Informačním a komunikačním sítím se od prvopočátků ethernetu a zrodu celosvětové sítě internet zásadnější technologické změny spíše vyhýbají. Avšak možná to platí jen zdánlivě. Rostoucích nároků na provozuschopnost a bezpečnost korporátních sítí si v roce 2015 všimla česká trojice expertů, která se jejich údržbě a rozvoji profesně věnovala už řadu let. Pavel Bykov, Miroslav Hýbl a Roman Aprias založili společnost IP Fabric, kde všichni dodnes působí ve vedoucích pozicích.
Článek vznikl v rámci spolupráce SJ News a podcastu SCRIPTease. Celou epizodu si můžete poslechnout zde:
Firma dnes zaměstnává stovku lidí s kořeny od USA přes Jižní Afriku až po Uzbekistán, z toho asi polovinu ve vývojovém oddělení. Působí ve dvou pobočkách v Praze a v New Yorku, odkud řídí služby zákazníkům v asi 20 zemích. Na svých webových stránkách se chlubí přibližně 320 tisíci síťových zařízení ve správě. Technologický ředitel a zároveň spoluzakladatel Roman Aprias byl hostem podcastu SCRIPTease, který se taktéž nesl v příjemně neformální atmosféře. Ovšem nenechte se mýlit, firma spolupracuje s velkými hráči světového byznysu, kde každá chyba může stát miliardy.
„IP Fabric jsme založili proto, že jsme jako síťoví inženýři při konfiguraci velkých sítí řešili stále dokola ty stejné problémy. Zákazníci často neměli síť správně zmapovanou a inventarizovanou. Proto jsme vždy museli sami mapovat, poté něco změnit a zkontrolovat správnou funkčnost. To se opakovalo u každého klienta. Zkoušeli jsme si práci zjednodušovat vlastními skripty, ale přestalo nás to bavit a rozhodli jsme se, že založíme firmu, která tento problém jednou provždy vyřeší pro všechny síťové inženýry,“ vysvětluje Aprias. Typickými zákazníky tak jsou pro IP Fabric firmy s velkými interními sítěmi. Konkrétně mezi ně patří například výrobce letadel Airbus, aerolinka Air France, severoamerická Major League Baseball, bezpečnostní společnost Avast nebo česká internetová jednička Seznam.cz.
Problém s rostoucí složitostí
„Síť si může kdokoliv představit jako soubor různých zařízení, která jsou mezi sebou propojena různými technologiemi a protokoly. Cílem je zajistit digitální komunikaci, tedy doručení provozu z bodu A, například České republiky, do bodu B, například serveru v Americe. Manuální mapování dříve probíhala tak, že se technik připojil k jednomu z těchto zařízení, spustil sadu příkazů a zjistil, se kterými dalšími body sítě komunikuje. A pak je postupně musel obejít a postupovat stejně, aby zmapoval celou síť,“ vysvětluje Aprias a zdůrazňuje, že společnost IP Fabric dělá svým způsobem to samé, avšak rychleji, paralelně a automatizovaně. Velké firemní sítě totiž v současnosti obsahují desetitisíce zařízení, ať už jde o routery, switche, load balancery nebo firewally. Manuální mapování tak dnes v podstatě není možné. Pokud by se o něj někdo pokusil, bude muset začít s aktualizací síťové mapy ihned, jakmile dojde na pomyslný konec své prvotní snahy.
Ze špatné síťové konfigurace pochopitelně vyplývají pro firmu rizika spojená s „hackerskými útoky“, tedy přesněji řečeno průniky do vnitřní sítě, o kterých se bezpečnostní manažeři dozvědí buď pozdě, nebo vůbec. Hrozbu představuje také nižší celková spolehlivost sítě. Výsledkem jsou potenciální ztráty na finančním i reputačním poli a minimálně významně zdvižené obočí regulačních orgánů, případně i sankce. „Příkladem může být situace, která se před lety stala u jednoho velkého leteckého dopravce. V jeho síti byl jeden router, o kterém nikdo nevěděl, že je špatně nakonfigurován a není v síti redundantní. Přestavoval proto kritické místo. Celá infrastruktura spoléhala na to, že toto zařízení běží. V okamžiku, kdy vypadlo, přestal zcela fungovat systém pro nákup letenek. A než se podařilo tento jeden router najít a opravit, utrpěla firma miliardové ztráty,“ vzpomíná Aprias.
