Regresa

Automatización de NetOps con una infraestructura programable

NB autor by Felipe Gervasi 15 de febrero de 2018

La automatización de la red no se detiene una vez que se han aprovisionado e implementado los dispositivos. Un enfoque programático de las redes sin duda tiene valor, ya que proporciona agilidad para el aprovisionamiento de nuevos dispositivos y servicios, pero eso es solo el comienzo. La automatización de NetOps también debe ser parte de los flujos de trabajo de operaciones de red en curso.

La forma en que manejamos tareas como el monitoreo, la gestión de incidentes de seguridad y la resolución de problemas de red a menudo es ineficiente, tediosa y se realiza en la oscuridad. La automatización de tareas rutinarias sin duda ahorra tiempo, pero no hay nada rutinario en las operaciones de red. Una interrupción de la red o una violación de la seguridad es un asunto de gran urgencia para TI y para el negocio al que sirve, y la automatización de NetOps proporciona la agilidad y el marco para manejar estas tareas de manera eficiente.

Monitoring

Puede ser difícil obtener el monitoreo personalizado que necesita un ingeniero. A menudo se debe a que las herramientas populares de monitoreo de red solo recopilan información genérica y solo buscan síntomas de un problema, como una alta utilización de la CPU o un enlace con exceso de suscripción. La automatización de NetOps resuelve este problema de varias maneras.

En primer lugar, la supervisión de la red también debe controlar de forma proactiva los problemas subyacentes, que a menudo se presentan en forma de errores de configuración. Las operaciones de red deben saber que la red está configurada correctamente desde el principio. Los cambios ocurren con frecuencia e incluso con la mejor gestión de cambios, siguen ocurriendo errores que conducen a incidentes que podrían haberse evitado. Las operaciones de red necesitan algún tipo de garantía de cambios para supervisar continuamente la configuración utilizando la única fuente de información: la propia red.

 

EIGRP - Desajuste del valor K

Por ejemplo, una red que ejecuta EIGRP usando claves rotativas para la autenticación tendrá un tiempo de aceptación y una vida útil de envío configurados entre los enrutadores en el dominio EIGRP para sincronizar qué claves usar y cuándo. Si hay un error de configuración que genera una autenticación no coincidente o claves caducadas, los enrutadores podrían perder adyacencias y romper el enrutamiento de una organización.

Este ejemplo no describe un enrutador averiado o un enlace roto. Describe un error de configuración que un ingeniero o un comité de gestión de cambios pueden pasar por alto fácilmente. La supervisión proactiva y programática no depende de que un buen par de ojos inicie sesión en un enrutador tras otro; en cambio, automatiza el proceso y proporciona una garantía de cambio de configuración que puede ayudar a evitar incidentes innecesarios.

El acceso programático a la única fuente de verdad también resuelve el problema de monitoreo al proporcionar una visión holística de la red más allá de lo que pueden proporcionar las herramientas de monitoreo tradicionales.

Por ejemplo, rara vez el software de monitoreo de red proporciona visibilidad de capa 2 sobre la ruta que toma una aplicación a través de una red. Sin embargo, la automatización de NetOps se puede usar para rastrear qué puertos están en un estado de reenvío o bloqueo de árbol de expansión y presentar esa información de tal manera que un ingeniero pueda rastrear incluso rutas de capa 2 a través de una red grande.

Gestión de incidentes de seguridad

El problema con la seguridad de la infraestructura es que tiene muchos tentáculos. Toca conmutadores, firewalls, enrutadores, balanceadores de carga, servidores, estaciones de trabajo y todas las aplicaciones que se ejecutan a través del cable.

Pero recuerde que la automatización de NetOps proporciona los medios para un enfoque proactivo y programático de las operaciones. De esta manera, las operaciones pueden confiar en procesos automatizados para monitorear proactivamente la infraestructura en busca de errores de configuración sin necesidad de que un ingeniero inicie sesión en una variedad de dispositivos uno a la vez. En consecuencia, un equipo de seguridad puede prevenir un posible incidente de seguridad antes de que ocurra.

