Se, mikä toimi loistavasti vuosikymmeniä sitten, ei välttämättä istu enää nykypäivän tarpeisiin. Näin on käynyt myös MPLS:lle.

MPLS eli Multiprotocol Label Switching on 1990-luvun lopulla kehitetty teknologia, jolla WAN-verkkojen kompleksisuutta pyrittiin vähentämään. MPLS suunniteltiin ATM:n korvaajaksi. OSI-mallin mukaan MPLS operoi kerrosten 2 ja 3 välillä (puhutaan ”layer 2,5” -teknologiasta). MPLS-runkoverkossa kuljetetaan verkkoliikennettä (esim. IP-paketti) ennalta määriteltyjen yhteyksien ylitse runkoverkon solmujen kautta ilman, että solmujen tarvitsee tehdä reititystä.
Vaikka useimmat MPLS-tekniikalla alun perin haetuista tavoitteista ovatkin menettäneet merkitystään tieto- ja verkkotekniikan kehittyessä, ovat MPLS-yhteydet säilyttäneet paikkansa teleoperaattoreiden paraskatteisien palveluiden joukossa. Ja tietenkin parasta bisnestä on pyritty boostaamaan. MPLS-pohjaiset yhteydet ovatkin sitten hallinneet vuosikymmeniä yritysverkkoyhteyksien markkinaa. Yritysverkoilla tarkoitan WAN-verkkojen (Wide Are Networking, laaja-alueverkko) eli organisaation eri lähiverkkojen yhdistämisestä syntyvää yritysverkkokokonaisuutta.
Ja mikäpä kuninkaan olisikaan ollessa! MPLS-teknologiahan sopii hyvin ennalta määritettyihin reitteihin ja kokonaisuuksiin, jotka kerran suunnitellaan ja sitten rakennetaan ja tämän jälkeen ne säilyvät muuttumattomina. Tyypillinen vanhan kuninkaan aikainen topologia on perinteinen tähtimuoto, jossa keskiössä on pääkonttori tai sittemmin datakeskus. Tähden reunat ovat haarakonttoreita, joista liikennöidään pääkonttorille. Ja pääkonttorilta tarjotaan koko yrityksen kaikille käyttäjille keskitetyt palvelut, kuten vaikkapa sähköpostit, levypalvelut ja organisaation käyttämät sovellukset.

Onko se enää tätä päivää?

Herran vuonna 2021 maailma on kovin eri näköinen kuin 90-luvulla. Tuskin kukaan kiistää tietotekniikan huimia loikkia eteenpäin. Siinä kun vielä 2000-luvun alussa MPLS-verkoissa kiisi yli 80% nk. liiketoimintasovellusten datavuota ja pieni marginaali internet-liikennettä, on tänään MPLS-verkoissa viuhuvista biteistä yli 80% pelkkää internet-liikennettä. Siis sellaista liikennettä, jonka bittihinta on parin vuosikymmenen aikana pudonnut alle sadasosaan. Kas kun internet-yhteyksien hinnat kaistaan suhteutettuina ovat romahtaneet. MPLS-bitti maksaa karkeasti arvioiden noin kymmenkertaisesti sen mitä edullisin internet-bitti. Siispä on aivan relevantti kysymys, miksi ihmeessä ajamme MPLS-yhteyksissä tätä järjettömästi halvempaa internet-liikennettä.

Jos lähikauppa tekee sinulle erikoistarjouksen (”only for you, my friend”) ja saat sisäfileen hinnalla sika-nautajauhelihaa, oletko otettu. Mikäli et (en siis lähde olettamaan taloudellisen ajattelusi preferenssejä), esittäisin kysymyksen, miksi sitten tietoliikennekapasiteetistasi maksat sisäfileen hintaa sika-nautajauhelihasta.

Miksi MPLS ei sovi vuoteen 2021?

Tähtiverkko on 90-lukua. Suurimmat yritykset – ja parhaat ja fiksuimmat pienimmistä – ovat monoliittisista rakenteista jo luopuneet. Esimerkiksi Microsoft julistaa, että ”internet on uusi yritysverkko” (”internet is the new corporate network”). Samoin merkittävimmät tietoliikenne- ja tietoturvayritykset ovat joukolla lähteneet intoilemaan Gartnerin lanseeraamasta SASE-arkkitehtuurista, jonka keskiössä on yritysverkkojen (WAN) ja tietoturvan konvergenssi ja yritysverkkojen organisoituminen koodilla hallittaviksi.
Juuei. MPLS:n alkuperäiset edut ja argumentit ovat hävinneet. Vanhakantainen hinnoittelu teleoperaattoreiden taholta entisestään pelaa MPLS:n valintojen ulkopuolelle. Vai oletko nähnyt MPLS-tarjousta, jossa sinulle ehdotetaan 10 Gbps:n kapasiteettia , josta maksat vain käytön mukaan (esim. keskiarvototeuman mukaan kuukausitason kaistan käytöstä). Ja sopimusrakenne on mallia toistaiseksi. Ei tietenkään, sillä datanetit ja lanlinkit ja mitä noita onkaan, pohjautuvat vuosien sopimusrakenteisiin.
Mutta mitä ihmettä? Sinähän tuotat it-palvelusikin pilvestä ja maksat juuri ja vain käytön mukaan. Sopimusaika on toistaiseksi. Miksi et hankkisi tietoliikennettäsi samalla mallilla? Kun konttorit tyhjenevät väestä Covid-19:n seurauksena, kiinteät piuhakulut ovat täyttä rahan haaskausta.

