Letzten Sommer hat Cisco seine nächste Netzwerkgeneration vorgestellt (LANline berichtete): Das „New Network“ soll mittels künstlicher Intelligenz (KI) in Form vom ML (Machine Learning) für selbstlernfähige Automation sorgen. Das Netzwerk könne künftig durch „Analytics and Assurance“-Funktionalität Verhaltensmuster verstehen, sich kontinuierlich wandelnden Gegebenheiten anpassen und dem Administrator dadurch die Arbeit erleichtern, verspricht Cisco. ML komme zudem zur Bedrohungserkennung (Threat Analytics) zum Einsatz, so der Konzern, damit sich Unternehmen besser vor Angriffen schützen können. LANline sprach mit Falko Binder, Architecture Lead Networking Germany bei Cisco, über die Details des Netzwerkkonzepts.

LANline: Herr Binder, ist die von Cisco im New Network verwendete KI von beaufsichtigtem („Supervised“) Machine Learning abhängig oder findet auch Unsupervised ML Verwendung?

Falko Binder: Das maschinelle Lernen für Threat Analytics ist supervised, da es neben Daten auch Expertenwissen von Cisco Talos mit heranzieht. Für Analytics and Assurance nutzen wir Supervised- wie auch Unsupervised-Algorithmen.

LANline: In welchem Maße sind die per ML ermittelten Ergebnisse nur Vorschläge, in welchem Maße werden sie automatisiert umgesetzt?

Falko Binder: Die langfristige Vision von Cisco ist es, dass das Netzwerk erkannte Störungen selbsttätig behebt, bis hin zum vollautomatisierten Netzwerkbetrieb. Die Analytics-Engine verfolgt dazu Changes im Netzwerk von der Änderungsentscheidung (Intent) bis hin zu deren Umsetzung und bezieht dabei den Kontext der Infrastruktur mit ein. Daraus lernt sie selbsttätig und kann passende Vorschläge liefern. Die automatische Umsetzung der Vorschläge ist erst für die Zukunft geplant, aber der Schritt ist dann eigentlich nicht mehr allzu groß. Da diese Technologie aber noch recht neu ist, müssen die Administratoren in der aktuellen Phase erst einmal Vertrauen in das System gewinnen.

„Die langfristige Vision von Cisco ist es, dass das Netzwerk erkannte Störungen selbsttätig behebt“, so Falko Binder, Architecture Lead Networking Germany bei Cisco. Bild: Cisco

„Die langfristige Vision von Cisco ist es, dass das Netzwerk erkannte Störungen selbsttätig behebt“, so Falko Binder, Architecture Lead Networking Germany bei Cisco. Bild: Cisco

LANline: Lassen sich Geräte von Drittherstellern in das ML-gestützte Netzwerk-Management einbeziehen?

Falko Binder: Geplant ist eine Integration von Drittherstellern von Netzwerkinfrastruktur, die Netzwerk- und/oder Kontext-Telemetriedaten für Cisco DNA Analytics and Assurance bereitstellen, sowie von Anbietern von ITOA-, ITFM- und ITSM-Systemen (IT Operations Analytics, IT-Financial-Management, IT-Service-Management, d.Red.) zur Weiterverarbeitung in übergeordneten IT-Management-Systemen. Detaillierte Informationen zu den jeweiligen Drittherstellern wird Cisco mit der Verfügbarkeit der Integration bekanntgeben.

LANline: Gibt es ein Zusammenspiel mit SIEM-Lösungen und wenn ja, wie sieht das aus?

Falko Binder: Offene Schnittstellen sind ein integraler Bestandteil von DNA Center, vorgefertigte Adapter zu einzelnen Cisco- und Third-Party-Systemen sind in Arbeit. Ergänzend kommen Reports, Reporting APIs, konfigurierbare Dashboards sowie die ITSM-Integration hinzu. Die Integration in relevante Security-Betriebsprozesse wird ab dem DNA Center 1.2 Release verfügbar sein. Aktuell läuft bis März 2018 das EFT (Early Field Trial, erste Testphase, d.Red.).

LANline: Cisco hat kürzlich Intersight vorgestellt, ein ebenfalls ML-basiertes Management-Tool (LANline berichtete). Nutzen The New Network und Intersight die gleiche KI oder sind das verschiedene Projekte?

