Er is iets met vakmanschap. Het is persoonlijk, het is kunstzinnig en het kan ongelooflijk effectief zijn in het bereiken van zijn doelen. Aan de andere kant kan massaproductie op andere manieren effectief zijn, door snelheid, efficiëntie en kostenbesparingen.
Het verhaal van datacenters is er een van gaande van vakmanschap – waarbij elke individuele machine een huisdier is dat met grote zorg wordt onderhouden – naar massaproductie met grote serverfarms waar individuele units volledig wegwerpbaar zijn.
In dit artikel bekijken we hoe datacenters de afgelopen decennia van vorm zijn veranderd. We onderzoeken de implicaties voor de workloads van datacenters en voor de mensen die ze runnen - die nu hun huisdiersystemen zijn kwijtgeraakt. We zullen ook de gevolgen voor cyberbeveiliging van het nieuwe datacenterlandschap bekijken.
Huisdiersysteem met een groot doel
Voor elke systeembeheerder die zijn carrière begon vóór de komst van virtualisatie en andere cloud- en automatiseringstechnologieën, waren systemen fijn gemaakte stukjes hardware - en behandeld met dezelfde liefde als een huisdier.
Het begint met de opkomst van computerruimten in de jaren veertig - waar grote machines die handmatig met elkaar verbonden waren door kilometerslange draden wat alleen liefdeswerk genoemd kon worden. In deze computerruimtes stonden de stoommachines van het computertijdperk, die dankzij de siliciumrevoluties spoedig zouden worden vervangen door meer geavanceerde apparatuur. Wat betreft veiligheid? Een groot slot op de deur was alles wat nodig was.
Mainframes, de voorlopers van de hedendaagse datacenters, waren ook verfijnde oplossingen, waarbij een enkele machine een hele ruimte in beslag nam en continu deskundig vakmanschap nodig had om te kunnen blijven functioneren. Dat omvatte zowel hardwarevaardigheden als codeervaardigheden, waarbij mainframe-operators on-the-fly moeten coderen om hun workloads draaiende te houden.
Vanuit beveiligingsperspectief waren mainframes redelijk eenvoudig te beheren. Het was (ver) voor het begin van het internettijdperk, en de huisdiersystemen van IT-managers liepen een redelijk beperkt risico op inbreuk. De eerste computervirussen doken op in de jaren zeventig, maar deze vormden nauwelijks een risico voor mainframe-operaties.
Prefab rekenkracht met unieke beheervereisten
Kom maar op met de jaren 1990 en de opkomst van datacenters. Individuele, in massa geproduceerde machines boden kant-en-klare rekenkracht die veel betaalbaarder was dan mainframe-eenheden. Een datacenter bestond simpelweg uit een verzameling van deze computers – allemaal op elkaar aangesloten. Later in het decennium werd het datacenter ook aangesloten op het internet.
Hoewel de afzonderlijke machines minimaal fysiek onderhoud vergen, vereiste de software die de workloads voor deze machines aanstuurde continu onderhoud. Het datacenter van de jaren negentig bestond grotendeels uit huisdiersystemen. Dat gold voor elke machine, wat een staaltje vakmanschap van serverbeheer was.
Van handmatige software-updates tot het uitvoeren van back-ups en het onderhouden van het netwerk, IT-beheerders hadden hun werk uit handen - zo niet in het fysiek onderhouden van machines, dan zeker in het beheren van de software die hun werklasten ondersteunt.
Het is ook een tijdperk waarin bedrijfsworkloads voor het eerst werden blootgesteld aan externe beveiligingsproblemen. Nu datacenters zijn aangesloten op internet, was er ineens een doorgang voor aanvallers om datacenters binnen te komen. Het brengt de huisdiersystemen van IT-beheerders in gevaar - het risico van gegevensdiefstal, het risico van misbruik van apparatuur, enz.
Dus veiligheid werd een belangrijk punt van zorg. Firewalls, detectie van bedreigingen en regelmatige patches tegen kwetsbaarheden zijn het soort beveiligingshulpmiddelen dat IT-beheerders moesten gebruiken om hun huisdiersystemen tijdens de millenniumwisseling te beschermen.
Serverfarms – massaproductie, massabeheerd
De jaren 2000 zagen een grote verandering in de manier waarop de workloads in het datacenter werden afgehandeld. De belangrijkste drijfveer achter deze verandering was efficiëntie en flexibiliteit. Gezien de enorme vraag naar computerworkloads, wonnen oplossingen, waaronder virtualisatie en containerisatie iets verderop, snel terrein.
Door de strikte koppeling tussen hardware en besturingssysteem los te maken, betekende virtualisatie dat workloads relatief onafhankelijk werden van de machines waarop ze werden uitgevoerd. Het nettoresultaat bracht een breed scala aan voordelen met zich mee. Load balancing zorgt er bijvoorbeeld voor dat zware workloads altijd toegang hebben tot rekenkracht, zonder dat er buitensporige financiële investeringen in rekenkracht nodig zijn. Hoge beschikbaarheid is op zijn beurt ontworpen om downtime te elimineren.
Wat betreft individuele machines - nou, deze zijn nu volledig wegwerpbaar. De technologieën die in moderne datacenters worden gebruikt, betekenen dat individuele machines in wezen geen betekenis hebben - het zijn slechts radertjes in een veel grotere operatie.
Deze machines hadden niet langer mooie individuele namen en werden gewoon instances - de webserverservice wordt bijvoorbeeld niet langer geleverd door de ongelooflijk krachtige "Aldebaran" -server, maar eerder door een kader van "webserver-001" tot "webserver-032". Technische teams konden het zich niet langer veroorloven om ze allemaal even precies aan te passen als voorheen, maar de grote aantallen die werden gebruikt en de efficiëntie die dankzij virtualisatie werden behaald, zorgden ervoor dat de totale rekenkracht in de kamer nog steeds de resultaten van systemen voor huisdieren zou overtreffen.
