IT-Infrastruktur Monitoring

Transkript

1

2 IT-Infrastruktur Monitoring...ein integraler Bestandteil eines umfassenden IT Security Konzepts Manfred Pichlbauer Consultant Bacher Systems

3 Agenda Gemeinsames Verständnis von Monitoring Warum Monitoring? Nutzen von Monitoring / Herausforderungen Welche Methoden / Arten gibt es? Aspekte der unterschiedlichen Methoden Praxisbeispiel

4 Gemeinsames Verständnis von Monitoring Infrastruktur: Das Erfassen von Betriebszuständen zur Aufrechterhaltung der Performance und Verfügbarkeit der IT Infrastruktur Security: Das Erfassen von Ereignissen und Aktivitäten zur Aufrechterhaltung der Sicherheitsziele und -regeln

5 Agenda Gemeinsames Verständnis von Monitoring Warum Monitoring Nutzen von Monitoring / Herausforderungen Welche Methoden / Arten gibt es? Aspekte der unterschiedlichen Methoden Praxisbeispiel

6 Warum Monitoring? Um für den Benutzer möglichst verfügbare, sichere und leistungsfähige IT-Dienste für Geschäftsprozesse zur Verfügung zu stellen. 99,99%

7 Warum Monitoring? - Rechtliche Vorgaben - ISO 27001/27002 Spezifiziert Anforderungen an ein Informationssicherheits Managementsystem (ISMS) Annex A.10 Communications and Operations Management Aufzeichnung von Benutzeraktivitäten & Securityevents Systemüberwachung für die Aufrechterhaltung der Verfügbarkeit Schutz der Integrität und Vertraulichkeit von Logdaten Administrator- und Fehlerprotokolle Zeitsynchronisation

8 Warum Monitoring? - Rechtliche Vorgaben PCI DSS v1.2.1 Gilt für Unternehmen, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln Anforderung Nachvollziehbarkeit der Administrationszugriffe Audit Trails zur Rekonstruktion für Zugriffe auf Kreditkarten Daten, root Aktionen o.ä.

9 Warum Monitoring? - Mögliche Vorkommnisse Telefonanruf 8:15 / Benutzer beschwert sich über lange Antwortzeiten der Applikation Alles ist langsam obwohl erst aufgestockt wurde Hunderte s im Posteingang von verschiedensten Applikationen Wurmbefall trotz Virenscanner Alle Komponenten laufen und die Anwendung funktioniert trotzdem nicht

10 Agenda Gemeinsames Verständnis von Monitoring Warum Monitoring? Nutzen von Monitoring / Herausforderungen Welche Methoden / Arten gibt es? Aspekte der unterschiedlichen Methoden Praxisbeispiel

11 Nutzen von Monitoring Aktives Handeln bevor der End-User ein Problem erkennt Brandvorbeugung statt Brandbekämpfung Trends / Auslastungen Beurteilen von Zuständen Capacity Planning Nicht schätzen, sondern messen Reporting Verfügbarkeit SLA s (Prüfung, Dokumentation)

12 Herausforderungen Was muss gemessen werden? Welche Tools setze ich ein? Einbinden von Bordmitteln Bestehende Management Systeme Wie messe ich welchen Zustand/Wert?

13 Aktive Messung vs. Passive Messung Aktive Messung Passive Messung Monitoring System Anfrage Wert Device Monitoring System Wert Device z.b.: Zustände von Services Messungen von Dateisystemen z.b.: Backup / Archivierungs Jobs Unregelmäßige Tasks SNMP Query SNMP Traps

14 Agenda Gemeinsames Verständnis von Monitoring Warum Monitoring? Nutzen von Monitoring / Herausforderungen Welche Methoden / Arten gibt es? Aspekte der unterschiedlichen Methoden Praxisbeispiel

15 SLA Monitoring Welche Arten von Monitoring gibt es? Security Information und Event Management Logmanagement End-to-End Monitoring Business Process Monitoring Performance Monitoring IT Service Monitoring Komponenten Monitoring

16 Komponenten Monitoring Messen von Zuständen: Ping SNMP WMI (Windows) Selbsterstellte Hilfsmittel (Scripts) Ergebnis: Indikator für Ausfall von Servern (Hardware oder Software) Indikator für Ausfall von Netzwerksegmenten

17 Performance Monitoring Meist mit dem Komponentenmonitoring verknüpft Messen des Zustands + Messwert (IOPS, Errorcounter) Baselining als wichtige Voraussetzung (Normalzustände definieren) Ergebnis: Trends Verhaltensmuster

18 IT - Service Monitoring Services, die aus mehreren Komponenten bestehen, werden zu einer logischen Einheit verknüpft. Ergebnis: Ausfälle und deren Auswirkungen werden zeitnah erkannt

19 Business Process Monitoring IT Services werden miteinander verknüpft Zusätzliche Logik für die Verknüpfung von IT-Services zu Teilprozessen und Geschäftsprozesse: UND ODER X aus Y Ergebnis: Wissen bzw. Kenntnisse über Funktion der Teilprozesse oder Gesamtprozesse

20 Business Process Monitoring das Schema

21 Business Process Monitoring ein Beispiel

22 End to End Monitoring Messen eines IT Services aus Sicht des Benutzers Performance Monitoring vorausgesetzt Ergebnis: Latenzen vom Service bis zum Benutzer

23 Service Level Agreement (SLA) - Monitoring Gemessene Werte oder Zustände gegen einen vertraglich zugesagten Wert prüfen Ergebnis: SLAs messbar und dokumentierbar