Falko Binder: Cisco DNA Analytics and Assurance verwendet Machine-Learning-Intelligenz, um Datensätze aus unterschiedlichsten Quellen zu korrelieren: Es nutzt Telemetriedaten aus der Netzwerkinfrastruktur sowie Kontext-Telemetriedaten zum Beispiel von Cisco MSE (Mobility Services Engine, d.Red.), DNS, DHCP, IPAM, AD/LDAP-Systemen und Cisco ISE (Identity Services Engine, d.Red.). Die Integration mit anderen Analytics-and-Assurance-Plattformen erfolgt über APIs. Konkret erfolgt aktuell die Integration mit AppDynamics und dem Meraki Dashboard. Cisco Intersight und Cisco DNA Analytics and Assurance ergänzen sich und folgen den gleichen Designprinzipien, sind jedoch auf die spezifischen Technologien und Anforderungen im Compute- respektive Netzwerkumfeld angepasst: Intersight bietet Betriebsfunktionen basierend auf ML und Analytics spezifisch für UCS und Hyperflex, DNA Assurance und Analytics für eine DNA- und Campus/Branch/Access-Infrastruktur.

LANline: Kommen im New Network für ML nur die Daten aus dem jeweiligen Kundennetzwerk zum Einsatz oder werden auch Erkenntnisse aus Ciscos Kundenumfeld mit einbezogen?

Falko Binder: Cisco DNA Analytics and Assurance hat zum Ziel, die Art und Weise des Netzwerkbetriebs durch „Actionable Insights and Simplicity“ (in Handlungen umsetzbare Einsichten und Einfachheit, d.Red.) zu transformieren. Dies erfolgt auf drei Wegen: erstens mittels Ende-zu-Ende-Visibilität der LAN-, WLAN- und WAN-Netzwerkinfrastruktur sowie angeschlossener Endgeräte und Devices, zweitens mittels proaktiver Identifikation von Problemen, der Prüfung der Netzwerk-Performance durch synthetischen Netzwerkverkehr und der Vorhersage der Netzwerk-Performance, drittens mit einem geschlossenen Regelkreis zur Problembehebung. Für das proaktive Identifizieren von Problemen und die vorausschauende Analyse finden anonymisierte Daten vieler Kunden Verwendung.

LANline: Welche Berechnungen finden vor Ort auf den Switches statt, welche im Data Center?

Falko Binder: Die Netzwerkinfrastruktur dient als Quelle für Telemetriedaten während die Datenauswertung für Analytics and Assurance im lokalen Datacenter des Kunden stattfindet. Es sind aber Auswertungen der Daten in der Cloud geplant, schon um das Konzept für den Mittelstand attraktiv zu machen. So soll es Cloud-Services für weitergehende Analysen bei Kunden geben, die die nötigen Rechenkapazitäten nicht selbst vorhalten können, oder für Großkunden mit besonders hohen Anforderungen an Analytics and Assurance. Analytics and Assurance adressiert den Komplex Network Operations, sollte jedoch inhaltlich vom Komplex Security beziehungsweise Threat Intelligence und damit Talos separiert werden. Talos verwendet anonymisierte Metadaten für Threat Analytics. Da aber der Datenschutz hierzulande mitunter ein Hindernis für die Akzeptanz solcher Dienste darstellt, haben wir viele Kunden mit einer One-Way-Vertragsbeziehung mit Talos. Das heißt, sie beziehen Threat-Intelligence-Informationen aus der Talos-Cloud, spielen selbst aber keine Daten dorthin zurück. Das lässt sich vertraglich ganz einfach so regeln.

LANline: Gibt es schon Feedback von den Testinstallationen? Welche Verbesserungen wurden erzielt, welche Optimierungen angeregt?

Falko Binder: In Deutschland gibt es ein gutes Dutzend Kunden in der EFT-Phase. Wir haben per Telepresence von Frankfurt aus ein Meeting des Enterprise Technology Advisory Boards durchgeführt. Das Feedback war hier, dass die Automation grundsätzlich gut funktioniert. Bei Verbesserungsvorschlägen ging es eher um Wünsche zur Bedienbarkeit, um Workflows möglichst intuitiv abzubilden.

LANline: Wie liegt Cisco beim New Network im Zeitplan?

Falko Binder: Wir liegen im Plan, die allgemeine Verfügbarkeit von Analytics and Assurance ist für das erste Quartal 2018 angesetzt. Ende Januar findet die Cisco Live in Barcelona statt – hier können sich Interessenten näher informieren.

LANline: Herr Binder, vielen Dank für das Gespräch.

Dr. Wilhelm Greiner ist Stellv. Chefredakteur der LANline.