Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

Mint on erittäin vahva Splunk-toimittaja – olemme olleet sitä jo vuosia ja olemme panostaneet tälle osa-alueelle valmiiksi ja etukäteen vuodelle 2021. Tiedämme mistä überkonsultoimme.

Splunk header

Minted by Splunk

Mint Security provides a vast range of überconsulting for Splunk. From a single server to clustered multisite setups with integrated...

Tässä blogissa haluan fokusoida siihen, miksi on-prem Splunk-asennus on edelleen 2021 kova sana. Aloitetaan siitä, että on-prem tarkoittaa meille mitä tahansa sellaista ympäristöä, jossa perustetaan palvelimia OS-tasolla ja rakennetaan palvelu sen päälle. On-prem voi siis olla oma konesali, paikallinen muu konesali, Azure – AWS – Google -akselilla olevaa IaaS-ympäristöä – tai jotain muuta pilvipalvelua lähellä tai kaukana.

On-prem tarpeet

Ei ole mikään salaisuus, että on-premin vaihtoehtona on Splunkin SaaS-pilvi. Se on hyvä vaihtoehto. Sillä on kuitenkin rajoituksensa. Rajoitukset ovat toisaalta ihan luonnollisia ja järkeenkäypiä SaaS-palvelulle. Miten, miksi ja milloin on-prem tarjoaa selkeitä etuja Splunkin SaaS-tarjonnasta?

  • Splunk Searchhead

    Datan pitää olla lähellä ja nopeasti saatavilla

    Pilvessä data on potentiaalisesti kaukana. Datan läheisyydelle saattaa olla monta syytä, yleensä asiakas itse tietää (ja tuntee) miksi datan pitäisi sijaita missäkin. Tähän liittyy monesti sekä varmuus, epävarmuus, järki ja myös tunteet.

  • Splunk Searchhead

    Regulaatio asettaa vatimuksia sijainnille

    Regulaatio on yksi edellämainituista asioista jonka asiakas tietää. Kuinka kivaa onkaan ottaa helppo Splunk SaaS käyttöön vain todetakseen, että data pitää obfuskoida kuoliaaksi asti ragulatoorisista syistä, joka tekee datan hallinnasta vaikeaa ja hakemisesta hankalaa. Silti kaikki data pitäisi lukea sisään ja pystyä käsittelemään.

  • Splunk Searchhead

    Kaikki datalähteet sijaitsee on-prem - tai lähellä

    Splunkin lisenssit mahdollistaa gigatavutolkulla datan indeksointia päivässä. Kaikki pitäisi siirtää pilveen? Jos lokilähteet on paikallisina, ei ole välttämättä järkeä siirrellä gigatavuja päivässä paikasta toiseen. Muista - myös Azure - AWS - Google IaaS on on-prem!

  • Splunk Searchhead

    Tallennustilaa ja arkistointia pitää olla pitkältä ajalta

    Tallennustilaa on pilvessä saatavana loputtomasti. Mutta nopeahko laskutoimitus siitä, mitä 50 gigaa päivässä indeksoitua dataa säilytettynä 10 vuotta - arkistointivaatimuksen kautta - maksaa Splunkin SaaS -pilvessä paljastaa että on-prem hankittuna hyvältä konsultilta on varsin varsin kilpailukykyinen kokonaisomistuskustannuksiltaan. Ei pelkästään säilytystilana.

On-prem edut

Edut korreloivat pitkälti tarpeisiin. Osittain etujen listaaminen on redundanttia – mutta olkoon niin. 

  • Splunk server

    Tallennustilan hinta

    Viitateen yllä esitettyyn 10-vuoden arkistointitarpeisiin, voidaan todeta että paikallinen nopeakin levytila (puhumattakaan järkevästä NFS kylmäsäilöstä) on aivan tolkuttoman kustannustehokasta. Varmistuskustannukset mukaan lukien.

  • Splunk server

    Saatavuus

    Pilvi on aina päällä ja aina saatavilla. Paitsi kun se ei ole. Perinteinen "taksilla pääkallopaikalle" ja pääset tietoihisi käsiksi on joskus relevantti skenaario. Tietojen saatavuuteen voi liittyvä myös viranomais- tai asiakasvaatimuksia. Yllättävää - joskus yritykset itse ilman ulkoisiakin pakotteita asettavat vaatimuksia datan saatavuudelle.

  • Splunk server

    Multisite mahdollisuus

    Jos tietojen sijainti ja palveluiden toiminta on mitenkään kiinni Suomen tai pohjoismaiden sisällä maantieteellisestä lokaatiosta, on ainoa mahdollisuus paikallinen multisite -asennus.

  • Splunk server

    Resursseja ja kapasiteettia voidaan jakaa

    Jos jo nyt maksat konesalipalvelusta - omasta tai vuokratusta tai ostetusta - voit todennäköisesti hyödyntää monta kustannuserää myös Splunk -installaatioosi. Lisäksi on tietenkin huomioitava tässä kohtaa se, että tässä mainitusa konesalissa on jo toimintoja, jotka lokittavat ja joiden lokienhallintaan tarvitaan infrastruktuuria joka tapauksessa.

  • Splunk server

    Voidaan hyödyntää kaikkia ominaisuuksia vapaasti

    Splunkissa on paljon ominaisuuksia, joiden täysimääräinen hyödyntäminen realisoituu vasta kun pääset props.conf -tiedostoon käsiksi. Et pääse siihen käsiksi SaaS-palvelussa. Tässä vaiheessa rakennetaan erilaisia lisärakennelmia tukemaan Splunk SaaS-mallia. Joskus rakennelmat toimii ja joskus ei.

  • Splunk server

    Voidaan hyödyntää kaikkia arkkitehtuurin suomia mahdollisuuksia vapaasti

    Splunk-arkkitehtuuri on äärimmäisen joustava. Splunk SaaS -palvelu on tietysti rakennettu näiden joustavuuksia päälle ja niiden varaan - lisksi tietenkin hyvien käytäntöjen varaan. Tämä ei kuitenkaan tarkoita sitä, etteikö tässä kohdattaisi rajoituksia. Jos unohdetaan rajoitukset - todetaan vain että arkkitetuurin tuomat mahdollisuudet puhkeavat kukkaan vasta on-prem asennuksessa.

Thomas Malmberg

Mint Security tuottaa asennuksen ja käyttöönoton palveluna - mutta haluamme myös olla mukana asiakasta tukemassa koko Splunk-elinkaaren ajan. Tämä on tietenkin meille liiketoimintaa, mutta samalla joudumme ottamaan vastuuta siitä, miten ja kuinka Splunk on rakennettu asiakkaalle. Koemme vastuuta tekemisistämme. Miten ja kuinka huolehdimme siitä, ettemme aja itseämme ylläpidon umpikujaan?

Thomas Malmberg

Mint Security

Miten Mint Security toteuttaa Splunk on-prem projektin

  • Erittäin tarkka määrittely

    Toteutuksemme vaatii työpajan - tarkan määrittelyn toteuttamisen. Tarkka määrittely ei tarkoita joustamatonta - haemme työpajassa asiakkaalta näkemystä muun muassa siitä, KUINKA josustava järjestelmän on oltava.

  • Selkeät verkkokuvat ja muurinavaustilaukset

    Me teemme määrittelyjen perusteella verkkodokumentaation ja sen perusteella asiakkalle myös aliverkotussuunnitelman sekä liittyvät palomuuriavauslistat.

  • Järjestelmä ja kapasiteettisuunnittelua

    Tuotamme valmiit speksit asiakkaalle virtuaalipalvelinten ja tallennustilan suunnittelun pohjaksi. Hyödynnämme SSD-, SAS-, SATA- sekä NFS-tilat mitä meille annetaan.

  • Toteutetaan täysin skriptattu asennus - Ansible on työkalumme

    Me toteutamme asennuksen "look mom, no hands" -periaatteella. Tämä ei tietenkään onnistu ilman hyvää määrittelyä ja hyvää etukäteissuunnitelua. Lisäksi se vaatii Splunkin perinpohjaista tuntemusta. Me tuomme tätä kaikkea pöytään.

  • Kovennettu ja palomuurattu

    Asennuksemme on kovennettu - käyttöjärjestelmät asennetaan minimaalisina, asennamme vain tarvittavat paketit - jonka jälkeen poistamme vielä rutkasti turhaa.

  • Valmiit sovellukset konfigurointeineen asennuksen jälkeen

    Määritellyt sovellukset asentuvat automaattisesti ja konfiguroituina asennuksen aikana.

