Die Überwachung der Netzwerk- und Anwendungsleistung ist entscheidend, damit die IT-Prozesse im Unternehmen reibungslos laufen – dies gilt sowohl für das Monitoring des internen und externen Netzwerks als auch in der Cloud. Netzpalaver sprach mit Matthias Lichtenegger, Country Manager bei LiveAction, über die Notwendigkeit einer End-to-End-Sichtbarkeit, um Performance-Probleme, Fehlkonfigurationen oder Security-Bedrohungen schnellstens in LAN, WAN- und Cloud-Umgebungen zu erkennen, um entsprechende Maßnahmen einzuleiten.
Netzpalaver: Warum ist eine Observability für die Netzwerk-Resilienz entscheidend?
Matthias Lichtenegger: Observability ist das finale Modul, entscheidend für eine Netzwerk-Resilienz sind jedoch drei Bausteine: Die Telemetrie-Daten selbst, das Monitoring derer und dann die relevanten Schlussfolgerungen daraus. Einfach gesagt, man sollte erstmal über die prinzipielle Möglichkeit verfügen, Metriken einzusammeln. Dann müssen Sie diese in einen Kontext bringen, was wiederum in eine Entscheidung über die weitere Vorgehensweise mündet. Diese Entscheidungen basieren auf Erkenntnisse, die sich hinter dem neudeutschen Terminus „Observability“ verstecken. Gut designte Netzwerk-Architekturen können in der Regel wenige oder sporadisch auftretende Fehler lange unbemerkt wegstecken. Entscheidend für die Netzwerk-Resilienz ist, dass Probleme immer sofort identifiziert und gelöst werden und sich nicht mehrere „Layer“ oder Wechselwirkungen von Störungen bilden. Wenn dies mit Hilfe von maschineller Intelligenz geschieht, umso besser.
Netzpalaver: Was fällt bei LiveAction alles unter den Terminus Observability?
Matthias Lichtenegger: Unsere Livewire-Probes verfügen über eine Analyse über die OSI-Layer 2 bis 7, sowohl für TCP- als auch UDP-basierende Applikationen, welche sehr umfangreiche Expertisen und Entscheidungshilfen für den operativen Netzwerkbetrieb geben. Darüber hinaus fällt unsere komplette Network-Detection-und-Response-Plattform „ThreadEye“ mit ihren Machine-Learning- und Artificial-Intelligence-Algorithmen unter diese Rubrik.
Netzpalaver: Was sind dabei die USP der LiveAction-Monitoring-Produkte?
Matthias Lichtenegger: Die Monitoring-Plattform „LiveNX“ nutzt das umfassendste Spektrum an Netzwerk-Telemetrie-Daten: SNMP, Netflow, Pakete und via API in andere Systeme vielfältige Formen von Third-Party-Metriken. Diese werden in einer der intuitivsten Anwender-Schnittstelle auf dem Markt aufbereitet, durch die bereits erwähnten Analysen ergänzt und in den entsprechenden Kontext gebracht. Das wiederum ermöglicht schnellstmögliche Entscheidungshilfen für die weitere Vorgehensweise. Unabhängig davon, was die tatsächliche Ursache eines Performance-Problem war – LiveAction-Produkte identifizieren diese. So haben Unternehmen ihr eigenes Netzwerk zu 100 Prozent im Griff.
Hinsichtlich der Netzwerk-Sicherheit wird es eine immer größere Herausforderung, Bedrohungen und Angriffe in verschlüsselten Verkehr zu identifizieren. Aktuell wird meist versucht, Https- bzw. TLS/SSL-Verkehr zu entschlüsseln, zu überprüfen und dann erst weiter zu schicken. Da dies praktisch nur in Hardware funktioniert, kostet es unheimlich viel Ressourcen, ist aufgrund des erforderlichen Schlüssel-Managements für die Verantwortlichen in der Regel ein Albtraum (d.h. funktioniert in der Praxis nur zu einem Bruchteil) und letztendlich aufgrund der DSGVO auch nicht immer erlaubt.
Unsere Network-Detection-und-Response-Plattform „ThreadEye NV“ analysiert die Eigenschaften der Ethernet-Pakete und deren Verhalten, ohne in den Inhalt schauen zu müssen. Bei LiveAction heißt dies Deep-Packet-Dynamics. Man kann es auch Crypto-Analysis nennen. Auf deutsch: Wir weisen auf Bedrohungen in verschlüsseltem Verkehr hin. Klingt spannend, oder?
