IT-Infrastruktur Monitoring...ein integraler Bestandteil eines umfassenden IT Security Konzepts Manfred Pichlbauer Consultant Bacher Systems
Agenda Gemeinsames Verständnis von Monitoring Warum Monitoring? Nutzen von Monitoring / Herausforderungen Welche Methoden / Arten gibt es? Aspekte der unterschiedlichen Methoden Praxisbeispiel
Gemeinsames Verständnis von Monitoring Infrastruktur: Das Erfassen von Betriebszuständen zur Aufrechterhaltung der Performance und Verfügbarkeit der IT Infrastruktur Security: Das Erfassen von Ereignissen und Aktivitäten zur Aufrechterhaltung der Sicherheitsziele und -regeln
Agenda Gemeinsames Verständnis von Monitoring Warum Monitoring Nutzen von Monitoring / Herausforderungen Welche Methoden / Arten gibt es? Aspekte der unterschiedlichen Methoden Praxisbeispiel
Warum Monitoring? Um für den Benutzer möglichst verfügbare, sichere und leistungsfähige IT-Dienste für Geschäftsprozesse zur Verfügung zu stellen. 99,99%
Warum Monitoring? - Rechtliche Vorgaben - ISO 27001/27002 Spezifiziert Anforderungen an ein Informationssicherheits Managementsystem (ISMS) Annex A.10 Communications and Operations Management Aufzeichnung von Benutzeraktivitäten & Securityevents Systemüberwachung für die Aufrechterhaltung der Verfügbarkeit Schutz der Integrität und Vertraulichkeit von Logdaten Administrator- und Fehlerprotokolle Zeitsynchronisation
Warum Monitoring? - Rechtliche Vorgaben PCI DSS v1.2.1 Gilt für Unternehmen, die Kreditkarten-Transaktionen speichern, übermitteln, oder abwickeln Anforderung 10 10.1 Nachvollziehbarkeit der Administrationszugriffe 10.2 - Audit Trails zur Rekonstruktion für Zugriffe auf Kreditkarten Daten, root Aktionen o.ä.
Warum Monitoring? - Mögliche Vorkommnisse Telefonanruf 8:15 / Benutzer beschwert sich über lange Antwortzeiten der Applikation Alles ist langsam obwohl erst aufgestockt wurde Hunderte Emails im Posteingang von verschiedensten Applikationen Wurmbefall trotz Virenscanner Alle Komponenten laufen und die Anwendung funktioniert trotzdem nicht
Agenda Gemeinsames Verständnis von Monitoring Warum Monitoring? Nutzen von Monitoring / Herausforderungen Welche Methoden / Arten gibt es? Aspekte der unterschiedlichen Methoden Praxisbeispiel
Nutzen von Monitoring Aktives Handeln bevor der End-User ein Problem erkennt Brandvorbeugung statt Brandbekämpfung Trends / Auslastungen Beurteilen von Zuständen Capacity Planning Nicht schätzen, sondern messen Reporting Verfügbarkeit SLA s (Prüfung, Dokumentation)
Herausforderungen Was muss gemessen werden? Welche Tools setze ich ein? Einbinden von Bordmitteln Bestehende Management Systeme Wie messe ich welchen Zustand/Wert?
Aktive Messung vs. Passive Messung Aktive Messung Passive Messung Monitoring System Anfrage Wert Device Monitoring System Wert Device z.b.: Zustände von Services Messungen von Dateisystemen z.b.: Backup / Archivierungs Jobs Unregelmäßige Tasks SNMP Query SNMP Traps
Agenda Gemeinsames Verständnis von Monitoring Warum Monitoring? Nutzen von Monitoring / Herausforderungen Welche Methoden / Arten gibt es? Aspekte der unterschiedlichen Methoden Praxisbeispiel
SLA Monitoring Welche Arten von Monitoring gibt es? Security Information und Event Management Logmanagement End-to-End Monitoring Business Process Monitoring Performance Monitoring IT Service Monitoring Komponenten Monitoring
Komponenten Monitoring Messen von Zuständen: Ping SNMP WMI (Windows) Selbsterstellte Hilfsmittel (Scripts) Ergebnis: Indikator für Ausfall von Servern (Hardware oder Software) Indikator für Ausfall von Netzwerksegmenten
Performance Monitoring Meist mit dem Komponentenmonitoring verknüpft Messen des Zustands + Messwert (IOPS, Errorcounter) Baselining als wichtige Voraussetzung (Normalzustände definieren) Ergebnis: Trends Verhaltensmuster
IT - Service Monitoring Services, die aus mehreren Komponenten bestehen, werden zu einer logischen Einheit verknüpft. Ergebnis: Ausfälle und deren Auswirkungen werden zeitnah erkannt
Business Process Monitoring IT Services werden miteinander verknüpft Zusätzliche Logik für die Verknüpfung von IT-Services zu Teilprozessen und Geschäftsprozesse: UND ODER X aus Y Ergebnis: Wissen bzw. Kenntnisse über Funktion der Teilprozesse oder Gesamtprozesse
Business Process Monitoring das Schema
Business Process Monitoring ein Beispiel
End to End Monitoring Messen eines IT Services aus Sicht des Benutzers Performance Monitoring vorausgesetzt Ergebnis: Latenzen vom Service bis zum Benutzer
Service Level Agreement (SLA) - Monitoring Gemessene Werte oder Zustände gegen einen vertraglich zugesagten Wert prüfen Ergebnis: SLAs messbar und dokumentierbar