  • Valmis valvonta ja seuranta itse Splunk-toteutukselle

    Asennuksemme mukana tulee valmiiksi konfiguroidut sovellukset joihin on liitetty Splunk-ympäristö. Sillä voit valvoa tuottamamme ympäristön selkeästi ja helposti - Splunkilla tietenkin.

  • Jatkuvuus skriptaamalla

    Jatkuvuus on tärkeää. Se on meille veressä. Jatkuvuus tarkoittaa muun muassa järjestelmän pystyttämistä nollasta uudestaan hyvin nopeasti mahdollisesti jopa eri paikassa. Skriptattu asennus mahdollistaa tämän. Lisäksi asiakas voi tuottaa jatkuvuutta myös ilman meitä - eliminoida toimittajariski ottamalla skriptit haltuunsa.

  • Laajennettavuus skriptaamalla

    Ajattelemme järjestelmän laajennettavuuta. Se onnistuu myös skriptaamalla. Kuinka monta indekseriä tarvitset lisää? Asia selvä - mutta muista palomuuriavauket.

Määrittelytyön tueksi tuomme valmiita toteutusmalleja, joiden vahvuudet ja heikkoudet esittelemme monesta näkökulmasta.

Asennus on valmis - apua!

Meiltä saa apua ja sitä saa laidasta laitaan. Käytämme, neuvomme ja koulutamme. 

  • Splunk Indexer

    Deployment-serverin kautta suunniteltu onboarding

    Vähennetään myös asennuksen jälkeistä käsityötä. Asenna forwarderi ja aja yksi komento. Järjestelmä hoitaa loput - ja lokit valuu sisään. Tämä on se tila, johon pyrimme suunnittelemalla ja viemällä Deployment-ajattelun tarpeeksi pitkälle.

  • Splunk Indexer

    Lokien analysointi

    50 gigaa lokia päivässä voi olla haastavaa paatuneimmallkin tullimiehelle. Siispä autamme. Olemme tarvittaessa läpivalaisulaite, huumekoira tai tilastoija.

  • Splunk Indexer

    Huonosti tuettujen tai täysin kustomoitujen lokilähteiden onboarding

    Aina ei lupauksista huolimatta laitevalmistajan TA (Splunk Technology Addon) ole mikään oikotie onneen. Yritämme parantaa tätä tietä. Useasti onnistumme.

  • Splunk Indexer

    Tietoturva ja SOC

    Suonissamme virtaa tietoturva. Lähdemme siis siitä, että tietoturva on tärkeää. Tuotamme asiakkaan käyttöön tarvittaessa "mini-SOC" -palvelun jossa pienellä kustannuksella saadaan gigatavujen palomuuri- tai muista tietoturvalaitteista näkyvyyttä alta aikayksikön. Haittaohjelmat, kryptominerit tai kyseenalaiset TOR-verkot jää kiinni. Jos aiot ulkoistaa SOCisi on kaikki tehty työ tietenkin hyödynnettävissä siinä.

  • Splunk Indexer

    GDPR tilannekuva

    Aloitetaan siitä, että tehdään dashboard josta käy ilmi kaikki lokitetut henkilötunnukset. Tulosta ihmetellessä saatetaan sitten viettää hetki ja toinenkin. Tämän jälkeen voidaan yhdessä keksiä, miten juurisyy voidaan ratkaista.

Mint Splunk Consulting Services

Mint Splunk Consulting Services

Mint Security tarjoaa Splunkia käyttäville erilaisia lisäarvollisia Splunk konsultointipalveluita jolla saadaan omasta ympäristöstä kaikki irti - turvallisesti.

Tilaa tämä heti

Meidän kanssa kannattaa jutella. Me näytetään mitä tehdään. Omat järjestelmämme rakentuu samalle tekniikalle ja samalle filosofialle. Saatte tarjouksen nopeasti, selitämme optiot ja mahdollisuudet seikkaperäisesti. Kerromme myös mitkä asiat sisältää riskejä ja miksi me niissä kohdin voimme enintään yrittää parhaamme. Workshopin kautta syntyy meille tarvittavat tiedot sekä asiakkaalle uutta viisautta. 

Thomas

Thomas

The author works at and owns Mint Security, a mean and lean security company founded in 2015. No fuzz (literally - we do not fuzz, there are companies better equipped to do that).

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.