Netzpalaver: Die Mean-Time to Repair will LiveAction um bis zu 90 Prozent reduzieren. Wie funktioniert das?
Matthias Lichtenegger: Tritt ein Performance-Problem in der IT auf, beansprucht die Suche nach dem Fehler, bzw. den Verantwortlichen in der Regel die meiste Zeit (Aufbau Tools/Fehler Replikation/Analyse/Diskussion). Ist das Problem aber eingekreist und identifiziert, ist es meist auch schnell gelöst. Die Flow-Path-Analyse von „LiveNX“ zeigt mir sofort das Gerät oder die Probe auf, welche einen Fehler meldet. Dann ermöglicht „LiveNX“ unter anderem, mit wenigen Klicks von einem zentralen GUI die Verhältnisse auf jedem einzelnen Netzwerk-Interface einzusehen, wenn die Datenquelle SNMP- oder Flow- (IP FIX, Netflow, etc.) basierend ist. Oder, wenn die Information von den paketbasierten Livewire-Probes kommt, lässt sich mit der gleichen GUI jeder einzelne Flow bis auf Paketebene analysieren. Da das Anwender-Interface von „LiveNX“ intuitiv und einfach zu erlernen ist, steckt man nach sehr kurzer Zeit sehr tief in der Thematik, sprich in seinem eigenen Netzwerk. So lassen sich die komplexesten Probleme in wenigen Minuten einwandfrei identifizieren. Das geht im Bereich Netzwerk-Performance-Monitoring mit keinem anderen Werkzeug so einfach und schnell.
Netzpalaver: Neben dem Netzwerkmanagement, Monitoring und Troubleshooting sollen sich mit LiveAction auch Sicherheitsprobleme in den Griff kriegen lassen. Wie?
Matthias Lichtenegger: Wir geben Hinweise auf Bedrohungen durch Analyse von verschlüsselten Netzwerkverkehr mit Maschine-Learning und künstlicher Intelligenz. Agnostisch zu dem Inhalt der Datenpakete lernt unsere „ThreadEye-NV-Technologie“ das Netzwerkverhalten und berechnet unter Berücksichtigung von Charakteristika wie Round-Trip & Connection-Setup-Time, Jitter, Resets, Retransmissions, Producer/Consumer-Ration, Crypto-Charakteristika und natürlich vielen weiteren Parametern, die Wahrscheinlichkeit von bösen Absichten in einer IP-Kommunikation. Dies kann noch mit industriespezifischer Sicherheitsintelligenz von weiteren Anbietern kombiniert werden und geschieht in Echtzeit mittels Streaming-Analysis in einer hochskalierenden Architektur. Zuletzt wird durch ein nicht ganz triviales Event-Processing das Sicherheitsrisiko für jegliche IP-Kommunikation berechnet und das Auftreten aufwendiger False-Positives minimiert. Phishing-Attacken, schädliche Inhalte jeglicher Art, Daten-Exfiltration, etc. kann so auch in verschlüsseltem Netzwerk-Verkehr ohne vorherige Entschlüsselung verlässlich identifiziert und anschließend Einhalt geboten werden.
Netzpalaver: Um die Netzwerkgesundheit und Performance in LAN, WAN und der Cloud ganzheitlich zu überwachen, lässt sich die LiveAction-Plattform via API mit Dritthersteller-Informationen anreichern. Was kann LiveAction selber und was wären sinnvolle bzw. die am häufigsten genutzten Ergänzungen?
Matthias Lichtenegger: Wir können immer unsere auf Deep-Packet-Inspection-basierenden Livewire-Probes installieren und über die OSI-Layer 2 bis 7 Performance-Metriken berechnen – im LAN, im Übergang zum WAN und auch in der Cloud, respektive jeglichen virtuellen Welten. Für WAN-Monitoring lesen wir beispielsweise die Werte der Router via SNMP und Netflow aus. Ist es ein Cisco-SD-WAN, macht es Sinn, Performance-Metriken, Inventarisierung, etc. via dem BFD-Protokoll aus „vManage“ auszulesen und mit den direkt von den Routern gewonnenen Statistiken zu korrelieren. In der Cloud kann „LiveNX“ die Logs der einzelnen Anbieter auslesen, dann verfügt man zumindest über Layer-3-Informationen. Weitergehend könnten bestimmte Events automatisch Tickets in Ticketsystemen wie Servicenow aufmachen. Informationen von Systemen anderer Hersteller machen Sinn, wenn diese gehaltvoll sind. Man muss dies aber auch nicht überbewerten – mit SNMP, Netflow und Paketen erhält man einen in den allermeisten Fällen ausreichenden Einblick.
