Zarządzanie sieciami

Automatyzacja zarządzania: o przyszłości rozstrzygną detale

Automatyzacja zarządzania: o przyszłości rozstrzygną detale

Poziom złożoności środowisk aplikacyjnych, sieci oraz towarzyszących im systemów zabezpieczeń rośnie z dnia na dzień, podnosząc koszty zarządzania. Jedynym ratunkiem jest automatyzacja, ale nie da się jej wprowadzić ot, tak, z marszu. Aby automatyzacja stała się faktem i przyniosła oczekiwane korzyści, spełnionych musi być szereg warunków. Przede wszystkim, potrzebne są dane, na podstawie których decyzje mogą być podejmowane w sposób automatyczny. Po drugie, potrzebny jest silnik logiki sterującej oraz infrastruktura do integracji informacji. Niezbędna jest także architektura, która pozwoli realizować zautomatyzowane zarządzanie pomimo wzrostu skali i nieuniknionych zmian. Potrzeba automatyzacji zarządzania infrastrukturą we wszystkich możliwych ujęciach jest jedną z niewielu pewnych rzeczy w nadchodzącej przyszłości i zmaterializuje się raczej wcześniej, niż później.

 
Czasy, gdy sieciami, bezpieczeństwem i aplikacjami zarządzało się oddzielnie zdecydowanie przechodzą do historii. Powodem są nie tylko nowe zagrożenia, ale także zasadnicze zmiany w architekturze infrastruktury. Ponadto, wystarczy się rozejrzeć – liczba urządzeń i aplikacji stale rośnie, co oznacza więcej zasobów do monitorowania, więcej zdarzeń do obsłużenia, więcej profilów do zastosowania i coraz większą liczbę kontekstów, co zwiększa liczbę wariantów i odstępstw od ustawień domyślnych. Na sile przybierają także współzależności między poszczególnymi warstwami. I tak, niegdysiejsza relatywna prostota ustępuje miejsca postępującej złożoności. Zapanowanie nad środowiskami wymaga coraz silniejszych mechanizmów kontrolnych – dotychczasowe cele, metody, zakres i głębokość zarządzania wymagają więc pilnego przeglądu.

Automat potrzebuje informacji

Odpowiedź na powyższe wyzwania sprowadza się w gruncie rzeczy do automatyzacji. Automatyzacja nie dzieje się jednak automatycznie. Warunkiem koniecznym automatyzacji jest dysponowanie informacją tj. parametrami, progami, miarami, wskaźnikami itd., które muszą być wyliczane lub w inny sposób pozyskiwane z danych i metadanych systemów katalogowych, urządzeń, aplikacji i tak dalej. Im bogatszym zestawem danych dysponujemy, tym lepiej – ponieważ możemy wywnioskować z nich więcej informacji, a ostatecznie więcej zrobić na ich podstawie. Z tego powodu, rozwiązania automatyzujące zarządzanie nie mogą zamykać się w ‘świecie’ jednego dostawcy, ograniczać się do jednej warstwy czy domeny.

Automatyzacja to podejmowanie decyzji i działań bez udziału człowieka, ale zgodnie z jego intencjami. Im więcej mamy danych na temat zdarzeń, tym lepiej intencje te mogą być wyrażone, odzwierciedlając precyzyjnie różne niuanse rzeczywistości. Równie ważny jest język, za pomocą którego intencje są wyrażane. Im bardziej jest ekspresyjny, tym bardziej złożoną logikę można zastosować do zdefiniowania automatycznej odpowiedzi. Ostatecznym celem automatyzacji jest zapewnienie najwyższego bezpieczeństwa środowiska w każdych warunkach, ale bez poświęcania dostępności i łatwości użycia. Tylko taka perspektywa ma sens.

Przykładem dobrego podejścia do automatyzacji zarządzania jest oprogramowanie NetSight firmy Extreme Networks. W jego ramach dostępny jest bardzo szeroki framework do podłączania źródeł danych, obejmujący technologie i protokoły warstw od 2 do 7, a także agentów i wtyczki do łączenia się z popularnymi źródłami danych. Analizować można dane bieżące i historyczne na temat dowolnego urządzenia lub użytkownika, przez co ocena zaufania oraz nadawanie uprawnień mogą dostosowywać się do zmieniającej się rzeczywistości. Przykład: podłączenie do sieci firmowej laptopa z wirusami może spowodować automatyczne ograniczenie uprawnień, pozostawiając jedynie możliwość dostępu do Internetu. A gdy zdarzy się to ponownie, zablokowany może być nawet sam dostęp urządzenia do sieci. To tylko prosty przykład. Możliwe jest obsłużenie scenariuszy dużo bardziej złożonych – i to właśnie sedno automatyzacji.

