不論IT基礎架構如何改變,對資訊部門而言,平時維持正常運作的三大重點,不外乎:發現問題、分析根源、處置回復。若以資安的角度來看,不論是採用靜態特徵碼比對,或動態沙箱模擬,皆屬於發現問題的範疇,也是廠商們角力的主要戰場。
本土研發製造的業者N-Partner(新夥伴科技),則是從整合內網資訊進而分析根本原因切入市場,協助IT架構日漸複雜、維運預算卻是逐年縮減的資訊部門,得以更有效率地方式處置管理與資安問題。
自動學習為不同IT環境建立基準點
依N-Partner產品總監石謂龍在業界十?多年的經驗觀察,多數IT部門日常主要工作皆如同救火隊,內容相當繁雜,例如IT人員日常維運最棘手的工作,莫過於使用者反應網路連線速度過慢,或瞬間斷線又恢復的狀況常發生。欲徹底排除問題,勢必得仰賴分析機制來協助,才能突顯問題根源。
其實IT領域不乏訴求提高效率的管理工具,但大多仍舊無法真正提供對解決網路問題有用的資訊,協助IT人員最短時間內有效地回復正常運行。石謂龍認為,主要原因在於以往的技術供應商並不了解客戶的IT運作環境與工作流程,只是提供一套通用型的管理程序,試圖套用到所有企業,自然無法深入解析,找出可能的問題癥結。
|
▲圖兩岸三地製造業因中國分公司電腦中毒導致VPN斷線,N-Partner透過管理分析平台查看才發現事件根源。 |
「應該回歸到工具最初的設計理念與發展方向,從IT人員日常執行工作過程著手,也就是管理平台必須能夠自動學習IT環境中的正常行為與流量資訊,藉以建立基準點,而非由人力設置臨界值,畢竟企業IT環境各異,根本難以有統一配置標準可遵循,因此自動學習機制才是實務上協助維運的有效作法。」
跨技術領域執行資料的蒐集與分析
欲達到自動學習,必須要先有能力蒐集完整的資料,並且執行分析。而N-Partner早在四年前成立、產品技術研發初期,即是運用大數據平台,建立彙整Log、Flow、SNMP管理分析系統,石謂龍指出,當面臨網路問題時,IT人員即可直接進入處置階段。
|
▲N-Partner(新夥伴科技)產品總監石謂龍強調,要協助客戶解決問題,從一開始的蒐集資料就必須具備完整性,搭配自動學習與分析的能力,才得以在管理分析平台上突顯根本原因。 |
其實會導致IT運行發生故障的因素,通常為硬體損壞或同仁操作不當。硬體問題較為單純,請廠商測試即可;但若是人的問題,不當操作還有區分故意與非故意,例如執行大量下載影片行為或電腦中毒卻不自知。由於有太多因素可能影響IT正常運行,要徹底解決,勢必要找到根本原因。
「可惜在IT產業發展已久的網管軟體,仍無法實踐,因此常見的狀況是,為了提高維運效率而建置控管平台,之後又導入Log管理、流量分析機制來監看,反而徒然增添架構複雜度。」石謂龍說。
彙總網路中所有的資訊並建立分析機制,概念並不難,但為什麼這麼多年來都無法被實踐?他認為,「由於跨領域的技術門檻過高。唯有日誌與流量產出的資訊皆能掌握,才可找到問題癥結,截至目前為止仍未發現與N-Partner相似的技術方案。之所以沒有人做,是因為難度相當高,SNMP主要是針對設備狀態、Flow的概念是察覺正常或異常流量、日誌則是操作細節,如何彙整來自三種完全不同的資料格式,並且關聯成為單一事件,即是技術門檻。」
以前網管軟體仰賴SNMP標準協定來提升維運效率,確實不足以解決現代IT環境的問題,例如透過固定時間的輪詢(Polling)來取得狀態資料,若詢問前內網瞬間斷線又立即恢復,就無法從中得知,但若是搭配Syslog產出的資訊,即可補足盲點。然而問題是,即便是資源較多的國際大廠,擁有跨領域技術能力,卻不會積極發展網管工具,而是投入研發ERP、儲存設備等銷售金額利潤更高的產品線。石謂龍笑說,「於是才有N-Partner管理分析系統的發展空間。」
突顯問題來源 加快排除效率
以實際案例來看,石謂龍曾協助兩岸三地的製造業處理已連續三天、在固定時間斷線的VPN服務。對製造業的IT部門而言,廠房之間的VPN斷線可說非同小可,他提及,該客戶的VPN服務在半夜12點會自動停止服務直到凌晨2點,儘管IT部門不眠不休檢測,嘗試解決仍舊徒勞無功,於是第四天向N-Partner求助,在總部骨幹環境中建置N-Partner管理分析設備,才發現原來是中國分公司的內部網路有電腦中毒所導致。深入查看分析圖表,主要是中毒的電腦會不斷地發送小封包造成流量暴漲。
「在上萬台電腦的環境,勢必得透過監看並學習正常的流量與電腦操作行為,才得以判斷何謂異常。若只有Log分析,則無法了解底層網路流量內容;掌握SNMP、Flow資料,雖可解決大部分問題,但是卻不知發生的根本原因,因此唯有Log、SNMP、Flow彙整,才得以完整分析。」石謂龍強調。