sanotaan viime hetkellä estäneen Venäjän kyberiskun Ukrainan sähköverkkoon. Pitkään suunniteltu hyökkäys onnistui ainakin yhden sähköaseman ICS-järjestelmään, mutta paikalliset työtekijät saivat manuaalisesti pidettyä sähkönjakelun päällä. Elon Musk on väittänyt, että Venäjä jumitti Ukrainaan vietyjä Starlink-terminaaleja, mutta softapäivityksellä toiminta saatiin jatkumaan normaalisti.

Ukrainan kybervalmiuden rakentaminen on ollut pitkäjänteistä. Hienostuneinta ja tuottoisinta hakkeriryhmää Armageddonia on pidetty silmällä vuosia ja sen käyttämiä menetelmiä on opeteltu ennakkoon. Siksi Ukrainan puolustus on pystynyt vastaamaan iskuihin ja onnistuneista iskuista on toivuttu nopeasti. Microsoft on julkaissut raportin hybridisodankäynnistä Ukrainassa ja siinä avataan venäläisten toimintaa tarkemmin.

Pakon edessä Venäjä erottautuu hiljalleen muista kohti teknologiaitsenäisyyttä ja suljettua internetiä. Tavoitteena voi olla Kiinan malli, mutta helppoa kontrollin rakentaminen sielläkään ei ole ollut. Kiina käytti arviolta 20 miljardia dollaria vuosittain saadakseen kaiken internet-liikenteen hallintaansa. Kiinassa liikenne kulkee muutaman tarkistuspiteen kautta, mutta Venäjällä internet on hyvin hajanainen. Maassa on yli 3000 ISP:tä, internet-ekosysteemi on hyvin sidottu globaaliin internetiin ja Venäjän resurssit tuskin muutenkaan riittävät kaiken liikenteen kontrollointiin. Tyypillisin esto on resetoida yhteys, mutta myös TLS-yhteyksiä voidaan pysäyttää ja blokki-ilmoituksia näyttää DNS:n kautta. Rajattu Runet on ollut käytössä muutaman vuoden. Se koostuu pakettisniffauksesta yritysten verkoissa, kansallisesta DNS-järjestelmästä ja viranomaisille keskitetystä internet-hallinnosta. Nyt venäläiset käyttäjät lataavat VPN-ohjelmia ja siirtyvät käyttämään länsimaisia DNS-palveluita päästäkseen kiinni ulkomaiseen tietoon ja turvatakseen oman selustaansa.

Venäjän teknologiaitsenäistymisen takamatkasta kertoo piirituotannon tavoite. Alustavasti oman piirituotannon kehittämiseen on varattu 38 miljardia dollaria. 2030 mennessä tavoitteena olisi saada tuotantoon 90 nm -teknologia, sama mitä TSMC teki jo vuonna 2011. Venäjä aikoo myös kopioida länsiteknologiaa ja siirtää valmistusta joko Venäjälle tai Kiinaan. Yllättäen myös Huawei on päättänyt vetäytyä Venäjän markkinoilta ainakin osittain, koska kokee tilanteen liian riskialttiiksi. Tällä voi olla isoja vaikutuksia Venäjän verkkojen kehittymiseen.

IT-työläisten pako Venäjältä kohdistuu Kasperskyn selvityksen mukaan enimmäkseen lähimaihin. Suosituimmat kohteet ovat Turkki, Georgia ja Armenia. Suurin syy lähtöön on ahdistuksen tunne, mutta myös pelkoa ja erimielisyyttä on joukossa. On arvioitu, että puolet lähteneistä voisi kuitenkin palata takaisin.

Ongelmat

Yandexin Mäntsälän konesalista on katkaistu sähköt huhtikuun lopulla, koska sähkösopimus ei ole enää voimassa. Palvelut pyörivät toistaiseksi varavoimalla diesel-generaattoreiden varassa. Uusi sähkösopimus on kuulemma neuvotteluissa.

Starlinkillä oli lyhyt, mutta laaja katko 9.4.2022. Katko kesti alle puoli tuntia, mutta sen aikana AS14593:ssä liikenne tippui reippaasti. Myös AMS-IX:ssä tapahtui muutosvalmisteluista johtuva häiriö, joka tiputti lähes 75% BGP-sessioista alas 25 minuutiksi.

Ranskassa tutkitaan ennennäkemättömän laajoja valokuituverkkoon kohdistuvia haitallisia tekoja. Kolme runkokaapelin katkoa eri puolilla Ranskaa samaan aikaan 27.4. aamuyöstä ei voi olla sattumaa. Katkot sattuivat Pariisista Lyoniin, Strasbourgiin ja Lilleen menevissä runkokuiduissa. Tekijällä on täytynyt olla tuntemusta asiasta, joten jonkinlainen sabotaasi on kyseessä. Kuituihin kohdistuva aktivismi on harvinaista, vaikka 5G-verkkoa on tuhottu useasti aiemminkin. Ranskan sisäministeriön sisäisen turvallisuuden yksikkö DGSI tutkii asiaa.

Atlassianin SaaS-alustan pieleen mennyt muutos 5.4.2022 on puhuttanut paljon. Poikkeuksellista oli katkon pituus, joka oli pahimmillaan kaksi viikkoa. Ongelma koski noin 400 asiakasta 226000:sta. Muutoksen yhteydessä viallinen koodi poisti pysyvästi nuo 400 asiakasta pilvipalvelusta ja ne täytyi rakentaa uudelleen tyhjästä. Atlassianin huono viestintä herätti vihaa, kun käyttäjien toimintakriittiset järjestelmät Jira, Confluence ja muut olivat tietämättömän ajan pois käytöstä. Viikon päästä oli saatu palautettua 35% asiakastiedoista ja Atlassian julkaisi selvityksen tapahtuneesta. Pitkä ja perusteellinen post-mortem julkaistiin kuun lopussa. Ironista kyllä, ongelma sattui juuri kun Atlassian oli ilmoittanut lopettavansa palvelintuotteet 2024 mennessä ja keskittyvänsä pilveen. Häiriö ei juurikaan vaikuttanut yhtiön osakkeen hintaan ja käyttäjät unohtavat menneet, kuten yleensäkin taitaa käydä.

Oktan tietomurto on loppuunkäsitelty. Oktan mukaan lopputulos tutkimuksista oli, että murtautuja käytti 21.1.2022 yrityksen työasemaa 25 minuutin ajan ja pääsi sitä kautta kahden asiakkaan rajattuihin tietoihin. Konfiguraatiomuutoksia tai salasananollauksia ei murtautuja päässyt tekemään, eikä myöskään käyttämään Oktan tunnuksia suoraan.

Operaattorit ja 5G

Suomalaisilta kysyttiin mitä etuja 5G:ssä on, ja kansa vastasi: nopeus. Markkinointi on purrut hyvin. Kuluttajat eivät osanneet juurikaan kertoa hyödyistä omin sanoin, vaan ne jäävät hämäriksi. Noin 25% sanoi, että 5G:stä ei ole mitään hyötyä. Uusia sovelluksia ei juurikaan mainittu, vaikka puolet osasi mainita reaaliaikaisuuden. Annetuista vaihtoehdoista nopeus oli ykkösasia, toisena toimivat ja luotettavat yhteydet, ja kolmantena selvästi pienempänä asiana tietoturva. 5G:n demokratisoiva vaikutus haja-asutusalueille kyllä on huomattu. Tietoturvan osalta Huawein kyberturvallisuus- ja tietosuojajohtaja Marja Dunderfelt sysää vastuun käyttäjille, jotka teknologiaa soveltavat käytäntöön. Vakiona tulee nopeus ja viive -diibadaaba, mutta itse verkkoteknologiassa ei tunnu olevan mitään riskiä. Omnitele on mitannut Suomen mobiiliverkkojen nopeuksia ja koonnut tulokset maaliskuulta. 5G näkyy Suomen patenttitilastoissa. Viime vuoden hakemuksista noin puolet on digitaalisen tietoliikenteen alalle ja Nokia on selvästi suurin hakija.

5G-laajakaista eli FWA tekee tuloaan vakaasti. USA:ssa kaapelioperaattori Comcast on uhitellut, että FWA ei uhkaa heidän perinteisiä kaapelibisneksiään, mutta tosiasiassa tämä vastahyökkäys on selvä merkki FWA:n noususta ja uhkasta. Viime vuonna T-Mobile US on saanut reilut puoli miljoonaan uutta FWA-asiakasta ja Verizon 173000. Uusista laajakaista-asiakkaista 20-40% valitsee FWA:n. Suurin osa siitä on kaapeliyhteyksien korvaamista langattomalla. Comcast on ensimmäinen amerikkalaisoperaattori, joka on ottanut käyttöön onttokuitua (Hollowcore Fiber, HCF). Lumenisityn esitys avaa tätä nopeutta kasvattavaa ja viivettä vähentävää brittiläisten keksimää teknologiaa.

Satelliittiyhteydet ovat kääntyneet tv-ohjelmien välityksestä yleiskäyttöiseksi laajakaistaksi aivan viime aikoina, kiitos Starlinkin. BT:n Neil McRae kertoo omasta näkökulmastaan satelliitteihin. Operaattorit ovat kiinnostuneita tekniikasta kustannustehokkaana ja luotettavana yhteytenä siellä missä oman verkon rakentaminen ei kannata. Satelliitti on vain yksi monista tekniikoista ja BT tutkii myös mm. pitkänmatkan wifiä ja vapaan tilan optiikkaa. Operaattoreilla kustannustehokkuus ja tarkoituksenmukaisuus ratkaisee. Onewebillä oli tarjota sopiva paketti, siksi BT valitsi sen. Käyttökohteita löytyy ajan myötä lisää, mutta normaaliverkon korvaajaksi satelliitista ei ole. Satelliittialakin käy nyt läpi muutosta, jossa uudet tulijat muokkaavat kenttää ja vanhat omahyväiset toimijat ovat vaarassa pudota kelkasta.

Satelliittihommissa laukaisu taivaalle on kallis toimenpide, jossa on omat toimijansa. Amazon on ostanut historian suurimman 83 laukaisun kokonaisuuden kolmelta rakettiyhtiöltä. Arianespace, Blue Origin ja United Launch Alliance (ULA) lennättävät suurimman osan suunnitelluista 3236 satelliitista avaruuteen viiden vuoden aikana. Amazon hyödyntää satelliittitoiminnassaan logistiikan, asiakaspalvelun ja kuluttajalaitteiden osaamistaan sekä tietysti AWS:n palveluita. Amazonilla Project Kuiperin parissa työskentelee yli 1000 ihmistä USA:ssa ja 13 Euroopan maassa. Starlink on tehnyt ensimmäisen sopimuksen lentokone-wifistä charter-lentoyhtiö JSX:n kanssa. Laajakaista olisi tulossa sataan koneeseen. Ranskassa ylin oikeusaste on poistanut Starlinkiltä sille annetut taajuudet, ilmeisesti koska se voisi vaikuttaa haitallisesti laajakaistakilpailuun ja markkina-asemiin.

IoT-verkko-operaattori Sigfox on keikkunut selvitystilassa ja nyt singaporelainen verkko-operaattori Unabiz on ostanut sen 25 miljoonalla eurolla. Toiminta jatkuu, mutta epävarmuuden varjo kyllä seuraa edelleen.

O-RAN saa kovaa kritiikkiä MWC:n jälkimainingeissa suorasanaiselta konsultilta John Strandilta. “Kaikki puhut, mutta kukaan ei osta“, menossa olevia testaussopimuksia pidetään kaupallisina sopimuksina ja uudet valmistajat alkavat panikoida kun kauppaa ei tule. Valmistajia oli messuillakin kuitenkin noin pari tuhatta, mutta kaupallisista, teknisistä ja käytännöllisistä asioista ei kuitenkaan juuri puhuttu. Näyttää, että O-RAN on liian vähän maailmassa, jossa pystytetään 10000 saittia kuukaudessa. Huomattavaa on myös, että radioverkon kustannusten osuus liikevaihdossa käyttäjää kohti on vain 3% luokkaa eli käytännössä ei mitään. O-RAN Alliance kuitenkin aikoo julkaista kasan standardeja tänä vuonna ETSI:n hyväksyttäväksi. Pää paino on yhteensopivuuden varmistamisessa ja integroinneissa.

Nokian hyvä tulos yllätti analyytikot. Erityisesti kannattavuus on kasvanut, vaikka komponenteista on pulaa ja tuotekehitykseen on investoitu reippaasti. Kilpailjat on saavutettu ja tärkeillä alueilla on jo menty ohikin. Erityisesti kiinteän verkon kasvu on kovaa, mutta myös mobiiliverkoissa markkinaosuus on kasvanut. Teknologialisensointiyksikössä sopimuksia ei ole saatu uusittua. Oppo ja Vivo on haastettu oikeuteen patenttiloukkauksista. Venäjällä Nokia jatkaa vielä jonkin aikaa yhteistyötä turvatakseen operaattoriverkkojen toiminnan.

Pilvi ja konesali

Hyvät pilvitulokset jatkuvat Q1:llä, mutta AWS:n kasvun hidastuminen on muistettu mainita. Microsoft ja Google kasvavat nopeammin, mutta pienemmin luvuin. Canalysin mukaan Azuren markkinaosuus kasvaa tasaisesti kahden prosenttiyksikön vuosivauhtia ja on nyt 21%. AWS ottaa 33% ja Google 8% markkinaosuuden. Myös pienemmät yritykset ovat nyt alkaneet investoida pilveen, mikä ruokkii pilvi-infran kasvua. IDC:n ennusteen mukaan pilvikulutuksen kasvu jatkuu ja vain Keski- ja Itä-Eurooppa on laskussa tänä vuonna. Gartnerin ennusteen mukaan mikään mullistus maailmassa ei hätkäytä IT-investointien tai pilven kasvua. Suurimman osuuden pilven kasvusta tekevät IaaS-palvelut, sen jälkeen PaaS-palvelut ja bisnesprosessit.

Investoinnit pilvi-infraan kertovat jotain alustan kehityksestä ja eivät yleensä valehtele. Investoinneissa AWS on omilla lukemillaan ollen yli kaksi kertaa isompi kuin Microsoft ja Google, jotka ovat tasalukemissa keskenään. Kolmoskerhossa pelaavat Oracle ja IBM, joista IBM näyttää edelleen kuolleelta, mutta Oraclen investoinnit ovat nousussa. Silti ne ovat kaiken kaikkiaan pienemmät kuin AWS:n viime vuoden investoinnit. Taustalla pyörii myös mahdollisia nousevia tähtiä, jotka ainakin kovasti puhuvat pilven rakentamisesta, mutta eivät käsitä minkälaiset investoinnit pilvi-infraan vaaditaan. Bank of America rakentaa privaattipilveä itselleen, koska ei usko julkipilven olevan riittävä heidän tarpeisiin, Euroopan GAIA-X on tuhoontuomittu idealistinen höpötys ja Trumpin Media & Technology Group seilaa yritysrypäsmuodostelman rakentamisessa enemmän kuin teknologiassa.

Ranskalainen pilviyhtiö Scaleway erosi turhautuneena itse perustamastaan Euroopan itsenäisen pilven GAIA-X -projektista viime vuoden lopulla. Nyt toimitusjohtaja kollegoineen lähettää kitkerää kritiikkiä EU:lle avoimella kirjeellä. Eurooppa on täysin riippuvainen amerikkalaisista yhtiöistä ja Euroopan oma teknologia edustaa alle 1% osuutta yritysten ostoista. EU hakee nyt apua kiinalaisista yrityksistä, mikä ei ainakaan omavaraisuuden ajatusta paranna ja riskeeraa tulevaisuuden entistä pahemmin. Itsenäisen pilven rakentamistavoite onkin nyt muutettu vain kyvyksi tarjota vaihtoehtoja amerikkalaisyhtiöille. Itse ongelma kielletään. GAIA-X -projektista tuskin tulee ulos mitään kovin mullistavaa tai merkittävää.

SaaS-yritysten osakkeet ovat puristuksissa maailmantilanteesta johtuen. Viime vuosina arvostus on enemmän liitetty investointitehokkuuteen kuin absoluuttiseen kasvuun. Toimialojen välillä on eroja ja parhaiten menee kyberturvallisuudella, vertikaaliratkaisuilla, finanssialalla ja data-alustoilla sekä kehitystyökaluilla. Nyt siis on tärkeää kasvaa optimaalisilla kustannuksilla, ei hinnalla millä hyvänsä.

Google on julkaissut uusia pilvipalveluita. SWIFT on GCP on yhteistyössä Swiftin kanssa tehty maksuliikenneratkaisu pilvessä. Media CDN on nyt julkisesti saatavilla ja sillä tähdätään videostriimausasiakkaisiin. Taustalla on Youtuben tekniikka ja alusta yli 200 maassa ja 1300 kaupungissa. Google Distributed Cloud Edge on myös nyt saatavilla, joko kuuden palvelimen ja kytkimien kokonaisena räkkikonfiguraationa, tai pienempinä 1RU:n applianceina. Edge löytyy myös Suomesta. AWS on poistanut tiedonsiirtomaksut eri availability zonejen väliltä saman alueen sisällä Privatelinkin, Transit-GW:n ja Client-VPN:n osalta. Uusi Brandon Carrolin blogisarja esittelee AWS:n tietoturvaa verkkoihmisille.

Microsoft on valinnut Nokian 7250 IXR -kytkimet Tier-2 -verkon laitteiksi. Microsoft ajaa niissä Sonic-käyttöjärjestelmää. Google on ostanut Mobiledgex:n, joka on telco-pilven ja edgen hallintaan erikoistunut yritys. Alun perin Deutsche Telekomin 2018 perustamasta avoimen koodin projektista oli tarkoitus tulla yleinen ohajuskerros operaattoripilvelle ja se oli suosittu operaattoreidenkin keskuudessa. Nyt Google lisää panostustaan operaattoreihin ja se on saanutkin sijaa operaattoreiden mielissä.

Gartner on uudelleennimennyt Cloud Networking Software -tuoteryhmän Multicloud Networking Softwareksi (MCNS) uuden markkinaoppaan julkaisemisen yhteydessä. MCNS-tuotteella siis suunnitellaan, toteutetaan ja operoidaan monipilviympäristön verkkoa. Listalla on valmistajia Alkira, Arrcus, Arista, Aviatrix, Cohesive Networks, Cisco, F5, Prosimo ja Vmware. Markkina on vielä pieni, mutta kasvussa. Prosimo on julkaissut monipilvi-transitin, joka käsittää koko pinon sovelluksesta sovellukseen. Yhdellä yhdenmukaisella arkkitehtuurilla saadaan kaikki palvelut yhdistettyä toisiinsa eri pilvistä joko verkko- tai sovellustasolla. Avuksi käytetään tietysti koneoppimista, jolla viilataan toiminnot suoraviivaisemmiksi ja helpommiksi. Prosimon perustivat ex-viptelalaiset vuonna 2019 ja se yrittää erottua muista yhden pinon ratkaisuilla eli välttämällä kuormanjakajia, API-GW:eitä tai proxyjä, joita muut valmistajat käyttävät. Gigamonin kysely kertoo, että monipilveen siirtymisen suurin ongelma on näkyvyyden puute, mikä hidastaa hallintaa, syö resursseja ja lisää kustannuksia.

Konesalikentässä amerikkalainen Cyxtera on mynnissä ja Suomessa Ficolon omistaja on vaihtunut Taalerista brittiläiseen Digital 9 Infrastructure PLC:hen. Google varoittaa Irlantia rajoittamasta konesalien kehitystä. Epävarmuus sähkönsaannissa on haitallista liiketoiminnoille ja horjuttaa maan digiekosysteemiä ja siihen liittyviä intohimoja. Konesalitkin voivat joskus olla kauniita ja näyttäviä tai muuten vaan erikoisia. Vai mitä sanotte esim. Barcelonan Mare Nostrum -superkoneen klassisista tiloista, joihin pääsee tutustumaan virtuaalisesti. Tukholman Bahnhof Södermalmin kalliossa tarjoaa maanalaista turvaidylliä. Lontoon Roca-galleriassa oli jopa näyttely konesaliarkkitehtuurista. Suomessa Telian HDC on edes vähän yrittänyt brändätä laitosta ulkonäöllä, mutta samaa ei voi sanoa Equinixin harmaista betonilaatikoista. Konesalit ovat yleensä sisältä samanlaisia, mutta CSC:n Kajaanin konesalin sisustus ja Lumi-supertietokone on melkoinen design-teos.

Kyberturvallisuus

Huoltovarmuuskeskus on taas julkaissut vuosittaisen kartoituksen kyberturvallisuuden nykytilasta eri toimialoilla. Parhaassa jamassa ovat ICT- ja finanssialat, joiden tulee vain ylläpitää samaa hyvää tasoaan. Eniten kehitettävää on media-, elintarvike-, logistiikka- ja kaupan alalla. Yleisesti kaikille yrityksille tärkeimmät kehityskohteet löytyvät strategiasta, arkkitehtuurista ja teknisestä jäljitettävyydestä. Yhteisiä laajempia huoltovarmuuteen liittyviä kehityksen kohteita ovat yhteinen tilannekuva, ohjelmistokehityksen turvallisuus ja henkilöstön osaaminen.

Suomen ensimmäinen kyberturvallisuusstrategia julkaistiin 2013 ja siinä linjattiin eri tahojen yhteistoiminnan, tilannekuvan, vastuunjaon ja lainsäädännön kehittämisen tarvetta. Edelleen periaate on, että jokainen suojaa itseään ja yhteistä kansallista kyberpuolustusta ei ole.  Catharina Candolin ottaa vahvasti kantaa kansallisen kyberpuolustuksen puolesta. Ylimääräisellä valtiollisella suojauskerroksella saataisiin vahvempi turva ja korkeampi hyökkäyskynnys. Paperinpyörittely ei riitä, vaan Suomen pitää ottaa aktiivisesti kantaa mitä kyberpuolustuksen toteuttaminen käytännössä tarkoittaa. Myös NATO määrittelee kyberpuolustuksen roolia uudessa maailmantilanteessa.

Puolustusvaoimat ja Maanpuolustuskoulutus voittivat NATO:n Lock Shields 22 -kyberharjoituksen. Yli 2000 henkilön ja 32 maan kilpailussa Liettua ja Puola tulivat toiseksi, kolmanneksi sijoittui Viro. Puolustusvoimien kannalta parasta antia on oppi, jolla kyberpuolustusta kehitetään eteenpäin. Nykyinen turvallisuustilanne saa Valtorin perustamaan uuden turvallisuusyksikön. Kyberturvallisuuskeskus kartoitti kuntien ja SOTE-toimijoiden palveluita ja löysi niistä tavanomaisia haavoittuvuuksia. Ei kuitenkaan hälyttävässä määrin. Palaute kunnilta oli positiivista ja ulkopuolisista kartoituksista toivottiin jatkuvaa käytäntöä. Internet-rajapinnan haavoittuvuusvalvonta ja näkyvyyspalvelut ovat hyviä keinoja löytää korjaustarpeita ja paljastaa prosessien ja toimitusketjujen heikkoudet.

Kiristyshaittaohjelmien kustannukset tulevat Checkpointin laskelmien mukaan kokonaisuudessaan jopa seitsemän kertaa suuremmiksi kuin pelkkä lunnasmaksu. Alan käytäntö lunnasmääräksi on 0,7-5% kohdeorganisaation liikevaihdosta. Todelliset kustannukset muodostuvat mm. reagointi- ja palautumiskustannuksista sekä seurannasta ja oikeudenkäynneistä. Vakuutusyhtiö Corvuksen silmin näyttää, että lunnashaittaohjelmat ovat kuitenkin laskussa sekä määrässä että kustannuksissa. Keskimääräinen lunnasmaksu oli viime vuonna 167000 dollaria, melkein puolet vähemmän kuin edellisenä vuonna. Syynä voi olla kovemmat vakuutusehdot ja sitä kautta yritysten parempi varautuminen. Mutta piikkejäkin esiintyi esim. Exchange-haavoittuvuuden ja Kaseya-tapauksen vuoksi, mutta se ei isoa kuvaa heilauta.

Splunkin State of the Security 2022 -tutkimus toistaa hyökkäysten määrän kasvua ja yritysten voimattomuutta sen edessä. Keskimääräinen palautumisaika kyberhyökkäyksestä on 14 tuntia ja tunnin hinta on 200000 dollaria. Trendmicron Cyber Risk Index kuvaa eri maanosien riskiä joutua hyökkäyksen kohteeksi.

Google ja Mandiant kertovat nollapäivähaavoittuvuuksista viime vuoden osalta. Määrä kaksinkertaistui edellisestä vuodesta. Suuri kasvu määrissä johtunee parantuneesta havainnoinnista ja tietojen julkistamisista. Samoja bugimuotoja käytetään vuodesta toiseen, viime vuonna vain kaksi haavoittuvuutta oli uudenlaisia. CISA:n listalla yleisimmin käytetyt haavoittuvuudet viime vuodelta ovat Log4Shell sekä Exchangen, Manage Enginen, Confluencen, Vsphere-clientin, Pulse Securen ja FortiOS:n haavoittuvuudet. Kaspersky listaa kehittyneiden hyökkäysten trendit viime vuodelta. Geopolitiikka ohjaa hyökkäyksiä ja alatason implantit yleistyvät. Tosin hyvin kehittyneitä hyökkäyksiä ei edes tunnisteta. Ensimmäinen haittaohjelma AWS Lambda -funktioille on myös nyt tunnistettu.

Ciscon WLAN-kontrollerissa on erittäin kriittinen haavoittuvuus, samoin Citrixin SD-WAN:ssa, Zyxelin palomuureissa ja Javassa. Aruban ja Avayan kytkimissä NanoSSL-kirjaston TLStorm 2.0 aiheuttaa haavoittuvuuksia. ICS-järjestelmistä alkuvuodesta löytynyt laaja DNS-haavoittuvuus on edelleen korjaamatta. IoT-laitteissa ja suositussa OpenWRT-käyttöjärjestelmässä käytety C-kirjasto antaa mahdollisuuden myrkyttää DNS-tietoja.

Atlasvpn on vertaillut eri valmistajien tuotteiden haavoittuvuuksien määriä. Applen tuotteissa haavoittuvuuksien määrä on pompannut lähes viisinkertaiseksi viime vuoden aikana. Vakavuuden mukaan riskitason 8 haavoittuvuudet ovat yleisimpiä, mutta pisteiden 5-10 välillä kyllä löytyy tasaisen paljon haavoittuvuuksia. Applen Icloud Relaysta on huomattu ominaisuus, joka ohittaa paikallisen palomuurin säännöt. Relay ei suostu toimimaan palomuurin kanssa: jos säännöt laittaa päälle, relay sulkee itsensä.

Nccgroup on kartoittanut LAPSUS$-ryhmän toimintaa. Tekniikkoina on päästä kuopimaan Sharepoint-saittien dokumentteja tai paikalisia salasanaohjelmien tietokantoja, joista voisi irrota tunnuksia. Kloonaamalla Git-repoja pyritään saamaan API-avaimia. Saaduilla tunnuksilla otetaan sitten VPN-yhteys yrityksen verkkoon. USA:n valtionvarainministeriö on tunnistanut pohjois-korealaisen Lazarus-ryhmän Ronin lohkoketjuvarkauden tekijäksi. Maaliskuun lopussa vietiin historian toiseksi suurin yli 500 miljoonan dollarin kryptovaluuttasaalis. Kryptolompakko on tunnistettu ja siihen on asetettu pakotteita. Hieman yllättäen kryptolompakosta onkin hankala siirtää omaisuutta paljastumatta. Yleisesti ottaen lohkoketju tekniikkana on turvallinen, mutta kryptohaavoittuvuudet ovat enemmän lohkoketjun päälle rakennetuissa ohjelmissa.

T-Mobilen tieskö mones hakkerointi ja sen jälkihoito viime vuonna on paljastunut epäonnistuneeksi. Kun hakkerit yrittivät myydä varastettuja asiakastietoja Raidforumsissa, T-Mobile olisi väitteiden mukaan palkannut Mandiantin ostamaan tiedot pois foorumeilta. Tietoja saatiinkin ostettua 150000 dollarilla, mutta hakkerit jatkoivat tietojen myymistä edelleen. Näyttää siis, että T-Mobile yritti välttää tietojen leviämisen maksamalla hakkereille, mutta epäonnistui.

Cloudflare on torjunut kaikkien aikojen HTTPS-DDoS-hyökkäyksen, joka oli teholtaan 15 mrps. Se ei ole määrältään suurin DDoS, mutta salattu liikenne tekee siitä erityisen. HTTPS-liikenteen generoimiseen ja torjumiseen tarvitaan enemmän resursseja, mikä maksaa myös enemmän. Hyökkäys kestikin vain 15 sekuntia. Bottiverkko koostui noin 6000 laitteesta 112 maassa ja yli 1300 verkossa. Suosituimmat bottialustat olivat mm. eurooppalaiset pilvialustat Hetzner ja OVH. Cloudflare on valinnut Kentikin parantamaan DDoS-havainnointiaan ja sitä voivat myös Cloudflaren asiakkaat käyttää integroituna palveluna. USA:n DOJ on kertonut sulkeneensa Venäjän armeijan hallinnoiman tuhansien laitteiden bottiverkon Cyclops Blinkin.

USA:ssa CISA on määritellyt pilvisovellusten tietoturvan teknisen referenssiarkkitehtuurin SCuBA TRA:n. Määrittelyn odotetaan nostavan tasoa sekä palvelutarjoajien että käyttäjien puolella. CISA:n projektilla on selvä rooli kansallisen turvallisuuden ajamisessa sekä julkiselle että yksityiselle sektorille. Julkisen puolen vaatimukset vetävät myös yksityisyritykset samalle tasolle. Paloalto korostaa identiteetinhallinnan merkitystä pilvitietoturvalle. Salasanoja käytetään liian paljon uudelleen, salasanat ovat heikkoja, pilvitunnukset ovat liian sallivia ja pilven poliitiikkaa ei konfiguroida kunnolla. Nämä kun laittaisi kuntoon, olisi taas reippaan loikan verran turvallisemmilla vesillä. Ja zero trustin toteutuskin lähtee identiteetinhallinasta.

Tenable ostaa Bit Discoveryn, joka on ulkoisen hyökkäyspinta-alan hallintaan erikoistunut yritys. Kauppahinta on käteisenä 44,5 miljoonaa dollaria. Tenable vahvistaa kaupalla kokonaisnäkyvyyttä ja haavoittuvuusriskien minimointikykyä.

Viiden vuoden työstön jälkeen security.txt on määritelty RFC9116:ssa. Idea on siis yksinkertaisesti luoda webbipalvelimelle tekstitiedosto, josta löytyy yhteystiedot ja ohjeet haavoittuvuuksien julkistamiseen.

SASE- ja SD-WAN -rintamalla Cato tuomitsee SSE-termin ärsyttäväksi ja tuottamattomaksi. Koko SSE:n ajatus, että tietoturva olisi parempaa ilman access-osuutta, on virheellinen. Vuosia rakennettu yhtenäisen verkon ja tietoturvan SASE-tarina pitäisikin nyt yhtäkkiä kelata takaisin ja paloitella kahteen eri osuuteen. Pahimmillaan verkon erottamisesta tulee reikä tietoturvaan. Isojen yritysten halua ostaa tietoturva erikseen verkosta, on Caton mielestä vanhoihin kaavoihin jumiutumista ja johtaa operoinnin ja vastuiden sekavuuteen. Verkon kautta olisi saatavilla hyvää tietoa ja kontekstia uhkista. Myös Vmwaren mukaan SD-WAN ei ole poistumassa mihinkään, vaan on entistä olennaisempi. Automatisoitu verkko ja tietoturva saavutetaan SD-WAN:n avulla. Vmware näkee SSE:n vain hyvänä buustina alalle.

ABI Researchin mukaan SASE on mielenkiintoinen idea, mutta tarvitsee todellisuuspohjaa. Nyt valmistajat luovat isoja odotuksia, mutta tuotteet eivät ole välttämättä valmiita. SASE on hyvä yhdistelmä zero trustia, yksityisverkkoa ja näkyvyyttä. Valmistajat lähestyvät asiaa omista lähtökohdistaan joko verkon tai tietoturvan suunnasta, ja se näkyy tuotteissa. SASE:n yhdistäminen 5G-yhteyksiin tuo jatkossa hyvän tavan turvata sovellusten käyttöä ja operaattoreilla on paikkansa palveluntarjoajina. SASE on vielä nuori ja vasta lyömässä läpi muutaman vuoden sisällä.

Ison yritysverkon näkökulmasta SD-WAN ei ole välttämättä optimaalinen, kuten  GlaxoSmithKlinen CISO Michael Elmore kuvaa. SD-WAN on ollut ketterä ja kustannustehokas tapa kiertää MPLS-VPN:ien hankaluudet. SD-WAN:n hyödyntäminen vaatii osaamista, jota yrityksillä ei useinkaan ole. Lopulta ongelma on kuitenkin se, että SD-WAN ei ole mitenkään parempi verkko, vaan kasa purkkavirityksiä yksittäisten halpojen komponenttien kasaamiseksi jotenkin toimivaksi kokonaisuudeksi. Jossain mielessä SD-WAN antoi meille huonoimmat puolet kaikista ratkaisuista. Yritykset tarvitsisivat yksityisverkkoa, joka on luotettava ja suorituskykyinen kuin MPLS, mutta samalla ketterä ja kustannustehokas kuin internet. Ratkaisu saattaa löytyä ohjelmoitavasta verkosta ja NaaS-palveluista.

Gartner itse on ottanut kantaa SASE-SSE -jaottelun hämmennykseen. Kyse on hankintamalleista, joissa on kolme tarvetta: toimipisteiden modernisointi (SD-WAN), pilvitietoturva (SSE) ja yhtä kokonaisratkaisua haluavat etunojassa olevat tai pienemmät asiakkaat (SASE). Todellisuudessa kaikki nämä toiminnot sekoittuvat iloisesti eri prioriteettien ja elinkaaren vaiheiden kesken. Kaikki kolme pysyvät, mutta SASE:n verkon ja tietoturvan yhdistävä malli lupaa eniten.

Zscaler on nyt lisännyt Helsingin HEL1-konesalin mukaan palveluihin.

Tekniikka ja operointi

RFC 1 vuodelta 1969 täytti 53 vuotta. Puolessa vuosisadassa on saatu aikaan reilut 9000 RFC:tä. Vuosittainen aprillipäivän RFC saatiin taas ulos. RFC 9225 Software Defects Considered Harmful kannustaa välttämätään softabugeja, koska ne ovat yksi suurimpia kustannuseriä alalla.

Tedium listaa uudempia ja vanhempia tekniikoita, jotka eivät menestyneet. Muistatko tai tunnetko Kermit-protokollan, internetin shakkipalvelimen, Scour P2P-jaon tai Iden-mobiilitekniikan?

Tarvitseeko MPLS:stä välittää enää 2020-luvulla? Keskustelu jatkuu. Terminologia on kaksijakoinen ja aina ei tiedä mitä puhuja MPLS:llä tarkoittaa. MPLS on verkkotekniikka ja MPLS-VPN on palvelu, jota operaattorit tarjoavat asiakkaille. VPN-palvelut rakennetaan MPLS-verkon päälle. MPLS tekniikkana on elegantti, skaalautuva ja joustava. Käyttötarve on sama kuin ennenkin ja käyttö jatkuu aivan varmasti pitkälle tulevaisuuteen. MPLS:n ja Frame Relayn edeltäjä X.25 jatkaa yhä elämäänsä joissakin paikoissa, kuten lentoasemalla. Fabricpath, TRILL ja SPB olivat ethernet-fabricin tekniikoita 2010-luvulla, mutta käytännössä kaikki toteutukset kuolivat melko pian lyhyen pyristelyn jälkeen. Ethernetin teoria on ytimekkäästi kuvattu Microchipin dokumentissa.

BGP on antiikkinen protokolla ja sitä joudutaan viilaamaan parempaan iskuun erilaisilla uusilla ominaisuuksilla. Perinteisiä tietoturvamekanismeja ovat TTL-rajoitus, autentikoinnit ja salaus. IP Journalin pitkässä artikkelissa Geoff Huston avaa BGP:n turvaamisen uusia menetelmiä, joita ovat mm. Secure BGP (sBGP), Secure Origin BGP (soBGP), Pretty Secure BGP (psBGP), Inter-domain Route Validation (IRV), Secure Path Vector Routing (SPV) sekä allekirjoitusten kuolettaminen ja yhdisteleminen. Pelkkä ohjaustakerroksen suojaaminen ei riitä, vaan reittitieto pitää olla paikkansapitävää myös välityskerroksella. IETF:n kehityksessä on tähän tekniikoita RPKI, ROV, BGPsec ja ASPA. Vieläkään ei kuitenkaan ole löydetty sopivaa tasapainoa turvallisuuden ja toteutustavan välillä. BGP-toteutuksissa on eroja ja kaikki reitittimet eivät puhu samaa kieltä standardeista huolimatta. MANRS:n esimerkkitapaus on FRRouting-ohjelmasta, joka ei kaikissa versioissa ole tukenut ADD-APTH-ominaisuutta. Siitä on syntynyt epäselvyyttä kun reittitieto näyttää erilaiselta eri paikoista katsottuna.

Juniperin ASIC-suunnitelun Sharada Yeluri kertoo verkkopiirien kehityksestä 1990-luvulta nykypäivään. Aluksi prosessointi rakennettiin 250 nm -tuotantotekniikalla 4-5 piirin varaan, joilla saatiin aikaiseksi 20 Gpbs -nopeus. Nyt on päästy 5 nm -tuotantoon ja kymmenien Terabittien nopeuksiin. Verkkopiirien teho on kasvanut 1440-kertaiseksi, kun tavallisella CPU:lla kerroin on 1000-1200 ja GPU:lla vain 400. Piiri sisältää satoja prosessoricoreja, joista osa voi olla erikoistuneita tietyn toiminnon kiihdyttämiseen. Vaikein tehtävä on reittien etsintä LPM-menetelmällä. Piiriin liittyy myös muistia, jonotus- ja ajoitustoimintoja sekä väyliä porttien ja piirien välillä. Lopuksi on vielä optimoitava tehonkäyttö.

Nvidian Spectrum-4 ja sen taustat kuvataan hieman tarkemmin Nextplatformin artikkelissa. Nvidian osaaminen serdes-suunnittelussa on auttanut piirin kehityksessä. Analogiaosa serdes on pitkän toimitusajan komponentti ja sen pitää toimia kunnolla. Digitaalinen pakettienkäsittely on paljon  suoraviivaisempi toteuttaa. Pakettikäsittelyn tehokkuuden parantaminen ei välttämättä aina mene samassa syklissä kytkinperheiden kapasiteettiportaiden kanssa. Mellanox on aina yrittänyt parantaa erityisesti pakettivälityskapasiteettia ja nyt on päästy tasolle 37,6 miljardia pakettia sekunissa. Liikenteen salaus saadaan tehtyä neljäsosakapasiteetilla linjanopeudesta. Se riittää hyvin pilvien keskimääräiseen DCI-tarpeeseen, joka on luokkaa 4 Tbps. Kytkimen kapasiteetista kertoo jotain se, että yhdellä kytkimellä voisi rakentaa 512-porttisen 100G-fabricin. Edellisellä sukupolvella vastaavaan tarvittiin 12 kertainen määrä kytkimiä. Hinta ei ole vielä tiedossa, mutta sääntönä on ollut, että porttinopeuden kaksinkertaistuessa porttihinta nousee 1,5-1,6 kertaiseksi. 800G-portin hinta asettuisi noin 1800-2000 dollariin kun 400G-portin hinta huitelee nyt noin 1000 dollarin tasolla. Muutakin kehitystä on tapahtunut AI-käyttötarpeiden ajamana ja Infinibandistä lainattuna. Adaptive routing parantaa kapasiteetinhallintaa ECMP-linkeissä myös isoilla flow:illa. Parannettu muistinkäsittely vähentää viivettä RoCE-protokollan käytössä. Erikoistarkka kellotus PTP:llä löytyy esim. hajautettujen tietokantojen synkronointiin. Nvidian kytkinasiakkaita arvellaan olevan Google ja Microsoft, joista ainakin Microsoft käyttää Infinibandia ennestään.

Myös Google on ottanut Infinibandista parhaat puolet uuteen Aquila-kytkentäarkkitehtuuriin ja Gnet-protokollaansa, jotka hylkäävät perinteisen ethernetin. Tavoite on saada viive alas ja yhdenmukaiseksi konesalin sisällä. Google näyttää taas suuntaa alalle omilla tulevaisuuden ratkaisuillaan. Aquila-fabric yhdistää 24 räkkiä sudenkorento-fabriciksi. Räkeissä on kaksi 24 palvelimen podia, joiden palvelimet on kaapeloitu kuparilla keskenään. Palvelimissa on Tor-in-NIC (TiN) -NIC-kytkin -yhdistelmä, joka käyttää omaa Gnet-protokollaa L2-liikenteen optimoimiseen. Räkit voivat olla 100 m päässä toisistaan kuidulla kytkettynä ja niiden välillä on tasainen 30 ns viive. Fabricissa palataan ATM:stä ja verkkolaitteiden sisäisestä toiminnasta tuttuun solukytkentään, jossa tasainen viive saadaan tasamittaisia lyhyitä soluja välittämällä. Alustavissa testeissä fabricin RTT on saatu puristettua alle 40 mikrosekunnin, mikä on viisi kertaa pienempi kuin nykyisessä IP-verkossa. Fabric on rakennettu yhden piirin varaan, jotta kustannuksia saadaan optimoitua. Myös piirien levittäminen mahdollisimman hajalleen, vähentää vikojen vaikutusaluetta. SDN-kontrolleri ohjaa verkkoa, mutta Aquila-piireissä on myös paikallista laskentatehoa omiin tarpeisiin. Piireissä ajetaan FreeRTOS-käyttöjärjestelmää. Myöhemmin P4-ohjelmoitavuus voidaan lisätä fabriciin. Ennen puhuttiin 10000-50000 palvelimen podeista, mutta nyt palvelintehojen kehityksen myötä Googlen isoimman kuorman ajamiseen tarvitaan ehkä vain muutama tuhat palvelinta. Työkuormaa pystytään pilkkomaan podien kesken, mutta se pystytään kuitenkin ajamaan tiiviin alueen sisällä. Aquila-fabricia esiteltiin NSDI22-konferenssissa. Kyse on kuitenkin vasta POC-tyylisestä testailusta, mutta Aquilasta voisi ponnahtaa markkinoille kaupallisia tuotteita esim. Broadcomin kautta. Epäselväksi jää voisiko Aquila hoitaa myös reititystä, jolloin sen vaikutus alalla voisi olla vieläkin merkittävämpi. Joka tapauksessa Google näyttää mihin SDN-verkko pystyy ja ajaa alan kehitystä eteenpäin.

Kytkinportin ajaminen äärimmäisen täyteen liikennettä on paljastanut, että laitteiden kellot eivät ole tarkkoja ja maksimiliikennemäärä voi vaihdella muutaman megabitin suuntaan tai toiseen. Ixian testerin ja kytkimen välillä 100G-linkin liikenne on vaihdellut välillä 99.999 Gbps- 100.001 Gbps ja epäsuhdasta johtuen paketteja tippuu matkalla. Tavallinen 40 ms virtuaalijono ei riitä puskurointiin, vaan vuotaa yli.

Tilastojen mukaan melkein kaksi miljoonaa 400G-optiikkamodulia on toimitettu konesalikäyttöön. Lyhyen matkan QSFP-DD-versiot olivat yleisimpiä, pitkän matkan ZR-koherenttimallia on toimitettu vain 60000 kappaletta. Tiesitkö, että valvontakameroiden infrapunanäkö on herkkä 850 nm -optiikan taajuudelle. Kameralla voit siis etsiä valoa vuotavia kuidunpäitä.

Juniper on yrittää ottaa johtoasemaa fotoniikassa ja perustaa yhteisyrityksen Synopsysin kanssa. Ala on niin erityinen ja nopeasti kehittyvä, että on parempi siirtää osaaminen ja kehitys omaan erityisyksikköönsä. Juniperilla on visio kolmen vuoden päähän toisen polven fotoniikasta, jossa laserit on sijoitettu suoraan piirille yhteispakatuksi optiikaksi. Fotoniikan avulla koko reititys ja liikenteen käsittely saadaan tehtyä piirin sisällä, mikä tehostaa toimintaa huomattavasti. Juniperilla voi olla ässä hihassaan pystyessään yhdistämään konesalin ja WAN:n tekniikan yhtenäiseksi pilviratkaisuksi, mutta teknologiamuutos ja markkinointi ei ole helppoa.

Levyliikennettä saadaan suoraviivaistettua ja nopeutettua NVMeoF-protokollalla ja ethernet-liitäntäisellä SSD-levyllä. Verkon suuntaan riittää 25G-portti. Kioxialta löytyy tällainen ethernet-liitännäinen levyjärjestelmä.

Nokian Bell Labs kertoo mitä avaruudessa vaaditaan laitteilta, jotta LTE-verkko saadaan pystyyn kuussa. Rakettimatkalla laitteisiin kohdistuu tärinää, joka voi rikkoa laitteen palasiksi. Laskeutuessa tömähtää niin, että laitteen pitää kestää törmäys. Tyhjyydestä seuraa epätavallisia oireita. LTE-osissa käytetään nesteitä, jotka tiivistämättä voivat alkaa kiehumaan. Kaasua vapauttaviat komponentteja on syytä välttää tai vähintään tunnistaa ne etukäteen.

Teollisuudessa yhden parin ethernet-kaapeli SPE yleistyy. Nopeus on gigabit-tasoa ja kantama 40 m. Nopeutta laskemalla matka kasvaa kilometriin. Yhden parin kaapeli on ohut ja kevyt, mutta silti PoE toimii sen yli. Trendforcen arviossa wifi6 ja 6E ottavat nopeasti vallan mobiililaitteissa lähivuosina. Käytännössä muutos on nopeaa, koska wifi4-laitteiden markkinaosuus on tippunut jo pari vuotta sitten nollaan.

IT-alalla on siirrytty yhä enemmän bloggaamisesta viihteellisempään materiaaliin, mikä on saanut pitkän linjan konkarit tuskastumaan. Viitsiikö enää mitään juttuja kirjoittaa, jos kukaan ei lue niitä. Kyllähän kollegat kuitenkin lukevat blogeja ja tykkäävät, mutta tunnustus ja palaute on olematonta. Siksi tuntuu, että eihän kukaan välitä ja mietityttää onko hommassa mitään mieltä. Ivan Pepelnjak kokoaa hyvät vinkit ja luo uskoa jatkamaan bloggaamista. Vertailut muihin kannattaa unohtaa ja jatkaa vaan omaa tekemistään.

Uravinkkejä ja näkökulmaa tarjoavat pari Twitter-threadia. 20 oppia verkkotietoturva-asiantuntijalta kertoo hyviä elämänviisauksia alalta. Muutoksissa kannattaa aina olla varasuunnitelma ja muutamia eskalaatiopolkuna valmiina. Joskus asiantuntijan roolina on olla vain terapeutti. Käy tapahtumissa ja päivitä niistä innostuksesi säännöllisesti. Vuorovaikuta pomojen kanssa kun siihen on mahdollisuus. Löydä helpot tavat tehdä töitä eli työskentele viisaammin. Joskus tarvitaan toinen ihminen selvittämään asia, puhuminen toiselle auttaa. Et tiedä ja osaa kaikkea, hyväksy se epämukava tunne. Työ ei lopulta muutu koskaan helpommaksi. Kuusi vuotta tekniikan myynnissä SE-roolissa on opettanut, että tarvitaan vahva tekninen osaaminen, mutta myös ymmärrys liiketoiminnasta ja toimialasta, jatkuvaa uteliaisuutta, esiintymiskykyä ja empatiaa. Työ voi olla toistavaa, vaikka toisaalta saa olla alan kärjessä. Tavoite on kuitenkin myydä ja aina ei myyntiin voi itse vaikuttaa. Asiakkaiden vastustusta on pystyttävä sietämään ja käsittelemään. 10 vinkkiä IT-haaastatteluun on jokaisen haastateltavan omaksuttava.

Dropbox on viimeiset vuodet kehittänyt DR-kykyään ja nyt testannut koko konesalin irrottamista verkosta. Ensinnäkin palvelut, jotka on rakennettu active-active -mallilla, pitää muuntaa active-passive -malliin, jotta vikavaihto voidaan tehdä konesalien välillä. Ennen testiä piti kehittää työkaluja ja prosesseja, mikä tarkoitti vikasietoisuuden perustoimintojen rutiinitestausta ja myös säännöllisempää pidempiaikaista testausta. Lisäksi operatiivisia prosesseja ja niihin liittyviä perusteita piti kehittää. Lopulta testiprosessi meni näin: ensin siirrettiin liikenne pois konesalista, poistettiin hälytykset ja automaattinen vikasietoisuus käytöstä, vedettiin piuhat irti ja tehtiin tarkistukset. Ja sama prosessi toimi toisinpäin palautettaessa. Testi onnistui globaalissa mittakaavassa häiriöttömästi ja San Josen metroalue saatiin poistettua hallitusti verkosta puolen tunnin ajaksi.

Jos vika ei ole verkossa, se on DNS:ssä. Mutta tässä Datadogin tapauksessa vika löytyikin paljon syvemmältä AWS:n, Kubernetesin, Ciliumin ja gRPC:n takaa, vaikka alkuun näytti, että DNS olisi syyllinen. Ongelman syyksi selvisi lopulta väärin toiminut RPF-tarkistus.

Google on julkaissut uuden operaattoreille tähdätyn Nephio-projektin, joka tähtää Kubernetes-automaatioon hajautetussa pilvessä. Sillä voisi esim. provisioida verkkotoimintoja monipilvialustaan. Alan ihmiset näkevät alustassa mahdollisuuksia, mutta telco-markkinaan tähtääminen ei historian valossa luo uskoa tulevaisuuteen. Nephion takana on kuitenkin kattava joukko operaattoreita ja valmistajia, joukossa myös Elisa. Google on myös vihdoin luovuttanut Istio service mesh -projektin CNCF:lle haudottavaksiCue-kielen mahdollisuudet verkkoautomaatiossa on tunnistettu ja sitä verrataan yamlittomaan Daggeriin. Michael Kashin on tehnyt esimerkkiautomaatiota Golla ja Cuella. Oletko miettinyt miltä infrakoodin pitäisi tuntua? No turvalliselta, vakaalta, ymmärrettävältä, nopealta ja kaikenkaikkiaan paremmalta. Scalefactoryn blogi kertoo miten tähän päästään.

Stefano Sasso on tehnyt Graphitella webbikäyttöliitymän netsim-toolsille. Sen avulla voi nyt visualisoida labraverkkotopologian kuten on voinut tehdä myös Containerlabilla.

Automaatiossa kyse on työnkulun ymmärtämisestä ja tehtävien järjestämisestä peräkkäin. Lähtökohta on perusteissa, ei työkaluissa. Verkon simulointi ja testaaminen toimii parhaiten mainospuheissa. Käytännössä oikeiden laitteiden ja esim. virtualisoidun labran välillä tulee aina jotain eroavaisuuksia. Suurin ongelma kuitenkin on konfiguraatioiden yhdenmukaisuus. Miten voit olla varma, että labrassa ja tuotannossa on samanlainen konfis ja vielä joka laitteessa? Automatisoinnin avulla.

Juniper on avannut Specialist-tason sertifikaatteihin liittyvät opiskelusisällöt ilmaisiksi. Samalla saa alennuskupongin testiin.

Yritykset ja tuotteet

Netoxin Trustcast on hyvä katsaus suomalaisen ICT-alan sisälle. Vieraana on laajasti erilaisia ihmisiä, joilta kuulee mitä yrityksissä ja alalla tapahtuu. Codeo on yksi palkka-avoimista yrityksistä ja on julkaissut tilastoja kehittäjien palkoista. Codeon palkkataso on toimialan ylimmässä 10%:ssa ja keskipalkka oli toissa vuonna 6652 €/kk. Kehittäjä saa noin 67% asiakaslaskutuksesta, joten laskutusta tulee n. 10000 €/kk/hlö. Maailmanlaajuisessa tutkimuksessa teknologia-alan naisten työtyytyväisyys on heikkoa. 82% ei ole tyytyväinen palkkaan ja koulutusmahdollisuuksiin. Suurin osa sanoo myös, että positiivinen kulttuuri puuttuu. Siksi alanvaihtoa tapahtuu paljon ja naiset lähtevät muille aloille parempien mahdollisuuksien perässä. Nokia aloittaa jälleen yhteistyön Metropolian kanssa ja lupaa suoran väylän koulusta työhaastatteluun. ICT-alalta valmistuu vuosittain alle 4000 henkilöä ja yritykset voisivat palkata 10000-15000, jos vain oikeaa osaamista löytyisi.

Kuukauden yrityskauppa oli Pensandon myynti AMD:lle 1,9 miljardin dollarin hinnalla. Pensando on ex-ciscolaisten perustama startup, toinen vastaava pienempi valmistaja on Fungible, joka on keskittynyt enemmän tallennusratkaisuihin. Pensando kilpailee DPU-valmistajana Nvidian, Intelin, Marvellin ja AWS Nitron kanssa konesalimarkkinassa. Pensando ei ole pieni yritys, mutta liian pieni pärjätäkseen yksin isoja vastaan. Pensando on ollut mukana Vmwaren hybridipilven Monterey-projektissa ja sen DPU integroitiin viime syksynä Aruban CX10000-kytkimeen. Pensandon DPU on 8-13 kertaa tehokkaampi kuin AWS Nitro, mutta sen tärkeimpiä ominaisuuksia ovat softalla muokattavat rautatoiminnot ja ekosysteemi mm. juuri Vmaren, HPE:n ja Netappin kanssa. Pensandoa on asennettu yli 100000 kappaletta Azureen, Oraclen ja IBM:n pilveen. Yritykset saavat nyt käyttöönsä samat toiminnot kuin pilvialustoissa on. Aiemmin AMD:n ostama Xilinx tekee kovan suorituskyvyn FPGA-SmartNIC:jä. Ongelma on vaan suppeat toiminnot ja FPGA:n ohjelmoiminen. Pensandon P4-ohjelmoitava pakettiprosessori on laaja-alaisempi ja paremmin muokattava, mutta siinäkin on mukana kovakoodatut kiihdytykset yleisimmille toiminnoille. Pensando on panostanut softaan ja API-rajapintoihin ja antaa näin käyttäjälle vapauden valita mitä toimintoja ottaa käyttöön. AMD lupaa jatkossa panostaa vahvasti Xilinxin ja Pensandon kehittämiseen. Korttien arkkitehtuuria on esitelty tarkemmin Serve The Homen sivulla. Arkkitehtuuri myös herättää kysymyksiä kilpailukyvystä.

Intel on ostanut Open Networking Foundationin (ONF) kehittäjät ja Ananki-yrityksen. Microsoft on luovuttanut Sonic-käyttöjärjestelmäprojektin Linux Foundationille. Dell on julkaissut uuden 4.0-version Sonic-käyttöjärjestelmästä yrityksille. Googlen on huhuttu katselevan Fastlya ostomielessä. Elisa Polystar ostaa Frinxin, joka on slovakialainen operaattoriautomaatiotoimittaja. Auvik ostaa Metageekin, joka on wifityökaluvalmistaja pienempiin ympäristöihin. Auvik täydentää keskikokoluokan verkonhalintatuotettaan wifi-osuudella ja se on tulevaisuudessa toimiva vaihtoehto esim. Cisco Primelle tai Solarwindille.

FortiOS 7.2 tuo julkisuuteen yli 300 uutta ominaisuutta mm. verkon ja tietoturvan yhdentymiseen ja tekoälyn hyödyntämiseen littyen. Cisco julkaisi 3100-keskisarjan uudet palomuurit, jotka on rakennettu FPGA:n ympärille kiihdyttämään Ipseciä ja TLS-yhteyksiä. Hallinta tarjotaan pilvestä. Broadcom julkaisi maailman ensimmäisen kokonaisen wifi7-piirisarjan, joka on sopiva monenlaiseen käyttöön.

Grafana Labs saa neljännellä rajoituskierroksella 240 miljoonaa dollaria, jolla se aikoo agressiivisesti kehittää uusia ominaisuuksia käyttäjien toiveiden mukaan. Entinen työntekijä on paljastanut Microsoftin käyttäneen satoja miljoonia vuodessa lahjomiseen Lähi-Idässä ja Afrikassa. Asian käsittely ei ottanut tuulta yrityksen sisällä ja asiasta puhunut työntekijä joutui lähtemään. Älykotituotteiden valmistaja Insteon on kadonnut mitään ilmoittamatta maailmankartalta ja lopettanut palvelunsa. Käyttäjät ovat jääneet tyhjän päälle.

Internetistä ja IP:n kehityksestä voi vetää johtopäätöksiä miten onnistunut järjestelmiä kannattaa suunnitella. Ominaisuuksissa kannattaa aloittaa minimaalisesti ja lisätä tarvittavia ominaisuuksia matkan varrella. Alustan tulisi olla avoin ja joustava, jotta sen päälle voidaan pidemmällä ajalla kehittää kulloinkin eteen tulevien tarpeiden mukaan erilaisia toimintoja. Kehitysnopeutta jarruttavat enemmän operatiiviset ongelmat kuin itse ominaisuuksien kehitys.

USA:ssa piirivalmistuksen lobbaamiseen on käytetty viimeisten vuosien aikana 100 miljoonaa dollaria. Ala on kasvanut voimakkaasti, samoin lobbausrahan käyttö. Vastapalveluksena lobaavat yritykset odottavat mehukkaita tukia uusille tehtaille. Espanja aikoo ottaa johtopaikan Euroopan mikropiirivalmistuksessa investoimalla 11 miljardia euroa alan kehitykseen.

Internet

Akateemisessa maailmassa hahmotellaan ratkaisuja Internetin parantamiseksi, ei ensimmäistä kertaa. Nyt USA:ssa suunnitellaan kokonaan uutta rinnakkaisinternetiä, jossa viive ja kapasiteetti saadaan paremmiksi. Uuden verkon peitoksi riittäisi 120 amerikan suurinta kaupunkia, joilla saataisiin 85% väestöpeitto.  Internetin kapasiteettia onkin saatu jo hyvin kasvatettua, mutta viiveen alentaminen on vaikeampi juttu. Tavoite projektilla on päästä hyvin lähelle valon nopeutta, johon kuitu ei olekaan hyvä ratkaisu. Operaattorit kun vetävät kuidut mutkitellen ja eivät välttämättä reititä liikennettä fyysisesti suorinta reittiä. Kuitu ei edes ole nopein siirtomedia. Siksi ratkaisuksi on valittu nopeampi langaton mikroaaltolinkki. Toinen uudistus on käyttää kahta rinnakkaista linkkiä, joista toinen hoitaa isoa kapasiteettia ja toinen alhaista viivettä. Algoritmillä valitaan kumpaa linkkiä käytetään. Nopeuttamalla 10% webbiliikenteestä voi olla valtava hyöty sovelluksille. Ratkaisu on kuulemma myös kohtuullisen kustannustehokas, mutta vaikea uskoa, että tästä mitään kovin merkittävää syntyisi tässä muodossa ainakaan.

Ripe on tutkinut sisältöjättien jalanjälkeä niiden omien verkkojen ulkopuolella. Viisi suurta sisältöpalvelua tuottavat nyt puolet internet-liikenteestä, kun kymmenen vuotta sitten siihen tarvittiin 150 eri ASN:n liikenne. Sisältöjätit levittävät palvelujaan toisten verkkojen sisään CDN-palvelimillaan ja näkyvyys niihin on ollut heikkoa. Tutkimus on yrittänyt selvittää kuinka paljon tällaista off-net -palvelua verkoissa on. Menetelminä on käytetty IP-osoitteita ja salatun liikenteen myötä on myös sertifikaateista saatu suht luotettava tietolähde. Tuloksena on, että Google on levittänyt palvelunsa lähes 4000 ASN:ään ja Facebook ja Netflix seuraavat samaa mallia, vain pari vuotta jäljessä. Akamain suunta on laskussa kun muut menevät lineaarisesti ylöspäin. Keskimäärin Facebookia käytetään noin puolet FB:n verkon ulkopuolisilta palvelimilta. Tosin alueittain ja palveluittain vaihtelua on paljon. Facebook on panostanut paljon kehittyville alueille, joissa sillä ei ole omaa verkkoa.

Uusi merikaapelikartta on julkaistu. Nyt kartalla on 486 kaapelia ja 1306 maihinnousupaikkaa. Google on vihdoin julkistanut Topaz-kaapelihankkeen Kanadasta Japaniin. Se on Googlen kahdeskymmenes merikaapeli. Kaapelissa tulee olemaan 16 kuituparia ja 240 Tbps -kapasiteetti. Valmista pitäisi olla 2023.

Lähi-Idän konesali- ja IXP-kentällä tapahtuu. Equinix rakentaa konesalin Omaniin, Edgnex Saudi-Arabiaan ja Glocal Cloud Xchange laajentaa verkkoaan Omaniin. LINX laajentaa Saudi-Arabiassa, DE-CIX kumppanoituu Irakissa ja AMX-IX Egyptissä.

Refactoring on uusi tekniikka internetsensuurin kiertämiseksi. VPN-yhteyksien kissa-hiiri -leikin sijaan, ystävällisten operaattorien verkon keskelle sijoitetaan proxyjä, joihin sensuuri ei pääse kiinni muuten kuin blokkaamalla pääsyn koko operaattorin verkkoon. Se taas haittaisi laajasti kaikkea käyttöä ja sensuroijaa itseäänkin ja olisi kalliimpaa toteuttaa. Refaktoroinnille on kehitetty viisi protokollaa ja avain alustan pyörittämiseen on pakettimonitorointikyky suurilla nopeuksilla. Paketeista tutkitaan refaktorointi-clientien luomia piilotussignaaleja, joista nähdään halu päästä blokatulle sivulle ja liikenne pystytään välittämään oikealle palvelimelle. Refaktorointialustaa pyörittävät voittoa tavoittelevat tahot. Käyttäjiä on miljoona ja proxyjä kolmella keskikokoisella operaattorilla. Lisää osallistujia kaivataan.

Microsoft on integroimassa Cloudflaren VPN-toiminnon Edge-selaimeen. Edgen Secure Network mode vaatii kirjautumisen Microsoft-tilille ja yksi gigatavu dataa kuukaudessa on ilmaista. Ylimenevästä osasta laskutetaan.

Brasiliassa on yleistynyt laajakaistayhteyksien kaappaus. Suurimmissa kaupungeissa rikolliset ovat ottaneet verkot omaan haltuunsa ja pyörittävät mafiabisnestä toisten verkolla. Kymmeniä tuhansia käyttäjiä on pakotettu käyttämään epäluotettavaa verkkoa ja käyttömaksut kerätään ovelta ovelle. Samaa mallia on käytetty myös kaasun, veden ja muiden perushyödykkeiden kanssa. Nyt voi sanoa, että internet on päässyt perushyödykkeeksi muiden joukkoon.

USA on julkaissut internetin tulevaisuusjulistuksen. Allianssimallista on siirrytty julistukseen ilman jäsenyysvaatimuksia. Sisältö on päätasolla avoin, ilmainen ja maailmanlaajuinen internet. Julistuksessa sitoudutaan takamaan ihmisoikeudet ja vapaus, tasapuolinen pääsy kaikille, luottamus digitaaliseen ekosysteemiin, globaali yhteensopivuus ja hajautettu hallinto. Viittaukset Kiinan eristämiseen on poistettu ja julistuksesta tulee nyt heikompi, mutta geopoliittisesti yhtenäisempi. Kiina ei silti ole tyytyväinen kun Taiwan on allekirjoittanut julistuksen. Yhteensä noin 60 valtiota, Suomi mukaan lukien, on hyväksynyt julistuksen. Mukana ei kuitenkaan ole Kiinan lisäksi myöskään Brasilia, Chile, Intia, Etelä-Korea, Sveitsi tai Norja.

Tapahtumat

NSDI22-esitykset tarjoavat syvätietoa verkkojärjestelmien suunnittelusta ja toteutuksesta.

Kuukauden tuotteistus

Uusia innovatiivisia tuotteita ja totuus tuotteiden takaa paljastuu Forward Networksin sponsoroimissa mainoksissa. Miten olisi biohartsista ja maissipolymeereistä valmistettu ympäristöystävällinen vegaaninen, gluteeniton ja GMO-vapaa reititin, joka kompostoituu 90 päivässä? Entä hot swap -diili, jossa pizzatilauksen mukana saat Cat6500-powerin? Tai Survira RX -inhalaattori, jolla selviät pieleen menneistä verkkomuutoksista? Kun perinteinen palomuurinäkyvyys ei riitä, avuksi tulee Ampli-firewall, jolla liikennettä voi havainnoida myös äänien avulla. Ensimmäinen verkkovikani -lelun avulla voi kokea ongelmaselvityksen ilon jo ensimmäisinä elinvuosina.

[FI] Tietoliikennealan katsaus 2022-03

Ukrainan sota

Sodan myötä kyberhyökkäyksiä on tehty puolin ja toisin. Venäjän isoimmat hyökkäykset kaatoivat Ukrtelecomin palvelut laajasti, mutta vain hetkeksi. Yhteensä viikon aikana iskettiin Ukrainan 60 kertaa, enimmäkseen hallinnon palveluihin. Suurin osa Ukrainaa vastaan tehdyistä hyökkäyksistä on tiedon keräämistä. Ukraina on ainakin omin sanoin selvinnyt iskuista hyvin ja vaikutukset ovat jääneet pieniksi. Venäjä uhkaa sitä vastaan hyökkääviä kovilla seurauksilla.

Ukrainan johdolla Venäjä on haluttu eristää internetistä, mutta asia ei ole mitenkään suoraviivainen. ICANN ja RIPE kommentoivat, että on pysyttävä neutraalina ja erottamista ei voi tehdä, jotta organisaatioiden prosessit pysyisivät toimivina. Myös yhteisö on kommentoinut mitkä ovat sopivia sanktioita. Parempi tapa voisi olla luovuttaa .ru-domain uudelle omistajalle. Kaupalliset toimijat voivat tehdä vapaammin toimenpiteitä liiketoiminnalleen.

Operaattoreista Cogent ja Lumen sanoivat katkaisevansa yhteydet Venäjältä. Lumen on suurin kansainvälinen operaattori Venäjällä. Todellisuus on kuitenkin tässäkin paljon epäselvempi. Internet ei tunne maiden rajoja ja venäläiset operaattorit voivat peerata muualla. Ilmoituksista huolimatta katkojen toteutus tuntuu olevan vähän niin ja näin. Näyttää, että palveluiden katkaiseminen ei ole vaikuttanut Venäjän yhteyksiin juurikaan, vaikka Cogentin liikenne on oikeasti nollassa joidenkin operaattorien välillä. Venäjän internet on hyvin verkottunut ja kestävä. Yhteenvetona RIPE kertoo, että tier-1 -operaattoreista Arelion jatkaa Venäjällä verkottuneimpana, vaikka on poistanut 13 peeriä maaliskuun aikana. Lumen ja Cogent ovat tiputtaneet 7-8 peeriä molemmat. Venäjän tilanne heijastuu myös naapurimaihin. Lontoon LINX on päättänyt erottaa Megafonin ja Rostelecomin yhdysliikennepisteestään, vaikka sekin myöntää, että katkoilla on negatiivisia vaikutuksia ihmisten elämään.

Ukrainassa on arviolta 32 kansainvälistä kuitua tarjoavaa operaattoria. Kuvia kuitureiteistä löytyy Telegeographyn blogista. Cloudflare kertoo oman alustansa kautta tilanteen Ukrainan liikenteestä ja hyökkäyksistä. RIPE Atlas-mittausten perusteella Ukrainan internet näyttää voivan hyvin. Liikenteen määrä on tippunut normaalista. Thousandeyes on myös analysoinut tilannetta. Venäjä pommitti Ukrainan mobiiliverkon mastoja, mutta samalla meni heidän omien Era-kryptopuhelimien yhteydet, jotka toimivat 3G/4G-verkoissa. BBC toi takaisin lyhytaaltoradiopalvelun, jolla saadaan uutisia Ukrainaan.

Valmistajat ovat yksi toisensa jälkeen lopettaneet toimitukset Venäjälle. Myös pilvialustoista ainakin AWS ja Microsoft ovat lopettaneet palveluiden myynnin. Nyt kuitenkin on selvinnyt, että Nokian tuotekehitys on jatkunut Pietarissa ja Moskovassa ja 200 työntekijän yksiköiden töitä ei ole missään vaiheessa keskeytettykään. Vetäytyminen ei ole helppoa ja suoraviivaista kansan kiivaista vaatimuksista huolimatta. Venäjän liiketoiminta on esim. Microsoftilla, Nokialla ja Ericssonilla noin 1% kokonaisliikevaihdosta. Venäläisten ainoaksi vaihtoehdoksi ovat jääneet kiinalaiset valmistajat, joita toistaiseksi on saatavilla. Huawei onkin suurin toimittaja sekä Venäjän että Ukrainan markkinoilla. Samsung on lopettanut puhelintoimitukset, mutta on odottavalla kannalla verkkolaitteiden osalta. USA:ssa 30 ryhmittymää on lähettänyt kirjeen presidentille, jossa vedotaan, että amerikkalaiset teknologiayhtiöt eivät estäisi internet-palveluitaan venäläisiltä. USA:ssa Kaspersky on päässyt FCC:n kieltolistalle yhdessä China Mobilen ja China Telecomin kanssa.