24 Weiterverarbeitung von Monitoringdaten Welche Arten der Datenerfassung gibt es? IT Infrastruktur Protokollieren und Auswerten von Betriebszuständen IT Security Protokollieren und Auswerten von Log- und Eventdaten

25 Weiterverarbeitung von Monitoringdaten Monitoring Server Router & Switches Logdaten Firewalls Normalisierung Logdatenmanagement SIEM Reporting und Alamierung Korrelation

26 SIEM - Security Information und Event Management SIM: Reporting historischer Daten und Forensik SEM: Echtzeit Analyse von Ereignissen schnellere Reaktion bei Incidents Umfassender Blick auf Logs und Events Korrelation von Logdaten Abgleich auf Basis von Ereignismustern

27 SIEM Beispiel User: leo Internet VPN User: leo IP: x.x.x.x Zentrale

28 Agenda Gemeinsames Verständnis von Monitoring Warum Monitoring? Nutzen von Monitoring / Herausforderungen Welche Methoden / Arten gibt es? Aspekte der unterschiedlichen Methoden Praxisbeispiel

29 SLA Monitoring Aspekte der unterschiedlichen Methoden Security Information und Event Management Logmanagement End-to-End Monitoring Business Process Monitoring Performance Monitoring IT Service Monitoring Komponenten Monitoring

30 Unterscheidung der Ereignisse Vorhersage eines möglichen Ereignisses Zeit vor Ereignis Ereignis Rechtzeitige Erkennung der Ursache Erkennen und Beheben des Fehlers

31 Unterscheidung der Ereignisse Vorhersehbar Unvorhersehbar Dateisystem Auslastung CPU / Memory Auslastung Antwortzeiten Errorcounters Hardwaredefekte Wurmattacken Hackerangriffe Stromausfälle Vorbereitung von Attacken Fingerprinting Port Scans

32 Vorhersehbare Ereignisse Wodurch erkennt man vorhersehbare Ereignisse: Performance Monitoring End-to-End Monitoring SLA Monitoring SIEM

33 Unvorhersehbare Incidents Empfohlen SIEM Business-Process Monitoring Möglich Komponentenmonitoring Performance Monitoring End-to-End Monitoring SLA Monitoring

34 Mögliche Vorkommnisse ohne und mit Monitoring Telefonanruf 8:15 / Benutzer beschwert sich über lange Antwortzeiten der Applikation Telefonanruf 7:45 / Administrator ist bereits über die Performanceprobleme informiert/ 8:00 Problem gelöst

35 Mögliche Vorkommnisse ohne und mit Monitoring Alles ist langsam, obwohl erst aufgestockt wurde Sie haben Ihr Geld dort ausgegeben, wo der wirkliche Engpass entstanden ist

36 Mögliche Vorkommnisse ohne und mit Monitoring Hunderte s im Posteingang von verschiedensten Applikationen Statt 100 Mails informieren sie sich über ein Ampelsystem über den Gesamtzustand ihres Systems

37 Mögliche Vorkommnisse ohne und mit Monitoring Wurmbefall trotz Virenscanner Ihr SIEM System hat rechtzeitig einen Wurmbefall erkannt

38 Mögliche Vorkommnisse ohne und mit Monitoring Alle Komponenten laufen, und die Anwendung funktioniert trotzdem nicht Alle Systeme funktionieren nur ihr Computer hat keine Netzwerkverbindung

39 Agenda Gemeinsames Verständnis von Monitoring Warum Monitoring? Nutzen von Monitoring / Herausforderungen Welche Methoden / Arten gibt es? Aspekte der unterschiedlichen Methoden Praxisbeispiel

40 Beispiele aus der Praxis Medienkonzern Ausgangssituation Verarbeitung von Medienrohdaten zu fertigen Produkten Viele Services, die aus einer Vielzahl historisch gewachsener Komponenten bestehen Unterschiedlichste Software und eigens geschriebene Applikationen BlackBox vom Input bis zum Output der Medien Elektronische Verarbeitung ist zeitkritisch

41 Beispiele aus der Praxis Auswirkungen Strategische Weiterentwicklungen müssen wegen zu erfüllender (Überwachungs-) Routineaufgaben zurückgestellt werden BlackBox ist zu langsam für den Prozess, warum? SLAs, Lieferzusagen können nicht eingehalten werden Pönale

42 Beispiele aus der Praxis Lösung Maßgeschneiderte Monitoring Lösung mit IT Cockpit: Abbilden des gesamten Verarbeitungsprozesses auf Monitoringplattform Individuelle Prüfabfragen für detaillierte Messwerte Performance-, IT Service-, Business Process- und SLA Monitoring

43 Screenshot Content Arrival Pre Upload, Asset Upload, XML Import Matching, Processing Workflow Performancedaten svrdb01 Virtuelle IPs Farm Status Health Checks svrdb012 Virtuelle IPs Farm Status Health Checks /IDJFTP /RNSTORE /IDJ /_input svrftp01 /idjftp Mount FTP svrftp02 /idjftp Mount FTP common /idjftp Mount /AOMA_input Mount CFTP Prozesse idj_ftp_cleanup.ksh idj_ftp_copy2simx.ksh /idjsimx Mount (/rnstore) ing /ij Mount /input Mount Upload Daemon archive /ij Mount /input Mount Move Script db XML Interface Matching Open Uploads Upload Errors Open XML XML in Process XML Errors DBProc Procs Open Matching Open Ingestion

44 Danke für Ihre Aufmerksamkeit! Manfred Pichlbauer, Consultant / IT-Infrastruktur Bacher Systems EDV GmbH MPichlbauer@bacher.at web:

45 Sichere IT-Infrastruktur ist ein ständiger Prozess dafür möchten wir Ihr Partner sein.