Laitteita vai ohjelmia?
Pertti Hämäläinen • piirros: Marika Slade
Ohjelmistotalojen veristä kilpailua vähemmälle huomiolle on jäänyt laite- ja ohjelmistopohjaisten ratkaisujen välinen kisa, jossa rauta on voittamassa softan.
Yrityksen konehuoneesta, erityisesti sen laitekehikosta tulevat ensimmäiseksi mieleen palvelimet, massamuistiyksiköt ja runkokytkimet, joilla sovellukset ajetaan ja tiedot säilytetään ja siirretään.
Samaan kehikkoon on kuitenkin ilmaantunut myös paljon erikoistuneita laitteita, joiden moninaisuutta on vaikea kuvata yhdellä sanalla. Palomuuri tai kuormantasain pakataan mielellään omaan yhden yksikön korkuiseen laitteeseensa, jota kuvaamaan on aina niin täsmälliseen englannin kieleen vakiintunut termi ”appliance”.
Termin sanakirjakäännös on banaalisti ”laite” tai ”koje”. ”Home appliance” on suomeksikin kodinkone, mutta tietoteknisille laitteille vastaavaa yksiselitteistä termiä ei ole, ehkä siksi, että ”tietokone” on jo varattu. Puhutaanpa siis tällä kertaa ”erillislaitteista”.
Palvelimen rooli kutistuu
Tietotekniikka on usein kehittynyt siten, että uudet ideat ja konseptit ohjelmoidaan ja testataan ensin yleiskäyttöisillä tietokoneilla, joille on saatavana laajin valikoima sovelluskehitysvälineitä.
Aikaa myöten hyödyllisimmiksi osoittautuneet rutiinit eriytyvät itsenäisiksi moduuleikseen, jotka siirretään syrjään kuormittamasta varsinaisia sovelluksia ajavaa suoritinta. Esimerkiksi moderni pc:n lähiverkkosovitin tai näytönohjain ajaa pitkät pätkät ohjelmakoodia, joka takavuosina majaili laajennuskortin ajurilla tai käyttöjärjestelmän kirjastossa.
Lisäkorteilta laitemoduulit ovat komponenttien pienentyessä ja integrointiasteen kasvaessa siirtyneet lopulta pc:n emolevylle tai jopa prosessorin piirisarjalle.
Verkon konehuoneessa tilanne on toinen. Vaikka palvelinten komponenteissa toteutuu sama kehityskulku kuin työasemienkin, se ei ole johtanut palvelinten roolin laajenemiseen, pikemminkin päinvastoin.
Esimerkiksi massamuistit ovat siirtyneet itsenäisiksi yksiköikseen, joihin palvelimet pitävät yhteyttä joko lähiverkon tai erityisen tallennusverkon avulla. Sama pätee ohjelmakoodiin, jonka suorittaminen siirtyy enenevässä määrin palvelimista erillislaitteisiin.
Palomuurit tiennäyttäjinä
1990-luvulla suurin osa palomuureista toimi sovelluksina yleiskäyttöisissä tietokoneissa, joiden käyttöjärjestelmänä oli useimmiten jokin Unixin versio. Palomuurin ylläpito vaati syvällistä asiantuntemusta sekä käyttöjärjestelmästä että tcp/ip-liikenteestä ja tarjosi järjestelmän ylläpitäjälle näytön paikan guruluokassa. Moni yritys ulkoisti tehtävän suosiolla jollekin kovamaineiselle tietoturva-alan palveluyritykselle.
Palomuurivastaavan haasteena ei ollut vain toimivan ja aukottoman säännöstön luominen, vaan myös palomuurisovelluksen alustan tietoturvasta huolehtiminen. Käyttöjärjestelmän turvallinen konfigurointi ja ohjelmistopaikkauksien pitäminen ajan tasalla vaativat tarkkaa työtä ja asiantuntemusta.
Valmistajien kannalta vaikeasti ylläpidettävä ympäristö tarkoitti usein huonosti myyvää tuotetta. Varsinkin internetiin joukolla kytkeytyvät pienyritykset olivat palomuurivalmistajille ongelmallisia asiakkaita. Ratkaisu löytyi valmiiksi asennetuista erillislaitteista.
Markkinoille alkoi tulvia erityisiä palomuurilaitteita, joihin asennetun palomuuriohjelmiston alustana sykki ”kovennettu” versio käyttöjärjestelmästä. Kovennus merkitsi muun muassa tunnettujen tietoturva-aukkojen tukkimista sekä tarpeettomien prosessien ja palveluiden poistamista.
Valmistajan tarjoaman tuen tarve pieneni, kun epävakaan ympäristön aiheuttamat ongelmat poistuivat palomuuriohjelmalta. Kun laitteen omistaja pääsi muuttamaan vain perusasetuksia ja kirjoittamaan sääntöjä, tietoturvankin taso parani.
Vähäinen ei myöskään ollut etu, jonka stabiili ohjelmistokoonpano ja asetusten joukko tarjosi ohjelmiston ylläpidolle. Microsoftia pienemmilläkin resursseilla varustettu ohjelmistotalo pystyy nyt lähettämään toimivat päivityspaketit laitteille, joiden varusohjelmia käyttäjät eivät pääse peukaloimaan.