Samaan aikaan Venäjä on myös itse alkanut pakon edessä eristää itseään suojellakseen toimintojaan ja pitääkseen kansan otteessaan. Silti sen tarkoituksena ei ole täysin eristäytyä internetistä. Hallitus on määrännyt kaikki verkkosivustot kotimaiseen verkkotunnusjärjestelmään, asentamaan selaimiin oman root CA:n, kaikkien operaattoreiden on käytetävää SORM-valvontajärjestelmää, verkkolaitteiden valvonta- ja flow-tiedot pitää lähettää valtiolle, kyberjoukoiksi kerätään isänmaallisia kehittäjiä ja viimeisimpänä käänteenä kaikki ulkomaiset laitteet ja ohjelmistot kielletään vuoden 2025 alusta. Tulevaisuus näyttää tosi epävarmalta ja vaikealta.

Yandexia uhkaa vararikko ja pakotteiden alle joutunut toimitusjohtaja on lähtenyt yrityksestä. Julkisen sektorin IT on ongelmissa kun laitteita tai ohjelmia ei saa ja kysyntä on kasvanut ulkomaisten toimijoiden sulkeutuessa. Nyt yritysten resursseja suunnitellaan otettavaksi haltuun, jotta jatkosta selvittäisiin. Resurssit riittävät ehkä pariksi kuukaudeksi kun esim. valvontakameroiden tallenteet vievät jatkuvasti enemmänä resursseja. Venäläisasiantuntijoiden mukaan Venäjä ei välttämättä selviä yksinään. 5G-verkkojen käyttöönotto menee jäihin, laitteet loppuvat vuoden sisällä, vielä saatavien laitteiden hinnat ovat nousseet 40% ja 50000-70000 asiantuntijaa on lähtenyt maasta ja seuraavat 100000 voivat olla jo jonossa.

Mikrotik puolestaan on toimittanut laitteita Ukrainan avuksi. Venäjänkaupan peli on aika pitkälle pelattu, mutta mitä käy kiinalaisten kanssa? Länsimaat ja Kiina saavat olla varpaillaan kauppapolitiikan kanssa. ZTE-vuotaja on epäillyt, että Kiina ei voi vastustaa Venäjän bisnestä kun paikallinen kulttuuri ja tulkinta laista on hyvin erilainen kuin länsimaissa. Suomessa Mäntsälä saa kokea Yandex-riippuvuuden vaikutukset kaukolämpötuotannossa. Riskiketjut voivat olla pitkiä ja epäsuoria. Pitkään riskaabelia ollut Venäjän ja Kiinan liiketoiminta näyttää nyt luonteensa. Mielenkiintoinen yksityiskohta on, että Valko-Venäjän .by-juuripalvelimista kaksi viidestä näytti olevan AWS:ssä hostattuna. Globaali pilvi voi tuntua turvalliselta vaihtoehdolta, mutta niinpä vaan nyt on nähty yllättäviä ja äkkinäisiä käänteitä, joita ei vielä pari kuukautta sitten olisi uskonut tapahtuvan.

Ongelmat

Ukrainan tilanne heijastuu koko maailmaan. Avoimen koodin kehittäjät ovat hyökänneet Venäjää vastaan sabotoimalla node-ipc -paketin, jota käytetään suosituissa kirjastoissa. Nyt kehittäjät ovat kauhuissaan toimitusketjuhyökkäyksen vaikutuksista ja surevat syntynyttä vahinkoa koko yhteisölle.

Suomessa nähtiin maaliskuun alussa GPS-häirintää laajasti itä-rajan alueella ulottuen Jyväskylään asti. Syyttävä sormi osoittaa Venäjälle, mutta mitään selvyyttä ei asiaan saatu. Häirintä tietyllä taajuudella osuu kaikkiin navigointijärjestelmiin ja vaikutus näkyy selvimmmin yleisimmin käytetyssä GPS:ssä. Mobiiliverkot eivät ole alttiina häiriöille, vaikka aikasynkronointi nojaa satelliittilähteisiin. NTP ja PTP-kellot kuitenkin pysyvät ajassa muiden lähteiden ja omien kellojensa avulla. GNSS Finland tarjoaa valvontanäkymää satelliittisignaaleihin.

KA-SAT -satelliittiterminaalit lakkasivat yhtäkkiä toimimasta sodan alkupäivänä laajasti eri maissa Euroopassa. Tapauksesta ollaan oltu melko vaitonaisia. Ainakin Saksan Enercon menetti n. 5800 tuulivoimalan ohjausta, jotka oli rakennettu satelliittiyhteyksien varaan. Viasat-Eutelsatin laajakaistayhteydet lakkasivat toimimasta. Arviolta 9000 asiakasta ja kymmeniä tuhansia terminaaleja on joutunut uhriksiVenäläis-kenraali itse kertoi kyberiskusta, joiden kohteena on Ukrainan satelliittiyhteydet, mutta vaikutus levisi samalla muualle Eurooppaan. Mahdollisiksi skenaarioiksi pohdittiin DDoS-iskua, radiopulssia, nollapäivähaavoittuvuuden hyväksikäyttöä tai hyökkäystä maa-asemaa vastaan. Terminaalit muuttuivat tiiliskiviksi. Viasat vahvisti myöhemmin, että hyökkäys tehtiin terminaalien hallintajärjestelmän kautta. Joka tapauksessa terminaalit on saatu toimimattomiksi ja palautuminen on hankalaa. Osa laitteista on saatu palautettua ilmapäivityksen kautta, osa joudutaan päivittämään paikan päällä tai vaihtamaan kokonaan. Starlinkiltä on tietysti myös kysytty miten se selviytyisi satelliitteihin kohdistetusta ohjusiskusta. 2000 satelliittia on hankalaa ja kallista ampua ohjuksilla, mutta ehkä tuhoamiseen on helpompiakin tapoja.

Nordea ja muutaman suomalaispankki joutui palvelunestohyökkäyksen kohteeksi usean päivän aikana sodan aloituksen jälkeen. Muuten hyökkäysrintamalla oli hiljaista, mutta nyt on selvästi parempi kuva mitä todennäköisesti on tulossa jatkossa.

Googlen pieleen mennyt Traffic Directorin päivitys 8.3.2022 aiheutti laajaa hämminkiä eri palveluissa noin kahden ja puolen tunnin ajan. HTTP 500 server erroria näkyi monessa palvelussa. Yleisesti häiriömittarina käytetty Downdetector ei välttämättä anna oikeaa kuvaa tilanteesta, koska se ei mittaa oikeaa palvelua, vaan käyttäjähavaintoja. Parempia mittareita ovat Thousandeyes, RIPE Atlas, Kentik ja uutena tulokkaana avoimempi Cloudflare Radar, josta jokainen saa kaivettua yleistietoa.

Brittein saarten helmikuun myrskyt tuhosivat laitteita ja mastoja aiheuttaen laajoja yhteyskatkoja. Openreachilla oli kymmenen kertainen määrä eli 7000 vikaraporttia vuorokaudessa. Myrskyjen jäljiltä piti vaihtaa 650 tuhoutunutta mastoa.

Taiwanissa oli 3.3.2022 sähköverkon häiriö saaren eteläosassa ja sen myötä internet-yhteydet katkesivat laajasti vaikuttaen yli viiteen miljoonaan kotitalouteen. Iranissa konesalipalo Telecom Infrastructure Companyn tiloissa katkaisi yhteyksiä mm. Teheranin alueella. Liikenne tippui molemmissa tapauksissa noin 70%:iin normaalista.

Vuosi sitten tapahtuneen OVH:n Strabourgin SBG2-konesalin tulipalosta on valmistunut palokunnan selvitys. Kritiikki on kovaa: tiloissa ei ollut automaattista sammutusjärjestelmää eikä sähkön pääkytkintä. Sähköhuoneessa oli puukatto, jonka palonkestävyys oli vain tunti, sähkökanavia ei ollut eristetty ja ulkoilmaa käyttävä vapaajäähdytys lisäsi palon voimaa. Paikalle tulleet palomiehet näkivät metrien mittaisia valokaaria ja pelkän sähkön pois saaminen kesti kolme tuntia. Palokunnan raportissa on myös kuvia paikasta ja tietoa tilanteen etenemisestä. Tapauksen jälkeen yli 130 asiakasta on nostanut joukkokanteen OVH:ta vastaan tilanteen huonosta hoitamisesta.

Operaattorit ja 5G

New York Times hyökkäsi Nokiaa vastaan SORM-vakoilulaitteista Venäjän mobiiliverkoissa. Nokia vastasi rajaamalla selkeästi itsensä pois valvontaominaisuuksien käytöstä. Kuuntelurajapinta on pakollinen laitteissa ja valmistaja ei vastaa sen käytöstä eikä ole mukana toteuttamassa vakoilua. Tommi Uitto vielä selventää asiaa HS:n haastattelussa. Ericsson rypee lahjusskandaalissa, osakkeiden arvo on tippunut 25% ja Vonage-kauppa on vaakalaudalla. Börje Ekholm on ottanut vastuun ja haluaa palauttaa terveen yrityskulttuurin taloon. Ekholmilla on hallituksen luottamus, vaikka osakkeenomistajat ovat vaatineet eroa.

Mobile World Congress saatiin pidettyä Barcelonassa noin 60000 vieraalla. O-RAN oli tietysti vahvasti esillä yhdessä metaversumin kanssa. O-RAN -markkina kasvaa, mutta liikevaihtoa merkittävämpää on kuka ostaa ja missä. Suurimmat ostajat ovat Rakuten Japanissa ja Dish USA:ssa. Markkina on toistaiseksi siis uusissa toteutuksissa. Kehitys ei etene samaan tahtiin perinteisen maailman kanssa. Uusia valmistajia on ainakin 20 ja yhdistymistä on odotettavissa. Mavenir on kasvanut jo 5500 hengen yritykseksi, joka toimittaa yhtä monta paketti-corea kuin Ericsson. Vodafone Portugal on valinnut Mavenirin pilvinatiiviksi paketti-coreksi. Rakuten on ostanut Robin.io:n vahvistaakseen telco-pilven osaamista. Mukana tulee yli 70 patenttia.

O-RAN:n käytännön toteutus vaatii kiinteämmin integroitua kokonaispakettia. Uusien valmistajien on aika näyttää konkrettisia tuloksia ratkaisuillaan. Ihan perinteisten valmistajien tasolla ei tarvitse olla, mutta lähellä, jotta toimivuus ja laatu saadaan riittäväksi toimivaan toteutukseen. Vodafonella O-RAN olisi käytössä 30% saiteista 2030 mennessä. Määrä olisi lopulta 30000 saittia, vaikka 2027 suunnitelmissa on vasta 2500 O-RAN -saittia. Vierailu Dishin 5G-saitilla valaisee hieman konkreettisemmin minkälainen on verkon tekniikka ja ympäristö. Operaattori-infran valmistajien kärjessä keikkuu Cisco suurimmalla kasvulla Samsungin, Microsoftin, ja AWS:n edellä. Huawei on menettänyt osuuttaan eniten.

Metaversumin osalta kukaan ei ole osannut selittää miksi se olisi hyvä juttu operaattoreille. Vaatimukset ovat juuri niitä, missä mobiiliverkot ovat olleet huonoja tekniikaltaan ja liiketoiminnaltaan. Dataa pitäisi pystyä jakamaan ja verkon laatua mittaamaan ja optimoimaan koko teknologiakerroksen osalta ilman erillisiä siiloja. Metan Dan Rabinovitsj on kuvannut mitä verkolta vaaditaan. Nopea symmetrinen yhteys alle 10 ms viiveellä on peruslähtökohta. 4K-video ei riitä ja isoja tiedostoja joudutaan siirtämään, joten pakkausalgoritmejä joudutaan kehittämään paremmiksi. Kokonaisvaltaisen reaaliaikaelämyksen takia vaaditaan koordinaatiota verkon ja muiden komponenttien välillä, ja ohjelmiston pitää sopeutua verkon ja käyttäjän kulloisiinkin olosuhteisiin.

Kaikenkaikkiaan tulevaisuudessa vaaditaan suuria parannuksia verkon tasoon. Operaattorit eivät voi yksin maksaa lystiä ja verkon neutraliteetti on entistä kovemmilla. Orangen laskelmien mukaan Ranskassa riittää tällä hetkellä alle kymmenen konesalia ympäri maata, mutta metaversumi ja muutaman millisekunnin viive voi vaatia selvästi enemmän. Radioverkossa yritetään ratkoa symmetrisen yhteyden ongelmaa DmMIMO-tekniikalla. AT&T ja Nokia  kehittävät tekniikkaa, jolla saadaan uplinkin nopeus nostettua 60-90% suuremmaksi. Operaattorien etenemistä sanelee kuitenkin liiketoimintamahdollisuudet. Verizonin suunnitelma etenemisjärjestyksessä on kiinteä laajakaista ensin, sitten edge ja lopuksi metaversumi.

Etelä-Korea johtaa maailman 5G-tilastoissa 319 käyttäjällä 5G-tukiasemaa kohti. Kinalla on 1531, USA:lla 6590 ja EU:lla 3988 käyttäjää tukiasemaa kohti. USA kuitenkin loistaa 5G-saatavuudellaan eli on ykkönen siinä kuinka kauan käyttäjät viipyvät 5G-verkossa. Kiinassa taas on eniten 5G-käyttäjiä, yhteensä 355 miljoonaa, kun USA:ssa on vain 50 miljoonaa. Kiinassa on otettu käyttöön lähes miljoonaa 5G-tukiasemaa, mikä on yli 60% kaikista maailman tukiasemista ja melkein kymmenkertainen määrä EU:hun.

Yksityisverkoista odotetaan paljon ja niihin panostetaan. Analyytikot ennustavat käyttöönottojen kymmenkertaistuvan viiden vuoden aikana. Kokonaismäärä on yli 1000 verkkoa, joista ehkä 200-300 on 5G:tä. 5G:tä lähinnä kokeillaan tässä vaiheessa ja se lähtisi ennusteiden mukaan lentoon muutaman vuoden päästä. Nokialla on yli 380 yksityisverkon asiakasta, joista kuitenkin vain 75 käyttää 5G:tä. Käytännössä mobiiliverkot elävät yhdessä yritys-wifin kanssa rinnan, mutta se ei riitä kaikkiin tarpeisiin esim. OT-maailmassa. Mobiiliverkossa kehitys luotettavuuden, lyhyen viiveen ja suurten koneyhteysmäärien osalta on ollut hidasta, mikä on vesittänyt operaattorien viestiä, samalla kun yritykset kuumeisesti odottavat luvattujen 5G-toimintojen konkretisoitumista.

Yritykset eivät kuitenkaan välitä varsinaisesti tekniikasta, vaan haluavat yhteyksiä sopivilla ominaisuuksilla ja hinnoilla omiin käyttötarkoituksiinsa. Yhteys itsessään ei ole ratkaisu, vaan yhteyden pitää ratkaista liiketoimintaongelmia laajemmin. Operaattoreilla on ongelma kun ne ovat ulkoistaneet omia IT-toimintojaan. Kuka haluaisi ostaa sellaiselta toimijalta IT-ratkaisuja. Siksi osa operaattoreista nyt käynnistelee innovaatioyhteistyötä saadakseen enemmän irti 5G:stä. Pessimistisesti ajateltuna 5G-hype on lähtenyt lapasesta ja operaattori voi tuhota koko 5G:n omalla saamattomuudellaan.

AT&T on sulkenut 3G verkkonsa helmikuussa ilman suurempaa sensaatiota. Ongelmia kuitenkin odotellaan kun miljoonat laitteet jäivät ilman yhteyttä. Osa niistä kuitenkin saatiin roamaamaan T-mobilen verkkoon. Uusilla valmistajilla on ongelma vanhan tekniikan kanssa, koska 2G pitäisi olla tuettuna samoissa verkoissa 4/5G:n kanssa. Samsung esim. ei tue 2G:tä ja se on Vodafonelle ongelma, koska se ei halua ajaa rinnakkaisia verkkoja. Nokia mainostaa tukevansa rinnakkain kaikki 2-5G:tä. 5G release 17 on lukittu standardoinnissa ja se on välivaihe ennen release 18:aa, joka aloittaa 5G Advanced -ominaisuuksien tulon markkinoille. BT:n Howard Watson kertoo, että 6G:ssä todennäköisesti käytetään 20-30 vuotta vanhaa OFDM:ää, koska parempaakaan ei ole kehitetty. 5G:n myötä on saavutettu yhteysteknologian kyllästymistaso, joten huomio pitää nyt kiinnittää enemmän palveluihin. Jatkossa verkot ovat paljon enemmän ohjelmistopohjaisia ja millimetriaallot, tai jopa terahertsin taajuudet, saavat 6G:n elämään. Kysymys on siitä miten nämä erittäin lyhyen kantaman taajuudet saadaan valjastettua hyötykäyttöön.

Mm-aallot on yksi 5G:n tuomista ominaisuuksista. Myyntipuheita on jouduttu tarkentamaan ja nyt parhaaksi kohteeksi kuvataan 1000-3000 käyttäjän tiheät alueet. Esim. Pariisin juna-asemalla gigatavun hinta on 75% alempi kuin alemmilla taajuuksilla toteutettuna ja takaisinmaksuaika on alle neljä vuotta. Siispä optimaatiset käyttökohteet ovat liikenteen solmukohdissa ja tapahtumapaikoilla. Käyttöä pyritään laajentamaan toistimilla. MM-aallot toimivat myös hyvin runkoyhteytenä pienempiin kyliin ja saariin, mutta myös tunneleihin. Ericssonilta on tullut mobiiliyhteyden turbonappi, jolla voi buustata yhteyttä tarpeen mukaan tehokkaammaksi. Käyttäjät ovat Ericssonin mukaan valmiita maksamaan paremmasta käyttökokemuksesta ja tällä avoimella ratkaisulla voidaan pilvihallinnan kautta innovoida uusia sovelluksia. Microsoft näkee mobiilin ja kiinteän verkon yhdistymisen sovellusten kannalta. Teams voi jatkossa palvella puhelinnumeron kanssa yleisviestimenä välittäen puheluita ja tekstiviestejä.

5G:ssä luvataan siirtokerroksen viipalointia, jota voi tehdä pehmeästi tai kovasti. Kova viipalointi on paluu tiukkaan piirikytkentäisyyteen kuin ennenvanhaan SDH-maailmassa. Pehmeässä viipaloinnissa käytetään pakettiverkon ominaisuuksia kuten MPLS:ssä. Kyselyssä yli puolet operaattoreista käyttää molempia tapoja, mutta pehmeä tapa on selvästi yleisempi ja siihen tarkoitukseen Segment Routing on tullut jäädäkseen. SR:n etuna on yksinkertaisuus, jossa turhat protokollat on karsittu pois, mutta silti sillä pystytään tekemään liikenteenohjausta ja viipalointia käyttötarpeen mukaan. Infineran Node-on-a-Blade -ratkaisu käsittääkseni taas edustaa kuidun viipalointia, jota se kehittää Windstreamin kanssa.

Edge-hype on kovaa, mutta sovellusten puuttuessa kehitys on lässähtänyt. Kyse ei ole pelkästään pienestä viiveestä, vaan myös uusista hajautetuista sovelluksista. Niiden kehittyminen on ollut hidasta ja takkuista. Julkisilla pilvillä on laaja vaikutus edgessä, mutta samalla yritykset pelkäävät liikaa sitoutumista tiettyyn pilvialustaan. Nokia on laajentanut edge-infran hallintaan Adaptive Cloud Networking -ratkaisullaan, käyttäjinä mm. Elisa. Nokialta tuli myös kiinteän verkon SDN-kontrolleri Altiplano, jolla voi ohjata kuitu- ja kupariverkkoja. Huawei laajentaa kuidun tuomista joka huoneeseen FTTR-ratkaisullaan. Siihen kuuluu erikoiskuitu ja reitityslaite, joilla asennukset saadaan tehtyä.

Telia ja Ericsson ovat tutkineet eurooppalaisten operaattorien sähkönkulutusta vuosina 2015-2018. Verkoissa siirretty datamäärä kasvaa, mutta tilaajamäärä ja energiankulkutus pysyvät samoina. Mobiiliverkko syö selvästi eniten sähköä, kiinteä laajakaista ja puhelinverkko vain puolet siitä, ja muut runko, konesalit ja toimipisteet vielä näistäkin vain puolet. Teknologian muutos on kuitenkin kokonaisvaltainen ja sähkönkulutuksen mittaus ei ole kovin selvärajaista. Uudet teknologiat ovat joka tapauksessa energiatehokkaampia.

Huawein alamäki jatkuu kun liikevaihto tippui lähes 30% viime vuodesta. Verkkolaitemyynnissä on tapahtunut 50% pudotus, jota osattiin odottaa. Kansainvälisten markkinoiden hiipuminen saattaa olla ongelma, koska Kiinan 5G-verkkojen rakennus on nyt pysähtynyt paikalleen ja kysyntä on heikkoa. Yritysyksikön edellisvuoden hyvä kasvu on mennyttä. Myynnin kustannuksia on pystytty leikkaamaan jopa 42%, mutta samaan aikaan tuotekehitykseen käytetään eniten rahaa kymmeneen vuoteen. Kahdessa vuodessa on leikattukin 10000 työpaikkaa kehityksestä, mutta silti jäljellä on 107000 kehitystyöntekijää, mikä on lähes 55% koko 195000 työntekijästä. Kanadassa pidätetty talousjohtaja Meng Wanzhou palasi takaisin Kiinaan töihin.

Helium sai 200 miljoonan dollarin sijoituksen ja nimeää itsensä uudelleen Nova Labsiksi. Rahoilla kehitetään hajautettua Helium-verkon ekosysteemiä. Globalconnectin oma kuituverkko pohjoismaissa ja Saksassa on laajentunut 100000 kilometriin. Telenor on pääsemässä irti Myanmarista kun juntta on hyväksynyt kaupan M1-ryhmälle ja sen paikalliselle kumppanille. Toimitusjohtaja Sigve Brekke on surullinen lähdöstä pakon edessä ja siitä, että irtautuminen jouduttiin tekemään pelkkien huonojen vaihtoehtojen mukaan.

Historiakatsauksessa kerrotaan New Yorkin salakuuntelumaailmasta 50-luvulla. Salakuuntelulaki oli kirjoitettu jo 1892, mutta se ei menoa hidastanut. Manhattanin keskikaupungilla 55th Streetin asunnossa täpättiin reilussa vuodessa 50000-100000 tilaajaa. Asialla olivat entiset puhelinyhtiöiden miehet, joiden kerrottiin saaneen 250 dollaria päivässä. Uudet induktiokuuntelumenetelmät eivät edes vaatineet fyysistä pääsyä linjaan, mikä helpotti hommaa. Virastojen salakuuntelu sai jatkua 70-luvulle asti rauhassa.

Pilvi ja konesali

AWS on avannut blogissaan Dishin 5G-verkon toteutusta. Ehkä tätä voi käyttää referenssitoteutuksena muihinkin ympäristöihin, koska samoja AWS:n peruspalveluita on käytössä kaikille. AWS:n S3 täytti 16 vuotta. Nyt palvelussa on yli 200 biljoonaa (10^12) objektia ja palveluun kohdistuu 100 miljoonaa pyyntöä sekunnissa. Näillä määrillä GET-pyyntöjen hinnaksi tulisi 40 dollaria sekunnissa, 144000 dollaria tunnissa ja 3,5 miljoonaan dollaria päivässä. OVH on nostanut EU:ssa kartellisyytöksen Microsoftin Azuren hinnoittelusta, joka kytkeytyy Office-tuotteiden käyttöön.

Google on nostanut pilvipalveluidensa hintoja, mikä on nostattanut kuumia tunteita. Perussääntönä pilvessä on ollut, että hinnat eivät nouse. Nyt kuitenkin esim. tiedonsiirtomaksut on hilattu AWS:n tasolle, mikä heijastuu suoraan käyttökustannuksiin. Valitut sovellusarkkitehtuurit eivät välttämättä ole enää optimaalisia kustannusten kannalta. Google on tehnyt myös muita lyhytnäköisiä päätöksiä esim. siirtämällä kaikki ennen ilmaiset G Suite -sovellukset pilvipalveluiden alle maksulliseksi, ja irtisanomalla ja ulkoistamalla teknistä tukea. Corey Quinnin sanoin, kaikki pilvikustannukset ovat arkkitehtuurista kiinni. Ehkä tiedonsiirtomaksuissa on ollut AWS:n tuloksellisuuden ja Googlen tuloksettomuuden syy.

Paloalto on yhdessä AWS:n kanssa tuonut markkinoille pilvinatiivin palomuurin, joka istuu suoraan AWS:n palveluihin, skaalaa dynaamisesti liikenteen mukaan, ei vaadi ylläpitoa ja tukee automaation työnkulkuja. Etuna pilven omaan palomuuriin verrattuna Paloalto lupaa NGFW:n täydet ominaisuudet pilvinatiivisti.

Flexeran pilviraportissa kuvataan pilven nykyisiä linjoja. Tarve FinOpsille kasvaa, koska pilvikulut karkaavat käsistä. Azure on ohittanut suosiossa AWS:n ja pienyritykset ovat nyt kasvava käyttäjäryhmä. Työkaluissa katse kiinnittyy pilven omiin välineisiin ja kolmannen osapuolen työkalut ovat menettämässä merkitystään. Yksityis- ja hybridipilven osalta Openstackin, rautapalvelinten ja Google Anthosin asema on hiipunut, kun taas Azure Stack ja AWS Outpost ovat vahvoilla. Monipilven kasvava suunta näyttää olevan vikasietoisuuden varmistamisessa, muut syyt ovat laskussa. Paluuta monipilvestä ei asiantuntijoiden mukaan kuitenkaan ole. Johto ei välttämättä silti tiedä, että yritys on monipilvessä kun käyttäjät itsekseen valitsevat itselleen sopivia palveluita sieltä täältä. Budjetoinnista ja hallinnasta tulee isompia ongelma. Nutanixin tutkimuksessa monipilvi, tai varmaakin hybridipilvi, on sopiva terveydenhuolto- ja finanssialalle, mutta käyttöönotto on ollut hidasta. Turvallisuus on näillä aloilla suurin huolenaihe ja tietysti normaalit hallinta- ja osaamishuolet painavat. 

Dimitrios Kechagias on vertaillut pilvien suorituskykyä. Openstack on edelleen suosituin avoimen koodin pilvialusta ihan vertailukelpoisella suosiolla Vmwaren, Azure Stackin ja AWS Outpostin rinnalla. Openstack täytti 12 vuotta ja on yksi kolmesta maailman aktiivisimmasta avoimen koodin projektista Linux kernelin ja Chromiumin kanssa. Openstackillä ajetaan 25 miljoonaa corea tuotannossa yli 100 pilvialustassa. Suurimmat käyttäjät ovat operaattorit ja palveluntarjoajat, laitevalmistajat, finanssiala, kauppa, liikenne, terveydenhuolto ja julkishallinto.

Cloudflare piti tietoturvaviikot ja on laajentanut 18 uuteen kaupunkiin ja julkaissut yli 75 uutta ominaisuutta ja lisää tippuu vuoden mittaan. Radar-palveluun on lisätty ASN-tiedot, joista selviää AS-kohtaisesti liikenneprofiili, maantiede, BGP-mainostukset ja hyökkäykset. Cloudflare on mittauksensa mukaan nyt nopein lähes 600 verkossa ympäri maailman.  Oracle on laajentanut pilven palveluvalikoimaansa, mutta verkko on edeelleen melko pieni. Peeringdb:n mukaan sillä on peerausta vain 26 konesalissa. Vaihtoehtopilvi Vultr on kasvanut yli 100 miljoonan liikevaihdon luokkaan ja sillä on 1,5 miljoonaa asiasta yli 50 miljoonassa pilvi-instanssissa. Sekä AWS että Azure ovat julkaisseet palveluita videopeleihin. Kiinassa pilven kärkinelikko Alibaba, Huawei, Tencent ja Baidu ottavat 80% markkinasta ja kasvu on kovaa.

CDN-rintamalla AWS Cloudfront on nyt saatavilla yli 400 konesalissa. Azuren moderni yritys-CDN Front Door on avattu. Se ei tavoittele videojakelua, vaan perustaa toimintonsa pilvitietoturvaan ja devops-integraatioihin. Microsoft jälleenmyy Edgecastia ja Akamaita oman vanhan CDN:n ohella. Fastly osti Fanoutin vahvistaakseen edge-alustaansa. Edgecast siirtyy vuorostaan Yahoolta Limelightille 300 miljoonalla dollarin kaupalla. Nimi vaihtuu Edgioksi ja palveluita laajennetaan DDoS-suojaukseen ja WAF:iin. Asiakkaat yleensä hajauttavat palvelunsa eri CDN:lle ja nyt yhdistymisen myötä Limelight menettää asiakkaita toisille alustoille. Limelightin 20 suurinta asiakasta tuovat lähes 75% liikevaihdosta. Vimeo on muuttanut hinnoittelupolitiikkaansa suurimmille käyttäjille. Ennen 1% eniten siirtokapasiteettia käyttäviä asiakkaita joutui maksamaan erikseen siirretystä datasta. Nyt kaikille kuuluu kuukausihintaan 2 TB tiedonsiirtoa ja ylimenevästä osasta laskutetaan erikseen.

Microsoft on vihdoin vuosien tahkoamisen jälkeen julkistanut konesalihankkeensa Espooseen ja Kirkkonummelle tuoden mukanaan Azuren Suomen kamaralle. Suurimman huomion tuntuu keränneen Fortumin kaukolämpöhanke. Hankkeella saattaa olla vielä mutkia matkassa kun sekä Espoon Hepokorven että Kirkkonummen Kolabackenin kaavoista on valitettu. Lisäksi pitänee muistaa, että konesali ei ole energiaa tuottava voimala, vaan lämpöä syntyy oheistuotteena sähkön kulutuksesta.  Kolmen kauppakeskus Jumbon kokoisen keskuksen kerrotaan yli kaksinkertaistavan Espoon ja Kirkkonummen sähkönkulutuksen. Kuntien kaukolämmön rakentaminen suurelta osin ulkomaisten täysin eri toimialan yritysten varaan on hieman riskialtista. Asiakkailta tulee hankkelle kuitenkin tukea: mm. Nokia, Elisa, Fortum, S-Pankki, Tietoevry, HUS, Verohallinta ja Valtori ovat innostuneita projektista. Ja miksi emme olisikaan kun saamme Azuren aivan omille nurkille. Taloushyötyä ja työllisyysvaikutusta voi kuitenkin arvioida kriittisesti.

Maailmanlaajuisesti hyperskaalan konesalit ylittivät 500 määrän 2018 ja tuhannen raja rikkoutuu 2024. Nyt 40% konesaleista ja puolet kapasiteetista on USA:ssa. CBRE kuvaa Pohjois-Amerikan trendejä. Kysyntä on kovaa ja tulee enimmäkseen pilvipalveluista ja some-yhtiöiltä. Metan Hollannin Zeewolden konesaliprojekti meni pieleen ja nyt yritetään miljardi-investointia Espanjaan Toledon alueelle. Metalla on myös tavoitteena suurempi osaamiskeskittymä Espanjassa kun se aikoo rekrytä 2000 ihmistä Madridiin metaversumia kehittämään. AWS taas investoi Iso-Britanniaan 1,8 miljardia puntaa kehittääkseen maan digitaalista infrastruktuuria ja osaamista.

Konesalien yhteysratkaisuissa törmätään pilvinatiiviin kilpailuun. Konesalitoimijoiden on rakennettava uudenlaisia palveluita ollakseen ketteriä, vertailukelpoisia ja yhteensopivia pilven kanssa. Yritykset voivat saada NaaS-palveluiden myötä vihdoin sitä ovat toivoneet: yksinkertaisia ja joustavia verkkopalveluita. Todellisuudessa on kuitenkin aina toinenkin puoli, joten jää nähtäväksi onko tämä pelkkää onnea ja autuutta.

IT-rauta on edelleen suurin kategoria IT-menoissa. Rautapuolella trendit näyttävät AMD- ja ARM-prosessorien nousua, flash-levyjen ja NVMe-tallennuksen lisääntymistä, pay-as-you-grow -mallista hinnoittelua ja kannettavien tietokoneiden myynnin kasvua. Kovalevyissä flash-levyn hinta tippuu alle perinteisen kovalevyn 2027 kohdalla. Mielenkiintoista on nähdä miten sähkön hinnan kehitys vaikuttaa esim. pilvipalveluiden hintoihin tai omien konesalien pyörittämiseen. USA:n virastojen konesalipalveluiden tavoitteiden vaihtelevaa toteutumista on seurattu GAO:n raportissa.

Netnod yhdysliikennepiste laskeutui Pasilaan Digitan tiloihin maaliskuun alussa ja on nyt käytettävissä liikenteen välitykselle.

Kyberturvallisuus

Ukrainan tilanteen vuoksi varautumista kyberhyökkäyksiin on kehotettu lisäämään. Asiat ovat pitkälti samoja, joita pitäisi muutenkin tehdä, joten tässä on nyt hyvä tilaisuus laittaa kyberturvaa kuntoon perustoimenpiteillä. Sekä Checkpointin että Trendmicron tutkimuksien mukaan pilvessä riskit ovat selvästi virhekonfiguraatioissa ja hyväksikäyttöjen määrä on kasvussa. Monipilvi ei ainakaan vähennä pilven riskejä. Sodan myötä hyökkäykset kiinalaisista ip-osoitteista NATO-maita kohti pomppasivat 116% ylöspäin ja maailmanlaajuisestikin 72%.

Myös VPN-hyökkäyksissä on valtava kasvu ja erityisesti Fortinetin ja Pulsen VPN:ien kanssa pitää olla tarkkana. Suosituimmat hyväksikäytettävät haavoittuvuudet kohdistuvat ranskalaisen ANSSI:n raportin mukaan Exchangeen sekä Pulsen, Fortinetin ja Vmwaren tuotteisiin. Linux kernelin Dirty Pipe -haavoittuvuus osuu myös Androidiin. Putkeen kirjoitus kun ei kysy käyttöoikeuksia. Tutkijat ovat kehitelleet tavan kiertää Spectren ja Meltdownin suojaukset.

Pienemmät DDoS-hyökkäykset ovat kasvussa ja huolestuttavampia. Mitelin puhelinyhdyskäytäviä voidaan käyttää heijastushyökkäykseen ja niillä voi saada aikaan uskomattoman 4293967296:1-vahvistuksen. Myös TCP:llä saa tehtyä heijastusvahvistuksen haavoittuvien palomuurien ja sisällönsuodatusjärjestelmien avulla. TCP Middlebox -heijastuksella voi saada 65-kertaisen vahvistuksen. Microsoft on selvittänyt miksi Mikrotikin laitteita käytetään Trickbot-hyökkäyksessä. Mikrotikin RouterOS:ssä on sopivat Linuxin ominaisuudet, joilla voi etänä ketjuttaa komentoja ja se toimii loistavana proxynä komentokanavan ja laitteen välillä niin, että normaalit suojaukset eivät sitä huomaa.

Autentikointipalvelu Oktan murto on vaikuttanut laajasti eri palveluihin. Teinien vetämä LAPSUS$-ryhmä murtautui alihankkija Sitelin avustuksella RDP-istunnon kautta sisään ja ohitti MFA-autentikoinnin. Oktan mukaan sen 15000 asiakkaasta vain 2,5% eli 366 joutui uhriksi. Okta ei ole käsitellyt asiaa parhaalla mahdollisella tavalla ja on yrittänyt piilotella ja vähätellä tammikuussa tapahtunutta murtoa parin kuukauden ajan. Oktan FAQ tarjoaa vastauksia peruskysymyksiin ja Microsoftilta on tullut perusteellisempi selvitys tapauksesta ja siltä suojautumisesta. Zero trustin idea saattaa tuntua kadonneen kun yksi peruspalikka toteutuksessa murtuu. Mutta oppina tästä voisi vetää vanhan johtopäätöksen, että tietoturvaa pitäisi hajauttaa monikerroksiseksi niin, että yhden palvelun vaikutus ei vielä vaaranna kaikkea. Havainnointia ja nopeaa reagointia voi ainakin lisätä, jotta suuremmilta vahingoilta kenties vältytään.

Haittaohjelmien kanssa on oltava todella nopea, koska tiedostojen salaus tapahtuu jopa viidessä minuutissa. Splunk on vertaillut eri haittaohjelmien salausnopeutta, joka vaihtelee Lockbitin alle kuudesta minuutista Mespinozan lähes kahteen tuntiin. Tutkimuksissa Pohjois-Amerikassa kohta lähes puolet on joutunut haittaohjelman kohteeksi ja jopa 60% on maksanut lunnaita. Keskimääräinen lunnasmaksu on ollut 540000 dollaria. Rahalla saattaa selvitä, tai sitten ei. USA:ssa Cloudflare, Crowdstrike ja Ping Identity ovat muodostaneet Critical Infrastructure Defense Projetin, jossa parannetaan kriittisen infran suojausta. Vaikka 78% käyttää MFA:ta, sen kanssa pitää olla valppaana. Huijauskitit yleistyvät ja MitM-hyökkäyksillä pystytään kiertämään MFA-koodeja. Fyysiset koodipulikat tekevät tuloaan takaisin. F-securelta löytyy vahvan salasanan luontipalvelu näppärästi nettisivulta.

Kvanttimaailmanloppu häämöttää jos kvanttilaskenta päätyy rikollisiin käsiin ja kaikki nykyiset salaukset murretaan. Toisaalta voimme itse olla edellä ja kehittää kvanttisalausta, kuten Bittium ja Insta tekevät. RSA 2048 -salaus riittää vielä vuosikymmeneksi, mutta 15 vuoden päästä alkaa olla hetki käsillä kun nykyiset salausmenetelmät murtuvat.

Applen Icloud Private Relay voi aiheuttaa käyttäjille erilaisia ongelmia kun samojen ip-osoitteiden taakse piilotetaan paljon käyttäjiä. Geolokaatio saattaa myös mennä pieleen ja relay-palvelussa on sisäänrakennettuna turvaominaisuuksia kuten autentikointia ja pääsynrajoitusta.  Mutta yllättäen suorituskyky saattaa jopa parantua välihyppyjen ansiosta.

SASE:n kevyempi version SSE on yhtäkkiä pompahtanut otsikoihin. Mistä on kyse? SSE on yksinkertaisesti SASE ilman access-osuutta eli SD-WAN:ia. Vaikka monet valmistajat mainostavat tuotteiden olevansa SASE, niin todellisuudessa monikaan ei täytä koko Gartnerin täyden SASE:n määritelmää. SSE onkin oikeampi nimi palvelureunalle, joka kypsyi nopeammin ja yhtenäisemmin kuin täysi SASE. SSE:n suuria nimiä ovat mm. Zscaler ja Netskope, joilta puuttuu oma SD-WAN -osuus. SSE ei välttämättä pysty käsittelemään kaikki liikennettä kunnolla ja ongelmia saattaa tulla esim. reaaliaikaliikenteen kanssa. Isot yritykset valitsevat mieluummin tietoturvapalvelut yhdestä paikasta ja WAN-palvelut toisesta. Verkko vasemmalta ja tietoturva oikealta. Pienemmille SASE-kokonaisuus käy maniosti yhtenä pakettina. Markkinahämmennys on suurta, koska kentällä on yli 30 SASE-valmistajaa, mutta kärkikymmenikkö kahmii 80% myynnistä.

Myös Unified-SASE on noussut Dell’Oron analyyseissä esille. Vain Vmware, Cato ja Versa tarjoajat tällaisen kokonaisen paketin. Yhtenäisen SASE:n ratkaisujen odotetaan lyövän hajanaisemmat ratkaisut markkinoilta seuraavan viiden vuoden aikana. ZTNA ja SASE toimivat luontevimmin modernien webbipalveluiden kanssa, mutta Citrix on julkaissut SSE-tuotteen, joka toimii myös ilman agenttia. Se tukee vanhempia client-server -sovelluksia. Tuote osaa myös himmentää palveluita eli rajoittaa tiettyjä ominaisuuksia pois käytöstä sulkematta yhteyttä kokonaan.

Tietoturvan raportoinnista hallitukselle ja johdolle kertova selvitys esittelee löydöksiä ja parhaita käytäntöjä kyberturvallisuusjohtamisen pyörittämiseen. Usein johdossa ei nähdä jatkuvan ja ennakoivan toiminnan merkitystä, vaan toimintaan asti päästään vasta kun kakat on jo housussa. Varoittavat esimerkit uutisissa unohtuvat liian nopeasti. Tietoturvan raportointi ylöspäin on vaikeaa ja ei oikein tiedetä mitä pitäisi kertoa. Suositeltavaa olisi ottaa riskienhallintalähestyminen ja priorisoida asioita. Tietoturvamallit auttavat raportoinnissa ja seuraamisessa. Prosessiin kuuluu myös tavoitteiden seuranta liiketoimintanäkökulmasta sekä itsearviointina että vertaisarviointina.

Microsoftin havittelema Mandiant löysikin paikkansa Googlen kainalosta 5,4 miljardin dollarin kaupassa. Näin Google vahvistaa palvelukykyään ihmisillä ja palveluilla, enemmän kuin teknologialla. Google saa XDR- ja MDR-kykyä sekä palvelutoimintaa modernin SOC:n pyörittämiseksi ja koko tietoturvan elinkaaren ajaksi. Palvelua voidaan tarjota Google-palveluiden ulkopuolellekin. AWS ja Microsoft jäävät takamatkalle ja niillä on paineita tehdä omia ratkaisujaan. Ostosten kohteena voisivat olla Cyberark, Ping, Qualys, Rapid7, Sailpoint, Tenable tai Varonis. Googlella saattaa kuitenkin olla edessä vaikeuksia kaupan hyväksymisen kanssa USA:ssa ja EU:ssa. Mandiantilla on myös Microsoftin ja AWS:n kanssa kumppaniohjelmia, joihin kauppa saattaa vaikuttaa.

Tekniikka ja operointi

Packet Pushersin arkistoista on julkaistu Russ Whiten videosarja Datacenter Fabricin perusteista: 1 Justifying Fabrics, 2 Clos Fabric History, 3 Characteristics Of Data Center Fabrics, 4 Clos Scaling, 5 Buttefly Scaling, 6 BGP Underlay, 7 Link State Protocol In The Underlay, 8 Advanced Underlay Control Planes ja 9 Other Considerations.

Hannes Gredler osasi kertoa historiasta syyn miksi MPLS ei päätynyt käyttämään IGP:tä jakamaan labeleita, vaan keksittiin uusi protokolla LDP. Syy oli siinä, että tekniikkaa kehitettiin eri puolilla USA:a ja IGP ei ollut tuohon aikaan kovin vakaa. Siksi pyydettiin, että kehityksessä ei kosketa IGP-koodiin. Tässä taas yksi esimerkki miten tekniikan kehitys ei ole aina tiedettä vaan siihen vaikuttavat sosiaaliset suhteet ja liiketoiminta.

Ivan Pepelnjak jatkaa pakettienvälitystekniikan tutkimista ja vuorossa on flow-pohjainen välitys. Ipsilon Networks teki ensimmäinen kytkimen, joka lähetti joka flown ensimmäisen paketin CPU:lle ja tallensi tiedot nopeaan välimuistiin, kuten palomuurit nykyään. Ciscon Catalyst 5000 hyödynsi tätä menetelmää, ei aivan menestyksekkäästi. Myöhemmin kytkimeen lisättiin reititinmoduli yksikätisenä kylkeen. Jotkut saattavat muistaa Cat6500:n ensimmäiset versiot CatOS:llä ja IOS:lla, joilla tehtiin kytkentä ja reititys eri paikoissa ja eri käyttöjärjestelmillä. Catalyst 5000 kuoli jossain 2008 paikkeilla ja sen jälkeen tiedeyhteisö keksi saman asian uudelleen Openflow:n muodossa. Sekään ei ollut menestys lukuisten iterointien jälkeenkään. Nykyisin kohtuullisella CPU:lla ja sopivalla raudalla saa suht hyvää suorituskykyä. Flow-välimuistin käyttö voidaan tehdä ohjelmallisesti, jolloin raudan ei tarvitse sisältää niin paljon arvokasta TCAM:ia. Flow-kytkentä tekee uutta tuloaan DPU:iden myötä. Ohjelmoitava dataprosessori pystyy tekemään flow-välitystä tehokkaasti joko erillisenä verkkokorttina tai verkkolaitteen sisällä.

Avoimen koodin DENT-verkkokäyttöjärjestelmästä on julkaistu 2.0 Beeblebrox -versio. DENT on tarkoitettu pieniin ja keskisuuriin yrityksiin, ja varsinkin hajautuneisiin edge-toimintoihin. DENT:n ytimessä on Linux kernel ja Switchdev. Juniper kuvaa hyvin 5G-käyttötapauksen avulla mitä oikeastaan on pilvinatiivi reititys. NFV oli kymmenen vuotta sitten lupaava aloite varsinkin operaattoreille, mutta idea kuivui jotenkin kasaan vuosien mittaan. Pilven myötä Service Mesh vei voiton. Oppina tästä voi pitää sitä, että operoinnin täytyy olla ensisijainen vaikutin  tekniikan kehityksessä. Ja pelkkä tekniikan kehitys ei riitä, vaan myös toimintamallit pitää saada muutettua, mikä on paljon vaikeampaa.

TCP-ruuhkanhallinnasta löytyy tietoa Larry Petersonin, Lawrence Brakmon ja Bruce Davien avoimesta kirjasta. Algoritmit saattavat häiriintyä LAG-linkkien yksittäisten linkkien erilaisista ominaisuuksista. Multipath TCP (MPTCP) RFC8684 määrittelee TCP-socketin käytön usean ip-osoitteen ja linkin yli. MPTCP:n käyttö on ollut hankalaa, koska se ei ole levinnyt yleisimpiin Linux-jakeluihin. Siispä Ben Cox rakensi oman toteutuksensa bondcatin. Käyttökohteita voivat olla esim. linkkiagregointien rajoitusten kiertäminen, nopeampi siirto ja varalinkin käyttö.

Andy Bechtolsheim kertoo piiriin integroituvasta optiikasta Nextplatformin haastattelussa. Tärkein asia on saada lämpökuorma hallintaan tehokkaissa lasereissa. Nykyiset laserit ovat 15 watin tehoisia. Lämpötila vaikuttaa suoraan komponentin luotettavuuteen ja kun laserit on yhteispakattu piirille, niiden vaihtaminen on työlästä ja kallista. Vaihtoehtoisesti uusilla modulaatioilla saadaan helpommin tehonkulutusta alas. Kehityksen kannalta tärkeää on saada valmistusmäärät isoiksi ja sitä kautta kustannukset alas, jotta teknologia leviäisi myös laajempaan käyttöön. Toistaiseksi yhteispakatulle optiikalle ei ole mitään tarvetta, koska 224 Gbps -väylänopeudet voidaan vielä toteuttaa perinteisesti. Ainoa hyöty on tehonsäästö, joka kuitenkin saadaan helpommin toteutettua modulaatiota kehittämällä. Samaa viestiä toistaa Nvidian Kevin Deierling.

Nvidia julkaisi maailman tehokkaimman Spectrum-4 -piirin, jonka kapasiteetti on paljon edellä muita. 51,2 Tbps -kokonaiskapasiteetti voidaan jakaa 64 800G-porttiin tai 128 400G-porttiin 1RU-kytkimessä. Macsec- ja VXLAN-salausta voi tehdä 12,8 Tbps -nopeudella. Ekosysteemi laajentuu Bluefield DPU-, Connectx-7- ja H100 CNX-korttien kesken. Käyttökohteita löytyy hyperskaalaajilta ja tekoälysovelluksista, joissa halutaan pienemmästä boksista enemmän tehoa. Infiniband toimisi vielä käytettävyyden kannalta ethernetiä paremmin, koska ethernetin reititysfunktiot pitää hajauttaa monimutkaisesti hallittavaksi kokonaisuudeksi. Markkinoiden kannalta Infiniband kuitenkin taitaa olla tuomittu kuolemaan ennemmin tai myöhemmin.

Nokia ja Rakuten ovat demonneet DWDM-siirrossa ennätyksellistä nopeutta 1 Tbps per kanava. Jumbo-kehykset ovat kiistanalainen aihe. Yleisen käsityksen mukaan tehokkuushyöty jää 10-15% luokkaan, joten käyttöönottoa todella kannattaa harkita. Riski on, että jumbojen kanssa törmätään ongelmiin kun kehys ei läpäisekään koko siirtoketjua kokonaisena. Tarina AWS-ympäristön tapauksesta kertoo, että vianetsintä on vaikeaa. Chris Hart kertoo tarinan dynaamisista staattisista reiteistä ja pieleen menneestä IP SLA -träkkäyksestä. Opetus on, että käytä dynaamiseen vikasietoisuuteen reititysprotokollia.

Kentik kertaa peeraussuunnittelijan työkalut ja toimintamallit neliosaisessa blogissa. Corsa on laskenut TCO:ta virtuaalimuureille. Automaation ja älykään hallinnan kautta operoitaville muureille voi saada jopa 24 kertaa nopeamman tuotantoonoton ja alentaa TCO:ta melkein 9 kertaisesti. Christofer Hoffin lähes kymmenen vuotta vanha esitys kertaa hyvin SDN:n elämän, joka ei aina ole helppoa.

Broadcom on kertonut wifi6-sirujen toimitusten kaksinkertaistuneen viime vuodesta yli miljardiin toimitukseen. Wifi6 on selvästi nopeimmin levinnyt tekniikka. Langattomien IoT-standardien cheatsheet löytyy Jonathan Davisin blogista. Skotlantilainen Purelifi on esitellyt kokonaisen Lifi@home-kotijärjestelmän Lifi-tekniikan ympärille. Valoon perustuva Lifi kasvattaa siirtonopeutta jopa 100-kertaiseksi wifiin nähden ja pienentää siirtoviivettä.

Michael DeHaan kertoo todellisen syyn miksi mikropalveluista tuli suosittuja. Kehittäjät valitsivat itsekkäästi omat suosikkiteknologiansa ja ratkaisunsa, koska inhosivat koodikatselmuksia ja arkkitehtuureita. Ratkaisut rakennettiin kunkin tiiimin omien valintojen päälle välittämättä muista. Teknologia heitettiin ratkaisemaan ihmisten ongelmia ja itsenäisyys ajoi kokonaisuuden yli. Sama kävi pilven kanssa. Lopputulos on ylivaikea ja kaoottinen ympäristö.

Docker palasi perusasioiden äärelle ja sai 105 miljoonan dollarin rahoituksen. Dockerin perustaja Solomon Hykes tuli julkisuuteen uudella yrityksellä Dagger. Koska kukaan ei tykkää YAML:sta, se auttaa viemään teknologiaa helpommin tuotantoon avoimella CUE-kielellä konfiguroiduilla CI/CD-työnkuluilla. Dagger aloittaa ilmaisella tuotteella, kaupallinen malli on tulossa myöhemmin. Hashi on julkaissut kuvauksen paketin matkasta Consul service meshin läpi. Siitä saa kuvan mitä service mesh tekee.

Gartnerin verkkoautomaation tila -katsaus kertoo, että automaatioaste yrityksissä on korkeintaan keskinkertainen. Automaatiointoilijat ovat kovaäänisiä lähettiläitä ja luovat väärää kuvaa todellisuudesta kaikissa verkoissa. Itsensä automatisointi työttömäksi ei ole kuitenkaan yleisesti pelkona. Tavoitteena kaikille olisi saada nopeita voittoja esim. tiketöinnin, käytettävyyden seurannan ja konfiguraatiohallinnan automatisoinnin kautta. Arviolta 30000 yritystä käyttää Ansiblea, mutta ennuste kääntyy jatkossa kokonaisvaltaisempien automaatiojärjestelmien puoleen. SaaS on yritysten toivoma malli. Gluware kertaa miksi kaupallinen tuote on houkuttelevampi. Valmiilla tuotteella pääsee nopeasti asiaan, siinä on enemmän ominaisuuksia ja se on helpompi laajentaa eri tiimien välille. Kaupallisessa tuotteessa tietoturva, tuki ja alustapuoli on paremmin kunnossa. Tuotteita alkaa olla markkinoilla ihan hyvin, joten kannustaisin katselemaan avoimin mielin hallintatuotteita oman hovivalmistajan ulkopuoleltakin ja hintalappua pelkäämättä.

Cisco on vaihtanut palveluidensa root-sertifikaattia ja sen myötä XE-softissa on ollut ongelmia saada yhteyttä Smart-palveluihin.

DNS on laaja kokonaisuus, joka pyörittää moderneja webbipalveluita. TXT-tietueita käytetään domainin omistajan varmistamiseen ja niitä seuraamalla voi päätellä mitä palveluita yritys käyttää. Esim. Nslookup.io näyttää palvelut kivasti graafisessa muodossa. DNS-terminologia on kuvattu RFC8499-laajennuksessa. Kaikki DNS-RFC:t on koottu yhdelle sivulle. DNSSEC:n tilastoissa .com-zoneista 3% on allekirjoitettu, .org-zoneista 4% ja .net-zoneista 3,4%. Yksikin ison palveluntarjojan mukaantulo voi heilauttaa määriä huomattavasti. Vertailun vuoksi Switchin tilaston mukaan Sveitsin .ch-domaineista on jo 36,5% allekirjoitettu ja tavoite on 2026 mennessä saavuutta 60% taso.

Yritykset ja tuotteet

Inderes listaa IT-palvelusektorin pörssiyhtiöiden suorituksia kaudelta Q4/2021. Mukana on Innofactor, Loihde, Netum ja Tietoevry. Valtorin viime vuosi meni suunnilleen samoin kuin edellinenkin. Henkilöstömäärän kasvu pysähtyi, häiriöt lisääntyivät ja tyytyväisyys laski hiukan. Tutkimuksen mukaan palkka ja uramahdollisuudet houkuttelevat naisia IT-alalle, joka muuten ei ole kovin haluttu ala naisten keskuudessa. IT-alan houkuttelevuus kasvaa iän myötä. Paljon olisi vielä tehtävää, jotta naisia saataisiin alalle enemmän. Gartnerin kyselyn mukaan vain alle 30% IT-työntekijöistä aikoo pysyä nykyisen työnantajan palveluksessa, mikä on 10% vähemmän kuin muilla aloilla. Euroopassa tyytyväisyys on suurinta. Ikä vaikuttaa eli nuoremmat ovat 2,5 kertaa herkempiä vaihtamaan alaa. Työnantajien pitäisi kiinnittää huomiota ihmiskeskeisiin työoloihin ja keskittyä niihin tärkeisiin henkilöihin, jotka ovat herkimpiä lähtemään.

Karl Hughes kuvaa hyvin millaista on edetä uralla asiantuntijasta johtajaksi. Ajankäyttö muuttuu täysin, palautesyklistä tulee pitkäjänteisempi, konfliktien välttely tulee mahdottomaksi, teknisistä asioita ei voi tehdä päätöksiä ja uuden oppiminen loppuu. Jokainen voi arvioida mikä on asioiden painoarvo omalta kohdalta ja on hyvä muistaa, että johtajuuden voi ottaa myös ilman johtajan asemaa, mikä usein toimiikin hyvin.

Yritysten kärsiessä osaajapulasta, palveluiden ostaminen yleistyy, nyt myös verkon osalta enemmän ja enemmän. Kaikkeen ei tarvitse teknistä osaamista, vaan humanisteilla ja ekonomisteillakin voi olla paljon annettavaa esim. kyberturvallisuudessa. Monia teknisiäkin ratkaisuja määrittää yhä enemmän liiketoimintaymmärrys, talous, ihmistuntemus, palvelumuotoilu tai muut pehmeämmät osaamisalueet. Tietoturva vie yhä enemmän resursseja, nyt jo enemmän kuin verkon ylläpito. Syynä on tieturvan laajuus ja monimutkaisuus. Siksi palvelut houkuttelevat. Ostopalveluiden hinta asettuu parhaimmillaankin hieman itse tuotettujen palveluiden hinnan yläpuolelle. Palveluntarjoajan pitää hyödyntää suuruuden ekonomiaa, mutta ongelma on hallintatuotteissa, jotka eivät tätä tue. MSP-tuotteiden pitäisi pystyä vähentämään ihmistyötä mahdollisimman paljon. Toinen suuri ongelma palveluntarjoajalla on, että niille tulee paljon ongelmia, jotka eivät kuulu palveluun. Joka tapauksessa trendi näyttää, että palveluiden kysyntä kasvaa, koska nyt jo ollaan tilanteessa, jossa yritykset eivät osaa korjata omia verkkojaan.

HPE on laajentanut Greenlake-tarjoamaansa 50 uudella palvelulla. Verkko on HPE:llä keskipisteessä ja Aruba-käyttäjien tuominen Greenlake-alustaan toisi sille 120000 käyttäjää, yli 2 miljoonaa laitetta ja API-kutsua. Valmistajat luottavat nyt yhä enemmän palveluntarjoajiin ja hakevat myyntiä sitä kautta. Ciscolla 90-95% palveluista menee kumppanien kautta ja kanavakumppania ei haluta poistaa ketjusta. Asiakkaat haluavat tuotoksia ja kokemuksia, ja rahan käyttö on siirtynyt opex-malliin, joten palveluntarjojat ovat sopiva kanava asiakkaisiin. Sama näkyy mm. Microsoftoilla Azuren myynnissä. 95% myynnistä tulee kumppanien kautta.

Mikä toimii SaaS-palvelun hinnoittelussa? The Diff on vertaillut palveluita ja todennut, että saman tuotteen hinta voi vaihdella viisinkertaisesti. Lopulta menestyvän hinnan ratkaisee tuotteen hyöty asiakkaalle ja suurkuluttajien tarpeet. Hintaa voi yrittää hinata ylös löytämällä marginaalisen ominaisuuden, jonka voi hinnoitella erikseen. Hintakäyrä voi olla lineaarinen, ei-lineaarinen tai nousevat tiettyyn tasoon asti. Tietoturva pitäisi kaiken järjen mukaan olla vakio-ominaisuus kaikissa tuotteissa, mutta niin vain on, että tietoturvaominaisuuksista voi laskuttaa erikseen ja ne on yrityskäyttäjän käytännössä pakko ostaa. Joissain ominaisuuksissa hintaa voi skaalata loputtomasti kasvavan kapasiteetin mukaan, toisissa taas ne myydään kertaluonteisena.

Ubiquiti on kaivanut itselleen kuopan haastamalla Brian Krebsin oikeuteen kirjoitteluista Ubiquitin tietomurrosta väärällä tavalla. 425 miljoonan dollarin vahingonkorvausvaatimus ei voi päättyä Ubiquitin kannalta hyvin.

Hallintatuotteissa näkyy selvästi nyt siirtyminen edge-hallintaan. Apstra lisäsi ominaisuuksia konesalihallintatuotteeseensa ja Nokia julkisti Adaptive Cloud Networking -tuotteensa. Cisco on lisännyt Intersightiinsa Kubernetes-hallinnan, jolla voi hallita julkisten pilvien tai omien alustojen klustereita. Aruba lisäsi Central-hallintaan Netconductor-tuotteen, jolla hallitaan yhdenmukaista politiikkaa eri ympäristöissä aieperustaisesti.

Extreme on aktiivisesti mukana amerikkalaisurheilussa ja se on julkaissut lukuja jalkapallokaudesta. Superbowlin aikana stadionin wifiin oli kytkeytynut reilut 57000 laitetta, jotka siirsivät tietoa 31,2 TB verran. Aktiivisimmat hetket olivat ennen peliä, puoliaikashow ja pelin viimeiset hetket. NFL-kauden tiedonsiirron huippulukemat ovat kasvaneet parissa vuodessa yli kuusinkertaisiksi. Suosituimmat sovellukset ovat some, streaming ja urheilu. Extreme on Juniperin tapaan valinnut Creadlepointin 5G-WAN -kumppaniksi. Samsungin Smartthings IoT -alusta on integroitunut Ruckuksen tukiasemiin, jotka toimivat nyt hubina IoT-laitteille.

Verkkolaitemarkkinoilla myynnit nousivat viime vuonna takaisin pandemiaa edeltävälle tasolle. Yritysverkoissa tietoturva, kampusverkot ja wifi kasvoivat, muuten oli aika tasaista. Cisco jatkaa markkinajohtajana ja kukaan ei sitä hätyyttele, vaikka markkinaosuuden lasku onkin suurinta. IDC:n mukaan myös wifissä Cisco johtaa markkinaa yli 40% osuudella, mikä on yli kolminkertainen seuraavaan kilpailijaan HPE-Arubaan. Kytkinporteissa hinta bittiä kohti on paras 40/100G-nopeuksilla. 25/50G-portin hinta on yllättävästi lähtenyt nousuun viime vuoden aikana. Kytkimissäkin Cisco keikkuu omilla lukemillaan, mutta muut-kategoria alkaa olla lähellä. Juniper on siirretty muut-kategoriaan, mutta myös whitebox-valmistajat ovat nousussa.

Toimitusaikoja vaivaavat Ukrainan sodan lisäksi Japanin voimakas maanjäristys, joka keskeytti piirituotannon Kioxian tehtaalla. Aiemmin tehtaalla oli tapahtunut materiaalien saastuminen, joka tuhosi Western Digitalin levyjä. Valmistajien TSMC:n ja Intelin lisäksi piirisuunnitteluyritykset tekevät hyviä tuloksia. Suurimpien viisikko Qualcomm, Nvidia, Mediatek ja AMD kasvatti liikevaihtoa 50-70% edellisestä vuodesta, lukuunottamatta Broadcomia. USA:n DHS on tehnyt raportin toimitusketjun tilanteesta ja miten varautua ongelmiin.

Redhatiin State of Enterprise Open Source -raportti kertoo, että 82% johtajista valitsee valmistajan, joka on aktiivinen avoimen koodin yhteisössä. Miksi? Koska avoimen koodin prosessit ovat niille tuttuja, ne ylläpitävät kulttuuria ja voivat vaikuttaa kehitykseen, sekä toimivat aktiivisemmin teknisten ongelmien kanssa. Hyvänä puolena käyttäjät näkevät avoimen koodin tuotteiden läpinäkyvyyden, dokumentoinnin ja laajan yhteisöllisen näkemyksen, ohjelmien hyvän testauksen ja nopeat päivitykset. Tietoturva on tärkein hyöty yhdessä koodin laadun kanssa. Ketteryys ja pilvinatiivius ovat myös merkittäviä hyötyjä. Tarkemmin ottaen avoin koodi tarjoaa joustavuutta omiin tarpeisiin, viimeisintä kehitystä, yksinkertaisuutta hybridipilven hyödyntämiseen ja tukee tietoturvastrategiaa. Andreessen & Horowitz on päivittänyt selvitystään mitä tuotteita ja ratkaisuja modernit yritykset käyttävät datainfrastruktuurissaan.

Internet

DFZ on internetin paikka, jossa ei ole oletusreittiä ja BGP-peerit saavat häärätä omiaan. Yhden päivän tilasto kertoo millaista kivaa DFZ:sta löytyy. Yksi prefixi voi generoida yli puoli miljoonaa mainostusta, mutta vain alle 60000 poisvetoa. Yhdestä ASN:n peeristä voi lähteä yli 2 miljoonaa mainostusta. Pisin nähty AS-polku oli 65 ASN:ää ja yhden prefixin lähde-ASN:iä oli enimmillään 22. Yhden prefixin pisin community-set oli 195 communityä.

Internetin levinneisyys on saavuttanut 66%. Korkeimmillaan Pohjois-Amerikassa ja Euroopassa kattavuus on n. 90% tasolla ja huonoimmillaan Afrikassa reilut 40%. Muuta alueet osuvat tähän väliin. Internet Societyn Pulse -monitori, kuvaa internetin tilaa maailmalla ja auttaa ymmärtämään sulkuja, kestävyyttä, teknologiaa ja markkinaa.

Metaversumin vaatimus symmetrisestä laajakaistasta ei näy vielä muussa tarpeessa. Comcastin tilastojen mukaan verkkoliikenne on palautumassa pandemiaa edeltävälle tasolle. Liikenne on kuitenkin edelleen hyvin epäsymmetristä ja downstream on yli 14 kertaa suurempi kuin upstream-liikenne. Sovelluksissa ei siis ole havaittavissa suurtakaan muutosta. Charterin mukaan symmetrisyystarve on markkinahöpinää ja tilastojen perusteella tarvetta ei ole, vaikka uplinkin käyttöaste nouseekin koko ajan. Kuitenkin AT&T:n mukaan symmetrinen yhteys nosti uplinkin käytön kolminkertaiseksi.

Meta on laskenut kuituinvestointien talousvaikutuksia. Euroopassa Atlanttin ylittävän Marea-merikaapelin on laskettu tuoneen vuodesta 2019 lähtien 18 miljardia dollaria Euroopan talouteen. Lisää kapasiteettia on tulossa Atlanttin yli ainakin kahden kaapelin verran vuoteen 2027 mennessä. Niistä saataisiin 30 miljardin buustit talouteen. Mene ja tiedä.

Satelliittipuolella Starlink on ylittänyt 250000 tilaajan rajan kun viime heinäkuussa määrä oli 100000. Puolessa vuodessa käyttäjämäärä on tuplaantunut. USA:ssa entinen 5G-toimija Rivada on uudistanut itsenä satelliittitoimijaksi ostettuaan Luxenburgilaisen Trion Space AG:n. Kaupan mukana se sai hyviä taajuuksia, joilla tavoitellaan 600 LEO-satelliitin muodostelmaa USA:n markkinoille. Kiinassa Galaxyspace on laukaissut maan ensimmäisen LEO-satelliittiryppään. Uusien satelliittien kapasiteetti on 40 Gpbs ja pano 190 kg. Testi todistaa, että Kiina on mukana satelliittien massatuotannossa samalla hintatasolla mikä Starlinkillä on.

Google Domains on ollut betassa 2015 lähtien ja nyt se on täysin avattu. Aloitustarjouksena saa 20% alennusta. Palvelussa on jo 7 miljoonaa aktiivista rekisteröintiä ja palvelu kuulemma on ihan kelvollinen.

Netflixin oikeustaistelu Koreassa avataan Forbesin jutussa perusteellisesti. Netflixin liikenne SKB:n verkossa on ylittänyt 1,3 Tbps -rajan, mutta prosenteissa mitattuna kulutus on 7,2% kaikesta liikenteestä. Netflixin liikenne tuli alun perin Tokion BBIX:n kautta. Kun liikenne kasvoi 200 Gbps:iin, lisättiin peeraus Hongkongissa. Liikenne kasvoi edelleen, kunnes 2018 SKB:n mitta täyttyi ja se haki Netlfixiltä korvauksia kapasiteetti-investoinneista. Netflix on tarjonnut OCA-CDN-palvelimiaan SKB:lle, mutta se ei ole niitä halunnut. Korean 23 miljoonasta laajakaistatilaajasta 5 miljoonaa katselee Netflixiä. Netflixin liikenne on kasvanut kahdenksankertaiseksi parissa vuodessa. Netflix on kuskannut oman liikenteensä Aasian solmupisteisiin ja SKB on kytkenyt verkkonsa niihin. Yhdysliikennepisteet on kuitenkin jätetty reguloinnin piiristä, joten kumpikin ospauoli tekee omat päätöksensä ja vastaa kustannuksistaa. Yleisellä tasolla tuntuu, että Netflixillä on länsimaisen ymmärryksen mukaan vahvempi tapaus, mutta saa nähdä mihin tämä kääntyy.

Tapahtumat

Open Programmable Infrastructure Eventissä puhuttiin infran ohjelmoitavuudesta. Kahden päivän ohjelma löytyy Youtubesta.

Security Field Day XFD7 esittely Rubrikin, Juniperin, ZPE:n, Progressin, Racktopin, Microsoftin, Aristan ja Keeperin ratkaisuja.

Aruba Atmospheren esitykset käytiin NFD-delegaation kanssa läpi rinnakkaistapahtumassa.

IETF 113 kokosi internetin kehityksen ja standardoinnin kokoon Wieniin.

Kuukauden pyhät

ASN-HOLYSEE 8978 mainostaa muutaman pyhän prefixin ulos Vatikaanista. Paavin kanssa voi peerata Rooman NAMEX:ssa, joka on siis maailman ainut siunattu IXP. Ja paavi on myös muistanut allekirjoittaa prefixinsä RPKI:llä ja käyttää ipv6:sta.

ACI Rant #3 Topology and scalability issues.

This microblog was released in Twitter thread.

Cisco ACI feels so robust, complex and pricey that you might think it’s for big networks. Actually, there are many scalability limitations that you might encounter sooner or later.

Mode: First there is a decision between Multi-pod and Multi-site. Multi-pod is single distributed fabric and easier to understand. Multi-site makes ACI more robust with separate fabrics but adds management complexity with Nexus Dashboard Orchestrator layer.

Encryption: Multi-site adds Cloudsec option which means end-to-end VXLAN tunnel encryption between sites and their spines. Multi-pod can’t do Cloudsec but both can use link-level macsec encryption.

Multi-pod spines can be connected back-to-back without IPN routers. Then macsec would encrypt whole VXLAN tunnels between spines. But this limits fabric to two pods only.

Remote-leaf: is add-on to one fabric. It works fine with Multi-pod. Multi-site can extend only one fabric (site) to remote-leaf. This means multi-site stretched vlans can’t be extended to remote-leaf directly.

