Minne matka, älykäs verkko?

Lukuaika 3 min

Termiä ”älykäs verkko” käytetään nykyään hyvin vapaamuotoisesti. Älykkyyttä voi olla uusien laitteiden käyttöönotto kytke ja käytä -tyyppisesti, päivitysten automaattinen jakelu ja asennus tai vaikkapa erilaisten analyysien tekeminen. Valmistajat markkinoivat älykkyyttä omilla termeillään – olkoon se aiepohjaisuutta, tekoälyn ohjaamaa, tekoälyoperaatioita tai koneoppimista. Älykkyyttä on tietoliikenneympäristöihin tullut lisää, ja vauhti vain kiihtyy, mikäli on uskominen markkinatutkija Gartnerin ennusteita.

Vaikka älykkyys onkin kokonaisvaltainen ilmiö, halusin poimia kolme osa-aluetta, joissa näen merkittävää kehitystä lähiaikoina. Bonuksena kerron yhden valmistajan strategiasta.

1. Arkkitehtuuri tarpeen mukaan

Tietoliikenneverkkojen arkkitehtuuri muuttuu kahden samansuuntaisen trendin seurauksena. Toinen niistä on jo vuosia käynnissä ollut pilveistäminen ja toinen työnteon riippumattomuus ajasta ja paikasta. Pilveistämisellä tarkoitetaan käytettävien sovellusten siirtymistä yhä useammin oman organisaation ulkopuolella olevalta alustalta ajettaviksi. Toki pitkään toimineella organisaatiolla voi olla omistakin konesaleista ajettavia sovelluksia, mutta usein kaikki uudet ja helposti siirtyvät vanhatkin sovellukset viedään pilveen.

Aika- ja paikkariippumaton työ on arkipäivää erityisesti tieto- ja asiantuntijatyössä, viimeistään nyt pandemian vauhdittamana. Itse uskon työn rajattomuuteen jatkossa. Ei ole väliä, mistä ja milloin teet työsi, kunhan teet ne parhaalla mahdollisella tavalla. Työpisteeksi voi muodostua koti, mökki, yhteistyökumppanin neukkari tai viihtyisä kahvila.

Kumpikin trendeistä tarkoittaa liikenteen valumista ulos perinteisten yritysverkkojen maailmasta ja näin myös perinteisestä kontrollista. Käyttäjien liikenne kohdistuu pilveen, ei oman konesalin palvelinresursseihin. Mikäli liikennettä ei kierrätetä kontrollien kautta esimerkiksi pakko-VPN:llä, ei ylläpitäjällä ole mitään tietoa, kuka käyttää, mitä käyttää ja mitä tekee. VPN-yhteyden haasteena taas on se vaatimat resurssit sekä rahallisella että operatiivisella puolella.

Arkkitehtuurin näkökulmasta uusi malli vaatii pohdintaa, kuinka huolehditaan etäkäyttäjien tietoturvasta ja kontrollista. Vahva ehdokas ratkaisuksi on tämän vuoden myyntihitiksi muodostuva SASE (Secure Access Service Edge), jonka ideana on tarjota käyttäjille yhteys tietoturvakontrollit sisältävään pilveen. SASE-pilviä on Suomessakin jo useita tarjolla. SASE-muutos voi koskettaa organisaation tietoliikennearkkitehtuuria myös yleisellä tasolla: sen sijaan, että sivukonttoreiden liikenne kierrätettäisiin ”pääkonttorin” kautta maailmalle, voidaan ne kytkeä osaksi SASE-pilveä. SASE-teknologioiden kehittyminen ja käyttöönotto tulee olemaan mielenkiintoista seurattavaa tämän vuoden aikana.

2. Monin tavoin pilviin

Toinen mielenkiintoinen osa-alue on pilviyhteydet. Tarkoitan tällä organisaatioiden yhteyksiä SaaS-, IaaS- tai PaaS-pilviin. Näihin pilviin yhteydet kulkevat internetin kautta tai internetin kautta kulkevalla päätoimipisteen ja pilven välisellä VPN-yhteydellä – tai operaattoriverkon kautta kullekin pilvelle tyypillisellä suoralla yhteydellä. Kaikki tavat ovat aivan toimivia, mutta maailma muuttuu myös näiden suhteen.

Edellä esittelemäni SASE on vahvasti tulossa myös pilviyhteyksien toteutustavaksi. Taustalla on SASE-pilven yhteydet muuhun maailmaan. Toteutusvaihtoehtoja on kaksi. Ensimmäisessä SASE-pilveä ajetaan julkisen pilvipalvelun päällä ja kyseisen palvelun verkkoa hyödynnetään myös muun tietoliikenteen osalta. Toisessa SASE-ympäristö pohjautuu valmistajan omiin konesaleihin.