MPLS tuo huonon palvelun loppukäyttäjille

Jos kuitenkin päätät pidättäytyä vanhassa (eikä siinä mitään, onhan nk. suurkoneitakin vielä rouskuttamassa), luovu nyt ainakin ihmeessä tähtiverkkotopologiasta. MPLS-verkot aiheuttavat vuonna 2021 huonon käyttäjäkokemuksen pilvipalveluille. Siis jos änkeät sen internet-liikenteen MPLS-putkeen ja ammut ulos jostain keskitetystä internet-reiästä keskitetyn palomuurin läpi.
Esimerkiksi Teams, Zoom, Meet ja muut veikeät uudet työnteon tavat toimivat parhaimmin, jos internet-reikä on lähimpänä käyttäjää. Ja näin sinun ei tarvitse ostaa sika-nautaa sillä sisäfileediilillä, kun saat nettibitin tuhottoman monta kertaa halvemmalla kuin mitä maksaisit MPLS-rööriesi turvottamisesta.

Alkuperäinen blogahdukseni löytyy työnantajani, Loihde Trustin, sivuilta. Suora linkki tässä: https://www.loihdetrust.com/blogi/aika-sanoa-heipat-mpls/

Kirjoitin aiheesta jo yhden vanhemman blogahduksen, jossa kuvasin hieman IoT-aihealuetta noin yleisesti sekä sen aiheuttamia tietoturvahaasteita. Ehkä olet sen jo lukaissut? Niin tai näin, pääset varmasti kärryille.

Siirrytäänpä siis esimerkin avulla käytännön haasteita perkaamaan:
Kuvitteellinen yritys, Airiv Oy, työllistää noin sata henkeä. Sillä on hallinnassaan maksimissaan parisen sataa työasemaa (jos laskemme, että osalla käyttäjistä on sekä läppäri että tabletti tai pöytäkone sekä jokunen vara- ja vieraskone) ja ehkä noin sata mobiilipäätelaitetta. IT-osastolla lienee yksi tai maksimissaan muutama henkilö. Nämä pystyvät hyvin hoivaamaan sen pari-kolmesataa päätelaitetta sekä muutaman yrityksen palvelinlaitteen. Airivin konemäärä ei mitenkään voi satakertaistua vuodessa. IT ei millään ilveellä skaalautuisi moiseen kasvuun muusta organisaatiosta puhumattakaan. Jo väkimäärän tuplaantuminen tuottaisi taatusti suuria prosessi- ja organisaatiohaasteita.
Airiv pystyisi kuitenkin käyttöönottamaan tuhansia tai jopa kymmeniä tuhansia tiedonkeräimiä, IoT-laitteita. Jos Airiv olisi kotihoitoyritys, asiakkaita olisi tuhansia. Jokaisen kotona voisi olla lukuisia sensoreita ja antureita ja älylaitteita, joiden ylläpidosta Airiv vastaisi; ultraäänitutka vanhuksen kaatumisen tunnistukseen, kameravalvontaa, sähkölukkoja, puettavia sensoreita, lääkeannostelija noin alkuun. Tai kiinteistönhuollossa laitemäärä voisi olla vielä edellistä esimerkkiä paljon suurempi.
Miten Airiv Oy:n IT pystyisi suojaamaan kaikki IoT-laitteet, kun he eivät pystyisi skaalautumaan tuhansien läppäreiden hoivaan ja suojaukseen? Oleellista on tajuta, että eivät pystykään. Laitteet ovat ainakin osin tiloissa, joiden turvallisuutta ei voida taata. IoT-laitteet on valmistettu paljon halvemmalla ja kehitetty nopeammalla syklillä kuin monin verroin arvokkaammat henkilökohtaiset tietojenkäsittelylaitteet. Niiden suojausmahdollisuudet ovat rajalliset ja kovennus onnetonta suhteessa vaikkapa kännykkään.

