Intelligente Monitoring-Netzwerke
Monitoring für 10GbE und schneller
Auf dem Web basierende Geschäftsmodelle und Arbeitsprozesse machen IT-Entscheidungen heute zum strategischen Management-Thema mit steigenden Vorgaben an das Netzwerk-Monitoring. Gleichzeitig gestaltet sich die Umsetzung durch Virtualisierung, Cloud-Services, Big Data, die BYOD-Einbindung privat genutzter 3G/4G-Engeräte oder die Umstellung auf den 10/40GbE-Netzwerkstandard eher schwieriger.Mit einer "insularen" Herangehensweise und dem Zukauf immer neuer Monitoring-Tools stehen IT-Spezialisten gegenüber den dynamischen und stark wachsenden Datenströmen auf verlorenem Posten. Die Antwort besteht eher in einer intelligenten, zentral gesteuerten Filterung, Priorisierung und Verteilung des Netzwerk-Traffics auf die bereits verfügbaren Monitoring-Tools. Dabei sollte die Lösung ohne Wartungsfenster auskommen, den Produktivbetrieb nicht beeinträchtigen und Investitionsschutz für das vorhandene 1-GByte/s-Monitoring-Equipment bieten. Ebenso wichtig ist die Konsolidierung aller Monitoring-Ergebnisse in einem ganzen Bild, um den Schritt von reaktivem Trouble-Shooting zu perspektivischer Netzwerkoptimierung vollziehen zu können. Herausforderungen für das Netzwerk-Monitoring Das bisherige Patchwork-Monitoring liefert keine Antwort auf Cloud und Virtualisierung. Früher waren Netzwerke einigermaßen übersichtlich: Funktionen, Software, Hardware und die zugehörigen Monitoring-Instrumente bildeten eindeutig lokalisierbare Einheiten und damit fest umrissene Aufgabenbereiche für IT-Abteilungen. In vielen Unternehmen hat dies zur Fokussierung des Denkens und Handelns auf Silos geführt. Im Hinblick auf Arbeitseffizienz, Krisenreaktion, Innovation und Transparenz erfuhr das Prinzip insularer Verantwortung jedoch häufig Kritik, da so lediglich ein Flickenteppich sicherer, aber isoliert betrachteter Teilbereiche entstehen konnte. Mittlerweile schaffen technische Innovationen wie Virtualisierung und Cloud aber Fakten und ändern die Rahmenbedingungen für das Netzwerk-Management. Die dynamische und "mobilisierte" Datenhaltung und -verarbeitung inner- und außerhalb bestehender Netzwerke macht Silo-Monitoring zum Anachronismus. Heute gibt es schlicht keine Inseln der Sicherheit mehr. Wer ist eigentlich im Netzwerk? Ein weiterer Faktor für die Komplexitätserhöhung im Netzwerk-Management ergibt sich aus der modernen Arbeitswelt mit mobilen Mitarbeitern. Mit ihren Smartphones, Ultrabooks und Tablets sind sie unterwegs oder von Zuhause eingebunden in immer stärker verteilte Wertschöpfungsprozesse, die nicht länger am Firmentor enden. Dadurch befinden sich auch sensible Geschäftsdaten nicht mehr ohne Weiteres hinter der eigenen Firewall. Die Netzwerke dehnen sich aus und müssen deutlich flexibler arbeiten. Gleichzeitig sind sie aufgrund permissiver BYOD-Regelungen neuen Risiken ausgesetzt. Das Netzwerk-Management steht daher vor der Herausforderung, private Endgeräte im Home Office ebenso reibungslos in das Monitoring zu integrieren wie die Desktop-Clients im klassischen Büro. Die Frage, wer wann auf welche Datenströme zugreift, ist nicht nur unter BYOD-Bedingungen prekär. Dies gilt ebenso für die Einrichtung kollaborativer Entwicklungsplattformen mit weltweiten Zulieferern wie auch bei einer Cloud für Vertriebspartner. Um diese Frage jederzeit beantworten zu können, müssen Monitoring-Prozesse sehr zügig an jede Erweiterungen zu adaptieren sein, da Betriebs- und Datensicherheit sonst nicht zu gewährleisten sind. Zu viel Big Data Darüber hinaus muss das Netzwerk-Monitoring mit stark steigenden Datenlasten (Big Data) fertig werden. Das eigentliche Problem liegt noch nicht einmal so sehr im Volumen, sondern in der Vielfalt der Daten und mehr noch in der Geschwindigkeit ihrer Verarbeitung. SPAN Ports oder für das Monitoring umfunktionierte Ethernet-Switches sind in ihrer Leistungsfähigkeit häufig auf den 1-GByte/s-Standard begrenzt. Dies gilt noch mehr für die hinterlegten Monitoring-, Security- oder Management-Tools. Werden sie - insbesondere unter dem neuen 10-GByte/s-Standard - mit Traffic überfrachtet, verlieren sie Datenpakete und liefern möglicherweise falsche, aus einer lückenhaften Informationsbasis generierte Resultate. Sicherheit im Wandel Da die IT - zum Beispiel angesichts des