Hledání zapomenutých stařečků
„Naše řešení má oproti jiným tu výhodu, že je tzv. plug and play a je distribuované jako jednotná virtuální image (po instalaci je tedy možné jednoduše spustit bez nutnosti využití služeb externího integrátora – pozn. red.),“ popisuje Aprias. Klient tak může s mapováním své sítě začít bez prodlení. „Velké sítě většinou mají centralizovaný autorizační systém, kde se pro IP Fabric nakonfiguruje jméno a heslo. Poté se již software připojí a začne sbírat data. Jedna věc je získat vhled do dané sítě, druhá pak to, že zákazníci mají přesný a kompletní obrázek toho, v jakém je síť stavu a jak se chová. Nad tím lze pak dělat různé interpretace a reporty, například o zranitelnosti nebo vypršení podpory výrobce pro síťové prvky. Mohou si také sami nakonfigurovat a nastavit, co přesně je zajímá, jaké jsou standardy jejich konfigurace a chování, a pak to porovnat se skutečným stavem,“ vysvětluje Aprias.
IP Fabric využívá ve svých produktech následující technologie:
Python, Node.js, TypeScript, Debian, RabbitMQ, ArangoDB
Vyzdvihuje také to, že oproti běžné praxi v minulosti nyní klienti mnohem více dbají na kybernetickou bezpečnost a proaktivně sledují to, aby se v jejich síti nenacházely žádné nepodporované síťové prvky, které by již byly po konci svého výrobcem předepsaného životního cyklu. Právě ty totiž mohou sloužit jako ideální vstupní brána pro nezvané hosty.
„Výjimkou může být třeba zákazník, u kterého jsme objevili 15 či 20 let staré zařízení od firmy Cisco, které stále věrně slouží, aniž by jej někdo restartoval,“ směje se Aprias. Připomíná, že správci sítě jsou oproti dalším IT specialistům výrazně konzervativnější a rezervovanější ke změnám. Může za to i fakt, že zatímco updaty na úrovni aplikací či operačních systémů lze bezpečně před nasazením do produkčního prostředí otestovat na virtuálních strojích, síťová architektura je natolik složitá a jedinečná, že ji není možné uspokojivým způsobem a s nízkými náklady replikovat. Na většinu akcí prováděných v síti tak mají administrátoři jediný pokus.
Mapování ano, nastavování nikoliv
To, že mají veškerá data ihned k dispozici a mohou si například v grafické verzi zobrazit kompletní topologii sítě, prý urychluje specialistům správy sítě práci. Moderní technologie tak v konečném důsledku šetří klientovi peníze a zkracují čas nutný pro řešení síťových incidentů. Velkým tématem je v současnosti pro IP Fabric a technologicky pokročilejší klienty i automatizace a integrace discovery platformy do stávajících řešení. Segment, do kterého se naopak firma zatím pouštět nechce, je automatizovaná správa zařízení a tzv. pushování konfigurace směrem do sítě. Opravování nalezených chyb tak zůstává na bedrech interních správců.
Jakým způsobem se vývojáři v IP Fabric vypořádávají s tím, že klienti používají stovky až tisíce různorodých zařízení od čtyř desítek podporovaných výrobců, často s velmi rozmanitými konfiguracemi? Jakou roli při rozvoji produktu hrají specializované síťové laboratoře? Jak dopadl experiment s programovacím jazykem „R“, který v Česku ovládají jen jednotky vývojářů? Jak se firmě vyplatily při náboru zaměstnanecké akcie dostupné skrze opční program? Právě na tyto otázky dávají odpověď další minuty nové epizody podcastu SCRIPTease, ve kterém moderátor Jirka Bachel z vývojářského klubu LOLO.team přivítal technologického ředitele společnosti IP Fabric Romana Apriase.
