PLATFORM

5 gute Gründe, warum Splunk die ideale Plattform für einheitliche Security und Observability ist

Kaum ein Anbieter verkörpert die fünf wichtigsten Prinzipien für einheitliche Security und Observability so sehr wie Splunk. Viele Konkurrenten haben zwar Punktlösungen für Security oder Observability im Portfolio, aber es gibt gute Gründe, warum weltweit bekannte Marken wie Papa John’s, Accenture, Zoom, Intel, Airbus, Honda, Heineken, McLaren oder Domino’s auf Splunk vertrauen: Wir bieten ihnen eine Plattform, die nicht nur Security- und Observability-Funktionen in sich vereint, sondern auch individuell auf die besonderen Anforderungen ganzer Unternehmen zugeschnitten werden kann. Auch deshalb gehört Splunk seit Jahren zu den führenden Experten für Log-Management, Security und Observability.

In diesem Blog nehmen wir die fünf wichtigsten Prinzipien für einheitliche Security und Observability genauer unter die Lupe und sehen uns an, wie unsere Kunden sie mithilfe von Splunk erfolgreich anwenden.

Einheitlichkeit

Eine einheitliche Plattform sollte idealerweise alle Daten unabhängig vom Speicherort – von der Netzwerkperipherie bis zur Private oder Public Cloud – erfassen und Container-Apps ebenso unterstützen wie monolithische Anwendungen. Das erspart Kunden den Zeit- und Kostenaufwand für die Verwaltung und Wartung Hunderter Nischenlösungen. 

Mit Splunk liegen Kunden hier genau richtig – ganz gleich, wie weit ihre Cloud-Transformation vorangeschritten ist, ob sie On-Premise-, Edge- oder Cloud-Daten analysieren wollen und wer ihr Cloud-Anbieter ist. Splunk berücksichtigt auch die besonderen Datenlokalitätsanforderungen von Kunden und bietet daher verschiedene Bereitstellungsmodelle: Die Palette reicht von reinen SaaS-Modellen bis zu On-Premise-Lösungen für Sicherheitsumgebungen mit Air Gap. Dagegen beschränken sich viele andere Anbieter auf ein einziges Bereitstellungsmodell, das hybride Umgebungen erschwert.

Kunden wie Nasdaq setzen bei ihrer Cloud-Transformation auf Splunk. Den Gang in die Cloud trat Nasdaq schon in den 2000er-Jahren an – lange bevor die meisten Unternehmen die Vorteile des Cloud-Computings erkannten. Brad Peterson, Executive Vice President, Chief Technology Officer und Chief Information Officer von Nasdaq, fasst es so zusammen: „Der Umstieg auf die Cloud ist kein einfaches Rehosting oder irgendein technisches Problem, das es zu lösen gilt. Es ist ein grundlegender Unternehmenswandel. Als wir uns entschieden, die Art der Produktentwicklung zu ändern und auf ein Cloud- und SaaS-Modell umzusteigen, brachten wir eine große kulturelle Initiative ins Rollen. Dazu gehörten Schulungen, unternehmensweite Prozess-Updates und Unterstützung durch strategische Partner wie Splunk.“ Nasdaq nutzte damals bereits die Splunk-Plattform für den IT- und Sicherheitsbetrieb und nun machte sich das Unternehmen daran, das Fundament für eine erfolgreiche Cloud-Transformation zu legen – mit der Hilfe von Splunk. Eine wichtige Anforderung war, auch in einer sich entwickelnden Hybridumgebung maximale Transparenz zu wahren.

Vielseitigkeit

Damit ein Unternehmen informierte Geschäftsentscheidungen treffen kann, braucht es zentralen Zugriff auf verlässliche Daten. Es gilt also, fragmentierte Daten zusammenzuführen. Für eine Plattform heißt das: Dieselben Daten müssen für verschiedenste Use Cases zur Verfügung stehen, damit Kunden diese Daten nicht immer wieder erfassen und in verschiedenen Tools speichern müssen.