L2 scale multi-site: If you wanted to stretch L2 bridge-domains between sites Multi-site with NDO limits stretched BDs to 6000. Contracts between site-specific EPGs create shadow EPGs which might cut the total number even smaller.

L2 scale fabric: can have 15000 BDs but each leaf limits vlan scale to 1980 BDs per leaf. That’s surprisingly low number. Leafs have local vlan scope so different leafs can add 1980 BDs each. Legacy mode can make it double but limits the use of other app-centric and L3 features.

Switch capacity: Leaf can have enormous capacity with 36-64 100G ports. That means you don’t need many switches in medium size networks. Dedicating powerful switches to different roles like service, compute and border leaf is often wasting resources and money.

Vlan scale: VXLAN often gives the impression that vlan scale is automatically multiplied to 16M. Well, often the case is much more complex. For starters, ACI fabric can support 15000 BDs total. That’s just a fraction of VXLAN scale though.

Overlapping vlans: can be done but needs more complex policies and mapping specific vlans to specific resources. Shared external services for all customers are common. That means vlans are terminated to one common point and this can make overlapping vlans even harder to handle.

VMM integration: can help a lot with hypervisors. Dynamic vlan assignment is handy when EPGs are created on the port-group level automatically. If the hypervisor was not supported by VMM that’s a total bummer. You lose a lot of ACI capabilities.

App-centric mode: ACI scalability is based on application-centric modern approach where basic vlan stretching can be avoided. But the question is can the user adapt brownfield network to this new model. Looks like it’s very hard and many continue forever with traditional L2 network-centric fabric.

Routing: App-centric model utilizing EPGs, ESGs, contracts, microsegmentation, service-graphs etc. requires ACI to be anycast-gw for EPGs. Routing needs to be done in ACI and that’s a more tedious job. ACI routing has pretty comprehensive features but obviously has limits also.

L2 need: You may ask why anyone would do heavy L2 stretching between sites and need thousands of vlans everywhere. Because customers are usually old-school and have the requirement of distributing their HA setup between two different sites in metro area.

Cloud Availability Zone: Multi-pod is better for stretched BDs and Multi-site for two independent sites with different subnets. Multi-pod is good fit for one site and multiple pods. It can be distributed to multiple sites also.

Cloud Region: Multi-site actually needs multi-pod inside one site if you wanted to do L2 high availability. Then Multi-pod is for L2 availabity zones inside one site and Multi-site forms region with multiple L3 separated independent availabilty zones like public cloud.

Price: The conclusion is that ACI can scale but you have to buy many more components around the basic setup and build your network using ACI-supported architectures. This could mean heavy lifting and investigating platform limits for proper design.

https://www.cisco.com/c/en/us/td/docs/dcn/aci/apic/5x/verified-scalability/cisco-aci-verified-scalability-guide-521.html

[FI] Tietoliikennealan katsaus 2022-02

Ongelmat

Tongan internet on saatu palautettua merikaapeliin 22.2.2022. Kaapelista rakennettiin uudelleen 92 km pätkä Fidzin suuntaan. Väliaikaisen satelliitti-internetin 670 ms viive tippui normaaliin 139 ms:iin. Viive on silti aika iso, koska mittauspiste Singaporessa on yli 9000 km päässä. Kaapelin korjaamisen etenemistä seurasi Twitterissä philBE. Ketjusta saa hyvän kuvan toimien edistymisestä.

Maalla kuidut kulkevat monesti osana rakennettua infraa: siltoja, teitä, tunneleita, rautateitä jne. Välillinen vahinko voi olla riski yhteyksille, kuten parin vuoden takainen junakolari Arizonassa osoittaa.

Ukrainassa sodan alkupäivinä internet-liikenne on tippunut reippaasti normaalista tasosta. Google ei raportoi oman palvelun käytössään häiriöitä Ukrainasta, ennemminkin Valko-Venäjältä. Ukrainalaisilla operaattoreilla on ollut katkoja, mutta internet on toiminut maassa suhteellisen hyvin. Digi- ja varapääministeri Mykhailo Fedorov huusi Elon Muskia Starlinkeineen apuun ja maahan saatiinkin toimivia satelliittiyhteyksiä. Musk kuitenkin varoittaa Starlinkin käytöstä, koska se voi olla Venäjän iskukohde. Starlinkiltä oli saatu myös Tongaan satelliittipaketteja väliaikaiseksi avuksi, ja muuallakin se on auttanut katastrofitilanteessa paikkaamaan paikallista maanpäällistä verkkoa. Tämä hyväntekijän rooli varmasti on hyvää markkinointimannaa Starlinkille, mutta apu on oikeasti tervetullut kun verkot ovat poikki.

Hyökkäykset Venäjän palveluita vastaan ovat johtaneet Rostelecomin vetämään BGP-mainostuksiaan pois ulkomaan reitityksestä. Hallituksen webbipalveluita hostaava AS196747 jouduttiin vetämään pois mainostuksesta, kun Anonymous pommitti mm. gosuslugi.ru-sivustoa. Sattumalta sopivaan aikaan nähtiin myös ukrainalaisen Ukrnames -domain-rekisterin ip-alueen siirto Venäjälle. Ip-osoitteet olivat alun perinkin Venäjältä ja allokointi oli peruttu jo viime kesänä, nyt se vain rekisteröitiin RIPE:n tietokantaan. Samalla verkon reititys siirtyi Venäjälle ruokkien kaappaushuhuja. Kansainvälinen rekisteri Namecheap on potkaisemassa venäläiset asiakkaat pois palvelusta 6.3. mennessä, mikä on aiheuttanut vihaa venäläisissä käyttäjissä.

Muut maat varautuvat kyberiskuihin ja USA:n FCC on esim. laatinut muistion BGP-reitityksen turvattomuudesta. Huonosti toteutettuna varmaan näin ja asian ei pitäisi kyllä kenelläkään tulla yllätyksenä. Paljon on silti tehtävissä parhaiden käytäntöjen mukaan reitityksen suojaamiseksi ja muutenkin kyberturvallisuuden parantamiseksi. Mediassa jaetaan ahkerasti ohjeita turvallisuuden parantamiseksi.

Ukraina on Venäjälle tärkeä kuitureitti länteen. Myös Helsinki on ollut monen operaattorin strateginen portti idän ja lännen välillä. Sodan alkamisen jälkeen ehkä hahmottuu miksi Venäjä on pitkään yrittänyt rakentaa kykyä toimia omavaraisesti irti internetistä. Githubin mukaan Ukraina on avoimessa koodissa kymmenneksi suurin tekijä Euroopassa ja venäläiset ovat kolmanneksi suurin ryhmä saksalaisten ja brittien jälkeen. Ja onhan myös suomalaisyrityksillä toimintaa Ukrainassa, esim. Tietoevryllä on pari tuhatta   työntekijää ympäri Ukrainaa.

AWS on pätkinyt silloin tällöin ja epämääräisiä selittämättömiä häiriöitä on esiintynyt sen päällä toimivissa palveluissa. AWS:n julkisen status-sivun väitetään päivittyvän manuaalisesti, joten se ei kerro koko totuutta palveluiden tilasta.

Operaattorit ja 5G

Tutelan tutkimus rankkasi Suomen operaattorit. Telia voitti tasaisella laadullaan kaikissa verkoissa. Kaikki operaattorit olivat kuitenkin laadultaan erinomaisia, myös 5G:ssä. Tefficient on koonnut Tutelan, Opensignalin ja Ooklan testien tulokset pohjoismaiden osalta samaan taulukkoon.

Aasiasta voimme oppia, että 5G ei yksin riitä operaattoreille, vaan tulovirta vaatii laajempaa liiketoimintapohjaa. Yksi unohdettu käyttökohde 5G:lle on broadcasting, joka olisi sisäänrakennettuna teknologiassa mukana. Verizon, AWS ja Bloomberg testaavat 4K-striimiä edge-toteutuksena, mutta tämä testi taitaa kuitenkin olla perinteistä IP-unicast -striimiä.

Dishin julkisen pilven mobiilicore taitelee toiveiden ja todellisuuden rajamailla, kun tavoitteista lipsutaan jatkuvasti eteenpäin. Vegasin testiverkko on saatu käyntiin, mutta suuria ongelmiakin on mm. hätäpuheluiden, puheluiden ja verkon optimoinnin kanssa. Kova työ on edessä rakentaa toimiluvan edellyttämät 25 kaupunkina 100 päivässä, mutta se on kuulemma tehtävissä.

O-RAN -testejä on saatu käyntiin ja KDDI, Samsung ja Fujitsu väittävät laittaneen maailman ensimmäisen 5G standalone O-RAN -saitin käyntiin. Nokia purnaa O-RAN -valmistajien kaksinaamaisuudesta. Haastajat väittävät olevansa avoimia, mutta kun heiltä pyydetään yhdistämään Nokian tuotteita omiinsa, niin halua ei löydykään. Nokia on tehnyt töitä mm. NTT Docomon, Rakutenin ja DT:n kanssa, ja haluaa olla mukana väistämättömässä O-RAN -kehityksessä. Parempi olla mukana, kuin jättäytyä pois. O-RAN:ssa yhteensopivuuden tekee X2-rajapinta, joka on määritelty 3GPP:n standardissa. X2-rajapinta on perinteisillä valmistajilla suljettu tai maksullinen ominaisuus, joka rajoittaa kilpailua, ainakin haastajien mukaan. On silti epäselvää muuttaisiko avoin rajapinta markkinaa ja onko X2 edes operaattoreille tärkeä vaatimus. Eri valmistajien sotkeminen keskenään samalla alueella ei ole muutenkaan toivottavaa. X2:sta saatetaan tarvita vain valmistajakohtaisen verkon rajalla.

USA:ssa Huawein korvausprojektin budjetointi on jäänyt alimittaiseksi ja todellinen tarve on ainakin kolme kertaa suurempi kuin suunniteltu rahoitus. Hakemusten loppusumma on nyt 5,6 miljardia dollaria. Hajonta hakemuksissa on valtava ja avustuksissa noudatetaan priorisointisääntöä, jolla alle 2 miljoonan asiakkaan kehittyneiden palveluiden operaattorit saavat etuoikeuden. Kaikkien 181 hakijan hakemukset on koottu listalle ja siitä on noussut kysymys lypsävätkö operaattorit valtion rahaa. Korvattavana on 24000 Huawei- tai ZTE-laitetta noin 8400 kohteessa, mikä kuulostaa melko pieneltä määrältä. Esim. Viaero ostaisi Ericssonia 1,2 miljardilla dollarilla, mikä tekisi saittihinnaksi noin 1,2 miljoonaa dollaria. Se on ällistyttävä hinta, koska Dish sanoo rakentavasta saitin 250000 dollarilla. Ericsson puolustaa hintaa sanomalla, että se edustaa kehittyneintä vakiintunutta tekniikkaa, ja hakemukseen saattaa kuuulua myös muuta kuin laitekuluja, jotka ovat loppujen lopuksi melko pieni osa kokonaishintaa.  Jos FCC:n apuraha ei riitä kaikkiin hakemuksiin, jaetaan kaikille kolmasosa haetusta summasta ja isommat operaattorit eivät saa mitään.

Amerikan operaattorien historia juontaa 1800-luvun loppuun, jolloin maanviljelijät rakensivat piikkilanka-aitojen ylälangasta puhelinlinjoja tilojen välille. Linjan pituus saattoi olla jopa 250 km. Cowboyllä oli puhelin, joka kytkettiin lankaan ja näin voitiin tiedottaa akuuteista asioista muille alueen asukkaille. Linjan laatua kehitettiin lisäämällä viskipullon kaulasta eriste langan ja tolpan väliin. Sitten tuli idea siirtää lanka sähköjohtojen kanssa tolppiin, mutta viimeisiä piikkilankapuhelimia löytyi käytöstä vielä 1970-luvulla. Amerikan laajakaistan lyhyt historia kertoo, että Bell rakensi puhelinlinjat kaupunkeihin 1800-luvun lopussa. Kun puhelinpatentti raukesi 1900-luvun vaihteessa, puhelinyhtiöt alkoivat levitä ympäri maaseutua. Sen jälkeen Bell sai monopolin vain pyytämällä sitä hallitukselta varmistaakseen kilpailukyvyn kaupunkilaisyhtiöitä vastaan. Mukaan tuli vaiheittain puhelinyhtiöiden sääntely. Toisaalla AT&T rakensi pitkänmatkanlinjat kaupunkien välille, mikä laski puheluhintoja ja operaattorien tuottojen myötä henkilöstäkin jouduttiin vähentämään. Kilpailu palasi 1990-luvulla sääntelyn poistuttua ja silloin saatiin myös ensimmäiset laajakaistat DSL-tekniikalla. Pienet operaattorit pärjäsivät paremmin ja pitivät verkoistaan huolta kehittämällä niitä, kunnes mobiilioperaattorit tulivat ja kahmivat asiakkaat. Niiden jäljiltä maaseutu jäi huonojen yhteyksien varaan. Nyt sitten laajakaistarahaa on taas jaossa ja kenties jonkinlaista kehitystä tulossa koko maahan.

Tulevaisuuden kehityksessä 6G-visio tulee ulos ITU:lta loppuvuodesta. Geopolitiikka uhkaa standardointia ja 5G-investointien takaisinmaksu hiertää operaattoreita. Kukaan ei tarvitse 6G:tä tai ainakaan emme kaipaa enempää sekasotkua, on operaattorienkin viesti. Voisi olla aika siirtyä 10-vuotisista G-sykleistä jatkuvien pienempien päivitysten malliin. Ongelma on vaan rajoituksessa, jota ei saa ilman vetäviä G-siirtymiä. Taajuuslisensoinnissakin voitaisiin katsoa peiliin ja privaattiverkkojen taajuuksien kanssa malli saattaakin muuttua. Isoilla valmistajilla tuntuu olevan vaikutusvaltaa kehityksessä ja standardoinnissa niin, että itse asiakastarve unohtuu. 6G:ssä moni haluaa olla johtaja ja teknologiavalinnoista saattaa tulla vaikeita. Kiinan lisäksi kehitystä voi nousta vetämään esim. Intia omalla ratkaisullaan.

Anuta Networks on mukana myös 5G-kentässä ATOM-automaatio-ohjelmistollaan, jonka amerikkalainen operaattori  on ottanut käyttöön 5G-standalone O-RAN -verkossaan. Anuta ATOM on yleispätevä automaatiotuote, joka käy myös kampus- ja konesaliverkkoihin. Elisan automaatioyksikkö tunnetaan nykyään nimellä Polystar ja se hakee nyt kasvua Googlen AI-alustasta kuten moni muukin operaattori. Viesti on masentava, Elisalla on ollut maine innovoijana, mutta mitään ei voi, eteenpäin ei pääse ilman amerikkalaista teknojättiä. Kasvua on haettava ja sijoittajia ei kiinnosta onko takana Google vai mikä.

Telenor on pattitilanteessa Myanmarissa kun sitä vaaditaan aktivoimaan pakollisia liikenteen seurantalaitteita, jotka ovat taas Telenorin kannalta Norjan ja EU-sääntelyn piirissä. Toimintaa on mahdoton jatkaa ja huoli asiakastietojen joutumisesta armeijajuntan käsiin on ollut aiemmin kynnyskysymys toimintojen myynnissä. Sijoittajat edellyttävät nyt asiakastietojen suojaamista. Myynti näyttäisi toteutuvan niin, että libanonilainen M1-group liittoutuu paikallisen yrityksen kanssa ja täyttää näin juntan asettamat vaatimukset. Ericssonilla taas on epäselviä maksuja Irakissa ja se on saattanut rahoittaa ISIS-terroristeja. Ericssonilla on alla 17-vuotinen Lähi-Idän ja Aasian lahjusskandaali, joka sovitiiin USA:ssa miljardin korvaussummalla. Nyt kuitenkin uusi lahjusepäily rikkoo tuota sopimusta.

Yritysten Q4/2021-tuloksia voi seurata kootusta operaattori- ja pilvituloskatsauksesta.

Pilvi ja konesali

IT:n keskittäminen saavutti huippunsa viime vuonna ja nyt suunta on jälleen hajautuminen. Edge tulee ja paikalliset alle 10 ms päässä olevat metrosaitit lisääntyvät. Pienemmät toimijat yrittävät kahmia markkinaa Equinixin kaltaisilta isoilta toimijoilta. Julkisten pilvien alueet eivät ole riittävän lähellä toisiaan ja tarvitaan Outpost, Arc tai Anthos levittämään palvelu lähelle käyttäjää. Julkinen pilvi ei suoraan menetä markkinaosuuttaan, vaan se laajenee. Monipilven todellisuus tapahtuukin ehkä kolmannen osapuolen tiloissa ja dinosauruksiksi ajatellut palvelinvalmistajat ovat yhtäkkiä taas mukana pelissä SaaS-palveluillaan. Niillä on kokemus pienemmistä hajaantuneista ympäristöistä, mikä vastaa uuteen tarpeeseen. Infrasta ja arkkitehtuurista tulee hienojakoisempaa ja yhdisteltävämpää, ja niitä voidaan käyttää luovemmin palveluiden toteuttamiseen. Hajautumiseen toki vaaditaan myös pilvinatiivit sovellukset, mikropalvelut ja kontit. Multiprem-termi alkaa näkyä ja kuulua useissa paikoissa.

Omat konesalit säilyvät suuryrityksissä vielä pitkään ja matka hajautuneempaan pilveen on vaikea. Liiketoimintakriittisiä sovelluksia pitää uusia ja pilvi on yhtälailla realistinen vaihtoehto niiden toteutukseen. IT vain pitäisi pystyä pitämään alustariippumattomana, yhdenmukaisena ja hallittavana. Cloudboltin tutkimus vahvistaa näkemystä, että pilven kasvu on törmännyt seinään. Työkalut eivät enää riitä saamaan hyötyä irti eksponentiaalisesti monimutkaistuvista pilvipalveluista. Varsinkin monipilvi vie pilvipalvelut hajoamispisteeseen, jossa vaadittaisin uudenlaisia työkaluja pilvien näkyvyyteen, optimointiin, tietoturvaan ja palveluiden vakiointiin ja yhdenmukaisuuteen. Toisessa kyselyssä pilven suurin ongelma tuntuu olevan resurssien tehokas käyttö ja sopivan alustan löytäminen. Ennen pandemiaa panostettiin tietoturvainvestointeihin, mutta taloudelliset realiteetit pudottivat tietoturvan hännille. Nyt tavoitteet ovat olleet ketteryys, vaatimuksenmukaisuus ja suorien tuottojen hakeminen pilvestä.

Suomessa tietosuojavaltuutettu alkaa selvittää julkisen sektorin pilvipalveluiden käyttöä ja tietosuoja-asetuksen noudattamista osana EU-kartoitusta. Selvityksellä pyritään saamaan tietoa miten henkilötietoa käsitellään pilvessä ja minkälaisiin ongelmiin on törmätty. Kartoituksen pohjalta pyritään muodostamaan parhaita käytäntöjä henkilötiedon käsittelyyn ja varmistamaan tietosuojan taso.

Edge-konsepti on totisesti alkanut levitä. AWS on avannut Local Zonet Helsinkiin osana 32 kaupungin laajennusta. Käyttäjien joukossa on mainittu Supercell. Myös Equinix on julkaissut edge-palvelunsa Suomessa. Palvelu sisältää virtuaalikoneita Equinixin verkossa ja niihin voidaan liittää muita Equinixin palveluita. F5 taas on julkaissut oman pilvialustansa ostamansa Volterran avulla. Palvelu tarjoaa sovellusjakelua ja -tietoturvaa. Nyt voi kysellä missä Microsoft ja Google menevät? AWS Cloud WAN:n arkkitehtuuri, toteutusmallit ja roadmap on esittelyssä The Routing Loop -kanavalla.

Cloudflaren tulos kasvoi 54%, mikä on enemmän kuin pilven kärkikolmikolla. Samalla tehtiin yritysostoja tietoturvaan: Vectrix CASB ja Area 1 sähköpostisuojaus tulevat vahvistamaan Cloudflaren SASE-palveluita. Cloudflaren R2:n perässä myös OVH tuo markkinoille oman object storage -palvelun. Akamai astuu merkittävän askeleen perinteisestä CDN:stä kohti pilveä ostamalla amerikkalaisen Linoden, joka on kehittäjäystävällinen pienempi pilvialusta. Cloudflare ja Akamai ovat siis nousemassa pilvikolmikon todellisiksi haastajiksi, mutta eivät varsinaisesti uhkaa toistensa liiketoimintaa. Tässä hyvä esimerkki miten jättiläiset eivät välttämättä luo todellista uudistumista, vaan se tapahtuu pienempien toimijoiden kautta. Iconiq valottaa raportissaan miten SaaS-yrityksen kasvu ja listautuminen tapahtuu.

Rackspacen asiakaspalvelutaso on pudonnut pohjalle viime vuoden lopulla tehtyjen suurten henkilöstövähennysten jälkeen. Käyttäjät eivät saa tukea, palveluita ei saa irtisanottua ja laskutus vaan jatkuu. Rackspace alkaa kuitenkin tarjota Cloudflaren tietoturvapalveluita asiakkailleen.

Kyberturvayritys Acronis avaa pilvikeskuksensa Helsinkiin. Tarjolla on kyberturvapalveluita osana maailmanlaajuista 111 konesalin ja 100 pohjoismaalaisen kumppanin verkostoa. Aika mahtavan kokoinen setti itselle tuntemattomalta yritykseltä. Decixin julkistuksen jälkeen myös Netnod on tulossa Suomen IXP-kentälle. Yhtäkkiä Suomen verkottumismahdollisuudet kasvoivat huomattavasti kansainvälisemmiksi. Yhdysliikennepisteiden laajentuminen on varmasti myös vastausta pilven laajenemiseen. Tampereen TREX on laajentunut uusilla jäsenillä ja liikenne on pandemian aikana kaksinkertaistunut. Mukaan ovat tulleet Globalconnect ja Telia, ST1. Ficix laajentaa pääkaupunkiseudulla Telian HDC:hen ja Equinixin saliin.

Tallinnassa avattiin Baltian suurin konesali GDC, joka kooltaan 14500 neliötä ja kapasiteetistaan 31,5 MW. Virolle tämä laitos on askel modernimpaan infraan ja laadukkaampiin palveluihin. Kooltaan se on melko iso, vaikka esim. Telian HDC on pinta-alaltaan yli kaksi kertaa suurempi. Sisään voi kurkistaa videokierroksella.

Ilmiselvien energia- ja materiaalikysymysten lisäksi konesaleilla on hoidettavanaan myös äänihaittoja. Konesaleista lähtee äänisaastetta esim. jäähdyttimistä, tuulettimista, generaattoreista ja kovalevyistä, mikä voi aiheuttaa lyhyt- tai pitkäaikaisia psykosomaattisia oireita lähistön ihmisille. Ilmastonmuutoksen kannalta on ironista, että muutosten ennustamiseen tarvitaan kaikkein energiansyöpöimpiä tietokoneita. Simulaatiosta voit katsella miten talosi tuhoutuu myrskyssä. Joka tapauksessa olemme siirtymässä klassisesta Mooren laista SysMoore-aikaan, jossa laskentateho 1000-kertaistetaan takaisin eksponentiaalisen kasvun käyrälle. Kustannukset kuitenkin nousevat ja komponenttien paketoinnissa pitää tapahtua kehitystä, jotta datan siirtely laskentayksikön sisällä onnistuisi. Tätä varten perustettiin elektro-optinen Gen-Z -teknologia, jota HPE ja Dell ovat ajaneet eteenpäin. Silicon-fotoniikkaa kehittävät mm. Intel-Barefoot-Broadcom -leiri ja nyt Startup Ayar Labs yhdessä HPE:n kanssa.

Kyberturvallisuus

Gartner on listannut hypekäyrältänsä pilvitietoturvan “pakolliset” teknologiat. Mukana on tietysti SASE, mutta myös SSE, SSPM ja CNAPP. Saat itse selvittää mitä nämä kirjainhirviöt tarkoittavat. Näistä teknologioista alkaa pikkuhiljaa harhaisuus karista ja siirrytään kohti valaistumisen ja käyttöönoton aikaa. Forcepoint oli ensimmäisten joukossa toitottamassa SASE-sanomaa ja nyt se rummuttaa SSE-mallia, joka on käytännössä sama kuin SASE ilman SD-WAN-osuutta. Forcepoint One yhdistää Bitglassin palvelut omiinsa yhdeksi paketiksi.

Paloalto jatkaa SIEM:n kuoppaamista, koska se ei ratkaise nopean havainnoinnin ja vasteen tarvetta. Tekoälyvastetta tuodaan uudella kamalannimisellä Cortex XSIAM -tuotteella. Arista leipoo kattavamman NDR-toiminnon mukaan kytkimiinsä AVA-teknologian avulla. Kytkimet syöttävät flow-tietoa kattavampaa L2-7-tietoa Nucleus-analysaattorille, joka pureksii tekoälyn avulla esiin uhkia ja tekee korjauksia. Juniper on julkaissut pilvipalomuuripalvelunsa Secure Edge. SRX-muurit voi nyt yhdistää pilvipalveluun tai ottaa koko palomuurin pilvestä. Samalla hankittiin Witesand pääsynhallintavalmistaja vahvistamaan zero trust -toteutuksia. NAC:n ongelma on ollut hankala hallinta ja Witesand yrittää modernisoida sen pilvipohjaisella hallinnalla. Mistifiointi varmasti odottaa tätäkin palvelua ja Juniper vahvistaa tuotepalettiaan jälleen yritysverkon puolella. Nämä ovat konkreettisia merkkejä, että verkko ja tietoturva yhdistyvät samoihin tuotteisiin ja yritykset ovat valmiita niitä käyttämään.

Netskope ilmoittaa laajentaneensa privattipilvialustansa yli 50 alueelle. Cato tähtää listautumiseen ja suunnittelee lisäävänsä työntekijämäärää 40%:lla. Myös Cato panostaa palveluntarjoajiin kuten muutkin SASE/SD-WAN -valmistajat. Paloalto parantaa SASE:n palveluntarjoajaominaisuuksia tuomalla pilivhallintaan hierarkisemman rakenteen ja avoimen API-rajapinnan palveluiden provisiointiin. Palveluita voi helposti tarjota asiakkaille valmiiksi määriteltyinä kokonaisuuksina ja esim. identiteettihallinnan saa tehtyä keskitetysti.

Microsoftin huhutaan havittelevan Mandiantia, jonka arvo on reilut 4 miljardia dollaria eli 0,06 Activisionia. Tietoturvassakin kuitenkin raha liikkuu ja yksisarviset lisääntyvät. Viime vuonna 30 yritystä nousi tähän yli miljardin dollarin arvostuksen kategoriaan. Hyppäys on suuri kun vuonna 2020 yksisarvisia tuli vain kuusi. Myös sijoitukset tietoturva-alalle kasvoivat yli tuplaksi viime vuoden aikana.

Netsecopen on avoin tietoturvalaitteiden testausmenetelmä, joka perustuu RFC-draftiin NGFW-suorituskyvyn mittauksesta. Muutamia sertifioituja tuotteita löytyykin jo Paloaltolta, Fortinetiltä, Juniperilta, Ciscolta, Sonicwallillta, Watchguardilta ja Trendiltä. Firewalla on itselle tuntematon kotipalomuurimerkki, joka tunnetaan värikkäistä design-laatikoistaan. Uusin malli on Purple.

Zero trust on kovassa hypessä, mutta käytännön toteutus on vaikeaa. Tuskin kukaan on saanut toteutusta täysin kattavaksi, eikä varmaan koskaan saakaan. Ei edes zero trustin pioneeri Google seitsemän vuoden käyttöönoton aikana. Aina on poikkeuksia, jotka eivät istu malliin, ja uusia järjestelmiä tulee integroitavaksi niin, että homma on aina kesken. Siihen on vaan totuttava. Parempi kuitenkin tehdä jotain. Googlen BeyondCorp-malliin kuuluu käyttäjän ja laitteen luottamus ja sovelluspolitiikka. Näistä laite on vaikein osuus ja laitteista tarvitaan ensinnäkin kattava inventaariotieto. Laitteelle heitetään tarvittaessa autentikointihaaste, mutta laitteesta ei lopulta voi paljon päätellä. Laiteautentikoinnin lisäksi käyttäjä autentikoidaan vahvasti ja segmentoidut sovellukset pakottavat omat politiikkansa. Sovellusten käyttöä valvotaan koko ympäristön laajuudelta. Kuulostaa yksinkertaiselta, mutta käytäntö on paljon paljon monimutkaisempi. Googlen mukaan yksinkertaiset temput tehoavat: MFA leikkaa murrot puoleen ja siksi SaaS-palveluiden kannattaa pakottaa MFA päälle oletuksena.

Internetin porttiskannausen aktiivisuutta voi seurata SANS Internet Storm Centeristä. Vmware varoittaa, että Linux-hyökkäykset ovat yleistymässä, koska ne ovat tehokas väylä IT-infraan. Iranilaisten valtiollisten hakkerien on todettu käyttävän hyväkseen päivittämättömiä Vmware Horizon -palvelimia. Kymmenen vuotta sitten luotu Linuxin takaovi Bvp47 paljastui vasta nyt ja se pystyttiin yhdistämään NSA:n vakoilutyökaluihin, joita on käytetty hyvin kohdistuneesti vajaassa 300 yrityksessä. Takaporttia on olllut yleisissä Linux- ja Unix-jakeluissa kuten JunOS, FreeBSD ja Solaris. Github avaa Advisory-tietokannan yhteisön päivitettäväksi. Githubin tiimi on ylläpitänyt ohjelmistokomponenttien kattavinta haavoittuvuuslistaa, mutta nyt apua haetaan kehittäjistä, jotka voivat jakaa omat havainnot ja tiedot tietokannan kautta muille. Linux Foundationin tutkimus paljastaa, että ohjelmistojen inventaariolista SBOM helpottaisi ohjelmistokomponenttien välisien riippuvuuksien ymmärtämistä, haavoittuvuuksien löytämistä ja lisenssien hallintaa.

Tekniikka ja operointi

Bob Metcalfe tunnetaan Ethernetin keksijänä, mutta hänellä oli tärkeä aisapari David Boggs, joka kuoli nyt 71 vuoden iässä. Tietoverkkojen ja internetin perusteita voi kahlata avoimesta kirjasta, joka on päivitetty kolmanteen versioon. BGP-opetusmateriaalia löytyy kattavasti NSRC:n sivulta. Kentik on tuonut markkinoille BGP-valvontatuotteen. BGP-kaappausten havainnointiin on olemassa avoimen koodin työkaluja kuten Artemis. BGP-toolsiin on lisätty anycast-havainnointi, joka tunnistaa anycast-osoitteet havaitessaan saman osoitteen useammassa valvontapisteessä. Havaintojen mukaan suurimmat anycastaajat ovat AWS, Cloudflare ja Incapsula. Anycast-osoitteet on myös kerätty listoille. Anycast-tekniikkaa ja sen käyttömahdollisuuksia valotetaan Maxin blogissa.

Justin Pietsch on jatkanut BGP-daemonien testaamista ja edennyt kaupallisiin versioihin. Lisenssiehdot ovat tulleet vastaan. Juniper on antanut luvan julkasita tuloksia cRPD:stä, mutta Aristan cEOS-tuloksiin ei ole julkaisulupaa. Ivan Pepelnjak kumoaa BGP route-reflectorin ja cluster-id:n myyttiä. Cluster-id käsitetään yleensä BGP-päivitysten  luupin estoksi, mutta enemmänkin kyse on päivitysten määrän vähentämisestä.

Taas yksi esimerkki standardoidusta epäyhteensopivasta tekniikasta on SRv6. Osa ominaisuuksista on standardoitu, osa ei. Työtä tekevät eri työryhmät. Lopputuloksena valmistajat tukevat SRv6:n erilaisia ominaisuuksia ja yhteensopivuus ei ole lainkaan taattu. MPLS tekniikkana herättää tunteita puolesta ja vastaan. VXLAN on syönyt MPLS-enkapsuloinnilta sijaa overlay-tekniikkana ja WAN-verkoissa SD-WAN on korvannut MPLS-VPN -palvelua. MPLS syntyi Yakov Rekhterin ja Eric Rosenin ideoista juuri yritysverkkojen tarpeisiin. MPLS-VPN ratkaisi operaattoreille tärkeän operatiivisen ongelman asiakasyhteyksien toteuttamisessa skaalautuvasti. MP-BGP toi mukaan monipuolisen moniprotokollareitityksen ja sitä onkin laajennettu jatkuvasti uusiin käyttötarkoituksiin. Aiemmin MPLS-VPN ratkaisi yritysyhteksien ongelman, mutta nyt juna on kääntynyt SD-WAN:iin ja IPSec-tunnelointiin internetin päällä. MPLS on ainakin omasta mielestä tekniikkana hyvä, yksinkertainen ja skaalautuva. MPLS toimii operaattoriverkon virtualisoinnissa hyvin, mutta palveluiden ja asiakkaiden yhdisteltävyys voi olla huono. Yrityskäyttäjille se näkyy jäykkänä ja raskaana tekniikkana, ja siksi SD-WAN tuntuu houkuttelevalta.

Netris on tuore konesaliverkon automaatiosoftan kehittäjä. Michael Kashin on rakentanut demon Netriksellä abstraktoidusta EVPN-palveluiden orkestroinnista. Toinen esimerkki on Netriksen omasta blogista, jossa kerrotaan miten palveluiden gateway voidaan vaihtaa sulavasti eli toteuttaa inframuutoksia asiakkaan ympäristöön joustavasti.

Verkkoa määritellään yleensä kapasiteetin mukaan. Vaikka linkin 10G-kapasiteetti olisi määrällisesti riittävä, siirtonopeus voi silti kasvaa kun linkin nopeus nostetaan isommaksi. Siirtonopeus kasvaa ja viive pienenee. Tämä voi näkyä esim. levypalveluissa nopeampana vasteaikana. Multipath Datagram Congestion Protocol MP-DCCP on monikanavaprotokolla tiedonsiirtoon viiveherkille sovelluksille epäluotettavassa verkossa. Käyttökohde on mobiilin ja kiinteän yhteyden yhdistelmäverkoissa.

Vaikka liikenne olisi verkossa salattua, siitä jää metadataa mm. liikennemääristä, pakettien koosta ja ajoista. Metatiedoista voidaan vakoilla verkon käyttöä. Ditto on tutkijoiden kehittelmä WAN-liikenteen obfuskointiohjelma P4-ohjelmoitaville kytkimille. Sillä voidaan linjanopeudella sekoittaa metatietoja yhdessä linkissä 70 Gbps -nopeuteen asti. Ohjelma lisää täytettä paketteihin ja luo hämäyspaketteja. P4-ohjelmoitavilla kytkimillä voidaan tuoda tekoälyä myös kytkimien sisälle. Näin saadaan esim. poikkeuksien havainnointi tuotua suoraan linjalle.

Pakettien välityksessä laitteen TCAM tekee taikoja, kun pakettien mätsäämiseen pitää käyttää monimutkaisia hakuja. Valmiit bittimaskit tallennetaan TCAM-muistiin, josta ne ovat käytettävissä yhdellä haulla nopeasti. Epäsuorat rekursiiviset haut ovat vieläkin monimutkaisempia. Aikoinaan ne olivat liian vaikeita raudalla toteutettavaksi, joten keksittiin, että tiedot voi laittaa välimuistiin. Cache-based forwarding lähti Ciscolla Fast Switchingistä ja kehittyi rautapohjaiseksi CEF:ksi. Välimusitiin tallentamista on viety vielä pidemmälle esim. LISP:llä, jota Cisco SDA käyttää.

Kuormanjako oli aikoinaan Ciscon leipälaji, mutta eipä enää. Ensimmäinen tuote oli Localdirector, joka tuli Ciscolle NTI-oston myötä. Tuote ehti markkinoille juuri ennen F5:sta 1996. Kolmas sen aikainen valmistaja oli Hybraweb, josta en ole koskaan kuullutkaan. AOL kuitenkin esti kuormanjaon toimivuuden Megaproxeillaan, jotka piilottivat tuhansia käyttäjiä saman ip:n taake ja hajottivat sessioden pysyvyyden. Arrowpoint ratkaisi asian cookieilla ja L7-kuormanjaolla. Cisco ei kehittänyt omaa tuotettaan, vaan osti Arrowpointin vuonna 2000. Siitä tuli CSS-tuote ja senkin Cisco antoi hapantua nurkkiin. F5, Netscaler ja muut ajoivat ohi. F5:n iRulet ovat olleet jotain ainutlaatuista, mihin Cisco ei pystynyt. Ciscolta tuli vielä CSM, josta tuli ACE, mutta menestystä ei koskaan tullut. Vuonna 2013 Cisco lopettu kuormanjakajat. 

Verkon protokollat ovat yleensä melko historiallisia ja niissä ei ole aina osattu ottaa tietoturvanäkökulmaa huomioon. Valmistajat voisivat kuitenkin tehdä toimivista ja turvallisista asetuksista oletusasetuksia, jotta laitteiden käyttöönotossa ei tarvitse lukea kovennusoppaita. Asia ei aina ole niin yksiselitteinen. Esim. ICMP redirect on yleensä haitallinen ominaisuus, mutta RFC 1812 IP reitittimen asetuksista vaatii sen olevan päällä. Joissakin Ciscon kytkimissä vlanit 1002-1005 on edelleen varattu FDDI:lle ja Token Ringille. Jos et halua Catalystiä verkkoon, ota nämä vlanit käyttöön.

Ubiquitin pilvipalvelun monitorointiosoite ping.ui.com viittaa Clouflaren ja Googlen DNS-palveluiden osoitteisiin 1.1.1.1 ja 8.8.8.8. Aika kyseenalaista laittaa oman palvelun valvonta ulkopuolisen tahon DNS-palvelimen osoitteeseen. Samaa tekee kuulemma Meraki. Itsekin olen todistanut sitä, että ulkopuolinen yritys on laittanut palvelunsa valvonnan pingaamaan jotakin toisen yrityksen palvelun ip-osoitetta. Kun pingattava palvelu on sitten siirretty toiseen ip-osoitteeseen tai poistettu käytöstä, valvonta on hajonnut ja yritykselle on tullut pyyntöjä palauttaa vanha ip toimintaan.

1.1.1.1 ja muut “helpot” julkiset ip-alueet ovat valitettavan yleisiä konfiguraatio-ohjeissa ja muissa materiaaleissa. Toisten julkisia osoitteita päätyy verkon konfiguraatioihin ja ne voivat vahingossa kaapata oikeaa liikennettä itseensä. Ben Cox on tutkinut kuinka paljon vääriä osoitteita näkyy internetissä. Kirjoitusvirheet näyttävät olevan melko yleisiä ja privaattiosoite vääntyykin julkiseksi. Viime vuonna USA:n DOD laittoikin omat isot blokkinsa mainostumaan julkisesti arvattavasti siksi, että he eivät halua turhaan pitää isoja osoitealueita kaapattavina. Tutkiskelun perusteella näyttä, että AWS:n VPC:eissä 16% julkisista osoitteista on DOD:n avaruudesta vallattuja osoitteita. Akamain ohjeen mukaan ip-osoitteita ei pitäisi sitoa tokeneihin esim. sisällönsuojaustarkoituksessa. Internetissä käyttäjän ip-osoite voi muuttua tai osoitteita voi olla monia, esim. NAT:n, ipv4/6 dual stackin, VPN-palveluiden, yksityisyysasetusten, verkonvaihdosten, proxy-palvelinten tai striimien castauksen vaikutuksesta.

Automaation hyöty on helppo menettää tiedon keräämisen puutteisiin. Manuaalinen tiedon haaliminen kasaan sieltä täältä ei ole toimiva tapa ja se estää automatisointia toteutumasta kunnolla. Tärkeää olisi saada tiedot kerättyä yhteen paikkaan, josta on sitten helppo ottaa kuva kulloisestakin verkon tilanteesta.

Microsoft tuo Linuxista tutun eBPF:n myös Windowsille. EBPF:ää voi käyttää myös ohjelmoitavissa verkoissa, joissa sen avulla voi valita mitä sovelluksia ajetaan missäkin alustassa ja softamodulissa. Sonic DASH voi hallita koko kytkimien, verkkokorttien ja muiden laitteiden muodostaman verkon ohjelmoitavaa datapolkua eBPF:n avulla. DASH voi jatkossa pyöriä myös Windowsissa. Windowsin modulaarinen ajurirakenne antaa mahdollisuuksia laajempaan eBPF:n käyttöön kuin Linux.

Dockerin ja verkon toimintaa selitetään Dockerin blogissa. Kontit ovat mikropalvelumaailmaa ja on hyvä muistaa, että konttien ja Kubernetesin kanssa vikasietoisuus perustuu uuden palvelun käynnistämiseen, jonka sovellus hoitaa. Virtuaalikoneita ei tarvitse siirtää mihinkään, eikä verkossa tarvitse rakennella palveluille HA-himmeleitä.

Pakettiverkkojen tekniikkaa voidaan hyödyntää myös sähköverkkojen ohjauksessa. Paketointi ja satunnaistaminen voivat ratkaista sähköverkkojen skaalautumisen tulevaisuudessa, koska käyttöä saadaan ohjattua tasaisemmin pienemmissä “paketeissa”. Ohjelmoinnissa taas voi säästää energiaa valitsemalla sopivan kielen. Viiden vuoden takainen tutkimus vertailee eri ohjelmointikielten energiankäytön, suoritusajan ja muistinkäytön määriä. C ja Rust näyttävät olevan tehokkuudessaan hyviä, Python taas ei. Charity Majors muistuttaa, että työkalujen vaihtamisen täytyy olla perusteltua ja hyöty merkittävä, ennen kuin vaihtoa on edes syytä harkita.

Packet Pushers avasi ennen maksullisen sisällön avoimeen jakeluun. Sieltä löytyy monenlaista kirjaa, valkopaperia ja blogia luettavaksi.

Yritykset ja tuotteet

Infosysin kyselyn mukaan teknologia ei ratkaise yritysten tehokkuustavoitteita. Teknologiaa on lisätty agressiivisesti tekoälyä myöten, mutta digikypsyys on saavuttanut jonkinlaisen huipun ja nyt tehokkuus ei enää lisäänny. Aiemmin ketterät pilvitalot menestyivät, mutta enää eivät. Vähemmän tekniset yritykset ovat jopa hieman tehokkaampia kuin muut. Nyt katse pitää siis kääntää teknologian käyttöön painopisteenä ihmiset ja toiminta. Ja ihmisethän osaavat olla itsekkäitä. Nyt olemma tulleet siihen pisteeseen, että työnhakijat haluavat itselle sopivat välineet työntekoon. Microsoft ja muut kömpelöt jättiläiset aiheuttavat huonoja viboja ja niiden kanssa ei saa sopivaa ilon tunnetta ja intohimoa. Väärät sovellukset voivat karkottaa potentiaaliset kanditaatit.

Suomen IT-kentällä Mintly hakee kasvua siirtymällä MB-sijoitusrahaston omistukseen. Advania ostaa Valtin ja jatkaa voimakasta kasvuaan Suomessa. Pohjois-Pohjanmaan sairaanhoitopiiri PPSHP ulkoistaa ICT-infran ja peruspalvelut Istekille, ja samalla Istekille siirtyy 36 asiantuntijaa. Poliisin ICT-menoista saatiin selvitys. Menot ovat kasvaneet ja käyrä on jyrkkä. Silti investointivelkaa on paljon. Maksut Valtorille ovat kasvaneet lähes 60% kolmessa vuodessa ja IT-hankkeita on epäonnistunut. Vanhentunut tekniikka uhkaa jo tietoturvaa. Suunnitelma on tehty kokonaisvaltaiselle uudistumiselle 5-6 vuoden aikana. “ICT maksaa aina ihan hervottomasti“, joten isot rahat ovat tarpeen. Poliisin luova budjetin käyttö herättää kysymyksiä, onko tämä rahojen siirtely eri käyttötarkoitusten välillä julkisen sektorin tapa? Ainakin valtion rahoitus voi helposti hämärtää liiketoiminnan syy-seuraus  -suhteet.

Asiantuntijoiden ongelma on monesti osaamattomuus liiketoiminta-asioissa. Tekninen velka painaa ja uusintatarpeet eivät löydä budjettia ilman yhteistä kieltä ja kunnon perusteluja. Teknisille ja operatiivisille parannuksille pitäisi pystyä löytämään hinta ja hyöty kuten talousasioissa. Johtajia ei kiinnosta jos homma kestää pidempään tai on vaikeampaa, heitä kiinnostaa lopputulokset, tehostaminen ja hyödyt. Siispä käännetään keskustelu rajallisten resurssien investointiin. Ehdotus, jolla on selvä rahallinen vaikutus ja takaisinmaksusuunnitelma, on tehokkain. Investoinnit ovat positiivinen asia ja takaisinmaksu ratkaisee.

Nokia on päässyt takaisin radalle pitkän kyntämisen jälkeen. Siksi onkin aihetta miettiä oliko Alcatel-Lucent -kauppa järkevä. Suomen suurimmassa yrityskaupassa Nokia sai osaamista, tuotevalikoimaa ja markkina-aseman Pohjois-Amerikassa. Paperilla kaikki näytti hyvältä, mutta käytännössä yhdistymisen kitka veti Nokian seitsemäksi vuodeksi rämpimään Alcatel-Lucentin ailahtelevan keskusjohtoisuuden kanssa, ja kilpailijat menivät sillä välin ohi. Ilman yrityskauppaa Nokia olisi voinut joka tapauksessa menettää asemansa kilpailijoille tai se olisi voitu myydä. Markkinat ovat myös vuosien mittaan muuttuneet. Viimeisten vuosien 5G-aikana Nokian juna on saatu käännettyä ja viimeistään nyt Lundmarkin johdossa tulosta on alkanut syntyä.

MIT:n kyselyn mukaan myrkyllinen ilmapiiri on selvästi suurin tekijä, joka ajaa ihmisiä pois työpaikoista. Palkka ei niinkään ratkaise. Hyvien suoriutujien palkitsemisen puute on myös vahva ennuste työtekijöiden lähdölle. IT-alan uusi trendi on ottaa työntekijät yrityksen omistajiksi. Tämä toimii niille vanhemmille osaajille, jotka eivät ole kiinnostuneita pingispödysitä ja ilmaisista juomista. Tietoturva-alalla tietysti jaksaminen on muutenkin rankkaa kun työmäärä ja vastuu kasvavat jatkuvasti. Rankkuutta lisää se, että vastassa on jatkuvasti uuden tyyppistä uhkaa ja asiaa, joista aivot eivät tykkää. Tyypillisesti ihmiset yrittävät vaihtaa parempiin hommiin saman alan sisällä. Pieni osa uupuu ja palaa loppuun. Ihmisillä on stressiä, epävarmuutta ja pelkoa, joten olisi kaikkien kannalta hyvä myöntää asiat niin kuin ne ovat, ja lopettaa leikkiminen, että kaikki on hallinnassa.

Verkkolaitteiden toimitusajoissa ollaan edelleen ongelmissa ja tilanne kestänee ainakin 2023 alkupuolelle. Entiset viikkojen toimitusajat ovat venyneet jopa yli 430 päivän pituisiksi. Tilanne vaikuttaa kaikkiin valmistajiin, mutta eri tavalla. Parempia ja kalliimpia laitteita voi saada helpommin. Vaihtoehtona voi yrittää löytyy käytettyjä laitteita tai optimoida olemassa olevien laitteiden käyttöä. Ukrainan sota vaan lisää ongelmia, koska Aasian lentoreitit kulkevat pitkälti Venäjän yli.

Cisco ja Aruba ovat molemmat yhdistäneet privaatti-5G:n ja wifin samaan pakettiin yritystuotteeksi, jota palveluntarjoajat voivat myydä asiakkailleen. Kummallakin on kumppaneina JMA Wireless ja Airspan, jotka yhdistetään yritysten omiin wifi-tuotteisiin. Aruba väittää olevansa Ciscoa edellä NaaS-tarjoamassaan, mutta yrityksillä on ollut hieman erilainen lähestymiskulma palveluun. Markkinassa on kuitenkin nähtävissä jakautuminen isoihin yrityksiin, jotka haluavat parhaat tuotteet eri valmistajilta, ja pienempiin yrityksiin, jotka haluavat verkon ja tietoturvan yhdessä paketissa. NaaS:n osalta käyttäjät odottelevat vielä sopivaa tuotetta. Mmarkkinapaikka voisi olla jonkun uuden tulokkaan otettavissa. Myös Vmware muuntaa kaikki tuotteensa SaaS-malliin.

Cisco on tarjonnut Splunkista 20 miljardia dollaria. Muuta kommenttia asiasta ei irtoa. Robbinsin mukaan joka ostoksen yhteydessä tarkastellaan 10-15 yritystä. Ostoslistalla tuntuu olevan näkyvyys- ja tietoturvatuotteita. Splunkin hintalappu on kova ja kauppa ei vaikuta todennäköiseltä. Pienemmät yritykset, jotka täydentävät Thousandeyeysiä ja Appdynamicsia sopisivat Ciscon strategiaan paremmin. Muina vaihtoehtoina Splunkille on nähty mm. Devo, Exabeam, Cribl, Observe tai Gigamon. Splunkin kanssa raskaassa sarjassa pyörivät myös Dynatrace ja Datadog, mutta niistä puuttuisi tietoturvaosuus.

Citrixin taru saattaa saada käänteen uuden omistusjärjestelyn myötä. Vuosi 2020 oli vielä tulokseltaan hyvä, mutta viime vuonna Citrixin tulos tippui lähes puoleen. Mikä meni pieleen? Suunta katosi kun pitkäaikainen toimitusjohtaja ja visionääri Mark Templeton lähti 2015. Hän toi taloon mm. aikoinaan menestyksekkään Netscalerin. Johtajia on sen jälkeen mennyt ja tullut, strategia on ollut epäselvä, ja siirtymä pilveen ja SaaS:iin ei ole onnistunut. Tibcon kanssa Citrix pääsee nyt pilveen, mutta yhteistä tarjoamaa ja hyötyä ei silti taida oikein löytyä. SASE:n ja SD-WAN:n myyminen sovellusvirtualisoinnin asiakkaille voi olla vaikeaa, koska tarpeet ovat erilaiset. Siksi Citrixin puolelta voisikin nousta uusi verkkotuotteisiin erikoistunut yhteisyritys.

Uudet verkkovalmistajat Drivenets ja Arrcus molemmat väittävät ottavansa markkinaosuuksia Ciscolta ja Juniperilta. Drivenets tunnetaan pilvinatiivista ohjelmistostaan ja Arrcus on perinteisempi käyttöjärjestelmävalmistaja. Hallintaan ja operoitavuuteen on kiinnitetty huomiota. Hyökkääminen rautavalmistajia vastaan on turhaa, koska jossain alustassa softaa on ajettava, ja softaratkaisu tuskin on kokonaisuudessaan sen halvempi käyttäjälle kuin rautaan perustuvakaan. Joustavuutta kenties tulee lisää, jos sitäkään. Cisco on uudistanut Catalyst-sarjaa 9500/9500X-malleilla, jotka perustuvat Silicon One Q200 -ASIC:iin. Silicon One -perhe laajenee nyt siis yritysverkon puolelle, jossa tarvitaan joustavia ominaisuuksia. Siksi kytkimissä on P4-ohjelmoitava arkkitehtuuri, jota voi muokata monenlaisiin käyttötarkoituksiin. Pluribus on esitellyt seitsemännen polven kytkinohjelmiston avoimille kytkimille. Hallintaan on ympätty mukaan Kubernetes- ja flow-näkyvyystyökaluja ja virtualisoitu packet broker.

Ex-Ekahau, ex-Mist Jussi Kiviniemi on tullut ulos piilosta uuden yrityksensä kanssa. Hamina Wireless tekee radioverkon suunnitteluohjelmistoa, joka yhdistää wifin ja mobiiliverkon samaan tuotteeseen. Lorawan-verkkoa saa nyt Digitalta maailmanlaajuisesti The Thing Industries -yhteistyön kautta.

Ciscon Networking Academy jatkaa porskuttamistaan 24 vuoden jälkeenkin. Toiminta alkoi kun Cisco lahjoitti paikalliseen kouluun laitteita parantaakseen koulun toimintaa. Koululta kuitenkin tuli pyyntö, että he tarvitsisivat apua siihen miten laitteita käytetään. Ja Ciscohan vastasi pyyntöön. Nykyään koulutusohjelmaa vedetään 40% kunnallisista lukioista ja sen myötä koulutuksella on tasa-arvoistava vaikutus. Ohjelman antia on myös yhteistyö jatkokoulutuksen ja yritysten kanssa. Cisco sanoo kouluttaneensa alalle lähes 3 miljoonaa oppilasta 2005 alkaneen tilastoinnin jälkeen.

Uros on Suomen Theranos. Todellisuus menestyksen takana: 84 työntekijää, 15000 euroa rahaa kassassa, 20 miljoonaa velkaa, veronkiertoa ja kirjanpito tekemättä. Väitetty 1,3 miljardin liikevaihto tekisi yli 15 miljoonaa per työntekijä. Yrityksellä oli yksi tuote, johon liittyi sutkautus “tikku sisään, niin kuin uros tekee”.

Internet

OECD on julkaissut uudet laajakaistatilastot. Kuitu kattaa nyt 32% kiinteiden laajakaistojen tilauksista jäsenmaissa. Kasvua on 12% viime vuodesta. Tilastoista saa myös tarkempaa tietoa esim. levinneisyydestä, nopeuksista, käytöstä ja hinnoista. Nielsenin mittauksissa amerikkalaisten striimaus nousi kaikkien aikojen ennätykseen viime vuoden joulukuussa. Siirtotavat jakautuvat melko tasan kolmeen kaapelin, broadcastin ja striimingin kesken. Netflix on hyytynyt kasvussa ja Disney+ kasvattaa nyt eniten tilaajamääriään. Sillä on 130 miljoonalla tilaaja, kasvua tuli viime vuodesta 37%.

Merikaapelialan asioista tietoa jakaa Submarine Telecoms Forum. Sen sivuilta löytyy mm. kartta kaapeleista, raportteja, uutisia ja muita julkaisuja. Starlink yrittää parantaa kannattavuuttaan tuomalla markkinoille Premium-tilauksen, joka maksaa 500 dollaria kuussa. Parempaan ja taattuun nopeuteen vaaditaan myös parempi 2500 dollarin hintainen laitteisto. Kohderyhmää ovat yritykset. Yhteyden luvataan toimivan kovissa olosuhteissa, joten käyttökohteita voi löytyä äärimmäisistäkin paikoista. Tosin perusmallin lautasessakin on lumensulatustoiminto.

Starlinkin alkuhuuman jälkeen on noussut esille koko homman kannattavuus. Viimeisin 49 satelliitin laukaisu maksoi huhujen mukaan 60 miljoonaa dollaria. Siis yli 1,2 miljoonaa per satelliitti. Hinta toki laskee kun raketit kehittyvät, mutta silti satelliitin hinta on Muskin laskujen mukaan vähintään 200000 dollaria kappale. Satelliitin elinikä on 5-7 vuotta, joten niitä joudutaan syytämään taivaalle jatkuvasti. Myös maayhteydet voivat olla kalliita, varsinkin kaukaisilla alueilla. Palvelu on silti täytynyt hinnoitella niin, että se on kannattava pidemmällä tähtäimellä, vaikka nyt alkuun otetaankin tappiota.

Viimeisessä Starlinkin laukaisussa 40 satelliittia ei päässyt kiertoradalle kun geomagneettinen myrsky veti ne takaisin maan ilmakehään. Hienoa debristä voi katsella Puerto Ricon taivalla. Aurinkomyrskyt ovat tuttuja ja niiden vaaroista varoitellaan ajoittain. Tutkijat mallinsivat myrskyjen vaikutuksia internet-infralle ja väittävät, että merikaapelit ovat herkempiä myrskyn vaikutuksille kuin maakaapelit. Ala itse toteaa, että merikaapelit kyllä hyvin sietävät ulkopuolisia jännitteitä ja kaapelit ovat kestäneet hyvin aiemmat aurinkomyrskyt. Tutkimuksen mukaan DNS-infra on hyvin hajautettu, joten vaikutukset sen osalta olisivat pienet. Samoin Googlen konesalit on maantieteellisesti hyvin hajautettu. Aurinkomyrskyn vaikutukset olisivat sijainnin mukaan vaihtelevia. USA ja Eurooppa todennäköisesti menettäisivät yhteydet keskenään, mutta Euroopan sisällä lyhyet kaapelit olisivat varmatoimisempia.

Metaversumin hienoudesta tai huonoudesta antaa hyvää näkökulmaa Dave Tähtin esitys paremmasta tulevaisuudesta, johon voisi sisältyä enemmän tavaraa omalla koneella, enemmän avointa koodia, enemmän ipv6:sta, yksityispilviä ja tiedon ottaminen omaan hallintaan. Metaversumin osalta fysiikan rajat tulevat vastaan kun kokonaisvaltaiseen virtuaalitodellisuuteen vaadittaisiin vähintään tuhatkertainen laskentakapasiteetti. Tällähän on myös joku hintalappu ja on mielenkiintoista nähdä kuka näitä kuluja maksaisi. 5G voi toimia esimerkkinä miten investoinneille pitää löytää maksaja.

Kryptomaailmassa on nähty ovela huijaus, joka perustui BGP-reitityksen kaappaukseen. Korealaisen Klayswap-alustapalvelun infran reititys varastettiin väärällä AS-numerolla ja näin saatiin kehittäjäalustan liikenne kaapattua. Alustalla hostattiin integraatiosovellusta, joka kehittäjien piti ladata. Kehittäjät saatiin lataamaan haitallinen koodi, joka jäi odottamaan selaimeen maksun siirtoa. Siirron ilmaantuessa, rahat siirrettiin hyökkääjän lompakkoon. Kolmen tunnin hyökkäyksen aikana saatiin kerättyä melkein parin miljoonan dollarin arvosta kryptovaluuttaa. Juuri talous onkin web3-maailmaan hyökkääjiä houkutteleva piirre. Kehittäjien pitäisi nyt skarpata tietoturvassa ja olla kiirehtimättä huonosti koodatun tai haavoittuvan sovelluksen julkaisemisessa. Kehitys web3-maailmassa on avointa, joten toisten virheistä olisi helppo oppia. Ja näitä virheitä on tosiaan jo sattunut.

Tapahtumat

Apnicin Apricot 2022 -konferenssista löytyy paljon verkko- ja internet-asiaa. Samoin NANOG84-esityksistä.

Cloud Field Day CFP13 esitteli Netappin, Pure Storagen, Kastenin, Vmwaren, Metallicin, Stormforgen, RckN:n, Fortinetin tuotteita.

WLCP Phoenix 2022:ssa pidetiin 33 esitystä wifin maailmasta.

Taiwanin P4 Workshop esittelee ohjelmoitavien verkkojen innovaatioita.

Fosdem’22 tarjoaa pläjäyksen kehittäjäasiaa.

Kuukauden mainos

Jim Carreyn sähköputkimies on palannut ruutuun 26 vuoden takaa Verizonin uudessa 5G-mainoksessa, joka nähtiin Superbowlissa. Myös T-Mobile USA oli kisaamassa mainoshuomiosta väliaikashow:ssa Dolly Partonin ja Miley Cyruksen kanssa. Jopa analyytikot arvioivat mainoksia ja Verizonin putkimies voitti.

[FI] Tietoliikennealan katsaus 2022-01

Ongelmat

OP joutui palvelunestohyökkäyksen kohteeksi sunnuntaina 9.1.2022. Volumetrinen hyökkäys kaatoi op.fi-sivuston aamupäivän ajaksi. Kummastusta herätti nettisivun virheviesti ”221 2.7.0 Error: I can break rules, too. Goodbye.”, joka on kuitenkin postipalvelin Postfixin vakioviesti kun se ei vastaanota lähetettävää dataa. OP:n palvelu näyttää olevan Akamain suojauksen takana.

Andorrassa järjestetty pelistriimaustapahtuma johti palvelunestohyökkäykseen Minecraft-pelaajia vastaan ja sitä kautta aiheutti maan ainoan operaattorin internet-palveluihin katkoja koko viikonlopun ajan. Taustalla oli turnauksen iso palkintosumma ja ainakin kahdeksan pelaajaa eliminoitiin hyökkäyksellä pois.

Tyynellä merellä tulivuoren purkaus 15.1.2022 katkaisi Tongan merikaapelin ja eristi saaren kokonaan internetistä. Tonga on yli 30000 km pitkän kuituverkon varrella USA:n länsirannikon ja Australian välillä, ja se kytkeytyy vain yhdellä kuidulla verkkoon. Kaapeli katkesi noin 37 km rannikolta. Heti järistyksen jälkeen nähtiin ensin liikenteen väheneminen ja reilun tunnin jälkeen koko yhteys katkesi. Kenties vedenalainen maanvyöry katkaisi silloin kaapelin. Väliaikainen ja rajoitettu internet-yhteys Tongaan saatiin palautettua satelliitin kautta viikon päästä 21.1.

Merikaapelin korjaamiseen menee aikaa arviolta reilu kuukausi. Lähin korjausalus on TE Subcomin CS Reliance Papua-Uusi-Guinean Port Moresbyssä yli 4000 km päässä. Laiva oli matkalla vikapaikalle ja pitäisi olla siellä helmikuun alussa. Kaapelin korjaus kestää arviolta muutaman viikon. Jo kaapelin löytäminen voi olla vaikeaa tulivuorenpurkauksen jäljiltä. Kun sitten kaapeli löytyy, alus nostaa sen pinnalle ja väliin lisätään uusi pätkä kuitua. Liittäminen kestää jopa 16 tuntia. Sen jälkeen kaapeli lasketaan takaisin mereen ja pohjarobotti hautaa sen merenpohjaan. Reutersin jutussa on hyviä karttakuvia ja tietoa korjaustoimista.

Huippuvuorilla maailman pohjoisin merikaapeli SUCS katkesi 7.1.2022. Toinen kahdesta kaapelista jäi toimintaan, joten yhteys saarelle ei katkennut kokonaan. Katko on jossain 130-230 km päässä Svalbardista. Norjalaiset ihmettelevät mitä tapahtui ja epäilyt sabotaasista ovat vahvoja. Huippuvuorilla on puolustusyhtiö Kongsbergin satelliittiasema. Venäjä pitää sotaharjoituksiaan Irlannin lähellä, jossa on Euroopan konesali- ja merikaapelikeskittymä. Irlantilaiset kalastajat saivat venäläisharjoituksen siirrettyä kauemmas, mutta silti harjoitus on melko varmasti kaapelien lähellä. GIUK-väylä Grönlannin, Islannin ja Iso-Britannian välillä on strategisesti merkittävä alue sukellusveneille. Aiemmin pelätty Venäjän tiedustelualus Yantarin on nähty liikkuvan kaapelireittejä pitkin.

Merikaapelialalla on oma etujärjestönsäkin International Cable Protection Committee ISCPC, joka pitää huolta 97% maailman merikaapeleista 180 jäsenen ja 60 maan voimin. Kaapelikatkot ovat suurimmaksi osaksi luonnollisia, mutta laivoilla on kuitenkin suuri vaikutus niihin. Aasiassa Kiina kylvää konfliktia ja epäilys tahallisista vahingoittamisista kytee. Japani vahvistaa omaa kytkeytymistään muuhun maailmaan hajauttamalla kaapeleita, konesaleja ja muuta kriittistä infrastruktuuriaan eri puolille saaria. Intian osalta on ollut kolme yhtäaikaista kaapelikatkoa, joiden vaikutus on näkynyt Eurooppaan suuntautuvan liikenteen hitautena. Liikenne Intiasta Eurooppaan on kiertänyt Aasian ja USA:n kautta, joidenkin operaattorien välillä. Ranskassa tapahtui Bordeauxin SFR Netcenterin ulkopuolella iso kuitukatko, jossa 1600 kuitua meni poikki.

Maailman suurimpiin operaattoreihin kuuluva Verizon ei edelleenkään tee edes perus BGP-suodatusta. Se mainosti väärää tarkempaa reittiä Cloudflaren 1.1.1.0/24-verkkoon kohti Brasilialaista operaattoria, joka oli kaapannut ja vuotanut reitin Verizonille.

Iso amerikkalainen domain-rekisteri ja webbihostaaja Enom sössi konesalimuutoksen yhteydessä webbi- ja nimipalvelunsa alas 15.1.2022. Sen myötä asiakkaat eivät päässeet enää webbisivuilleen tai sähköposteihin. Tilannetta pahensi, että asiakas ei myöskään voinut tehdä DNS-muutoksia ja siirtää palveluita muualle. Asiakkaat olivat toimimattoman palvelun vankeina jopa 36 tuntia.

Robloxin tooosi pitkä katko viime lokakuulta sai vihdoin selityksen. Perusteellinen post-morten julkaistiin ja se sai laajan huomion mediassa. Robloxilla on oma infra, jossa on yli 18000 palvelinta ja niissä 170000 konttia ajossa. Työkaluina on käytössä Hashistack eli Nomad, Vault ja Consul. Tässä tapauksessa service mesh -tuote Consul oli ongelma. Sen suhteellisen uusi streaming-ominaisuus laukaisi bugin, joka aiheutti kuormituksen BoltDB:lle. Vian löytäminen oli vaikeaa kun taas kerran hallintatyökalut olivat vian vaikutuksen piirissä ja niiden käyttö oli estynyt. Vika löytyi viimein yhteistyössä Hashin kanssa. Robloxilla on nyt tarkoitus hajauttaa infra useampaan konesaliin ja availability zoneen, ja poistaa riippuvuuksia hallintatyökalujen ja tuotantoympäristön väliltä.

Operaattorit ja 5G

Telia ilmoitti, että 5G-liikenteen määrä ohitti 3G-liikenteen Suomessa viime vuoden lopussa. 5G-asiakkaat käyttävät mobiilidataa 40% enemmän kuin 4G-asiakkaat. Myös 4G-puheminuutit eli VoLTE ylitti perinteisen 3G-puheajan. Eli nyt voisi sanoa, että ip-puhe on valtavirtaa mobiiliverkoissa.

5G:n vaikutus käyttökokemukseen ei ole valtava. Harva näkee käytännössä mitään eroa megabittien määrässä. Suurin hyöty 5G:stä onkin uusien taajuuksien käyttöönotossa. 4G-verkot olivat pahoin ruuhkautuneita ja niihin kaivattiin lisää kapasiteettia ja kapasiteetin myötä voitiin myös kiinteitä laajakaistapalveluita tarjota laajemmin. Täysin toimiva 4G-saitti nähtiin vasta 2018 lopussa. 4G:n parantaminen markkinoitiin 5G-muutoksena, joka oli välttämätön. Tällä ei ollut oikeasti mitään tekemistä 5G:n kanssa, vaan operaattorit tarvitsivat vain lisää taajuuksia ja asia saatiin lobattua läpi paremmin vetävällä 5G-tarinalla. Sama markkinarumba on kohta käynnistymässä 6G:n kanssa.

5G-yksityisverkkojen markkina ja käyttökohteet ovat monimutkaisempia kuin ajatellaan. Dean Bubley tunnistaa markkinassa kolme kohderyhmää: kriittinen viestintä, mobiiliverkot sisällä ja pilvi-IoT-verkot. Näillä on toistaiseksi yllättävän vähän yhteistä. Ja oikeastaan kyse on enemmän 4G-verkosta kuin 5G:stä. AT&T:n näkemys on, että ala on kehittymässä kohti integroidumpaa tarjontaa, jossa asiakas ostaa kaikki yhteyspalvelut samasta luukusta. Operaattori on hyvässä asemassa jos pystyy tarjoamaan kaikki palvelut. Tämähän on nähty Suomessa jo vuosia sitten tietoliikennepalveluiden vahvana keskittymisenä operaatoreiden kylkeen. En nyt kuitenkaan tiedä onko tämä parantanut asiakaskokemusta.

USA:ssa alan sääntely tai sen toimimattomuus on saanut aikaan jupakan 5G:n C-taajuuksien käytöstä lentokenttien lähistöllä. Operaattorit ja valtion virastot ovat jo vuoden tienneet mahdollisista ongelmista 5G-taajuuksien vaikutuksesta lentokoneiden korkeusmittareihin, mutta asialle ei ole tehty mitään. Nyt AT&T ja Verizon ovat ottamassa taajuuksia käyttöön ja ongelma laukesi käsiin. Hämmentävää kyllä, mahdollinen ongelma koskee vain amerikkalaisia, koska siellä 5G:n taajuusalue on 3,7-3,98 GHz, joka on lentoalan mukaan liian lähellä mittareiden käyttämiä 4,2-4,4 GHz:n taajuuksia. Euroopassa 5G toimii alemmalla 3,4-3,8 GHz:n taajuudella ja varmuusvara on suurempi. USA:ssa on perustettu lentokenttien ympärille kieltoalueita, joilla 5G-tehoa on vähennetty vähintään kymmenkertaisesti. Ranskassa taajuudet on otettu käyttöön kevyin rajoituksin ja ongelmia ei EU-alueella ole.

Sääntelyyn vaikuttaminen ja oman edun ajaminen on operaattoreille iso kuluerä. USA:n kahdeksan suurinta operaattoria käyttivät viime vuonna 66 miljoonaa dollaria lobbaamiseen. 5G:llä ja laajakaistarahoituksella on ollut osansa.

