In ersten Blog dieser Serie haben ich beschrieben, wie Cisco Tetration Analytics Licht in Ihr Rechenzentrum bringt und wie Sie endlich die Komplexitäten in Ihren IT-Umgebungen besser verstehen und analysieren können.
Einer der zentralen Use-Cases für Tetration Analytics ist dabei das tiefere Verständnis aller Abhängigkeiten innerhalb und zwischen Applikationslandschaften. Eine genaue Kenntnis ist im Grunde unabdingbar. Die Komplexität und Dynamik moderner IT-Landschaften lässt dies jedoch für die allermeisten IT-Abteilungen zu einer epischen Herausforderung werden. Die Allerwenigsten können dies leider zur vollen Zufriedenheit von Fachabteilungen, Security-Officers und Auditoren bewältigen.
Kartographie der Applikationsbeziehungen
Tetration hilft den IT-Verantwortlichen bei dieser Herkules-Aufgabe. Software-Sensoren auf allen Servern und virtuellen Maschinen in Ihrem Rechenzentrum oder bei Ihrem Cloud- oder Service-Provider vermessen jedes einzelne Datenpaket das den Server erreicht oder verlässt und schicken die Header-Informationen – angereichert mit Informationen über den Prozess, den Prozess-Owner, Hostnamen, etc. der kommunizierenden Applikation – in die Tetration-Appliance. Tetration fügt die Paketinformationen vollautomatisch zu Flow-Informationen zusammen und verwendet. Intelligente Algorithmen und Machine Learning verwenden wir dazu, um aus Millionen von Flow-Informationen sinnvolle Kommunikationsnetze in menschenverständlicher Form aufzubereiten. Je mehr Informationen gesammelt werden, umso präziser wird das “Application Dependency Mapping”.
Der Mensch kann den Lerneffekt weiter verbessern helfen, indem der Datensee um zusätzliche Informationen über die zu analysierende IT-Umgebung angereichert wird (etwa mit sprechenden Bezeichnungen von IP-Segmenten, oder durch Hochladen der Konfigurationen von Loadbalancern oder DNS-Servern). Eventuelle Fehlinterpretationen der Maschine können von Menschenhand korrigiert und der Lern-Algorithmus weiter optimiert werden.
Innerhalb kürzester Zeit und mit überschaubarem Aufwand können mit diesem Verfahren selbst komplexe IT-Landschaften analysiert und hinsichtlich der Kommunikationsflüsse kartografiert werden.
Hat man einmal eine “Baseline” gesetzt kann im Folgenden gezielt auf Änderungen in den Verkehrsbeziehungen geschaut und Abweichungen vom “Ist-Zustand” auch aktiv und automatisch gemeldet werden, um darauf reagieren zu können – entweder durch Anpassung der Policies bei gewollten, oder durch Einleitung von gezielten Abhilfemaßnahmen bei ungewollten Veränderungen im Kommunikationsfluss.
Einfacher und sicherer Migrieren
Eine der komplexesten und aufwändigsten IT-Managementaufgaben ist die Migration von Anwendungslandschaften. Sei es, um Applikationen von einem in ein anderes Rechenzentrum umzuziehen, sei es, wenn eine Applikationsumgebung in die Cloud gebracht werden soll. Oder sei es einfach, wenn Anwendungen fit gemacht werden sollen für die Betriebsübernahme in einem Ausfall-Rechenzentrum. Je nach Komplexität und Anzahl der beteiligten Server dauert ein solches Projekt Monate bis Jahre. Und ein Großteil der Aufwände fließt in die Analyse, welche Abhängigkeiten man vor der Durchführung der Migration besser beachten sollte. Zum Beispiel auf welche zentralen Dienste zugegriffen werden muss, die am Zielort natürlich genauso bereitstehen müssen. Oder ob die Bandbreiten zwischen den Rechenzentren ausreichen, falls noch Kommunikationsflüsse zwischen bereits migrierten und noch nicht migrierten Anwendungen auftreten. Planung ist hier alles, und Wissen ist Macht! Cisco IT konnte diese Aufwände zur Vorbereitung der Durchführung von Migrationen um 70% reduzieren – durch den Einsatz von Tetration Analytics.
Eine weitere Herausforderung kommt nach der RZ-Migration zum Tragen – also, dann, wenn schon alle erleichtert durchatmen, weil nach der Migration tatsächlich noch alles läuft. Wie weisen Sie nach, dass tatsächlich alle Abhängigkeiten von Applikationen zum alten RZ aufgelöst wurden? Oder greift vielleicht doch noch aufgrund eines Skriptfehlers o.ä. irgendein Server auf den DNS-Service im alten RZ zu? Ohne Tetration merken Sie dies frühestens dann, wenn Sie den alten DNS-Server abschalten. Wenn Sie Pech haben, erst beim nächsten Neustart – dummerweise ist bis dahin der alte DNS-Server mit Sicherheit schon aus dem Rack ausgebaut und die abgeschriebene Hardware entsorgt. Service-Ausfälle aus solchen Gründen sind auch bei den kritischsten Umgebungen schon vorgekommen.
Mit Tetration Analytics können Sie gezielt nach solchen Relikten suchen, bevor Sie Dienste abschalten – “Welche Server greifen noch auf den Server 10.1.1.18 per NTP-Protokoll zu?” Tetration wird es ihnen sagen. In weniger als zwei Sekunden!
Sicherheit und Compliance
Es ist leicht nachvollziehbar, dass mit der Kenntnis der Applikationsabhängigkeiten auch sehr schnell die korrekte Umsetzung von Security-Richtlinien überprüft werden kann. Greifen z.B. Server aus dem Produktionsumfeld entgegen der Policy doch noch auf Komponenten aus einer Testumgebung zu? Sind zu segmentierende Netzbereiche tatsächlich getrennt, oder gibt es noch Kommunikation? Sie sehen sogar, ob Prozesse auf Ihren Servern Ports öffnen, die gar nicht mehr benötigt werden und daher unnötige Sicherheitslücken darstellen könnten. Und Sie sehen dies anhand von Realdaten, nicht anhand von Design-Beschreibungen. Auditoren werden Sie lieben!
A propos Sicherheit – im dritten Teil dieser Blog-Serie werden wir uns damit befassen, wie Sie das Wissen über Ihre realen Applikationsbeziehungen in Tetration Analytics direkt per Knopfdruck für die Zukunft als Security-Policy “festschreiben” können – über automatisches Ausrollen von Whitelist-Regeln. Stay tuned!
Wollen Sie mehr wissen?
Melden Sie sich noch heute an zu unserem kostenlosen Webinar oder finden Sie weitere Informationen über Cisco Tetration Analytics:
- Registrierung Webinar
- Cisco.Com: Cisco Tetration Analytics
- Video: Tetration Analytics Data Center Time Machine
- Tom Edsall’s Blog: Turn the lights on on the datacenter