Viele Anbieter behaupten, ihre Plattform sei universell einsetzbar. Doch in Wahrheit sind die meisten dieser Lösungen nur auf einzelne Anwendungsfälle ausgelegt und ansonsten wenig ausgereift – Kundenbelege für den erfolgreichen Einsatz in anderen Use Cases fehlen. Viele Kunden bevorzugen deshalb die Splunk-Plattform, weil sich damit Daten konsolidieren und in verschiedenen Szenarien anwenden lassen. Außerdem bietet Splunk Full-Fidelity-Daten für effektivere Fehlerbehebungen, Prognosen und Ursachenanalysen. Splunk unterscheidet also nicht zwischen Security- und Observability-Produkten, sondern fasst beides in einer leistungsstarken Plattform zusammen, die fortlaufend weiterentwickelt und um zugekaufte Tools ergänzt wird. Erst vor einigen Monaten haben wir etwa Splunk Log Observer Connect eingeführt. Diese Funktion kombiniert die Splunk Cloud Platform und Splunk Observability, verbindet Metriken, Events, Traces und Logs miteinander und ermöglicht Datenvisualisierungen auf einen Blick. SREs und DevOps-Profis können so Metriken, Traces und Splunk-Cloud-Logs zentral abrufen und haben mehr Kontext zum schnellen Debuggen.

Splunk-Kunden vertrauen also auf uns, wenn es darum geht, Daten aus mehreren Quellen zusammenzuführen und zentralisierte Monitoring-, Management- und Fehlerbehebungs-Tools zu erstellen.

Das USS Midway Museum überwacht mit der Splunk-Plattform die Sicherheit und Infrastruktur an Bord des Museumsschiffes. Joe Gursky, Director of Information Technology des USS Midway Museum: „Ich bin hier seit sieben Jahren. Dies ist für mich die erste Gelegenheit, Silos aufzulösen.“ Mehrere Abteilungen haben nun über eine zentrale Plattform Zugriff auf dieselben Daten. In der Folge sind die Teams besser informiert, arbeiten enger zusammen und können Informationen leichter abrufen oder mit Kollegen und Vorgesetzten teilen.

Erweiterbarkeit

Wie ihr oben gesehen habt, sollte eine Plattform möglichst viele Use Cases abdecken. Aber damit nicht genug: Sie sollte auch die Möglichkeit bieten, eigene Anwendungen zu erstellen, eine große Zahl kommerzieller Anwendungen aus dem Partner-Ökosystem zu integrieren und von der Community entwickelte Anwendungen zu nutzen. So können Kunden sich auf eine einzige Plattform beschränken und dennoch die Vorteile eines großen Ökosystems ausschöpfen.

Und gerade das Ökosystem aus Apps und Add-ons macht Splunk ja für viele unserer Kunden so wertvoll. Splunk arbeitet kontinuierlich daran, ihnen das Erstellen von Anwendungen und das Anpassen der Plattform an zusätzliche Use Cases so einfach wie möglich zu machen. Ein wichtiger Schritt in diese Richtung ist die kürzlich eingeführte Splunk Cloud Developer Edition, eine Preview-Funktion, mit der Entwickler sehr leicht Anwendungen erstellen und testen können. Unternehmen, die die Splunk Cloud Platform zur Entwicklung nutzen oder Anwendungen dafür erstellen, gelangen so schneller ans Ziel. Zu den zahlreichen neuen Funktionen gehört die Automated Private App Validation (APAV): Sie macht die manuelle Prüfung aller unserer privaten Anwendungen überflüssig. Damit können Kunden Apps nun völlig eigenständig in der Splunk Cloud Platform bereitstellen – ohne Support-Tickets, ohne Wartungsfenster für Installationen oder Upgrades und ohne langes Warten, bis eine Kunden-App endlich manuell geprüft wurde. Der Einwand, die Einrichtung von Splunk sei ohne Support nicht möglich, ist damit zu den Akten gelegt.