Open RAN -markkinasta on nyt eriäviä mielipiteitä. Dell’Oro näkee kehityksen positiivisena. O-RAN on saanut kunnolla jalansijaa ja se voisi saada n. 15% markkinaosuuden vuoteen 2026 mennessä. Heavy Readingin kysely kertoo, että edistyminen on tasaisen hidasta. Euroopassa kuitenkin operaattorien investoinnit O-RAN:iin ovat mitättömiä. Suurimmat riskit ovat TCO-laskelmissa ja teknologiakuilussa uuden ja vanhan teknologian ja valmistajien välillä. BT demoaa Nokian O-RAN RIC:iä EE:n mobiiliverkon optimointiin. Samaan aikaan”oikean” 5G:n standalone coret ovat harvinaisia. Vain 19 toteutusta on tehty maailmanlaajuisesti ja määrän odotetaan tuplaantuvan tämän vuoden aikana.

Huawei on aloittanut välimiesmenettelyn Ruotsin valtiota vastaan ja vaatii korvauksia Huawei-kiellosta. Alkuperäinen korvausvaatimus oli 495 miljoonaa euroa, mutta se voi nousta paljon isommaksikin. Ruotsi on toinen maa Euroopassa, joka on kieltänyt Huaweit ja määrännyt poistamaan nykyiset laitteet käytöstä. Hinta voi olla Ruotsille kova ja vaikutukset laajoja. Huawei on tippunut RAN-markkinaosuuksissa kolmanneksi Ericssonin ja Nokian taakse tutkimusyhtiö Mobile Expoertsin mukaan. Näkemys on täysin erilainen kuin Dell’Oron tilastoissa, joissa Huawei on edelleen kärkipaikalla.

Toistimet ovat historiallisia komponentteja mutta tekevät nyt tuloa 5G-verkkoihin, joissa tarvitaan signaalivahvistusta. Uudet toistimet ovat “älykkäitä” ja ne osaavat vahvistaa valikoivasti eri taajuuksilla, eri aikana ja eri suunnista. Lisäksi pintamateriaalit ja muodot ovat muokattavissa ympäristöön sopiviksi. Myös perinteisten mikroaaltolinkkien myynti näyttää kasvavan sekä operaattoreilla että muussa IT-käytössä.

Tele2 Viro laajensi Baltic Highway -kuitureitin Suomeen. Nyt Suomesta pääsee Frankfurtiin Baltian ja Puolan kautta osin ilmakaapelia pitkin.

Telia Carrier on lopullisesti tehnyt pesäeron entiseen emoonsa. Uusi nimi on Arelion ja se lausutaan ah-ray-li-yon. Onko se leijona vai oikea leijona? Saku Ytti tietää kertoa, että Telian vanha brändi oli muutettava ja että Arelion on World of Wordcraftin limapeittoinen ruumis. Telia Carrierilla on ollut ainakin väliajan käytössä myös twelve99-nimi. Kauas Teliasta Arelion ei päässyt uudella violetilla aallonpituusvärillään. Logo esittää erikoisliittimiä, joilla kaksi pistettä yhdistetään kaapeleihin, mutta se on kyllä aika kömpelön näköinen. Arelion kuvaa voimaa, ketteryyttä ja intohimoa. Taustalla on adjektiivi reliable, jota on inspiroinut tähtien nimien voima, kauneus ja valo. Arelion on meitä johdattava valo.

Telenor on tosissaan modernisoimassa toimintaansa AWS-kumppanuuden avulla. Se tähtää 5G-palveluiden tuomiseen tietyille toimialoille pilven avulla. Ennestään Telenorilla on AWS:ssä pyörivä kokonainen mobiilicore ruotsalaiselle virtuaalioperaattori Vimlalle. Puhtaalta pöydältä aloittaneen Dishin toimintaideat on koottu periaatteiksi:

  • Pilvi- ja DevOps-ajattelu
  • Pakollinen, mutta toissijainen alusta
  • Kevyt investointimalli
  • Omat työnkulut ja mallit
  • Sisäänrakennetut ja aktiivisesti hallitut luotettavuus, laatu ja turvallisuus

Dish myös ottaa käyttöön chaos engineeriä Verican tuotteen avulla. Tarkoituksena on varmistaa järjestelmien toimivuus kaikissa tilanteissa ja löytää ympäristöstä haavoittuvuuksia.

Pilvi ja konesali

AWS:n työpaikkailmoituksista selviää, että se on suunnittelemassa uutta verkon control planea. Nyt haetaan henkilöitä visioimaan tulevaisuuden pilvialustaa alusta alkaen uusiksi. Myös Prime Videon ja CDN:n puolelle on tulossa laajennuksia. Kapasiteetin kasvatusta tehdään isoja tapahtumia varten, kumppanuuksia muiden CDN:ien ja operaattorien kanssa haetaan, toistosuorituskykyä pyritään parantamaan huonoissakin verkko-olosuhteissa ja sisäistä yhteistyötä pyritään kehittämään. Ben Adam kuvaa millaista oli olla töissä AWS:llä teknisissä hommissa. AWS on päivittämässä Certified Advanced Networking – Specialty -sertifikaattikoettaan ja uusi koe on nyt betatestauksessa saatavissa puoleen hintaan 150 dollarilla huhtikuun alkuun asti. Daniel Dib kertaa oman AWS Advanced Networking -sertifioitumistarinansa. Azuren sertifiointimateriaalia löytyy John Savillin kokoelmista. Youtuben videomateriaali on kuratoitu kokoelmaksi.

Pilven käytön kasvusta on vaikea saada selkoa. Toisaalta usko, toivo ja rakkaus pilveen on kovaa, mutta silti IDC kertoo pilvi-investointien olevan vain 6% kaikista IT-menoista. Vaikea sanoa onko 6% paljon vai vähän, luultavasti normaalin infrakulun luokkaa. Pääpaino investoinneissa taitaa olla kuitenkin sovelluksissa ja SaaS-palveluissa, jotka ovat nyt osa pilvipalvelua. Siinä mielessä kuvittelisin, että pilven osuus investoinneissa kasvaisi reippaasti. Pilven kasvupotentiaali onkin juuri yritysten vakiintuneissa IT-palveluissa, ei niinkään pilven alkukasvua ruokkineissa startup- ja pilvinatiiviedelläkävijöissä.

Troy Hunt joutui kantapään kautta toteamaan pilven siirtokustannusten vaikutuksen Have I Been Pwned -sivun ylläpitäjänä. Palvelu pyörii Azuressa ja edustalla on Cloudflaren edge cache. 98% palvelun kuluista tulee pilvipalvelun siirtomaksuista. Joulukuussa siirtomaksut pomppasivat ylös ja selvittelyn jälkeen selvisi, että edge cache ei toiminut ladattaville tiedostoille ja kaikki data ladattiin Azuresta asti ulos. Lopputuloksena oli normaalikäytöllä 11000 AU$:n kuukausilasku, joka tekee 350 AU$ päivässä. Cloudflaren johtaja Matthew Prince tuli hätiin ja jakoi laskun Azure-kaverinsa kanssa. Siirtomaksut ovat mitä ovat, se ei ehkä ole suurin ongelma, vaan se miten vaikea niitä on ennakoida.

Mitä IT-infrassa tapahtuu sijoittajan silmin? Kleiner Perkins avaa trendejä. Menossa on pilvialustojen hajautuminen. Pilven johtokolmikkoa haastamaan tulee uusia serverless-toimijoita, kuten Netlify, Snowflake, Planetscale ja Vercel. Pilvien heikkous on niiden käyttöliittymät, mitä uudet toimijat hyödyntävät kilpailussa. Pilvialustojen vastaus kilpailuun on yhteistyö, koska omien palveluiden kehittäminen on niille kallista. Pilvi-infra voi alkaa kehittyä enemmän perushyöykkeeksi, koska sillä saadaan kerättyä hyvä kasvu vähällä vaivalla. Se kuitenkin johtaisi kehittäjien eroon pilvialustasta, joten yhteistyö sovellustoimijoiden kanssa on tärkeää. Tietoturvassa on siirrytty kohti zero trust -mallia, mutta toimitusketjun turvallisuus on jäänyt laahaamaan jälkijunassa. Sovellusmaailmassa luotetaan paljon repositoryihin, kuten Githubiin ja Gitlabiin. Niitä vastaan hyökkääminen voi altistaa kaikki järjestelmät uhille hyvin helposti. Siksi zero trust -malli on tuotava myös koodinhallintaan. Web3 tekee tuloaan ja olennaista siinä on se, että meillä on nyt uusi työkalu ratkoa sovellusten oikeita ongelmia. Pintaa on vasta raaputeltu. Samat vanhat ongelmat ovat edelleen käsissä ja työkalut, valvonta, analytiikka yms. pitää tietysti myös rakentaa web3-maailmalle. Tähän on syntynyt vireä startup-ekosysteemi.

Microsoft osti Activision Blizzard -pelitalon vajaalla 70 miljardilla dollarilla. Se on samansuuruinen summa kuin mitä se on investoinut Azureen. Azuren kasvu on ollut hurjaa myös viimeisellä Q4:lla. Azuren ja muiden pilvipalveluiden liikevaihto kasvoi 46%.

Monipilvi on täällä kertoo Nutanixin kysely. Dell julkisti uusia Apex-perheensä ominaisuuksia monipilvelle. Dell ja HPE rautavalmistajina ja hybridipilven lähettiläinä lupaavat parhaat puolet molemmista maailmoista. Tosiasiassa ne taistelevat modernien softajättiläisten kanssa ja tuskin tulevat pärjäämään kovin hyvin hallintaominaisuuksissa ja IT:n modernisoinnissa yleensäkään. Hyperkonvergenssialustoissa Vmware ja Nutanix jatkavat markkinajohtajina ottaen 66% koko markkinasta. Perässä hiihtävät Huawei, Cisco ja HPE.

Mediassa on noussut esiin termi supercloud, joka on jargonia pahimmasta päästä. Mikä ihme on superpilvi ja mikä siinä on uutta? Termi on lähtenyt jostain journalistien kynästä. Charles Fitzgerald etsii blogeissaan supercloudin olemusta.

Meta on rakentanut oman superkoneensa RSC:n Nvidian grafiikkaprosessorien ympärille, kenties metaversumia varten. Nykyinen toteutus sisältää 760 DGX A100 -järjestelmää, joissa on yhteensä yli 6000 GPU:ta. Tällä pääsee jo maailman nopeimpien tekoälykoneiden listalle. Laajennuksen myötä se ottaa ykköspaikan maailman nopeimpana tekoälykoneena. Jos yksi Nvidian DGX A100 maksaa 200000$, niin koko paketille on tullut hintaa reilut 150 miljoonaa dollaria. Se on samaa luokkaa mitä mitä CSC:n Kajaanin Lumi-koneen kaavailtiin maksavan.

Konesalimarkkinaa peilaavat North American Data Centersin raportti ja Cushman Wakefieldin vertailu. Dcbyte on rankannnut pohjolan metrot ja verrannut niitä Euroopan FLAPD-keskuksiin (Frankfurt, Lontoo, Amsterdam, Paris, Dublin). Helsinki on pohjolan kaupungeista konesalimarkkinaltaan suurin mutta Suomi maana on vasta kolmas. Suomessa siis konesalit keskittyvät pääkaupunkiseudulle ja tyypiltään konesalit erottuvat muista maista olemalla raportin mukaan 80% julkipilvikapasiteettia. Muualla colocationin osuus on paljon suurempi. Sähkö alkaa olla ongelma monissa paikoissa uusien konesalien rakentamiselle. Dublinissa on toistaiseksi kielletty uudet laitokset, kunnes riittävä uusituvan sähkön tuotanto on saatu rakennettua. Hollannin Zeewoldessa asukkaat vastustavat kun Meta aikaa rakentaa alueelle ison konesalin ja viedä kaiken tuulisähkön.

Afrikan konesalimarkkinassa nähdään potentiaalia. Equinix osti joulukuussa MainOnen ja nyt perään Digital Realty aikoo ostaa Teracon, maanosan suuriman konesalioperaattorin. Digital Realtyn suunnitelmista ja Afrikan markkinasta lisätietoa löytyy esityksestä. Afrikan operaattori-infrastruktuuria esitellään Steve Songin vuosittaisessa katsauksessa.

Kyberturvallisuus

Log4j:n hyväksikäyttö hyytyi hieman yllättäen heti joulun jälkeen. Ensimmäisen aallon helpon kokeilun jälkeen  hyväksikäyttöyrityksen ovat vähentyneet selvästi. Onnistuneita iskuja ei ole paljon tullut ja ehkä siksi into hyökätä on hyytynyt. Lisäksi massahyökkäysten tekeminen on vaikeaa, koska hyökkäystä pitää muokata sopivaksi jokaiselle sovellukselle erikseen. Kuitenkin ammattimaisemmat toimijat mahdollisesti jatkavat kohdennetummilla hyökkäyksillä. Uusia log4j-hyökkäyksiä on kohdistunut nyt Solarwindsin ja Zyxelin laitteisiin. Zyxeliä vastaa hyökkää myös Mirai-bottiverkko.

Lockbit-lunnasohjelmasta on havaittu versiot Linuxille ja ESXi:lle. Lunnashaittaohjelmat alkavat nyt olla jo IT-infran uhka. Europolin johdolla kymmenen maan yhteistyössä ajettiin alas VPNLab.net-palvelu, jota hyökkääjät ovat käyttäneet luottoalustanaan kampanjoissaan. Palvelun omistajia ei kuitenkaan ole löydetty. Palvelimien talteen otettu data käydään läpi ja sieltä luultavasti löytyy lisää johtolankoja muihin rikollisiin.

Palvelunestohyökkäyksissä viime vuoden loppu meni Azurella isojen volyymien hyökkäysten torjunnassa. Suurin hyökkäys oli 3,47 Tbps ja 340 Mpps. Hyökkäyksiä tuli vajaa 2000 päivässä, mikä on 40% enemmän kuin alkuvuodesta. Lyhyet UDP-pommitukset ovat yleisiä, mutta yhä useampi isku kestää pidempään. Peliala on yleinen kohde. Intiassa nähtiin hurja kasvu ja Itä-Aasiassa palveluita pommitetaan tasaisesti. Qratorin raportissa joulukuu oli ennätyksellinen BGP-reittivuodoissa: yli 10 miljoonaa vuotoa kuukaudessa. Q4:lla prefixejä kaapanneiden AS:ien määrä ennätykselliset lähes 18000, mikä tekee 16% kaikista AS:sta osalliseksi.

Uhkien torjumiseksi ja tuottavuuden nostamiseksi tietoturvaa pitäisi saada siirrettyä kiinteäksi osaksi infraa, sovelluksia ja palveluita. SASE suojaa sovelluksien käyttäjärajapintaa, mutta ei välttämättä taustapalveluita. Siksi tietoturva on leivottava mukaan osaksi sovelluskehitystä. Paloalto kyseli tilannetta yrityksiltä. Ilmiselvästi automaatio ja DevSecOps lisäävät ryhtiä ja ovat jopa välttämättömiä, jotta nykymenossa voisi pärjätä. Paloalto peräänkuuluttaa tietoturvan ROI:ta. Ne jotka investoivat tietoturvaan, saavat parempia tuloksia. Tietoturvainvestoinnit voi perustella myös ketteryydellä ja liiketoiminnan tuottavuuden parantumisella.

USA:ssa Valkoinen Talo on vaatinut virastot ottamaan käyttöön zero trust -arkkitehtuuria. Bitwardenin salasanakyselystä selviää, että MFA on hyvässä mallissa työkäytössä, mutta suuri osa jakaa salasanoja esim. sähköpostilla tai chatilla, ja yli puolet säilyttää salasanoja tietokoneellaan jossain dokumentissa. Teleportin State of Infrastructure Access and Security Report 2021 tuo esille yritysten ongelmia: talosta lähtevät työntekijät aiehuttavat epävarmuutta, infran hallinnan jaettu vastuu hajauttaa myös tietoturvan, monimutkaisuus lisää vaikeusastetta, näkyvyyden parantamisen tarve on suuri, tietoturvamenetelmät pitäisi saada päivitettyä tähän päivään ja ratkaisuja tehdään vahvasti kehittäjien ehdoilla.

Google on ostanut SOAR-valmistaja Siemplifyn. Se on puuttuva palanen Googlen Chronicleen. Siemplify on israelilainen puolen miljardin ja 200 työntekijän yritys, ja Googlen ensimmäinen israelilaisostos. Siemplifyn tarkoitus on olla SOC:n käyttäjärjestelmä, jolla ohjataa kaikkia tietoturvaoperaatioita. Dynaaminen mallinnus vähentää hälytysten määrää ja lisää tarvittavan kontekstin tapauksiin. SOAR:n ja SIEM:n kuolemaa erillisinä tuotteita on ennustettu ja näin näyttää tapahtuvan, vaikka Swimlanen James Brear jaksaakin uskoa itsenäiseen SOAR:iin. SOAR ja SIEM antavat vain rajallisen näkymän ja vasteen uhkiin, siksi markkina on siirtynyt kohti XDR:n tuottamaa kokonaisvaltaisempaa kuvaa. Myös tekoälyn hyödyntäminen vaatii päästä päähän -näkymää. Googlen ajatuksena on mennä vielä pidemmälle ja yhdistellä tietoa laajemmin.

SOAR on hyvä apuväline tehostamaan toimintaa, mutta siinä heikkoutensa jos sitä käytetään yksinään. SOAR-tuotteet ovat monimutkaisia, koska tietoturvaympäristökin on. Kuka osaa hyödyntää SOAR:ia, määritellä ja tehdä vaadittavat integraatiot eri alustojen välillä? Yliluottamus tekniikkaan ja tuotteeseen voi kostautua. Kaikkea ei voi automatisoida ja ihmiset ovat tärkeä osa kokonaisstrategiaa ja -toimintaa. SOAR ei ratkaise kaikkea ja siihen voi kohdistua epärealistiset odotukset. Tietoturvan seuraava vaihe on työntekijöiden loppuun palaminen, kertoo 1passwordin State of Secure Access -raportti. Ihmispsykologia ja käytös mitätöivät teknologisten ratkaisujen hyödyt.

Kuten on hyvin nähty, monien yritysten tekninen osaaminen on kadonnut lähes täysin. Siksi on surullista nähdä miten yritykset kamppailevat perusasioiden kanssa eivätkä ikinä tule saamaan hienoja ja tehokkaita ratkaisuja käyttöön. Palvelutoimittaja pystyisi tekemään toteutusta, mutta asiakas ei osaa tai halua määritellä asioita, joilla ratkaisu saataisiin omassa ympäristössä kunnolla hyötykäyttöön. Toteutukset jäävät puolittaisiksi ja hyödyt saamatta. Tuottavuus ei nouse. Tosin ammatti-ihmistenkään keskuudessa ei välttämättä ole takeita, että tekeminen on laadukasta. Iso-Britanniassa hallitus aikoo perustaa kyberturvallisuustoimijoille terveydenhuollosta tutun rekisterin, jolla varmistettaisiin tekijöiden pätevyys.

Aryakan vuosittainen State of the WAN Report kertoo toimintaympäristön muutoksesta: toimistot vaihtuvat keittiön pöytiin, pilvimaailma lisää monimutkaisuutta, SASE-villitys kasvaa ja yritykset kääntyvät yhä enemmän palveluntarjoajien puoleen. Oktan Business at Work -raportti listaa työpaikkojen suosituimmat sovellukset, työkalut ja pilvialustat. Caton mukaan oikea SASE-malli on sellainen, joka yhdistää tietoturvan ja suorituskyvyn eli pilvinatiivit tietoturvaominaisuudet ja SD-WAN:n yhdeksi toiminnoksi ilman erillisiä integrointeja. Valmistajilla on kahta tapaa toteuttaa palveluiden yhdistäminen: alustamalli ja tuotevalikoimamalli. Alustamallissa toiminnot ovat sisäänrakennettuna yhtenäiseen alustaan ja hallintaan, mikä tarkoittaa yksinkertaisuutta ja tehokasta tietoturvaa. Tuotemallissa erillisiä tuotteita integroidaan yhteen ja yhtenäisen tietoturva- ja hallintakonseptin kanssa on vähän niin ja näin.

AT&T:n kyselyn mukaan yritykset ovat nyt varaamassa 11-21% projektibudjeteistaan tietoturvalle. Ilmeinen kohde on SASE, mutta vain isommissa yrityksissä. Alle 500 hengen amerikkalaiset pienyritykset eivät ole kiinnostuneita. SASE:n ylivoimaisena etuna nähdään zero trust -mallin toteuttamismahdollisuus. Mitä tietoturvajohtajat ostavat tänä vuonna jos viimeaikainen kehitys heijastuu budjetteihin? Lähes 70% sanoo panostavansa tietoturvaan lisää hankkimalla etätyötä ja digitalisaatiomuutosta tukevia työkaluja eli pilvi-, verkko- ja päätelaitetietoturvaa, tiedon suojaamista ja kybervakuutuksia. Zero trust on kaikkien huulilla, mutta miten se käytännössä toteutetaan? Identiteetti on hyvä paikka aloittaa ja rakentaa sen päälle pääsynhallintaa. Toteutuksessa tulee eteen toimintatapojen muutos. Sovelluksille ja käyttäjille pitää määritellä politiikat ja se ei onnistu yhdellä kertaa. Yksittäisiä palikoita on satoja, jos ei tuhansia, ja kaikki ne pitäisi ensin listata ja sen jälkeen määritellä niille käyttöpolitiikka. Omaisuudenhallinta tulee myös tärkeäksi. Ostajat etsivät yhä enemmän yhtenäisiä kokonaisratkaisuja, johon XDR tuntuu olevan vastaus. Analyysisssa ja vasteessa kannattaa suosio tekoälyä ja automaatiota, jotta tärkeimmät asiat saadaan nostettua esille ja korjattua.

Viime aikoina on nähty kotitoimitolaitteiden tulo markkinoille, mutta onko SD-WAN:lle tilausta kotona? Toistaiseksi AT&T ei ole nähnyt kysyntää kotilaitteille, mutta tilanne saattaa muuttua. Joka tapauksessa riippuu työn luonteesta tarvitaanko kotiin SD-WAN -laitteistoa vai ei. F-secure tutki 80000 ihmisen otannalla miten phishing-hyökkäys toimii. Väärennettyä henkilöstöviestin linkkiä klikkasi 22% vastaanottajista ja yllättäen tekniset ihmiset olivat jopa alttiimpia tietojenkalastelulle kuin muut. Viime vuoden uudet Mac-haittaohjelmat on kasattu yhteen ja analysoitu. Apple on julkaissut iCloud Private Relayn toimintakuvauksen. T-Mobilen raportoitiin blokkaavan Private Relayn joiltakin käyttäjiltä, mutta tosiasiassa kyse oli konfliktista sisällönsuodatuksen kanssa. Xiaomisec on julkaisuut kattavan oppaan miten kuluttaja-IoT -laitteet pitäis toteuttaa kyberturvallisesti.

Tietoturvavalmistajapuolella menee lujaa. Listautumisia odotetaan tänä vuonna ja markkina-arvot ovat korkealla. Listalla ovat Snyk (8,5 mrd$), Cybereason (3 mrd$), Netskope (7,5 mrd$), Lacework (8,3 mrd$) ja Illumio (2,75 mrd$).

Tekniikka ja operointi

Kuten aiemminkin on todettu, kun tekniikka ja ympäristöt monimutkaistuvat, verkon toimintojen pitäisi yksinkertaistua. Kaikki toimintoja ei pidä tehdä verkossa ja verkon ei tarvitse ratkoa kaikkia sovellusongelmia. Olisi aika verkon käyttäjien ottaa vastuu omista ratkaisuistaan ja jättää verkko tehokkaaksi ja luotettavaksi väyläksi käyttäjien ja palveluiden välillä.

Kytkin-reititin -keskustelu jatkuu. Aaron Glenn kirjoitteli omat näkemyksensä mikä on reititin ja mikä kytkin. Oikeastaan ainoa ero on piirillä oleva muisti ja puskurit. Broadcomin piirisarjoista Jericho ja Qumran eli StrataDNX ovat näitä reitittävämpiä malleja eli niissä on isommat muistit reittitauluille ja porttien puskureille. Muilta alan ihmisiltä kerätyissä näkemyksissä reititin tukee erilaisia medioita ja nopeuksia, sisältää vähemmän portteja, sijoittaa linjakortit pystysuuntaan, tekee vaikeampia temppuja, markkinoidaan parempana laitteena ja maksaa enemmän. Dokumentaatiossa toki on hyvä merkitä reititin ja kytkin toimintojensa mukaan erilaisiksi, vaikka rauta olisi samaa. Reitittimet ovat pyöreitä, kytkimet nelikulmaisia, ettäs tiedät.

Kaupallisten piirisarjojen asema saattaa muuttua kun DPU:t yleistyvät. DPU syrjäyttää ASIC:eja ylemmän tason toiminnoissa, mutta ASIC jää isojen kapasiteettien käyttöön. ASIC-markkina on muutaman ison toimijan kenttää ja Broadcom on saanut itselleen lähes monopolin aseman. Siksi uusia nopeusluokkia on saatu tuotua markkinoille vauhdikkaasti. Softalla saadaan tuotua uusia ominaisuuksia joustavasti mutta laatu on ollut vaihtelevaa. Linux-kerneliä voisi pitää hyvänä esimerkkinä laadukkaasta softasta, jossa monimutkaisuus on saatu pidettyä kurissa. Verkon operointi ratkaisee, siinä ASIC ei juurikaan auta.

Juniper on julkaissut uudet omat piirinsä MX-sarjan Trio 6:n ja PTX-sarjan Express 5:n. Näillä Juniper voittaa kilpailijat Cisco P100 ja Nokian FP5 suorituskyvyssä ja energiatehokkuudessa. Cisco ei suostunut kommentoimaan Juniperin väitteitä. Trio 6 on saatavilla heti uusissa tuotteissa MX10004, LC9600 ja MX304. Nokian uusi FP5 on tulossa saataville vasta joskus tänä vuonna, siksi Juniperin on hyvä kehuskella. ASIC:ien vertailu ei ole kovin suoraviivaista, koska piirit kulkevat sykleissä ja reititinrauta ei ole aina samalla tasolla piirien kanssa. Myös käyttötarkoitus vaikuttaa ja esim. Broadcomin Jericho on ihan vertailukelpoinen monissa käyttötarkoituksissa. Joka tapauksessa pienempi MX304 on kauan odotettu lahja Suomen markkinoille. Sitä joudutaan vielä odottamaan ainakin muutama kuukausi.

Googlen odotetaan avaavan 800G-kytkinten hankinnat tänä vuonna kun 800G-optiikkaa tulee saataville. 800G:ssä kustannustehokkuus on parempia ja optiikka maksaa 30% vähemmän kuin kaksi 400G-optiikkaa. Venäläiset ovat integroineet Linuxin SFP:n sisään äly-SFP:ksi. Linuxilla voi vaikka pyörittää route-serveriä, DNS:ää, DHCP:tä, NTP:tä tai toteuttaa hallintayhteyden laitteelle. Plumspace myy näitä pulikoita reilun satasen hinnalla. SLA-probeja on ennenkin nähty SFP:eiden sisällä, mutta vapaasti käytettävä Linux on uutta.

Ciscon Catalyst 4500:sta voi käyttää myös uppopumppuna, mutta Cumulus on kontittanut Cumulus Linuxin viitosversion ja aikoo tuoda sen myös DPU:lle ajettavaksi. Delliltä saa Microsoftin Sonicin yritysversiona. Nvidia-Mellanoxin lisäksi myös Delliltä saa samasta luukusta kytkinraudan, softan ja tuen. Drivenets on aloittanut koulutus- ja sertifiointiohjelmansa pilvinatiiville tietoliikenteelle ja disagregaatiolle.

Virtualisoinnista on tullut labraympäristöjen arkipäivää, ja monimutkaisia ja isojakin ympäristöjä pystyy rakentamaan hetkessä koodilla. Ivan Pepelnjak on rakentanut omaa Netsim-toolsiaan, jonka päälle on rakennettu mm. SR-MPLS-ympäristö SR-Linuxille, ja RSVP-TE- ja SR-ympäristöt Juniper vSRX:lle. Containerlab on toinen alusta ja sille löytyy esim. Aristan OSPF-troubleshooting -ympäristö. Haluatko ymmärtää miten tietoliikenne kulkee Kubernetes-klusterin sisällä ja podien välillä?

Segment routing on hyvää vauhtia korvaamassa MPLS-signaloinnissa LDP:n ja RSVP:n. SR:ään siirtyminen on helppoa ja Chris Parker kertaa ensin teorian ja antaa sitten esimerkkikonfiguraatiot Junosille. BGP-osoiteperheiden tasot ovat moninaiset. Siirtokerros, käytetyt ja neuvotellut AFI:t ja next-hop -osoitteet eroavat toisistaan ja niitä mahdollista sotkea keskenään melko villisti. EVPN:ssä isoissa ympäristöissä ARP ja ND voivat aiheuttaa ongelmia ja siksi niiden levittämiseen on määritelty oma extended community RFC9047:ssa. Uusi RFC9161 kuvaa tarkemmin proxy-ARP/ND-toimintoa ja sen operatiivista puolta. Ominaisuus on tulossa käyttöön mm. DECIX-IXP:ssä luotettavuutta ja turvallisuutta lisäämään.

Nokia ennustaa konesaliverkon uusia tuulia. Automaatiosta tulee enemmän tapahtumalähtöistä ja kokonaisvaltaista palvelua. Edgessä työkuormat ovat hetkellisiä ja niitä ajetaan kulloinkin optimaalisissa paikoissa. Muutoksia tulee tuhansia päivässä tai jopa tunnissa, ja muutokset ajetaan verkkoon jatkuvalla syötöllä. Muutosten testaus tulee tärkeäksi. Gitops, CI/CD ja digitaaliset kaksoset ovat avainsanat. Konttien avulla voidaan rakentaa helposti simulointiympäristöjä. Avoimilla käyttöjärjestelmillä ja laajennettavuudella on osansa automaatiopinon rinnalla elämänlaatua lisäämässä. Konfiguraatiot yhdenmukaistuvat abstraktiomalleiksi, kuten Openconfig. Näin uusien valmistajien on helpompi tulla mukaan toimintaan.

Mitä verkon operaattorit ajattelevat tekoälystä? Paljon puhutaan itseajavasta verkosta ja tapahtumapohjaisesta vikojen automaattisesta korjauksesta, mutta käyttäjät ovat yhtä mieltä siitä, että tärkeintä on muutoshallinta, ei vianhallinta. Tekoäly on hyvä apuri tarjoamaan tilannekuvan, löytämään viat ja kertomaan mikä on vialla monimutkaisissa ympäristöissä. Mutta sen jälkeen ihminen hyppää puikkoihin ja tekee päätökset ja muutokset. Verkon konfigurointi on ongelma ja siinä syntyy virheitä. Käyttäjät haluavat konfiguraation tavoitetilan mukaan muotoiltuna eli deklaratiivisesti. Tämä on intent-based networkingin idea, mutta IBN on nyt häipynyt hypestä täysin. Tekoälyn ongelma sen seurattavuus: mistä tieto tulee, miten tietoa tulkitaan, miten ehdotukset syntyvät, miten muutoksia tehdään jne. Tekoälyn ehdotukset ja päätökset ovat käyttäjän vastuulla, ja käyttäjä haluaa tietää mitä on tekemässä.  Tekoäly voi olla myös väärässä, joten sen valintojen taustoja pitäisi tuotteissa pystyä paremmin tutkimaan. Juniperilta löytyy IBN for Dummies -kirja ja tarkempaa teknistä kuvausta IBM-tuote Apstran käytöstä konesaliverkon hallinnassa.

Gitopsista on tulossa standardi operointimalli sekä pilveen että verkkoihin. Mm. Ericsson, AWS ja Orange ovat investoineet Weaveworksiin, joka on kampanjoinut kehittäjätyökalujen puolesta. Samaa on tehnyt Redhat Openshiftillä. Liiketoimintamielessä Gitops on tapa standardoida sovellusjakelu erilaisiin alustoihin. Samalla valmistaudutaan edge-ympäristöjen operointiin. Järjestelmätasolla  Gitops vastaa jossain määrin intent-based networkingiä ja se osaa seurata verkon tilaa ja tuoda tarvittavat muutokset konfiguraatioiksi. Koodi on alustariippumatonta ja se sovelletaan kulloiseenkin alustaan ajohetkellä. Työkalut eivät yksin riitä vaan ihmistenkin täytyy muuttua ajattelemaan ylemmällä tasolla ja abstraktimmin. On aika aloittaa muutos, muuten uusien sovellusten ja alustojen kanssa ajaudutaan operatiiviseen kriisiin.

Hyvä vinkki Jaana Doganilta: vanhempana asiantuntijana olisi hyvä päästä suunnittelussa ennakoivalle strategiselle tasolle ja vähentää reaktiivista sinkoilua sinne tänne. Reaktiivinen toiminta luo taktisia ratkaisuja, joista seuraa uusia ongelmia. Jos osaa ajatella ja korjata perustavanlaatuisia isoja ongelmia, samalla saattavat muutkin ongelmat kadota!

Chris Hart Cisco TAC:sta kertoo tarinan miten väärin konfiguroitu MOTD-banner aiheutti ongelman konfiguraation tallennuksessa Ciscon Nexus kytkimessä. Samalla avautuu Nexus-kytkimen toimintaperiaate hieman tarkemmin. Toisessa kirjoituksessa Chris tarjoilee apua ruuhkautuneiden porttien löytämiseen verkosta Python-skriptin avulla.

Lisää Pythonia verkkoihmisille löytyy kirjasta Python for Network Engineers. Muita lukusuosituksia verkkoihmisiltä on kerätty AONE:n listalle. John Breth listaa ytimekkäästi hyvät ja huonot puolet läpäisemistään sertifikaateista.

Laajakaistateknologian ryhmittymä BITAG on tehnyt selvityksen verkon viiveistä. Johtopäätös on se, että merkittävin verkon viivettä aiheuttava lähde on puskurointiviive eli pahamaineinen buffer bloat. Se syntyy laitteissa raudan ja sovelluskerroksen välillä. Käyttäjäkokemus ei siis synny pelkästään kapasiteetista, vaan olennaisesti myös viiveestä. Viivettä on yritetty kiertää optimoimalla TCP:n ruuhkautumisalgoritmia, mutta se ei yksin auta, varsinkaan muuttuvan kapasiteetin radioverkoissa. Mitä sitten asialle voidaan tehdä? Vaihtoehtona on ennustaa kapasiteettimuutokset ennalta ja saada näin viivepiikit pienemmiksi. Linkkiä voi myös kuormittaa vähemmän tai nostaa kapasiteettia isommaksi, jotta siinä on enemmän liikkumatilaa. Useampi rinnakkainen linkki myös tasaa kapasiteettia ja vaihtelua. Viivekriittistä liikennettä voidaan myös käsitellä eri tavalla.

Yleensä verkoissa puhutaan millisekunnin tai mikrosekunnin viiveistä, mutta Nasalla on aivan eri tason viiveet avaruuskommunikaatiossa. Jamess Webb -teleskoopille liikenne kulkee 40 kbps 9 sekunnin viiveellä. Mars Odysseylle on käytettävissä mahtavat 28 kps ja viivettä tulee 37 minuuttia. Avaruudessa puhutaan DTN-verkosta (Disruption Tolerant Network) ja Bundle-protokollasta, joka niputtaa datan nippuihin ja lähettää ne epäluotettavan verkon yli.

Wifin uudellennimeäminen on lähtenyt luisumaan USB- ja HDMI-linjalle, jossa alkaa tulla kryptisiä versioita ja nimihirviöitä. Nyt julkaistu wifi6 release 2 tuo parempaa uplinkin käsittelyä ja virransäästöä. Wifi6E siis tuo uuden 6 GHz:n taajuuden mukaan ja release 2 laajentaa sekä wifi6- että 6E-standardia. Mediatek on jo kuitenkin ehtinyt demota wifi7-tekniikkaa käytännössä, vaikka täysi wifi7-standardi 802.11be valmistuu arviolta 2024 jälkeen. Wifi7 parantaa jälleen uplink-kaistan käsittelyä rinnakkaisilla yhteyksillä ja se voisi käyttää eri taajuuksia samaan aikaan. Deeyok on kehittänyt algoritmin, jolla wifin paikannus saadaan 10 cm tarkkuuteen.

Viimeaikaisten isojen verkkohäiriöiden jäljiltä Julia Evans on listannut miten eri tavoin DNS voi hajota. DNS-kyselyn elämästä on myös syntynyt zine. Michael McNamara kertoo tapauksesta, jossa Windows-palvelimella oli kummallista DNS-hitautta. Selvisi, että palvelimen DNS-forwarder -asetuksiin oli laitettu vanhentuneita nimipalvelimia, jotka eivät enää vastanneet. Palvelimissa on yleensä oletuksena root hints -asetus, jota Internic-ylläpitää. Tilalle voi laittaa oman maun mukaan halutut nimipalvelimet, jolloin nimipalvelukyselyketjusta tulee lyhyempi ja tehokkaampi.

Yritykset ja tuotteet

Kärkeen kattava lista ennustuksia tälle vuodelle F5:n Peter Silvalta.

Kaikki varmasti haluaisivat olla mukana digitalisoinnissa, olla ketteriä ja panostaa käyttäjäkokemuksen parantamiseen. Vanhan teknologian painolasti kuitenkin yleensä hidastaa vauhtia armottomasti. Teknologiasta on tullut ketteryyden edellytys, mutta moderni teknologia tietysti myös maksaa rahaa ja monimutkaistaa ympäristöjä. Operointi on noussut tärkeimmäksi ketteryyden edellytykseksi. Ciscon vastaus on alustat. Alusta on toimintojen ja niiden hallintojen ekosysteemi, joka toimii yhtenä kokonaisuutena sujuvasti laajentaen teknologia-alustan kykyjä. Aika paljon toivottu, käytäntö voi toistaiseksi olla hieman erilainen.

Valmistajat ovat kovasti siirtyneet ohjelmistobisnekseen, mutta käytäntö on jäänyt pinnalliseksi. Perinteisillä valmistajilla ei oikein tunnu olevan oikeaa ohjelmistostrategiaa, vaikka ohjelmistojen mahdollisuudet on tunnistettu valtaviksi. Juniper näyttää jälleen tietä ja on lisännyt 128T SD-WAN -hallinnan Mistin alustaan. Lisäksi julkaistiin pienet SSR120/130-purkit SD-WAN -gatewayksi. Myös tietoturvapuoli on laajemmin löytämässä tiensä Mistin alle ja jo nyt etätoimipisteeseen on saatavissa kevyt, mutta riittävä tietoturvapaketti. 5G-puolella Juniper ei tuonut markkinoille omia WAN-purkkeja, kuten kilpailijat, vaan on integroitunut Cradlepointin langattoman WAN:n kanssa. Cradlepointin laitteet voidaan liittää osaksi Mistin hallitsemaa SD-WAN -verkkoa. Ciscolta tuli ulos järeän pään uusi teollisuuskytkin IE9300-kytkin. Cisco Intersightiin lisättiin Service Mesh Manager, joka prantaa Kubernetes-klustereiden havainnointia. Extreme ei julkistanut tuotteita, mutta kumppanuudet urheilussa ja stadioneilla jatkuvat NFL:n lisäksi nyt myös NHL:n ja ManU:n kanssa.

Oracle ostaa Federoksen, joka on tekoälyyn pohjautuvan IT-infran ja -palveluiden hallintajärjestelmän valmistaja. Federoksella Oracle aikaa parantaa pilven ja sovelluksien toimivuuden valvontaa, automatisointia ja muuta palvelutuotantoa. Toisin kuin viimeksi visioitiin, Citrixiä ei myyty Nutanixille, vaan se on menossa sijoittajaryhmittymälle, joka aikoo yhdistää sen ohjelmistotalo Tibcon kanssa digitaalisen työympäristön toimittajaksi.

Loihde myy Kuusamon, Kemijärven ja Sallan seuduilla sijaitsevat kuituverkot Koillisnetille 4,7 miljoonalla eurolla. CGI on saanut oman yrityskohtaisen työehtosopimuksen valmiiksi. Tuloksena oli yleistä sopimusta parempi sopimus Suomen suurimman IT-palvelualan työnantajan 3700 työntekijälle. Etla on tutkinut, että suurin osa suomen ICT-päästöistä syntyy Suomen ulkopuolella. Palvelut sijaitsevat ympäri maailman, vain paikallinen infrastruktuuri on lukittavissa maantieteelliseen sijaintiin. Sähkönkulutuksen kasvu on selvä, mutta missä sitä sähköä kuluu, ei ole niinkään selvää. Siksi nyt suositellaan, että sähkönkulutukselle tulisi raportointivelvoite.

Berliinissä EUV-piirivalmistuslaitteita valmistavan ASML:n tehtaalla oli tulipalo ja sen uskotaan edelleen hidastavan piirien valmistusta tehtaissa. Hollantilainen ASML on ainut EUV-laitteiden valmistaja ja se ei voi nyt toimittaa tälle vuodelle tilattua 55 laitetta. TSMC:n mukaan vanhemmilla piireillä on edelleen sama kysyntä, vaikka uudempien piirien osuus kasvaa. Verkon osalta on mielenkiintoista nähdä miten markkina jakautuu suurkuluttajiin, jotka siirtyvät 400/800G:hen ja tavallisiin pulliaisiin, jotka pärjäävät 10/25/100G:llä vielä pitkään. Harvinainen piirivalmistajan listautuminen on tulossa Credo Technology aikoessa pörssiin. Credo tekee ASIC:eja, DSP:eitä ja AOC-kaapeleita konesali- ja 5G-verkkoihin. EU haluaa saada 20% maailmanlaajuisesta piirituotannosta itselleen 2030 mennessä ja on valmis käyttämään rahaa sen eteen.

Piilaakson historiaa kerrotaan kolmiosaisessa tarinassa: The Roots of Silicon Valley, Part 1: Founders, Legend, Legacy, Part 2: Planar Technology, The Fairchildren ja Part 3: Startup Fever and Venture Capital. Helsingin operaattorikeskittymä liikkuu länteen kun Elisa visioi uusia tiloja Keski-Pasilan pilvenpiirtäjiin Telian vanavedessä.

Internet

Kuumentunut IP-osoitemarkkina saa keinottelua liikkeelle. Viime vuonna Afrikassa käytiin oikeustaistelu osoitteista ja nyt USA:ssa ARIN on vaatinut takaisin teknologiafirman väärin perustein hankkimia 735000 IP-osoitetta. Pitkän taistelun jälkeen Micfo-yrityksen toimitusjohtaja Amir Golestan myöntänyt kaikki 20 petossyytettä ja osa vielä myymättömistä osoitteista on saatu takaisin.

Web-teknologia on siirtymässä kolmosversioon, mutta kerrataan ensin viime vuoden suosituimmat web-teknologiat. Mediassa on paljon viitattu Moxien Marlinspiken kirjoitukseen web3:n ensivaikutelmista. Ensinnäkin ihmiset eivät halua pyörittää omia palvelimiaan, eivät edes nörtit. Protokollat myös muuttuvat paljon hitaammin kuin alustat. Nykyisessä web3-teknologiassa pistää silmään miten huonosti luottamuksen varmistamisen toteutus tehty ja miten kömpelöitä monet ratkaisut ovat. Toimijat ajautuvat samoihin web1-maailman malleihin ja ongelmiin, ja kaikki yhdistyy lopulta kuitenkin alustoiksi. Joten meidän tulisi keskittyä hajauttamaan luottamus hajauttamatta alustaa ja helpottaa sovellusten toteutusta.

Miten web3-pino rakentuu? Perustana toimii Interplanetary File System IPFS, jonka voi asentaa omalle koneelle. IPFS on kuin HTTP ja IPFS-noden kautta julkaistaan tiedosto lohkoketjuun. URL:n sijaan tiedostoon viitataan sisällön allekirjoituksella, joka on tiedoston sisällön mukaan muodostettu. IPFS on peer-to-peer -protokolla, joten tiedostot kopioituvat useille nodeille ja niiden sijaintia ei tarvitse tietää. Lohkoketjuja voi olla monia, joten niiden täytyy kommunikoida keskenään ja siihen vaaditaan integraatiotyökalu. Koodia ja integraatioita ei tarvitse tehdä joka lohkoketjulle, vaan hub-palvelu hoitaa integraation yhden pisteen kautta. Lohkoketjujen väliseen kommunikaatioon on oma Inter-Blockchain Communication protocol IBC, joka hoitaa liikenteen kuten TCP. Protokollan päälle voi kehittää vapaasti erilaisia omia viestejä.

Nykyisen toteutuksen kömpelyydestä on esimerkki markkinapaikka Opensean kaatuminen ja epävarma toiminta. Tietokannan häiriön takia ihmisten NFT:t hävisivät esim. Twitteristä ja kryptolompakoista. Twitter ja Metamask esim. vain suoraan käyttävät Opensean API:a, jolla ne näyttävät sen tietokannan sisältöä. Web3:n “loistavuutta” seuraamaan on jopa perustettu sivusto. Lisäksi kryptovaluuttojen järjetön sähkönkulutus on yhä enemmän nostattanut vastustusta niitä kohtaan. Bitcoinin energiankulutusta seuraava sivu kertoo, että sähkönkulutus on lähtenyt jyrkkään nousuun viime vuonna. Vertailua löytyy myös maittain. Bitcoin on joka tapauksessa hyvin tehoton, kuin lottoaisi oikeaa numeroa. Yksi Bitcoin tapahtuma vastaa lähes 1,5 miljoonaa Visa-tapahtumaa ja yhden Bitcoin-tapahtuman hiilijalanjälki vastaa 2,3 miljoonanaa Visa-tapahtumaa . Sijoittavat kuitenkin uskovat web3:een, lohkoketjuun, defiin, Bitcoiniin ja kryptolompakoihin. Ark Investin esitys kertoo lisää tulevaisuudesta.

Sandvinen internet-raportti tilastoi internet-liikennettä. Video ja sovellusten lukumäärä lisääntyvät. Sovellukset ovat myös entistä monimutkaisempia, ne yhdistelevät eri ominaisuuksia keskenään ja niiden käyttö yksityis- ja yrityskäytössä sekoittuu.  QUIC ottaa valtaa tehokkaampana siirtoprotokollana. Uuden ajan salaus lisääntyy Applen iCloud Relayn mallin viitoittamana. 56% kaikesta liikenteestä tulee Googlen, Netflixin, Facebooking, Applen, Amazonin ja Microsoftin palveluista. Google on tässä listassa ykkönen ja Tiktok neljäs. Cloudflaren tilastoissa Tiktok oli noussut suosituimmaksi palveluksi ja se selittyy sillä, että Google alkoi näyttä hauissaan Tiktok-sisältöä.

Nvidia on julkaissut omasta metaversumistaan Omniversestä ilmaisen version sisällöntuottajille. Nvidia näkee Omniversen kuin käyttöjärjestelmän, jota se haluaa levittää mahdollisimman laajasti käyttöön. Mitä enemmän käyttäjiä sille saadaan, sen parempi. Raha tulee muualta. Ominiverse perustuu Pixarin USD-formaattiin, jolla voi yhdistää 3D-sovelluksia, jotka tyypillisesti eivät ole keskustelleet keskenään. Tämä vuosi ei ole vielä virtuaalitodellisuuden läpimurtovuosi. AR sen sijaan voi yleistyä puhelinsovellusten avulla.

Internet Society näyttää missä maailman AS-numerot majailevat ja miten kasvu on tapahtunut maittain vuosikymmenien aikana. Kaikki lähti USA:sta 1980-luvulla. Eurooppa tuli mukaan 90-luvulla ja 2000-luvulla Japani ja Korea nousivat kärkisijoille. Sen jälkeen  nähtiin Venäjän, Brasilian, Intian ja Kiinan kasvu. Patrick Fälströmin arkistosta löytyy Nordunetin esitys millainen internet oli pohjolassa 1990. EU haluaa rakentaa oman DNS-resolveripalvelun amerikkalaisten jättien vastapainoksi turvatakseen turvallisuuden ja yksityisyyden euronormien mukaan. DNS4EU-hankkeen budjetti on 14 miljoonaa euroa, mikä on aika messevä summa kymmenien palvelimien toteuttamista ja pyörittämistä varten. Käyttäjien siirtymisestä palveluun ei ole tietoa ja anycast-toteutus EU:n sisällä voi olla kyseenalainen kun internet ei toimi maan rajojen mukaan.

Suomen arktisen merikaapelin hanke on ollut läpeensä poliittinen ja sillä on pitkä historia vuodesta 2013. Yle kertoo projektin taustoja. Idea lähti Venäjältä, mutta lopulta sitten Venäjä hankkeesta kuitenkin vetäytyi, ja se voi nykytilanteessa valossa olla hyväkin. Uusi kaapelireitti on pidempi ja kalliimpi kuin alkuperäinen vaihtoehto, mutta etuna on kuitenkin lyhyempi reitti muihin vaihtoehtoihin verrattuna. Viivettä saadaan leikattua pois 100 millisekuntia. Jyväskylän yliopiston kyberturvallisuuden professori Martti Lehto on kirjoittanut 2019 hankkeesta kyberturvallisuusarvion.

Amazonin laajentuva Sidewalk-verkko voi nousta varteenotetttavaksi IoT-verkoksi. Alun perin Amazonin laitteiden mesh-verkoksi naapureiden kesken tarkoitettu 900 MHz:n radioverkko on saanut Bridge-laitteen, jolla kantamaa voi laajentaa jopa 8 kilometriin. Sopivia käyttökohteita voisi olla vaikka maataloudessa, varastoissa, teollisuusalueilla, puistoissa, jne. Bridgelle ei tosin ole vielä regulaattorin hyväksyntää eikä julkaisuaikaa tai hintaa ole kerrottu. IoT:ssä taistelevat myös 5G, LEO-satelliitit ja Lorawan. Lorawan laajenee lähiaikoina myös satelliitteihin Long Range Frequency Hopping Spread Spectrum LR-FHSS -tekniikalla. Toteutukseen löytyy ratkaisuja ainakin Lacunalta ja Semtechiltä. Lorawanin veturi ranskalainen Sigfox on ajautunut kaikista yrityksistä huolimatta maksukyvyttömäksi. IoT-markkina ei ole kehittynyt odotuksien mukaan, Sigfoxin johdossa on ollut kovasti vaihtuvuutta ja viimeisin kumppanuus Googlen kanssa ei sekään auttanut. Saa nähdä miten operaattorin käy, tämä voi olla lopun alkua jos asiakkaat eivät voi enää luottaa yhtiön ja palveluiden jatkuvuuteen.

Avaruus täyttyy satelliiteista ja Elon Muskia syytetään omien sääntöjen luomisesta. Avaruudessa ei ole kansainvälistä regulaatiota laukaisuille ja edellisestä sopimuksesta on jo 50 vuotta aikaa. Silloin ei nähty tällaista kehitystä, jossa vapaiden lentoratojen löytäminen alkaa olla vaikeaa. Debriksessä leijuu yli miljoona 1-10 cm palasta ja USA:n valvontaverkosto seuraa aktiivisesti 15000 esinettä. Satelliiteista on tullut tärkeitä monella sektorilla ja niiden toiminta pitäisi pystyä takaamaan. Samalla rakennetaan valtavaa satelliittiverkostoa palvelemaan satunnaisia käyttäjiä haja-asutusalueilla. Starlink on paljastanut nykyisen asiakasmäärän, joka on 145000 käyttäjää 25 maassa.

Tapahtumat

Cisco Live Euroopassa siirtyi sittenkin virtuaaliseksi ja seuraava yritys on kesäkuussa Vegasissa. Mobile World Congress kuitenkin aiotaan järjestää helmikuun lopulla Barcelonassa perinteisin menoin.

Networking Field Day 27:ssa esittelivät tuotteitaan Itential, Zerotier, IP Fabric, Juniper, Network to Code, ZPE, Forward Networks ja Pica8. Tyler Christiansen on kirjoitellut fiiliksiään tuotteista.

Kuukauden hifibitti

Audiofiilien iloksi pientä viisiporttista UEF gigabit ethernet -kytkintä myydään reilun 2500 dollarin hintaan. Kyseessä ei olekaan mikä tahansa kytkin, vaan se pystyy takaamaan korkeamman laadun audiostriimeille Active EM Cell -teknologialla, joka poistaa eron digitaaliaudion ja vanhojen hyvien analogiäänitteiden väliltä. Myös kytkimen rakenne on erityinen: se eliminoi värinät, jotka voivat häiritä audiosignaalia. Mahtavaa. Saman kytkintoiminnon saisi kaupasta muutamalla kympillä. Digitaalisuudessa kun ne bitit joko ovat tai sitten eivät, bittien värittäminen menee jo kvanttiteknologian puolelle. Hifikaverit kuitenkin arvioivat näitä juttuja tosissaan. Rahaa voi polttaa myös kultakorvien SSD-levyyn, violetteihin kvanttisulakkeisiin tai puiseen madoitusboksiin. Äläkä unohda nostaa kaapeleita ylös lattiatasosta!

[FI] Tietoliikennealan katsaus 2021-12

Ongelmat

Joulukuussa oli AWS:n vuoro herätellä maailmaa yhdellä isolla häiriöllä ja kahdella pienemmällä. US-EAST-1 -alue kärsi laajoista häiriöistä 7.12.2021 Suomen ilta-aikaan. Katko kesti lähes viisi tuntia, koska ongelman selvitys oli mutkikasta. Ongelmat liittyivät pilvi-infran taustajärjestelmiin, joilla saattoi, tai ei saattanut, olla vaikutusta asiakaskuormiin riippuen asiakkaan palveluiden toteutuksesta. US-EAST on AWS:n ensimmäinen ja suurin alue, ja siten pää- ja oletuspaikka monille palveluille. Tekniikka on vanhempaa kuin muilla uudemmilla alueilla, ja aluetta on sanottu ongelmallisimmaksi. Verkon control-plane pyörii tiettävästi vain siellä ja joidenkin infrapalveluiden varmistava alue on EU:n länsirannikolla. Siksi verkon ongelmat US-EAST -alueella vaikuttivat maailmanlaajuisesti koko pilvi-infraan.

Ongelmat alkoivat yhden verkkopalvelun kapasiteetin lisäämisestä, mikä alkoi virheellisesti kuormittaa verkkoa poikkeusellisen suurella yhteysmäärällä. Kuormitus taas johti hitauteen, josta seurasi virheilyä palveluissa. Virheily taas lisäsi kuormitusta, mikä johti pysyvään ylikuormitustilaan. Kuten yleensä, hallinta ja valvonta ei nytkään toiminut, joten ongelmanselvitys oli hankalaa. Ongelmaa etsittiin lokeista ja sieltä päästiin DNS:n jäljille. DNS siirrettiin ensin pois virheilevästä verkosta ja tilanne parani hieman. Aikaa oli kulunut pari tuntia.

Valvonta oli edelleen pois pelistä ja korjauksia jatkettiin. AWS ei kerro mitä oikeasti sitten tehtiin, mutta ongelmat loppuivat lopulta viiden tunnin selvitysten ja korjausten jälkeen. Viallinen automaattiskaalaus poistettiin käytöstä. Koodi on ollut käytössä monta vuotta, mutta se kuitenkin laukaisi piilevän ongelman, josta ei ollut palautumismahdollisuutta. AWS:llä oli myös 15.12. pienempiä palvelinongelmia US-WEST -alueella ja 22.12. sähkökatko US-EAST -alueella. Häiriöitä ilmeni näissäkin tapauksissa AWS:n päälle rakennetuissa palveluissa.

Häiriön myötä on taas nostettu esiin pilven riskit ja ratkaisuksi ongelmaan monipilvi. Yhdenkin pilven kanssa käyttäjän pitäisi osata toteuttaa omien palveluiden monialuehajautus, joka tietysti monimutkaistaa ratkaisua ja nostaa hintaa. Kaikki vikaantuu joskus, mutta tällaisiin pilven sisäisen infran ongelmien vaikutuksiin on asiakkaan mahdotonta varautua. Isoissa pilvissä riskit ovat isot. OVH:n Strasbourgin tulipalon hinnaksi on arvioitu 120 M€ ja vaikutuksia koitui 65000 asiakkaalle ja 3,6 miljoonaan webbisivuun. AWS:llä luku on moninkertainen. Operaattoreilla on mietittävää kun ne vievät 5G-alustojaan pilveen, vaikka ongelmat eivät muutakaan kehityssuuntaa. BT:n Neil McRae twiittasikin, että mobiilicoren tunkeminen pilveen on hölmöille. Operaattoripalveluita varten pilven pitää tarjota ihan eri tason SLA, kovennukset, tietoturva ja luotettavuus. Kriittiset ja tärkeät viestintäpalvelut vaativat palvelutoimittajilta paljon syvempää vastuuta kuin pelkkää käytettävyyden SLA:ta.

Google esitteli metsäpalon vaikutuksia Etelä-Carolinan takamailla. Konesalien välinen 100 Tbps -kuitukapasiteetti tuhoutui, mutta saatiin palautettua 12 tunnissa. Kuitu oli kyllä maan alla, mutta löysää kaapelia oli keritty varalle jakokaappiin, jossa se suli.

Kentik on listannut vuoden kymmenen isointa verkkohäiriötä. AWS ei ehtinyt mukaan listalle.

Operaattorit ja 5G

Huawei-kieltojen myötä Open RAN:sta toivotaan vaihtoehtoa Nokialle ja Ericssonille. Varsinkin Briteissä usko on kova. Turvallisuusvirasto NCSC on liittynyt mukaan O-RAN -allianssiin, mikä on varmasti hyvä tapa olla mukana kehityksessä ja vaikuttaa asioihin. Mediaministeriö on arvioinut, että 2030 yli kolmannes mobiililiikenteestä voisi käyttää O-RAN -arkkitehtuurilla tehtyä verkkoa. Samalla julkaistiin 50 miljoonan punnan tuki tutkimukselle ja kehitykselle. Viime aikoina on kuitenkin oltu pessimistisiä O-RAN:n käyttöönoton kanssa, mutta ehkä pitkällä tähtäimellä merkitys voi olla suurempi. O-RAN -pioneerien Rakutenin ja Dishin välille on jo ehdotettu yhdistymistä, vaikka mitään aikeita ei olekaan tullut julki. Myös Viro on sulkenut Huawein pois verkoistaan. Elisan Viron verkko on Huaweilla tehty ja siksi Elisan kanta on ollut jyrkästi Huawei-kieltoa vastaan. Nyt Elisan paikallinen johtaja Sami Seppänen on eronnut tehtävästään. Elisa on tehnyt viisivuotisen sopimuksen Nokian kanssa.

Joka tapauksessa Huawei jatkaa edelleen operaattorituotteiden markkinajohtajana 28% osuudellaan. Osuus on yhtä suuri kuin Nokialla ja Ericssonilla yhteensä, mutta pakotteiden vaikutus alkaa näkyä hiljalleen numeroissa. Huawei otti kärkipaikkansa 2014 Nokialta ja sen jälkeen Nokian markkinaosuus onkin laskenut koko ajan. Nyt nousussa ovat Samsung ja ZTE. Myös japanilainen 120-vuotias perinneyhtiö NEC aikoo haastaa 5G-markkinaa energianaan O-RAN ja uusi teknologia. Kiinalaiset kuitenkin vaikuttavat monen yhtiön taustalla. Osittain brittiläinen, kiinalaisella rahalla toimiva Picocom esitteli järjestelmäpiirin piensoluihin. Pienemmät valmistajat voivat kilpailla erikoistuneilla piireillä ja käyttökohteilla, ei x86- tai ARM-prosessoreilla. Kiinalaisilta on evätty pääsy amerikkalaisiin komponentteihin, joten vaihtoehdot kiinnostavat ja investointiraha virtaa.

Suomessa DNA on avannut 700 MHz -taajuuden 5G-käyttöön ja kasvattaa sillä peittoaan merkittävästi. Matalalla taajuudella tukiaseman peitto yltää jopa 10 km päähän. DNA on myös julkaissut tilastoja verkkonsa käytöstä Datakronikka 2021 -raportissaan. Mobiilidatan suurkuluttajia ovat alle 30-vuotiaat, mutta myös vanhemmat ovat kasvattaneet kulutustaan yllättävän paljon. Jyväskylässä käytetään eniten dataa per liittymä, 833 megatavua päivässä. DNA:lla on Tefficientin mukaan maailman toiseksi kovin datan kulutus mobiililiittymissään. Positiivinen kierre ruokkii käyttöä: nopeat liittymät tuovat uusia palveluita ja sovelluksia, ja muuttavat käyttötottumuksia, mikä taas kasvattaa datan käyttöä.

5G on ollut yhteinen teknologiaprioriteetti kaikille operaattoreille. Entistä nopeammin kasvavat kustannukset ovat alkaneet eriytyä tuotoista. Kymmenen vuotta sitten kustannuspainetta yritettiin taklata säästämällä investoinneista. Viisi vuotta sitten operaatiivisten kustannusten pienentäminen oli avainsana. Säästöt ovat heijastuneet asiakastyytyväisyyteen, jota suomalaisoperaattorit ovatkin korjanneet viime vuosina parempaan suuntaan. Nyt säästön uskotaan tulevan verkkojen avoimuudesta. Mutta miten? Disaggregaatiota käytetään lähinnä kolmantena valmistajana kirittämään vanhoja valmistajia parempiin alennuksiin. Todellisuudessa avoimet verkot vaativat paljon enemmän omaa työtä ja panostusta, joten avoimuuden edistäminen on jäänyt melko vähäiseksi. Tuotehallinnassa uskotaan, että uudet palvelut luovat enemmän tuloja. Palveluiden suhteen ollaan kuitenkin kyttäysasemassa ja päätöksiä ei saada tehtyä. Odotetaan, että joku muu tekee aloitteen tai hoitaa asiat operaattorien puolestaan. Tarvetta pitäisi rakentaa luomalla infraa ja kapasiteettia, kuten DNA:kin positiivisesta kierteestä totesi. Suomessa tunnutaan olevan tässä mielessä hieman edellä muuta maailmaa.

Uuden Virve-palvelun käyttöönotto alkaa vaiheittain tänä vuonna. Elisan tuottaman laajakaistapalvelun avulla voidaan perinteistä puhepalvelua laajentaa myös videolla, paikkatiedolla ja puheentunnistuksella. Siirtymäajan 2023-2025 push-to-talk -ryhmäpuhelut toimivat uuden ja vanhan verkon välillä. Käyttäjien omat 1300 sovellusta voidaan päivittää vaiheittain laajakaistapalveluun. Elisa kasvattaa verkon maantieteellistä kattavuutta lähivuosina.

Telian henkilöstöraportointi hämärtää yritysrakenteen ymmärtämistä, koska se näyttää ihmisten siirtyvän maayksiköistä “muuhun toimintaan”, jossa on jo kolmannes työntekijöistä. Entinen valtionyhtiö BT on kulkenunut matkan yksityisomistukseen kun sen suurin yksityisomistaja, ranskalais-israelilainen Patrick Drahi on kasvattanut omistuksiaan Altice-omistuksen kautta 18%:iin. Drahi on nyt lähellä vallata BT:n täysin hallintaansa. Myös Saksan DT omistaa toiseksi suurimman osuuden BT:stä, mutta toistaiseksi kaupoista on vain spekuloitu. Maan hallitus on kuitenkin luvannut puolustaa kansallista kriittistä infraa ulkomaiselta hallinnalta.

Pilvi ja konesali

AWS re:Invent tarjoili pläjäyksen uusia julkistuksia. Verkkopuolelle tuli Cloud WAN, Direct Connect SiteLink ja Private 5G. Cloud WAN on AWS:n vastine Azuren Virtual WAN:lle ja Googlen Network Connectivity Centerille. Pilviasiakas voi siirtää WAN-liikenteensä AWS:n verkkoon ja hallita sitä pilvityökaluilla. Kumppanien kautta omat toimipisteet integroituvat mukaan kokonaisuuteen. Kumppaneita ovat Aviatrix, Cisco, Fortinet, Prosimo, VMware, Aruba, Alkira, Intercloud ja DXC Technologies. AWS esittelee Cloud WAN:ia tarkemmin blogissaan. Cloud WAN tarvittiin helpottamaan monimutkaiseksi käynyttä alueiden ja toimipisteiden välistä verkkosekamelskaa, joka ei enää skaalautunut järkevästi. Cloud WAN:n myötä verkosta tulee flätti ja kommunikointi muodostetaan suoraan segmenttien välille ilman Transit-GW- ja peering-hässäköitä. Jos Transit-GW:tä haluaa käyttää, osaa nyt peerata myös saman alueen sisällä.

Direct Connect SiteLink on palvelu, jolla asiakas voi yhdistää omia toimipisteitään AWS:n Direct Connectin kautta suoraan toisiinsa. Kaikki Direct Connectit liittyvät samaan globaaliin yhdyskäytävään (DXGW), jonka avulla ne voivat suoraan välittää liikennettä keskenään. Enää ei tarvita pilvialueiden välisiä siirtolinkkejä operaattorilta. Monimutkaisempia reititysmalleja esitellään blogissa. Re:Invent-esitykset Cloud WAN:sta ja Direct Connect SiteLinkistä on julkaistu ja toisessa esityksessä käydään läpi palvelut tarkemmin.  Cloud WAN:lla ja Direct Connetilla on tietysti myös hinta, jonka laskeminen voi olla vaikeaa.

Suurin yllätys tuli privaatti-5G:n julkaisusta. AWS tarjoaa koko 5G-paketin yksityisverkon rakentamiseen SIM-kortteja, radioita ja sovelluksia myöten. Kaikki kieltävät, että tässä ei astuta operaattorien tai laitevalmistajien varpaille, mutta nähtäväksi jää mihin tämä johtaa. Analyytikot varoittavat laitevalmistajia enemmän kuin operaattoreita, koska harvalla valmistajalla on tarjota yhtä kovaa infran, sovellukset ja palvelun yhdistävää pakettia kuin AWS:llä.  AWS positioi itsensä aloittelevien ja kokeilevien yritysten palveluntarjoajaksi. Jatkossa palvelua on helppo laajentaa yrityksille ja operaattoreille. AWS:n kannalta järkevää olisikin liittoutua operaattorien kanssa, koska operaattoreilla on skaalautuvuus ja taajuudet kansallisesti ja maailmanlaajuisesti. AWS:n tarkoitus on todennäköisesti kahmia lisää asiakkaita pilvipalveluihin ja sitouttaa asiakkaat pilveen. 5G-palvelun käytön aloitus on “shokeeraavan” helppoa, hallinta tulee palveluna ja laskutus juoksee kulutuksen mukaan ilman isoja alkuinvestointeja. Tosin palvelun pitää kehittyä ja skaalautua jatkossa paremmin, jos ja kun käyttö kasvaa. Nyt ei julkaistu mitään suorituskykylukemia.

Kaikki nämä uudet verkkopalvelut ovat taas yksi askel kohti verkkoa palveluna -mallia (NaaS). Operaattori jää tarjoamaan bittiputkea kun pilvialusta ottaa ylemmän tason haltuunsa. Pilvi muuttaa verkon kustannusmallin ja tuo vauhdilla lisää kehitystä ominaisuuksiin. Vaikea olla näkemättä, etteikö pilvi veisi osan operaattoreiden ja laitevalmistajien kakusta siirtämällä verkon kulutuksen pilveen. Pilvi myös tasavertaistaa ja modernisoi verkon samalle tasolle muiden IT- ja sovelluspalveluiden kanssa

AWS syvensi palvelujaan eri toimialoille, kuten teollisuuteen, auto- ja finanssialalle, ja yrittää jopa saada keskuskonesovellukset imettyä pilveen. AWS:n kattavaan ja käyttäjäystävälliseen palveluvalikoimaan voi olla perinteisten operaattoreiden vaikea vastata pelkillä yhteyspalveluilla. 5G:n osalta pitäisi osata keskittyä tiettyihin sektoreihin syvällisesti, eikä jahdata kaikkia toimialoja. Mutta vaikeus tulee siinä mitä jättää pois. Meta on valinnut AWS:n pitkäaikaiseksi strategiseksi kumppaniksi, mikä on merkittävää, koska Meta on yksi viimeisiä jättejä, jotka tekevät omaa infraa. AWS myös julkaisi uudet Graviton 3 -suorittimet, ja pienemmät pizzaboksi-Outpost -kokoonapanot, sekä laajensi Local Zonet Suomeen asti.

AWS on avannut ilmaiset kurssit ja re:Post -keskustelupalstan, jossa voi kysellä kysymyksiä, etsiä vastauksia ja keskustella yhteisön kesken. AWS Global Accelerator on monipuolinen palvelu, joka ei vaan kiihdytä, vaan myös tekee monia muita temppuja globaalissa verkossa. Referenssiarkkitehtuureita on julkaistu verkkopalomuurista ja Route 53 -nimipalvelusta. Google on julkaissut Cloud IDS:n saatavuuden ja uusia ominaisuuksia. Palvelu perustuu Paloalton VM-sarjan palomuurien havainnointiin ja taustalla toimivaan Unit 42 -yksikköön. Palvelu havainnoi sekä internet-liikennettä että palvelinten välistä east-west -liikennettä. Myös Googlen Chronicle -analytiikka-alusta yhdistyy havainnointiin.