Kuten aiemmin mainitsin, myös sivukonttorit voidaan kytkeä osaksi SASE-pilveä. Se on järkevintä toteuttaa SD-WAN-ratkaisun kautta: toimipisteisiin tuodaan yksi tai useampi SD-WAN-päätelaite ja yhdistetään ne ohjelmisto-ohjauksen kautta SASE-pilveen. Helppoa ja nopeaa!

3. Luottamus on tietoturvaa

Kolmas merkittävä ja kehittyvä älykkään verkon osa-alue on nollaluottamus, ZTNA (Zero Trust Network Access). Nollaluottamus tarkoittaa tilannetta, jossa organisaatio suojaa tietotekniset resurssinsa tarkalla käyttäjäsegmentoinnilla ja niihin liittyvillä käyttöoikeuksilla.

Perinteisissä verkoissa nollaluottamus toteutetaan tunnistamalla käyttäjä aina kun hän tulee verkkoon ja tunnistamisen jälkeen käyttäjä sijoitetaan sopivaan käyttäjäryhmään. Ryhmälle annetaan oikeuksia päästä käyttämään esimerkiksi jotain verkossa sijaitsevaa resurssia, kuten tiedostopalvelinta ja lisäksi kaikki käyttäjän toiminta verkossa tallennetaan. Perinteisissä verkoissa nollaluottamus vaatii ainakin lähiverkkojen ja etäyhteyksien osalta sitä tukevan toteutuksen. Ihanteellista on, mikäli voidaan hyödyntää samoja mekanismeja ja taustapalvelimia, mutta aina tämä ei ole mahdollista. Tällöin voidaan joutua suhteellisen vaikeastikin ylläpidettävään kokonaisuuteen, missä käyttäjien tietoja säilytetään monessa eri paikassa. Tämä voi aiheuttaa haasteita tietojen operointiin, ylläpitoon ja käyttämiseen.

Älykkyydestä paras hyöty irti yhdellä valmistajalla

Lopuksi käyn läpi bonusaihettani. Perinteisessä tietoliikenneverkkojen ajattelussa koetaan, että jättäytyminen vain yhden valmistajan teknologian varaan on vaarallista. Pelätään, että valmistaja saa liikaa hinnoitteluvoimaa ja nostaa tuotteiden hintaa tai että valmistaja poistuu markkinoilta.

Moderneissa arkkitehtuureissa on kuitenkin tärkeää häivyttää näitä pelkoja ja suunnata kohti yhden valmistajan ratkaisuja, sillä verkoissa ollaan menossa kohti ohjelmisto-ohjautuvuutta ja kukin valmistaja tukee pääasiassa vain omia laitteitaan ja ratkaisujaan.

Esimerkkinä voi käyttää SASEa, joka koostuu kahdesta osa-alueesta: verkosta ja tietoturvasta. Verkkoon liittyvät ominaisuudet saadaan parhaiten hoidettua SD-WAN-toteutuksella ja tietoturva taas pilvessä pyörivällä kokonaisuudella. Jos SASE-pilveen halutaan yhdistää etätoimipisteet, vaihtoehtona on käyttää SASE-pilvitoimijan omaa ratkaisua, jolloin toiminta on automaattista, tai kolmannen osapuolen ratkaisua, jolloin toiminta on manuaalista. Toimipisteiden määrän ollessa suuri manuaalisen tekemisen määrä kasvaa myös kohtuuttoman suureksi, jolloin ratkaisussa ei ole järkeä.

Sama valmistajariippuvuus tulee esille myös lähiverkoissa. Vielä joitakin vuosia sitten oli tavallista, että kiinteää ja langatonta lähiverkkoa käsiteltiin erillisinä kokonaisuuksinaan. Siten näiden toteutuksiin valittiin kaksi eri laitevalmistajaa ja pahimmillaan myös kaksi erillistä palveluntarjoajaa. Moderneissa lähiverkoissa kiinteä ja langaton lähiverkko muodostavat toisiinsa vahvasti integroituneen kokonaisuuden, jonka auki repiminen heikentää operointikykyä ja näkyvyyttä heikentäen myös käyttökokemusta. Suosittelenkin, että lähiverkkojen uusinta tehdään aina yhden valmistajan tuotteilla ja työkaluilla. Näin saadaan älykkyydestä paras mahdollinen hyöty irti.

Kirjoittanut

Aki Anttila työskentelee Elisa Santa Monicalla infrastruktuurievankelistana.