Mint on erittäin vahva Splunk-toimittaja – olemme olleet sitä jo vuosia ja olemme panostaneet tälle osa-alueelle valmiiksi ja etukäteen vuodelle 2021. Tiedämme mistä überkonsultoimme.
Minted by Splunk
Mint Security provides a vast range of überconsulting for Splunk. From a single server to clustered multisite setups with integrated...
Tässä blogissa haluan fokusoida siihen, miksi on-prem Splunk-asennus on edelleen 2021 kova sana. Aloitetaan siitä, että on-prem tarkoittaa meille mitä tahansa sellaista ympäristöä, jossa perustetaan palvelimia OS-tasolla ja rakennetaan palvelu sen päälle. On-prem voi siis olla oma konesali, paikallinen muu konesali, Azure – AWS – Google -akselilla olevaa IaaS-ympäristöä – tai jotain muuta pilvipalvelua lähellä tai kaukana.
On-prem tarpeet
Ei ole mikään salaisuus, että on-premin vaihtoehtona on Splunkin SaaS-pilvi. Se on hyvä vaihtoehto. Sillä on kuitenkin rajoituksensa. Rajoitukset ovat toisaalta ihan luonnollisia ja järkeenkäypiä SaaS-palvelulle. Miten, miksi ja milloin on-prem tarjoaa selkeitä etuja Splunkin SaaS-tarjonnasta?
-
Datan pitää olla lähellä ja nopeasti saatavilla
Pilvessä data on potentiaalisesti kaukana. Datan läheisyydelle saattaa olla monta syytä, yleensä asiakas itse tietää (ja tuntee) miksi datan pitäisi sijaita missäkin. Tähän liittyy monesti sekä varmuus, epävarmuus, järki ja myös tunteet.
-
Regulaatio asettaa vatimuksia sijainnille
Regulaatio on yksi edellämainituista asioista jonka asiakas tietää. Kuinka kivaa onkaan ottaa helppo Splunk SaaS käyttöön vain todetakseen, että data pitää obfuskoida kuoliaaksi asti ragulatoorisista syistä, joka tekee datan hallinnasta vaikeaa ja hakemisesta hankalaa. Silti kaikki data pitäisi lukea sisään ja pystyä käsittelemään.
-
Kaikki datalähteet sijaitsee on-prem - tai lähellä
Splunkin lisenssit mahdollistaa gigatavutolkulla datan indeksointia päivässä. Kaikki pitäisi siirtää pilveen? Jos lokilähteet on paikallisina, ei ole välttämättä järkeä siirrellä gigatavuja päivässä paikasta toiseen. Muista - myös Azure - AWS - Google IaaS on on-prem!
-
Tallennustilaa ja arkistointia pitää olla pitkältä ajalta
Tallennustilaa on pilvessä saatavana loputtomasti. Mutta nopeahko laskutoimitus siitä, mitä 50 gigaa päivässä indeksoitua dataa säilytettynä 10 vuotta - arkistointivaatimuksen kautta - maksaa Splunkin SaaS -pilvessä paljastaa että on-prem hankittuna hyvältä konsultilta on varsin varsin kilpailukykyinen kokonaisomistuskustannuksiltaan. Ei pelkästään säilytystilana.
On-prem edut
Edut korreloivat pitkälti tarpeisiin. Osittain etujen listaaminen on redundanttia – mutta olkoon niin.
-
Tallennustilan hinta
Viitateen yllä esitettyyn 10-vuoden arkistointitarpeisiin, voidaan todeta että paikallinen nopeakin levytila (puhumattakaan järkevästä NFS kylmäsäilöstä) on aivan tolkuttoman kustannustehokasta. Varmistuskustannukset mukaan lukien.
-
Saatavuus
Pilvi on aina päällä ja aina saatavilla. Paitsi kun se ei ole. Perinteinen "taksilla pääkallopaikalle" ja pääset tietoihisi käsiksi on joskus relevantti skenaario. Tietojen saatavuuteen voi liittyvä myös viranomais- tai asiakasvaatimuksia. Yllättävää - joskus yritykset itse ilman ulkoisiakin pakotteita asettavat vaatimuksia datan saatavuudelle.