Beperkte kans op vakmanschap
Containertechnologieën zoals Docker en meer recentelijk Kubernetes hebben dit proces nog verder gebracht. U hoeft niet langer volledige systemen toe te wijzen om een bepaalde taak uit te voeren, u hebt alleen de basisinfrastructuur nodig die door de container wordt geleverd om een service of applicatie uit te voeren. Het is zelfs nog sneller en efficiënter om talloze containers te hebben die een service ondersteunen in plaats van specifieke, toegewijde systemen voor elke taak.
Het implementeren van een nieuw systeem vereist niet langer de handmatige installatie van een besturingssysteem of een arbeidsintensief configuratie- en service-implementatieproces. Alles staat nu in "recept"-bestanden, eenvoudige op tekst gebaseerde documenten die beschrijven hoe een systeem zich zou moeten gedragen, met behulp van tools zoals Ansible, Puppet of Chef.
IT-beheerders kunnen nog wat tweaks of optimalisaties in deze implementaties aanbrengen, maar omdat elke server niet langer uniek is en omdat er zo veel zijn die elke service ondersteunen, heeft het nauwelijks zin om de moeite te doen om dit te doen. Beheerders die meer prestaties nodig hebben, kunnen het recept altijd opnieuw gebruiken om nog een paar systemen op te starten.
Hoewel een paar kernservices, zoals identiteitsbeheerservers of andere systemen die kritieke informatie opslaan, nog steeds als huisdieren zouden blijven, werd de meerderheid nu beschouwd als vee - natuurlijk, je wilde niet dat een van hen faalde, maar als dat wel het geval was, kon het snel worden vervangen door een ander, even onopvallend, systeem dat een specifieke taak uitvoert.
Houd er rekening mee dat workloads steeds vaker worden uitgevoerd op gehuurde computerbronnen die zich in grote cloudfaciliteiten bevinden en het is duidelijk dat de dagen van het draaien van servers als huisdiersysteem voorbij zijn. Het gaat nu om massaproductie – op een bijna extreme manier. Is dat iets goeds?
Massaproductie is geweldig: maar er zijn nieuwe risico's
Flexibiliteit en efficiëntie die massaproductie met zich meebrengt, zijn goede dingen. In de computeromgeving gaat er weinig verloren door computeromgevingen niet langer te "handcraften" en te "verzorgen". Het is een veel slankere, snellere manier om workloads live te laten gaan en ervoor te zorgen dat ze live blijven.
Maar er zijn een aantal veiligheidsimplicaties. Hoewel beveiliging in huisdiersystemen kan worden 'gemaakt', vereisen vee-omgevingen een iets andere benadering - en zeker nog steeds een sterke focus op beveiliging. Veesystemen worden bijvoorbeeld voortgebracht uit dezelfde receptbestanden, dus eventuele intrinsieke gebreken in de basisafbeeldingen die daarvoor worden gebruikt, zullen ook op grote schaal worden ingezet. Dit vertaalt zich direct in een groter aanvalsoppervlak wanneer een kwetsbaarheid aan de oppervlakte komt, omdat er gewoon veel meer mogelijke doelen zijn. In deze situatie maakt het niet echt uit of u binnen enkele minuten of zelfs seconden een nieuw systeem kunt opstarten - doe dat over duizenden servers tegelijk en uw workloads worden beïnvloed, ongeacht de tijd die het kost, en dat heeft invloed op uw onderste regel.
Automatisering is nu voor een groot deel het antwoord op beveiliging in serverfarms. Denk aan tools zoals geautomatiseerde penetratiescanning, en geautomatiseerde live patching-tools. Deze tools bieden een meer waterdichte beveiliging tegen een even geautomatiseerde dreiging en verminderen de administratieve overhead van het beheer van deze systemen.
Een veranderd computerlandschap
De veranderende omgeving in IT heeft de architectuur van het datacenter veranderd en de aanpak van de mensen die datacenters laten werken. Het is gewoon niet haalbaar om op oude praktijken te vertrouwen en de beste resultaten te verwachten - en dit is een zware uitdaging, omdat het een aanzienlijke hoeveelheid inspanning vereist van systeembeheerders en andere IT-professionals - het is een aanzienlijke verandering van mentaliteit en het vergt een bewuste inspanning om de manier waarop u redeneert over systeembeheer te veranderen, maar sommige onderliggende principes, zoals beveiliging, zijn nog steeds van toepassing. Gezien het feit dat het aantal kwetsbaarheden niet lijkt te dalen – integendeel zelfs – zal het in de nabije toekomst van toepassing blijven, ongeacht andere evolutionaire veranderingen die van invloed zijn op uw datacenter.
In plaats van zich ertegen te verzetten, zouden IT-beheerders moeten accepteren dat hun huisdiersystemen nu, voor alle doeleinden, verdwenen zijn - vervangen door massaproductielevering. Het betekent ook accepteren dat de beveiligingsuitdagingen er nog steeds zijn, maar in een gewijzigde vorm.
Om serverworkloads efficiënt te laten werken, vertrouwen IT-beheerders op een nieuwe toolset, met aangepaste methoden die afhankelijk zijn van het automatiseren van taken die niet langer handmatig kunnen worden uitgevoerd. Op dezelfde manier moeten IT-beheerders bij het uitvoeren van beveiligingsoperaties voor serverfarms kijken naar patching-automatiseringstools zoals: KernelCare Enterprise van TuxCareen kijk hoe ze in hun nieuwe toolset passen.