Wraz z mechanizmami do mapowania źródeł danych NetSight dostarcza platformę do zarządzania logiką automatyzacji. Reguły można definiować za pomocą webowych narzędzi graficznych, skryptów, a także poprzez interfejsy API dostępne dla kilku języków programowania. Dzięki temu możliwa jest łatwa, a jednocześnie głęboka integracja platformy z oprogramowaniem firm trzecich, np. z systemami do zarządzania urządzeniami mobilnymi (MDM – Mobile Device Management). Istnieją nawet gotowe integracje, jak w przypadku oprogramowania MobileIron. Im więcej możliwości integracji, tym lepiej dla klienta. Standardy, interoperacyjność, otwarte formaty danych – to właśnie jest przyszłość zarządzania i fundament dla jego automatyzacji.


„Warunkiem koniecznym automatyzacji jest dysponowanie informacją tj. parametrami, progami, miarami, wskaźnikami itd., które muszą być wyliczane lub w inny sposób pozyskiwane z danych i metadanych systemów katalogowych, urządzeń, aplikacji i tak dalej. Im bogatszym zestawem danych dysponujemy, tym lepiej – ponieważ możemy wywnioskować z nich więcej informacji, a ostatecznie więcej zrobić na ich podstawie. Z tego powodu, rozwiązania automatyzujące zarządzanie nie mogą zamykać się w ‘świecie’ jednego dostawcy, ograniczać się do jednej warstwy czy domeny”


Dostęp wyłącznie bezprzewodowy?

Większość nowych instalacji sieciowych oferuje dostęp przewodowy i bezprzewodowy, ale rośnie liczba wdrożeń, w których dostęp jest wyłącznie bezprzewodowy. Prawdę powiedziawszy, od kiedy prędkości radiowych sieci dostępowych stały się wystarczające do obsługi strumieni wideo, użytkownicy przestali poszukiwać kabla Ethernetowego. Firmy przyklaskują temu trendowi, bo wdrożenie sieci bezprzewodowych jest szybsze i pozwala oszczędzić znaczne kwoty. Taki rozwój wypadków ma jednak duże konsekwencje dla zarządzania sieciami, bezpieczeństwem i aplikacjami, i w sumie cały czas odkrywamy, co jeszcze może z tego wyniknąć. Skupmy się na sprawach najbardziej oczywistych.

Sieci bezprzewodowe zacierają różnice między tym, co firma uważa za środowisko wewnętrzne, a tym, co jest wobec niego zewnętrzne. Pierwszym wyzwaniem jest więc zasięg fizyczny sieci. Zakładając, że planowanie radiowe, podział na strefy, zarządzanie mocą transmisji, sterowanie wiązkami sygnału, konfiguracje anten i wytłumienia, np. w oknach, zostały wykonane poprawnie, utrzymanie sygnału wyłącznie wewnątrz budynku jest zupełnie wykonalne. Z drugiej strony, trzeba sobie zadać pytanie: co z przestrzenią publiczną czy też ‘mieszaną’ wokół budynku, w której pracownicy również wykonują swoją pracę? W wielu przypadkach ograniczanie zasięgu po prostu mija się z celem, co oczywiście nie oznacza rezygnacji z silnych mechanizmów zabezpieczeń i zarządzania – wręcz odwrotnie.

Według mnie zasięg powinien być konfigurowany z myślą o wygodzie użytkowników. Ostatecznie, głównym powodem popularności Wi-Fi jest umożliwienie łączności tam, gdzie nie ma gniazdka Ethernetowego. Bezpieczeństwo należy zapewnić w inny sposób, w szczególności za pomocą mechanizmów Network Access Control (NAC). Stosując serwer autoryzacyjny w połączeniu z solidnym protokołem uwierzytelniania, jak np. 802.1x oraz dobrze skonfigurowanym szyfrowaniem sieć można zabezpieczyć niezwykle skutecznie zachowując jednocześnie wygodę po stronie użytkownika.


„Zakładając, że planowanie radiowe, podział na strefy, zarządzanie mocą transmisji, sterowanie wiązkami sygnału, konfiguracje anten i wytłumienia, np. w oknach, zostały wykonane poprawnie, utrzymanie sygnału wyłącznie wewnątrz budynku jest zupełnie wykonalne. Z drugiej strony, trzeba sobie zadać pytanie: co z przestrzenią publiczną czy też ‘mieszaną’ wokół budynku, w której pracownicy również wykonują swoją pracę? W wielu przypadkach ograniczanie zasięgu po prostu mija się z celem”


Gotowość na duże zmiany

Udostępnienie sieci bezprzewodowej wszystkim użytkownikom sprawia, że konieczne staje się elastyczne zarządzanie pasmem. W tym celu sieć bezprzewodowa musi jednak być w stanie śledzić fizyczne położenie użytkownika w przestrzeni. Tylko wtedy bowiem możliwe będzie zapewnienie łączności w sposób efektywny, a więc dostarczenie pasma przyznanego w profilu przy najmniejszej mocy transmisji. Optymalizacja mocy wymaga w praktyce dynamicznego przekazywania sesji użytkownika między punktami dostępowymi oraz stosowania uwierzytelniania wyprzedzającego, by uniknąć zerwania połączenia. Efektywne zarządzanie pasmem polega również na dynamicznym modyfikowaniu limitów pasma w zależności od aplikacji, profilu, lokalizacji użytkownika itd.

Przy obecnym stanie technologii możliwe jest zapewnienie wszystkich usług i pełnego pasma wewnątrz budynku oraz ograniczenie usług u pasma na zewnątrz, np. na parkingu. Przykładowo, użytkownik wychodzący z budynku może utrzymać ciągłość sesji VoIP lub wideokonferencji, ale nie będzie mógł korzystać z aplikacji CRM inaczej, jak przez VPN. Odrębne reguły można stosować dla gości. Te i wiele innych scenariuszy można realizować już dziś, i to w pełni automatycznie.

Automatyzacja zarządzania sieciami bezprzewodowymi wymaga rozumienia tego, jak działa radio jako medium. O ile konfigurację warstwy sieciowej można zmieniać w sumie dowolnie, zmiana topologii sieci może być problematyczna, a wręcz prowadzić do przerw w łączności. Z taką sytuacją mamy do czynienia wtedy, gdy np. firmy chcą wyłączać dostęp do sieci bezprzewodowej lub ich segmentów poza godzinami pracy, albo na weekend. Sugerowałbym raczej tego nie robić. Dostęp można ograniczyć w warstwie sieciowej, informując użytkowników o tym, w jakich godzinach sieć jest dostępna za pośrednictwem mechanizmów webowych tj. np. captive portal. Włączanie i wyłączanie sieci, czy nawet wyłączenie rozgłaszania SSID może sprawić, że przywrócenie sieci do normalnej i optymalnej zajmie sporo czasu, co może utrudnić życie pracownikom.


„Automatyzacja zarządzania sieciami bezprzewodowymi wymaga rozumienia tego, jak działa radio jako medium. O ile konfigurację warstwy sieciowej można zmieniać w sumie dowolnie, zmiana topologii sieci może być problematyczna, a wręcz prowadzić do przerw w łączności. Włączanie i wyłączanie sieci, czy nawet wyłączenie rozgłaszania SSID może sprawić, że przywrócenie sieci do normalnej i optymalnej zajmie sporo czasu, co może utrudnić życie pracownikom”


Architektura kontra skala

Automatyzacja zarządzania wymaga także zaadresowania kwestii architektury systemu zarządzania. Na początku ery Wi-Fi jedynie słuszna wydawała się architektura, w której konfiguracją punktów dostępowych zarządzał centralny serwer, przy czym dostępne ówcześnie punkty dostępowe były w pełni funkcjonalnymi routerami bezprzewodowymi. Niedługo później przyszła era ‘chudych’ punktów dostępowych, ograniczonych w zasadzie do samych modułów radiowych z antenami, zarządzanie którymi zostało przerzucone na dedykowany przełącznik sieciowy. Było to rozwiązanie eleganckie i łatwe do zarządzania, tyle, że jedynie na niewielką skalę. Skalowanie było drogie i to przesądziło o tym, że architektura ta nie upowszechniła się. Tym bardziej, że w międzyczasie największe sieci Wi-Fi stały się naprawdę duże, obejmując setki tysięcy punktów dostępowych.

