Computerworld News Service: Skrot den flotte grafik og udnævn en system-guru. Sådan lyder et par af 10 gode fif, som førende eksperter kommer med til at sikre en stabil og effektiv it-drift.
1. Jævnlig IPS-justering
Med dette system installeret behøver du ikke tænke et sekund mere på hackere.
Sådan omtrent lyder budskabet i de fleste leverandørers markedsføring af IPS (intrusion prevention-systemer). Det budskab er i overflod, og det er farligt, mener en ekspert på området, David Newman fra testcentret Network Test.
Såkaldt fuzzing, hvor et exploit (en programstump, der kan udnytte en eventuel sårbarhed) justeres lige præcis så lidt, at sikkerhedsmekanismen overser den, får mange netværk til at synke i knæ.
Som netværksansvarlig er man nødt til at sætte sig ind i, hvordan hver enkelt exploit fungerer, og hvordan IPS-systemet opdager den – for så jævnligt at opgradere beskyttelsen derefter.
2. Sælg sikkerhed på udbyttet
Alle it-investeringer skal ”sælges” til chefen på pengekassen i let genkendelige termer med relation til forretningsdriften. Det gælder også sikkerhed.
Ifølge direktøren for testcenteret, ArcSec Technologies, Mandy Andress, skal man undlade at argumentere for indkøb af et nyt super-deluxe-antispam-filter ved at redegøre for virussers farlighed, men derimod ved at tegne et klart billede af den ventede produktivitets-gevinst ved installation af det ekstra lag antispam-kontrol.
3. Automatisk adgangskontrol
Trådløse badges er praktiske til automatisering af adgangskontrollen til pc’er – specielt hvis hver maskine betjenes af flere brugere i for eksempel eksamenslokaler, varelagre call-centre og lignende.
Hos Northwestern Memorial Physicians Group har de implementeret Ensure Technologies’ XyLoc MD, hvor adgangskontrollen styres af 900 MHz radiofrekvens-teknologi i de ansattes personlige ID-kort.
Guy Fuller, der er lægecentrets it-chef, har registreret et dobbelt udbytte ved implementeringen: Personalet sparer tid, samtidig med at passwords og følsomme informationer ikke falder i de forkerte hænder.
4. Bro mellem fysisk sikkerhed og forretningssystemer
Fysiske, IP-baserede adgangssystemer lagt på helt almindelige standard-servere og dirigeret via et firmas eksisterende datanet er billigere end nogensinde, takket være produkter baseret på åben arkitektur.
Teknologiske fremskridt inden for server-styringsværktøjer betyder, at disse systemer i dag kan betjenes af netværks-folkene (frem for af sikkerhedsfolk) og samtidig kan styres centralt.
Desuden kan de integreres med firmaets ERP-applikationer og med kontrolsystemerne for netværksadgang.
Papirproducenten Georgia-Pacific i Atlanta er for tiden i gang med at indføre en IP-baseret fysisk adgangskontrol ved navn WebBrix fra Automated Management Technologies.
Systemet kommer til at dække hovedparten af koncernens 400 afdelinger.
It-afdelingen har brugt WebBrix’ åbne applikations-grænseflade til at skræddersy en applikation ved navn Mysecurity, der blandt andet integrerer adgangskontrollen med et SAP-system.
Når en medarbejder indlæser sit ID-kort for at få adgang til en bygning, sendes der samtidig oplysninger om mødetid med videre til SAP-systemet, oplyser selskabets senior-systemanalytiker Steven Mobley.
5. Udnævn en styresystem-guru
For mange er konfigurering af styresystemer den rene hokuspokus, fastslår Tom Henderson, chefforsker ved testcentret ExtremeLabs.
En forkert kombination, og fanden er løs. For eksempel kan flere metoder til flytning af store hukommelsesblokke få konsekvenser for mængden af ”dirty cache”, som styresystemet skal tage hånd om.
Hvis ikke, der er den rigtige balance mellem hukommelses- og caching-indstillingerne, risikerer man, at maskinen fryser.
Ved at udpege en medarbejder til at sætte sig ind i de enorme mængder dokumentation, der følger med de fleste styresystemer, kan man have konstant fin-tunede servere, der støtter hver enkelt applikation optimalt. Samme guru bør også have ansvaret for alle web-server- og BIOS-indstillinger.