-
Multisite mahdollisuus
Jos tietojen sijainti ja palveluiden toiminta on mitenkään kiinni Suomen tai pohjoismaiden sisällä maantieteellisestä lokaatiosta, on ainoa mahdollisuus paikallinen multisite -asennus.
-
Resursseja ja kapasiteettia voidaan jakaa
Jos jo nyt maksat konesalipalvelusta - omasta tai vuokratusta tai ostetusta - voit todennäköisesti hyödyntää monta kustannuserää myös Splunk -installaatioosi. Lisäksi on tietenkin huomioitava tässä kohtaa se, että tässä mainitusa konesalissa on jo toimintoja, jotka lokittavat ja joiden lokienhallintaan tarvitaan infrastruktuuria joka tapauksessa.
-
Voidaan hyödyntää kaikkia ominaisuuksia vapaasti
Splunkissa on paljon ominaisuuksia, joiden täysimääräinen hyödyntäminen realisoituu vasta kun pääset props.conf -tiedostoon käsiksi. Et pääse siihen käsiksi SaaS-palvelussa. Tässä vaiheessa rakennetaan erilaisia lisärakennelmia tukemaan Splunk SaaS-mallia. Joskus rakennelmat toimii ja joskus ei.
-
Voidaan hyödyntää kaikkia arkkitehtuurin suomia mahdollisuuksia vapaasti
Splunk-arkkitehtuuri on äärimmäisen joustava. Splunk SaaS -palvelu on tietysti rakennettu näiden joustavuuksia päälle ja niiden varaan - lisksi tietenkin hyvien käytäntöjen varaan. Tämä ei kuitenkaan tarkoita sitä, etteikö tässä kohdattaisi rajoituksia. Jos unohdetaan rajoitukset - todetaan vain että arkkitetuurin tuomat mahdollisuudet puhkeavat kukkaan vasta on-prem asennuksessa.
Mint Security tuottaa asennuksen ja käyttöönoton palveluna - mutta haluamme myös olla mukana asiakasta tukemassa koko Splunk-elinkaaren ajan. Tämä on tietenkin meille liiketoimintaa, mutta samalla joudumme ottamaan vastuuta siitä, miten ja kuinka Splunk on rakennettu asiakkaalle. Koemme vastuuta tekemisistämme. Miten ja kuinka huolehdimme siitä, ettemme aja itseämme ylläpidon umpikujaan?
Thomas Malmberg
Mint Security
Miten Mint Security toteuttaa Splunk on-prem projektin
-
Erittäin tarkka määrittely
Toteutuksemme vaatii työpajan - tarkan määrittelyn toteuttamisen. Tarkka määrittely ei tarkoita joustamatonta - haemme työpajassa asiakkaalta näkemystä muun muassa siitä, KUINKA josustava järjestelmän on oltava.
-
Selkeät verkkokuvat ja muurinavaustilaukset
Me teemme määrittelyjen perusteella verkkodokumentaation ja sen perusteella asiakkalle myös aliverkotussuunnitelman sekä liittyvät palomuuriavauslistat.
-
Järjestelmä ja kapasiteettisuunnittelua
Tuotamme valmiit speksit asiakkaalle virtuaalipalvelinten ja tallennustilan suunnittelun pohjaksi. Hyödynnämme SSD-, SAS-, SATA- sekä NFS-tilat mitä meille annetaan.
-
Toteutetaan täysin skriptattu asennus - Ansible on työkalumme
Me toteutamme asennuksen "look mom, no hands" -periaatteella. Tämä ei tietenkään onnistu ilman hyvää määrittelyä ja hyvää etukäteissuunnitelua. Lisäksi se vaatii Splunkin perinpohjaista tuntemusta. Me tuomme tätä kaikkea pöytään.
-
Kovennettu ja palomuurattu
Asennuksemme on kovennettu - käyttöjärjestelmät asennetaan minimaalisina, asennamme vain tarvittavat paketit - jonka jälkeen poistamme vielä rutkasti turhaa.