Auch unser Kunde Heineken entwickelt eigene Anwendungen, um seine Lieferketten transparenter zu gestalten und Probleme schneller beheben zu können. Und Splunk hilft der Brauerei dabei, Daten zu konsolidieren und den Überblick über seine weltweit verstreuten Teams zu behalten. Heinekens Digital-Integrations-Team führt Daten aus allen dezentralen Systemen zusammen, damit in Echtzeit Daten zwischen fünf Middleware-Plattformen und 4.500 Anwendungen ausgetauscht werden können. Fällt nur eine dieser fünf Integrationsplattformen aus, können sämtliche Produktions- und Distributionsprozesse zum Erliegen kommen.

„Wir mussten die Transparenz dieser Blackbox namens Integration erhöhen – also haben wir die Splunk-Plattform genutzt, um unsere Daten und Systeme besser zu verstehen“, so Guus Groeneweg, Global Product Owner im Digital-Integrations-Team von Heineken. „Mit Splunk können wir alle Logdateien und Analysen für jede der 25 Millionen Nachrichten, die monatlich zwischen den Anwendungen gesendet werden, einfach erfassen. Die Splunk Cloud Platform übersetzt alle diese Rohdaten in transparente, aussagekräftige Einblicke, mit denen Teams überall bei Heineken betriebliche Probleme lösen und die Leistung steigern können.“

Offenheit

Noch einmal zurück zum Stichwort Erweiterbarkeit: Eine gute Plattform sollte auch die Möglichkeit bieten, Daten von einer Cloud in die andere zu übertragen. Nur so können Kunden große Datenmengen kostengünstig und anbieterunabhängig speichern.

Splunk setzt Maßstäbe in puncto Datenfunktionen – und bietet jetzt noch mehr Flexibilität bei Streaming, Storage, Suche und Workload-basierten Tarifen. Kunden entscheiden selbst, wie und wo sie ihre Daten verwalten. Mit Funktionen wie Ingest Actions, Flex Index (Preview), Dynamic Data Active Archive und Federated Search können Kunden ihre Daten je nach ihrem geschäftlichem Nutzen kosteneffektiv speichern und abrufen – Ergebnisse statt Kosten stehen im Mittelpunkt. Schließlich geht es nicht allein um die Minimierung des Aufwands, sondern auch und vor allem um die Maximierung des Nutzens einer Investition.

Übrigens müssen Kundendaten dank diesen Innovationen nicht in Splunk gespeichert werden. Splunk ist eine offene Plattform, die eure Daten da abholt, wo sie sind. Das heißt für euch: weniger Anbieterbindung = geringere Kosten = mehr Datenübertragbarkeit. Außerdem macht sich Splunk für offene Technologien stark, darunter OpenTelemetry und das Projekt Open Cybersecurity Schema Framework (ein Gemeinschaftsprojekt mit AWS, IBM und 15 weiteren führenden Sicherheits- und Technologieunternehmen, das vor Kurzem auf der Black Hat in den USA angekündigt wurde).

Business Wire schreibt: „Chief Information Security Officers murren über proprietäre Cybersecurity-Produkte, die Sicherheitsteams zwingen, Daten manuell zu integrieren. Einer im Juli veröffentlichten Studie der Information Systems Security Association und der Analystenabteilung von TechTarget Inc. zufolge wünschen sich von 280 befragten Security-Profis mehr als drei Viertel, dass Anbieter in ihren Produkten offene Standards verwenden.“

Kunden wie Care.com haben mit Splunk ihre schwerfällige Architektur in Microservices aufgegliedert, um die Transparenz zu erhöhen und Entwicklungszeiten zu verkürzen. „Das Maß an Observability, das Splunk bietet, war der Schlüssel“, erläutert Sean Schade, leitender Architekt im Architektur-Kernteam von Care.com. „Einer unserer ersten Schritte war, Tracing und Telemetrie zu aktivieren, um zu verstehen, wie die Teile dieses großen Puzzles zusammenpassen.“