AWS jyrää pilvessä yli miljoonan asiakkaan, 190 maan ja 8000 kumppanin voimalla ja siksi re:Invent kertoo mihin pilvi on menossa. Pilvi-infra on integroitumassa ja eriytymässä eri toimialoille suunnattuihin kohdennettuihin palveluihin. Toimialapilviä alkaa syntyä, koska ne auttavat erottautumaan valtavirtapalveluista ja vastaavat paremmin liiketoimintarpeisiin. Pilvi on tehnyt teknologiasta kaikkien käytettävää ja kohderyhmäksi on noussut yhä enemmän liiketoimintateknologistit, maallikkokehittäjät ja data-analyytikot. Vaikka asiakkaat haluaisivat pysyä infraneutraalina, hyvin liiketoimintatarpeeseen vastaavan palvelun helppous ja taloudelliset hyödyt voittavat. Pilven hinnoittelu ja liiketoimintamallit muuttuvat kun funktioiden käytöstä tulee valtavirtaa. Sen myötä sovellusarkkitehtuuritkin muuttuvat. Nyt noin 40% työkuormista ajetaan pilvessä ja sama määrä omissa konesaleissa. Pilvi leviää ulos keskitetyistä konesaleista kun se tavoittelee vaikeimmin siirrettäviä sovelluksia asiakkaiden konesaleista. Asiakkaalle annetaan ainakin vaihtoehto siirtää sovelluksiaan pilveen. Suurin kysymys pilven osalta on se miten kaiken rahan, osaamisen, markkina-aseman kahmivien teknologiajättien kanssa voi elää ja kilpailla. Erikoistuva SaaS näyttää olevan yksi tie, toinen tapa on yhdistää julkista ja privaattipilveä houkuttelevaksi kokonaisuudeksi.

Yrityksille pilveen siirtyminen ei ollut koskaan tavoite, vaan ne tarvitsivat joustavaa kapasiteettia. Pilvi tarjosi elastisuutta, mutta hinta oli kova. Kustannus on tärkein syy mikä rajoittaa yritysten pilven käyttöä. Siksi ne katselevatkin toisiin vaihtoehtoisiin pilviin. Pilven suuret voitot houkuttelevat uusia toimijoita kilpailuun, mutta tekevätkö uudet pelurit pilvestä yhtään kilpaillumpaa? Kuten todettu, erottautuminen ja skaalalla kilpailu ei ole helppoa jättiläisiä vastaan. Oracle ja IBM ovat löytäneet jonkinlaisen paikan, Cloudflare pystyy haastamaan kärkikolmikkoa ja Vmware taiteilee hybridipilven päällä. Monipilvi on toistaiseksi liian vaikea ja kallis yrityksille. Tarvittaisiin yhteensopivia ominaisuuksia, jotta pilvien välinen yhteiskäyttö yleistyisi ja kilpailu lisääntyisi. Tällainen superpilvi, sky computing tai pilvetön yritys on vielä vuosien päässä. Vanha viisaus sanoo, että jos et tiedä mitä tehdä, siirry pinossa ylöspäin. Vuosikymmenen lopulla lähes kaikki menestyvät pilviyritykset ostavat pilvipalvelua, eivät rakenna niitä. Siksi tulevaisuus on “pilvetön”.

Google onkin nyt tehnyt monipilvestä helpompaa sisällyttämällä Anthos-palveluun Azure-tuen. Nyt Googlen Kubernetes-klustereiden hallinta toimii keskitetysti kaikkien kolmen pilven kesken standardoiduilla komennoilla. Googlen Knative-projekti on tehnyt kehitystä pilvifunktioiden standardoimisessa Kubernetes-käyttöön. Nyt projekti on luovutettu Cloud Native Computing Foundationille (CNCF).  Kiistämättä pilvi on ollut muutosvoima, mutta suurimmalla osalla yrityksiä on vaikeuksia löytää pilvisiirtymästä todellista hyötyä. Enemmän arvoa olisi saatavilla luovemmilla palveluilla, joita varten taas pitäisi olla tiiviimmin asiakkaan kanssa yhteistyössä. PwC:n pilvikysely kertoo amerikkalaisten yritysten johdon näkemyksistä pilvitodellisuuteen. Myös IDC toistaa samaa kuvaa: SaaS:sta on tullut normaali tapa tehdä IT-palveluita ja yritykset ovat riippuvaisia näistä perustavanlaatuisista pilvipalveluista. Liiketoimintatuotokset ratkaisevat, ei IT-järjestelmä. Pilvi laajentuu ja hajautuu ympäriinsä, siksi sekalaisten pilviresurssien hallinta on nyt yritysten suurin päänvaiva.

SaaS-toimijoilla, jotka käyttävät julkista pilveä palveluidensa tuottamiseen, kustannukset ovat alkaneet karata käsistä. Zscaler käyttää 0,91 dollaria per asiakas alustakustannuksiin, siksi se menetti 262 miljoonaa dollaria eli yli kolmanneksen viime tilikauden liikevaihdosta. SaaS malli ei ehkä olekaan toimiva. Tai ainakin kasvavan SaaS-yrityksen on kasvatettava alustaa ja markkina-asemaa tappiolla, kuten alustataloudessa on tapana. Päämääränä häämöttää viimeinen pelastus eli listautuminen.

Pilven mukana tuli myös SD-WAN, mutta mihin se riittää ja mikä on sen tulevaisuus? Pilvi alkaa olla myös hajautunutta edgeä, jossa on aivan erilainen toimintamalli kuin suhteellisen staattisten työkuormien isossa keskitetyssä pilvessä. Edgessä palvelut ovat väliaikaisia ja niitä ajetaan siellä missä kulloinkin tarvitaan. Myös verkon pitäisi pystyä vastaamaan tällaisten siellä täällä pompsahtelevien palveluiden tarpeisiin. Verkko voi olla aina sidottu työkuormaan, mutta silloin verkosta tulee iso ja monimutkainen. Toinen vaihtoehto on luoda yhteydet työkuormien tarpeiden mukaan hetkellisesti. Tätä tapaa monipilvihallintatuotteet, kuten Alkira ja Aviatrix käyttävät. Ne ovat myös lisänneet tuotteisiinsa tietoturvaa ja integrointeja eri alustoihin. Myös perinteiset valmistajat kuten Cisco, Fortinet ja Vmware ovat uudistaneet monipilvityökalujaan. Cisco reitittää dynaamisesti tarpeen mukaan Thousandeyesin avulla ja Vmware taas kokoaa hajanaiset sovellukset yhteen keskitettyyn hubiin. SD-WAN -valmistajilla on valmiina vankka asiakaspohja ja laitekanta, joiden kautta on helppo laajentaa uusilla ominaisuuksilla kuten SASE:lla. Isoilla valmistajilla ja laajoilla tuotevalikoimilla on edellytyksiä menestyä. Fortinet ja Paloalto ovat vahvoja myös jatkossa. Toisaalta myös pilvijätit kilpailevat omilla WAN- ja tietoturvapalveluillaan. Tekninen ratkaisu ei enää voita, vaan paketissa pitää olla kokonaisuus kunnossa.

Arctos Labs ratkoo edgen epämääräisyyttä sijoitteluoptimoinnillaan. Edgessä esim. viiveet, kapasiteetti ja energiankäyttö vaikuttavat sovelluksen ajopaikkaan ja niiden pohjalta pyritään määrittelemään optimaalinen sijoittelu missä mikäkin kuorma ajetaan. Arctos on ollut mukana EU:n älykkään verkkoautomaation Celtic-Next AINET-ANIARA -tutkimushankkeessa, johon myös VTT osallistui. Azure jatkaa avaruuden valloitustaan uusilla ominaisuuksillaan ja yhteistyöllä Airbusin kanssa.

Cloudflare on viettänyt CIO-viikkoja ja julkaissut taas yli 30 artikkelia tuotteista ja ominaisuuksista, jotka saattaisivat kiinnostaa tietohallintojohtajaa. Erillisverkkojen Turvapilvipalvelu on kotimainen, räätälöitävä ja internetistä irti oleva pilvipalvelu, joka on suunnattu viranomaisille ja muille turvallisuustoimijoille. Superkoneisiin voi sijoittaa satoja miljoonia, mutta laskentaa voi ajaa myös pilvessä. Koneet eivät ole kiinnostavia, vaan tieto ja sen ympärillä tapahtuva innovointi. Sovellukset ratkaisevat ja siksi pilvi on nousemassa tälläkin saralla enemmän esille. Toteutukset voivat vaihdella privaattipilven Openstackistä julkisen pilven palveluihin.

Oman pilven rakentamista haittaa komponenttipula. Verkkokorttien toimituksissa on myös yli vuoden toimitusaikoja. Verkkokorteissa on paljon komponentteja ja siksi enemmän toimitusvaikeuksia. Ethernet-ohjaimet taas ovat ylemmällä tasolla toimitusketjussa ja niissä on vähemmän komponentteja, joten niitä saa paremmin. Ohjaimien toimitus onkin saavuttanut huippulukemat ja kärkivalmistajat ovat Nvidia, Intel ja Broadcom. SmartNIC:t menevät vielä enimmäkseen pilvijäteille ja ne myös kehittävät omia korttejaan. SmartNIC-valmistajia ovat Marvell, Intel, Xilinx, Nvidia, Napatech, Pensando, Fungible, Ethernity ja Broadcom.

Intel on menettämässä konesalikuninkuutensa kun AMD aja ARM haastavat sitä eri suunnista. Vielä 2017 Intel pyöritti 98% palvelimista, mutta nyt markkinaosuus on enää 77%. Rahassa laskua on tullut miljardeja. AMD on menestynyt uusilla tehokkailla prosessoreilla, vaikka Intel lupaileekin uuden prosessorinsa lyövän AMD:n mennen tullen. ARM on erikoistunut energiatehokas vaihtoehto tiettyihin käyttötarkoituksiin. AWS on kehitellyt omaa Gravitoniaan ja Huawei on ajettu pois x86-maailmasta ARM:n ja RISC-V:n pariin, mikä on lisännyt ARM:n menestystä. Intel aikoo ottaa johtoaseman takaisin parin vuoden päästä ja on joutunut vastaamaan kilpailuun strategisilla päätöksillään. Sen uusi tehdas tulee valmistamaan myös muita prosessoreja kuin x86:ta.

Nutanix on ollut hyperkonvergenssin johtaja, mutta ei ole saanut laajennettua riittävästi tullakseen kannattavaksi. Uusi kumppanuus paljon isomman Citrixin kanssa voisi olla alkua laajemmalla yhdistymiselle, jolla kaksikosta tulisi varteenotettava pilviyhtiö. Ainakin yhtiön nimi loppuisi ix. Nutanix suututti hetkellisesti Vmwaren kun se palkkasi Vmwaren entisen operatiivisen johtajan Rajiv Ramaswamin toimitusjohtajakseen. Syytökset koskivat taustalla vehkeilyä Nutanixin kanssa. Kiista sovittiin nopeasti ja asia kuihtui kasaan.

Konesalimarkkinan tuoreesta tilanteesta saa tietoa Knight Frankin ja Cushman & Wakefieldin raporteista. Rittal jakaa ohjeet miten tuhota datakeskus: älä päivitä, luota upsiin ja laitteiston hälytyksiin, anna ylläpito kiinteistöhuollolle ja säästä suunnittelussa ja kartoituksessa.

Kyberturvallisuus

Viime vuoden joulukuussa Solarwinds-tapaus hätkähdytti, nyt vuorossa oli Apache Log4j-haavoittuvuus. Javan avoimen koodin lokikirjaston hyväksikäyttö esiteltiin alun perin jo 2016 Blackhatissa. Haavoittuvuus on ollut koodissa vuodesta 2013. Kuvat selittävät mistä on kyse. XKCD:n klassikkokuva esittää hyvin miten riippuvainen nyky-yhteiskunta on avoimen koodin ylläpidosta, jota vain muutamat ihmiset tekevät harrastuspohjalta ilmaiseksi. Tämä on siis pelkkää haavoittuvuutta isompi perustavanlaatuinen ongelma. Jälleen on muistuteltu yrityksiä ilmaisen ohjelmiston käytön vastuusta ja siitä miten niiden pitäisi osallistua kehitykseen ja ylläpitokustannuksiin. Ongelmana tässä tapauksessa on se, että Log4j on hyvin laajasti käytetty kirjasto ja kaikkia käyttökohteita ei tiedetä. Siksi tässäkin tapauksessa on tullut esille inventaariotietojen tärkeys. Yrityksellä pitäisi olla tieto käyttämistään ohjelmistoista sisältöineen ja toisaalta valmistajien pitäisi pystyä toimittamaan listaa käyttämistään ohjelmistokomponenteista (SBOM) käyttäjille.

Tapaus on sen verran vakava, että Traficomkin patistaa johtoa välittömiin toimenpiteisiin toiminnan ja talouden jatkuvuuden takaamiseksi.  No, toimitusjohtajat eivät ainakaan korjaa ongelmaa ja hallituksen apu tuskin auttaa kun kyse on sovelluskehitysongelmasta. Haavoittuvuuden häntä on vuosia pitkä, koska kaikkia tapauksia ei tiedetä ja niitä pulpahtelee esiin jatkossa ties mistä. Myös korjaaminen kestää pitkään kun tuhansia tai jopa miljoonia sovelluksia ja satoja miljoonia laitteita on käytävä läpi ja päivitettävä. Tämä voikin olla loppuelämän mittainen työ. Resursseja tapauksen seurantaan voi etsiä esim. referenssioppaasta, cheat sheetista ja Rumblen sovelluslistauksesta. Rob Fuller selventää faktoja tästä tapauksesta. Tutkijat jopa löysivät keinon hyväksikäyttöön paikallisesti ilman verkkoyhteyttä.

Bloomberg kertoo haavoittuvuuden löytäneestä Alibaban tietoturvatutkijasta Chen Zhaojunista ja miten mylly käynnistyi. Kiire oli kova kun tieto vuoti Wechat-ryhmän keskustelusta julkisuuteen. Ensimmäiset hyväksikäytöt nähtiin Cloudflarella yhdeksän päivää ennen haavoittuvuden julkistusta. Sen jälkeen alkoi laajempi pommitus kryptolouhijoilla, lunnasohjelmilla ja muilla haittaohjelmilla. Joulukuun aikana ainakin puolet suomalaisista yrityksistä oli saanut osansa hyökkäyksistä. Tietovuodoista pitäisi ilmoittaa tietosuojavaltuutetulle, mutta loukkauksia oli raportoitu vain pari ja tietovuotoja ei ollut tapahtunut.

Havainnointia ovat vaikeuttaneet jatkuvat skannaukset, joita tietoturvatuotteet ja -palvelut tekevät asiakkaiden omiin järjestelmiin. Jopa 75% havainnoista tulee omista tietoturvatestauksista. Päivitysten julkaisukaan ei mennyt ihan putkeen kun uusia korjauksia tuli alkuun lähes päivittäin ja viimeinen korjattu versio on nyt joulukuun lopulta. Tapaus on sekava ja laaja, joten siitä on hyvä repiä huumoria: viralliset log4shell GIF:t.

Tietoturvaan käytetyn rahan, yli 120 miljardia dollaria vuodessa, voi nähdä 30-vuoden IT-velan korkona.

Sdxcentral muistuttelee viime vuoden pahimmista tietoturvatapauksista, jotka ovat vain jäävuoren huippu. Uudempia kiinalaisia pilviä Huawei Cloudia, Tencentiä ja Baidua vastaan on hyökännyt uusi bottiverkko Abcbot, joka yrittää ottaa haltuun Linux-palvelimia. Alibaba on tietoturvaltaan kehittyneempi ja siksi se on säästynyt iskuilta. Qrator on havainnut uuden bottiverkon, joka iskee kameroihin ja joihinkin reitittimiin. Erikoista tässä on hyökkäystapa TCP random flood, jolla isketään kohdepalvelimeen satunnaisdatalla ja isoilla paketeilla. Dark Mirai bottiverkko iskee TP-linkin reitittimiin ja Meris-bottiverkolle haavoittuvia Mikrotik-laitteita on internetissä edelleen satoja tuhansia, vaikka korjaus on julkaistu kolme vuotta sitten. Google on ajanut alas Glupteba-bottiverkon hajottamalla komentoketjun ja haastamalla kaksi venäläistä henkilöä oikeuteen. Tällä uskotaan olevan kuitenkin vain väliaikainen vaikutus, kunnes toiminta palaa taas entiselleen.

Tutkijat ovat analysoineet yhdeksän suosituinta wifi-reititintä ja löytäneet tuoreimmista ohjelmistoversioista yhteensä 226 mahdollista haavoittuvuutta. Pahimmat olivat TP-Link Archer AX6000 ja Synology RT-2600ac, joissa molemmissa oli yli 30 bugia. Yleisimmät ongelmat olivat vanhentunut Linux kernel, ongelmat vpn- tai mediatoiminnoissa, luotto Busyboxin vanhoihin versioihin tai heikot, kovakoodatut ja selkokieliset salasanat. Hyvä puoli oli kuitenkin se, että valmistajat julkaisivat korjaukset löydöksiin. Sonicwallin SMA100-sarjasssa on jälleen vakavia haavoittuvuuksia, jotka pitää paikata heti. Alemman tason haavoittuvuus on löydetty wifi- ja bluetooth-piireistä, joita on miljardeissa laitteissa kuten puhelimissa. Jaettujen komponenttien avulla laitteessa voi liikkua sivuttain piirin ulkopuolelle ja näin syöttää laitteelle haitallista koodia. Varsinainen kuoleman pommi on HP-palvelinten iLO-bleed -haavoittuvuus. Huippuluokan APT-tason haavoittuvuutta on käytetty 2020 palvelinten tyhjentämiseen iranilaisorganisaatioissa. Tällaista haavoittuvuutta on vaikea edes havaita yleisillä työkaluilla.

Grafana 8 -versiossa on nollapäivähaavoittuvuus, jonka hyväksikäyttöohje on levinnyt mediassa. Se antaa mahdollisuuden päästä kiinni paikallisiin tiedostoihin. Pilviversiota tämä ei koske. Päivittämättömiä Confluence- ja Gitlab-palvelimia vastaan hyökkää jälleen vanha Cerber-lunnashaittaohjelma. Lastpass-salasanapalvelulla oli kummallisia ongelmia, jossa käyttäjät raportoivat, että heidän pääsalasanalla kirjauduttiin luvattomasti sisään. Tapaus näytti tietovuodolta, mutta Lastpass kiisti kaiken. The Record listaa joulukuun lunnashaittaohjelmien tilastoja. Tutkijat varoittavat, että haitallisten uinuvien domainien määrä on kasvussa. Tietoturvatuotteet arvioivat yleensä uudet domainit epäilyttävimmiksi, siksi hyökkäyksiä varten domainit rekisteröidään usein vuosia ennen iskua. Yhtäkkiä uinuva domain saattaa aktivoitua ja sen huomaa liikennemääristä. Toinen merkki haitallisuudesta on alidomainien luominen. Yleisesti myös haittadomaineilla on puutteelliset whois-tiedot.

Venäjä on nyt kieltänyt 15 uutta VPN-tuotetta. Kieltolistalle ovat päässeet  Betternet, Lantern, X-VPN, Cloudflare WARP, Tachyon VPN ja PrivateTunnel. Venäjä on myös yrittänyt hajottaa Tor-verkkoa sulkemalla Tor-nodet maasta. Lisäksi Tor-verkkoon on asennettu haitallisia palvelimia, joilla liikennettä saataisiin purettua. KAX17-ryhmä on ajanut lähes tuhatta omaa palvelinta normaalin 10000 Tor-verkon palvelimen seassa.

Suomessa Vastaamon tapauksesta on langetettu sakkoja potilastietojärjestelmän ylläpidon laiminlyönneistä. Nixun tutkinnassa todettiin palvelimessa olleen SQL-portti auki internetiin ja root-tunnukselta puuttui salasana ainakin puolentoista vuoden ajan. Sakkoja tuli Suomen ennätyksen verran 608000 euroa. SMS-viestintä näyttää saavuttaneen internetin turvallisuustason kun huijausviestejä on lähetelty miljoonia Flubot-kampanjassa. Operaattorit ovat jokseenkin avuttomia suodatustoimien edessä, vaikka viestejä onkin saatu suodatettua satoja tuhansia tai miljoonia. FISC Kyberala ry:n toiminnanjohtaksi on nimetty Peter Sund osaamisalueenaan hallinnolliset asiat. Tammikuun lopussa järjestetään Euroopan laajuinen Flagship 2 -kyberharjoitus. Siinä on mukana avoin osuus, johon voi liittyä kyberanalyytikon roolissa avustamaan varsinaisen harjoituksen osallistujia. Tarkoituksena on tutustuttaa ihmiset tekniseen tutkintaan ja näyttää miten myös teknisten asiantuntijoiden pitää olla perillä organisaation toiminnoista. Mukaan voi hakea 12.1. asti.

DevSecOps ja vasemmalle siirtyminen ovat nyt kuuminta hottia tietoturvassa. On helpompaa ja tehokkaampaa integroida tietoturva jo alun alkaen mukaan sovelluskehitykseen ja korjata bugit kehitysvaiheessa kuin vasta tuotannossa. Kaikki valmistajat haluavat nyt olla mukana ja työkaluista tehdään sovelluskehittäjämyönteisempiä. API on tärkeä osa sovelluksia ja myös niiden suojaamista. Ciscolla on avoimen koodin projekti APIClarity, jossa havainnoitavuutta yritetään tuoda API-tasolle. Ketään ei varmaan yllätä, että automaatio auttaa tietoturvaongelmien ratkaisussa ja resurssipulassa. Lähes kaikki Ciscon tutkimuksen vastaajat, jotka käyttivät automaatiota hyödykseen,  saivat parempaa lopputulosta aikaan. On hyvä muistaa, että automaatio ei ole vain hienoja tekoälytoimintoja, vaan se sopii hyvin tavallisiin rutiinihommiin. Yhden valmistajan tuotteet toimivat käytännössä paremmin kuin monen tuotteen integraatiot. SASE ja zero trust paransivat myös tietoturvatasoa kunhan ne oli otettu kunnolla käyttöön. Tutkimus antoi viisi vinkkiä käytäntöön: ennakoiva päivitys, hyvin integroitu tietoturvateknologia, täsmällinen uhkien havainnointi, nopea vaste ja tarkka jatkuvuussuunnittelu. Nämä toteuttamalla pääset tietoturvallisten yritysten top 80%:n joukkoon.

Zscaler laajensi SASE-mallia julkiseen pilveen. ZIA ja ZPA suojaavat nyt myös julkisen pilven työkuormia myös pilven sisällä ja eri pilvien välillä. Cloudflare taas kampanjoi Oahu-ohjelmallaan perinteisten palomuurien korvaamiseksi pilvinatiivilla vaihtoehdolla. Toimitusjohtaja Princen sanoin Fortinet ja Paloalto eivät vastaa nykypäivän tarpeeseen ja Zscaler ei pysty vastamaan kysyntään. Ratkaisu on siis Cloudflaren oma pilvipalomuuri, joka on sovelluskehittäjämyönteinen ja sisältää myös zero trust -politiikat, salauksen purun ja DDoS-suojauksen.

Trendmicro ennustaa tietoturvan kehitystä vuodelle 2022. Oikeastaan mitään uutta ja mullistavaa ei ole näköpiirissä, nykyiset ongelmat vain pahenevat. Tästä ei kannata masentua, organisaatiot voivat kuitenkin hyvin vastata uhkiin sopivilla toimilla. Microsoft on julkaissut omat kyberturvallisuusarkkitehtuurinsa MCRA-kuvat, joista selviää mitä kaikkea Microsoftilla on tarjota turvallisuuden varmistamiseksi. Oma lukunsa on valtioiden sisäinen kyberorganisaatio, josta esimerkkiä Saksasta. Maassa on lähes 350 organisaatiota, jotka tekevät osansa kyberturvallisuuden puolesta. Toimijat YK:n tasolta paikallistasolle on kuvattu ja lueteltu kyberturvallisuusarkkitehtuuridokumentissa.

Tekniikka ja operointi

NaaS yleistyy hiljalleen valmistajien tuoteportfolioissa. HPE, Dell ja Cisco ovat mainostaneet tuovansa markkinoille kaikki tuotteensa palveluna. Liikkeelle on lähdetty palvelinkapasiteetista ja SASE:sta, verkkotoiminnot ovat vasta tulossa. Vanhin konsepti on HPE:n Greenlake reilun kolmen vuoden takaa. Dell Apex tuli 2019 ja Cisco Plus 2021. HPE:llä on siis pisimmällä tarjoten jo verkkopalveluitakin, ja sillä on vankin pohja 1250 asiakkaallaan ja yli 5,7 miljardin dollarin arvoisilla sopimuksillaan. Käynnistyminen on ollut hidasta ja saa nähdä miten nämä verkkopalvelut saavat sijaa. Hinta on yksi ratkaiseva tekijä ja kuten pilvessäkin rahalle pitäisi löytää vastinetta. Uutta mallia on myös vaikea uittaa vanhan infran sekaan, joten odotettavissa on isompien kokonaisuuksien uusimista.

Kubernetes saa virallisesti ipv4/ipv6 dual stack -toteutuksen versiossa 1.23. Cloudflare kertoo blogissaan miten heidän ohjelmoitava Magic Firewall -palvelu on tehty Linuxin eBPF:llä. Linuxissa palomuurivaihtoehtoja riittää ja tämä palvelu käyttää nftablesia joustavuuden vuoksi. Microsoft taas kertoo uutisia Sonic-verkkokäyttöjärjestelmästään. Yllättävää kyllä palvelinten kahdennukseen ei käytetä linkkiagregointia, vaan se tehdään älykaapelilla, joka muxaa liikenteen eri kytkimille. Vaihtoaika vikatilanteessa on alle yksi mikrosekunti. Dash API integroi SmartNIC:t mukaan ohjelmoitavaan Sonic-verkkoon. L4-käsittelyä saadaan tehostettua SmartNIC:llä 10-100 kertaiseksi. PINS integroi P4-ohjelmoitavat kytkimet yhdeksi keskitetysti ohjattavaksi SDN-verkoksi.

SmartNIC:ssa kyse ei ole vain suorituskyvyn tehostamisesta, vaan myös kontrollipisteen siirtämisestä. Työkuormat ajetaan palvelimissa, erikoistuneet toiminnot ja tietoturva erillisessä raudassa. Raudan pitää olla joustavaa, jotta sinne voidaan ohjelmoida halutut toiminnot. P4 on yhteinen nimittäjä verkkolaitteiden ja SmartNIC:ien välillä. Bruce Davie kertaa miten tähän on tultu ja mistä on kysymys. Reitittimethän olivat alun perin softalla toimivia tietokoneita ja suorituskykytarve johti erikoistuneeseen rautaan. Nyt ollaan samassa tilanteessa kuin vuosikymmeniä sitten kun valtava suorituskyky pitää ympätä mukaan tietokoneisiin. Sun Microsystems oli aikaansa edellä sanoessaan lähes 40-vuotta sitten “verkko on tietokone”.

DPU on siis hyvä salauksessa, pakettien käsittelyssä ja välityksessä sekä tallennussovelluksissa. GPU taas on hyvä isojen rinnakkaissovellusten kiihdytyksessä, kun CPU osaa ajaa vain perinteisiä yksisäikeisiä sovelluksia. Siksi sovellukset on optimoitava ajoympäristöön. DPU-valmistajat ovat luoneet omia SDK:ita kuten Nvidian DOCA. Nvidian on ottanut kumppanikseen Vmwaren ja Project Montereyllä ESXi-hypervisorin kuormaa voidaan siirtää Bluefield-kortille. Muutkin valmistajat, kuten Fortinet, Paloalto ja Juniper tukevat Nvidian Bluefield-kortteja. Jotkut DPU:t on rakennettu yleiskäyttöisen ARM-prosessorin ympärille ja sovelluskohtaiset kiihdyttimet toimivat sen rinnalla tehden tiettyjä erikoistoimintoja. Toiset DPU:t ovat FPGA-pohjaisia ja ne voidaan konfiguroida tarpeen mukaan eri tehtäviin. Konfiguroitavuus ei ole kuitenkaan sama asia kuin ohjelmoitavuus. ARM-prosessorille on helppo kirjoittaa ohjelmia tutuilla kielillä, mutta FPGA:n konfigurointi on paljon vaativampi erikoistaito. DPU:n kustannus on raudassa ja CPU:lla ohjelmien suoritus taas maksaa enemmän. Tämä on tasapainoilua työkuormien ja suorituspaikkojen välillä.

Nvidia on lyönyt uudet huippulukemat pöytään DPU-suorituskyvyssä. Bluefield DPU ylittää palvelimen tallennusliikenteessä 41 miljoona IOPS:ia, mikä on yli neljä kertaa enemmän kuin minkään muun kortin lukema. Nvidia tässä nokitteleekin Fungiblelle, joka kuukautta aiemmin julkisti oman ennätyksensä. Fungiblen mukaan Nvidian testi ei ole vertailukelpoinen, koska Nvidia käytti pieniä 512-tavuisia paketteja ja Fungible 4 kilotavuisia.

Disagregaatiosta haetaan vapautta ja kustannussäästöjä, mutta ilmaista lounasta ei ole. Jonkun pitää kirjoittaa softa, vastata ominaisuuksista, laadusta, turvallisuudesta ja tarjota tukea käyttäjille. Käyttäjä haluaisi vain juuri tietyt tarvitsemansa ominaisuudet mahdollisimman halvalla. Onko verkossa menossa sama kehitys kuin streaming-palveluissa? Jokainen sisältö menee omaan palveluunsa ja ostetaan erikseen eri paikoista. Ehkä jatkossa ostamme jokaisen protokollan ja ominaisuuden sovelluskaupasta ja maksamme niistä erikseen. Loppupeleissä käyttäjän on otettava vastuu kokonaisuuden rakentamisesta ja sehän merkitsee enemmän työtä ja kustannuksia yritykselle.

EANTC on testannut Juniperin pyynnöstä PTX1001-36MR -reitittimen suorituskyvyn ja verrannut sitä Cisco 8201 -reitittimeen. Cisco on esitellyt 8201:n arkkitehtuuria ja suorituskykyä blogissaan. Jos olet ihmetellyt mitä SFP tai AOC sisältää, Kenneth Finnegan on tehnyt patologisia toimenpiteitä optiikoille. Käsittelyssä on 100G-LR4 ja AOC-400G-SR4. Pienen kotelon sisään mahtuu aika paljon tavaraa. Silicon photonics on ollut vuoden kuumia puheenaiheita ja nyt israelilainen Tower Semiconductor on kehittänyt yhdessä Juniperin kanssa maailman ensimmäisen avoimen fotoniikkapiirin mallin, jonka perusteella kuka vaan voi tilata valmistuksen. Tämä tuo helpostusta laitevalmistajille, jotka saavat helpommin ja halvemmalla fotoniikkaa käyttöönsä. Transistoreille on jälleen kehitetty uusia muotoja. IBM ja Samsung  suunnittelivat VTFET-rakenteen, jossa transistorit sijoitettaan pystysuuntaan pinoon nykyisen rinnakkaisen sijoittelun sijaan. Suorituskykyä saadaan lisää ja tehonkulutus putoaa huimat 85%.

QoS on yksi hankalimmista asioista verkkokonfiguraatiossa. Aika harvassa tapauksessa QoS-asetuksista on hyötyä tai se ei ainakaan ratkaise perustavanlaatuisia ongelmia. Useimmiten helpommalla ja halvemmalla pääsee kun ostaa lisää kapasiteettia, kuin virittelemällä loputonta QoS-konfiguraatiota, jossa palvelut pitää laittaa tärkeysjärjestykseen. Chris Parker avaa miten luetaan Juniperin QoS-konfiguraatiota ja siitä voi kukin ihmetellä miten monta juttua asiaan liittykään. Juniperin konfiguraatio on vielä selvimmästä päästä ja Cisco tekee asiasta aivan turhan monimutkaista.

BGP session culling (RFC8327) on käytäntö, jossa BGP-sessiot vedetään alas ennen huoltotöitä. Näin vältetään liikenteen tiputtaminen jos BGP ja alempi verkkokerros eivät ole synkassa. Internetissä tämä on yleinen käytäntö ja hyödynnettävissä muuallakin. Nick Russo on julkaissut kattavan teknisen whitepaperin MPLS-multicastista. EVPN-VXLAN on yleinen tekniikka konesalissa ja kampuksella. VXLAN-tunnelien sisäistä liikennettä voi tutkia ainakin Juniperin ja Paloalton muureilla. Liikennettä ei siis tarvitse purkaa ulos VXLAN-enkapsuloinnista ja näin saadaan parempi suorituskyky ja helpompi toteutus verkolle. Vaihtoehtoja palomuurien toteutukseen voi etsiä Peter Welcherin blogeista. QUIC:sta saattaa olla muodostumassa uusi salattu siirtoprotokolla UDP:lle. Microsoftilta on tullut SMB-toteutus QUIC:n päälle. Windows 11 ja Server 2022:n myötä SMB:stä tulee internet-kykyinen salattu levyjakoyhteys esimerkiksi edge-toteutuksiin.

MEF on yrittänyt standardoida SD-WAN:ia niin, että tuotteet eri valmistajien välillä olisivat yhteensopivia. Uusi standardi MEF W119 on tulossa keväällä ja se määrittelee yhteensopivuuden kaikilla välitys, ohjaus–, hallinta- ja telemetriakerroksilla. Palveluntarjoajat tarvitsevat näitä määrityksiä monivalmistajatoteutuksiinsa ja -palveluihinsa, mutta valmistajat eivät innostu liian latistavista määrityksistä. Valmistajilla olisi paljon enemmän ominaisuuksia tarjottavana suoraan yrityksille ohi palveluntarjoajakanavan. Standardi yrittää lisäksi luoda selvyyttä markkinahämmennykseen, joka estää käyttäjiä ostamasta tuotteita tai palveluita.

Mikä on vaikeinta verkossa? Phil Gervasin kysely kartoittaa mitkä asiat ovat alalla vaikeita. David Gee kyseli kuka käyttää Chefiä tai Puppetia verkkoautomatisoinnissa. Lähes 92% sanoi ei, muutama käyttäjä löytyi. Ansible, Salt ja Python-viritykset ovat valtavirtaa. Ansible on nyt saatavilla Azuressa valmiina palveluna. Ivan Pepelnjak on yhdistänyt automaatiotyökalut yhteen konttiin, jolla saa valmiin paketin käyttöönsä. John Capobianco on tehnyt Cisco-kytkintopologiasta mindmapin. Julia Evans koodasi harjoittelutyökaluksi oman DNS-palvelimen, jolla voi leikkiä ja kokeilla turvallisesti. Juniper kuoppasi automaatioharjoitteluympäristön NRE labsin, joka ei ikinä oikein lähtenyt lentoon. Kolmessa vuodessa kuitenkin ladattiin 55000 sessiota eli noin 50 päivässä.

Tietoliikennealalla tuntuu olevan vahva metathesiophobia eli muutospelko. Haaste tulee eteen tekoälyn kanssa. Milloin yritykset ja tiimit ovat valmiita ottamaan tekoälyapurin osaksi tiimiä? Seuraava suuri muutos nimittäin tulee olemaan apurit ja luonnollisen kielen keskustelukäyttöliittymät. Jos päiväsi ovat tylsiä ja haluat ruudun täydeltä keskustelun mölinää, yhdistä itsesi Art of Network Engineeringin Discord-kanavalle.

Windowsista löytyy näppäriä wlan-komentoja ja jopa raportointiominaisuus. Kokeile “netsh wlan show wlanreport”. Excelissä on kiinnostava ominaisuus kun taulukko sisältää FQDN-nimiä ja se tallennetaan Onedriveen. Silloin Microsoft vierailee kaikissa URL:n osoittamissa sivustoissa. Ominaisuus perustuu Defender 365 -ominaisuuteen, joka tutkii tiedoston sisällön. Tämä on hyvä tietää jos taulukossa on kohteita, jossa ei halua vierailtavan. Endoflife.date on yhteisön ylläpitämä sivu, joka seuraa eri ohjelmien elinkaarta.

Kotiautomaatiostandardi Matter voi tuoda mukanaan yleiskäyttöisen castauksen, joka toimisi kaikilla laitteilla. Amazon-vetoinen TV-standardi haastaa Airplayn ja Google Castin, ja voisi tuoda meille lisäksi yleiskäyttöisen kaukosäätimen puheohjauksella.

Yritykset ja tuotteet

EU on määritellyt digimarkkinasäädökset suurille verkkoalustoille.  Säädöksen tavoitteena on taata oikeudenmukainen toimintaympäristö, lisätä kilpailua ja taata paremmat palvelut kuluttajille. Ns. portinvartijayritysten toimintaa pyritään avaamaan ja toimintaa tehostetaan sakoilla, jotka ovat 5-10% liikevaihdosta. Business Finland valitsi uudet veturiyritykset Nokian, Wärtsilän ja Tietoevryn, joille se antoi 60 miljoonaa euroa rahoitusta uusiin tuotekehityshankkeisiin. Veturien kumppanitkin saavat lisäksi 50 miljoonaa euroa. Ehtona on kehityksen lisääminen Suomessa. Projektien toivotaan tuovan kasvua, työpaikkoja ja myönteisiä vaikutuksia yhteiskuntaan. Nokia aikoo kehittää 5G-teknologiaan perustuvaa edgeä.

IT-sopimusehdot on päivitetty ajan tasalle. IT2022 on saanut uudet lisäykset pientoimituksien sopimuksista ja tiedon hyödyntämisen ehdoista. Valtio on päätynyt jakamaan Sote-muutoksen IT-kustannuksiin puolet varatuista 444 M€ rahoista. Tälle vuodelle kohdistuvat 220 M€ jakautuvat alueiden välille melko epätasaisesti. Pienin saaja on Etelä-Karjala 4 M€ ja suurin Varsinais-Suomi 18 M€. Lisäksi keskitettyihin palveluihin käytetään lähes 5 M€ DigiFinlandin kautta. Hyvinvointialuiden omat laskelmat ovat paljon suuremmat ja arvio muutosbudjetista liikkuu miljardin luokassa. Raha on vain yksi ulottuvuus tässä sopassa. Toteutusaikataulu on mahdoton ja yleensäkin järkevän tekemisen organisoiminen on mahdotonta kun ei tiedetä mitä ollaan tekemässä. Tulee mieleen, että jossain määrin turhien IT- ja hallintohimmeleiden rakentelun sijaan rahalla olisi voinut ehkä tehdä jotain suoraviivaisempia ja tehokkaampia muutoksia SOTE-infraan.

Valtorin uusi Kauko-etäkäyttöpalvelu on käynnistynyt. Se on Fortinetin tuotteilla toteutettu VPN-palvelu, jota toimittaa Elisa. Palvelua käyttää 25000 ihmistä päivittäin. Valtori on ostanut SASE-palvelun ja uusi Verkkosuoja-palvelu tulee käyttöön 2022 aikana.

Kytkinkauppa on noussut uusiin huippulukemiin, vaikka 200/400G:n yleistyminen kestikin odotettua pidempään. Q3:n kärkikolmikko on edelleen Cisco, Arista ja Huawei, mutta whitebox-valmistajat ovat yhtenä kokonaisuutena jo kakkosena. Cisco menettää markkinaosuuttaan kun yrityssegmentin kysyntä on ollut heikompaa. Juniper ja Huawei kasvoivat kovaa, mutta Arista ja whitebox-valmistajat kahmivat suurimman osuuden markkinan kasvusta. Kova kysyntä oli odotettua kun pilvijätit ja isot yritykset ovat vauhdittaneet myyntiä. Yllättävää oli, että toimituksia saatiin myös tehtyä komponenttipulasta huolimatta. Vaikka konesalissa nopeudet ja porttitiheydet kasvavat, alhaisemmilla nopeuksilla on markkinoilla pitkä häntä. Gigabit ethernet tuli ulos vuonna 1998 ja edelleen 1G-kytkimillä on käyttökohteensa. Niitä myytiin Q3:n aikana yli 160 miljonaa porttia lähes 3 miljardin dollarin edestä. Kestää todella pitkään, että kaikki kampus- ja edge-verkot saadaan 10G-kykyisiksi. Alalla on hurja epätasapaino siinä mitä tekniikka pystyy tarjoamaan ja mitä suurin osa yrityksistä oikeasti tarvitsee ja käyttää.

Toimitusketjussa sattuu mokia. American Megatrendsin väärin kirjoitettu tarra emolevyn piirissä on herättänyt kysymyksiä komponenttien luotettavuudesta. Ainakin Dellin kytkimissä ja jopa HPE:n Cray-supertietokoneissa on nähty “American Megatrands” -tarraa. Tehtaattomilla puolijohdeyrityksillä menee lujaa, koska niiden myynti ei kärsi komponenttipulasta. Qualcomm, Nvidia, Broadcom, Mediatek, AMD ja muut kasvattivat liikevaihtoaan keskimäärin 45% vuodessa.

IT-ala on yhdistetty suureen irtosanoutumisaaltoon, joka on lähtenyt vyörymään pandemian aikana. Todellisuudessa kyse on enemmän pienipalkkaisten protestista ja irtautumisesta surkeista työoloista. Kyse onkin suuresta sekoituksesta, jossa ihmiset etsivät sopivaa alaa ja työpaikkaa. Muutos saattaa kestää vuosia ennen kuin tilanne tasaantuu. IT-alalla on menossa myös jonkinlainen sekoitus kun etätyö avaa uusia mahdollisuuksia ja ihmiset vaihtavat työpaikkaa aktiivisemmin.

Hybridityö on tuonut IT-varustelun kotiin. Kyselyssä 75% yrityksistä aikoo asentaa jotakin laitteistoa työntekijöiden kotiin. Tärkeimpänä on verkon tietoturva, kakkosena wifi ja sen jälkeen WAN-reititys. Valmistajat ovat haistaneet markkinaraon ja viimeisimpänä Aruba tuo Edgeconnect Microbranch -paketin markkinoille. Siinä yhdistyy Aruban tukiasemaan SD-WAN ja sen kautta integroitavat SASE-palvelut. Aryaka julkaisi oman SASE-alustansa ja kevyemmän reitittävän FlexCore-verkkonsa pienyrityksille. Aryakan SD-WAN -verkko on ollut L2-toteutus, jolla on saatu tehokkaat ja laadukkaat yksityisyhteydet asiakkaille. Uusi core-verkko on kustannustehokkaampi L3-toteutus ja uusi SASE-palvelu Prime EZ on rakennettu sen päälle käyttäen Secucloudilta ostettua teknologiaa. Fortinet jatkaa SD-WAN -palveluntarjoajamallin laajentamista seitsemällä uudella kumppanilla. Fortinetista onkin tullut operaattorien suosikki.

Suomen yhdysliikennepiste Fixic laajentaa kolmanteen sijaintiin pääkaupunkiseudulla. Ficix1 laajenee Otaniemestä Telian HDC:hen. Kilpailu kovenee kun DE-CIX ilmoitti laajentavansa yhdysliikennepistettään pohjoismaihin. Suomi, Tanska ja Norja ovat saamassa viisi uutta IXP:tä ja yksi niistä tulee Helsinkiin.

Broadcom ostaa Appnetan, jolta se saa verkon suorituskykyvalvontatuotteen. Samsara on IoT-alan kovimpia nimiä ja listautui pörssiin. Samsara on jatkoa Merakin kehittäneiltä kaveruksilta. Se kehittää sensoreita ja kameroita, jotka mittaavat fyysistä maailmaa. Kuten on tapana, Samsarallakin on satojen miljoonien tappiot alla ja lisää on tulossa. Listautumisella kerättiin kasaan 800 miljoonan dollaria, mutta yliarvostustakin on väläytelty.

Yritysten ilmastovastuuta on rankattu CDP-projektissa. Parhaan A-arvosanan saivat mm. Cisco, Juniper, HPE, Nokia ja Equinix. Keskitasolla ovat mm. Paloalto ja F5, ja pohjimmaisena mm. Fortinet ja Fireeye. Arviointi perustuu itseraportointiin, joten se ei kerro ilmastotoimista muuta kuin sen mitä yritys itse raportoi. A-listalle pääsi 12000 yrityksestä 272. Pilviyhtiöt tarjoavat konkreettisia työkaluja ympäristövaikutuksien pienentämiseksi. Microsoftin Cloud for Sustainability, Google Carbon Foortfrint ja AWS Customer Carbon Footprint Tool antavat käyttäjälle tietoa käytettävien palveluiden hiilijalanjäljestä. Toisaalta pilviyhtiö vierittää vastuun käyttäjälle, mutta käyttäjäthän sen kulutuksen kuitenkin luovat.

Ennustukset vuodelle 2022

On taas aika ennustaa tulevaa. Benedict Evans on julkaissut vuosittaisen katsauksen teknologiatrendeihin. Deloitte ennustaa Wifi6:n, kiinteän mobiililaajakaistan, RISC-V:n, AI-reguloinnin ja streaming-sodan tulemista. Puolijohdepula on ja pysyy. AWS:n Werner Vogels ennustaa, että sovelluskehitys saa apua tekoälystä, pilvi laajenee joka paikkaan, älykiinteistöt ja -tilat avustavat käyttäjiä, kestävä kehitys saa sijan järjestelmäarkkitehtuureissa ja satelliittilaajakaista mahdollistaa uudet sovellukset joka paikassa.

Tom Nolle maalaa kolme verkkoa määrittävää linjaa: operaattorit, yritykset ja internet. Operaattorit siirtyvät strategisesta 5G:stä taktiseen, joka on enemmän arkisempaa teknologiajatkumoa edellisestä G:stä. IP-liikenne ja edge-arkkitehtuuri määrittävät myös valmistajia. Se jolla on esittää yhtenäinen visio tähän, voittaa. Yrityspuolella suurta teknologia-ajuria ei ole. Tietoturva on tärkein prioriteetti. SD-WAN ei tuo suurta muutosta olemassa oleviin arkkitehtuureihin, mutta voi tietoturvakomponentin myötä virtualisoida yritysverkot ja muuttaa myös liiketoimintamallit. Tämä huolettaa perinteisiä valmistajia.

Internetissä web3 rakentuu identiteetin, turvallisuuden ja luottamuksen ympärille. Jatkossa virtuaalisuus on yhtä tärkeää tai jopa tärkeämpää kuin fyysinen olemus. Metaversumi on monimutkaisempi asia kuin annetaan ymmärtää. Se ei tule ensi tai seuraavana vuonna. Pilvellä on suuri rooli, ja kenties Applella. Pienien innovatiivisten yritysten ostojen kautta isot pelurit voivat luoda jotain innovatiivista. Meta pystyy rakentamaan metaversumin itse, mutta onko se kannattavaa? Meta ja pilvijätit voivat luoda mullistavan metaversumin. Ne määrittelevät verkkonsa ja kehityksen itse, joten laitevalmistajat eivät ohjaa junaa. Operaattorit ovat jääneet kelkasta ja eivät ole todennäköisiä suunnannäyttäjiä. Joka tapauksessa internettiä on enemmän ja sieltä voi erottua signaaleja markkinamuutoksista.

Sovelluspuolella digitalisaation, etätyön, analytiikan, devopsin ja tietoturvan suosio jatkuu. Tilauspohjainen hinnoittelu saattaa kohdata vaikeuksia. Käyttäjien pitäisi saada rahalleen lisää vastinetta kun tuottavuus laskee. Pilvi ei ole tuottavuuden tehostaja, automaatio on. Pilvikin tarvitsee siis uusia vauhdittajia kuten SaaS. SaaS ei kuitenkaan itsessään mullista mitään, vaan arvo on ominaisuuksissa, jotka tehdään ohjelmallisesti. Valmistajilla vanhan tuotteen siirto ohjelmaksi ja sen kuukausihinnoittelu ei tuo mitään uutta. Softa ja pilvi kuitenkin jatkavat voittokulkuaan.

SdxCentral ennustaa kasvua DevSecOpsille eli tietoturvan automatisoinnille osaksi sovelluskehitystä. Paljon puhuttu O-RAN saa yleisen hyväksynnän, vaikka käytäntö on vielä kaukana. Avoimeen arkkitehtuuriin siirtyminen on kuitenkin väistämätön kehitys ja sitä ei voi enää kääntää. Ihmisaivoja jäljittelevä neuromorfinen laskenta voi mullistaa tekoälyä. Järjestelmien vikatestaus chaos engineering lisääntyy ja sitä voidaan tuottaa myös palveluna. Kiertotalous kasvaa ja voi tuottaa taloudellisia säästöjä toimitusketjussa. Siihen tarvitaan kuitenkin ajatustavan muutosta.

Internet

USA on yrittänyt ottaa internetin moraalisen johdon käsiinsä kun Bidenin hallinnon Tim Wu on kehittämässä uutta tulevaisuuden internet-liittoa ihmisoikeuksien ja kansalaisyhteiskunnan pohjalta. Se on vastaisku autoritäärisille internet-valtioille ja osin myös internetin keskittymiselle yritysjättiläisten hallintaan. Web2.0:n kehittäjä Tim O’Reilly on ottanut kantaa Web3-kehitykseen. Perusviesti on se, että on liian aikaista olla innostunut web3:sta, koska sen muotoa ei vielä tiedetä. Nyt pöhinä on keskittynyt rahan tekemiseen kryptovaluutoilla ja NFT:eillä, mutta paljon kovia ongelmiakin olisi ratkaistavaksi luottamuksen, identiteetin ja talouden hajauttamisen parissa. Nyt ollaan samassa tilanteessa kuin 90-luvun lopun dotcom-kuplassa ja aika näyttää miten ja milloin kupla puhkeaa.

Mitä sitten web3 vaatisi IT-infralta? Ainakin enemmän palvelimia, koska julkisen pilven käyttö sotisi hajautuneisuuden periaatetta vastaan. Puolen vuoden aikana web3-projektit vuokrasivat tuhansia rautapalvelimia mikä ei jäänyt huomaamatta hostaajilta kuten Equinixilta. Myös Hetznerillä on sopivia palvelinkokoonpanoja, mutta sijainti vain Saksassa ja Suomessa rajoittaa käyttöä. Web3-sopivaa palvelinkokoonpanoa ei vielä löydy moneltakaan tarjoajalta. Infran ei tarvitse peer-to-peer -mallissa enää olla niin redundattista. Lisää nopeaa levytilaa tarvitaan tietokannoille. Tavalliset 4 TB:n SSD-levyt eivät riitä. Verkossa nopeus ja pieni viive ovat tärkeitä. Kaistaa ei juurikaan tarvita kun yksi noodi liikennöi yleensä 50 Mbps -kapasiteetilla. Syntropy yrittää kehittää internet-reititystä käyttämällä SRv6- ja DARP-teknologioita tehokkaampien reittien valintaan ohjelmoitavalla verkolla. Kumppaneita ovat mm. AWS, Microsoft ja Oracle. Syntropyn ekosysteemi perustuu NOIA-tokeneihin.

Ipv4-osoitemarkkinoilla on tapahtunut ihmeitä kun osoitteiden hinta on tuplaantunut vuoden sisällä. Kysyntä on kovaa, mutta miksi näin kävi ja mitä asialle olisi tehtävissä? Homma lähti menemään pieleen jo 90-luvulla kun osoitteiden ennustettiin riittävän jopa 2045 asti. Meillä olisi ollut 40 vuotta aikaa korjata tilanne, mutta löysä aikataulu ei pakottanut mihinkään. Lisäksi mitään yhtenäistä siirtymätapaa ei luotu, vaan IETF heitti kehiin yli 30 erilaista ratkaisua. Hätä tuli käteen 2009 kun todettiin, että osoitteita ei riittäisikään kuin pariksi vuodeksi. RIR:t jakoivat viimeiset osoitteet erilaisilla politiikoilla ja nyt osoitteet joutuu hankkimaan ostamalla. NAT on tehostanut osoitteiden käyttöä huimasti ja lisännyt osoitemäärän 2^32:sta 2^50:een. Ipv6 on ollut turhaa pyristelyä ja ipv4-vapaa maailma ei näytä toteutuvan. Mutta eihän nykyinen internet välttämättä tarvitsisi globaaleja osoitteita. Uusi malli voisi perustua nykyiseen sisältöpainotteiseen internetiin ja paikallisiin access-verkkoihin, jotka olisi yhdistetty suoraan sisällönjakelukeskuksiin. Näin päällekkäisiä osoitteita voisi käyttää vapaammin ja julkisten ipv4-osoitteiden tarve voisi romahtaa. Enpä tiedä miten tällainen ratkaisu sopii tulevaan hajautettuun web3-maailmaan. Joka tapauksessa nykyinen epäselvä tilanne jatkuu vielä vuosia. Osoitemarkkinassa voi olla kuplan merkkejä, mutta se selviää vasta myöhemmin.

Ipv6-käyttöönotto ei ole helppoa, sen joutui toteamaan Reddit, joka poisti AAAA-tietueet käytöstä ja palautti liikenteen takaisiin vanhalle webbisivulle. Isoillakin toimijoilla on jatkuvasti vaikuksia Ipv6-toteutusten kanssa.

BT jatkaa kampanjointiaan verkkoneutraliteetin puolesta. Se kuljetti ennätykselliset 23,4 Tbps liikennettä kiinteässä verkossa jalkapallo-ottelun aikaan. 2 Tbps siitä jaeltiin CDN:n kautta. Toimitusjohtaja Marc Allera valittaa, että verkko ei välttämättä kestä näitä piikkejä jatkossa. Joukko OTT-palveluita käyttää 80% kapasiteetista ja se ei ole reilua. Verkon tilaajamäärän mukaan jaettuna se tekee kuitenkin vain reilut 2 Mbps per käyttäjä. Odottavatko operaattorit, että sisällöntuottajat maksavat heille suoraan jonkun käsirahan vai haluavatko he vanhat sopimuskäytännöt takaisin? Regulaatio estää sen monessa maassa ja maksujen tasaus vaatisi lainsäädännön muutoksia. Tavalliselle käyttäjällä internetistä on tullut perushyödyke ja operaattorit ovat seuranneet vierestä tilanteen kehittymistä 30 vuotta. Operaattorit jatkavat säästämistä vielä vuosia kunnes kohtaavat todellisen kriisin. Miten jatkuvasti kasvavasta verkosta saadaan tehtyä yhä halvempi, siinä on todellinen ongelma. OTT-toimijat, laite- ja ohjelmistovalmistajat, pilvet on kaikki otettava mukaan kehittämään uutta verkkomallia. Operaattoreiden pitäisi vaan ryhtyä toimeen, eikä odottaa ihmettä tapahtuvaksi.

Cloudflaren Internetin vuosi 2021 kokoaa suosituimmat asiat ja tapahtumat yhteen. Suosituimmat domainit on myös kerätty listalle ja kärkeen on noussut Googlen ohi Tiktok.

Internet-infrassa ja nimissä käytetään erilaisia maantieteellisiä koodeja, joista voi päätellä laitteiden ja palveluiden sijaintia. Caidan tutkimus kokoaa nimeämiskäytäntöjä yhteen. Geovihjeitä voivat olla: IATA- tai ICAO-lentoasemakoodit, YK:n LOCODE-koodit, Pohjois-Amerikan CCLI -telco-koodit, maiden, alueiden, kaupunkien tai rakennusten nimet.

Cinia on tehnyt uuden sopimuksen Aasian merikaapelista amerikkalaisen Far North Digitalin kanssa. Kaapelin uusi reitti ohittaa Venäjän kulkien Suomesta ja Irlannista Islannin ja Grönlannin ohi Alaskaan ja Kanadaan, jatkaen sieltä Japaniin. Mittaa kaapelille tulee n. 14000 km, kustannusarvio on miljardi euroa ja valmistumisarvio on 2026 mennessä. Euroopan ja Aasian välinen liikenne on suurelta osin riippuvainen Egyptin tarkistuspisteestä Suezilla ja Punaisella merellä. TE-kanavaksi kutsuttu piste antaa Kairossa valtionoperaatori Telecom Egyptille merkittävän mahdollisuuden vaikuttaa globaaliin liikenteeseen. Cinian uuden kaapelin merkitys on vielä avoin ja kapasiteettia suunnitellaan myöhemmin. Rahoituskin on vielä auki, vaikka kiinnostusta on kuulemma ollut.

Satelliittilaajakaistassa Kiina on hyökännyt SpaceX:ää vastaan väittäen avaruusasemansa välttäneen juuri ja juuri törmäyksen Starlink-satelliittiin. Varmaan näin voi olla käynytkin, mutta törmäykset ovat yleisiä ja tilanne vaan pahenee koko ajan kun lisää satelliittia syydetään taivaalle. Starlinkillä on tietysti osansa siinä. USA:n avaruusasema on kymmenen viime vuoden aikana useaan kertaa joutunut väistelemään kiinalaisen satelliitintuhoamiskokeen jäännöksiä. Tästä 2007 tehdystä kokeesta aiheutuikin kaikkien aikojen debris. Nyt siis ollaan siirrytty uuteen avaruusaikaan.

SpaceX on saanut lisärajoitusta reilut 300 miljoonaa dollaria, joten lisää satelliitteja saadaan ilmaan. USA:ssa Starlinkin mediaaninopeus on laskenut 10 Mbps Q3:n aikana. Se saattaa johtua kasvaneesta käyttäjämäärästä. Oneweb on saanut laukaistua 36 uutta satellittia taivaalle. Nyt sillä on 60% tavoitellusta 648 satelliitin kokonaismäärästä käytössä. Onewebillä on rahoitus kunnossa ja velkaongelmaa ei ole.

Muut satelliittiyritykset eivät pelkää LEO-satelliittien kilpailua. Ne eivät näe LEO-satelliiteissa kannattavaa liiketoimintaa, koska terminaalikustannukset ovat isot suhteessa asiakashintaan. Viiveen merkitystä on liioiteltu, koska keskivertokäyttäjälle sillä ei ole merkitystä. Satelliittiverkot myös virtualisoituvat ja menevät pilveen kuten operaattoriverkot muutenkin. Verkosta tulee joustavampi ja kapasiteettia pystytään käyttämään paremmin hyödyksi ohjailemalla sitä oikeaan paikkaan. LEO-kapasiteettia menee valtavasti hukkaan harvaan asutuilla alueilla. Joidenkin maiden, kuten Venäjän tai Intian, markkinoille voi olla vaikea päästä sisään. Sinä aikana kun hakemuksia ja lupia käsitellään, LEO-satelliitin elinkaari ehtii jo umpeutua.

Tapahtumat

AWS re:Inventin kaikki verkon ja sisällönjakelun esitykset on julkaistu Youtubessa.

NFDSP1 Networking Field Day: Service Provider pidetiin ensimmäistä kertaa. Ratkaisujaan esittelivät Arista, Cisco ja Drivenets.

Kuukauden nimenmuutos

F5 Networks on eriytynyt verkkoalkuperästään 25 vuoden aikana niin paljon, että vaihtaa nimensä. “Uusi nimi” on F5, koska se kuvastaa paremmin yrityksen identiteettiä. Maailma on erilainen nyt, niin on F5:kin. Uudella F5:lla on tarjottavanaan tietoturvaa ja kehittyneimpiä sovellusinnovaatioita webbipalvelun nopeudella. Merkittävä uutinen meni itseltä ohi ja muutos oli tapahtunut jo marraskuussa.

[FI] Tietoliikennealan katsaus 2021-11

Ongelmat

Google Cloud kärsi vuorostaan maailmanlaajuisesta häiriöstä 16.11. Pari tuntia kestänyt katko aiheutti ongelmia muille palveluille kuten Spotifylle, Snapchatille ja Discordille. Häiriö johtui bugista, joka korruptoi kuormanjaon asiakaskonfiguraatiomuutoksen.

Erikoisempi mysteeri on 4,3 km kadonnutta merikaapelia Norjan rannikolla. Tutkimuskäytössä oleva 66 km kaapeli yhdistää merenpohjassa olevia tutkimuslaitteita. Ensimmäinen oire havaittiin jo huhtikuussa, mutta silloin epäiltiin virhettä omassa tekniikassa. Nyt kun asiaa tutkittiin roboteilla, selvisi, että 4 km kaapelista oli kadonnut jäljettömiin. Syyksi on arveltu isoa kalastusalusta, joka olisi voinut repiä 200 m syvyydessä olevan kaapelin poikki. Kadonnutta pätkää aletaan etsiä erikseen.

Facebookin ongelman jälkimainingeissa käydään erikoisia keskusteluja. Hollannin hallitus on kyseenalaistanut toimiko IETF ja sen määrittelemä BGP-protokolla oikein. Vai pitäisikö kenties protokollaa muuttaa.

USA:ssa Comcastilla oli kaksi isoa katkoa 9.11. Xfinity-kaapeliverkossaan. Lyhyehköt katkot näkyivät hurjina pudotuksina liikennekäppyröissä ja vaikuttivat miljooniin käyttäjiin. Ilmoille heitettiin arvaus IPv6 DDoS -suojauksen muutoksista ja Juniperin JSA-laitteista.

HUS joutui palvelunestohyökkäyksen kohteeksi noin viikon ajan. Häiriöt näkyivät tietyissä mm. koronaan liittyvissä kirjautumista vaativissa palveluissa. Hyökkäys ei ollut jatkuvaa, vaan ajoittaista. Jatkoselvitys tapahtuu kulisseissa viranomaisten kanssa.

Operaattorit ja 5G

Viime kuussa mediassa teilattiin 5G ja nyt vuorossa on Open RAN. Alkaa tuntua, että uutisointi noudattaa vuosikelloa. Alkuvuonna puhkutaan intoa ja uusia suunnitelmia, ja loppuvuonna todetaan, että suuria odotuksia ei pystytty lunastamaan. Pettymykset purkautuvat pessimistisinä uutisointeina. Tai realismina, miten vaan.

CCS Insightin raportti kertoo, että Open RAN ei ole lähelläkään valmista. O-RAN:lla on mahdollisuus sotkea nykyistä ekosysteemiä, mutta näyttää, että se tapahtuisi ennemminkin vasta 6G-aikakaudella. 5G:n osalta ei ole mahdollisuuksia ehtiä enää mukaan. Arvion mukaan 2025 ehkä 1% toteutuksista voisi olla O-RAN:ia ja 2030 edelleen vain 3%. Ongelma ei ole ehkä vain teknologiassa vaan myös organisaatioiden valmiudessa ja halukkuudessa sitoutua asiaan. Kolmesta valmistajasta Nokia on eniten mukana ja Huawei vähiten. Huawei ei ole O-RAN -allianssin jäsen, mutta vaikuttaa kuitenkin suurimman asiakkaansa China Mobilen taustalla vahvasti. China Mobilella on enemmän asiakkaita kuin Euroopan ja Pohjois-Amerikan operaattoreilla yhteensä, joten sen vaikutusvalta on suuri. O-RAN -allianssi on ihan yhtä kiinalainen kuin Huawei itse, joten Huawein korvaajaksi siitä ei ole. Siksi allianssilta myös kaivataan kovasti läpinäkyvyyttää.

Euroopan rooli onkin O-RAN:ssa jäänyt vähälle ja huoli tulevaisuudesta painaa. Eurooppalaiset operaattorit ovat herätelleet toimijoita mukaan ekosysteemiin omalla raportillaan. Raportin mukaan Euroopassa on vain 13 merkittävää peluria muun maailman 57 toimijaa vastaan. Euroopan merkittävät toimijat ovat ARM, Atos, Canonical, Capgemini, Cellnex, Ericsson, Nokia, NXP, OVHcloud, Reply, Rohde&Schwarz, Spirent ja SUSE. Orange on perustanut Pariisiin O-RAN -labran, johon se kutsuu valmistajia esittelemään ratkaisujaan ja luomaan innovaatioita Euroopan ekosysteemiin. Kuitenkin Orangenkaan suunta ei ole selvä. Avoimeen monivalmistajaratkaisuun sisältyy tietysti monta kokkia, mikä aiheuttaa monimutkaisuutta ja lisää kustannuksia. Operaattorit haluavat uusia vaihtoehtoja, mutta eivät monimutkaisuutta, jonka rakentamiseen tarvitaan integraattoria. BT on ollut selväsanainen, että O-RAN ei voi korvata nykyistä verkkoa, jossa on miljoonia asiakkaita. Puhtaalta pöydältä aloittaminen on helpompaa, kuten Rakutenin ja Dishin tapauksessa.

Rakuten ei ole suoranaisesti ollut hyvää mainosta O-RAN:lle. Yrityksellä menee taloudellisesti kehnosti, tekniikka ei ole vakuuttanut, luvattu kustannussäästö on jäänyt lunastamatta ja asiakaskunta koostuu pääosin uusista toimijoista. Ericsson ja Nokia ovat molemmat todenneet, että O-RAN ei edes ole halvempi kuin perinteinen ratkaisu. Juuri tämä disaggregointi aiheuttaa kustannusten nousun, vaikka yksikköhinnat olisivatkin halvemmat. Kokonaisratkaisuun tarvitaan monia erillisiä komponentteja, joten hintaetu, tehokkuus ja hallittavuus menetetään. Tietoturvapuolella Saksan viranomaiset ovat teettäneet raportin O-RAN:n turvallisuudesta ja sen johtopäätöksenä on, että uusi tekniikka suorastaan kerjää vaikeuksia ja riittäviä toimenpiteitä turvallisuuden takaamiseksi ei ole tehty. Suuria riskejä syntyy laajasta skaalasta erilaisia rajapintoja ja komponentteja. Määrityksissä ei ole riittävästi panostettu tietoturvallisuuteen ja toimintaa ei ohjaa sisäänrakennettu tietoturva. EU arvioi myös 5G:n tietoturvaa ja tällä raportilla voi olla vaikutusta. Saksa on ollut vahvasti huaweilainen valtio ja yli puolet sen 4G-infrasta on Huaweita. USA:ssa FCC on avannut 1,9 miljardin dollarin rahaston Huawein ja ZTE:n korvaamiseksi. Britanniassa hallitus on hyväksynyt lain, jonka mukaan Huaweita ei enää saa käyttää 2026 jälkeen sakon uhalla. Laki siirtää vastuun operaattoreilta viranomaisille ja Ofcom alkaa valvoa lain noudattamista.

Nokia on vahvasti mukana O-RAN -allianssissa, mutta jäsenistössä on uskonnollista fanatismia ja vihamielisyyttä Nokiaa kohtaan. O-RAN on amerikkalaisten vastaisku Huawein lisäksi myös valtaa pitäville Nokialle ja Ericssonille. Kiistely osoittaa, että O-RAN on myös osa geopolitiikkaa. Nokia on saavuttanut 5G-tekniikassa 4000 essentiaalipatenkin rajapyykin. Kehitykseen on investoitu 130 miljardia euroa parinkymmenen vuoden aikana. Kaikkiaan Nokialla on vahva asema tekniikoiden määrittelyssä ja yhteensä noin 20000 patenttiperhettä. Telecom Infra Projectin katsauksesta selviää, että O-RAN:lla on maailmanlaajuisesti 16 teknologiatoimittajaa ja 42 tuotetta. Testauksia on menossa 35 yli 20 maassa. Saksa on vahvasi panostanut kahdella 17 miljoonan euron sijoituksella eurooppalaisen ekosysteemin kehitykseen. Muita TIP:n projekteja ovat mm. OOPT Optical Packet Transport, FIBR Fixed Broadband, IFC International Finance Corporation NaaS, Connected City Infrastructure, 5G Private Networs Solution Group ja Openwifi.

5G:n taustalla on ollut SON, Self-Organizing Network, joka on ollut itseohjautuva dynaaminen radioverkon ohjausratkaisu. 5G:ssä SON on jalostunut O-RAN -määrityksissä RAN Intelligent Controlleriksi. RIC on siis epäonnistuneen ja harvinaisen SON:n paranneltu versio. SON:n automaatioluuppi kesti noin 15 minuuttia, joka ei mitenkään vastannut reaaliaikavaatimuksia. Nyt non-realtime RIC hostataan keskitetysti ja sen automaation vasteaika on luokkaa 1-2 sekuntia. Near-realtime RIC pystyy tukiasemissa hajautettuna toimiessaan 10 ms vasteaikaan. Terminologia ja aikamääritykset ovat hyvin sekavia. Ericsson on julkistanut non-realtime RIC:n nimellä Intelligent Automation Platform. RIC:lle voi kirjoittaa ei-reaaliaikaisia hallintaohjelmia (xApp) ja lähes reaaliaikaisia ohjelmia (rApp). Reaaliaikaisuudessa ja avoimuudessa ei vieläkään ole osoitettu olevan suurta arvoa tai rahastusmahdollisuutta operaattorille. Arvo löytyy enemmän verkon automatisoinnista ja optimoinnista tulevista säästöistä. Kukaan ei ole kuitenkaan kertonut mitä RIC:iin investoimalla voisi mahdollisesti säästää.

Ericsson on tehnyt Wolt-maisen yritysoston hamutessaan Vonagen itselleen 6,2 miljardilla dollarilla. Se on Ericssonin kaikkien aikojen isoin ostos ja kenties myös rohkein. Vonage on kommunikaatioalusta pilvessä ja se tarjoaa rajapintoja sisällytettäviksi sovelluksiin. Ericsson uskoo pääsevänsä 120000 asiakkaan alustan ja miljoonan kehittäjän avulla sisälle yrityspalveluihin, joita se kovasti kaipaa tuotevalikoimaansa. Vonagen voi nähdä yritysten yhteistyöalustana kuten Teamsin, Zoomin tai Webexin. Niitä vastaan kilpailemalla Ericsson tuskin voi voittaa. 5G-yritysverkon palvelut ovat muutenkin hankala ja epäselvä asia. Vonagella ei ole suoraa kytköstä 5G-verkkoon ja hiukan epätoivoista uskoa, että kehittäjät tai yrityskäyttäjät haluaisivat yhtäkkiä alkaa käyttämään 5G-verkon rajapintoja tai QoS-ominaisuuksia. IP-liikenne kuitenkin kulkee ihan kivasti internetissä ilman mitään viiveen viilauksia. Rohkean, riskaabelin ja innovativiisen ostoksen hinta on kova ja kukaan ei lopulta tiedä miltä yritysliiketoiminta näyttää kymmnen vuoden päästä.

Suomessa Telia ehti ensimmäisenä avata itsenäisen 5G-verkon eli 5G standalonen ja oli myös yksi ensimmäisiä operaattoreita Euroopassa. Elisa otti nokkiinsa ja väitti ehtineensä ensin. DNA ottaa lunkisti ja avaa itsenäisen verkon joskus ensi vuoden puolella. Todellisuus on se, että Telialla on 25 tukiasemassa 3,5 GHz:n taajuudella toimiva itsenäinen 5G, jossa on 40 käyttäjää. Verkkoon voi ostaa laitteita ja liittymiä. Elisalla itsenäinen 5G ei ole julkisessa käytössä, mitään lukuja ei paljasteta ja liittymiä ei ole myynnissä. DNA:lla oman verkon tukiasemat on liitetty 5G standalone coreen ja testauksia tehdään. Verkko avautuu ensi vuoden aikana vaiheittain. 26 GHz:n millimetriaalloille DNA:lla ei ole suurta hinkua, koska kaupallista käyttöä ei ole löytynyt ja se vaatisi myös tukiasemien lisärakentamista. Toistaiseksi 3,5 GHz riittää kaikkeen tarvittavaan. 4G:ssä radioverkon viive on luokkaa 10 ms ja itsenäisellä 5G:llä saadaan siitä muutama millisekunti pois. Ei siis kannata odottaa mitään merkittävää tai havaittavaa muutosta viiveen osalta. Mutta ensi vuonna voimme kenties odottaa verkkoviipalointia ja muita 5G:n luvattuja uusia ominaisuuksia.

Kiinnostavaa onkin, että Android 12:ssa on tuki 5G-viipaloinnille. Laite voi reitittää dynaamisen politiikan mukaan sovellusliikenteen eri verkkoviipaleisiin kuten SD-WAN -maailmassa. Miten sitten yritys saa käyttöön privaattiverkon ja mitä laitteita tarvitaan? 5G-taajuuksia haetaan viranomaisilta ja niihin liittyy lisenssimaksu. Saksan esimerkissä tehdasalueen 10 vuoden lisenssimaksu olisi luokkaa 6000 euroa eli nimellinen. Lisäksi tarvitaan 5G-laitteet eli antennit, radioverkon ja coren palvelimet sekä yhteydet laitteiden välille ja ulos. Näitä on esitelty esim. Samsungin whitepaperissa. 5G:n ja yritysverkon yhdistymisestä on puhuttu ja nyt Dishin ja Ciscon kumppanuus antaa esimakua miten perinteinen verkkovalmistaja ottaa roolia 5G:ssä. Dish siis tekee 5G-verkkoa ja Cisco tuo siihen kylkeen verkon viipalointia varten älykkään automatisoidun pilvipohjaisen siirtoverkon, virtuaalista reititystä konteissa, perinteisiä laitteita ja ratkaisuja kuten Nexus- ja NCS-kytkimet ja ACI. Lisäksi Cisco on mukana suunnittelussa, toimituksessa ja operoinnissa. Dish taas myy Ciscon ratkaisuja osana 5G:tä yritysasiakkailleen.

Suomessa on totuttu ajattelemaan, että olemme mobiilitekniikan edelläkävijämaa. Tosiasia on, että Nokiasta huolimatta Suomi ja koko Eurooppa on tippunut kärjestä kun Kiina, Japani ja Korea pitävät kärkiasemaa. Suomessa kuitenkin verkkojen laatu ja kattavuus on hyvä ja sitä arvostetaan. DNA:n radioverkkojohtaja Jarkko Laari murtaa kymmenen myyttiä langattomista nettiyhteyksistä. Oulussa testattiin viranomaisten välisen kriittisen viestinnän laajentamista yksityisten verkkojen palveluilla suuronnettumuutta simuloimalla. PRIORITY-hankkeessa on tutkittu kaupallisten 5G-verkkojen käyttöä kommunikaatiota täydentävänä datansiirtokanavana. Testissä selvisi, että pienet viiveet ja verkon peitto on taattava operaatioalueella, jotta toimiva järjestelmä saadaan rakennutta. Autoihin 5G tulee ryminällä ja 2024 jo 90% autoista on varustettu verkkoyhteydellä. Yhteys muodostetaan eSIM-turvasirulla, jolla autonvalmistajat voivat tarjota parannettuja palveluita turvallisesti ja luotettavasti.

Netin neutraliteetin kaato on saanut lisää pontta kun 13 eurooppalaista operaattoria on ilmaissut kantansa OTT-toimijoita vastaan. Tavoitteena on tasoittaa kustannusrakenne ja liiketoimintamallit operaattorien ja sisällöntuottajien kanssa. Operaattorit siis kilpailevat suoraan teknologiajättien palveluiden kanssa ja kokevat asemansa epäreiluksi. Asiasta on tullut tunteisiin menevä ja värittynyt, koska internet-jätit voittivat alun perin julkisuuden puolelleen ja nykyisestä tilanteesta on tullut normi. Avoin-sanaa toistellaan kerta toisensa jälkeen eri tilanteissa, mutta todellisuus on paljon monimutkaisempi. Sisältöyritykset ovat kyllä rakentaneet oman osansa internet-infrasta ja imeneet käyttäjät ja datan sisäänsä. Operaattorille on jäänyt se perinteinen rooli putkimiehenä. Britit ovat irtaantuneet EU-sääntelystä, mutta samat ehdot on kopioitu omaan lainsäädäntöön, jota Ofcom nyt seuraa ja valvoo. Tefficient on tehnyt vertailua pohjoismaisten operaattoreiden henkilöstömäärän muutoksista viimeisen vuodan aikana. Elisa on harvinainen poikkeus, jolla työntekijöiden määrä on kasvanut.

Myös laajakaistaterminoinnissa on kehitetty ratkaisuja miten dynaamisesti ohjataan verkon parametrejä sovellusten vaatimusten mukaiseksi. Broadband Forum esittelee Dynamic Session Streeringiä demossaan. CloudCO-projektissa on viisi vuotta kehittetty näitä verkkofunktioita BNG:lle. Tekniikalla uskotaan olevan tehostava vaikutus verkon käytölle ja näin operaattori voisi säästää kustannuksia. Tässäkin tapauksessa verkkoneutraliteetista tulee mielenkiintoista. Kupariverkkoja on alettu sulkea ja nyt regulaattorit puuttuvat asiaan. Telenorin täytyy ylläpitää kupariverkkoaan 2025 vuoteen asti, mutta Hollannissa KPN saa sulkea kupariverkon siellä missä on kuitua tarjolla. USA:ssa kaapelinkatkonta jatkuu reippaana. Kymmenenä vuosineljänneksenä peräkkäin operaattorit ovat menettäneet miljoona kaapelitilaajaa. Vuodessa on siis menetetty 4,25 miljoonaa kaapelitilausta. Tilaajat siirtyvät laajakaista-asiakkaiksi ja suurimmat operaattorit ovat keräännet 630000 tilaajaa viimeisenä vuosineljänneksenä. BT kehittelee Metan tapaan kuiturobotteja, joilla voidaan asentaa kuitua ja ylläpitää putkistoja. DNA on avannut kaksi omaa merikaapeliyhteyttä Tukholmaan Seaway-palvelunimellä.

Pilvi ja konesali

Nokia on julkaissut operaattorien SaaS-palveluita, jotka se näkee tulevaisuuden kulutusmallina. Palveluihin sisältyy datan käsittelyä, automaatiota, analytiikkaa ja tietoturvaa. Nokia visioi ja laajentaa rooliaan XDR-, EDR-, SOAR- ja asiantuntijapalveluissa.

Prosimo on tutkinut monipilven tietoliikenteen ongelmakohtia. Suurimpia ongelmia on löytää yhtenäinen tietoliikennetoteutus usean pilven kanssa. Yritykset odottavat tällaista yhtenäistä käyttökokemusta. Toinen iso ongelma on tietoturva, jossa zero trust -ajattelun toteuttaminen tuottaa päänvaivaa. Kolmas kompastuskivi on näkyvyys ja havainnointikyky, joka on liian huono eri pilvien kesken. Lisäksi ongelmia aiheuttaa sovellusten suorituskyky, jota tietoturvamenetelmät helposti alentavat, ja pilven tiedonsiirtomaksut. Lähes kaikki haastatelluista näkevät monipilvisuunnitelmat akuutteina muutaman vuoden sisällä. Puolet tekevät monipilvitietoliikennettä perinteisin keinoin ja kohtaavat operatiivisia hankaluuksia  monimutkaisuuden, suorituskyvyn ja tietoturvan kanssa. Yritykset ovat kuitenkin varsin alkuvaiheessa monipilven käyttöönotossa.

Monipilvitietoliikennetuotteet laajentavat nyt tietoturvaan. Aviatrix on tehnyt monipilven tietoliikennettä ja nyt se julkistaa omat tietoturvatuotteensa, joilla taklataan pilven työkuormiin liittyviä riskejä. Aviatrixin tuote toimii pilven datansiirtokerroksella, joten sillä on näkyvyys kaikkeen liikenteeseen. Näin se näkee kattavasti pilven liikenteen ja voi nostaa sieltä esille uhkia ja automatisoida niiden korjaamista. Tuote ei korvaa palomuuria tai SASE:a, vaan se täyttää aukot, jotka näiltä jää näkemättä. Nähdäänkö seuraavaksi vastavuoroisesti perinteisten palomuurivalmistajien laajentaminen monipilvitietoliikenteen hallintaan? Sitähän osin on jo tehty WAN-osuudella.

Vodafonen ilmoitus kehittää itse eri julkipilvien välillä siirreltävät Telecom as a Service TaaS-palvelut on herättänyt kummastusta. Sovellusten siirreltävyys ja monipilven käyttäminen palveluiden varmistamiseen on kallis ja vaikea tapa järjestää palvelut. Mistä revitään 7000 kehittäjää ja miten vielä vaikeampi toimintakulttuurin muutos saadaan toteutettua? Operaattoreilla on usein vanhat jähmeät ajatusmallit ja niihin kuuluu olennaisena osana huono riskinsietokyky ja luotto palvelunhallintaprosesseihin. Modernissa IT-maailmassa vikoja tulee ja niistä pitää selvitä nopeasti, mielellään automaation avulla. Ongelmia ei ratkota pelkästään rahaa tai ihmisiä lisäämällä.

Pilvi on saanut yrityksissä uskonnollisen vakaumuksen kaltaisen aseman. Ei haittaa, vaikka kulut ovat hallitsemattomia, käyttö on ennustamatonta, kehitysroskaa kertyy nurkkiin, tuotannon skaalauksessa on ylimitoitusta, sitoumuksia ei hyödynnetä tai toteutus on muuten epäoptimaalinen. Tämä kaikki näkyy pilvikustannuksissa ja hallinnan hankaluutena. Pilven kustannusrakenne on vaikea asia.

Linux Foundationin State of the Edge 2021 -raportissa todetaan, että edge on monimutkainen yhtälö. Kaikki eivät sillä saralla menesty ja olennaista on löytää sopivat kumppanit edge-palveluiden toteuttamiseksi. Suurin osa operaattoreista onkin luonut edgeä varten kumppanuuden pilvijättien kanssa, mutta samanlaisilla palveluilla on vaikea erottua massasta.

Cloudflare on viettänyt Full Stack -viikkoa ja kehunut omaa edge-toteutustaan maailman nopeimmaksi tai jotain sinne päin. Ainakin Fastly on joutunut tulilinjalle kun Cloudflaren mittauksen mukaan sen Workers toimii lähes 200% nopeammin kuin Fastlyn Compute@Edge. Fastly tosin on valittanut mittauksia vääristyneiksi ja väittää omaa palveluaan paljon nopeammaksi. Webbipalveluissa sovellusten viivettä kuvaa ensimmäisen tavun latausaika Time-to-First-Byte. Jos sovellus toimii osittain pilvessä ja osittain konesalissa, viivettä tulee jo ihan maantieteen takia kun sovellusliikenne sahaa pilven edustapalveluiden ja konesalin taustapalveluiden välillä. Siinä ei auta edustapalveluiden siirto lähemmäs käyttäjää, vaan koko sovellus pitäisi uudistaa. Ei kannata myöskään unohtaa nimipalvelun vasteajan osuutta kokonaisviiveessä. Sisältöä voi tosin jaella tehokkaasti käyttäjien läheltä CDN-palveluiden kautta.

Oracle Cloud on liittynyt Cloudflaren Bandwidth Allianceen ja sitoutunut siten vähentämään pilvensä tiedonsiirtomaksuja. AWS on nyt tuntenut piston sydämessään ja iskenyt takaisin laskemalla ulospäin suuntautuvan liikenteen hintaa. Hinta sinänsä on pysynyt samana, mutta alueiden välillä voi nyt siirtää ilmaiseksi 100 GB dataa ja Cloudfrontista voi jaella 1 TB sisältöä kuukaudessa ilmaiseksi. Tämän 100 GB kädenojennuksen hinnaksi oli laskettu noin 9 dollaria. AWS:n hinnanpudotuksille on jopa oma blogi, josta voi seurata muutoksia. Verkkopuolella AWS tukee nyt itsenäisiä IPv6-aliverkkoja. IPv6-toteutuksesta on julkaistu opas ja edustalle tarvitaan v6-v4 -muunnokset DNS64 ja NAT64 yhteensopivuuden varmistamiseksi. Hybridipilven toteutuksesta on myös julkaistu opas, jossa kerrotaan tarkemmin miten AWS ja konesali liitetään optimaalisesti yhteen. AWS:n tuotepäällikkö Nick Matthews on vastannut verkkoa koskeviin kysymyksiin Twitterissä ja valottanut hieman AWS:n verkkototeutuksien taustoja. Toni Pasasen AWS-verkkojen opas on nyt saatavilla kirjana halpaan hintaan.

Microsoft on avannut uuden pilvialueen Ruotsissa kolmella paikalla: Gävle, Sandviken ja Staffanstorp. Näissä pyörii Azure ja M365-palvelut. Azure sai uusia ominaisuuksia hybridi- ja monipilven toteuttamiseen. Fortinet on liittynyt Azuren virtuaali-WAN -kumppaniksi ja nyt Fortigate-muurit voi liittää osaksi “pilvirunkoverkkoa”. AWS:n kanssa Fortinet pyrkii tuomaan olemassa olevilla tuotteillaan helpotusta monipilven monimutkaiseen hallintaan. Konsultointipalveluilla perehdytetään asiakas oikeaoppiseen arkkitehtuuriin ja miten Forti-VM -tuotteita käytetään pilven kanssa. Tietoturvapalvelussa havainnoidaan tapahtumia ja löydettyihin ongelmiin ehdotetaan korjauksia.

AWS:n kasvu on ollut valtavaa ja se on syönyt osuutta yritysten omista konesaleista. Miten kauan kasvu voi jatkua tällä kasvuvauhdilla, jossa sen liikevaihto kohta ylittäisi jo koko USA:n talouden tai koko IT-sektorin kulutuksen määrän? Pilven todellisuus on tasapainoilua suorituskyvyn ja kapasiteetin kasvun tulosvaikutusten kanssa. Kasvun on tasaannuttava kun markkina on kyllästynyt riittävästi ja johtotähdetkin sammuvat joskus. AWS ei ole mitenkään avoin talouslukujen erittelyssä eri liiketoimintojen kesken. AWS on ajoittain tehnyt kaiken Amazonin voiton verkkokaupan kulujen noustessa kohisten. Nextplatform on yrittänyt arvailla miltä eroteltu liikevaihto voisi näyttää. Kovimmin kasvava osuus AWS:llä olisi ohjelmistot ja muu IaaS-osuus kulkisi omaa tasaisempaa polkuaan.

Kiinan isossa pilvimarkkinassa kasvu on maailman kovinta. Alibaba on omilla lukemillaan kärjessä lähes 40% markkinaosuudella. Muusta maailmasta poiketen Huawei ja operaattorit ovat ottaneet muut kärkisijat. Baidu ja JD Cloud keikkuvat mukana isojen operaattorien rinnalla. China Telecom on ollut operaattoreista agressiivisin peluri pilveistämis- ja digitalisaatiostrategioineen. Se on myös eriyttänyt pilvitoiminnot omaan yhtiöön, minkä tarkoitus on arveltu kuitenkin olevan enemmän osaajien haalimisessa. Oma yhtiö voi tarjota paremmat ja kilpailukykyisemmät edut kuin perinteisen jäykkä valtionyhtiö. Huawei on päättänyt myydä x86-palvelinliiketoimintansa kiinalaiselle valtionyhtiölle ja yrittää näin itsenäistyä USA:n vallasta. Palvelinyksiköllä on ollut vaikeuksia, vaikka se on ollut neljänneksi suurin palvelinvalmistaja. Nyt tiukan kilpailun ja alhaisen katteen palvelinbisneksestä päästään eroon. Huawei yrittää rakentaa uutta kehittyneempää palvelinekosysteemiä omien ARM-pohjaisten Kunpeng- ja Ascend-piirien ympärille kohteena tekoäly. Se on myös kehitellyt oman ARM:lle sopivan Linux-pohjaisen EulerOS-käyttöjärjestelmän.

Pilvikilpailu on koventunut kun Microsoft ja Google ovat kirineet takamatkalta kiinni. AWS:n etuna on ollut houkuttelevuus kehittäjille, jotka on hurmattu aina uusilla toiminnoilla. Microsoft ja Google ovat kosineet enemmän yritysasiakkaita valmiilla palveluillaan ja yrityssovelluksilla. Microsoft on puskenut kovimmin hybridipilven mallia. Googlella on luultavasti paras tekniikka ja parhaiten skaalautuva alusta. Kolmikon tasapaino ei luultavasti muutu nykyisestä olennaisesti lähitulevaisuudessa. Hybridipilvi ja edge ovat tämänhetkiset trendit, mutta niiden tulevaisuus on epäselvä. IBM ohjaa oppaallaan päättäjiä hybridipilven hyödyntämiseen ja myös avoimen koodin käyttämiseen pilvessä. Battery opastaa miten pilvimaailma kehittyy ja miten rakennetaan onnistunut pilvinatiivi liiketoiminta.

Euroopan tietoinfrastruktuurin itsenäisyysprojekti Gaia-X ei ilmeisesti etene ihan toivotusti, koska ranskalainen hosting-yritys Scaleway jättää projektin. Scaleway oli yksi projektin perustajista, mutta nyt se kritisoi erityisesti saksalaisia amerikkalaisten pilvijättien kanssa kaveeraamisesta ja horinoita kiinalaispilvien sponsoroinnista. Tämä vain vahvistaa olemassa olevaa valtasuhde-epätasapainoa ja Euroopan epätoivoa kahden suurvallan armoilla. Ranskalaisilla ja saksalaisilla on selvästi hyvin erilainen lähestymistapa tiedon itsenäisyyteen. Suomessa julkishallinnon siirtyminen pilveen takkuaa. Vaikka pilvipalvelut ovat uuden linjauksen mukaan ensisijainen vaihtoehto, tietyillä aloilla on suuria vaikeuksia ottaa pilveä käyttöön. Tietosuojalinjauksissa on epäselvyyttä ja pilven käyttö herkillä henkilötiedon alueilla on epävarmaa. Pilveä voi kuitenkin ottaa käyttöön osittain ja tietosuojaa voi taklata kokonaisuudenhallinnalla ja huolellisilla sopimuksilla. Valtionvarainministeriö kokoaa nyt ongelmia listalle ja alkaa ratkoa niitä luodakseen luottamusta pilvipalveluihin.

Mitä IT-päättäjät miettivät pilvestä? Suurimmalla osalla ei ole edelleenkään selkeää pilvistrategiaa ja moni ei aio siirtää työkuormia pilveen. Liiketoiminta haluaisi hyödyntää pilveä, mutta päättäjät jarruttavat sijaintiin ja tietoturvaan vedoten. Tuttu tarina. Tosiasiassa harvalla yrityksellä on oikeasti vaatimuksia pilven sijainnin tai tietoturvaan liittyen, ja M365-palveluiden myötä moni yritys on jo syvällä pilvessä. Isoilla pilvitoimijoilla on infra kunnossa, ongelmat ja riskit liittyvät enemmän käyttäjien itsensä tekemiin virheisiin. Mutta ratkaisisiko pilven käyttö yritysten digitalisaatio-ongelmat? Ei välttämättä. Pilven käyttöön liittyy harhakäsityksiä ja hyödyn saaminen vaatii riittävää osaamista. Pilven kasvu jatkuu ja siksi hintakilpailu ei ole vielä alkanut. Infran saa toteutettua suunnilleen samaan hintaa pilvessä kuin omassa salissakin.

Suurimmat hyperskaalaajat omistavat nyt yhteensä 700 konesali ympäri maailman. Kapasiteetista puolet on USA:ssa, EMEA-alueella 19%, Kiinassa 15%, muualla Aasiassa 13% ja Etelä-Amerikassa 4%. Viidessä vuodessa konesalien määärä on tuplaantunut ja kapasiteetin kaksinkertaistuminen on tapahtunut alle neljässä vuodessa. Pilven johtonelikko on Amazon, Microsoft, Google ja IBM, joilla on konesalit vähintään kolmella mantereella. Metalla on myös suuri kapasiteetti, kuten myös nopeimmin kasvavilla kiinalaisilla Bytedancella , Alibaballa ja Tencentillä. Ketään ei varmaan yllätä, että keskimäärin omat konesalit omassa maassa ovat huomattavasti suurempia kuin vuokratut ja ulkomailla olevat. Poikkeuksiakin tosin on. Hetzner laajentaa datakeskuspuistoansa Tuusulassa jälleen ensi vuoden alussa kahdella salilla. Salien yksikkökapasiteetti on 2 MW, pinta-ala 2000 m2 ja palvelimia mahtuu sisään kymmeniä tuhansia. Vuoden päästä alueella on kymmenen konesalia ja tilaa riittää vielä 20 lisärakennukselle. Työllistämisvaikutus ei ole järin suuri. Hetznerillä on 40 työntekijää, mutta työllistää välillisesti muita, ainakin rakennusaikana.

Konesalialan tehokkuusvaatimukset luovat painetta ympäristöystävällisyydelle. Veden kulutusta jäähdytykseen pitää pienentää, uusiutuvaa energiaa on hankittava enemmän ja tehokkuuden on tietysti parannuttava. Ala on tietoinen tästä ja kehittelee uusia luovia ratkaisuja. Ongelmat saattavat tulla esiin sijoittajilla, jotka ostavat vanhoja saleja ja joutuvat muuttamaan ne modernimmaksi. Pitkällä tähtäimellä kapasiteettia optimoidaan siirtämällä työkuormia sopivaan paikkaan. Nopeutta vaativat kuormat ajetaan paikallisesti tiheillä edge-alueilla ja muut työkuormat voidaan siirtää ajoon kauemmas isoille maaseutukonesaleille.

Operaattoreille kestävä kehitys on ensisijaisesti kauniita päälle liimattuja raportteja vuosikertomuksissa. Todellinen ongelma on sitouttaa kaikki osapuolet tavoitteisiin. 5G vähintään tuplaa energiankulutuksen ja kustannuspaine on kova. Operaattorit investoivatkin nyt uusiutuvaan energiaan. Toinen tapa vaikuttaa on tarjota asiakkaille energianhallintaratkaisuja esim. laiteille ja kiinteistöille. Operaattorit voisivat jopa tehdä kestävästä kehityksestä liiketoimintaa. Niinpä. Australiassa Telstra on alkanut myydä tuottamaansa uusiutuvaa energiaa, ensin työntekijöilleen ja myöhemmin kaikille kotitalouksille.

Kyberturvallisuus

Trendmicron tutkimus kertoo karua kovaa yritysten kyberturvallisuudesta. Lähes kaikki suomalaiset IT-päättäjät sanovat heidän yrityksensä olevan valmis tinkimään kyberturvallisuudesta tuottavuuden tai muiden tavoitteiden vuoksi. Lisäksi IT-päättäjiä painostetaan jatkuvasti vähättelemään kyberriskien vakavuutta ja sen vuoksi päättäjät sensuroivat itseään hallituksen edessä. Näin yritysjohto vieraannuttaa itsensä todellisuudesta. Vain kolmasosa yrityspäättäjistä uskoo ylimmän johdon ymmärtävän tilanteen. Aihe on vaikea, mutta johto ei edes halua kohdata tilannetta. Vastuu sysätään IT-osastolle ja yhteistoiminta liiketoimintojen kanssa on epäjohdonmukaista ja ailahtelevaa.

Valopilkku suomalaisten yritysten tietoturvassa on Lähi-Tapiola, joka Leo Niemelän johdolla on vienyt tietoturvallisuutta kieltojen ja estojen sijaan positiivisen ja kannustavan kulttuurin ja konkreettisten tekojen kautta eteenpäin. Lähi-Tapiola on nyt palkittu Kyberturvallisuuskeskuksen Tietoturvan suunnannäyttäjä -palkinnolla. Isossa maailmassa taistellaan kyberosaajista paremmilla eduilla. USA:ssa kotimaan turvallisuusvirasto julkistaa uuden ohjelman, jolla kyberammattilaisten palkkaa voitaisiin nostaa yli 250000 dollariin eli samaan mitä varapresidentti saa, ja joissain tapauksissa jopa reilusti yli sen.

Monella perinteisellä alalla vallitsee normaaliusharha. Koska mitään ei ole tapahtunut ennen, ei nytkään osata odottaa häiriötä. Miksi haittaohjelma iskisi pankin historialliseen keskuskoneeseen tai eksoottiseen teollisuuden ICS-järjestelmään? IT:tä se kaikki vain on ja siksi riski on olemassa. Tärkeintä olisi tunnustaa uhka ja tehdä perustoimenpiteet riskien minimoimiseksi. Mitä pitäisi tehdä? Ohjeet voivat olla ympäripyöreitä “korjaa kaikki” -tyylisiä. Qualys on julkaissut arviointityökalun, jolla voi mitata oman yrityksen tilanteen konkreettisesti ja priorisoida uhat korjausta varten. Palvelun saa käyttöön ilmaiseksi 60 päiväksi rekisteröitymällä. Mandiant on julkaissut käytännönläheisen white paperin lunnasohjelmilta suojautumiseksi päätelaitteissa. Kyberturvallisuuskeskus listaa ohjeet miten kerätä ja käyttää lokitietoja. NCSC:n avoimen koodin projeti Logging Made Easy on helppo itse pystytettävä Windows-lokiratkaisu.

Maailma on tosiaan muuttunut mätki myyrää peliksi. Jokaiseen tietoturvaongelmaan heitetään kehiin uusi entistä monimutkaisempi työkalu ja lopulta saadaan aikaiseksi vain isompi sotku ja haavoittuvampi ympäristö. Zero Trust -ajatuksen tarkoituksena helpottaa tietoturvan hallintaa ja samalla parantaa tehokkuutta. Käyttäjien ja laitteiden oikeus käyttää resurssia ja sisällön turvallisuus varmistetaan aina kohteessa. Mallia periaatteesta saa esim. M365-palveluiden käytöstä. Zero Trust ei ole tuote vaan toimintamalli, jonka käyttöönotto vaatii asennemuutosta ja aikaa. Haittaohjelma luirii sisään toimisto-IT:n ja käyttäjien kautta, joten käyttäjän varmistamisella ja vahvalla autentikoinnilla on iso vaikutus. MFA torppaa suuren osan hyväksikäyttöyrityksistä. Somessa on vellonut idea pilkkujen lisäämisestä salasanoihin, jolloin salasanat sotkeutuisivat CSV-tiedostoissa. Muitakin merkkejä ja tapoja on väläytelty, mutta tiedä sitten noiden toimivuudesta ja merkityksestä. Ehkä vaan pidetään salasanat riittävän pitkinä.

Israelilainen vakoiluyhtiö NSO on joutunut skandaalien kautta pahoihin vaikeuksiin. Apple on haastanut yrityksen oikeuteen, Ranskaan aiottu miljoonakauppa on peruuntunut, yhtiö on joutunut 65 maan kieltolistalle, velkaa on 500 miljoonaa dollaria ja toimintaa uhkaa lopettaminen. Uusi toimitusjohtaja kävi kääntymässä mutta lähti saman tien pois talosta. NSO on ollut Israelin valtion kansainvälisen politiikan väline, mutta yrityksen alhainen moraali on nyt suistanut toiminnan raiteiltaan. Trendmicro on tutkinut Void Balaur -nimisen rikollisryhmän toimintaa ja kertoo siitä tarkemmin raportissaan.

Domain-rekisteri Go Daddy joutui laajan tietomurron kohteeksi. Siltä vietiin 1,2 miljoonan WordPress-palvelun asiakkaan tiedot ja osa tunnuksista ja avaimista. Vuoto oli toinen parin vuoden sisään. FBI:n huonosti toteutetun webbisivun hakkerointi johti valesähköpostien lähettämiseen. Viesti oli lähinnä varoitus ja nokittelua hakkereiden ja tietoturvatutkijoiden välillä. Hakkeri antoi oma-aloitteisesti Brian Krebsille lisätietoa tapauksesta.

Aruba Central -pilvihallintaportaaliin murtauduttiin ja pieni määrä asiakastietoa saatiin haltuun kahdesta repositorystä. Tiedot sisälsivät wifi-laitteiden telemetriaa ja sijaintitietoa. Murto tapahtui 9.10.2021 ja tieto julkaistiin vasta kuukautta myöhemmin. HPE ei suoran sano milloin se itse havaitsi murron, mutta ongelma poistui säännöllisen pääsyavainten vaihtamisen yhteydessä lokakuun lopussa. Cisco ASA- ja FTD-laitteista on löytynyt vakava haavoittuvuus, samoin kuin harvinaisemmista Catalyst PON-sarjan kytkimistä. Netgearin yli 40 laitemallissa on jälleen päivitettävää välttääkseen riskin täydelliselle hallinnanluovutukselle. Paloalton Global Protect -VPN:ssä on ollut nollapäivähaavoittuvuus vuoden ajan. Randori löysi haavoittuvuuden, piti tiedon itsellään ja käytti sitä osana red team -harjoitusta, mikä on herättänyt närästystä.

DDoS-raportteja on julkaistu Lumenilta ja Radwarelta. Kasperskyn raportti toteaa hyökkäysten monimutkaistuvan. Elokuussa nähtiin aktiivisin päivä ikinä: 8825 dossausta päivässä. Suurimmista hyökkäysvolyymeista vastaa Meris-botnet, josta Cloudflare kertoo lisää. Sen tekemiä hyökkäysiä tapahtuu noin 100 päivässä, joka on n. 1-5% kaikista hyökkäyksistä. Hyökkäysvoima on pysynyt aika samana noin 5 Mrps -tasolla välillä piikaten oikein kunnolla.

Ajan hakkerointia on demottu radiotiellä atomikellon ja NTP-palvelin välillä. NTP-palvelin voi käyttää GPS:n ohella aikalähteenä matalaa radiotaajuutta, jota lähetäään eri puolilta maailmaa. Radiosignaalin voi helposti muuttaa kotitekoisella laitteella ja näin häiritä NTP-palvelimen tarjoamaa aikaa. Tällä voi olla vakavatkin seuraukset aikariippuvaisissa palveluissa, joita yhteiskunta on täynnä. RF-aikasynkronointi on historian jäänne, jossa tieto liikkuu selkokielisenä ilman autentikointi ja vahvin signaali voittaa.

Gartner on julkistanut palomuurien maagisen nelikentän. Johtokolmikko on tuttu Paloalto, Fortinet ja Checkpoint, jotka kaikki julistautuivat johtajiksi. Gartnerin analyysin mukaan Paloalto johtaa zero trust – ja SASE-kyvyillään sekä hyvällä asiakaskokemuksella. Miinuspuolena on kallis tuote ja palomuurien pilvihallinnan puuttuminen. Fortinet johtaa verkko-ominaisuuksillaan, kokonaisvaltaisella ekosysteemillä ja kustannustehokkaalla hinnalla. Huonoa on, että konttipalomuuria ei löydy, SASE-toteutus laahaa jäljessä ja FortiManager-hallintajärjestelmä ei tue kaikkia tuotteita ja ominaisuuksia. Checkpointilla asiakastyytyväisyys on hyvä ja se tarjoaa vahvat tuotteet korkean turvallisuuden tarpeisiin. Vastapainona Checkpoint menettää markkinaa muille, osin siksi, että asiakkaat eivät ole tietoisia muista kuin sen palomuurituotteista. SD-WAN on erillinen kumppanituote ja konttimuurit ovat ominaisuuksiltaan vajavaisia.

Tietoturvan kirjainlyhenneviidakko alkaa olla pahempi kuin perinteisessä tietoliikenteessä. Uusia termejä pilvitietoturvassa ovat CWPP cloud workload protection platform, CSPM cloud security posture management ja nämä yhdessä on CNAPP cloud-native application protection platform. CNAPP suojaa pilvinatiiveita mikropalveluita konteissa ja serverless-funktiossa. Tähän yhdistyy pilvi-infran käytön luvittaminen ja tietoturvan tuominen mukaan ohjelmistokehitykseen. Ohjelmistokehityksen tietoturva ja vasemmalle siirtyminen on nyt nouseva trendi. Tietoturvaa pyritään leipomaan sisään kehitykseen ja konfiguraatioihin koko sovelluksen elinkaaren ajaksi. Kehittäjät eivät ole erityisen kiinnostuneita tietoturvasta tai uusista työkaluista. Tietoturva pitää saada automaattisesti mukaan infrakoodiin. Startupit haastavatkin perinteiset valmistajat kehittäjäkeskeisemmillä työkaluilla.

Paloalton Unit 42 onkin todistanut pilvitietoturvatapahtumien kasvua lähes kaksinkertaiseksi. Se myös odottaa, että ensi vuoden aikana 80% kyberhyökkäyksistä liittyy pilveen jotenkin. Dynaamisen luonteensa takia pilven virheet johtavat isoihin ja monimutkaisiin ongelmiin. Kun infra ja sovellukset muuttuvat jatkuvasti, niin muuttuu ympäristön haavoittuvuuskin. Windows on erityisen houkutteleva kohde rikollisille ja siihen on laskettu kehitettäneen yli 100 miljoonaa haitaketta tänä vuonna. Siis yli 300000 päivässä.

Cato väittää olleensa ensimmäinen SASE-alusta, mutta nyt niitä on tarjolla joka valmistajalta hieman erilaisin värein. Zscaler on saamassa Helsinkiin POP:n, joten lokalisaation ongelmat ehkä poistuvat piakkoin. SASE ei kuitenkaan tarkoita perinteisten palomuurien poistumista, ainakaan lähitulevaisuudessa. Tämä tarkoittaa siis rinnakkaisia ratkaisuja eli enemmän työtä ja kustannuksia. SASE:n hyöty kuitenkin tulee pilvisiirtymän myötä joustavuudesta ja keskitetyn palveluratkaisun kattavuudesta ja ominaisuuksista. SASE on osa laajempaa teknologiatyökalujen yhdistymisen trendiä ja pilvisiirtymää, joka on oikeaan aikaan oikeassa paikassa. Uusi maailma tarvitsee uudenlaisia tietoliikenne- ja tietoturvaratkaisuja, jotka yhdistyvät pilveen, integroituvat muihin järjestelmiin ja tuottavat analytiikkaa käytöstä. SASE-markkinassa on odottettavissa valmistajien yhdistymistä ja isojen pelurien tuotteiden ominaisuuksien lisääntymistä, mutta uusia valmistajiakin pulpahtelee esiin säännöllisesti. Amazonin Eero -wifi-kotilaitteisiin tuodaan Vmwaren kumppanuudella SASE-ominaisuudet. Redhat näkee roolin olla verkon ja tieturvan orkestraattori isoissa yrityksissä ja operaattoreilla. SASE ja SD-WAN tehdään kumppanuuksien kautta ja omaa osaamista on Openshift-konttialustan kautta palveluiden tuottamiseksi erilaisilta pilvialustoilta.

Rahaa tietoturva-alalla on ja Lacework on saanut ennätyksellisen 1,3 miljardin dollarin sijoituksen. Sillä se haastaa Paloaltoa juuri pilvitietoturvan alueella. IoT-tetoturvavalmistaja Armis on yksi nopeimmin kasvavista tietoturvayrityksistä Pohjois-Amerikassa. Armis keskittyy laitteiden näkyvyyteen IoT-ympäristöissä teollisuudesta terveydenhuoltoon teknologia-alustasta riippumatta. NDR-valmistaja Netography saa 45 miljoonan dollarin sijoituksen ja vahvistaa omaa poikkeavaa SaaS-palveluaan. Muut kilpailijat Vectra AI, Darktrace ja Extrahop luottavat appliance-laitteisiin ja DPI-tekniikkaan, mutta Netography lupaa kevyttä ja kattavaa havainnointia pilvinatiivisti. Toimitusjohtaja Roesch tunnetaan entisenä sourcefireläisenä. Deloitte Technology Fast 500 listaa muutkin nopeimmin kasvavat teknologiayritykset. Forrester on rankannut teollisuuden ICS-järjestelmien tietoturvavalmistajat. Johtajina ovat Cisco, Tenable ja Clarity, perässä tulevat Dragos, Forescout, Microsoft, Nozomi, Verve ja Fortinet.

EU tiukentaa langattomien laitteiden tietoturvavaatimuksia Euroopan markkinoilla. Uuden lain mukaan valmistajien täytyy jatkossa ottaa laitteiden kyberturvallisuudesta ja tietojen käsittelystä suurempi vastuu niin, että niiden laitteet eivät aiheuta riskiä digialustoille, johda rahallisiin petoksiin tai vaaranna kuluttajan yksityisyydensuojaa. Trendmicro on julkaissut Black Mirror -henkisiä videoita ja raportin miltä tulevaisuus voisi näyttää 2030-luvulla.

Tekniikka ja operointi

Ethernetin kilpailija Infiniband sätkii vielä ja saa uuden rautapäivityksen Nvidia-Mellanoxin Quantum-2 -piireistä. Kapasiteetti tuplautuu entisestä ja nyt on yhdestä ASIC:sta on saatavilla 64x400G- tai 128x200G-portit. Ethernet-kytkinten ja reitittimien erot ovat sekoittuneet ja kytkimet osaavat jo lähes kaiken. Kytkin on yksinkertainen ja nopea pakettienvälityslaite. L3-kytkin osaa tehdä pakettien välitystä reitityksen avulla. Nykyään lähes kaikki vähänkin paremmat laitteet pystyvät reititykseen, mutta ominaisuuksissa on eroja. Reititin on sitten täysverinen ja kalliimpi laite, jossa on myös puskurointia, QoS-ominaisuuksia ja tunnelointi-, salaus- ja osoitemuunnoskykyjä yms.

Suomalainen Xiphera kehittää internet-liikenteen salauslaitteistoja. Salaus kannattaa tehdä raudassa, koska se on tehokkaampaa, mutta myös turvallisempaa. Avaimet voidaan raudassa pitää erillään salauslaskennasta. Raudassa on huomioitava salausalgoritmien päivitettävyys, joka ohjelmoitavassa FPGA:ssa onnistuu hyvin. Internet-liikenteestä suuri osa on siirtynyt TLS-tunnelin päälle, mikä on köyhdyttänyt internetin alkuperäisen protokollien ja TCP/UDP-porttien monimuotoisuuden. Ennen protokollilla oli käyttötarkoitukseen sopivat ominaisuudet, nyt yksi protokolla hoitaa kaiken. Tässä voi olla taustalla agressiivinen palomuuraus ja välilaitteet, jotka tehokkaasti torppasivat kaiken liikenteen. Vain HTTP-liikenne saattoi mennä läpi, jos sekään. Nyt välilaitteet käyvät turhiksi kun tunnelointi tehdään päästä päähän. Ehkä porttien multipleksaus palaa joskus kymmenen vuoden päästä uutena ideana.

Ensimmäinen kaupallinen yhden piirin mikroprosessori Intel 4004 täytti 50 vuotta. Sitä ennen CPU:t olivat isoja piirikortteja, mutta Intel onnistui kutistamaan toiminnot yhdelle piirille ja loi pohjan PC-koneille. Nykyiset palvelimet ovat kovin erinäköisiä ja OCP Summitissa esitelty pilvirauta WILD on villi. SmartNIC tai DPU alkaa nyt olla valtavirtaa ja Gartner ennustaa, että 2023 kaksi kolmasosaa uusista verkkokorteista olisi SmartNIC:jä. Osa valmistajista on jo esitellyt FPGA-laajennettuja kytkimiä ja Rockport oman kytkimettömän verkkonsa. Juniperin kiinnostava julkistus on Edge Services Platform, jossa DPU ajaa verkkotoimintoja palvelimessa ja keskitetty hallintajärjestelmä, kuten Apstra, ohjelmoi toiminnot kortteihin osana koko verkkoa. Verkko- ja tietoturvatoiminnot saadaan hajautettua pilven reunoille ja kuitenkin otettua kuorma pois CPU:lta. Aiemmin on nähty mm. Vmwaren Project Monterey virtuaalikoneiden ja muiden resurssien orkestrointiin, Paloalton Nvidian Bluefield-kortille suunniteltu virtuaalimuuri ja Fungiblen storage-tuotteet, joissa DPU on kokonaan korvannut x86-prosessorit.

Mitä eroa on SmartNIC:llä, DPU:lla ja IPU:lla? SmartNIC on joustava ja laajennettava laite, joka tekee tiettyjä toimintoja CPU:n puolesta. DPU:lla on laajempi ja yleiskäyttöisempi toimenkuva ja se on infran päätelaite, vähän kuin minitietokone. IPU on Intelin nimitys DPU:lle. Yleensä SmartNIC:iä ohjaa CPU ja DPU:ta pilvioperaattori. DPU:t ovat 30-vuotisen kehityksen tulosta. Intelin IPU on alkuun FPGA-rautaa ja myöhemmin tulee myös tehokkaampi ASIC-versio. Verkkokortteihin voidaan nyt ympätä mukaan P4-ohjelmoitava ja rautariippumaton täysverinen kytkin, joten esim. koko ESX:n vswitch voidaan siirtää IPU:lle hoidettavaksi. P4-kytkin tuo joustavuutta ja ominaisuuksien laajuutta, joten kaikki toiminnot saadaan siirrettyä pois CPU:lta ja viimeisetkin pullonkaulat poistettua. DOCA (Datacenter on a chip Achitecture) on Nvidian malli ja sovelluskehitysympäristö DPU:ille. Sen avulla voidaan ohjelmoida koko infran toiminta yhdelle piirille. Nvidian Morpheus-alusta käyttää DPU:ita hyödyksi tietoturvasensoreina ja pilvitekoälyn palautteen perusteella suojauslaitteina toteuttaen esim. zero trust -periaatetta.

CPU:n osalta puhutaan threadeista, prosesseista ja coreista. Mitä eroa niillä on ja miten ne vaikuttavat verkkolaitteen toimintaan? Threadit ajetaan jaetussa muistissa ja prosessit erillisissä muistialueissa. Perinteinen käyttöjärjestelmä, kuten Cisco IOS, on non-preemptive eli prosessia ei voi keskeyttää kun sitä ajetaan. Linuxissa ja vastaavissa käyttöjärjestelmissä prosessit ja threadit voi keskeyttää ja niitä voi ajaa rinnakkain. Siksi suorituskykyä saadaan enemmän kunhan prosesseille voidaan heittää käyttöön lisää coreja. Verkkolaite tulee yleensä köykäisellä CPU:lla varustettuna, joten laskentasuorituskykyä saadaan paremmin kun käytetään virtuaalikonetta.

NaaS eli verkko palveluna on siirtämässä verkon toimintoja pilveen. Ciscon Global Networkin Trends -raportti kertoo, että NaaS kiinnostaa, koska sen uskotaan vapauttavan IT-resursseja ja parantavan viankorjauksen vasteaikaa. Noin kolmannes uskoo jo käyttävänsä NaaS:ia, mikä kertoo, että termi ei ole selvä. NaaS sekoittuu helposti ostopalveluun, mikä ei ole sama asia. NaaS:iin kuuluu pilvihallittu ympäristö, tuotosperustaisuus, erilaisia käyttö- ja laskutusmalleja sekä SLA-sopimus. SASE ei ole NaaS, mutta askel siihen suuntaan. NaaS-malli yleistynee lähivuosina, mutta ongelmia saattaa tulla kun tajutaan, että malli vaatiikin enemmän määritellyn lähestymisen. Kustannukset ja siirtymisen vaikeus saattavat myös yllättää. Automaation, pilven, NaaS:n ja ihan vaan ylläpidon takia omaa ympäristöä kannattaakin karsia yksinkertaisemmaksi ja palveluita vakioida jo nyt.

Anycast on tapa hajauttaa palvelu maantieteellisesti saman IP-osoitteen taakse. Maailmanlaajuisesti anycast toimii paremmin kuin pienellä alueella, mutta silti se ei automaattisesti takaa nopeinta palvelupistettä käyttäjälle. Dmytro Shypovalovin kirjoitus annycastista ja segment routingista aiheutti pienen poikkeuksellisen some-myrskyn väittäessään virheellisesti, että anycast ei olisi tuettu MPLS-verkossa. Ivan Pepelnjak kumosi myytin demoamalla LDP-toteutuksen. Anycast toimii siis MPLS-verkossa ja on toiminut aina, koska siihenhän internetin palvelut perustuvat. Internetin myyttisiä RFC:eitä on kirjoiteltu lähes joka aprillipäivä ja kattava lista löytyy Wikipediasta. Lainatuin lienee RFC 1925 The Twelwe Networking Truths, jossa on oikeasti paljon asiaakin.

Automaatiosta puhutaan paljon, mutta yksi iso ongelma on asiantuntijoiden haluttomuus muuttaa omia toimintatapojaan. Jos jokainen laite ja asetus pitää käsin säätää kohdilleen ja päivittäin pitää käydä halailemassa omia laitteitaan konesalissa, ei toiminta voi olla ketterää ja skaalautuvaa. Sovellukset ja muut IT-palvelut menevät omalla tasollaan ihan toisessa maailmassa. On osin alan omaa syytä miksi verkkoa pidetään nykyään pullonkaulana IT-palveluiden toimituksessa. Milloin asiantuntija uskallat muuttua, kyselee Nico Vibert.

Automaatiossa Source of Truth eli lähdetiedon yksi piste on olennainen komponentti. Daniel Teycheney antaa johdannon aiheeseen ja SoT:n merkitykseen. Teknisessä toteutuksessa SoT voi olla esim. Netbox, Git tai joku niiden johdannainen. Koodimaailmassa Git saa enemmän kannatusta, koska se on helppo integroida työnkulkuun ja se tarjoaa hyvän versiohallinnan. Netboxin jälkeläinen Nautobot saa myös versionhallintaominaisuuksia ja lokitusta lähiaikoina ja kuroo Gitin etumatkaa umpeen. Uutta ajatusmallia ja työvälineitä herätellään myös Network to Code -blogissa. Git nousee tässäkin parhaaksi kaveriksi. JulioPDX on kuvannut CI/CD-ympäristön ja siihen liittyvät työkalut kuusiosaisessa blogissaan.

Dokumentaatio kaipaa usein parannusta, myös infrastruktuurikoodin aikakaudella. Avoimen koodin dokumentaatio ratkaisee kuinka suosittu projektista tulee ja kuinka tuottava sen käyttäjä on. Hyvä dokumentaatio, siis esim. toimintaohjeet, ensivaikutelma ja kunnollinen kieli, luovat uskottavuutta ja sitoutuneisuutta. Avoimen koodin työkaluissa Grafana 8.2 tahtoo demokratisoida pilvimetriikan ja sisältää joukon käytettävyytä parantavia ominaisuuksia. Tldraw on pienen pieni ja ilmainen piirrosohjelma. Toxiproxy on työkalu verkon olosuhteiden simulointiin esim. kehityksessä ja testauksessa.

Kaupallisella puolella Cisco on yhdistänyt Thousandeyesiin tiedon internet-palveluiden sovelluskatkoista. Nyt siis valvonnasta näkee onko SaaS-ongelma vain meillä vai muillakin. Arista on esitellyt verkon tietoaltaan NetDL, johon kerätään tieto verkosta ja josta AVA-tekoälyapuri osaa nostaa esiin ongelmia, tapahtumia ja uhkia. Arista on esittänyt, että sen Cloudvision-hallinta toimisi myös Cisco-laitteilla ja vastavuoroisesti Cisco ACI toimisi Arista-kytkimillä. En tiedä mihin tällä viitataan, mutta vaikea kuvitella kovin syvää integraatiota. Juniperin Rami Rahim onkin tuominnut nämä puheet ja todennut, että Apstra on ainoa oikea monivalmistajahallinta. Juniper on laajentanut Mistin tekoälyä koko Junos-tuoteperheeseen tukiasiakkaille ilmaisella Support Insight -sovelluksella, joka kokoaa laitetiedot raporteiksi, näkymiksi ja ehdotuksiksi. Mist on tuonut Juniperille käyttäjäkeskeisyyden ja saman suunnan näkevät muutkin valmistajat. Nyt viimeistään on aika nousta kuraisista SNMP-maailmoista käyttäjäkokemuksen tasolle.

Gartnerilta on tullut ulos Wired and Wireless LAN Access Magic Quadrant. Mist on siinä kärjessä Aruba aivan takanaan. Cisco, Extreme, Fortinet ja Huawei kärkkyvät tuntumassa. Aristakin on teknisesti hyvissä asemissa, mutta ei pärjää myynnissä. Mistiltä tuli ulos uudet 6E-tukiasemat ja IoT Assurance, joka helpottaa IoT-laitteiden liittämisessä verkkoon.

Wifi Alliance on määritellyt sertifioinnin Wifi HaLow-tekniikalle. 802.11ah laajentaa wifiä IoT-käyttöön alle 1 GHz taajuudella. Tällä saadaan pitkä kantama, pieni virrankulutus ja vahva yhteys vaikeissakin olosuhteissa. Tekniikka on ollut olemassa jo yli viisi vuotta, mutta on odotellut IoT-käytön nousua. Halow:lla yksi tukiasema voi palvellla n. 8000 laitetta. Yleisesti siis puhutaan 1000-kertaisesta määrästä ja 100-kertaisesta peittoalueesta tavalliseen wifiin verrattuna. Toisenlaista langatonta siirtoa on kokeiltu ydinsäteilyn avulla koodaamalla nopeita neutroneita. Käyttökohde olisi vaikeat olosuhteet, joissa yhteyden pitää toimia esim. metalliseinien läpi ja myös hätäpelastustehtävissä.

OCP Summitissa on esitelty Metan uutta rautaa. Cisco ja Arista tekevät paluun OCP-mallin kytkimiin. Wedge 400C käyttää Ciscon Silicon One -piiriä ja Aristan 7388X5 toimii 200G-fabricissa. Muut kytkinmallit on rakennettu Tomahawk 3 ja 4 -ASIC:n ympärille. Abstraktointitaso on nyt kaikkialla SAI, joten sama rajapinta ulospäin on nyt kaikissa laitteissa käytössä. Sen myötä rautapohjaa on saatu laajennettua, vaikka koko kehitys on kestänyt yli 10 vuotta. SAI on siitä fiksu tapa hoitaa raudan kohtaaminen, että se käyttää rautavalmistajien omia SDK:ita ja ei siten riko valmistajan usein tiukkoja lisenssiehtoja.

OCP-projekti täytti kymmenen vuotta. Se perustettiin 2011 kun Facebook ei saanut vuokrattua sopivaa tilaa ja aloitti itse rakentamaan kapasiteettia. Tehokkuusvaatiukset ajoivat avoimeen ja modulaariseen disagregoituun rautaan ja softaan, joka oli siirreltävä ja luotettava. Tähänkin tarinaan liittyy servetti, johon Jay Park piirsi sähkönsyöttösuunnitelmansa. Alkuvuosien konsepti on pysynyt vuosien mittaan samana, vain optimointia on tehty. Ohjelmisto on iso osa konesalin tehokkuutta, optimointi ja viankorjausta. Metalla on nyt 48 konesalia 18 kampuksella ja 47 uutta on rakenteilla. OCP:n vaikutus Metan konesaleihin on ollut merkittävä. PUE on tippunut alle 1,2:n ja nollapäästöihin päästään 2030 mennessä. Chipletit tehostavat toimintaa kytkeytymällä keskenään suoraan piiritasolla isommiksi kokonaisuuksiksi. Tällä kaikella Meta myös valmistautuu Metaversumin tuloon.

Starlinkin uusi päätelaitteisto on julkaistu nelikulmaisella MacFlatface-lautasella ja uudella reitittimellä. Hinta on käyttäjälle edelleen sama 499$. Uudessa reitittimessä on vain wifi-rajapinta, mutta siihen saa erikseen ostettua ethernet-adapterin. Mesh-tuotetta lupaillaan myös.

Yritykset

Suomi putosi EU:n DESI-digivertailussa kakkoseksi Tanskan ottaessa kärkipaikan. Erot EU:n sisällä ovat suuret. Valokuidussa Suomi on jäänyt takapajulaksi verrattuna esim. Ruotsiin tai Keski-Eurooppaan. Suomessa on uskottu mobiiliverkkoihin, mutta nyt on taas kerran herätty kuidun tarpeeseen. Sijoitusrahaa löytyy ja alueille voi tulla jopa useita verkkoja rinnakkain. Kuluttajia varoitellaan kuitenkin epäselvistä markkinointi- ja myyntipuheista. Kiina on jäänyt kiinni valokuidun polkumyyntihinnoittelusta EU-alueella vuosina 2017-2019 kun kiinalaisten kaapelituotteiden hinta laski yhtäkkiä 23%. EU totesi, että tässä täytyy olla valtiontuki taustalla, ja lätkäisi 20-44% lisätariffit tuotteille. Tämä on se suuri ongelma Huawein kanssa: muut eivät voi kilpailla hinnalla ja sen myötä kilpailu ei ole reilua.

IDC ennustaa IT-inframarkkinan siirtyvän tulevaisuudessa enemmän perinteisistä kanavista kohti sovelluskeskeisiä luotettuja kumppaneita. Liiketoimintatavoitteet priorisoidaan infravalintojen ohi ja työkuormat sidotaan enemmän valmistajakohtaisiin ratkaisuihin. Ympäristövastuu tulee yhä enemmän mukaan hankintoihin. Palvelut ostetaan OPEX-hinnoiteltuina kuukausilaskutuksella. Infra hajautuu ja automatisoituu, tiedon ja arkkitehtuurin yhdenmukaisuus nousee tärkeäksi. Tulosperusteisia palveluita määrittävät SLA:t ja KPI:t.

Cisco on yksinkertaistanut Enterprise Agreement -malliaan versiossa 3.0. Ciscon lisensointi on ollut sotkua, jossa käyttäjää on pitänyt opettaa oikeille tavoille kerta toisensa jälkeen kun lisensointimallia on muutettu joka vuosi.

Nokia on on ollut irtisanomisten takia huonossa huudossa Ranskassa. Nyt se kuitenkin avaa kyberturvallisuuskeskuksen Lannioniin ja vahvistaa asemaa tietoturvapalveluissa. Työllistämisvaikutus on noin 100 henkeä.

Riverbed Technologies on pahoissa talousvaikeuksissa ja järjestelee toimintaansa uudestaan selvitäkseen 1,1 miljardin dollarin veloistaan. Vaikutuksia on odotettavissa 30000 asiakkaaseen ja 1400 työntekijään. Riverbed osti 2010 CACE Technologies -yhtiön, joka oli Wiresharkin pääsponsori. Näin Riverbed on tärkeä Wiresharkin ylläpitäjä.

Lontoon yhdysliikennepiste LINX on valinnut Nokia 7750-SR7 -reitittimet uusiksi laitteikseen kolmeen sijaintiinsa. Valinta on hieman ihmeellinen kun maailma menee pizzalaatikkokytkimien ja fabricien suuntaan. LINX:llä oli jo ennestään disagregoitu Edgecoren ja IP Infusionin EVPN-VXLAN -fabric.

Puolijohdepula on niin kova, että myös piirivalmistukseen käytettävien työkalujen valmistus on vaikeuksissa. Tämä ei varmaan auta itse piirivalmistajien tilannetta. Arista ja Juniper ovat molemmat ilmoittaneet, että joissain tapauksissa toimitusaika voi olla 80 viikkoa. Siis kesälla 2023! Komponenttien hinnat ovat nousseet joiltain osin jopa kaksinkertaisiksi. Laitevalmistajien hinnankorotukset asiakkaille ovat olleet toistaiseksi melko maltillisia 10-15%. Euroopan palvelinmyynti on tippunut alimmas neljään vuoteen. Syynä on komponenttipula ja pilvisiirtymä, mutta myös ohjelmisto-ohjauksen parantama tehokkuus. Samoista resursseista saadan paremmalla hallinnalla enemmän irti.

Arista on ehkä haudannut sotakirveensä Ciscon kanssa ja se voisi käyttää kytkimissään Ciscon Silicon One -piiriä. Kuvio olisi  jännä. Ciscon Silicon One on oma liiketoiminta-alueensa ja komponenttimyynti Aristalle pitäisi onnistua. Arista on ehkä ainoa todellinen haastaja Ciscolle. Se voisi saavuttaa Ciscon porttimäärät konesali- ja kampusverkoissa. Ensimmäiset 50 miljoonaa porttia vei Aristalta 10 vuotta, seuraavat 50 miljoonaa enää viisi vuotta ja seuraavat enää 2-3 vuotta. Aristalla on rahaa ja se voisi ostaa myös ASIC-valmistajan. Xsight Labs on yksi jäljellä olevista. Softaan rahaa ei voi loputtomasta polttaa. Big Switchin osto oli järkevä, tekoälyä ja hallintaa on jo rakennettu Cloudvisioniin. Siispä työntekijöitä palkittiin optioilla. Aristan kannattaisi kuitenkin panostaa yritysmyynnin kehittämiseen, mutta sen hyödyllisyydestä ei ole täyttä varmuutta. Ainakin pilvijätteihin kannattaa panostaa, koska 400G:llä on nyt kysyntää.

Pica8 on tunnettu Ciscon haastamisesta, mutta nyt kohteeksi on joutunut myös Cumulus. Broadcomin tuen loppuminen Cumulukselle Nvidia-kaupan myötä viime vuonna on ajanut Cumulus-käyttäjät raudan osalta tyhjän päälle. Päivityspolkua ei ole eteenpäin Broadcomin raudalla. Pica8 tarjoaa itseään helppona vaihtoehtona siirtyä Cumuluksesta pois.

Hashicorp, yritys avointen infrakoodityökalujen taustalla, on listautumassa pörssiin yhtenä arvokkaimmista pilvi-infra -startupeista. Hashin tavoitteena on tehdä Iphonen kaltaisia hyvän käyttökokemuksen työkaluja, jotka toimivat yhteen. Se myy avointa koodia premium-ominaisuuksilla ja palveluna. Sillä on 1650 työntekijää ja 2100 asiakasta. Microsoftilla ja Googlella on ollut vastaavanlaisia hyviä monipilvityökaluja kuin Hashilla, ei niinkään AWS:llä. Tähän asti on mennyt hyvin, mutta Hashi odottaa kilpailun kovenevan. Avoimen koodin vaihtoehto voi käydä hankalaksi pilvien kanssa kilpailtaessa, jos ne niin päättävät. Hashin taktiikkana on keskittyä käyttäjiin ja tarjota niille hyvää käyttökokemusta.

Redhatilla ei mene yhtä hyvin ja se on jäädyttänyt budjettiaan. Sen vuoksi päälliköille on lähetetty sähköpostiohje olla palkkaamatta liian kalliita vanhempia asiantuntijoita. Aloittelijoiden palkkaaminen voi olla pidemmän päälle ihan hyvä vetokin taloudellisista syistä riippumatta. Ison maailman ohjeita palkkaneuvotteluun voi soveltaa joiltain osin meillekin. Yritysten IT-osaaminen on katoavaa kansanperinnettä ainakin infrapuolella. Konsultin palkkaaminen voi olla hyvä veto kun pitää päivittää teknologiaa ja toisella puolella pöytää konsultointi voi olla mielenkiintoista tehtävää osaavalle kaverille. Asiakastyössä on tärkeä osata kysyä asioita ja kerätä tietoa, joten miten niitä hyvä vastauksia saa?

Internet

Epätoivo IPv4-osoitteiden kanssa syvenee. IETF miettii oletusreitin 0/8 ja loopback-alueen 127/8 ottamista käyttöön. Yhden A-luokan polttamiseen menisi aikaa arviolta 1-2 kk, joten hyöty olisi kyseenalainen, mutta haitat sitäkin suuremmat. Voi vain arvailla minkälaisia koodauksia ohjelmistoissa on näiden tiettyyn käyttöön varattujen osoitteiden osalta. RIPE:n IPv4-jonotuslista kasvaa hurjaa vauhtia. Kysyntää on, mutta osoitteita ei.

Ericsson Mobility Report kertoo mobiiliverkkojen kasvusta. Kymmenessä vuodessa mobiilidatan määrä on kasvanut 300-kertaiseksi. 5G ottaa hallinnan 2027 mennessä, jolloin puolet matkapuhelimista toimii 5G-verkossa. Tällä hetkellä 5G-puhelimien osuus on 23%. Kiinteän mobiililaajakaistan odotetaan kasvavan kolminkertaiseksi reilussa viidessä vuodessa. Laajakaista on noussut asunnonostajien tärkeimpien valintaperusteiden joukkoon brittiläisten kiinteistönvälittäjien tutkimuksen mukaan.

Starlinkin uusi rakettiversion on pahemmissa vaikeuksissa kuin kuviteltiin. Johtaja sai lähteä ja Musk uhkailee konkurssilla jos Gen2-satelliittia ei saada taivaalle suunnitelmien mukaan. Starlinkia ja T-Mobilen FWA:ta on vertailtu keskenään ja muihin laajakaistoihin. Mittaus toistelee samaa tuttua asiaa: FWA ja satelliitti antavat hyvän vaihtoehdon toteuttaa laajakaista siellä missä saatavuus on rajoitettua. Muuten kaksikko on keskenään melko tasainen.

Metaversumi leviää ja Microsoft on astunut mukaan Mesh for Teamsilla. Teamsissa voi esiintyä avatarin avulla, mutta mikä 3D chatin tarkoitus on yrityskäytössä? Lentääkö Metaversumin idea ylipäätään pandemian jälkeisessä ajassa? Uusien futurististen työkalujen tuominen keskivertoyritykseen todennäköisesti kohtaa vastustusta. Xboxilla on sentään pelit ja Hololens tukenaan. Accenture ja saksalaispanimo ovat tehneet toimitiloistaan digitaalisen kaksosen. Nvidia kutsuu alustaansa Omniverseksi ja se yhdistää simulaatiota, tekoälyä ja lisättyä todellisuutta. Omniverse eroaa videopelialustoista, koska siinä luodaan kaikki reaaliajassa. Ominiverse Enterprisen hintalappu on 9000$/paikka. Qualcomm odottaa metaversumista uutta suoritusalustaa ja seuraavaa liiketoimintamallia, jolla se laajentaa toimialaansa. China Telecom on kuvasi metaversumiaan tärkeäksi digitaalisen omaisuuden luomisalustaksi. Se olisi johdonmukaista web3-kehityksen kanssa. Alussa alustalla olisi pienempiä erillisiä virtuaalitodellisuuksia ja myöhemmin alustasta kasvaisi yhtenäinen virtuaalimaailma. Ja Kiinassahan tarvitaan tietysti valtion julkaisulupa tällaisille hankkeille, joten alalle on luotu virallinen yhdistys.

Vaatiiko metaversumi verkolta jotain erityistä, sitä ei tiedä vielä. Todennäköisesti nopeampaa ja isompaa kapasiteettia. Cisco näkee metaversumin tietoturvan villinä läntenä. Kryptovaluutat, lohkoketju ja NFT:t ruokkivat kyberrikollisuutta, lainsäädäntö ja regulaatio laahaavat perässä. Käyttäjien ja digiomaisuuden suojelemiseen pitää tosiaan panostaa ja tietoturva ei saa olla jälkijättöistä.

Tapahtumat

RIPE83, NANOG83 ja DENOG13 ovat jälleen täynnä hyviä esityksiä.

Cloud Field Day 12:ssa esittäytyivät Prosimo, Juniper, Ondat, Redhat, Memverge, Veeam ja Yotascale.

Microsoftin Ignite esityksiä on katsottavissa.

Kuukauden vientituote

Kiina lobbaa suurta palomuurituotettansa vientimarkkinoille. Työkalua ja hallintomallia on esitelty World Internet Conferencessä, joka on tätä varten perustettu kiinalaistapahtuma. Palomuurituotteen ominaisuuksiin kuuluu kyky rajoittaa tietojen valumista ulkomaisille alustoille, tukahduttaa ulkomaisten pilviyhtiöiden toimintaa ja tietysti tehdä sisällönsuodatusta. Omien sanojensa mukaan Kiina tekee konferenssin kautta yhteistyötä, edistää internetin avoimuutta ja rakentaa tervettä järjestystä maailmaan. Kiina on valmis auttamaan kyberapua tarvitsevia maita jakamalla palomuurisääntöjä muidenkin käyttöön. Australialaisen ASPI:n raportti aiheesta kertoo enemmän.

[FI] Tietoliikennealan katsaus 2021-10

Ongelmat

Isoja ongelmia on riittänyt viimeisen kuukauden aikana. Facebook yllätti automaatiokatastrofillaan maanantai-iltana 4.10. Syy oli nopeasti tiedossa, enemmän ihmetytti miten näin pääsi käymään tämän luokan organisaatiossa ja infrassa. Globaalin reitityksen BGP-konfiguraatiomuutos tiputti koko Facebookin verkon alas. Kun Facebookin nimipalvelimilta hävisi verkko, ne automaation perusteella tiputtivat palvelut alas. Äkkiä koko Facebook hävisi olemasta. DNS-tietueiden elinaika TTL on näissä dynaamisissa sisältöpalveluissa hyvin lyhyt. Käytännössä muutamassa minuutissa palvelu ja infra oli kuollut.

Facebook oli sitonut sisäiset hallintatyökalunsa nimipalveluun, joten myös hallintakyky infraan katosi, vaikka käytössä oli erillinen out-of-band -hallintaverkko. Myös sisäinen viestintä lamautui ja tiloissa liikkuminen vaikeutui. Ainoa mahdollisuus palveluiden korjaamiseen oli mennä paikan päälle konesaliin operoimaan laitteita. Konesalien turvallisuuteen oli panostettu ja sisäänpääsy ei ollutkaan niin helppoa. Kulunvalvonta oli verkon varassa ja ei nyt toiminutkaan. Lisäksi matkalla oli muita kovennuksesta johtuvia hidasteita. Legendat lähtivät elämään, että konesaliin olisi menty kulmahiomakoneen kanssa, mutta näin ei oikeasti ollut.

Katko vaikutti myös muihin palveluihin. Nimipalvelut kuormittuivat jopa 30-kertaisesti ja hidastuivat, mutta myös koko maailman liikennevirrat muuttuivat kun internet-liikenteestä hävisi noin 10-20%. Facebook.com domain jopa tuli joissakin rekistereissä myyntiin kun sen nähtiin vapautuneen käytöstä. Jotkut nimipalvelut, kuten Cisco Umbrella, tallentavat nimitiedot ja tarjoavat “vanhaa” eli viimeisintä tietoa, vaikka autoritatiivinen palvelu olisi pois käytöstä ja tietueiden elinikä olisi päättynyt. Tässä tapauksessa siitäkään ei ollut apua.

Tapauksesta syntyi mediashow, josta kaikki ottivat ilon ja hyödyn irti. Twiitit lensivät ja Skynews veti parhaan sketsin “Bridging Gap Protocol”-esityksellään. Cloudflare oli julkaissut oman blogin jo ennen kuin vika oli korjattu ja tarjoutui hostaamaan Facebookin nimipalvelua. Thousandeys oli kärppänä paikalla raportoimassa kuten yleensä kun jotain internet-ongelmia esiintyy. RIPE:n BGPlay-tallennus ongelmasta näyttää miten BGP-päivitys eteni. Facebookilla oli vielä toinen noin tunnin mittainen reititykseen liittyvä ongelma saman viikon perjantaina.

Facebookin oma tarkempi selvitys jäi saamatta ja nopeasti julkaistu blogikirjoitus oli aika turhaa sanailua ilman syvällisempää tietoa. Ulkopuoliset tahot tarjosivat paremmat analyysit. Häiriö antoi taas hyvää käytännön opetusta miten asiat voivat mennä pieleen. Ongelma ei ollut protokollissa tai niiden monimutkaisuudessa, vaan ympäristön riippuvuuksissa ja toimintamallissa. Suurin ongelma oli selvästi täysi riippuvuus hajauttamattomasta nimipalvelusta. Operaattorinimipalvelun parhaat käytännöt vuodelta 2006 pätevät edelleen. Facebookin automaatio rikkoi muutoksen, koska muutoksen katselmointi ei havainnut tulevaa virhettä. Voikin kysyä kuka auditoi auditoijaa? Verkon hallinnan kaikkien riippuvuuksien ja mahdollisuuksien hahmottaminen on todella vaikeaa. Riippuvuuksia tulee väistämättä vastaan mm. infrapalveluissa ja tiloissa, virtualisoinnissa ja palvelimissa, hallintaverkoissa ja viestintävälineissä. Hyvä tapa hahmottaa riskejä ja ymmärtää kokonaisuutta on yrittää kuvata koko ketju ja riippuvuudet esim. tuotanto- tai jatkuvuussuunnitelman muotoon.

