by Philip Gervasi Februari 15, 2018
Netwerkautomatisering stopt niet nadat apparaten zijn ingericht en geïmplementeerd. Een programmatische benadering van netwerken heeft zeker waarde omdat het flexibiliteit biedt voor het inrichten van nieuwe apparaten en services, maar dat is nog maar het begin. NetOps-automatisering moet ook deel uitmaken van doorlopende workflows voor netwerkactiviteiten.
De manier waarop we omgaan met taken als monitoring, beheer van beveiligingsincidenten en netwerkprobleemoplossing is vaak inefficiënt, vervelend en gebeurt in het donker. Het automatiseren van routinetaken bespaart zeker tijd, maar er is niets routinematigs aan netwerkoperaties. Een netwerkstoring of inbreuk op de beveiliging is een ernstige zaak van urgentie voor IT en voor het bedrijf dat het bedient, en NetOps-automatisering biedt de flexibiliteit en het raamwerk om deze taken efficiënt uit te voeren.
Monitoren
Het kan moeilijk zijn om de aangepaste monitoring te krijgen die een technicus nodig heeft. Vaak komt dit omdat populaire tools voor netwerkbewaking alleen generieke informatie verzamelen en alleen zoeken naar symptomen van een probleem, zoals een hoog CPU-gebruik of een overbezette link. NetOps-automatisering lost dit probleem op verschillende manieren op.
Ten eerste moet netwerkbewaking ook proactief toezicht houden op onderliggende problemen, en vaak is dit in de vorm van configuratiefouten. Netwerkbewerkingen moeten in de eerste plaats weten dat het netwerk correct is geconfigureerd. Wijzigingen vinden vaak plaats en zelfs met het beste wijzigingsbeheer treden er nog steeds fouten op die leiden tot incidenten die hadden kunnen worden voorkomen. Netwerkbewerkingen hebben een vorm van wijzigingsgarantie nodig om de configuratie continu te bewaken met behulp van de enige bron van waarheid, het netwerk zelf.
Een netwerk waarop EIGRP wordt uitgevoerd met roterende sleutels voor authenticatie, heeft bijvoorbeeld een acceptatietijd en verzendlevensduur geconfigureerd tussen routers in het EIGRP-domein om te synchroniseren welke sleutels moeten worden gebruikt en wanneer. Als er een configuratiefout is die leidt tot niet-overeenkomende authenticatie of verlopen sleutels, kunnen routers aangrenzende verbindingen verliezen en de routering voor een organisatie onderbreken.
Dit voorbeeld beschrijft geen defecte router of een kapotte link. Het beschrijft een fout in de configuratie die heel gemakkelijk over het hoofd kan worden gezien door een engineer of een change management board. Proactieve en programmatische monitoring is niet afhankelijk van een goed stel ogen die in de ene na de andere router inloggen; in plaats daarvan automatiseert het het proces en biedt het zekerheid over configuratiewijzigingen die kunnen helpen onnodige incidenten te voorkomen.
Programmatische toegang tot de enkele bron van waarheid lost ook het monitoringprobleem op door een holistisch beeld van het netwerk te bieden dat verder gaat dan wat traditionele monitoringtools kunnen bieden.
Netwerkbewakingssoftware biedt bijvoorbeeld zelden laag 2-zichtbaarheid in het pad dat een toepassing door een netwerk volgt. NetOps-automatisering kan echter worden gebruikt om bij te houden welke poorten Spanning Tree doorsturen of blokkeren en die informatie zo presenteren dat een technicus zelfs laag 2-paden over een groot netwerk kan volgen.
Beheer van beveiligingsincidenten
Het probleem met infrastructuurbeveiliging is dat het veel tentakels heeft. Het raakt schakelaars, firewalls, routers, load balancers, servers, werkstations en alle applicaties die over de kabel lopen.
Maar vergeet niet dat NetOps-automatisering de middelen biedt voor een proactieve en programmatische benadering van operaties. Op deze manier kunnen operaties vertrouwen op geautomatiseerde processen de infrastructuur proactief bewaken op configuratiefouten zonder dat een technicus één voor één op een assortiment apparaten hoeft in te loggen. Zo kan een beveiligingsteam een mogelijk beveiligingsincident voorkomen voordat het zich voordoet.