Ampliación OSPF

Por ejemplo, una red que ejecuta OSPF mediante la autenticación MD5 es una parte importante de la seguridad de las adyacencias en un dominio de enrutamiento OSPF. En los enrutadores Cisco, el comando resumen de mensaje de autenticación ip ospf habilita la autenticación MD5, pero debe seguirse con el comando ip ospf mensaje-resumen-clave [clave] para que funcione. Un error de configuración común es usar el comando clave de autenticación ip ospf [clave] que permite la autenticación de texto sin formato y no tiene nada que ver con MD5.

En este ejemplo, un dominio de enrutamiento OSPF que un equipo de seguridad pensó que era seguro en realidad no está autenticado y es vulnerable al secuestro. Este es un error de configuración simple y se puede evitar fácilmente con un control de configuración adecuado.

Pero incluso con las configuraciones correctas de los dispositivos, pueden ocurrir incidentes de seguridad. Es fundamental que un equipo de seguridad tenga la capacidad de detener el sangrado de una brecha lo más rápido posible.

Durante una infracción, los ingenieros de seguridad no tienen tiempo de iniciar sesión en la CLI de cada dispositivo de uno en uno, en busca de información. En este caso, la automatización de NetOps proporciona un enfoque programático activado por eventos para recopilar información, el alma de las operaciones de seguridad, en el momento del incidente y antes de que los ingenieros comiencen a solucionar el problema. De esta forma, un equipo de seguridad tiene acceso inmediato a información que se puede compartir fácilmente entre equipos.

Diagnóstico

Del mismo modo, antes de que los ingenieros de nivel 1 puedan siquiera comenzar a diagnosticar un problema, deben considerar una cantidad significativa de información que puede llevar mucho tiempo recopilar manualmente. La automatización de NetOps elimina esta pérdida de tiempo y, por lo tanto, reduce el tiempo medio de resolución de un incidente. Y si un ingeniero necesita datos efímeros que existen solo por un corto tiempo en un dispositivo, será muy difícil extraer los datos clave iniciando sesión en varios dispositivos manualmente.

Por ejemplo, esto es profundamente poderoso en manos de un ingeniero de redes. solución de problemas intermitentes con la aplicación de línea de negocio de una compañía global. Hay demasiadas tecnologías para investigar en cualquier momento y demasiados dispositivos para iniciar sesión.

Automatización de NetOps con una infraestructura programable

NetBrainEl enfoque programático de

NetBrainEl enfoque de es integrarse completamente con dispositivos de red y otras herramientas para crear un ecosistema de automatización. NetBrain empieza por creando mapas de una red y la recopilación de información de dispositivos de los propios dispositivos, la única fuente de verdad de un ingeniero.

Con esta información a nivel de dispositivo, NetBrain crea líneas de base de red a las que pueden referirse los equipos y otras herramientas. pero recuerda que NetBrain opera mediante programación a nivel de dispositivo, lo que significa que un ingeniero de red no tiene que iniciar sesión manualmente en la CLI de varios dispositivos. En su lugar, un equipo puede configurar flujos de trabajo en NetBrain para monitorear la red y reaccionar automáticamente cuando se activa por algún evento.

Esta es la forma NetBrainLa integración de diagnóstico activado por API con ServiceNow funciona, por ejemplo, y esta es una comunicación de máquina a máquina que proporciona la misma agilidad del día 0 a las operaciones del día 2.

La automatización de NetOps es mucho más que escribir guiones. Esto no es una quimera que se abre camino a través del ciclo de exageraciones; La automatización de NetOps resuelve problemas actuales y mejora considerablemente los procesos para operaciones futuras.

Un enfoque programático para el aprovisionamiento de dispositivos desde el día 0 ciertamente tiene valor, pero eso es solo el comienzo. La automatización de NetOps también debe ser parte de los flujos de trabajo continuos de las operaciones de la red para brindar la misma agilidad al monitoreo proactivo de la red, la gestión de incidentes de seguridad y la resolución de problemas de la red.

Relacionado: