NxtWork 2019 EMEA, London
Netzwerkinfrastruktur auf dem Rücksitz
5G, IoT, Cloud, Netzwerk-Automatisierung oder IT-Sicherheit: Juniper Networks sieht sich für die aktuellen Technologie-Entwicklungen bestens aufgestellt. Im Zentrum steht neben dem herstellereigenen Sicherheitsansatz "Connected Security" vor allem das eingekaufte Know-how des WLAN-Spezialisten Mist. Dessen KI-gestützte WLAN-Automatisierungstechnik ist mittlerweile integriert und soll nun sukzessive in das gesamte Enterprise-Portfolio eingehen.
Juniper Networks hat - so verkündete es der Netzwerkausrüster auf der EMEA-Ausgabe seiner Hausmesse NxtWork 2019 in London vor knapp 400 Partnern und Kunden zumindest - einen "Game Changer" im Wettstreit mit den anderen Netzwerkausrüstern an der Hand: die Übernahme des WLAN-Spezialisten Mist Systems im Sommer des vergangenen Jahres. Das 2014 gegründete Unternehmen hat sich von Beginn an darauf fokussiert, die Erfahrung des Endanwenders verbessern zu wollen - mittels künstlicher Intelligenz. Aus diesem Grund habe das Unternehmen einen eigenen Access Point gebaut, der Mist die Aggregation der Daten ermöglicht, die es für seine Zielsetzung benötigt, wie Sujai Hajela, CEO und Mitgründer von Mist Systems in seiner Keynote erklärt: "Wenn man sich mit künstlicher Intelligenz beschäftigt, sind die zu Grunde liegenden Daten kritisch." Der Mist-CEO betont jedoch, dass es sich bei den herangezogenen Informationen lediglich um Metadaten handelt - einen Aspekt, den die Juniper-Gesprächspartner auf der Hausmesse immer wieder besonders bekräftigten.
Mit der Mist-Technik ist es laut Hajela mittlerweile möglich, dass sich ein (kabelloses) Netzwerk selbst korrigieren kann, also sich zu einem "self-driving" Netzwerk entwickelt. Die als "Marvis Actions" bezeichnete Fähigkeit innerhalb des Virtual Network Assistant von Mist sei nicht nur in der Lage, verschiedene Ursachen von Problemen in verschiedenen Domänen (WLAN, LAN, WAN und Sicherheit) zu identifizieren, sondern könne diese auch automatisch beheben, wie zum Beispiel durch das automatische Hinzufügen eines fehlenden VLAN-Tags, durch die Behebung einer falschen Port-Konfiguration oder durch die Bereitstellung von vorgeskripteten Empfehlung zur Behebung von Zwischenfällen, etwa wenn das Problem auf einem externen System festgestellt wurde.
KI-Engine Marvis
Zu Beginn seiner Reise ist der WLAN-Spezialist ursprünglich der Frage nachgegangen, wie das Netzwerk aus der Perspektive des Endanwenders aussieht. "Es gibt einen Weg für ein Netzwerk, um ein Device zu authentifizieren und anzubinden. Es gibt aber nahezu 150 Möglichkeiten für das Device, dass die Anbindung fehlschlägt", sagte der Mist-CEO. Bei Umgebungen von 10.000 Endgeräten, die eine Anzahl von beliebigen Statusinformationen produzieren, sei es nahezu unmöglich, die Übersicht zu behalten. Mist nutzt hierfür seine KI-Engine Marvis, die diese Informationen kategorisieren soll.
Der Administrator kann beispielsweise Schwellenwerte für die WLAN-Abdeckung oder für die Zeit, die ein Device maximal für eine Verbindung benötigen darf, festlegen. Anschließend fängt Marvis laut Hajela an, diese Schwellenwerte an das anzupassen, was in Ordnung ist und was nicht. Alle zwei Sekunden sammelt es diese Informationen ein, bereitet diese auf und führt es in das System über. So soll der IT-Verantwortliche eine Übersicht darüber erhalten, was in seinem Netzwerk über alle Access Points hinweg passiert. Außerdem sei Marvis in der Lage ihm mitzuteilen, wenn etwas nicht in Ordnung sei. Damit ist es für Administratoren möglich, sich tiefer mit dem Problem zu beschäftigen und dem System beispielsweise einfache Fragen zu stellen, etwa "wie geht es dem Netzwerk?" oder "was für ein Problem hat der Access Point?"
Die KI-Engine versucht aus den Telemetriedaten im Netzwerk zu lernen. Dabei sei das Ziel, nicht nur eine Meldung zu schicken, wenn es ein Problem gibt, sondern das System soll am Ende ein sich selbst steuerndes Netzwerk darstellen. "Jeder Zwischenfall im Netzwerk produziert Daten, die Marvis automatisch in der Cloud analysiert, behebt oder neu einrichtet - ohne dass ein Mensch hierzu eingreifen muss", berichtete Manoj Leelanivas, Executive VP and Chief Product Officer bei Juniper Networks. Derzeit sei Juniper in der Lage, 50 Prozent der Trouble-Tickets ohne menschliche Intervention mit Marvis zu lösen. Innerhalb der nächsten ein bis zwei Jahre sollen es laut Leelanivas 80 Prozent sein, vielleicht sogar mehr.
Goldmine an Daten
"Ich denke, es gibt ein Bedürfnis nach selbststeuernden Netzwerken, die sich selbst erkunden, sich selbst konfigurieren, sich selbst überwachen und selbst analysieren können. Das Erreichen dieser neuen Ebenen hängt stark von ein paar Dingen ab, etwa von der Erfassung und dem Sammeln von Daten, die es im Netzwerk in unseren IT-Systemen bereits gibt. KI bedeutet, aus diesen Daten zu lernen und dann darauf zu reagieren", erklärte Juniper-CEO Rami Rahim in seiner Keynote. Juniper habe in den letzten Jahren den Grundstein gelegt, um auf die Goldmine an Daten - die als Grundlage für KI und Datenanalyse dient - im Netzwerk zuzugreifen. "Unser Ziel ist es, das Netzwerk für den Administrator erheblich zu vereinfachen und die Endnutzer-Erfahrung enorm zu verbessern.
Dies macht Juniper, indem Mist basierend auf den Telemetriedaten eine Ende-zu-Ende-Sicherheit ermöglichen soll. Basierend auf diesen Daten versucht die KI-Engine Marvis eine automatisierte Netzwerk-Orchestrierung mit Echtzeit-Aktionen bereitzustellen. Das Backend dazu hostet der Netzwerkausrüster für den europäischen Markt etwa bei AWS in Frankfurt. "Unser KI-Ansatz im WLAN ist ein gutes Thema, um mit Unternehmen ins Gespräch zu kommen" erklärte Tom Ruban, Vice President, Technical Sales EMEA & CALA bei Juniper Networks, im Gespräch mit LANline. Tatsächlich gab der Hersteller bekannt, dass in den sechs Monaten nach der Übernahme der Mist-Geschäftsbereich um 42 Prozent zugelegt hat. "Das Interesse an dem Thema ist groß, aber wir haben noch nicht so viel Cross-Selling, wie wir uns das vorgestellt haben", ergänzte Ruban. Dies erhofft sich Juniper jedoch spätestens durch das ausrollen der KI-Orchestrierung auf das gesamte Produktportfolio.
Unter dem Namen "AI driven Enterprise" will der Netzwerkausrüster diese Technik dann auf dem Markt vertreiben und vor allem dem Platzhirsch Cisco Marktanteile abluchsen. Gleichzeitig erhofft sich Juniper durch diese Maßnahme im Enterprise-Segment zulegen zu können. Historisch ist der Netzwerkausrüster vor allem im Service-Provider-Umfeld stark präsent. Mit dem zugekauften WLAN-Portfolio und der KI-Engine Marvis gegossen in eine Vision eines selbststeuernden Netzwerks soll nun die Wende auch in den anderen Segmenten gelingen. Im Vergleich zum Vorjahr hat Juniper nach eigenen Angaben 2019 ein Plus von acht Prozent im Enterprise-Segment erzielt - auch ein Effekt durch das um Mist erweiterte Portfolio.
Das erste Produktsegment, das Juniper mit der KI-Technik ausgerüstet hat, sind laut Leelanivas logicherweise die Switches. Anschließend sollen alle Enterprise-Assets des Herstellers mit der cloudbasierten KI-Technik ausgestattet werden, um das "self driving" Netzwerk realisieren zu können. "Dazu werden wir jedoch noch etwas Zeit brauchen, da wir es methodisch und systematisch angehen", untermauerte der CPO. "Für die Infrastruktur ist es nun an der Zeit, neben dem selbststeuernden Netzwerk auf dem Rücksitz Platz zunehmen."
Switches mit Mist-KI und Cloud-Management
Derzeit hat Juniper seine Access-Switches um die Mist-KI und ein Cloud-Management erweitert. Dadurch sei es durch die Marvis-Engine möglich, Erkenntnisse aus dem Netzwerk in umsetzbare Aufgaben umzuwandeln. Dazu hat der Hersteller den Dienst Wired Assurance angekündigt. Wie sein Wireless-Pendant handelt es sich hierbei um eine Erweiterung des KI-Frameworks von Marvis. Es wird vom hauseigenen Betriebssystem Junos, das auf den Access und Aggregation Switches der EX-Familie zum Einsatz kommt, mit den nötigen Telemetriedaten gefüttert, um das Netzwerk zu verbessern. Ziel ist es, ein höheres Level an Automation und Insights in die kabelgebundene Infrastruktur zu liefern, so Juniper. Dies umfasst Funktionen wie Anomalie-Detektion, Gesundheitsmetriken der Switches und den Marvis Virtual Network Assistant inklusive Marvis Actions für das Troubleshooting, Netzwerkeinsichten und integrierte Help-Desk-Funktionalität.
Durch die Erweiterung des SD-WAN-Portfolio um ein SD-LAN, sei es nun für Administratoren über ein cloudbasiertes Portal möglich, die hauseigenen EX-Switches zu provisionieren, LAN-Fabrics zu managen und LAN-Virtualisierung sowie Sicherheitsrichtlinien zu konfigurieren wie sie es bereits aus der SD-WAN-Lösung kennen, so der Netzwerkhersteller. Ebenso stelle das SD-WAN- und SD-LAN-Portfolio auch die WLAN Access Points von Mist dar. Ferner lasse sich die Mist-Cloud für WLAN-Provisionierung, Troubleshooting, Management und andere Alltagsaufgaben inklusive des Marvis-Assistenten über das Portal starten.
Sicherheit auf Switch-Ebene
Auch das Thema Sicherheit stand in London auf der Agenda. Der größte Vorteil für Angreifer ist die Zeit, wie Samantha Madrid, Vice President of Product Line Management for Security bei Juniper Networks, erläuterte. In den letzten 20 Jahren hat die IT-Industrie versucht, die Verweildauer von Angreifern im Netzwerk zu reduzieren - angefangen mit der Signaturerkennung über IPS- und Antivirus-Erkennung und Traffic überwachen. Durch die verstärkte Nutzung von mobilen Geräten, die Zugang zu Unternehmensdaten von innerhalb und außerhalb des Netzwerks benötigten, habe sich auch der Blick auf das Netzwerk verändert: Der Fokus verlagerte sich nun auf das Erkennen von Zero-Day-Angriffen mittels Threat Intelligence und der Analyse von Verhaltensweisen von Nutzern, Apps und Geräten im Netzwerk, resümierte Madrid. "Ich glaube, dass die Entwicklung der IT-Sicherheits-Industrie seit 20 Jahren feststeckt", sagte die Sicherheitsexpertin. "Wir nutzen immer noch Firewalls, immer noch Endpoint-Detection, und wir nutzen immer noch Proxy-basierte Techniken am Gateway, während wir inzwischen unsere Fähigkeiten zur Aufklärung von Bedrohungen weiterentwickelt haben - die Fähigkeiten, diese auch durchzusetzen haben wir nicht weiterentwickelt."