Een netwerk waarop OSPF wordt uitgevoerd met MD5-authenticatie, is bijvoorbeeld een belangrijk onderdeel van het beveiligen van aangrenzende gebieden in een OSPF-routeringsdomein. Op Cisco-routers is het commando ip ospf authenticatie message-digest maakt MD5-authenticatie mogelijk, maar het moet worden opgevolgd met de opdracht ip ospf bericht-samenvatting-sleutel [sleutel] Om te kunnen werken. Een veelvoorkomende configuratiefout is het gebruik van de opdracht ip ospf-authenticatiesleutel [sleutel] die authenticatie in platte tekst mogelijk maakt en niets te maken heeft met MD5.
In dit voorbeeld is een OSPF-routeringsdomein waarvan een beveiligingsteam dacht dat het veilig was, in werkelijkheid volledig niet-geverifieerd en kwetsbaar voor kaping. Dit is een eenvoudige configuratiefout en kan eenvoudig worden vermeden met de juiste configuratiebewaking.
Maar zelfs met de juiste apparaatconfiguraties kunnen beveiligingsincidenten optreden. Het is van cruciaal belang dat een beveiligingsteam in staat is om het bloeden van een inbreuk zo snel mogelijk te stoppen.
Tijdens een inbreuk hebben beveiligingstechnici geen tijd om één voor één in te loggen op de CLI van elk apparaat, op zoek naar informatie. In dit geval biedt NetOps-automatisering een door gebeurtenissen geactiveerde programmatische benadering voor het verzamelen van informatie, de levensader van beveiligingsoperaties, op het moment van het incident en voordat technici beginnen met het oplossen van problemen. Op deze manier heeft een beveiligingsteam direct toegang tot informatie die eenvoudig kan worden gedeeld tussen teams.
Troubleshooting
Op dezelfde manier moeten ingenieurs van niveau 1, voordat ze zelfs maar een diagnose van een probleem kunnen stellen, rekening houden met een aanzienlijke hoeveelheid informatie, die op zich al veel tijd kan kosten om handmatig te verzamelen. NetOps-automatisering elimineert deze tijdverspilling en verkort daardoor de gemiddelde tijd tot oplossing van een incident. En als een technicus kortstondige gegevens nodig heeft die slechts voor een korte tijd op een apparaat staan, zal het erg moeilijk zijn om de belangrijkste gegevens te extraheren door handmatig op meerdere apparaten in te loggen.
Dit is bijvoorbeeld enorm krachtig in de handen van een netwerkingenieur het oplossen van periodieke problemen met de branchetoepassing van een wereldwijd bedrijf. Er zijn gewoon te veel technologieën om in een oogwenk te onderzoeken, en er zijn gewoon te veel apparaten om in te loggen.
NetBrain's programmatische aanpak
NetBrain's aanpak is om volledig te integreren met netwerkapparaten en andere tools om een ecosysteem van automatisering te creëren. NetBrain begint met kaarten maken van een netwerk en het verzamelen van apparaatinformatie van de apparaten zelf, de enige bron van waarheid voor een technicus.
Met deze informatie op apparaatniveau NetBrain creëert netwerkbaselines waarnaar teams en andere tools kunnen verwijzen. Maar onthoud dat NetBrain werkt programmatisch op apparaatniveau, wat betekent dat een netwerkengineer zich niet handmatig hoeft aan te melden bij de CLI van meerdere apparaten. In plaats daarvan kan een team workflows instellen in NetBrain om het netwerk te bewaken en automatisch reageren wanneer ze worden geactiveerd door een gebeurtenis.
Dit is hoe NetBrainDe API-geactiveerde diagnose-integratie met ServiceNow werkt bijvoorbeeld, en dit is machine-naar-machine-communicatie die dezelfde Day 0-flexibiliteit biedt voor Day 2-operaties.
NetOps-automatisering is veel meer dan het schrijven van scripts. Dit is geen utopie die zich een weg baant door de hype-cyclus; NetOps-automatisering lost huidige problemen op en verbetert meetbare processen voor toekomstige operaties.
Een programmatische benadering van Day 0 device provisioning heeft zeker waarde, maar dat is nog maar het begin. NetOps-automatisering moet ook deel uitmaken van doorlopende workflows voor netwerkactiviteiten om dezelfde flexibiliteit te bieden voor proactieve netwerkbewaking, beheer van beveiligingsincidenten en netwerkprobleemoplossing.