Architektura zarządzania, która sprawdziła się w dużych sieciach (należących zwykle do dużych operatorów komórkowych i obejmujących zasięgiem w zasadzie cały świat) wygląda następująco. W pełni funkcjonalne punkty dostępowe utrzymują lokalnie ustawienia konfiguracyjne i okresowo synchronizują się z serwerem zarządzającym. Serwery mogą wysyłać zmiany do punktów dostępowych w trybie Push. Serwery działają w maszynach wirtualnych w głównym centrum danych. Celem tej architektury jest wysoka wydajność sieci i obniżenie kosztów zarządzania. W pełni funkcjonalne punkty dostępowe posiadają wszelkie informacje potrzebne do tego, by umożliwiać uprawniony ruch i blokować ruch niechciany – całkowicie autonomicznie, bez ciągłego odpytywania serwera zarządzającego co mają zrobić. Punkty dostępowe mogą też komunikować się ze sobą i współdzielić informacje operacyjne, a nawet podejmować decyzje w rozproszeniu, gdy serwer jest zbyt odległy w sensie ‘hopów’, lub gdy nie jest dostępny.

Chcąc skalować sieci do tysięcy punktów dostępowych (użytkowników, urządzeń, aplikacji), czy nawet bardziej, trzeba rozumieć to, co się w niej dzieje. Przy dużej skali jest to bardzo trudne nie tylko dla administratora, ale nawet dla standardowego oprogramowania zarządzającego. To przypadek, w którym należy sięgnąć po narzędzia klasy SIEM – Security Information and Event Management. Standardowe narzędzia do zarządzania gromadzą dane i wyliczają miary, na podstawie których mogą być podejmowane konkretne decyzje. Oprogramowanie SIEM patrzy na zdarzenia w sieci w szerszej perspektywie – przetwarza surowe logi poddając je analizie korelacji czy klastrowej, aby wnioskować na temat faktycznej sytuacji. Kluczowa różnica między narzędziami standardowymi i SIEM sprowadza się do tego, że te pierwsze analizują informacje z poszczególnych źródeł oddzielnie, SIEM zaś ocenia sytuację na podstawie analizy wszystkich zdarzeń łącznie.


„Standardowe narzędzia do zarządzania gromadzą dane i wyliczają miary, na podstawie których mogą być podejmowane konkretne decyzje. Oprogramowanie SIEM patrzy na zdarzenia w sieci w szerszej perspektywie, oceniając sytuację na podstawie analizy wszystkich zdarzeń łącznie, a nie z poszczególnych źródeł oddzielnie”


Bez automatyzacji nie da rady

Infrastruktura sieciowa już wkrótce stanie się jeszcze bardziej złożona. Platformy sieciowe działające jako oprogramowanie oderwane od tradycyjnych przełączników (SDN – Software-Defined Networking), wirtualizacja usług sieciowych (NFV – Network Function Virtualization), otwierają nowe możliwości, ale tworzą także nowe kategorie problemów. Routing oparty na treści, wirtualne klastry, wirtualne przełączniki warstwy 2, sieci działające z prędkością pamięci RAM, a nie kabla Ethernet – te technologie generują zupełnie nowe klasy zdarzeń, w związku z czym potrzebna jest nowa logika do ich interpretowania oraz automatycznego zarządzania nimi. Internet of Things jeszcze bardziej zwiększy skalę sieci, poddając nawet narzędzia klasy SIEM skrajnym testom na wytrzymałość.

Trzeba przyznać, że nie znamy wszystkich wyzwań dotyczących zarządzania aplikacjami, sieciami i ich bezpieczeństwem, z którymi przyjdzie nam się nam zmierzyć się jutro. Pewne jest jedynie to, że potrzeby w dziedzinie automatyzacji zarządzania będą tylko rosnąć. Wypada zatem przynajmniej rozpocząć przygotowania do tego, co niechybnie nadejdzie: mapować potrzeby, ustanowić procesy zarządzania zmianami, zatroszczyć się o źródła danych, uzgodnić standardy i zasady interoperacyjności, a być może nawet wykonać jakieś wdrożenia pilotażowe, które rzucą więcej światła na to, co jest możliwe potencjalnie i realnie, i co jest pożądane – zanim w grę wejdą większe kwoty.
 

Zdeněk Pala, presales technical consultant, Extreme Networks
Zdeněk Pala

 
Zdeněk Pala pracuje jako presales technical consultant w Extreme Networks w regionie Europy Centralnej i Wschodniej. Można się z nim skontaktować pisząc na adres: zdenek.pala@extremenetworks.com.