Der Wandel der Architektur hin zu virtuellen sowie hybriden Cloud-Umgebungen, die Zunahme von SD-WAN etc. führt laut Madrid dazu, dass das Netzwerk immer dezentraler werde. Schließlich sei ein Nutzer mit seinem Smartphone bereits ein Gateway in die Netzwerkinfrastruktur seines Arbeitgebers. Daher müssen auch Netzwerk und Sicherheit zunehmend zusammenrücken, bekräftige Madrid. Statt das Thema (Netzwerk-)Sicherheit allein einer Firewall zu überlassen, sei es notwendig, das Netzwerk an sich resistenter gegen Bedrohungen zu machen.
Mit dem Sicherheitsansatz "Connected Security" will Juniper diesen Entwicklungen begegnen. Dabei verfolgt der Hersteller das Ziel, auch unter Einbeziehung von Sicherheitstechniken von Drittanbietern jede Netzwerkverbindung - also von Nutzern, Applikationen etc. - über die gesamte Infrastruktur hinweg zu schützen. Mit Connected Security kombiniert Juniper nach eigenen Angaben Netzwerk- und Sicherheitselemente in einem zentralisierten Management und ergänzt diese mit Analytics, um eine vollumfängliche Sicherheit und automatisierte Bedrohungsbehebung zu gewährleisten.
Das Sicherheitskonzept fußt unter anderem auf einer fortschrittlichen Threat Detection Engine, die auf der herstellereigenen cloudbasierten Malware-Detection-Lösung Sky ATP (Advanced Threat Protection), der hauseigenen On-Premise Analyse-Plattform Sky ATP Appliance für die Erkennung von hochentwickelten Gefahren sowie einer Threat Intelligence zusammensetzt. Letztere informiert sich aus verschiedenen Quellen. Ein weiterer Bestandteil ist ein zentralisiertes Management, Richtlinien und Analytics.
Mit Junos Space Security Director will Juniper eine skalierbare und responsive Security-Management-Applikation bereitstellen, die die Administration von Sicherheitsrichtlinien deutlich verbessert. Der Policy Enforcer - ein Bestandteil des Security Directors - soll dabei die Kommunikation mit Multi-Vendor-Netzwerken und Sicherheitsproduktion wie Next-Generation Firewalls übernehmen, um eine globale Sicherheitspolitik und Analysen durchzusetzen. Ebenso soll das intelligente Threat-Intelligence-Modul aus den verschiedenen Quellen konsolidieren. So sollen Bedrohungen schnell blockiert, unter Quarantäne gesetzt und die Ausbreitung von Nord-Süd- oder Ost-West-Bedrohungen im Netzwerk verhindert werden.
Zunächst hat Juniper Secure Connect auf seinen MX-Routern verfügbar gemacht. Seit Kurzem hat der Netzwerkausrüster seinen Sicherheitsansatz auch auf die Switches der EX- und QFX-Reihe ausgeweitet sowie die Inklusion von Mist verkündet. "Das bedeutet, dass jedes dieser Juniper-Netzwerk-Geräte in der Lage ist, zu erkennen, ob eine eingehende Verbindung bösartig ist oder nicht", bekräftigte Madrid. Vor allem durch die Kombination mit Sky ATP, der cloudbasierten Threat Intelligence des Herstellers, die mit allen herstellereigenen Firewall-Lösungen verbunden ist, sei es nun möglich, boshafte Aktivitäten in der Layer 7 in die Layer 3 und 4 zu übersetzen. Auf diese Weise sollen beispielsweise die MX-Router in der Lage sein, maliziöse IP-Adressen unmittelbar zu blocken. "Eine solche Kommunikation über das gesamte Netzwerk hinweg ist das, was ein Threat-Aware-Netzwerk ausmacht", unterstrich Madrid.
Lesen Sie mehr zum Thema