boomenden E-Commerce - vielfach Wachstumshoffnungen trägt und Basis lukrativer Geschäftsmodelle sein soll, ist sie nicht mehr nur operatives Fachthema im Zeichen von Stabilität. Als perspektivischer Wettbewerbsfaktor ist die IT einem hohen Innovationsdruck und teilweise schnellen Veränderungen unterworfen. Netzwerke müssen daher leicht erweiterbar sein, damit neue Vertriebs-, Multimedia- oder Kommunikationsplattformen mit knapp bemessenen Time-to-Market-Vorgaben in den Live-Betrieb gehen können. Das Monitoring steht dementsprechend vor der Aufgabe, agil mitzuwachsen und die Erweiterungen ohne Zeitverlust, vollständig und am besten mit den vorhandenen Ressourcen ebenfalls einzubinden. Überforderung mit steigenden Monitoring-Vorgaben Laut einer Umfrage der Enterprise Strategy Group beklagt fast die Hälfte der Netzwerkverantwortlichen, nicht genügend SPAN oder Mirror Ports zur Verfügung zu haben oder diese nicht schnell genug bereitstellen zu können. Ähnlich viele beklagen, Tools verwenden zu müssen, die zu viele Ports benötigen. Die Werte belegen, dass der Kampf um Analyse-Ports hart sein kann - vor allem, wenn nur knapp bemessene Wartungsfenster vorhanden sind. Die Antworten der IT-Spezialisten deuten indirekt auf ein zweites Problem hin. Es gibt nicht nur zu wenige Ports, es gibt vor allem immer mehr Tools - vielleicht zu viele. Denn wenn Netzwerke, Lasten und Infrastrukturen wachsen, reagieren Unternehmen darauf häufig, indem sie zusätzlich weitere Einheiten von denselben oder verwandten Geräten beschaffen. Wachsende Tool-Flotten haben allerdings Nachteile. Ihre Anschaffung, Wartung, Konfiguration, Implementierung und Installation bindet Ressourcen. Dies betrifft vor allem Finanzmittel und Personenstunden. Der kostenintensive Kauf zusätzlicher Testhardware läuft den Entwicklungen und den resultierenden Problemen hinterher, ohne sie grundsätzlich zu lösen. Denn Tool-Flotten skalieren nicht mit den Netzwerken. Wachsen diese, dann steigt auch die Zahl der Geräte und die die Anzahl der zur Verfügung stehenden Ports wird immer knapper. Wenig Abhilfe schafft der Einsatz von modifizierten Ethernet Switches, die den Mangel an freien Ports ausgleichen und die Traffic-Weiterleitung an verschiedene Prüf- und Analysegeräte leisten sollen. Da Switches nicht für diese Aufgabe ausgelegt sind, erfordert dieses Verfahren einen vergleichsweise hohen Konfigurationsaufwand. Zudem unterstützt diese Herangehensweise nicht eine intelligente und vorab definierte Selektion der Daten. Bei einem eher statischen, "mechanischen" Tool wie dem Switch sind Änderungen in der Konfiguration weder direkt noch reaktionsschnell möglich. Die Anpassung des Switches an Netzwerkerweiterungen, veränderte Datenströme oder neue Monitoring-Aufgaben ist aufwändig und der Dynamik, mit der sich Netzwerke heute entwickeln, kaum gewachsen. Weit verbreitet ist im Netzwerk-Management der Einsatz von Mirror Ports, die im Allgemeinen zur Ausstattung von Ethernet Switches gehören. Performanceengpässe setzen dem Einsatz dieser Ports allerdings relativ enge Grenzen. Denn der Switch ist durch die Selektion und Spiegelung der Datenströme zusätzlich beansprucht. Dies kann bei hoher Netzwerkauslastung dazu führen, dass Daten aus dem Produktivbetrieb nur verlangsamt weiterlaufen oder die Filtereinstellungen ausfallen, der gesamte Datenstrom gespiegelt und damit die Arbeit der nachgelagerten Analyse-Tools verfälscht wird. Wie auch bei den modifizierten Ethernet Switches lässt sich die Einstellung der Selektionskriterien weder zentral steuern noch flexibel anpassen. In der Regel schieben die Administratoren die Aktualisierung einer Filterregel bis zum wöchentlichen oder monatlichen Wartungsfenster auf. Solange bleibt das Netzwerk-Management an dieser Stelle fast "blind". Generell halten Lösungen, die nur in den Wartungsfenstern abpassbar oder neu konfigurierbar sind, mit dem Tempo wachsender und sich verändernder Netzwerke kaum Schritt. Die Überforderung mit den steigenden Monitoring-Anforderungen resultieren insgesamt daraus, dass die Tools untereinander nicht orchestriert arbeiten, sondern insular. Die Zugang zu den TAPs, SPAN- und Mirror-Ports ist daher knapp und nicht im Rahmen eines umfassenden Monitoring-Konzepts abgestimmt. Dass 1-GByte/s-Tools, solange sie jeweils als isolierte