6. Klog disponering af virtuel server-hukommelse
Uden at bruge en klink kan man øge den tilgængelige hukommelse – og dermed ydelsen - i virtualiserede fysiske Windows 2003-servere betragteligt.
Hvis alle virtuelle maskiner, der er koblet på den samme fysiske boks, bruger samme hukommelsesresidente kode som for eksempel DLL (dynamic link library), kan man nøjes med at lægge DLL ind i den fysiske servers hovedhukommelse en enkelt gang og lade samtlige virtuelle maskiner deles om den, forklarer Wendy Cebula, driftsansvarlig COO hos internet-trykkeriet VistaPrint.
”Vi har fået forbedret hukommelses-udnyttelsen radikalt ved at nøjes med at cache en gang pr. fysisk boks frem for per anvendelses-session,” siger hun.
7. Flyt applikationer til et Linux-grid
Hvis man afvikler datakraft-konsumerende mainframe-applikationer, skal man ikke på forhånd opgive billigere alternativer, såsom grid, blot fordi applikationerne oprindeligt er skrevet i Cobol, påpeger Brian Cucci, chef for divisionen for avanceret teknologi i transportfirmaet UPS, der har installeret et sådant grid.
Den enkelte applikation skal nok justeres en anelse for at fungere på den nye hardwareplatform, men her kan man regne med leverandørens assistance, da han som regel selv gerne vil gøre sig fortrolig med den nye teknologi.
8. WAN-forbindelser kan forkrøble VoIP QoS
Særligt i geografiske områder med infrastruktur af ældre dato kan kvaliteten (quality of service, QoS) af IP-telefoni forringes, konstaterer teknologidirektør i arkitektfirmaet Gensler i San Francisco, Bruce Bartolf.
Bartolf har netop stået for installation af VoIP på 35 forskellige lokationer og oplevede her bemærkelsesværdigt høje fejlkvotienter – eller direkte nedbrud – på flere af forbindelserne.
Så for at opnå den oppetid og kvalitet, der kræves af en telefontjeneste, bør man lægge failover/standby-nedløsninger ind i sit WAN. Samme problem kan optræde med kabelnet, men her kan Metro Ethernet være til hjælp, tilføjer han.
9. Nemmere IP-håndtering med en appliance
Selv om de opgaver, et appliance-modul løser, også kan løses ved hjælp af de respektive leverandørers udstyr, kan man med noget så vanskeligt som IP-håndtering for alvor forstyrre driften, hvis man ikke gør tingene korrekt, advarer Bruce Bartolf fra Gensler.
Han har indkøbt appliance-bokse hos firmaet Infoblox, som varetager en lang række funktioner – herunder opgradering af TFTP (Trivial File Transfer Protocol) firmware.
"Fremfor at skulle rode rundt med Microsofts DFS, loade en TFTP-server på en Microsoft-server, afvikle DHCP på en Microsoft-server og afvikle SMS oven på alt dette – og holde styr på det hele – har jeg nu en appliance, jeg propper i, og som bare fungerer."
10. Skrot den flotte grafik
"Vi har fundet det temmelig upraktisk at køre med visualiseret overvågning," siger VistaPrints Wendy Cebula.
VistaPrint bruger fjern-monitorering til at overvåge sine datacentre, hvoraf et ligger på Bermuda.
Ved hjælp af hjemmefabrikerede værktøjer holdes styr på alt fra CPU-belastning til event-korrelationer.
Visualiserende grafik viste sig imidlertid at forsinke både registrering og analyse, så netværksfolkene typisk brugte mellem fem og syv minutter per event på det.
Da man ændrede værktøjerne til kun at vise enten rødt, gult eller grønt lys, kunne varigheden af samme procedurer nedsættes til mellem et og to minutter per event, tilføjer hun.
Og så er der lige det med at huske at holde sine overvågningsværktøjer i drift konstant og afvikle spot-tjek, lyder det gode råd fra konsulenten Barry Nance, som minder om, at folk typisk begår den fejl ikke at aktivere værktøjerne, før en event er indtruffet.
Oversat af Lene Sekjær