Weiterverarbeitung von Monitoringdaten Welche Arten der Datenerfassung gibt es? IT Infrastruktur Protokollieren und Auswerten von Betriebszuständen IT Security Protokollieren und Auswerten von Log- und Eventdaten
Weiterverarbeitung von Monitoringdaten Monitoring Server Router & Switches Logdaten Firewalls Normalisierung Logdatenmanagement SIEM Reporting und Alamierung Korrelation
SIEM - Security Information und Event Management SIM: Reporting historischer Daten und Forensik SEM: Echtzeit Analyse von Ereignissen schnellere Reaktion bei Incidents Umfassender Blick auf Logs und Events Korrelation von Logdaten Abgleich auf Basis von Ereignismustern
SIEM Beispiel User: leo Internet VPN User: leo IP: x.x.x.x Zentrale
Agenda Gemeinsames Verständnis von Monitoring Warum Monitoring? Nutzen von Monitoring / Herausforderungen Welche Methoden / Arten gibt es? Aspekte der unterschiedlichen Methoden Praxisbeispiel
SLA Monitoring Aspekte der unterschiedlichen Methoden Security Information und Event Management Logmanagement End-to-End Monitoring Business Process Monitoring Performance Monitoring IT Service Monitoring Komponenten Monitoring
Unterscheidung der Ereignisse Vorhersage eines möglichen Ereignisses Zeit vor Ereignis Ereignis Rechtzeitige Erkennung der Ursache Erkennen und Beheben des Fehlers
Unterscheidung der Ereignisse Vorhersehbar Unvorhersehbar Dateisystem Auslastung CPU / Memory Auslastung Antwortzeiten Errorcounters Hardwaredefekte Wurmattacken Hackerangriffe Stromausfälle Vorbereitung von Attacken Fingerprinting Port Scans
Vorhersehbare Ereignisse Wodurch erkennt man vorhersehbare Ereignisse: Performance Monitoring End-to-End Monitoring SLA Monitoring SIEM
Unvorhersehbare Incidents Empfohlen SIEM Business-Process Monitoring Möglich Komponentenmonitoring Performance Monitoring End-to-End Monitoring SLA Monitoring
Mögliche Vorkommnisse ohne und mit Monitoring Telefonanruf 8:15 / Benutzer beschwert sich über lange Antwortzeiten der Applikation Telefonanruf 7:45 / Administrator ist bereits über die Performanceprobleme informiert/ 8:00 Problem gelöst
Mögliche Vorkommnisse ohne und mit Monitoring Alles ist langsam, obwohl erst aufgestockt wurde Sie haben Ihr Geld dort ausgegeben, wo der wirkliche Engpass entstanden ist
Mögliche Vorkommnisse ohne und mit Monitoring Hunderte Emails im Posteingang von verschiedensten Applikationen Statt 100 Mails informieren sie sich über ein Ampelsystem über den Gesamtzustand ihres Systems
Mögliche Vorkommnisse ohne und mit Monitoring Wurmbefall trotz Virenscanner Ihr SIEM System hat rechtzeitig einen Wurmbefall erkannt
Mögliche Vorkommnisse ohne und mit Monitoring Alle Komponenten laufen, und die Anwendung funktioniert trotzdem nicht Alle Systeme funktionieren nur ihr Computer hat keine Netzwerkverbindung
Agenda Gemeinsames Verständnis von Monitoring Warum Monitoring? Nutzen von Monitoring / Herausforderungen Welche Methoden / Arten gibt es? Aspekte der unterschiedlichen Methoden Praxisbeispiel
Beispiele aus der Praxis Medienkonzern Ausgangssituation Verarbeitung von Medienrohdaten zu fertigen Produkten Viele Services, die aus einer Vielzahl historisch gewachsener Komponenten bestehen Unterschiedlichste Software und eigens geschriebene Applikationen BlackBox vom Input bis zum Output der Medien Elektronische Verarbeitung ist zeitkritisch
Beispiele aus der Praxis Auswirkungen Strategische Weiterentwicklungen müssen wegen zu erfüllender (Überwachungs-) Routineaufgaben zurückgestellt werden BlackBox ist zu langsam für den Prozess, warum? SLAs, Lieferzusagen können nicht eingehalten werden Pönale
Beispiele aus der Praxis Lösung Maßgeschneiderte Monitoring Lösung mit IT Cockpit: Abbilden des gesamten Verarbeitungsprozesses auf Monitoringplattform Individuelle Prüfabfragen für detaillierte Messwerte Performance-, IT Service-, Business Process- und SLA Monitoring
Screenshot Content Arrival Pre Upload, Asset Upload, XML Import Matching, Processing Workflow Performancedaten svrdb01 Virtuelle IPs Farm Status Health Checks svrdb012 Virtuelle IPs Farm Status Health Checks /IDJFTP /RNSTORE /IDJ /_input svrftp01 /idjftp Mount FTP svrftp02 /idjftp Mount FTP common /idjftp Mount /AOMA_input Mount CFTP Prozesse idj_ftp_cleanup.ksh idj_ftp_copy2simx.ksh /idjsimx Mount (/rnstore) ing /ij Mount /input Mount Upload Daemon archive /ij Mount /input Mount Move Script db XML Interface Matching Open Uploads Upload Errors Open XML XML in Process XML Errors DBProc Procs Open Matching Open Ingestion
Danke für Ihre Aufmerksamkeit! Manfred Pichlbauer, Consultant / IT-Infrastruktur Bacher Systems EDV GmbH e-mail: MPichlbauer@bacher.at web: www.bacher.at
Sichere IT-Infrastruktur ist ein ständiger Prozess dafür möchten wir Ihr Partner sein.