Lösungen arbeiten, selbst in Flottenstärke der 10-GByte/s- und Big-Data-Herausforderung nicht begegnen können, ist bekannt. Erst im Rahmen einer ganzheitlichen Geräte- und Port-Verwaltung, die das Leistungspotenzial aller vorhandenen 1-GByte/s-Tools bedarfsgerecht abruft und intelligent verteilt, kann dies gelingen. Allerdings bleibt der Versuch, den Traffic durch Mirror Ports oder Ethernet Switches sinnvoll auf die Analysegeräte zu verteilen, im Ansatz stecken. Dies liegt an der limitierten Performance der Mirror und SPAN Ports (Einschub SPAN Ports) sowie daran, dass die im Prinzip sinnvolle Filterung und Verteilung von Traffic auf die Analysegeräte nicht in der erforderlichen Präzision funktioniert. Der Schlüssel, um mit der Herausforderung moderner Netzwerke fertig zu werden, liegt in der intelligenten Traffic-Verteilung und granularen Ausfilterung relevanter Datenpakete nach logisch aufgebauten, immer engmaschiger zu wählenden Regeln und Kriterien. Werden alle Analysegeräte und -Ports ganzheitlich verwaltet und den Tools die (und nur die) Daten übermittelt, die wichtig sind, lassen sich die verfügbaren 1-GByte/s-Kapazitäten auch unter 10-GByte/s-Bedingungen optimal ausschöpfen. Erfolgt diese Verwaltung zentral und ohne Einwirkung auf den Produktivbetrieb, ist ein reaktionsschnelles Netzwerk-Management mit einer konsolidierten Sicht auf die relevanten Prozesse sichergestellt. An diesen Grundlinien orientieren sich Lösungen wie beispielsweise die Gigamon Traffic Visibility Fabric. Grundlage und Funktionsprinzip Die Traffic Visibility Fabric arbeitet wie eine Middleware zwischen den Netzwerkkomponenten und den Monitoring-, Verwaltungs- und Analyse-Tools. Die Aufgabe ist die "Vermittlung von Datenpaketen" an die Prüfgeräte. Ihr Herzstück ist das Flow Mapping. Mit diesem Verfahren ist der Traffic nach 4.000 Kombinationen aus logisch hierarchisierten Regeln und Kriterien selektierbar. Damit lassen sich Datenpakete unter anderem anhand von Protokollen, DSCP-Werten (Differentiated Services Code Point), MAC (Media-Access-Control)- oder IPv4/IPv6-Adressen, VLAN IDs oder TOS (Type of Service)-Klassifizierungen ausdifferenzieren. Der Administrator kann zudem individuell erstellte Flow Maps hinterlegen, um sie beispielsweise für Notfallszenarien oder Audits "griffbereit" zu haben und direkt in Kraft zu setzen. Das Flow Mapping hat den Vorteil, die Überlastung von Tools durch Ausfilterung überflüssiger Daten zu vermeiden. Gleichzeitig helfen optionale Verfahren wie die Datendeduplizierung (Entfernung von Redundanzen), das Packet Slicing (Abtrennen der weniger relevanten Daten eines Datenpakets) oder das MPLS/VLAN Header Stripping (die für manche Tools aufwändige Protokollentschlüsselung unterbleibt) dabei, Ressourcen möglichst wenig zu beanspruchen. Zum präzisen Zuschnitt der Datenpakete gehört auch das Data Masking. Dabei geht es allerdings weniger darum, die Tools zu entlasten. Vielmehr sind dort im Einklang mit Unternehmensrichtlinien und der Datenschutzgesetzgebung sensible Informationen gegen den Zugriff durch Unbefugte abgeschirmt. Nach der Definition der relevanten Datenpakete übernimmt die Traffic Visibility Fabric die Zustellung an die Analyse-Geräte - wiederum so, dass kein Tool überfordert ist und Datenpakete verliert. Verteilung der Daten Die Verteilung erfolgt in verschiedenen Verfahren: Any-to-Many: Die von einem SPAN Port/TAP kommenden Daten repliziert das System und verteilt sie an unterschiedliche Geräte. Auf diese Weise arbeiten etwa Security-, Application- und Network-Performance-Tools parallel mit denselben relevanten Daten, was den Wettbewerb der IT-Teams um knappe 1/10-GByte/s-Ports entschärft und die Produktivität des Netzwerk-Managements erhöht. Many-to-Any: Die von verschiedenen SPAN Port/TAPs kommenden Daten aggregiert das System und führt sie in einer einzelnen Überwachungseinheit (zum Beispiel in einem End-to-End Sniffer) zusammen. Packet Filter: Die von einem SPAN Port/TAP kommenden Daten teilt das System auf mehrere Tools auf, etwa wenn die Schnittstellen oder Prozessoren eines einzelnen Gerätes nicht für die gesamte Datenlast ausgelegt sind. Zwei Intrusion Detection-Geräte teilen sich die Arbeit, die eines allein nicht hätte fehlerfrei leisten können.
Monitoring-01.jpg">
Lesen Sie mehr zum Thema
