Netzwerkautomatisierung beginnt mit einer Source of Truth

Was ist eine Quelle der Wahrheit?

Eine NSoT ist ein Repository mit Daten über das Netzwerk. Ein Netzwerkautomatisierungstechniker einer großen Universität beschrieb NSoT als eine Momentaufnahme des Betriebszustands des Netzwerks. Zum Beispiel könnte ein Netzwerk-Discovery-Tool aktuelle Konfigurationsdaten von jedem Netzwerk-Gerät abrufen und diese als Quelle der Wahrheit präsentieren. Netzwerkprofis könnten diese Daten mit den Zustands- und Leistungsdaten der Geräte sowie mit den von einem Netzwerk-Monitoring-Tool erfassten Verkehrsströmen kombinieren, um ein vollständiges Bild des Netzwerks zu erhalten.

Ein NSoT in der Netzwerkautomatisierung sollte alle Daten enthalten, die Netzwerkadministratoren benötigen, um Netzwerkänderungen zuverlässig durchführen zu können. Aber welche Art von Daten sind das?

"Darüber wird schon seit einiger Zeit debattiert", so der Automatisierungstechniker der Universität. „Wenn das Netzwerk so eingerichtet ist, wie es sein sollte, sollte die Quelle der Wahrheit das Netzwerk selbst sein. Wir arbeiten noch daran, wie wir dieses Problem am besten lösen können.

Beachten Sie den Vorbehalt in der Aussage des Technikers: „Wenn das Netzwerk so eingerichtet ist, wie es sein sollte.“

Woher weiß man, ob das Netzwerk so eingerichtet ist, wie es sein sollte? Viele Leute argumentieren, dass die Netzwerkabsicht (Network Intention) die wahre Quelle der Wahrheit für jedes Netzwerk ist. Netzwerk-Intent-Daten umfassen Konfigurationsstandards und nicht die Live-Konfiguration. Weitere Daten, die aus der Netzwerkabsicht abgeleitet werden, sind:

• Ein abstrakter Standard für das Netzwerkdesign.
• Anwendungsanforderungen.
• Sicherheitsrichtlinien.
• Informationen zum IP-Adressraum, einschließlich aktueller und verfügbarer Adressen für neue Geräte und Dienste.

Auf einer grundlegenden Ebene geht es bei der Netzwerkabsicht um Netzwerkstandards. Ohne Standards funktioniert die Automatisierung nicht.

„Die Standardisierung ist das größte Hindernis [bei der Netzwerkautomatisierung]“, so ein Netzwerktechniker bei einem Fortune-500-Einzelhändler. Der Techniker fügte hinzu, dass es zu Problemen im Netzwerk kommt, wenn das Netzwerk und die Daten nicht standardisiert sind. „Man kann nicht in großem Umfang automatisieren, weil man ohne Standardisierung gezwungen ist, ein Gerät nach dem anderen zu automatisieren.“

Unabhängig davon, ob sich ein NSoT aus dem Netzwerkzustand oder der Absicht ergibt, sollte die NSoT Bestandsdaten über alle physischen und logischen Geräte in einem Netzwerk enthalten. Anhand der Inventardaten lässt sich feststellen, welche Geräte für die Automatisierung infrage kommen.

Schaffung einer Quelle der Wahrheit

Die EMA betrachtet eine Wahrheitsquelle als eine vollständige Aufzeichnung der Absicht des Netzwerks. Eine Wahrheitsquelle bietet einen zusätzlichen Wert, wenn sie die Absicht des Netzwerks mit dem Zustand des Netzwerks vergleicht, um Diskrepanzen zu identifizieren. Dies hilft Netzwerktechnikern bei der Fehlerbehebung und der Einhaltung von Netzwerkstandards.

In Anbetracht der vielen Daten ist es selten, wenn nicht sogar unmöglich, dass ein einziges Tool alle Daten speichern kann. EMA bat die Teilnehmer der Studie, die Repositories zu beschreiben, in denen die Daten gespeichert sind, die sie als Quelle der Wahrheit für ihr Netzwerk betrachten. Nur 22 Prozent hielten sie in einer einzigen, zentralisierten Plattform. Weitere 62 Prozent beschrieben ihre Quelle der Wahrheit als mehrere Aufzeichnungssysteme, die direkt oder über ein zentrales föderiertes Tool integriert sind. Der verbleibende Prozentsatz der Befragten verfügte über mehrere isolierte System of Record (SOR). Das bedeutet, dass sie Daten manuell erfassen mussten, um ein vollständiges Bild der Realität im Netzwerk zu erhalten. Die letztgenannte Gruppe gab an, ein ineffektives NSoT zu haben.

„Egal wie sehr man sich anstrengt, man wird nicht ein einziges Tool haben, das all diese Informationen enthält“, sagte ein IT-Tool-Architekt eines Fortune-500-Medienunternehmens. „Man muss gut darin sein, Dinge von verschiedenen Stellen aus zu aggregieren und zu integrieren. Um Geräte zu automatisieren, müssen wir Daten von zehn verschiedenen Stellen abrufen“.

Da bei einem NSoT die Föderation die Norm ist, empfiehlt EMA ein zentrales Tool, das mit anderen Daten-Repositories integriert werden kann. Es ermöglicht die Verwaltung eines zentralen Speichers für bestimmte Datenklassen und die Abfrage anderer Systeme bei Bedarf.

Zum Beispiel kann ein Netzwerktechniker, der die Konfiguration einer Gruppe von Firewalls in einer Zweigstelle ändern muss, Gerätebestandsdaten, IP-Adressinformationen und Konfigurationsstandards aus dem zentralen Tool abrufen. Möglicherweise benötigt er aber auch die aktuellen Sicherheitsrichtlinien, die vom Cybersicherheitsteam definiert wurden. Das zentrale Tool fragt das Richtlinienverwaltungstool des Cybersecurityteams nach den relevanten Daten ab und stellt sie dem Techniker zur Verfügung, der nun über alle notwendigen Informationen verfügt, um eine Konfigurationsänderung vorzunehmen.

Die EMA-Forschungsarbeit hat die folgenden Best Practices für das Einrichten eines NSoT herausgearbeitet:

• Automatisieren Sie alle Arbeitsabläufe im Zusammenhang mit der Erfassung von Daten, die für die Durchführung einer Netzwerkänderung erforderlich sind.
• Entwerfen Sie ein NSoT zur Unterstützung eines Multivendor-Netzwerks.
• Integrieren Sie ein NSoT mit IT-Service-Management-, Sicherheitsüberwachungs- und DevOps-Automatisierungstools.
• Suchen Sie nach Netzwerk-Intent-Repositories, einschließlich Netzwerk-Discovery sowie Analyse und Berichterstattung über Absichts- und Zustandsänderungen in einem NSoT-Produkt.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.