Care.com gehörte zu den ersten, die OpenTelemetry nutzten, und war dadurch bei einem derart umfangreichen Projekt klar im Vorteil. „OpenTelemetry ist einer der Leitsterne unserer Architektur, da es so viele Einblicke bietet“, so Schade. „Dank Splunk konnten wir OpenTelemetry vom ersten Tag an in unsere Architektur integrieren. Splunk ist der Hauptunterstützer von OpenTelemetry und seiner Zeit weit voraus.“

Starke Such-Performance im großen Stil

In der Branche gibt es eine Reihe von Tools, die mit Sampling, Schema-on-Write, „indexlosem Logging“ und weiteren Methoden eine schelle Datenaufnahme, -verarbeitung und -suche ermöglichen. Performance ist aber nicht das einzige Kriterium für eine Plattform. Sie sollte auch in der Lage sein, Daten aller Formate zu erfassen und im großen Stil zu durchsuchen. Denn wenn es zu Datenpannen oder Anwendungsausfällen kommt, brauchen Kunden neben schnellen Ergebnissen auch aussagekräftige, zuverlässige Daten, die ein präzises Handeln erlauben.

Mangesh Pimpalkhare, Vice President of Product Management, Splunk Platform, sagt: „Splunk ist immer verfügbar – eine 100 % hybride, cloudvernetzte, autonome Steuerungsebene mit hoher Resilienz und minimalem Upgrade- und Migrationsaufwand.“ Die Search Processing Language (SPL) von Splunk ermöglicht komplexe Korrelationssuchen jeden Umfangs, wie diese eindrucksvollen Zahlen belegen: 8 Milliarden Suchen allein im letzten Monat, 1 Million aktive User pro Monat, mehrere Petabyte Datenaufnahme über unsere Cloud-Datenquellen, bei einer Wachstumsrate von 93 %.

Unser Kunde Tesco, die drittgrößte Einzelhandelskette der Welt, verarbeitet mit Splunk mehrere Terabyte an Daten – in Spitzenzeiten sogar noch mehr. Als die Nachfrage zu Beginn der Coronapandemie in die Höhe schnellte, „nutzte das gesamte Betriebsteam Splunk-Dashboards, um jedes Detail, von der Website-Performance bis zur finalen Lieferung an den Kunden, zu überwachen“, erläutert Josep M. Olive, Lead Technical Program Manager bei Tesco. In der darauffolgenden Weihnachtssaison war die Nachfrage so enorm, dass Tesco in Großbritannien landesweit für Gesprächsstoff sorgte und einen ganzen Tag lang Trendthema auf Twitter war. „Der Druck, der auf unseren Systemen lastete, war enorm, und die Möglichkeit, mit Splunk Einblick in diese Systeme zu erhalten, war entscheidend für die Erfüllung der Bedürfnisse unserer Kunden“, so Olive. „Während dieses Nachfrage-Booms zu Weihnachten konnten wir mit Splunk unser Monitoring, die Observability und die gesamte Softwareentwicklungsumgebung verbessern.“

In unserem Blogbeitrag „The Convergence of Security and Observability: Top 5 Platform Principles“ (Security und Observability wachsen zusammen: die 5 wichtigsten Prinzipien für Plattformen) haben wir euch fünf wichtige Prinzipien präsentiert, die eine Plattform erfüllen sollte: Einheitlichkeit, Vielseitigkeit, Offenheit, Erweiterbarkeit, starke Such-Performance im großen Stil. Nur wenige Plattformen vereinen alle diese Merkmale in sich – Splunk gehört dazu und entwickelt sich obendrein ständig weiter. Aber überzeugt euch am besten selbst: In unserer .conf22 Platform Super Session berichten führende Kunden, wie sie mit einer Plattform, die diesen fünf Prinzipien entspricht, echten Mehrwert schaffen.

Und wenn ihr es selbst ausprobieren möchtet, ladet euch jetzt die Testversion der Splunk Cloud Platform herunter.


Dieser Blog wurde von Anna Mensing (Director of Product Marketing) und Sneha Ghosh (Principal Product Manager) verfasst. Wir bedanken uns außerdem bei Mustafa Ahamed (Sr. Director Product Management) für seine wertvollen Beiträge.

*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.