Netzpalaver: Welche Unternehmen in welcher Größenordnung profitieren am meisten von der LiveAction-Plattform?
Matthias Lichtenegger: Alle Netzwerke jeglicher Art. Von einer bis über 100.000 zu überwachenden Netzwerk Komponenten. Bei letzterem sprechen wir dann aktuell beispielsweise von Router-Monitoring im Provider-Umfeld. Wir haben aber auch Kunden, die haben nur 20 Router im Monitoring. Es macht auch schon Sinn, mit „LiveNX“ ein entscheidendes Gerät zu überwachen.
Netzpalaver: Wie bildet LiveAction ein stringentes LAN/WAN/Cloud-Monitoring ab?
Matthias Lichtenegger: Erstmal: Unsere Lösungen sind komplett passiv und monitoren Netze im Hoheitsbereich des Kunden. Insofern bezieht sich Cloud-Monitoring bei uns auf IaaS- und PaaS-Umgebungen, oder auch komplett eigene Clouds von Organisationen, die das aufgrund ihrer Größe oder sehr strenger Sicherheitsstandards selber machen, z.B. Behörden. Unsere Monitoring-Plattform „LiveNX“ offeriert hier drei prinzipielle Arten zur Informationsgewinnung. Wir können die Logs von AWS oder Azure auslesen und erhalten so im Layer-3 Informationen über die Verbindungsdaten. Als nächstes kann man unsere Livewire-Technologie in jegliche virtuelle Welt installieren und den einzelnen Probes eine Kopie des Netzwerkverkehrs via TAPs, Packet-Broker oder einfaches Spiegeln zuführen. Damit erhält man sehr detaillierte Informationen über die OSI-Layer 2 bis 7 – detaillierter als den Cloud-Providern manchmal angenehm ist. Zu guter Letzt bieten wir eine sehr kostengünstige und einfache Variante: Falls in der Cloud SNMP/Flow-fähige virtuelle Gateways, Router oder Firewalls installiert sind, können wir diese in das Monitoring mit aufnehmen und die Cloud als ganz normale Erweiterung des traditionellen Netzwerkes darstellen. Eine stringente LAN/WAN/Cloud-Monitoring-Architektur in unserem Sinne hat in den Rechenzentren, an relevanten Internet-Breakouts und auch in der Cloud Livewire-Probes installiert. Somit kann praktisch immer sofort jeglicher Grund für ein Performance-Problem, angefangen von Paketverlust (wo tritt dieser auf?) bis hin zu Applikationsproblemen identifiziert werden. Kombiniert man diese Technologien noch mit SNMP/Netflow-Metriken aller dazu fähigen Geräte und eventuell den Logs der Cloud-Provider, wird eine voll umfassende Einsicht Realität.
Netzpalaver: Wie lässt sich die LiveAction-Plattform einsetzen – Onpremises, als Cloud-Dienst oder gibt es auch Professional-Services?
Matthias Lichtenegger: Wir haben mehrere Plattformen: „LiveNX“ ist das Enterprise-Produkt und kann Onpremises, als Cloud-Dienst oder via Partner als Professional-Services, z.B. im SD-WAN als Managed-Service genutzt werden. „LiveNX“ skaliert aktuell bis etwa 20.000 Geräte oder 7 Millionen Flows pro Sekunde. „LiveSP“ ist die Variante für Provider, aktuell ausschließlich für Router, multi-tennant-fähig und skaliert bis über 100.000 Geräte. „LiveSP“ kann auch in jeglicher gewünschten Art eingesetzt werden.
Die Sicherheitslösung „ThreadEye NV“ ist aktuell noch ausschließlich Cloud-basiert. Hier müssen dynamisch, variable Arbeitslasten bereitgestellt werden, was in der Cloud am besten skaliert. Ein Onpremises-Ansatz ist zwar rein technisch möglich, aber aktuell noch sehr schwierig umzusetzen.