-
Valmiit sovellukset konfigurointeineen asennuksen jälkeen
Määritellyt sovellukset asentuvat automaattisesti ja konfiguroituina asennuksen aikana.
-
Valmis valvonta ja seuranta itse Splunk-toteutukselle
Asennuksemme mukana tulee valmiiksi konfiguroidut sovellukset joihin on liitetty Splunk-ympäristö. Sillä voit valvoa tuottamamme ympäristön selkeästi ja helposti - Splunkilla tietenkin.
-
Jatkuvuus skriptaamalla
Jatkuvuus on tärkeää. Se on meille veressä. Jatkuvuus tarkoittaa muun muassa järjestelmän pystyttämistä nollasta uudestaan hyvin nopeasti mahdollisesti jopa eri paikassa. Skriptattu asennus mahdollistaa tämän. Lisäksi asiakas voi tuottaa jatkuvuutta myös ilman meitä - eliminoida toimittajariski ottamalla skriptit haltuunsa.
-
Laajennettavuus skriptaamalla
Ajattelemme järjestelmän laajennettavuuta. Se onnistuu myös skriptaamalla. Kuinka monta indekseriä tarvitset lisää? Asia selvä - mutta muista palomuuriavauket.
Määrittelytyön tueksi tuomme valmiita toteutusmalleja, joiden vahvuudet ja heikkoudet esittelemme monesta näkökulmasta.
Asennus on valmis - apua!
Meiltä saa apua ja sitä saa laidasta laitaan. Käytämme, neuvomme ja koulutamme.
-
Deployment-serverin kautta suunniteltu onboarding
Vähennetään myös asennuksen jälkeistä käsityötä. Asenna forwarderi ja aja yksi komento. Järjestelmä hoitaa loput - ja lokit valuu sisään. Tämä on se tila, johon pyrimme suunnittelemalla ja viemällä Deployment-ajattelun tarpeeksi pitkälle.
-
Lokien analysointi
50 gigaa lokia päivässä voi olla haastavaa paatuneimmallkin tullimiehelle. Siispä autamme. Olemme tarvittaessa läpivalaisulaite, huumekoira tai tilastoija.
-
Huonosti tuettujen tai täysin kustomoitujen lokilähteiden onboarding
Aina ei lupauksista huolimatta laitevalmistajan TA (Splunk Technology Addon) ole mikään oikotie onneen. Yritämme parantaa tätä tietä. Useasti onnistumme.
-
Tietoturva ja SOC
Suonissamme virtaa tietoturva. Lähdemme siis siitä, että tietoturva on tärkeää. Tuotamme asiakkaan käyttöön tarvittaessa "mini-SOC" -palvelun jossa pienellä kustannuksella saadaan gigatavujen palomuuri- tai muista tietoturvalaitteista näkyvyyttä alta aikayksikön. Haittaohjelmat, kryptominerit tai kyseenalaiset TOR-verkot jää kiinni. Jos aiot ulkoistaa SOCisi on kaikki tehty työ tietenkin hyödynnettävissä siinä.
-
GDPR tilannekuva
Aloitetaan siitä, että tehdään dashboard josta käy ilmi kaikki lokitetut henkilötunnukset. Tulosta ihmetellessä saatetaan sitten viettää hetki ja toinenkin. Tämän jälkeen voidaan yhdessä keksiä, miten juurisyy voidaan ratkaista.
Mint Splunk Consulting Services
Mint Security tarjoaa Splunkia käyttäville erilaisia lisäarvollisia Splunk konsultointipalveluita jolla saadaan omasta ympäristöstä kaikki irti - turvallisesti.
Tilaa tämä heti
Meidän kanssa kannattaa jutella. Me näytetään mitä tehdään. Omat järjestelmämme rakentuu samalle tekniikalle ja samalle filosofialle. Saatte tarjouksen nopeasti, selitämme optiot ja mahdollisuudet seikkaperäisesti. Kerromme myös mitkä asiat sisältää riskejä ja miksi me niissä kohdin voimme enintään yrittää parhaamme. Workshopin kautta syntyy meille tarvittavat tiedot sekä asiakkaalle uutta viisautta.