Suhtaudu IoT-laitteeseen kuin ventovieraaseen

Kaikki lähtee siitä, että hyväksyt sen, etteivät IoT-laitteet ole sinun ja ettet mitenkään pysty turvaamaan niitä. Suhtaudu niihin kuin vierailulle tulleeseen anoppiin tai kahvilan ventovieraisiin muihin asiakkaisiin.
Oleellista on haarukoida ja ymmärtää, mikä muodostaa riskin. Itse jakaisin sen lyhyesti seuraaviin osa-alueisiin:

1. IoT-laitteiden sisältämä tieto
2. Tietoliikenne IoT-laitteiden ja sinun tietojärjestelmäsi välillä
3. Oman tietojärjestelmäsi keräyspiste, hubi tai connection point.

Ensimmäinen on vaikea. Jos IoT-laite sisältää sinun kannaltasi kriittistä tietoa, joudumme reivaamaan strategiaa ja isosti. Silloin itse laite on suojattava samalla pieteetillä kuin vaikkapa avainhenkilön älypuhelin. Toisaalta, jos laite sisältää kriittistä tietoa, siihen voitaneen investoida samoilla budjeteilla kuin muihinkin oikeisiin työvälineisiin. Ja tämä tietenkin asettaa rajat skaalautumiselle. Tonnin kännyköitä ei Airiv osta jokaiselle, eikä tonnin hintaisia hienoja sensoreita kylvetä aivan minne sattuu. Vähintään ne pyritään suojaamaan varkaudelta. Ehkäpä ne voivat sijaita palomuurin suojaamassa verkossakin ja sisältää jopa laitehallintaakin.
Kalliit laitteet voidaan ja kannattaa suojata. Mutta Airivin haastehan syntyykin isosta massasta verkkoon huutelevia vehkeitä, joiden yksikköarvo on talousrealiteettien pohjalta väistämättä melko vähäinen. Pelkkä päätelaitesuojauksen vuosilisenssi – jota simppeliin sensoriin kyllä ei saa edes asennettua – olisi kalliimpi kuin koko vekotin.
Suurimmassa osassa käyttötapauksia sensoreiden ja laitteiden itsensä sisältämä tieto on sinänsä merkityksetöntä. Vain pidempään kerättyä tietoa, jonka voi liittää kontekstiin, pystyy hyödyntämään. Kahvikoneen yksittäinen tilatieto tai vikailmoitus ei ole salattavaa. Eikä kosteusanturin tai liiketunnistimen. Jopa kameravalvontalaitteen hetken itse laitteessa puskuroima kuvavuo on sinänsä merkityksetön – siis sen hetkinen 5 sekuntia. Loputhan on jo siirtynyt pilveen.
Suurin osa tietoliikenteestä IoT-laitteista lähetetään keräyspisteeseen täysin salaamattomana (ks. Palo Alton raportti). Ja TÄMÄ on suuri tietoturvariski. Se valvontakamerasi sisältämä 5 sekuntia puskuridataa ei ole ongelma. Mutta mikäli jokin vihamielinen taho kaappaa koko videofeedin ja saa näin reaaliaikaisen näköyhteyden kohteeseesi, saattaa kyseessä jo olla aivan eri luokan uhkakuva.

Dell-EMC:n Global Data Protection Index paljastaa, että 5G-verkon ja IoT-laitteiden tietoturva on vielä heikoilla.

Keräyspiste on erityisen kriittinen osio

Jo pelkästään IoT-laitteesi tarvitsema tietoliikenneyhteyden toteutus saattaa muodostaa haavoittuvuuden. Ja datavuon pitäisi vielä kulkea julkisen internet-verkon yli. Eli ainakin jonkinlaista luottamuksellisuutta sisältävän kuva- tai sensoridatan tulisi olla salattua. Mutta tukeeko IoT-laitteesi salausta? Useimmat eivät, joten joudut rakentamaan salauksen IoT-laitteita palvelevan reitittimen tai edge-pisteen ja keräyspisteesi välille.
Keräyspiste taas on kriittinen osio IoT-tietoturvasi kannalta. Se on ensimmäinen portti sinun todelliseen tietojärjestelmääsi, missä kaikki yrityssalaisuutesi ovat. Jotta kerätyllä datalla olisi jotain arvoa, se pitää pystyä säilömään ja sitä pitää pystyä käsittelemään. Eli sinun on hallittava dataa ja pystyttävä jakamaan ja muokkaamaan sitä.

Alkuperäinen blogahdukseni, samoin kuin tässä viittaamani aikaisempi IoT-märinä, löytyvät Loihde Trustin sivuilta. Suorat linkit tässä: https://www.loihdetrust.com/blogi/iotn-tietoturvatarpit-tee-nain-ja-valta-karikot/ ja https://www.loihdetrust.com/blogi/ihmeellinen-ihana-iot-vaiko-sittenkin-tietoturvaajan-kauhistus/.

Jos aihe kiinnostaa, mikset kuuntelisi webinaarijaksoa aiheesta? Tai englanniksi aiheesta pitämäni märinän Nordic IoT 2020 -tapahtumassa.