Samanlaisia isoja hallinnan menetykseen johtaneita häiriöitä on ollut aiemminkin mm. Cloudflarella 2020, Googlella 2019 ja Centurylinkillä 2018. Näistä on hyvät selvitykset olemassa, parhaimpana FCC:n 37-sivuinen raportti Centrylinkin tapauksesta. Kyllähän meilläkin Onnettomuustutkintakeskus syynäsi HUS:n runkokytkimen linjakorttiviasta aiheutuneen tapauksen 2017. Telia Carrier lisäsi läpinäkyvyyttä heti Facebook-tapauksen jälkeen ja ilmoitti pieleen menneestä muutoksesta ja palautuksesta takaisin. Tämä taisi olla vain hetkellistä herkkyyttä tiedotuksessa ja riskienhallinnassa.

Etelä-Koreassa KT:llä oli massiivinen koko maan laajuinen katko, joka jäi kuitenkin vain noin puolentoista tunnin mittaiseksi. Vaikutukset jokapäiväiseen elämään olivat kuitenkin laajat yli 14 miljoonalle asiakkaalle. Ministeriö otti tapauksen selvitykseen jämäkästi. Selvitys paljasti, että vian aiheutti tässä tapauksessa manuaalinen reitityksen konfigurointi, jossa oli unohdettu kirjoittaa “exit” konfiguraation päätteeksi. Olisiko kenties Cisco-laite kyseessä? Joka tapauksessa taisi käydä niin, että BGP-taulu valui ISIS-protokollaan ja peli oli selvä. Oli tässä tapauksessa muutakin: selvitys osoitti, että protokollien redistribuution varotoimia ei ollut tehty, reititintä ei erotettu muutoksen ajaksi verkosta, muutos tehtiin keskellä päivää, tekijät olivat alihankkijoita ja heillä ei ollut esimiehiä valvomassa muutosta. Ministeriö antoi tämän jälkeen tiukat ohjeet miten toimitaan jatkossa. Koko operaattorijärjestelmän rakenne tutkitaan ja arvioidaan,  verkonvalvontaa ja palautumiskykyä parannetaan, simulointityökaluja lisätään ja muutosten laajuutta rajoitetaan.

Samanlainen KT:n ongelman aiheuttanut syntaksiominaisuus on Ciscon NX-OS-käyttöjärjestelmässä. NX-OS ei vaadi config-tilassa do-komennon käyttöä show-komentojen ajamiseen, kuten IOS ja IOS-XE. Tässä on se riski, että olet konfiguraatiotilassa interfacen alla ja ajat “do sh xxx”-komennon. NX-OS poistaa do-komennon turhana ja todellisuudessa ajat siis shutdown-komennon, jolloin interface tippuu alas. Vaikutusta voi vain arvailla.

Myös OVH:lla oli konfiguraatio-ongelman seurauksena tunnin mittainen laaja verkkokatko 13.10. Ongelma aiheutui DDoS-suodatuksen kapasiteetin lisäyksen yhteydessä sattuneesta inhimillisestä virheestä. Häiriön aikana AMS-IX:ssä ja DE-CIX:ssä liikenne tippui 500Gbps, joten aikamoiset määrät pilviliikennettä verkoissa liikkuu. Azuresssa oli 13.10. globaali Windows-virtuaalikoneiden häiriö, joka kesti yli kuusi tuntia. Ongelma koski kuitenkin vain hallintaoperaatioita ja muutoksia, käynnissä oleviin palveluihin se ei vaikuttanut. Robloxin pelialusta oli melkein kolme päivää alhaalla vaikean bugin vuoksi. Aikamoinen katko, odotan innolla tarkempaa selvitystä viasta.

Elisalla oli Helsingin alueella laaja DHCP-ongelma kiinteissä laajakaistayhteyksissä 13.10. Vika kesti melkein kuusi tuntia. Itsekin kärsin viasta tietämättäni ja olin yhteydessä asiakaspalveluun. Koska kotona on ollut pidempään säännöllisiä ongelmia korttelikuidun VDSL-yhteyden kanssa, kyselin asiakaspalvelijalta, mikä on seuraava ratkaisu jos ongelmat aina vaan jatkuvat. “Suosittelen 5G-liittymää” oli vastaus.

Operaattorit ja 5G

5G on saavuttanut ilmeisesti jonkinlaisen kypsyyden kun kovat mainospuheet ovat jääneet nyt vähemmälle ja keskustelu on saanut realistisempia muotoja. Analyytikkojen vitsi on, että nopeustesti on 5G:n tappajasovellus. Oulun yliopiston tutkijoiden mukaan kunnollisia sovelluksien kypsymistä voidaan joutua odottamaan tämän vuosikymmenen lopulle asti. Elisalla 5G on kuitenkin kannattavaa liiketoimintaa ja 5G-liittymäasiakas tuo taloon 3 euroa lisää. Elisalla uusia sovelluksia ovat olleet mm. livelähetykset 4K-videolla, robottien ohjaus ja tavaroiden siirtely etänä. Tutkijatkin ovat innostuneita näistä teollisuusratkaisuista, eivät niinkään kuluttajasovelluksista. Yrityksissä 5G aiheuttaa hämmennystä: suurin osa ei tiedä mitä sillä tekisi. Suurin ajuri tuntuu olevan paikallinen langattomuus uusissa ympäristöissä. Villimmät käyttökohteet tuntuvat tulevan vasta 6G:n aikakaudella ensi vuosikymmenellä. 7G on myös jo mainittu. Kaikesta huolimatta, 5G tarvitaan nyt, koska 4G ei vaan enää taajuuksien puolesta riitä täyttämään kasvavaa kapasiteeettitarvetta muutaman vuoden päästä.

6G-perusstandardi voisi tulla ulos 2027, mutta samaan aikaa oltaisiin vielä 5G advanced -toiminnoissa. 6G vaatii enemmän aikaa tutkimukselle ja tuotekehitykselle, siksi standardia aletaan pusertaa jo nyt. 6G:ssä mukaan halutaan myös koko yhteiskunta, koska teknologian vaikutus tulee varmasti olemaan läpitunkeva. Termistöön tullut uusi ilmaisu Next G, jossa kyse on kiinteän ja langattoman verkon yhdistymisestä. Kaikki verkkotekniikat yhdistyvät ja se on jopa realistista nyt kun kaikki liikenne on IP:tä. 6G RIC voisi toimia kuin sovelluskauppa, josta voisi ottaa käyttöön halutut kolmannen osapuolen sovellukset. Mutta mitä 6G voi tarjota enää lisää muuta kuin kapasiteettia? Taas on tarjolla samaa 5G-markkinoinnista tuttua huttua.

Jopa Kiinassa on palattu realismiin kun tuhannet 5G:n käyttökohteet on tuomittu kannattamattomina. Kyse on ollut lähinnä esittelytyyppisistä sovelluksista, joilla on vähän kaupallista potentiaalia. Esim. etäleikkaukset ovat osoittautuneet kyllä toimiviksi, mutta kustannukset ovat vaan aivan liian isot. Operaattorit ovatkin todenneet, että paras tapa edetä on tehdä yrityksille vakiosovellukset, joita sitten muokata asiakaskohtaisesti. Asiakkaat eivät ole olleet myöskään riittävän innokkaita osallistumaan kehitykseen. Huawei perusti uusia liiketoimintayksiköitä, mikä on merkki panostuksista valittuihin merkittävimpiin 5G-alueisiin. Myös USA:ssa operaattoripuolella on melko realistinen näkemys nykytilasta. T-Mobile US on julkistanut oikein kilpailun kuka keksii innovatiivisimmat käyttökohteet 5G-verkolle. Vodafone aikoo palkata lähes 7000 softakehittäjää 2025 mennessä rakentaakseen tuotteita ja palveluita itse. Tarkoituksena on säästää kustannuksissa ja samalla rakentaa Eurooppaan osaamiskeskusta. Muutaman vuoden päästä siis operaattorin henkilöstöstä puolet on softakehittäjiä. Suomessa Agnico Eagle on tekemässä 5G-yksityisverkkoa Kittilän kultakaivokselle yhdessä Telian ja Digitan kanssa.

Jotkut ovat sitä mieltä, että network slicing on 5G:n ylikallis ja turhaan monimutkaistettu teknologinen virhe RCS:n (Rich Communication Services) jälkeen. 5G-standardi lupaa sisäänrakennettuna pientä viivettä, mutta miksi sitten aikakriittinen palvelu tarvitsee omat erikoisratkaisut jo nopean ja luotettavan verkon päälle? Viiveessähän 5G kilpailee muita mobiilitekniikoita vastaan, kiinteässä verkossa on aina kuitenkin lyhyin viive. Samsungin whitepaper kertoo hyvin mitä privaattiverkko sisältää. Jotakuinkin 10 RU:n kokoinen 5G-privapaketti sisältää kytkimen, kantataajuusyksikön ja pari palvelinta corelle, hallinnalle ja sovelluksille. Kytkin integroi mobiiliverkon perinteiseen yritysverkkoon ja voi samalla hoidella SD-WAN -CPE-roolia. Hallinta on automatisoitu SDN-kokonaisratkaisu, mitä se nyt sitten käytännössä tarkoittaakaan.

USA:n puolustushallinta DoD on yksi suurimmista 5G-asiakkaista ja budjetoinut käyttävänsä 600 miljoonaa dollaria 5G-kehitykseen logistiikan, lisätyn todellisuuden ja hologrammien kehittämisessä. Ne tekniikat, jotka soveltuvat puolustussektorin käyttöön todennäköisesti menestyvät myös kaupallisilla markkinoilla. Autoalalla taistellaan V2C-tekniikan toteutuksesta mobiili- ja wifi-leirien kesken. Lobbaus on kovaa ja jopa Elon Musk on joutunut muistuttamaan, että autonomia tarkoittaa, että autot toimivat ilman ulkopuolisia yhteyksiä. Verizon ja Nissan ovat testanneet edge-prosessointia varoitusten generoinnissa kuljettajalle lähes reaaliajassa. Yksi kysymys on tarvitsemmeko reaaliaikaista ulkopuolista tietojenkäsittelyä ja miksi nykyinen kymmenien millisekuntien tasoinen vasteaika ei riittäisi avustaviin toimintoihin? Toinen kysymys on kuka maksaa 5G:n viulut jos se on ratkaisu tuoda älykaupunki joka valotolpan nokkaan? Onko hankkeessa mitään järkeä kustannusten ja hyödyn suhteen?

5G:hen liittyy tietysti myös pilvi. 5G ei menesty ilman pilveä ja automaatiota. Ratkaisuja ei voi ostaa suoraan hyllystä, vaan kyse on enemmän kehityspolusta ja kovasta työstä. Yritysverkon sovelluksiin on vielä pitkä matka. 5G:n kovat nopeus- ja viivelupaukset koskevat vain radiorajapintaa ja vesittyvät siihen, että liikenne kulkee aina jossain kohtaa internetissä, jossa ei ole mitään palvelutasolupauksia. Kun radiorajapinnan viiveet lähestyvät alle millisekunnin tasoa, kiinteän verkon siirtoviive määrittelee kokonaisviiveen. Tosin sovellus taitaa kuitenkin olla yleensä ensimmäinen pullonkaula. Microsoft haluaisi kuitenkin myydä siirtokapasiteettia operaattoreille sen omasta runkoverkosta. Sama trendi on näkynyt muutenkin, että pilvitoimija haluaa asiakkaat omaan verkkoonsa. Tästä tietysti seuraa se, että Azure imaisisi koko operaattorin sisäänsä ja täysin hallintaansa.

Vmware julkisti uusia ominaisuuksia telco-pilveensä ja se on yksi harvoista hybridipilvi-infran tekijöistä. Tässä on riskinsä kun julkinen pilvi näyttää vetävän kaiken puoleensa. Telia on ollut Vmwaren kumppani pitkään ja yhteistyö jatkuu. Kaikki Telian liikenne tulee kulkemaan tämän vuoden loppuun mennessä Vmwaren telco-alustan kautta ja Telia siirtyy agressiivisesti kohti täysin pilvinatiivia 5G-verkkoa. TelcoDR alias Danielle Royston, joka tunnetaan MWC:ssä Ericssonin ständin kaapanneena mystisenä pilvikonsulttina, on perustanut rahaston, joka ostelee nyt yrityksiä ja ohjelmistoja nopeuttaakseen operaattoreiden pilvisiirtymää. Omaisuutta hallinnoi Skyvera-niminen tytäryhtiö. Miljardin sijoitusomaisuuden tausta ja Roystonin rooli jää hämäräksi.

Sovellusten kehittämistä jarruttaa standalone-5G:n puuttuminen ja täysiä ominaisuuksia joudutaan vielä odottamaan parisen vuotta. Cloud RAN tarkoittaa softaan siirtymistä, jolloin myös kustannukset siirtyvät raudasta softaan ja uusille toimijoille. Rakutenin väite 40% halvemmasta uudesta mallista perustuu siis vain erikoisraudan poistamiseen järjestelmästä, jolloin myös ennakkoinvestoinnit poistuvat. Keskitetyssä palvelinmallissa resurssit saadaan joustavammin käyttöön. Toisaalta on hyvä huomata, että energiatehokkuudessa palvelimet ovat huonompia kuin tiettyyn käyttöön optimoitu rauta. Siksi ARM tekeekin tulemista palvelimiin. Joka tapauksessa C-RAN vaatii enemmän käyttökohteita, jotta se kannattaisi ottaa käyttöön.

5G-verkot ovat toistaiseksi vaikuttaneet vain vähän kaapeliverkkoihin, mutta tilanne voi kääntyä nopeastikin. DOCSIS-tekniikassa on monta kehityspolkua, liiankin monta, joten operaattorit ovat ihmeissään mihin junaan pitäisi hypätä. Vaihtoehtona on lähteä PON-kuitutekniikkaan. DOCSIS kuitenkin elää vanhoissa verkoissa ainakin vielä kymmenisen vuotta. Paikallisoperaattoreille on kuitenkin myös suositeltu miettimään 5G-vaihtoehtoa. Ideana on heitetty ilmaan voisiko kaapelioperaattori toimia 5G-verkon rakennuttajana ja vuokraajana. Samaa malliahan toteuttaa myös vertaisverkko Helium, jota Dish on nyt sanonut alkavansa käyttää osana palveluaan. Dish kokeilee uusia liiketoiminta- ja verkkomalleja oman tulevan 5G-verkkonsa rinnalla. Myös Tarana on yksi operaattoreita kiinnostava vaihtoehto mobiililaajakaistan tuomiseksi asuinalueille. Taranan 5G-solu jakaa 10 Gbps -kapasiteetin 1000 samanaikaiselle käyttäjälle yhdestä paikasta. Kantama on 3-5 km ja suoraa näköyhteyttä ei tarvita. Tekniikka on luotettava ja käyttäjälle saadaan satojen megabitien symmetrinen yhteys. Kuituun verrattuna Taranan ratkaisu on selvästi kustannustehokkaampi ja nopeampi toteuttaa.

Langattomuus tulee myös tukiasemiin, jopa sähkön osalta. Ericsson on konseptoinut tukiaseman, jolle lähetetään sähkö langattomasti fotoneina alhaalta katutason PDU:sta. Tukiasemassa on UPS, joka takaa katkottoman toiminnan, koska langattomassa sähkönsiirrossa on turvamekanismi, joka katkaisee lähetyksen esteen ilmaantuessa siirtovälille. Kuulostaa aika kömpelöltä ja turhalta, mutta ehkä tästä tulee arkipäivää vuosikymmenien päästä ja ratkaisulla voi olla tilausta erikoisemmissa paikoissa. Hiilineutralius tulee monissa puheissa esille ja 5G lupaa parempaa tehokkuutta. Mutta käytännössä tapahtuu niin, että käytön määrä kasvaa eksponentiaalisesti ja kääntää energiankäytönkin reippaaseen kasvuun. Operaattorilla on vähän vaikutusmahdollisuuksia verkon käyttäjiinsä, koko ekosysteemiin tai toimitusketjuun. Perusteellisen saksalaislaskelman mukaan verkkolaitteiden energiankulutus on pieni verrattuna muuhun IT-infraan.  Verkkotekniikoissa FTTH on pienikulutuksisin siirrettyihin tavuihin suhteutettuna. Mobiiliverkot ovat olleet energiasyöppöjä ja siihen 5G on kyllä tuonut parannusta.

Pilvi ja konesali

Edge on kovasti esillä, mutta sen toteutuminen on suuri epävarmuus. Ensinnäkin monet tavalliset sovellukset ja käyttökohteet eivät vaadi mitään erityisen alhaista viivettä. Edgen rakentaminen on kallista ja monimutkaista, ja koskee monia osa-alueita tiloista IT-alustoihin, liiketoimintamalleista operointikykyyn. Markkina ei hypetyksestä huolimatta ole niin iso ja kasvava kuin kuvitella saattaa. Pelissä ovat mukana yritykset, operaattorit ja pilvijätit. Kullakin on omat ajurinsa, vahvuutensa ja heikkoutensa. Edge todennäköisesti toteutuukin tämän kolmikannan yhteistyönä, vaikka pilvijäteillä näyttää olevan vahva asema ainakin lähitulevaisuudessa. Käyttäjien eli yritysten pitää löytää sopivat käyttökohteet ja luoda tarve. Investointi edge-alustaan on usein vain pieni osa kokonaisratkaisua.

Google Cloud on tuonut viimeisenä markkinoille hajautetun Google Distributed Could -edgen AWS Outpostin ja Azure Stackin perässä. Googlella on etuna laaja ja tehokas verkko. Se aikoo lisätä 19 merikaapeliinsa optisen kytkennän ja laajentaa nykyistä 28-alueen infraa kymmenellä paikalla. Googlen asiakkaat arvostavat tietoturvaa ja monipuolisia palveluita. Yritys onkin Googlella kaiken keskipisteenä ja sen käyttäjäkunta on monipuolista. Kestävä kehitys on myös muita paremmin esillä. Google ei pelkästään kilpaile, vaan näyttää määrittelevän pilven uudelleen. Yhtäkkiä Google onkin kiinnostava ja vaarallinen haastaja.

Pilvijättien tulokset ovat olleet hyviä: GCP:n liikevaihto nousi 45% 5 miljardiin dollariin, mutta tuottaa edelleen tappiota. Azuren liikevaihto kasvoi 50% ja on nyt yli 20 miljardia dollaria. Microsoft näkee itsensä vahvasti natiivina edge-toimijana ja panostaa tietoturvaan kuten muutkin pilvet. AWS:n liikevaihto kasvoi 39% 16 miljardiin dollariin. Tällä perusteella Azure olisi tuottavampi, mutta laskentatapa vaikuttaa raportoituihin lukemiin. AWS kuitenkin pitää hallussa kovaa 32% markkinaosuutta.

Ranskalainen OVH on listautunut Pariisin pörssiin keräten 350 miljoonan euron potin. Vaihtoehtopilven ennuste tälle tilikaudelle on 655 M€ liikevaihtoa, mikä merkitsee 5% kasvua. OVH:lla on 1,6 miljoonaa asiakasta 140 maassa, 400000 palvelinta 33 konesalissa ja 2400 työntekijää. Listautumispaperit antavat kuvaa yrityksestä. Oraclen OCI laajenee kaikista pilvistä nopeimmin kun tarkoitus on avata 14 uutta aluetta maailmanlaajuisesti. Vuoden 2022 loppuun mennessä sillä on vähintään 44 aluetta määrän melkein tuplautuen nykyisestä. Suoran yhteyden tarjoavia Fastconnect-kumppaneita on 70. OCI:lla on myös yhteistyö Azuren kanssa niin, että työkuormia voi ajaa pilvien välillä.

Equinixin tutkimuksen mukaan yli puolet Suomen IT-infrasta on jo pilvessä ja Suomi on jopa maailmaa edellä. Suomessa myös hybridi- ja monipilvistrategia on suosittu tapa järjestää palvelut. Pelkkä julkinen pilvi on käytössä kuitenkin vain 15%:lla ja suunta on vahvasti laskeva. Jännä yhtälö. Equinix on julkaissut myös Interconnection Indexin, josta selviää yhteyspuolen ja digitalisoitumisen asioita. Helpottaakseen yritysten pilvisiirtymää Equinix on rakentanut kumppanien kanssa Kubernetes-palveluita. Kumppaneita ovat AWS:n EKS Anywhere, IBM, GCP, Mirantin, Canonical ja SUSE Rancher.

AWS:n Selipsky kohautti Vmworldissä julistamalla, että kaikki työkuormat eivät koskaan mene pilveen. Se tarkoitta, että pilvestä on tullut sotkuinen hybridi- ja monipilviympäristö, jossa tominnallisuudet, kustannukset ja muut tekijät ohjaavat hajanaiseen kokonaisuuteen. Tämän sotkun hallinta ja optimointi tulee olemaan se iso juttu jatkossa.

Vmware irtautui Dellistä ja haluaa olla mukana pilvijuhlissa. Ongelma vaan on se, että palvelinvirtualisointi on toiminut paremmin asiakkaiden omissa pilvissä kuin julkisessa pilvessä. Yritykset ja virtuaalikoneet ovat Vmwaren vahva tukijalka. Tanzu-konttialusta on tärkeä Vmwaren uudistumisessa. Vmware näkee tulevaisuuden monipilvessä ja sen uudet Cross Cloud -tuotteet toimivat kaikissa isoissa julkipilvissä ja helpottavat palveluiden siirtelyä. SASE-toiminnot ovat olennainen osa edge-tuotteita. Vmwaren SASE on rakennettu Velocloudin 150 POP:n päälle ja mukaan on lisätty Menlo Securityn osaamista. SASE-POP pystyy tuottamaan muita kilpailijoita laajemmin turvallisia monipilvipalveluita. NSX on tietysti kaiken yhdistävä verkkovirtualisointiratkaisu.

Prosimo on julkaissut markkinoiden ensimmäisen automaattisen monipilviverkkoratkaisun App Transit. Tarkoitus on siis, että verkot muodostuvat pilven ja sovellusten ehdoilla dynaamisesti. Prosimon perustaja kuvaakin turhautumistaan tietoliikenteen vanhanaikaikaisuuteen ja rajoittuneisuuteen. Osittainhan tämä on totta, mutta infrassa on oma perinteensä ja yhteensopivuutensa, joita ei vaan yksinkertaisesti voi vaihtaa softakoodilla toiseksi oman halunsa mukaan.

Jotkut käyttävät monipilveä vikasietoisuuden takaamiseksi, mikä on huono idea. Pilvet ovat erilaisia ominaisuuksiltaan ja toiminnoiltaan, ja täysi palveluiden siirrettävyys olisi lähes mahdoton tehtävä, puhumattakaan kustannuksista. Pelkkä virtuaalikoneen tai kontin siirto toiseen alustaan ei riitä. Julkisen pilven häiriöt ovat harvinaisia ja niiden kesto on yleensä niin lyhyt, että käyttäjä ei ehdi laukaista varajärjestelyjä, jos sellaisia nyt edes on. Tiedätkö mistä pilvi-infran häiriöt yleensäkään tulevat? Suurinta osaa vioista voi itse hallita. 80% vioista voidaan helposti ennustaa ja loput 20% ovat virhekonfigurointeja tai pilvialustan häiriöitä, yleensä muutoksiin liittyen. Kaikki itse aiheutetut ongelmat olisi voinut ennustaa viiden infran perusmetriikan perusteella. Pilvi-infran ylläpito vaatii osaavaa porukkaa ja sitä ei yleensä perusyrityksellä ole. Monipilvi ei siis ole ratkaisu käytettävyyden parantamiseksi.

Näinä aikoina pilvi nähdään kaiken ratkaisevana digitalisaation tuottavuustyökaluna, mutta ohjelmistoa ei pitäisi nähdä ratkaisuna kaikkeen. Digitalisaatio on alkanut kärsiä inflaatiosta ja nyt vaadittaisiin keskittymistä pidemmän tähtäimen tavoitteisiin ja oikeisiin hyötyihin. Yrityksillä alkaa olla vaikeuksia saada hyötyä kaikista pilvi-investoinneista. Pilvisiirtymä on todella paljon muutakin kuin infran siirto palveluksi. Uudet yritykset voivat helposti aloittaa pilvinatiivisti puhtaalta pöydältä, mutta vanhat toimijat kohtaavat väistämättä perinteen ja ketteryyden yhteentörmäyksen. Mielenkiintoisia toimialoja siirtyy pilveen, mikä aiheuttaa hämmennystä perinteisissä piireissä. Nyt Britannian tiedustelupalvelut ovat tehneet AWS:n kanssa sopimuksen analytiikan ja tekoälyn hyödyntämisestä luokitellulle tiedolle. USA:ssa tämä on ollut jo arkipäivää pidempään. Isot pilvikäyttäjät ovat kuitenkin jo alkaneet huolestua pilviriippuvuudesta.

Nokia on myös palvelinvalmistaja toimintakriittisiin ympäristöihin NESC-pilvipalvelullaan (Nokia Engineering and Services Cloud).  Se on Nokian MX-palvelimiin ja Openstackiin perustuva pilvialusta, jota on kehitetty kahdeksan vuotta yhdessä CGI:n kanssa. Nyt CGI tarjoaa alkaa tarjota ratkaisua omille asiakkailleen. Julkisen ja yksityisen pilven markkina on hieman ristiriitainen, koska sekä julkisen pilven myynti että palvelinmyynti kasvavat. Tietysti pilven kasvu ruokkii myös palvelinmyyntiä. Suurin osuus myynnistä on molempia yhdistelevää sekaympäristöä, jota toimitetaan käyttäjän omiin tiloihin. Pilven ja oman konesalin jako ei ole kovin suoraviivainen, koska erilaisten järjestelmien välillä on vain hienoisia nyansseja. Dellillä, HPE:llä, Lenovolla ja Netappilla menee ihan kivasti. Tässä valossa oman raudan poistuminen kokonaan konesaleista on hyvin pitkän tien takana, ja ties vaikka juna kääntyisi takaisin omiin konesaleihin tai palvelimiin. Tulevaisuutta on vaikea ennustaa.

Pilvi on tunnetusti hyvä edustapalveluille ja käyttöliittymiin, joissa tarvitaan ketteryyttä, hyvää käyttökokemusta ja skaalautuvuutta. Edustapalvelut ovat olleet hyvä julkisen pilven ajuri, mutta perinteisemmät taustasovellukset ovat suurimmaksi osaksi jäljellä omissa konesaleissa. Transaktiosovelluksissa on usein monta vaihetta, joissa tietoa välitetään eri palveluiden välillä ja samalla kerätään tapahtumista raportointia ja analytiikkaa. Pilven siirtomaksuilla tämä tiedon liikuttelu ei ole optimaalista. Yritys ehkä haluaa myös pitää tiedon itsellään ja hallita tietoturvaa itse. Hyvä muistaa, että teknologiamuutos ei ole pakollista liiketoiminnalle, vaan teknologian pitää palvella paremmin, jotta mukaan uudistuksiin kannattaa lähteä.

SaaS-palveluissa Cloud-prem -malli on yleistymässä. Valmistajat tarjoavat ohjelmistonsa asiakkaan pilvialustaan oman eristetyn pilvi-instanssin alle. Valmistaja ei tarvitse maksaa pilvestä kun asiakas omistaa sen. Samoin valmistaja voi ulkoistaa tietoturvan ja käsitellyn tiedon asiakkaan vastuulle. On tässä miinuspuolensakin. Asiakas usein jättää omalla vastuulla olevat versiopäivityksen tekemättä, versiot alkavat hajautua ja ylläpitämisestä tulee hankalampaa. Valmistajan on muutenkin hankala tukea erillisiä asiakasinfroja. Cloud-prem ei jaa pilviresursseja, joten asiakas joutuu mitoittamaan infran oikein ja palveluissa saattaa olla tyhjäkäyntiä ja päällekkäisyyksiä eli korkeammat kustannukset.

Konesalimarkkina näyttää olevan ylikuumentumassa. Alalla on pulaa pätevistä rakentajista, materiaalin saatavuudessa on ongelmia ja uusimpia rakennusmenetelmiä ei hyödynnetä. Hiilineutraaliuden ei uskota toteutuvan monessakaan tapauksessa. Odotettavissa on kuitenkin varmaa kasvua ja työllisyyttä sekä vanhojen salien uudelleenjärjestelyjä. 

Kyberturvallisuus

EU rakentaa kyberturvallisuusverkostoa, jonka osaksi Suomen kyberturvallisuuskeskus on liittymässä. Kyberturvallisuuskeskus onko jatkossa kykyjenetsijä ja startup-hautomo, joka löytää uudet kybertoimijat EU:lle. EU:n tarkoitus on lisätä itsenäisyyttä ja valmiuskykyä, mutta myös pelotetta. Nyt EU:ssa on 60 kyberturvallisuusalan osaamiskeskittymää, mutta se on hyvin riippuvainen ulkopuolisista toimittajista, erityisesti amerikkalaisista. Toivottavasti kotimaista yhteistyötä saadaan parannettua, laajennettua ja avattua enemmän yritysten käyttöön. JAMK on toiminut hyvänä mallina miten yritysten kanssa tehdään konkreettista yhteistyötä.

Tietoturva ry on valinnut Kyberturvallisuuskeskuksen Havaro-palvelun vuoden tietoturvatuotteeksi. Kriittisten toimijoiden uhkien havainnointipalvelu Havaro täytti kymmenen vuotta ja samalla siirtyy kaupalliseen palvelumalliin.  Kyberturvallisuuskeskuksen vuosittainen internetin automaatiojärjestelmäskannaus tehtiin jälleen viikkojen 43-44 aikana. Digi- ja väestötietoviraston Digiturvabarometri-kyselyssä kansalaisten huoleksi nousee henkilökohtainen tietoturvallisuus. Kuka muistaisi yhteiskunnan infrastruktuurin kyberturvallisuuden, joka on selvästi harvempien käsissä, mutta vaikuttaa kaikkien kansalaisten elämään konkreettisesti? Maanpuolustuskorkeakoulu toteuttaakin yhdessä Jyväskylän yliopiston kanssa ilmaisen avoimen kurssin, jossa tutustutaan mm. internetin toimintaan ja tekniikkaan sekä sen turvallisiin käyttämisen tapoihin.

USA pelästyi ja hermostui kyberiskuista sen verran, että ajoi rosvojoukko Revilin pois verkosta, ainakin hetkeksi. Argentiinassa tapahtui ennenkuulumaton tietovuoto kun hakkerit varastivat koko valtion kansalaisrekisterin. Tokion olympialaisten kyberturvallisuudesta paljastettiin jälkikäteen sen verran, että digiturvallisuudesta oli vastuussa NTT:n 200-henkinen ryhmä, joka torjui 450 miljoonaa hyökkäystä kisojen aikana. Se oli 2,5 kertaa enemmän kuin edellisissä Lontoon kisoissa. Yleisimmät tavat hyökätä olivat Emotet-haittaiohjelma, sähköpostihuijaukset ja väärennetyt nettisivut. Uutena infrana oli mukana 5G-verkko, jonka päätelaitteisiin kohdistui myös häirintää. NTT onnistui turvaamaan kisat, koska sillä oli valvonta kunnossa ja uhkatietoa saatavilla, kokonaisratkaisu perustui zero trust -malliin, henkilöstö oli koulutettu ja sidosryhmien hallinta oli kunnossa. Tässäkin tapauksessa ainakin puolet kyberturvallisuudesta oli muuta kuin teknistä ratkaisua.

Julkisesti tunnettuja haitallisia yksityisiä yrityksiä on koottu listalle. Nämä yritykset ovat osallistuneet valtiollisiin hyökkäyksiin. Nollapäivähaavoittuvuuksien määrä on melkein tuplaantunut viime vuodesta ja kasvu on kovaa. Yksi syy voi olla hyökkäystyökalujen yleistyminen ja havoittuvuusteollisuus, joka kauppaa reikiä. Valtiolliset toimijat ovat ravintoketjun huipulla ja ovat käyttämässä kykyjään entistä agressiivisemmin. Tosin näyttää siltä, että rahaa on nyt löytymässä myös puolustukeen mm. rahakkaiden bug bounty -ohjelmien ja parantuneiden työkalujen kautta. Haavoittuvuuksista on tullut entistä vaikeampia ja arvokkaampia. Hakkerien pitää käyttää useampia haavoittuvuuksia eli riskeerata ja investoida enemmän. Googlen zero-day -taulukko luettelee 2014 alkaen havaitut nollapäivähaavoittuvuudet.

Jokainen kybertoimija haluaa julkaista oman raporttinsa maailman tilasta. Hackmageddon listaa elokuun kyberiskut visuaalisesti ja todistaa samaa haavoittuvuuksien merkityksen kasvua. Impervan Bad Bot -raportti toteaa, että 25% kaikesta webbisivujen liikenteestä on pahojen bottien luomaa, kun hyvien bottien liikenne on vain 15%. Pahat botit ovat webbipalveluiden hyväksikäyttösovelluksia, jotka käyttäytyvät kuin oikea käyttäjä ja siksi niitä on vaikeampi havaita. Google on analysoinut 80 miljoonaa näytettä viimeisen puolentoista vuoden aikana ja on siten aika merkittävä toimija tietoturvakentässä. Kokonaiskuvaa lunnashaittaohjelmista on julkaistu Virustotalin raportissa. Kampanjoita tulee ja menee, mutta taustalla pysyy sadan haittaohjelman vakioperhe. Maiden välisessä vertailussa Israel on selvästi omilla lukemillaan näytteiden määrässä. Microsoft on myös iso toimija tietoturvassa, vaikka siltä ei aina tunnu. Entinen työntekijä nimittää Microsoftia kaikkien aikojen haittaohjelmapesäksi M365-palveluiden hyväksikäytön ja hitaan vasteen takia.

DDoS-hyökkäyksien uusi ennätys oli 2,4 Tbps, joka kohdistui Azuren eurooppalaiseen asiakkaaseen elokuussa. Hyökkäys tuli kolmessa lyhyessä aallossa kymmenen minuutin aikana. Microsoft torjui hyökkäyksen. Heti perään Meris-botnet iski 21,8 Mrps Yandexin asiakkaana olevan venäläisen pankin palvelua vasten. Qrator-labsin tilastojen mukaan yli puolet hyökkäyksistä perustuu IP floodiin, joka syrjäytti UDP floodin paikan kärjessä. IP ja UDP vaihtelevat vuorotellen hyökkääjien yrittäessä parantaa tehokkuutta isoilla vahvistusvaikutuksilla. Siksi on normaalia, että käytetään isoja paketteja, jotka joudutaan fragmentoimaan. Hyökkäystehon kasvaessa spay and pray -toimintamalli yleistyy ja uuden uhrin kimppuun siirrytään nopeammin. Hyökkäysten keskimääräinen kesto oli vain 2,5 minuuttia, alhaisin koskaan. BGP-kaappauksissa nähtiin merkittävä lasku pitkään aikaan. Silti kaappauksia tapahtui yli 4 miljoonaa yhden vuosineljänneksen aikana.

USA:n FTC on tutkinut mitä operaattori tietää laajakaista-asiakkaasta ja se on enemmän kuin kuvitellaan. Herkkää tietoa kerätään laajasti, sitä käytetään käyttäjän tahdon tai tiedon vastaisesti ja käyttäjän on vaikea estää tiedonkeräystä. Selvitys on isku vasten verkkomainontaa.

Trendmicro on selvittänyt, että SOC:ssa on yleensä liikaa työkaluja ja ne jäävät käyttämättä. Suurimmat syyt ovat puuttuvat integraatioit, osaaminen ja ymmärrys miten välineet saataisiin hyötykäyttöön. Työkalut ovat myös vanhentuneita ja niihin ei luoteta. Lähes kaikki yritykset harkitsevat palvelun hankkimista itse tekemisen sijaan. Voi vain kysyä onko palveluntarjoajalla asiat yhtään paremmin. WAAP eli Web Application and API Protection on entistä olennaisempi nykyisen webbimaailman taistelussa. Se on WAF:n dynaamisempi ja kehittyneempi versio, joka toimitetaan pilvestä samalla tavalla kuin SASE. Gartnerin mukaan tärkeimmät valmistajat ovat Akamai ja Imperva. Akamai tunnetaan perinteisenä CDN-sisältötoimijana, mutta se on lisännyt vahvasti tietoturvapainotusta.

NSA ja CISA julkaisivat valinta- ja kovennusohjeita VPN-etäyhteysratkaisuihin. Myös Kubernetes-kovennusohje julkaistiin elokuussa ja sitä on pohdittu tarkemmin Kubernetesin blogissa. RDP on yksi yleisimmistä pääsykanavista sisään palvelimiin ja verkkoon. Siksi sen koventaminen ja valvominen on tärkeä juttu. Ongelmana on esim. se, että RDP:hen ei suoraan saa MFA:ta. Toki suurempi ongelma on se, että protokolla on yleensäkin auki internet-rajapinnassa. Eli RDP pitäisi rajata pois internetistä VPN-yhteyden, vahvan autentikoinnin ja ip-osoiterajoitusten taakse. Oletusporttia voi myös vaihtaa ja RDP-toiminnon voi toteuttaa hyppykoneen kautta tai pilvestä, jossa siihen saa lisättyä MFA:n. Havainnointiin voi käyttää kohdepalvelimen access-lokia kunhan sen laittaa päälle audit policyllä. Endpoint-loki on toinen mahdollinen, mutta työläämpi tapa.

SANS järjestää Helsingissä joulukuussa SEC504: Hacker Tools, Techniques, and Incident Handling -kurssin. Kouluttaja kertoo, että suurin osa hyökkäyksistä ei ole hienostuneita tai kohdistu jännittäviin kohteisiin. Kohteeksi valikoituvat ne helpot kohteet, joiden tietoturva on huonosti hoidettu. Siis enemmän pienet ja keskisuuret organisaatiot, joissa ei välttämättä ole resursseja hoitaa asioita kuntoon. Edelleen toistetaan tätä: ihan yksinkertaisilla salasana- ja pääsynhallintaperiaatteilla voi estää paljon.

LANTENNA-hyökkäys on aika teoreettinen konsepti, jossa verkosta erotetusta kaapelista voi urkkia tietoa radiosäteilyn avulla. Vitsinä voikin sanoa, että seuraava SOC-työkalu on spektrianalysaattori. Tuotepuolella Citrixiltä on tullut käyttäjille täysin läpinäkyvä ZTNA-tuote. Cisco on julkaissut luottamusstandardin, jolla arvioidaan yrityksen toiminnan, toimitusketjun ja kumppanien luotettavuutta. BT on laukaissut oman kyberturvapalvelualustansa Eagle-i, joka sisältää melko hengästyttävän listan kumppanuuksia: McAfee, Paloalto, Fortinet, Microsoft, IBM, Cisco, Skybox, Forescout, Zscaler, Checkpoint, Crowdstrike, Okta, Qualys, Netscout, F5. 

Rahoituskierroksilla on kerätty taas isoja potteja: Cato 200 M$ SASE-alustaan, Devo, 250 M$ pilvitietoturvaan ja Dragos 200 M$ OT-ympäristöjen turvaamiseen. Illumio Cloudsecure laajentaa ominaisuuksia julkisen pilven zero trust -hallintaan lisäämällä reaaliaikaista näkyvyyttä pilvipalveluiden käyttöön.

Tekniikka ja operointi

Verkko palveluna eli NaaS on paljon puhuttu tulevaisuuden juttu, jonka odotetaan laskeutuvan suuren yleisön tietoisuuteen 2-5 vuoden sisällä. Asia on perinteisen näkökulman kannalta hankala ymmärtää, koska kaapeleita ja verkkolaitteita ei voi kokonaan virtualisoida palveluksi. NaaS rakentuukin pilven ja internetin ympärille verkon ylemmillä kerroksilla. NaaS-malliin kuuluuvat käytön mukaiset palvelut, skaalautuminen ja laskutus itsepalveluperiaatteella. Kuten pilvi on todistanut, todellinen NaaS voi tarjota hyviä etuja, mutta on hyvä muistaa, että samalla luovutat kaiken hallinnan pois ja maksat todennäkösesti kovempia hintoja palvelusta.

Juniper on julkaissut sarjan kuvakirjamaisia teknologiaoppaita, joissa avataan monimutkaista verkkotekniikkaa paremmin ymmärrettäväksi. Nick Russo on dokumentoinut kokonaisen operaattorin MPLS-verkon tekniseksi kuvaukseksi. Tracketpacer on tuonut viime aikoina sutinaa someen ja julkaissut verkkotekniikasta “paskapostereitaan”, joita on nyt saatavissa verkkokaupasta. Nuoremman polven tyypit tekevät verkkotekniikasta Tiktok-videoita, mikä on mahtavaa. Muutenkin alalla on todella hyviä naisvaikuttajia, joita kannattaa seurata. Julia Evans on Linuxin lähettiläs ja julkaisee zine-opetuspiirroksia tutkiessaan kaikkea uutta. Facebookin ongelman tutkimisen yhteydessä syntyi blogi BGP-reitityksestä ja työkaluista sen tutkimiseen. Ilmaisia julkisia BGP-työkaluja ovat mm. https://bgpview.io/, https://bgpstuff.net/ ja https://bgp.tools/.

EVPN-VXLAN on laajasti käytetty tekniikka, vaikka se on toiminnaltaan hyvin monimutkainen. Se kuitenkin ratkaisee monia käytännön ongelmia melko hyvin ja siksi menestys on taattu. Pari uutta perustavanlaatuista RFC:tä on saatu ulos ja takaamaan valmistajien keskinäistä yhteensopivuutta. RFC 9135 määrittelee IRB:n ja RFCP 9136 IP-prefixien mainostuksen. Androidin epälooginen DHCPv6-puute on puhututtanut pitkään.

400G selvästi tulee operaattoreiden tuotevalikoimaan kun julkistuksia putkahtelee ulos. Konesalissa 400G-porttien määrä ylittää tänä vuonna 10 miljoonaa ja sen myötä 50G-serdes -tekniikka ottaa vallan markkinoilla. Jyrkkä käänne tapahtui 2019 ja 50G-serdes alkoi kasvaa eksponentiaalisesti. 25G-serdes on riittänyt 100G-portteihin, mutta nyt siis nopeuden kasvaessa vaaditaan 50G-serdes-väylää. Kuitusiirron nopeusennätys on taas tehty kun yli 3000 km linkillä päästiin 319 Tbps -nopeuteen. Kuidulle saatiin 552 WDM-kanavaa, joissa jokaisessa siis ajettiin oman laskuni mukaan 600G-linkkiä. Suuren kapasiteetin SDM-kuiduissa on monta corea yhdessä kuidussa ja näin saadaan tehokkuus uudelle tasolle ja kaapelin koko pysymään pienenä. SDM-kuitua käytetään yleensä merikaapeleissa ja nyt NEC ja Sumitomo ovat ensi kertaa testanneet sitä operaattoriverkossa.

Crescendo Communications patentoi 30-vuotta sitten 100 Mbps -siirron CAT5-kaapelin yli. Alun perin ratkaisu oli tarkoitettu FDDI-verkkoon, mutta vuonna 1995 siitä tuli ethernetin perusta 100Base-TX. Nykypäivän kytkinrautaa esitellään purkamalla Dell S5296F-ON -kytkin osiin. Nyt kytkimissä ollaan siirtymässä FPGA-avusteiseen liikenteen käsittelyyn. Mielenkiintoisin viritys on ethernet-kytkimet turhaksi tekevä Rockportin verkkoratkaisu, joka on suunnattu HPC- ja tekoälymaailmaan. Siinä palvelinten verkkokortit juttelevat suoraan keskenään SDN-ohjatun passiivikuitukytkimen kautta. Äly siis siirretään Smart-NIC:lle, jossa on 300G-kykyinen kuituportti. Keskitetty kuituhässäkkä kytkee laitteet yhteen ja hallintajärjestelmä antaa näkyvyyden laitteisiin ja liikenteeseen. Vähän tulee mieleen Juniperin Qfabric, joka ei ollut menestys millään mittapuulla.

Intelin Caswell-palvelinkytkin yhdistää FPGA-modulin kytkimen sisään ja Aruban uutuuskytkin CX10000 tekee saman. DPU:lla saadaan nopealle kytkimelle lisää tehokkaita L4-L7 -lisätoimintoja kuten palomuurausta, salausta, DDoS-suojausta, kuormanjakoa, sovellusohjausta, telemetriaa ja jopa laajakaistaterminointia. Hyvät tehot saadaan kustannustehokkaasti samasta raudasta. Marvell astuu kytkinten yritysmarkkinoille Prestera-kytkimillään, joita ajetaan Linux Foudationin Dent-käyttöjärjestelmällä. Dent käyttää Linuxin switchdev-ajuria ja tarjoaa suorat Linux-työkalut ja integraatiot ilman monimutkaisia abstraktointeja. Arrcus on ollut vasta muutaman vuoden julkisesti esillä ja laajentanut BGP-reitityksestä kytkentään. ArcOS on puhtaalta pöydältä kirjoitettu käyttöjärjestelmä, joka osaa hyödyntää modernin raudan. Rauta on abstraktoitu DPAL-kerroksen taakse, siksi se ei ole kovin rautariippuvainen ja esim. Cisco, Barefoot, Innovium tai Mellanox kelpaa alustaksi. Käyttiksen voi portata jopa mille tahansa piirille tai offloadata x86- tai ARM-prosessorille. Startupina Arrcus tekee hommia asiakaslähtöisesti 90 työntekijän voimin San Josessa ja Bangaloressa.

Juniper MX204-käyttäjä on todennut jännän sähkönkulutuksen nousun 11 watilla kun laite on päivitetty Junos 19-versiosta 20-versioon.

Kun 500 opiskelijaa astuu luentosaliin ja 1000 wifilaitetta liittyy verkkoon, miten verkon pitää olla suunniteltu? Ainakin pitää käyttää suuntaavia antenneja ja jakaa alue osastoihin. Suunnitteluohjelma on pakollinen työkaluja ja myös sovellusympäristöä pitää ymmärtää. FiRA-konsortio on luonut sertifioinnin UWB-laitteiden (Ultra Wide Band) yhteensopivuudelle. UWB:n odotetaan nousevan wifin ja bluetoothin rinnalle paikalliseksi IoT-tekniikaksi. UWB:n väitetään toimivan paremmin ja tehokkaammin kuin muut tekniikat vaativissa oloissa kuten parkkihalleissa, sairaaloissa, lentoasemilla ja yleensäkin tiheissä paikoissa. Paikannus voidaan tehdä jopa sentin tarkkuudella. Sonos aikoo hyödyntää wifi-signaalia audion optimoimiseen. Wifi-signaalia seuraamalla voitaisiin päätellä ihmisten sijainti huoneessa ja jopa tulkita eleohjauksia. Eikä Sonos ole patenttihakemuksineen yksin, vaan muutkin toimijat käyttävät jo wifi-signaalia hyödyksi esim. sensorina.

Nokia on teettänyt tutkimuksen, jonka mukaan operaattorit voivat pienentää ip-verkon operointikustannuksia automatisoinnin avulla jopa 65%. Automatisoinnilla vältetään myös virheet ja lyhentävät korjausaikaa. Aika määrä työtä ja investointeja on kuitenkin tehtävä, ennen kuin päästään siihen pisteeseen, että verkko on riittävästi automatisoitu. SRE on ollut yksi malli järjestää webbipalveluiden ylläpito. Googlella on 3000 asiantuntijaa, jotka on ryhmitelty 50-300 SRE:n tuotekohtaisiin yksiköihin. SRE-tiimit, joissa on vähintään 6 henkeä, rahoitetaan kehitystiimeillä ja pidetään tarkoituksella kehitystä pienempänä ryhmänä ja rajoitettuna resurssina. Kehittäjien ja SRE:eiden yhteistyö käynnistyy ja päättyy molempien tahdosta ja yleensä haetaan pidempää jatkuvuutta. SRE ei ole sankarirooli, vaan siinä on syytä käyttää järkeä, ei raakaa voimaa ja 24-tuntista työaikaa.

Googlen mukaan siirtyminen mikropalveluihin on lisännyt selvästi SRE:hen kohdistuvaa painetta. Koska jokaisella palvelulla on operointipohjakulu, jokainen peruspalvelukin vaatii lisää henkilöstöä. Siksipä edes Googlen SRE ei skaalaudu mikropalveluiden kanssa. Sen sijaan he yrittävät luoda joustavamman mallin, jolla vakioitaisiin ja  tuotteistettaisiin infraa ja operointia. SRE:stä tulee helposti sylkykuppi, jonne heitetään kaikki mahdolliset ongelmat. Mikropalveluiden myötä ongelmien määrä kasvaa lähes eksponentiaalisesti ja niitä ei voi enää hoitaa muutaman henkilön voimin. Tavallinen organisaatio ei saa palkattua päteviä SRE:eitä ja siksi onkin katsottava kovia organisaatio-ongelmia silmiin ja tehtävä paljon hankalaa ja epämukavaa itsetutkiskelua. Jonkinlainen viitekehys tai alustamalli voi olla toimiva ratkaisu.

Josh VanDeraa on kirjoittanut kirjaa avoimen koodin verkonhallinnasta. Kirjan voi ostaa sopuhintaan jos esim. Nautobot, Grafana, Prometheus, Telegraf tai Hashi Vault kiinnostaa. Gitlab listautui pörssiin ja yrityksen tausta on ehkä hieman eri kuin yleisesti luullaan. Dmitriy Zaporozhets aloitti toiminnan kotitalossaan Ukrainassa kymmenen vuotta sitten. Toiminta pidetään yhä startup-henkisenä, siksi ehkä käyttäjät tykkävätkin siitä. Yhä suurempi osa yrityksistä maksaa reponsa alustasta ja sen hallinnasta. Github on lisännyt toimintoihinsa projektinhallinnan, jota yhä enemmän tarvitaan ohjelmistokehityshommissa. Devaustyökalujen viisikko Atlassian, Microsoft, Google, Github ja Gitlab jakavat melko tasaisesti käyttäjäkunnan. Atlassian on vahvimmilla laajalla alustaportfoliolla, mutta markkinan suuntaa on vaikea arvailla.

Uniconfig shell on malliohjattu CLI, jolla voi konfiguroida erilaisia laitteita yhdenmukaisesti. Kentik on julkaissut omia valvontatuotteiden komponentteja avoimeksi koodiksi. Google on tappanut FTP:n Chromesta ja sitä tuskin kovin moni jää kaipaamaan.

IT-arkkitehtuuria on yleisesti johdettu liiketoimintastrategiasta, mutta se ei välttämättä ole ainoa oikea keino. Suunnittelua voi tehdä ennustamalla tekniikan kehitystä (forecasting) tai luomalla oman teknologiakehityksensä strategisten tavoitteiten perusteella (backcasting). Ehkä parhaiten nykyiseen ympäristöön sopii strateginen ketteryys, jossa on syytä keskittyä tekniikan joustavuuteen pitkällä tähtäimellä. Koska tekniikan kehitysvauhti on kova, muutossykli lyhyt ja isojen muutosten teko hankalaa, kannattaa IT-ympäristön kehitys huomioida liiketoimintastrategiassa ja tehdä IT-arkkitehtuurista ketterää niin, että jatkuva muutos on mahdollista.

Bloggaus voi olla myös sisäistä viestintää ja organisoitumista. Tässä Chris Wahlin kuvaus miten hän sai tiimin osallistumaan hommaan ja minkälaisia tuloksia saatiin aikaan. Kannustaisin tämäntapaiseen toimintaan yrityksissä. Asioita voi aika hyvin käsitellä julkisessa blogissakin, mikä antaa hyvää kuvaa yrityksestä ulospäin ja palvelee samalla yhteisöä ja asiakkaita.

Yritykset

Vuosittainen työnantajamielikuviin perustuva lista IT-alan ihannetyöpaikoista on julkaistu. Top 10 on täynnä uutta IT-taloa, mutta poikkeuksena joukossa on hurjasti noussut Puolustusvoimat. Isot talot täyttävät listan ja selkeästi listalla on kaksi kategoriaa: modernit IT-yritykset ja vaikutuksiltaan tai tuotteiltaan merkitykselliset yritykset. Julkishallinto on vahvasti mukana. Todellisuuksia on monia, joten listaa ei kannata tuijottaa kuin raamattua. Mielikuvat ovat mielikuvia ja jokaisella on omat mieltymyksensä.

Yksi esimerkki ammattinimikkeistä on Alanilta, jossa kaikki asiantuntijat ovat vain “asiantuntijoita”. Perään liitetään kirjain, joka kertoo millä tasolla henkilö on ja mitä häneltä odotetaan. Roolimäärittelyt löytyvät taulukosta. Staff Engineer on yksi ylempi asiantuntijarooli ja sille on omistettu oma nettisivu. Sieltä voi lukea ihmisten tarinoita miten he ovat nousseet tähän rooliin.

Innofactor on palkannut Jarno Limnéllin johtamaan kyberturvallisuusliiketoimintaa ja perustaa Jyväskylään kyberturvakeskuksen. Koulutusyhteistyön kautta on tarkoitus työllistää opiskelijoita. VY-verkko on saanut käyttöön uuden palomuuriympäristön, jonka myötä huoltotyöt saadaan tehtyä katkottomasti. Poliisin ICT-menojen kasvu on aiheuttanut polemiikkia ja nyt määrärahojen käytöstä käynnistyy selvitys. Teknistä velkaa on tullut ja uusia järjestelmiä pitäisi saada käyttöön. Tuntuu, että poliisin IT-ympäristö on pahasti sekaisin ja sitä ei pelkällä rahalla ratkaista.

Tänään opin, että Mist tarkoittaa saksaksi roskaa ja paskaa. Cisco on nostettu ykköseksi B2B-brändien arvostuksessa. Ykköseksi se on rankattu myös IoT-yhteyshallinta-alustoissa. Cisco on julkaissut brändin mukaiset yhteistyökuulokkeet Bang & Olufsenin kanssa. Cisco 980 -laatukuulokkeet saa ensi vuonna hintaan 550$. Kuukauden yritysosto on Replex, jolla Cisco saa buustia Appdynamics-alustaansa Kubernetes-hallinnan osalta. Ciscon Silicon One -piiri sai uuden jäsenen P100, joka pystyy 1,6 Tbps -porttinopeuksiin. Siinä on myös P4-ohjelmoitavat omainaisuudet ja isot puskurit ja taulut. CCIE- ja CCDE-mobiililabrakokeisiin saa nyt tuoda oman koneen ja lisälaitteet.

Internet-yhdysliikennepisteiden liiketoimintamallit muuttuvat. LINX ottaa käyttöön erilliset maksut fyysisistä porteista ja käytetyistä palveluista. Muutos heijastaa lisääntyvää palvelutarjontaa ja joustavuutta palveluiden käytössä. Yleensähän käytön mukainen hinnoittelu on sitten kuitenkin palvelun tuottajalle kannattavampi. Packetfabric on eräänlainen yhteysvaihde ja NaaS-palvelu, joka vaivihkaa lisää ominaisuuksia alustaansa.

Komponenttipulan ja toimitusvaikeuksien taustalla on modernin maailman talous ja pakkomielteinen optimointi. RoE (Return on Equity) eli pääoman tuotto on vedetty niin tiukalle, että enää ei ole mitään puskuria pienillekään häiriöille. Kaikki on tässä ja nyt, kenelläkään ei ole mitään varastossa ja työntekijöiden lojaalius on heikkoa. Jatkossa voittajia voivat olla ne, jotka investoivat ylimääräiseen, varautuvat strategisesti ja pitävät henkilöstön tyytyväisenä ja sitoutuneena. Voi olla, että vain startupit ja perheyritykset pystyvät tähän. Long Beachin satamasta kertova video kuvaa nykytilannetta hyvin. 73 laivaa ja 250000 konttia odottaa merellä ja keskimääräinen purkuaika on kasvanut kahteen viikkoon. Laivan purkuun tarvitaan 8000 rekkaa ja näistä 30% odottaa maissa tyhjillään.

Microsoft yrittää hallita toimitusketjua opittujen kokemusten kautta. Näkyvyys saatavuuteen on tärkeää ja toimittajakenttää pyritään laajentamaan. Puskuroinnin optimoimisessa käytetään älykästä mallia, jolla on päästy prosessissa vasemmalle eli aikaisempaan vaiheeseen. Asiakaskokemus on tärkeä ja siksi toimitus pyritään varmistamaan tehostamalla ja ennakoimalla omaa kapasiteettia ja toimitusaikaa. Seuraava pula odottaakin jo oven takana energian saatavuuden kanssa. Kapasiteettia on helppo leikata, mutta palauttaminen ei olekaan niin nopea toimenpide.

Kiina voisi rampauttaa koko läntisen teknologiateollisuuden useaksi vuodeksi ottamalla Taiwanin hallintaansa. Alle 10 nm -sirutuotannosta yli 60% tehdään Taiwanissa ja loput Etelä-Koreassa. Muualla ei ole kehittyneintä tuotantoa. Amerikkalainen Globalfoundries listautui pörssiin, keräsi 25 miljardin dollarin omaisuuden ja päätti huhut Intelin ostoaikeista. Sillä ei kuitenkaan ole paljon vaikutusta globaaliin sirupulaan. Globalfoundries, joka oli IBM:n jäljiltä huonossa taloudellisessa tilassa, lähinnä huusi rahoittajia apuun. Tosiasia vaan on, että sirujen valmistus on vaikeaa puuhaa.

USA:n Kiina-pakotteet laajentuvat verkkolaitteiden ja videovalvontajärjestelmien lisäksi nyt myös muille alueille kuten DJI:n droneihin. Kiina on kuitenkin monessa avoimen koodin projektissa mukana, esim. Kubernetesissa.

Internet

Geoff Huston kertaa internetin historian ja hahmottelee tulevaisuutta. Tarvitaan jatkuvasti nopeampi, parempi ja halvempi verkko, ja se on saatu karsimalla verkosta kaikki turha pois ja siirtämällä toiminnot päätelaitteisiin. Milloin tämä muutos päättyy ja tarvitaanko tulevaisuudessa jaettua verkkoa, tai verkkoa yleensäkään. Tulevaisuudessa riittää mietittävää ainakin osoitteiden, nimien, viittauksien ja kahdenkeskisten transaktioiden kanssa. Internetissä kaikki on kasattu kerroksittain vanhan päälle ja aina löytyy uusia mahdollisuuksia tuoda mukaan lisää toimintoja, tuotteita ja liiketoimintoja. Miten pitkälle tätä voi jatkaa ennen kuin korttitalo hajoaa?

Seuraava internetin kehitysaskel on web3, joka korjaa yritysvetoisen keskitetyn nyky-internetin. Web3 on rakentajien ja käyttäjien hallinnassa oleva hajautettu internet, jonka hallinta perustuu tokeneihin, kuten NFT. Tokenit antavat käyttäjille omistusoikeuden internetiin ja niitä voi joko ansaita tai ostaa. Lohkoketjut ovat jaettuja tietokoneita, joita kukaan ei omista, mutta kaikki voivat käyttää. Sovellukset ajetaan lohkoketjussa tai muussa hajautetussa verkostossa. Maksaminen onkin web3:ssa sisäänrakennettuna. Web3 tarkoittaa siis varmistettavaa ja itseohjautuvaa, luottamuksetonta ja luvittamatonta, hajautettua ja kestävää, tilallista verkkoa.

Metaverse tai metaversumi on noussut nyt kaikkien huulille. Facebookilla on ollut selvästi suunnitelma jo vuosia ja nyt julkaistut investoinnit ovat massiivisia ja pitkäaikaisia. Se aikoo investoida 50 M$ ja palkata Euroopassa 10000 työntekijää viiden vuoden aikana. Vastuullisuus on uudessa internetissä tärkeää ja Euroopalla on siihen sopivat arvot ja toimintamallit. Facebook ei ole ainoa metaversen kehittäjä ja on sanottu, että Minescraft ja Fortnite ovat lähempänä metaverseä kuin mikään Facebookin rakentama nyt tai tulevaisuudessa. Ennestään meillä on esim. Roblox, Fortnite, Decentraland, Upland ja Sandbox. Myös Sony, Microsoft, Alphabet, Nvidia ja muut uskovat metaverseen vahvasti. Alustoissa voi olla liiketapaamisten, konserttien, tuotekehityksen, myynnin ja mainonnan tulevaisuus.

Metaverse ei ehkä ole 5G:n tappajasovellus, vaan wifi7:n, koska suuri käyttö tapahtunee kotona ja toimistoissa. Mitä metaverse vaatisi verkolta? Maailmassa on noin 5000 metro-aluetta tai edgeä. Alle 50 ms viive olisi ihanteellinen ja se toteutuu jo hyvin. Teknologia ei ole ongelma, vaan kustannus. Onko metaverse riittävän haluttu palvelu, jotta se saadaan kunnolla toteutettua.

Streaming ja sisällönjakelu on taas noussut keskusteluun Netflixin Squid Gamen suosion ja käyttäjämäärän kasvun myötä. Onko oikein, että operaattori kuskaa ilmaiseksi OTT-sisällön verkossaan ja maksaa infran kulut? Etelä-Koreassa on aktiivinen taistelu käynnissä ja nyt BT on väyläytellyt verkkoneutraliteetin kumoamista historiallisena periaatteena. Operaattorit tuskin tätä vääntöä voittavat, vaikka esim. BT:llä jokainen ylimääräinen siirretty Tbps maksaa operattorille 60 M€. Ongelma on OTT-liiketoimintamalli, jossa sisällöntuottaja joutuisi maksamaan kahteen kertaan. Operaattori ja sisältö elävät symbioosissa ja tarvitsevat toisiaan, pitäisi vain löytää sopiva liiketoimintamalli ja kustannustenjakoperiaate. Nyt ensi kertaa historiassa internet-jättien liikevaihto ylittää operaatoreiden liikevaihdon. 5G tulee olemaan vaikea paikka verkkoneutraliteetin kanssa.

Suomessa Finapanelin mukaan Netflixillä on n. 790000 tilaajaa, mikä on yli 100000 vähemmän kuin viime vuoden keskiarvo. Yhteensä suoratoistotilauksien määrä on kasvanut yli 2,5 miljoonaan. Keskimääräinen tilaus on 2,2 palvelua.

Afrinicin rahojen jäädytykseen johtanut kiista ratkesi oikeudessa ja Afrinic sai jatkaa toimintaa. Aasiassa internetin kehityssäätiö haluaa kerätä varoja ja myymällä 43.0.0.0/8-blokin IPv4-osoitteita. Myynti toteutetaan kolmessa osassa jaettuna pienempiin alueisiin. Pilvitoimijat tietysti hamusivat osoitteita itselleen. Nykyisellä markkinahinnalla kaikki reilut 14 miljoonaa osoitetta tuottaisivat 558 M$.

Facebook on avannut laajakaistahankkeidensa suunnitelmia. Merikaapeleissa siirrytään 24-kuituisiin kaapeleihin, joista ensimmäinen tulee Euroopan ja USA:n välille. Kapasiteetti on 500 Tbps eli 200 kertaa nykyistä suurempi. Vahvistimia tarvitaan n. 100 km välein ja niiden sähkönsyöttö tulee kaapelin päistä. Nyt rakenteilla on poijuja, jotka tuottavat virtaa vahvistimille keskellä merta aalloista ja auringosta. Myös kaapelien reititystä ryhdytään suunnittelemaan tarkemmin mallintamalla ja ennustamalla. Bombyx-robotti taas helpottaa kuidun asentamista ilmajohtona. Robotti pystyy puoli-itsenäisesti rullaamaa tolppiin kuitua kilometrin noin puolessa toista tunnissa. Kaapelin rakennetta ja kuitumäärää joudutaan painon ja kuumuudenkeston takia muuttamaan. Terragraph on viimeisen mailin langaton verkko, joka toimii 60 GHz mm-aalto -taajuudella. Tukiasemia tarvitaan n. 200 metrin välein ja niitä sirotellaan esim. valotolppiin. Näin saadaan kuidun kaltainen yhteys halvemmalla ja nopeammin. Verkkolaitteiden valmistus on lisensoitu OEM-valmistajille ja laitteita pystytään nyt toimittamaan paremmin. Verkkoa on jo yli 100 palveluntarjoajalla ja laitteita on toimitettu 30000.

Minkälaista laajakaistaa sitten kannattaisi rakentaa? Kapasiteetin tarve kasvaa kovaa vauhtia ja siinä mielessä näyttää, että kuitu on ainoa varma tekniikka, jolla on kasvupolkua pitkälle tulevaisuuteen. Muodikkaassa satelliittilaajakaistassa kapasiteetin kasvatus ei ole itsestään selvää. Nyt nopeudet ovat hyviä, mutta miten pitkälle sadat megabitit riittävät, miten käy kun verkkoon tulee enemmän käyttäjiä ja miten satelliittien kapasiteettia ylipäätään saadaan kasvatettua jotenkin kustannustehokkaasti? Satelliitin tulevaisuutta määrittää maayhteyksien kilpailu, hinta, kapasiteettitarve ja satelliittien uusimistarve. Epäselvää on vielä tässä vaiheessa miten satelliitti pärjää pidemmällä ajalla. Uusia toimijoita on Boeing, joka on pistänyt lupahakemuksen sisään jo 2017 ja nyt se on lähellä hyväksyntää. SpaceX on tietysti yrittänyt hidastaa tätäkin hakemusta. Boeing Satellite Systems on yksi maailman suurimmista satelliittivalmistajista, joten uskottavaa taustaa löytyy. Boeing tähtää kuitenkin vain USA:n ja Karibian alueille. Maapalloa kiertävät LEO-satelliitit on visualisoitu havainnollisesti.

Toinen taistelu käydään stratosfäärissä, n. 15 km korkeudessa, jossa operoivat kaupalliset lentokoneet. Internet aiotaan biimata lentokoneille joko maasta tai taivaalta. Uusina toimijoina alalle astuvat Smartsky ja Aeronet, vanhoja toimijoita ovat mm. Viasat, Avionic ja Gogo.

Tapahtumat

Cisco Live EMEA pidetään helmikuussa Amsterdamissa. Rekisteröinti on avautunut.

Vmworldin tärkeimmät uutiset kokosi Packet Pushers:

Network Break 354 -podcast keskittyy tapahtumaan.

AWS CDN Edge Week -esitykset ovat katsottavissa. Yhteenvetona Cloudfront on yli 300 sijainnissa, 47 maassa ja 90 kaupungissa. Suunitelmia agressiiviseen laajentumiseen on. Yli 600000 asiakasta käyttää palvelua luoden n. 70% AWS:n ulospäin suuntautuvasta liikenteestä.

Google Cloud Next esitteli GCP:tä valtavalla määrällä esityksiä. Mitä uutta on verkon osalta tulossa?

Security Field Day 6:ssa esittäytyivät Swimlane, Cisco, Betacom, Juniper, Versa, EfficientIP ja Intel.

Kuukauden bisnes

Uroksen todellinen luonne on paljastunut viimein. Maksuvaikeuksien ja tilinpäätöstietojen puutteiden takia suuri yleisön on saanut tietää, että yrityksen todellinen tarkoitus oli tehdä rahaa perustajille, ei menestyä IoT-tekniikan saralla. Nimi Uros ääntyy kansainvälisesti “juuros”, euroja. Rahaa ei ole kuitenkaan tullut, vaikka sitä on kierrätetty ulkomaisten tytäryhtiöiden kautta sisäisenä laskutuksena veroja vältellen. Lisensointiliiketoiminta ei voi toimia jos ei ole mitään lisensoitavaa. Tukirahoja tuotekehitykseen kyllä haettiin ja saatiin, mutta yrityksen kova tulos on pelkää kuvitelmaa. Uroksen markkina-arvo ei ole mitenkään vertailukelpoinen vastaaviin IoT-yrityksiin. Kumppanuudet ja sopimukset näyttävät olevan enimmäkseen kulissia. Markkinointipuheet ja näkyvyys on ollut tärkeintä. Suomen kallein nimisponsorointi Tampereen areenan kanssa meni mönkään ja vaivaannuttavasta nimestä päästiin eroon sopivasti MM-kisojen kynnyksellä. Yrityksen tiettävästi ainoa konkreettinen tuote on Goodspeed-mokkula, joka sekin on vanhahtava ja tarpeettomaksi käyvä vempele. Vieläkään ei ole selvinnyt mikä yhtiön liiketoiminta oikein on. Media on surffaillut mukana vedätyksessä sujuvasti varoitusmerkeistä huolimatta. HS Visio on selvittänyt (maksumuurin takana) yrityksen taustoja enemmän. Vaikuttaa siltä, että yritys on Jyrki Hallikaisen rahakone, joka oli tarkoitus kasvattaa ja myydä kuten edellinen Microcell-yhtiökin.