Tietoturvaa ilman erikoisosaamista
Erillislaitteisiin viedyt palomuuriohjelmat saivat pian seuraa muista verkon reunalle sopivista turvatoiminnoista. Palvelunestohyökkäysten torjunta, vpn-ohjelmistot, virustorjunta ja muu sisällönsuodatus sopivat hyvin samaan laitteistoon. Tänään monen pienyrityksenkin internet-yhteyttä vahtii varsinainen tietoturvan monitoimilaite.
Tietoturvatuotteiden valmistajat huomasivat pian, että malli sopi myös monien sellaisten ohjelmistojen markkinointiin, joita olisi muuten vaikea saada kaupaksi.
Esimerkiksi sähköpostipalvelimeen asennettava virustutka sopii suurelle yritykselle, jolla on palkkalistoillaan sähköpostisovellusten ja palvelinkäyttöjärjestelmien asiantuntijoita. Keskisuuri yritys asentaa mieluummin sähköpostin suodatuksen verkon reunalle erillislaitteeseen, jolloin postipalvelimen kuormituksesta ei tarvitse kantaa huolta. Samalla tavalla ja usein samalla laitteellakin hoituu kätevästi myös roskapostin torjunta.
Erillislaite joka lähtöön
Tietoturva-alan menestys on houkuttanut runsaasti seuraajia. Erillislaitteista on tullut mitä hedelmällisin uusien ohjelmistoideoiden ja -ratkaisujen koemarkkinointikenttä.
Markkinoinnin kannalta malli on kätevä, koska ihminen ostaa mieluiten kouriintuntuvia tuotteita. It-toiminnoista vastaavan on helpompi esitellä toimitusjohtajalle kehikkoon asennettua tunkeilijoiden torjuntakonetta kuin samaan tehtävään tarkoitettuja agentteja, jotka lymyävät palvelimissa ja reitittimissä.
SSL-kiihdytinten tai kuormantasaajien myyminen palvelinten tai reitittimien lisätoiminnoiksi on paljon vaativampaa kuin verkkoon kytkettävän erillislaitteen kauppaaminen. ”Mitään jo asennettua ei tarvitse muuttaa” on it-myyntineuvottelijalle samaa kuin oven väliin työnnetty kengänkärki kiertävälle pölynimurikauppiaalle. Laitteista on myös helpompi periä rasvaisia hintoja kuin ohjelmalisensseistä.
Niinpä tarjolla onkin jatkuvasti kasvava joukko erillislaitteita mitä mielikuvituksellisimpiin tarpeisiin. Löytääkö xml-muotoinen data verkossasi perille liian hitaasti? Hanki xml-kiihdytinlaite. Haluatko indeksoida tallennusverkostasi varmistusnauhoille siirtyvän tiedon? Tähänkin löytyy erillislaite.
Haluatko keskittää salauspalvelut, avainten hallinnan tai vahvan käyttäjäntunnistuksen verkossasi? Usko tehtävät erillislaitteille. Etkö löydä tietoja yrityksesi verkosta? Jopa Googlen saa erillislaitteena. Onko palvelinten suorituskyky kohdallaan? Kytke verkkoon passiivinen erillislaite monitoroimaan liikennettä ja etsimään yli- ja alikuormitetut sovelluspalvelimet.
Ei mikään viisastenkivi
Kun erillislaitteista on tullut valtavirtaa, alkaa olla aika kyseenalaistaa konseptin yleispätevyys. Lopputuloksenahan yrityksen laitekehikossa makaa metrikaupalla erilaisia laitteita, joiden käyttöasteen tai kustannustehokkuuden mittaamiseen ei yleensä uhrata ajatustakaan.
Erillistarpeisiin hankittujen laitteiden suorituskyky ja kapasiteetti saattaa vaihdella valtavasti. Mitä mahdollisuuksia erillislaitteen tehostamiseen on? Onko laitteen mukana saadulla ohjelmistolla lisenssi, joka voitaisiin siirtää tehokkaampaan malliin, vai onko ohjelmisto ostettava aina uudelleen laitetta päivitettäessä?
Tietokantoja ja jopa valmissovelluksia myydään erillislaitteisiin paketoituina. Käyttäjäkohtaiset lisenssit ja asiakaskohtaiset räätälöinnit eivät tosin oikein sovellu erillislaitemalliin, jonka yksi perusidea on mahdollisimman pitkälle vakioidun laitteisto- ja ohjelmistopaketin massajakelu.
Erillislaitteen rakentaminen standardin pc-palvelimen ja Linuxin varaan on helppoa. Kynnys markkinoille onkin matala, mikä näkyy pienten - ja yleensä lyhytikäisten - valmistajien lukuisuutena. Laitteen elinkaarikustannuksissa hintaetu laatuun panostavien valmistajien tuotteisiin nähden on kuitenkin melko merkityksetön.
Moni erillislaite jää helposti tarpeettomaksi, kun jokin uusi ratkaisu ottaa sen tehtävät hoitaakseen. Esimerkiksi erillislaitteella toteutetut salaus- ja suodatustoiminnot saattavat sisältyä reitittimen seuraavaan ohjelmaversioon, mutta erillislaitetta ei voi siirtää muuhun käyttöön yleiskäyttöisten tietokoneiden tapaan.
Erillislaitteilla on paikkansa. Niiden hankinta ei kuitenkaan ole erilliskysymys, vaan yritysverkko on aina nähtävä ja suunniteltava kokonaisuutena.