[FI] Tietoliikennealan katsaus 2021-09

Ongelmat

Palvelunestohyökkäykset ovat kaataneet VoIP-palveluntarjoajien palveluita. Ensin VoIP.ms oli viikon alhaalla ja sen jälkeen monet muutkin palveluntarjoajat kuten Twilio, Accent, DialPad, Phone.com ja RingCentral kärsivät ongelmista. Revil-ryhmä on ollut esillä kiristysviestin vuoksi, mutta on epäselvää liittyvätkö häiriöt toisiinsa ja kuka iskujen takana on. Hyökkäykseen on käytetty mm. DNS- ja SNMP-vahvistusta ja hyökkäys vaikuttaa enemmän volumetriseltä kuin SIP-laitteisiin kohdistuvalta sovellushyökkäykseltä. VoIP-liikenne reitittyy internetissä ja rajapinnat ovat alttiina hyökkäyksille. SIP-protokollaa vastaan on helppo hyökätä. Vastaiskuna VoIP.ms siirsi DNS-palvelun ja webbisivun Cloudflaren DDoS-suojauksen taakse ja lisäsi CAPTCHA-varmennuksen palveluihin.

Operaattorit

Nokian vetäytyminen O-RAN -allianssista herätti epäilijät, laitevalmistajat ja median. Muutaman viikon jälkeen sopimuspuoli saatiin kuntoon ja Nokia palasi toimintaan mukaan. Epäilys kuitenkin jäi ja monet tahot ilmaisivat huolensa jatkosta. Nokia pelasi valtapeliä, testasi muita ja teki asian julkiseksi, mutta samassa junassa olivat myös Ericsson ja Samsung. Itse allianssi on ollut hiljaa. Strand Consult jopa nimesi koko O-RAN:n kiinalaisten juoneksi. O-RAN -allianssin rooli ja toimintatapa on herättänyt keskustelua. Allianssi ei ole WTO:n määritelmän mukainen standardointielin, kuten oikea standardointiorganisaatio 3GPP, ja allianssissa valta tuntuu olevan keskittynyt muutamalle harvalle jäsenelle. Toiminta kaipaisi läpinäkyvyyttä ja tasapuolisempia osallistumismahdollisuuksia kaikille jäsenille. O-RAN:n yksi opetus on, että kehitystä syntyy kun ajureina ovat käyttäjät eivätkä laitevalmistajat. Paras hyöty avoimesta koodista tulee kun sitä osataan käyttää tuotannossa.

USA on tärkeä markkina ja siksi isot valmistajat ovat varpaillaan kauppapolitiikan kanssa. Takavasemmalla Juniper liittyi vaivihkaa mukaan O-RAN -ekosysteemiin integroimalla RAN Intelligent Controllerin Intel FlexRAN alustaan. Juniper vielä miettii itse O-RAN -allianssiin liittymistä. RIC on siis yksi O-RAN:n keksinnöistä yhdessä pilvessä hostattavien keskitetyn kantataajuusosan Central Unitin (CU) ja hajautetun radioverkko-osan Distributed Unitin (DU) kanssa. RIC ohjaa CU:n ja DU:n välistä toimintaa. Intelin FlexRAN tai vähintään x86-alusta on käytännössä ainoa vaihtoehto O-RAN -alustaksi. Nvidia kuitenkin yrittää kaataa Intelin monopolin Arm-arkkitehtuuriin perustuvalla Bluefield-3 -DPU:lla, jossa on yhdistettynä grafiikkasuoritin ja verkkokortti. Arm on aiemmin päätynyt enemmän kiihdytyslaitteistoihin kuin monikäyttöiseen laskentaan, mutta nyt Nvidian Aerial yhdistää Bluefield-alustan ja sovelluskehitysympäristön kolmannen osapuolen integroitavuteen.

Yleisin tapa ottaa käyttöön O-RAN:ia on ostaa hostatut CU/DU-osat eri valmistajalta kuin RU-radioyksiköt. Näin ovat tehneet Rakuten ja Dish uusissa verkoissa, mutta vanhoissa verkoissa tilanne on mutkikkaampi. 5G-coressa ja -radioverkossa on kolmenlaisia alustoja: palvelimet, whitebox-verkkolaitteet ja perinteiset kytkin-reitittimet. Toimijat koostuvat uusista softapelureista, palvelinvalmistajista ja perinteisistä verkkolaitevalmistajista. Verkkolaitevalmistaja, jolla ei ole osaa 5G-maailmassa, on vaarassa pudota kelkasta. Cisco ja varsinkin Juniper ovat siinä mielessä hyvissä asemissa, että niillä on vahva jalansija, kokemusta ja riittävä tuoteportfolio. Optisen verkon laitevalmistaja Ciena osti itsensä mukaan IP-liikenteeseen ja 5G:hen Vyatta-hankinnna avulla. Vyatta on ollut hyvä ja pitkäaikainen avoimen koodin reititysohjelmisto, joka on toiminut taustalla ja ei ole koskaan oikein noussut kunniaansa. Tuote on siirtynyt Brocadelta AT&T:lle ja nyt Cienalle. Vaikka Ciena haluaa tehdä itsestään IP-reititystoimijan, tuskin tilanne Vyattan avulla olennaisesti muuttuu.

O-RAN ei ole operaattoreille helppo toteuttaa, joten ne aloittavat puhtaalta pöydältä pienemmän mittakaavan privaattiverkkoprojekteilla. Open Networking Foundation (ONF) on polkaissut käyntiin oman kaupallisen privaattiverkkotuotteensa. Ananki on ONF:n pari vuotta olemassa ollut Aether-alusta, jota operaattorit ovat käyttäneet. Yrityspuolella tilanne on kuitenkin eri ja siksi Ananki on pyöräytetty omaksi tuotteekseen. Ananki tähtää juuri teollisuusyrityksien privaattiverkkoihiin ja IoT-maailmaan, joissa arvostetaan käyttäjäkokemusta, helppoutta, tietoturvaa ja julkisen pilven integroitavuutta. Verizon antaa aina käytännönläheisiä kommentteja: monet privaattiverkkototeutukset ovat vielä vuosien päässä ja tällä hetkellä suurin käyttökohde on konenäkö, jossa kamerafiidi toimitetaan pilveen. 5G on nyt siirtymässä uuteen aikaan kun toisen sukupolven selvästi paremmat laitteet alkavat yleistyä ja uudet ominaisuudet tulevat paremmin esiin.

Dish avaa omaa verkon toteutustapaansa. Hybridimallissa CU-osa menee AWS:ään ja DU-osa pysyy Vmwaressa omalla alustalla. Mavenirin tekemä pilvinatiivi RAN-softa pyörii jo AWS:n EKS-palvelun päällä ja käyttää AWS:n CI/CD-työkaluja. Vmwarea ei ole julkisessa pilvessä, koska kolmannen osapuolen riippuvuuksia ja tuplakustannuksia halutaan välttää. Pilvessä käytetään vain pilven omia työkaluja kuten CI/CD, valvonta ja orkestrointi. Oma Vmware-alustakin on siirtymässä AWS:n Graviton2-palvelimiin ensi vuonna kun tarve Vmwaren välikerrokselle poistuu. DU:lla on kovat kovat mikrosekuntitason vasteaikavaatimukset ja siksi se siirtyy viimeiseksi pilveen.

Telefonica tekee uutta avointa ja automatisoitua verkkoaan IBM:n, Redhatin ja Juniperin kanssa. Palvelut pyörivät omissa konesaleissa kontteina Openshiftillä hallittuna ja IBM:n Cloud Pakilla automatisoituna. Verkkolaitteet ovat Juniperin QFX-sarjaa, joita hallitaan Apstralla. AT&T ulkoisti pilviteknologiansa Microsoftille, mutta julistaa nyt kuitenkin, että softa on heidän erottautumistekijänsä. Ericsson on aina toiminut operaattorien kautta, mutta voi joutua muuttamaan toimintamalliaan jos yritykset haluavatkin ostaa verkkonsa suoraan valmistajalta ilman välikäsiä. Yritysmarkkina näyttelee tärkeää roolia mobiiliverkkojen tulevaisuudessa. Ericssonin kilpailijoina ovat lähinnä Nokia ja amerikkalaiset internet-jätit.

Heliumista on alkanut tulla vakiintunut toimija telco-kentässä. Heliumiin perustuen Senet on julkistanut oman verkkonsa ja GigSky verkkopalvelunsa. FreedomFi toimittaa laitteita Helium-verkkoon ja on laajentamassa palvelua 5G-lähettimiin. 1500 dollarilla saa piensolun sisäkäyttöön ja sen peittoalue on noin kolme kertaa wifin peittoa suurempi. Useamman kilometrin kantaman ulkosolu on tulossa. Helium on siis yhteisöverkko, johon sisältyy tapa hyvittää käyttäjille heidän jakamastaan palvelusta. HNT on Heliumin kryptovaluutta, jolla maksuliikenne hoidetaan. Heliumissa on nyt 190000 LoRa-lähetintä ympäri maailmaa. Ennusteissa 5G solujen toimitusmäärät voisivat olla 2022 loppuun mennessä 40000 kappaletta, mikä olisi enemmän kuin Verizonilla. Käyttäjät tarvitsevat taajuuksille sopivan laitteen ja eSIM:n sujuvaa verkon vaihtoa varten. Virtuaalioperaattorit voisivat hyvin ottaa Heliumin mukaan omaan palveluunsa. Erikoista palvelussa on se, että nettisivulta voi katsoa mitä kukakin verkon jakaja tienaa.

Kiina-rintamalla USA vapautti Huawein talousjohtaja Meng Wanzhou kolmen vuoden jälkeen. Selvisi, että Mengillä oli seitsemän maan passit taskussaan, mikä ei tue Huawein vakuuttelua, että se olisi kaupallinen yhtiö ilman hallitussiteitä. Pari viime vuotta pakotteiden alla ollut Huaweille “normaalia”. Omien sanojen mukaan talossa ei ole ollut kaaosta, vaan yritys on entistä yhtenäisempi ja houkuttelee lahjakkuuksia. Kotimaan palkitsemiskäytännöt eivät enää riitä, vaan ne pitää sovittaa USA:n standardeihin, jotta kansainvälisistä kyvyistä voidaan kilpailla. Enää Huawei ei yritä käytää parhaita komponentteja, vaan tyytyy “sopiviin”, joilla on myös saatu kannattavuutta nostettua. Aiemmin Huawei seurasi standardeja, koska sillä ei ollut riittävää asiakaskuntaa takanaan, mutta jatkossa se aikoo luoda enemmän omia standardejaan. Ericsson päätti sulkea yhden viidestä Kiinan tutkimuskeskuksestaan, koska se häviää nopeasti markkinaosuuttaan kiinalaisvalmistajille. Tutkijat siirtyvät TietoEvrylle.

5G:n näkymistä kertoo GSMA:n Euroopan mobiilimarkkinaa luotaava raportti. Opensignalin mobiiliverkon käyttäjäkokemusmittausten tulokset on päivitetty.  Tefficientin Pohjoismaisen tilaston mukaan DNA:n 5G-verkon väestöpeitto on noussut yli 50% ohi Telian 47%:n peiton. Elisalla on hienoinen johtoasema. Telenorilla on vaikeuksia päästä pois Myanmarista kun armeijan juntta ei hyväksy omaisuuden myyntiä libanonilaiselle ryhmälle, jolla on kytköksiä Syyriaan, josta juntta taas ei tykkää. Kauppaan sisältyy 18 miljoonan tilaajan puhelutietojen siirto uudelle omistajalle. Tietojen päätyminen juntan käsiin olisi asiakkaille erittäin vaarallista. GDPR astuu tässäkin tapauksessa kuvaan ja Myanmarissa asti voidaan kiistellä sovelletaanko sitä vai ei.

Erillisverkkojen raportti teknologiatrendeistä antaa hyvän kuvan mitä modernin infran käyttöön liittyy. 5G tarvitsee kylkeensä hajautetun pilven, johon palvelut ja tieto sijoitetaan. Pilveen taas liittyy kysymyksiä tiedon käsittelystä ja suojauksesta. Viranomaiset tarvitsisivat omaa paikallista ja suojattua pilveä. Tiedon keskittämisen pohjalta voidaan käyttää tekoälyä tehostamaan toimintaa. Operatiivisessa toiminnassa lisätty todellisuus, kuten älylasit, on mahdollisuus. Satelliittiyhteydet antavat mahdollisuuden kattaviin liikkuviin palveluin. Satelliiteista saatava sijaintitieto ja aika ovat olennaisia lähes kaikelle toiminnalle. Koko ekosysteemi on muutoksessa monimutkaisempaan suuntaan, joten toimijoiden yhteistyötä ja kumppaniverkostoa tarvitaan.

Metaversestä eli keinotodellisuusmaailmoista unelmoidaan operaattorien tappajasovellusta. Historia on opettanut, että OTT-palvelut ja internet-jätit vievät palvelut ja operaattori jää kilpailemaan halvimmista datayhteyksistä. Facebook onkin ilmoittanut kehittävänsä Metaverseä, joka tulee olemaan kallis ja liiketoimintamalliltaan epäselvä. Konkreettisena tuotoksena on nyt astetta tyylikkäämmät Rayban-älylasit. Myös kiinalainen Nreal on tuonut markkinoille uudet älylasit, mutta tekniikka on edelleen kömpelöä. Käyttökokemukset Etelä-Koresta kertovat, että suosituin sovellus älylaseilla on streaming ja keksimääräinen käyttö on 49 minuuttia päivässä. Amazon ja Comcast taas ovat julkaisseet omat äly-TV -mallinsa. Äly-TV liittyy paremmin kokonaisekosysteemiin ja tuottaa mainos- ja sovellustuloja myös oman verkon ulkopuolella. Silti pelkän TV:n tuominen markkinoille ei riitä kovin pitkälle kuluttajien kosiskelussa.

Pilvi ja konesali

Operaattorit ovat tohinalla menossa julkiseen pilveen. Huawein uhka on nyt väistynyt, mutta seuraava valmistajaloukku odottaa julkisessa pilvessä. Pilvestä toiseen siirtymisessä on giganttiset kustannukset. Orange on varovainen pilveen sitoutumisessa, vaikka se on tehnyt yhteistyösopimuksen Googlen kanssa. Riskinhallinta tarkoittaa, että Orange yrittää välttää täyttä riippuvuutta Googlen tekoälystä rakentamalla omaa tekoälyä perinteisten kumppanien kanssa.  AWS on menettänyt merkittävän johtajan Charlie Bellin Microsoftille kun häntä ei nimetty AWS:n toimitusjohtajaksi. Azure on selkeästi tosissaan operaattoritoiminnassa, mutta myös yrityspalveluiden tuottamisessa. Azurella on nyt laaja ote markkinaan ja arvoketju paremmin hallussa kiihdyttääkseen 5G-muutosta.

Google aloitti 23 vuotta sitten ensimmäisellä räkillä palvelimia Santa Claran konesalissa. Vuonna 1998 reilu kahden neliön tilavuokra oli 4000$/kk ja megabitti maksoi 1200$/kk. Palvelimet olivat toimisto-pc:eitä, joihin oli liitetty ulkoiset levyt. Vasta seuraavana vuonna google.comin liikenne ylitti 2 Mbps. Räkin huipullahan istuu HP Procurve 4000M -kytkin, joita tuli vastaan 2000-luvun vaihteessa omassa työpaikassa jokaisessa kerrosjakamossa. Google on ollut Saksassa 20 vuotta ja nyt Frankfurtin alue saa laajennusta Hanaun tiloista ja Berliini kokonaan uuden Brandenburgin alueen. Googlen teknologiajohtaja Urs Höltzle on päättänyt siirtyä etätöihin Uuteen-Seelantiin, mikä on herättänyt närää työntekijöissä, joilla ei ole ollut samoja mahdollisuuksia etätöihin.

AWS:n liiketoimintaa on perattu ja selvitetty mitkä palvelut tuottavat eniten voittoa. Ensinnäkin AWS on voitollinen, toisin kuin esim. GCP tai Alibaba. AWS:n tuloista yli puolet tulee EC2-palvelusta. 80% tuotoista tulee 20% asiakkaista. Suurimmat marginaalit ovat kuitenkin pienillä asiakkailla, joita on 80% asiakkaista. Keskimäärin palveluiden kate on 60% luokkaa, suurimmillaan luultavasti S3- ja EBS-tallennuspalvelussa. S3:n hintaa ei ole kuulemma tiputettu sitten vuoden 2016. Samaa voi sanoa tiedonsiirtomaksuista. Bitin hinta on laskenut koko ajan, mutta tiedonsiirtohinta on pysynyt samana viimeiset kolme vuotta. AWS:n kehityksessä suurin ongelma on verkko ja viiveen vähennys on ollut koko ajan tärkein kehitystavoite. Verkon viiveen vaihtelua on optimoitu alusta alkaen jatkuvasti. Alkuun verkkolaitteiden skaalautumisessa oli ongelmia, koska muutostahti oli valtava. Nykyään muutoksia infraan tehdään miljoonia sekunnissa. Alun 300 ms viiveet ovat vaihtuneet alle 10 ms viiveisiin SmartNIC:ien avulla. Nykyään asiakas saa EC2-instanssin coreista 100% käyttöön eli teho on sama kuin rautapalvelimessa.

Pilvi on isojen massojen kisaa, missä pienen toimijan on vaikea pärjätä. Kilpaan bulkkipalvelusta ei kannata lähteä, mutta mahdollisuuksia on erikoistumisessa tiettyihin palveluihin tai markkinaan, ja esim. tietoturvassa ja yhteisön omistamisessa. Greylock on kartoittanut markkinaa ja pilvipalveluekosysteemiä. Amerikkakeskeinen pilvi-infra hiertää myös Eurooppaa. Euro-pilvet ovat marginaalisia ja menettävät koko ajan osuuttaan. Suurimpia toimijoita Euroopassa ovat Deutsche Telekom, OVH, SAP ja Orange. Jotkut ovat löytäneet oman niche-alueensa, jossa toimiminen on kannattavaa. Markkinatilanteen muutosta on vaikea kuvitella seuravaan viiteen vuoteen. T-System onkin liittoutunut Googlen kanssa tuodakseen itsenäisen pilven saksalaisten yritysten, terveydenhuoltoalan ja julkisen sektorin vaatimalle luottamuksellisen tiedon käsittelylle. Palvelun on määrä antaa käyttäjille täysi hallinta tietoon säilyttäen kuitenkin pilven tuomat edut. T-System vastaa pilvitiedon ja identiteetin hallinnasta, tiedon salauksesta ja Saksan GCP:n alustan hallinnasta.

Yksi surullinen tarina on IBM:n pilviseikkailu. IBM osti 2013 Softalyerin, jonka päällä piti IBM:n kruununjalokiveä Watsonia ajaa. Pilvialusta ei sopinut Watsonille eikä isoille perinteisille asiakkaillekaan, koska Softlayer oli keskittynyt pieniin asiakkaisiin ja tarjosi halpoja ja yksinkertaisia pilvipalveluita. Softlayerillä ei ollut VPC-ominaisuutta, jolla asiakas voi rakentaa oman virtuaalipilvensä. Asiakkaat pyysivät IBM:ää rakentamaan omien tarpeidensa mukaista infraa ja IBM teki asiakaslähtöistä kehitystä ilman ajatusta yleisestä palvelumallista. Äkkiä tajuttiin, että tämä ei toimi ja pilvi pitää rakentaa uudelleen. Kehitys jakautui kahteen leiriin, joista toinen rakensi pilveä puhtaalta pöydältä, mutta törmäsi skaalautuvuusongelmiin ja edelleen puuttuvaan VPC-ominaisuuteen. Pilvi ei ikinä valmistunut. Toinen ryhmä rakensi VPC-kykyistä pilveä Softlayerin pohjalta ja sai rinnalleen toisen kilpailevan projektin. IBM-pilvi saatiin vihdoin ulos 2019, mutta silloin oli jo liian myöhäistä. Tällä välin asiakkaat olivat oppineet kilpailuttamaan pilviä. Tarjous saatiin aina AWS:ltä ja seuraavista paikoista kilpailivat Azure, GCP ja IBM. Tuli selväksi, että IBM-pilvi ei ollut kilpailukykyinen. IBM-pilvessä on ollut viime vuosina laajoja häiriöitä, joita ei kuitenkaan ole julkisesti juurikaan huomattu, koska tärkeimmät palvelut pyörivät muualla.

Cloudflare taas on matkalla neljänneksi julkiseksi pilveksi ja yrittää tosissaan haastaa johtokolmikkoa. Tulossa on uusi R2-objektitallennuspalvelu, nimeltään “yhtä vähemmän kuin AWS S3”. Hinta tulee olemaan noin puolet S3:n hinnasta, mutta kirjoitussuorituskyvyssä jäädään alussa S3:sta jälkeen. Cloudflarella tiedonsiirtomaksuja ei peritä ulospäin suuntautuvasta liikenteestä. Cloudflare on julkistanut myös Offices-palvelun, jossa isot toimistorakennukset liitetään suoraan Cloudflaren verkkoon. Muualla toimistot voidaan liittää Cloudflaren edge-laitteen ja yhteyskumppanien avulla. Ensimmäisessä vaiheessa edge-laite tekee vain kytkentää verkkoon, mutta siihen on tulossa myös laskenta- ja tallennusominaisuuksia.

Pilven käyttäjät eivät useinkaan hyödynnä kustannusoptimointia, joka olisi suht helposti käytettävissä. Yrityksiltä jää 6 miljardia dollaria turhaa rahaa pilvipalveluihin vain, koska ne käyttävät on demand -hinnoiteltua palvelua. Pilvipalveluissa olisi jopa työkaluja kustannusoptimointiin, mutta yritykset eivät ilmeisesti tajua minkälaisista säästöistä voisi olla kyse. Kapasiteettia kannattaa ostaa etukäteen tai käyttää dynaamista skaalausta. Etukäteen ostamalla säästää jopa 70%. Myös erilaisia hinnoitteluita tiettyyn aikaan tai tietyssä paikassa voi yrittää hyödyntää. Monipilvi ei välttämättä ole joka pojan juttu, mutta pieni vähemmistö voisi säästää yli 60% valitsemalla sopivat palvelut eri pilvistä.

Sanonta pilvi on vain jonkun toisen palvelin, ei pidä oikeastaan paikkaansa. Pilvi on järkyttävän monimutkainen palvelukokonaisuus ja sitä on turha ajatella perinteisenä tietokoneena. Pilven ongelmatkin ovat yleensä paljon hienosävyisempiä ja monimutkaisempia kuin pelkkiä fyysisiä laitevikoja. Sovellukset pitää suunnitella kestämään yksittäisten pilvipalveluiden ongelmia. Lisäksi pilvialustaan pitää voida luottaa, mikä taas vaatii pilvitoimittajalta läpinäkyvyyttä. Pilven riskienhallinta on enemmän älykästä hallintaa kuin riskien välttelyä. Softatalot ovat auttaneet meitä siirtämään kaiken tiedon suljettuihin SaaS-palveluihin, mutta hajanaisen ja eristetyn tiedon käytössä onkin nyt ongelma. Tähän tarpeeseen on syntynyt uusi yrityssukupolvi, joka yrittää ratkaista datasiilojen yhdistämisen.

AWS on valinnut Ciliumin EKS-palvelun verkko- ja tietoturvaominaisuuksien oletustyökaluksi. Nyt kaikilla kolmella pilvellä on sama standardityökalu pilvinatiivien sovellusten verkkopalveluiden hallintaan. Prometheus-valvontaa saa nyt palveluna. ALB-sovelluskuormanjaon voi nyt yhdistää suoraan NLB-verkkokuormanjakoon. EC2-instanssien ulospäin menevä kaista on kasvatettu 5 Gbps:sta ylöspäin ja instanssi voi nyt käyttää puolet kokonaiskapasiteetista ulospäin menevälle liikenteelle. AWS:n hyödyntämiseen löytyy oppia blogeista: Introduction to Network Transformation on AWS – Part 1 ja Part 2, sekä Toni Pasasen VPC-introsta. Pilvessähän ei tunnetusti ole broadcastia tai multicastia, joten miten multicastia käyttävät palvelut kuten IPv6, DHCP tai HA toimivat pilvessä?

Azuren verkkoratkaisuista on julkaistu ilmainen 9,5 tunnin AZ-700 -kurssimateriaali. John Savillin kolmen tunnin videokurssi perehdyttää samaan aiheeseen.  Serttikoe on nyt myös avautunut: AZ-700: Designing and Implementing Microsoft Azure Networking Solutions.

Nextplatform on tehnyt vertailua palvelinten ja kytkinporttien myyntimääristä. Palvelin-corejen ja 10G-kytkinporttien määrän kasvu on hyvin samassa linjassa. Kun suorituskykyä verrataan, niin kytkimien tehot kasvavat nopeammin kuin palvelinten. 100G on nyt edullista ja 400G on jo olemassa. Tällä hetkellä verkon kapasiteetin kehityksen kannalta kaikki on hyvin. Koko käyttäjä-pilvi -yhteyden optimoimiseksi pitää myös katsoa middle mile -osuutta, joka muodostaa suurimman osan fyysisestä etäisyydestä. Operaattorien ja cloud on-rampien kanssa optimointia voi tehdä. Ciscon lupaama SD-WAN -integraatio Equinixin verkkoon on toteutunut. Equinixin asiakkaat voivat nyt portaalin kautta automaattisesti ottaa käyttöön SD-WAN -gatewayt ja muodostaa yhteydet käyttäjien, toimipisteiden ja pilvien välillä. Thousand Eyes valvoo yhteyksiä päästä päähän ja tekee jatkossa reittivalinnat yhteyksien laadun mukaan.

Cloudflarella tuli 11 vuotta täyteen ja sen kunniaksi juhlittiin vauhtiviikkoja. Laajentuminen on ollut huimaa. Nyt verkko on liitetty suoraan yli 10000 muuhun verkkoon. Vertailun vuoksi Googlen arvioidaan liittyvän 12000-15000 verkkoon. Cloudflaren oma verkko löytyy yli 250 kaupungista, 95% internetistä on alle 50 ms päässä ja 80% 20 ms:n päässä. 70% kapasiteetista muodostuu kahdenkeskisistä peerauksista ja 30% menee transitin kautta. Verkon teknologiassa hyödynnetään erilaisia älykkäitä mittaus- ja päätelmäalgoritmeja liikenteen nopeuttamiseen ja yhteyden laadun parantamiseen epäluotettavan internetin päällä. Cloudflare myös mittasi ja vertasi oman verkon suorituskykyä muihin CDN-toimijoihin. Käyttäjille näkyvyyttä tarjoaa verkkoyhteyksien analytiikka.

Suomessa Digita ilmoitti rakentavansa uuden konesalin Pasilan Ylen kampukselle, jossa on tarjolla maan parhaat yhteydet. Konesalikilpailu pääkaupunkiseudulla lisääntyy kun Digita saa vihdoin kunnollista modernia ja isoa tilaa vanhojen pienien kopperoiden tilalle. Equinix on rakennuttanut uuden runkokuidun Sinimäestä Pasilaan kytkien HE6/7-salit suoraan Pasilan yhteyspisteeseen.

Kyberturvallisuus

Fortinetin lähes 13000 laitteesta on vuotanut puoli miljoonaan VPN-tunnusta. Azuren Linux-koneiden halllinta-agentin OMIGOD-haavoittuvuus tuli julkisuuteen ja herätti hämmennystä kenen vastuulle se kuuluu. Asiakkaat eivät tienneet koko agentin olemassaolosta ja päivitys jäi kuitenkin käyttäjien vastuulle. Muutama päivä sekoiltiin korjausprosessin kanssa. Epäselvää oli mitä haavoittuvuus koski, ohjeen mukainen korjaus ei toiminut, haavoittuva agentti oli jaossa vielä päiviä julkistuksen jälkeen ja hetken päästä näkyikin jo hyväksikäyttöyrityksiä. Vmwaren vCenterissä oli jälleen vakava haavoittuvuus, jota käytettiin hyväksi. Internet-rajapinnassa ja oletusasetuksilla olevat asennukset ovat vaarassa. Myös Netgearin Smart Switch -sarjassa ja Sonicwallin SMA 100 -sarjassa on vakavia haavoittuvuuksia. Exchangen autodiscover-ominaisuus vuotaa tietoja kun kuuntelija saa haltuunsa sopivan autodiscover-domainin.

Uusi ennätyksellinen bottiverkko Meris on heräilemässä pitkän hiljaiselon jälkeen. Nimi tulee Latvian sanasta rutto. Kiristysiskuja on tehty kesästä lähtien mm. Venäjälle, Britteihin, USA:aan ja Uuteen Seelantiin. Verkossa on noin 250000 laitetta, jotka ovat tehokkaita verkkolaitteita. Mikrotikin laitteet on yhdistetty hyväksikäyttöön. Hyökkäysvoima on ennennäkemätön, Yandex on mitannut viimeisimmät lukemat 21,8 Mrps. Qratorin sivulla Meris botnet checkerillä voi tarkistaa kuuluuko ip-osoite bottiverkkoon.

Juniperin Netscreenin vuosien takainen vaiettu takaoviskandaali avautuu nyt hieman kun Bloomberg on penkonut asiaa. NSA oli vaatinut mm. Juniperia asentamaan tuotteisiinsa NSA-koodin. Koodin varasti kuitenkin Kiinaan linkitetty hakkeriryhmä, joka muutti koodia niin, että se saattoi purkaa salatun liikenteen. Koodi palautettiin takaisin omalla takaovella varustettuna ja kiinalaisilla oli pääsy laajasti eri organisaatioiden verkkoihin. Juniper ei ymmärtänyt mihin soppaan oli joutunut. Vasta kolmen vuoden jälkeen yhtiö tunnusti joitain yksityiskohtia, mutta tapaus on ollut hyvin salamyhkäinen ja selittää miksi USA on varpaisillaan kiinalaisten kanssa. Ehkäpä tästä oppina, että paras tapa puolustautua hyväksikäytöltä on olla tekemättä itse niitä.

Yritykset suhtautuvat eri tavalla hakkerointiin. Solarwindsin tapauksessa Microsoft oli itse uhrina ja valjasti 500 työntekijää tapauksen käsittelyyn ja yhteistyöhön eri tahojen kanssa. Brad Smith kertoo millainen kaaos Microsoftin sisällä oli. Solarwinds pienenä yhtiötä ei olisi millään itse voinut hoitaa tapausta, vaan tarvittiin isomman yhtiön kapasiteetti ja motiivit lähteä hoitamaan asiaa. Amazonia yritettiin saada mukaan kongressin kuulemiseen, mutta se kieltäytyi osallistumasta. Ohjelmistopaketoinnin avoin toimitusketjumääritys SPDX on stardardoitu ISO-standardiksi ISO/IEC 5962:2021. Lähtökohtana on ollut vakioida tapa luetteloida avoimen koodin komponentit ja lisenssit. SPDX antaa luotettavuutta ja läpinäkyvyyttä ohjelmistotuotantoon ja -jakeluun.

Supon kansallisen turvallisuuden katsaus kertoo Kiinan tiedustelupalveluiden halusta käyttää Suomen verkkoja vakoiluun. Myös infrastruktuurihankkeet ovat kiinnostaneet kiinalaisia. Yhteistyökuvioista ja yrityskaupoista on varoiteltu ja niiden valvontaa on lisätty. Myös Venäjä tekee laaja-alaista tiedustelua Suomessa. Muiden maiden tiedustelu koskee lähinnä omasta maasta lähtöisin olevia ihmisiä.

Yhä kehittyneemmät hyökkäystavat johtavat myös monimutkaisempien tietoturvatuotteiden käyttöön. Tietoturvaa rakennetaan usein ylhäältä alaspäin ja taklataan aina vain korkeamman tason ongelmia yhä hienommilla tavoilla. XDR ja muut kehittyneet tietoturvatuotteet voivat kuitenkin aiheuttaa enemmän ongelmia kuin hyötyä. Monesti organisaatiolla on jo riittävät tuotteet, jotka vain pitäisi ottaa kunnolla käyttöön ennen kuin ostetaan uusia hienompia tuotteita. Fortinet aikoo kouluttaa miljoona kyberasiantuntijaa erilaisilla koulutusohjelmillaan vastamaan paremmin nykypäivän vaatimuksiin.

SASE-rintamalla Barracuda Networks julkaisi “ainutkertaisen konseptin”, jossa asiakas voi pyörittää omaa virtualisoitua palvelua omassa pilvessään. Analyytikot julistivat tämän palvelun köyhän miehen SASE:ksi, joka ei varsinaisesti vastaa SASE:n määritelmää SaaS-palvelusta. Paloalto on yhdistänyt SD-WAN- ja SASE-palvelut yhdeksi Prisma SASE -palveluksi. Cloudgenixin SD-WAN on nyt integroitu SASE-pakettiin.

Mikä on SD-WAN:n ja SASE:n rooli? Kaikki alkaa yhdistyä SASE-termin alle. Kuitenkin monet kyseenalaistavat riittääkö pelkkä SASE vai tarvitaanko jotain muutakin, kuten vaikka EDR/XDR. Vastaus riippuu organisaatiosta. Tietoturva ei ole enää tekninen ongelma, vaan liiketoiminta- ja riskienhallintakysymys. Tutkimus on todennut, että 90% hyökkäyksistä johtuu ihmisten tekemistä virheistä. Siksi automatisointi on tärkein asia oli palvelu SD-WAN tai SASE. Palvelumielessä palveluntarjoaja joutuu huonoon asemaan jos se joutuu tarjoamaan useamman valmistajan ratkaisuja. Asiakkaat haluavat usein tietyn merkin, mutta palveluntarjoaja joutuu rakentamaan hallinnan ja integroinnin jokaiselle tuotteelle erikseen. Tämä johtaa vajavaisiin palveluihin ja on asiakkaan haitaksi.

Gartner on päivittänyt WAN Edge Infrastructure Magic Quadrantin. Sama kuusikko keikkuu kärjessä: Fortinet, Vmware, Versa, Paloalto, Cisco ja Silverpeak. Aruba on noussut uutena oikeaan yläkulmaan, jossa Fortinetin suoriutumiskyky on omaa luokkaansa. Juniper on edelleen ainoa visionääriluokan tuote. Hyvä teknologia kaatuu huonoon asiakaskokemukseen. Asiakkaita on kuitenkin yli 18000. Paloalto arvioitiin ominaisuuksiltaan parhaaksi. Kaikilla johtajilla on AI-kykyä, mutta sisältö vaihtelee. Tekoäly onkin tärkeä erottautumistekijä. Valmistajien liikkuminen nelikentällä kolmen vuoden ajalla näkyy animaatiosta. Haastajat Citrix ja Huawei pelaavat omilla markkinoillaan. Citrixin 1700 asiakasta on pieni määrä, vaikka tuote on yksi ominaisuuksiltaan laajimmista.

Gartner on myös arvioinut WAN Edgen ominaisuuksia. Ominaisuuksiltaan huonoimmat ovat Peplink, Nuage, Cradlepoint, Barracuda, Fatpipe, and Riverbed. Silti osa näistä valmistajista on löytänyt kolon itselleen. Yleisesti Gartner näkee maailman siirtyvän SD-WAN:sta SASE-arkkitehtuuriin ja internet-yhteyksiin. Automaatio ja tekoäly näyttelevät yhä suurempaa roolia operointipuolella. Myös Dell’Oro:n markkinatutkimuksen mukaan samat kuusi SD-WAN -markkinajohtajaa kahmivat 70% myynnistä. Tietoturvaominaisuudet ovat erottautumistekijä markkinassa ja perinteisten asiakasreitittimien myynti on vähentynyt selvästi SD-WAN -laitteiden yleistyttyä.

Forrester on arvioinut zero trust -valmistajia. Zscaler, Paloalto, Vmware, Appgate ja Perimeter 81 johtavat markkinaa. Zscaler ja Paloalto ovat selvät suosikit. Akamai ja Cloudflare saattavat olla kisan mustia hevosia. Akamai osti israelilaisen mikrosegmentointiyrityksen Guardicoren vahvistaakseen zero trust -alustaansa. Tietoturvan seuraavia yksisarvisia arvellaan olevan Deep Instinct, Bettercloud, Guardicore ja Swimlane. Orca jatkaa tappeluaan Paloaltoa vastaa läpinäkyyysohjelmallaan. Tuloskortille on listattu 26 valmistajaa ja niiden rajoitukset tuotearvioille ja muille lisenssiehdoille. Suurimmalla osalla valmistajia onkin varsin tiukat lisenssiehdot.

Etätyön myötä kotilaitteet ovat taas muotia. Paloalton Okyo Garde ja Fortinet-Linksysin HomeWRK ovat tietoturvaominaisuuksilla varustettuja kotireitittimiä. Kyse on yritysluokan toimintojen tuomisesta kotiin, mutta vaarana on yrityspolitiikan sekoittuminen kotikäyttöön. Käyttökokemus ei välttämättä ole optimaalinen. Itse tilasin aikoinaan F-securen Sense-reitittimen. Tuote myöhästyi julkaisussa noin vuoden ja tyylikään ulkonäön takaa paljastui oudosti käyttäytyvä laite, johon ei ollut mitään näkyvyyttä tai hallittavuutta. Lopetin purkin käytön kun kyllästyin epämääräisiin yhteyksien blokkailuihin ja palveluiden toimimattomuuteen, joihin ei itse voinut mitenkään vaikuttaa.

Nutanix on julkaissut uusia tietoturvaominaisuuksia AHV-hypervisoriinsa. Teemana on yksinkertaistaminen. Flow Networking -palvelun avulla käyttäjä voi tehdä virtuaalipilven, VPN-tunnelit ja automaattiset segmentointipolitiikat, ja sitä kautta auttaa zero trust -strategian toteuttamisessa. Lisänä on tulossa koneoppimiseen perustuvat politiikkaehdotukset ja Qualys-haavoittuvuushallinan tuoma havainnointi ja vaste.

API-rajapintojen välisen liikenteen merkitys kasvaa. Kalifornialais-israelilainen Neosec aikoo olla API-rajapintojen XDR analysoimalla API-liikennettä ja sen uhkia sekä automatisoimalla vastetta. SSH-rajapinta on alttiina hyökkäyksille, joten sen koventaminen on olennaista. Yksi tekniikka on porttikoputus, jolla ennen 22-portin avautumista pitää koputtaa tietty porttinumerosarja ikään kuin avainkoodina. Mysocket.io laajentunut nopeasti uusilla ominaisuuksilla sovelluspääsynhallinnan ympärille. Palvelu tarjoaa siis ilmaiseksi zero trust -mallista pilvinatiivia pääsynhallintaa.

Tekniikka ja operointi

Mikropalveluiden myötä API-gateway on tullut strategiseksi osaksi verkon arkkitehtuuria. Sopiva määrä API-rajapintoja mikropalveluihin on tällä hetkellä jossain 26-50 välillä ja kasvu luo painetta myös alemmille verkkokerroksille reititykseen, tietoturvaan ja hallintaan. Toinen ajan hengen tuotos on työnkulku, jota kaikki modernit IT-yritykset toistelevat.

Hashicorp on tehnyt omasta tutkimuksestaan johtopäätöksiä miksi ilmainen työkalu ei ole riittävä. Vaikka monet organisaatiot rakentavat avoimen koodin päälle, SaaS vetoaa erityisesti tietoturvaohjelmistoissa. Harva jaksaa kuitenkaan ihan alusta alkaen tehdä itse. Avoin koodi vaatii vastuunottoa ja pelisäännöt miten koodia hyödynnetään. Riskiä voi pienentää varsinkin ydintoiminnoissa kaupallisella tuotteella tai tuella. Organisaatiot ostavat tukea, vaatimustenmukaisuutta ja hallintaominaisuuksia. Rahalla saa nopeampaa etenemistä ja parempaa tuottavuutta. Yksilöt ovat tuottavimmillaan kun heille tarjotaan tietty valikoima tarpeeseen sopivia pilvipalveluita. Isossa organisaatiossa tämä ei tietenkään ole mitenkään yhtenäinen kenttä, vaan jokainen ryhmä saattaa vaatia omat tuotteensa.

Nautobot SoT-alusta on saanut ympärilleen sovellusekosysteemin, josta löytyy erilaisia laajennuksia perusalustan automaatiokykyjen laajentamiseksi. Nautobotin uusi ominaisuus on versionhallinta ja rollback. Ansible voi olla hankala vikatilanteissa. Koodin ajoon ja virhetilanteisiin on tarjolla erilaisia työkaluja, esim. lokia, konsolia ja debuggeria.

Verkkolaitteen sisäinen kahdennus on monimutkainen kokonaisuus erilaisia tekniikoita. Ivan Pepelnjak on esitellyt non-stop forwardingin (NSF), stateful switchoverin (SSO), graceful restartin (GR) ja sarja jatkuu. Vanhat ja viisaat ovat sitä mieltä, että oikea kahdennus tehdään kahdella itsenäisellä laitteella. Laitteen sisäiselle kahdennukselle on joskus tarvetta, mutta on hyvä tietää siihen liittyvä monimutkaisuus ja riippuvuudet. Moni asia voi mennä pieleen.

Nick Russo on julkaissut 12 videota BGP multihoming -tekniikoista. Tiesitkö, että AS65535 ei enää kuulukaan privaattialueeseen, vaan se on poistettu sieltä RFC7300:ssa vuonna 2014? Alue on nyt siis virallisesti 64512-65534. Syy poistoon on BGP:n tunnetuissa communityissä, jotka käyttävät 65535-alkuosaa. Poistamalla “broadcast-AS:n” muusta käytöstä, on haluttu suojella verkon operoijia omilta virheiltä ja vahingoilta. Point-to-point -linkeissä /31-osoitteistus on vakiintunut käytäntö, vaikka edelleen jotkut laitteet ja käyttäjät suostuvat vain /30-aliverkkoihin. /31-aliverkon käyttö on määritelty jo vuonna 2000 RFC3021:ssä, ja 0 ja 255 ovat aivan käypiä osoitteita maskin määräämissä paikoissa. Linkkiosoitteina voi käyttää monenlaista osoitetta: julkisia, privaatteja, CG-NAT -aluetta 100.64.0.0/10, link-local -osoitteita 169.255.0.0/16 tai numeroimattomia interfaceja. ISIS-naapuruus toimii jopa ilman IP-osoitetta pelkällä NSAP-loopbackillä.

Daniel Dib nosti esiin Ciscon enemmän tai vähemmän eksoottisen EVN-tekniikan (Easy Virtual Network), jolla voi vuotaa reitit helposti eri VRF:ien välillä ilman täyttä MPLS-BGP:tä tai VRF-liteä. Konfiguraatiossa reitit vain kopioidaan toisesta VRF:stä. Huhun mukaan tekniikka kuopattiin pois ACI:n tieltä, koska se olisi poistanut tarpeen SDN-ratkaisulle. Jos mietit underlay-verkon hyödyntämistä palveluille, mieti vielä. Tunnelointi on herkkä ja suojaamaton toiminto underlay-verkossa, joten sinne ei kannata ottaa asiakkaita tai käyttäjiä hääräämään mukaan. Palveluliikenne kuuluu overlay-verkkoon. Siinä mielessä operaattorinkin kannattaa ajaa internet yhdessä VRF:ssä eikä globaalitaulussa. 

MLAG tai MC-LAG tai vLAG tai VPC tai EVPN ei ole koskaan ollut yhteensopiva eri valmistajien kesken standardi-LACP -protokollasta huolimatta. Nyt Arrcus, yksi uusista kytkinsoftan valmistajista, on kehitellyt avoimen MLAG-ratkaisun, jolla eri laitteet voidaan liittää samaan MLAG-pariin. En ole varma onko tällaiselle tarvetta, ehkäpä EVPN-multihomingissa. Avoimen ratkaisun etuna on tietysti yksinkertaisuus, joustavuus ja skaalautuvuus. Collapsed Spine -malli on kuulemma suosittu pienissä ympäristöissä, mutta siinä ei varsinaisesti voi puhua fabricista, leafeista ja spineistä. Kyse on enemmän hybriditopologiasta, jossa sekoitetaan iloisesti toimintoja. Verkon toiminta on pienestä koostaan huolimatta monimutkaista ja laajennettavuus huono. Toinen malli on neljän kytkimen neliö, jossa on ristiin kytkemällä lisätty kapasiteettia ja kuormanjakoa. Yleisesti huonoin mahdollinen täysin kytketty topologia toimii neljällä laitteella, mutta laajennus ei enää järkevästi onnistu. Spine-leaf -fabric on seuraava askel kun kytkenmäärä kasvaa.

Merkittävä prosessoriarkkitehtuurin kehitysaskel 30 vuoteen on nanoPU, joka yhdistää verkkokortin ja CPU:n. RPC on myös olennainen keksintö modernissa tietotekniikassa ja nyt RPC-kutsujen viivettä on onnistuttu vähentämään yhdistämällä verkon ja CPU:n välinen väylä samaan prosessoriin. Nanopalveluiden eli pienten RPC-kutsujen viive lyhenee mikrosekuntitasolta nanosekunteihin. RISC-V -core voi käsitellä 118 miljoonaa RPC-kutsua sekunnissa. Netflix on kertonut miten se palvelee yhdellä palvelimella 400 Gbps -videoliikennettä. Keskustelua esityksen pitäjän kanssa aiheesta löytyy Redditistä.

Nokia on julkaissut uuden FP5-prosessorin 7750-reititinsarjaansa. Prosessorissa on hypätty 16 nm:stä 7 nm viivanleveyteen. Datapolku on täysin ohjelmoitava mikrokoodipäivityksillä. Eri piirejä on yhdistelty ja siksi virrankulutusta on saatu pienennettyä 75%. Kulutus ja suorituskyky on sama linjanopeudella käytetyistä ominaisuuksista riippumatta 0,1 W/Gb. FP5  tukee 800 Gbps -linjakortteja. Anysec tuo salauksen suoraan siirtokerrokselle ja Deepfield Defender -liikenneanalytiikkatyökalun voi integroida suoraan rautaan tekemään DDoS-pesuritoimintoa. Nokia kehittää omaa piiriään ja sen tuote sopii operaattoreille ja edge-reititin -kategoriaan, jossa tarvitaan palveluita. Mutta jos se yrittää kosiskella pilvijättejä, niin enpä usko menesteykseen, koska webbiskaalaajat operoivat suuret massansa yksinkertaisilla kytkimillä. 

Juniper taas on palannut modulaariseen kytkimeen QFX5700, jolla voi yhdistellä sopivia nopeuksia 400 Gbps-nopeuteen saakka. 5RU:n kokoinen möhkäle on syönyt Trident 4:n ja Junos Evolvedin. Purkki näyttää samalta kuin 25 vuotta vanha HP Procurve 4000M. Apstra on hallinassa ja luotettavuuden ylläpitämisessä avainasemassa ja se erottaa Juniperin Ciscosta ja Aristasta. 400G kilpailu alkaa kuumentua ja myös optiikkaa on myynnissä esim. Flexopticsin 400G-ZR 12580 euron hintaan. Sivulta löytyy hyvät speksit ja käyttökohteet tälle optiikalle. Ciscon Acacia on debytoinut plugarilla, jolla voi siirtää 1,2 Tbps yhdessä aallonpituudessa. Tosin saatavuus on jossain vuoden 2023 keskivaiheilla. Pluribus tekee L1-kytkintä, joka on suunnattu labrakäyttöön ja miksei muuallekin. Hallittu “etäkaapelointi” helpottaa kytkentämuutoksia ja testaamista.

Moderneissa WDM-laitteissa on aika hämmästyttävän tarkkoja mittausominaisuuksia, joilla voi paikantaa kuidun vikakohdan metrin tarkkuudella. Valokuitua voi hyödyntää myös sensorina. Maan värähtelyt puristavat ja venyttävät kuitua, ja pulssin muutoksista voi valotutkalla havaita muutokset. Monitorointia voi tehdä välitaajuuksilla normaalin tiedonsiirron rinnalla ja tarkkuus on metriluokkaa.  Lämpötilan mittaus kuidulla on teollisuudessa arkipäivää. Liikenne- ja kaupunkisuunnittelijoita taas kiinnostaa mittaustekniikan anonyymius, koska mittauksen kohteita ei voi identifioida. Rajavalvonnassa kuitu toimii hyvin ja Briteissä kuitua käytetään rautateiden valvontaan. Eli kuitua kannattaa kaivaa maahan sen monikäyttöisyyden takia.

Kuituun ollaan lisäämässä quantum-salausta parempaa tiedon suojausta varten. BT testaa EU:lta lainaamalla QKD-järjestelmällä onttokuitutoteutustaan. Packet Pushersin haastattelussa on tohtori Joshua Slater selittää mikä on Quamtum Key Distribution. Optinen transistori lupaa 100-1000 kertaa nopeampaa ja virrankulutukselta olematonta kytkintä tulevaisuuden tietokoneisiin. Sama transistori voisi toimia myös tiedonsiirtokomponenttina ja laserin supervahvistimena. Ruotsalaiset taas ovat keksineet optisen vahvistimen, joka perustuu tunnettuun Kerr-efektiin. Häiriötön ja tehokas valovahvistin on nyt saatu pakattua millimetrin kokoiseen piiriin, mikä tekee siitä kustannustehokkaamman ja monikäyttöisemmän.

Trex on Ciscon realistinen liikennegeneraattori, jolla saa generoitua 200 Gbps tilallista L7-liikennettä. Sitä ajetaan avoimena koodina DPDK:n avulla palvelimessa. Youtubesta löytyy myös ohjevideosarja Trexistä. Valmiita pakettikaappauksia oikeasta liikenteestä löytyy Jeremy Stretchin Packetlife-sivulta. Siellä on myös hienoja cheat sheetejä protokollista, työkaluista ja teknologioista.

Verkon keskustelut siirtyvät yhä enemmän suljetuille alustoille ja videoformaattiin. Asioita ei enää blogata webbisivuille Googlen indeksoitaviksi niin kuin ennen vanhaan. Arvokkaan vertaistiedon löytäminen on yhä vaikeampaa jos emme kirjoita kokemuksia ylös. Ja jos kirjoitamme, niin muistakaa selkeä teksti, joka kunnioittaa lukijaa. Tekninen kirjoittaminen ei ole sanataidetta, vitsejä, tarinoita, jaarittelua tai muuta kikkailua.

Jos haluat antaa mielipiteesi NX-OS-, EOS- tai Junos-automaatiosta, täytä Juniper Automation Readiness Survey.

Yritykset

Viria, entinen Anvia, entinen Vaasan läänin puhelin, vaihtoi nimekseen Loihde ja listautuu ilman osakeantia pörssiin. Yrityksen arvo jää arvailujen varaan. Loihde yhdistää lukot, kyberit ja analytiikat saman katon alle. IT-talo Frendy on ostanut Wisdomicin, joista yhdessä muodostuu merkittävän kokoinen 220 osaajan IT-palveluyhtiö. SOTE-uudistuksessa on jo käytetty varmasti kymmeniä, jos ei satoja miljoonia, mutta nyt se työ todella alkaa. Tulevina vuosina on kova tarve saada riittävästi tekijöitä kaikkiin tarvittaviin muutostöihin. Valtio jakaa nyt hyvinvointialueille ICT-avustusta 440 miljoonaa euroa seuraavan viiden vuoden ajaksi.

Suomen Yrittäjien kyselyn mukaan monipaikkatyön suosio on laskussa. Nyt 32% yrityksistä aikoo lisätä monipaikkatyötä pysyvästi. Voihan olla, että etätyötä on jo lisätty ja se on nyt normi. Mitä isompi yritys, sitä enemmän monipaikkatyötä aiotaan kuitenkin lisätä. Pääkaupunkiseudulla innokkuus on selvästi kovempi. Psykologit suosittelevat kameran laittamista pois etäkokouksissa. Se vähentää väsymystä ja parantaa keskittymistä kun ei tarvitse stressata omasta esiintymisestä tai keskittyä muiden tarkkailuun.

Usein resurssien lisäys nähdään ratkaisuna työtilanteen parantumiseksi. Ongelma on kuitenkin yleensä töiden organisointi. Lisähenkilöt vain pahentavat tilannetta, kunnes heidän saadaan oikeasti integroitua mukaan hyötykäyttöön. Oikeat ongelmat, joihin pitäisi puuttuua, ovat kulttuurissa, luottamuksessa, ihmissuhteissa, luovuudessa, markkinoissa, jne. Jos palkataan lisää väkeä, pitää olla mietittynä miten uudet henkilöt liittyvät organisaatioon ja tekemiseen.

Teknologiateollisuuden työnantajayhdistyksen jäseniksi on hakenut 391 yritystä ja viimeisimpänä Nokia tuo mukaan 6300 työntekijäänsä. Teknologiateollisuuden osalta on vielä epävarmaa riittääkö jäsenmäärä yleissitovaan sopimukseen. Nykyiset työehtosopimukset ovat päättymässä marraskuun lopussa ja työtaisteluista odotetaan kaaosta. Työntekijöillä olisi neuvotteluvoimaa kun työvoimapula on aitoa. Ammattiliitot kuitenkin näyttävät ylpeilevän sillä miten huonosti jäsenillä menee. Tutkijan sanoin “työnantajien kenraalit käyvät vielä vanhoja sotia”.

Gartnerkin on nimennyt osaajapulan uusien teknologioiden käyttöönoton suurimmaksi esteeksi. Kustannukset ja tietoturva tulevat kaukana takana. Suurimmat ongelmat liittyvät järjestelmien automatisointiin. Operaattorit ovat tunnetusti suuren muutoksen äärellä. Telecom TV on laatinut digitalisaatio-ohjelman operaattoreille. Se sisältää asennemuutosta, osaamisen laajentamista ja kohdistamista uudelleen, lisäkouluttautumista, monimuotoisuuden huomioimista ja avoimuutta.

Nokian epäonnistumiseen palataan jälleen kun Kallasvuo kertoo oman versionsa uudessa kirjassa Puhelin soi öisin. Kallasvuon mukaan Nokia alkoi elää omaa elämäänsä kun erilaisia oma-aloitteisia näennäistekemisen hankkeita alkoi syntyä talon sisällä. Seurauksena päälliköiden määrä kasvoi ja alemman tason kehittämisohjelmia syntyi kuin sieniä sateella. Kehitys ei pysynyt linjassa liiketoimintastrategian kanssa, eikä tuottanut merkittäviä tuloksia. Kallasvuo yritti suoraviivaistaa päätöksentekoa, mutta ei siinä onnistunut. Toinen ongelma oli, että Nokia ei saanut suoritustason kykyjä palkatuksi töihin. Pelle pelottomat keksivät kyllä ideoita, mutta niiden vieminen tuotantoon ja kilpailukykyiseksi liiketoiminnaksi olisi vaatinut Piilaakso-tasoisia kykyjä.

Dockerin tarina on yksi esimerkki monista avoimen koodin kaupallistamiseen liittyvistä vaikeuksista. Docker yllätti käyttäjät ilmoittamalla lisenssimuutoksista, jotka astuivat voimaan saman tien. Yli 250 hengen asiakkaat joutuvat nyt ostamaan Business-tilauksen 21$/kk/käyttäjä. Docker kehittää Desktop-sovellustaan, josta kaikki tykkäävät. Yli puolet kehittäjistä käyttää Dockeria, joten kaupallinen potentiaali on suuri, mutta riittääkö se silti pelastamaan yhtiön vai kääntyykö se sitä itseään vastaan?

Juniper on lisännyt kampuksen EVPN-fabricin mukaan Mistin tekoälyhallintaan. Taustatekniikka on lainattu Apstralta ja sovitettu Mistin käyttöliittymään ja Marvis-avustajan käyttöön. Cisco on selitellyt softastrategiaansa investoijapäivillä. Softa on valittu linja, vaikka ulospäin ei juuri siltä vaikuta. Ciscon mukaan suurin osa softamyynnistä ei liity rautaan. Kumppanuuksia on solmittu julkisten pilvien kanssa ja kaikki tuotteet tehdään nyt pilvimalli edellä. Silti esim. tietoturvan kasvu laahaa jäljessä kilpailijoista Paloaltosta ja Fortinetistä. SecureX XDR-alustalla on 8000 asiakasta ja Kenna Securityn haavoittuvuushallinnan integrointi siihen jatkuu. Cisco vaihtoi security-osaston johtajan pilvitaustaiseen Shaila Shankariin. Vaikeus softaistumisessa saattaakin olla siinä miten tuoda kehittyneempiä ominaisuuksia perinteisen laitekäyttöjärjestelmän ja infrapalveluiden yläpuolelle. UCS-palvelimet oli unohdettu tapahtumassa, vaikka niissä saattaisi olla Ciscon mahdollisuus erottua muista valmistajista.  Ciscon kapasiteettilisensointi ASR/ISR-reitittimissä on herättänyt ihmetystä. Lisenssiä myydäänkin vain yhdensuuntaiseen liikenteeseen, vai miten se nyt oli? Käyttäjät ovat törmänneet ihmeellisiin suorituskykyongelmiin lisensseistä johtuen.

Arista on julkaissut tuoteportfolionsa perinteisen pahvilakanan sijaan digiposterina. Samaa toivoisin muiltakin valmistajilta. Yhden arkin tuotekortila olisi näppärä verrata laitteiden sisuksia ja ominaisuuksia. Pica8 on tunnettu hyökkäävästä asenteestaan Ciscoa kohti. Nyt Pica8:n AmpCon-kontrolleri haastaa DNA Centerin. Aloituspaketin kontrollerilla ja kymmenellä kytkimellä saa 13750 dollarilla.

Irtautumisesta huolimatta Dell pitää itsellään Vmwaren kehityshyödyt seuraavat viisi vuotta, mutta mitä jää käteen sen jälkeen? Vmware voi taas irtautumisen myötä paremmin tarjota ratkaisuja muille konesalitoimijoille, mikä hyödyttää esim. HPE:tä, Lenovoa, Ciscoa ja Netappia. Vmwaren strategiassa hajautunut infra, Tanzu-konttihallinta, operaattoribisnes ja tekoälyoperointi ovat keskeisessä roolissa. Dell aikoo tuoda CloudIQ AIOps-tuotteen koko konesalituotevalikoiman hallintaan palvelimista levyyn ja verkkoon. CloudIQ on vanha tuote, mutta se kehittyy asiakkaan viisiportaisen kehitysohjelman mukana kohti kehittyneempää suljetun silmukan automaatiota. Kolmannen osapuolen sovellukset integroituvat siihen myös. Verkonhallinnan ominaisuudet ovat tulossa lähikuukausina.

Zscalerin tulosjulkistus kertoo hurjasta 57% tuloskasvusta. Kauden kohokohdat olivat integraatiot Service Now:hun, NIST:n kumppanuus ja oma IoT-haittaohjelmatutkimuksen julkaisu. F5 on ostanut Threat Stackin pilviturvan buustaamiseksi. Suunnitelmissa on sovellus- ja API-suojauksen integrointi Threat Stackin tuotteeseen tietoturvanäkyvyyden parantamiseksi.

Konkurssiin ajatunut GTT on palannut takaisiin uudelleenjärjestelyn myötä. Verkot myytiin pois ja GTT jää palvelutoimittajaksi keskittyen isojen asiakkaiden valikoituihin palveluihin, joista ei saa kyllä mitään konkreettista irti. Jotain pilveen liittyvää ne ovat. Verkon puoli siirtyy uudelle yhtiölle nimeltä EXA, jolla on nyt perintönä yli 100000 km kuitua, kahdeksan merikaapelia, yli 300 colo-tilaa, 14 konesalia ja yli 400 työntekijää. Myös EXA keskittyy hyvin rajattuun asiakasryhmään ja palveluihin, joissa tarkoitus on olla erittäin hyvä. Verizon Media osti aikoinaan CDN-toimija Edgecastin ja nyt on taas aika palata omaksi Edgecast-yhtiöksi palvelemaan sisällöntuottajia. Yahoo on myös ostettu pois Verizon Medialta ja siitä tulee jälleen itsenäinen kuluttajainternet- ja digitaalimediayhtiö.

Komponettipulan taustat ovat jääneet vähän epäselviksi. Miten tähän tilanteeseen päädyttiin ja miten tästä eteenpäin? Varmaan ensimmäinen askel oli kun Huawei hamstrasi komponentteja valtavat määrät USA:n pakotteiden seurauksena. Sitten tule pandemia ja autovalmistus vetäytyi, mutta kuluttajakysyntä lähti nousuun. Yhtäkkiä autoalankin palasi kehiin patoutuneilla tarpeillaan. Myös pilvijätit ostivat tavaraa ennakkoon suuria määriä, mikä pahensi tilannetta. Piirien valmistus ei helppoa, sillä prosessi on tarkka ja siinä on 700 vaihetta. Kehittyneintä tekniikkaa valmistavat vain muutamat tehtaat. Tehtaissa sattui suht harvinaisia häiriöitä, mikä vaikutti tuotantokapasiteettiin. Pandemian myötä myös logistiikassa on isoja pullonkauloja. Yksittäinen laivan jumiutuminen kanavaan johti konttikaaokseen. Lentorahti kulkee suurimmaksi osaksi tavallisilla reittilennoilla, joiden kapasiteetti tippui yhtäkkiä murto-osaan. Valmistajat ovat yhtä mieltä siitä, että tilanne ei helpota vielä ensi vuonna, koska se kapasiteetti on jo myyty.

Eurooppa on nyt myös herännyt tilanteeseen ja EU aikoo luoda omavaraisen komponenttiekosysteemin. Helpommin sanottu kuin tehty. Piirivalmistuksessa on syytä erottaa suunnittelu ja valmistus. Suunnittelun lisääminen Euroopassa ja Suomessa olisi hyvin mahdollista. Nokian perintönä Suomessa on osaamista, mutta koulutus on avainasemassa. Euroopassa toimivat jo saksalainen Infineon, hollantilainen NXP ja italialais-ranskalainen ST Microelectronics. Infineon avasikin uuden tehtaan Itävaltaan. Tehdasinvestoinnit ovat älyttömän kalliita ja EU:n kaavailema viimeisin tekniikka on kaikista vaikeinta. Eurooppa ei pysty kilpailemaan Aasian ja USA:n kanssa. Japanissa on osaamista ja sama tilanne, joten siitä voisi löytyä sopiva kumppani.

Internet

Pandemian myötä kotiyhteyksien laatuun tai sen huonouteen on herätty. Kyselyssä yli puolet koki yhteyksien laadun huonontuneen ja tuskaili päivittäisten wifi-ongelmien kanssa. Pandemia-aikana wifiä on käytetty kotona normaalista poikkeavissa paikoissa, mikä selittää ongelmia. Ihmiset odottavat operaattorin ottavan vastuun wifi-kokemuksen parantamisessa ja wifin integroimisessa laajakaistaliittymään, ja ovat valmiita maksamaan lisää paremmasta kattavuudesta ja laadusta. Siispä palveluntarjoajat: kuluttaja odottaa nyt kokonaisvaltaista laadukasta ja toimintavarmaan kotipakettia.

Suomi on pysynyt pohjolan ykkösenä mobiilidatan käytössä. Dataa kuluu jo keskimäärin lähes 50 GB kuukaudessa. Mobiilidatan avulla voi vaikka mennä metsään etätöihin. Kiinan internet-sektorista on julkaistu oma raporttinsa. Se sisältää tietoa muuttuvasta teknologiakentästä, toimijoista, demografiasta, geopolitiikasta, regulaatiosta, yms. Mitä tapahtuu nopean kasvun jälkeen, on suuri kysymys.

Internet-esto on uusi autoritäärisyyden keino ja ihmisoikeuksien loukkaus. Viimeisen kymmenen vuoden aikana on rekisteröity 850 internet-katkoa, joista lähes kaikki ovat kuitenkin tapahtuneet viimeisen viiden vuoden aikana. Rajoittamisen keinoja ovat mm. liikenteen kuristaminen, IP-estot, mobiiliverkkojen sulkeminen, DNS-häirintä, DPI, jne. Internet-estoja on nähty myös länsimaissa esim. USA:n metroasemilla mellakoiden aikana. Estoja voi yrittää kiertää käyttämällä mesh-verkkoja, VPN-yhteyksiä ja välityspalvelimia. Applen IOS15 sisältää private relay -toiminnon. Se käyttää Akamain, Cloudflaren ja Fastlyn verkkojen välityspalvelimia QUIC:llä ja HTTP/3:lla. Myös IPv6 toimii. Quad9-nimipalvelu on joutunut Sony Musicin hampaisiin kun ei ole estänyt pääsyä piraattisivustolle. Koko oikeushaaste tuntuu hullulta ja Quad9 on saanutkin taakseen laajan internet-yhteisön tuen.

Kiina käy omanlaistansa sotaa Taiwanin rannikolla kaivamalla hiekat merenpohjasta. Kalat katoavat ja merikaapelit katkeilevat. Interaktiivinen merikaapelikartta on päivitetty sisältäen nyt 487 kaapelia. Kaapelit on myös visualisoitu pyörivälle maapallolle. Orange mainostaa olevansa maailman ainut operaattori, jolla on oma merenpohjan tutkimusalus. Monti on teknologinen helmi, joka kuvastaa vanhaa hyvää aikaa kun yrityksillä vielä oli kaikenlaisia omia välineitä. Scylla on uusi merikaapeli Brittein saarilta Hollantiin yli 20 vuoteen. Pituutta on vaivaiset 211 km ja kaapelissa on 96 paria ultra-alhaisen häviön SMF28-kuitua, joilla saadaan alhaisin bittikustannus. Välivahvistusta ei tarvita. Pohjanmeri on ollut perinteisesti vaikeaa aluetta merikaapeleille kovien virtausten, herkkäliikkeisen hiekkapohjan ja runsaan kalastuksen vuoksi. Nyt kaapeli aurataan löysästi maaston muotoja myötäillen CAPJET-tekniikalla kapeaan rakoon 2-3 metrin syvyyteen, jolloin kaapelilla on parempi kestävyys. Englannin kanaalin Eurotunnelissa ei ole koskaan nähty kuitukatkoa. Colt ja Getlink ovat tehneet 25-vuotisen sopimuksen, jolla tunnelikuidun kapasiteettia ja hyötykäyttöä päivitetään. Colt rakentaa oman IQ-verkkonsa 1998 rakennetun kuidun päälle seuraaviksi vuosikymmeniksi.

Taara on Googlen kehitysyhtiö, joka on jatkumoa Loon-ilmapalloprojektille. Taara tekee vapaan tilan optiikan siirtolinkkejä ja nyt tällainen on otettu käyttöön Congo-joen yli Brazzavilleen ja Kinshasan välillä. Matkaa on linnuntietä vain 4,8 km kun maateitse joen kiertämisestä matkaa tulisi 400 km. Optisella linkillä saadaan 20 Gbps -kapasiteetti noin parin kymmenen kilometrin matkalle.

Satelliitti- ja avaruudenvalloituskilpailu jatkuu. Amazon on valittanut FCC:lle Starlinkin rikkovan lupaehtoja. Samalla Starlink on ilmoittanut siirtyvänsä pois betatestauksesta oikeaan tuotantoon. EU on investoimassa Onewebiin. Kanadalainen Telesat voisi olla toinen EU:ta kiinnostava vaihtoehto. Myös AT&T on valinnut Onewebin yhteistyökumppanikseen, koska Onewebillä oli tarjota sopiva liiketoimintamalli. AT&T:llä 9 miljoonaa yritysasiakasta on 300 metrin päässä kuituverkosta, mutta silti satelliittia tarvitaan kuituverkon ulkopuolella. Tällä hetkellä maata kiertää n. 8000 satelliittia. Autovalmistajat ovat kiinnostuneita satelliittien mahdollisuuksista, koska 5G:tä joutuu odottamaan. Geely rakentaa omia satelliitteja autonomista ajoa varten. Meille verkkoihmisille satelliittiyhteys on oiva out-of-band -hallintayhteys, joka on erotettu muusta kiinteästä infrasta ja on saatavissa hankalammissakin paikoissa. Satelliittilaajakaistan markkinaa määrittelevät jatkossa tuotantokustannukset ja kannattavuus. Satelliittipuhelut tulevat yleistymään kun datayhteydet on saatu kuntoon. Applen puhelinjulkistuksen myötä huhumylly lähti jo käyntiin. Starlinkin kova pöhinä ruokkii kilpailua, yhteistyötä ja yhdistymisiä.

Tapahtumat

Networking Field Day 26:ssa esittelyitä pitivät Juniper, Arista, Netbeez, ZPE, Path Solutions, Cisco, Kentik ja Riverbed. Paljon mielenkiintoisia tuote-esityksiä siis.

NLNOG:n tapaamisen esitykset on katsottavissa. Esillä on kiinnostavaa asiaa päivän täydeltä.

Kuukauden demo

Cisco ja kumppanit ovat demonneet SD-WAN:ia ja Edge-ratkaisuja DTM-auton etäohjauksella. Kilpa-autolla ajettiin ilman kuljettajaa kierros Itävallan Spielbergin Red Bull Ringillä niin, että ohjaaja istui 60 kilomerin päässä Grazissa. Auton nopeus oli jopa 200 km/h, joten 20 ms viive vastaa yhden metrin matkaa. Yhteyden viiveen piti olla luokkaa 2-5 ms. Riedelin tekemässä verkossa ohjaajan ja auton välillä ensisijaisena linkkinä oli suora kuitu ja MPLS, toissijaisena linkkinä 5G. Catalyst 8300 toimi SD-WAN -laitteena WAN-linkeillä. Riedelillä on radalla oma IP mesh -radioverkko, jossa on kahdennetut radiolinkit autoon. Virtuaaliauton ajaminen ei ollut helppoa, esim. jarrutuntuma oli aivan erilainen. Verkottuneesta autosta saadaan samalla myös videoyhteys ja tietysti reaaliaikaista telemetriaa mekaanikoille ja kuljettajalle. Kisa-autojen lisäksi DTM näkee käyttökohteena myös automaattisen turva-auton. Ja auton äänimaisemassa sähköinen vinkuna on kuulemma laitettu uskottavaan kuntoon.