Son muchos los años en los que las tecnologías de redes definidas por software (SDN, SDA, SD-WAN) han venido acaparando el espacio de las presentaciones en el entorno TIC, pero no tanto las implantaciones en el mundo real. No obstante, parece que, por fin, poco a poco, han ido alcanzado un grado de madurez que les ha permitido salir de los papeles y habitar las redes en producción y los centros de proceso de datos. Esta maduración, significativa en sí misma, no ha venido sola sino de la mano de dos importantes compañeras de viaje como son la virtualización de funciones de red (NFV) y la apuesta generalizada por la automatización y la APIficación.
El cambio que todas estas tecnologías han introducido parece profundo, tanto, que incluso ha comenzado a modificar la propia estructura de las organizaciones TIC. Unas organizaciones que tradicionalmente se han caracterizado por una fuerte compartimentación de funciones entre los distintos grupos tecnológicos y, si se nos permite decirlo, cierta hostilidad entre ellos. Estos grupos se enfrentan ahora a la necesidad de evolucionar en su tradicional forma de trabajo para aprovechar toda la potencia de la tecnología. Los técnicos de red moviéndose a zonas históricamente ocupadas por técnicos de sistemas y desarrolladores, y estos últimos asumiendo que la red no es solo un recurso exógeno al servicio de la aplicación, sino un recurso que se programa y que, por tanto, puede ser un sujeto activo de las aplicaciones que desarrollan.
En referencia a este movimiento de bloques organizativos, una sorpresa curiosa, al menos en nuestra experiencia en SATEC, ha sido el hecho de que las barreras y murallas entre ellos, han comenzado a derribarse desde el lado menos previsible, la red. Así, de forma inesperada, han sido los ingenieros de networking los que más rápidamente están abrazando las ventajas derivadas de su adopción, tanto a nivel de ingeniería como de operación, lanzándose a estudiar y a incorporar a su trabajo los distintos lenguajes declarativos y de programación disponibles (Python, Ansible, YAML, YANG, etc.) para optimizar sus tareas diarias, ya sea en nuevas implantaciones como en la gestión y administración de redes en producción.
Hecha esta introducción, y a riesgo en caer en la repetición – son ya muchos años oyendo y hablando del tema – vamos a analizar las ventajas y cambios que la adopción de soluciones SDx supone para una compañía a lo largo de tres siguientes ejes:
- Negocio: en la medida que permiten responder mejor y de forma más segura a las necesidades concretas de las aplicaciones.
- Operación: en el sentido que se redefine la forma de desplegar y sobre todo operar las redes y el consiguiente cambio que esto supone, no solo en las herramientas sino fundamentalmente en los conocimientos y organización requeridos.
- Tecnológico: donde repasaremos qué cosas permiten hacer o mejorar estas nuevas tecnologías.
Desde el punto de vista del Negocio:
La oferta en la producción y explotación de nuevos servicios TIC se ha transformado de manera sustancial, permitiendo ofrecer los servicios tanto a usuarios internos como a clientes de una forma mucho más diversa (clouds públicas y/o privadas, líneas propias vs acceso Internet, …). Al mismo tiempo, la introducción de metodologías ágiles en el desarrollo de aplicaciones y la proliferación de los necesarios entornos DevOps han mejorado la producción de nuevas aplicaciones, obligando a los entornos de infraestructura a mejorar las prestaciones que éstos deben ofrecer. Es esta evolución la que empuja a la red a acompañar este cambio, comenzando en los entornos de Data Center, continuando con la gestión SDx de las redes WAN (SD-WAN) y, más recientemente, con los entornos Campus LAN (SD-Access).
La promesa de las arquitecturas definidas por software es la de permitir redefinir o programar la red de manera que en todo momento las aplicaciones se ejecuten de una forma eficaz, eficiente y segura. Con relación a esto último (seguridad, entendido en este caso ciberseguridad) si bien una solución SDN no sustituye a las arquitecturas tradicionales de seguridad (firewalls, etc.), sí que las complementa aportando una ventaja significativa en cuanto a la capacidad de microsegmentación y mejora de la seguridad, por propia limitación de la huella de ataque.
Mas sobre la convergencia de la red y la seguridad de SASE 🏅
Son muchas las organizaciones que ponen su mirada sobre la tecnología SD-WAN en base a la idea de crear y operar una red WAN segura, fiable y flexible, utilizando un conjunto más amplio de tipos de enlace y en particular mediante el uso de conexiones a internet, ya sea como línea principal o de backup. En la tecnología SD-WAN las organizaciones ven, por tanto, la posibilidad de ahorros directos y también una mayor capacidad de negociación con los operadores. Por otro lado, y derivado de la visibilidad de uso de la red que SD-WAN proporciona tanto a nivel de protocolos como a nivel de aplicación, los clientes encuentran en SD-WAN un mecanismo para racionalizar y gestionar de forma más eficiente la red, lo que se traduce de forma directa en la contratación de un menor caudal o un tipo de línea más económica, o de forma indirecta en un mejor servicio y por ende mayor satisfacción de los usuarios (empleados). Esta satisfacción es eje central de todo proceso de transformación digital.
Asumiendo el mensaje (ya manido, pero cierto) de que la automatización nos permite dedicar a nuestros técnicos a labores de mayor valor liberándoles de las tareas más repetitivas, nos gustaría destacar que la automatización habilita una mejora sustancial en relación al cumplimiento normativo, al minimizar los costes de verificación y sobre todo al aumentar la trazabilidad de las acciones realizadas, amén de minimizar errores.
Desde el punto de vista de la Operación:
La programación en distintos lenguajes como Python, Ansible o YANG está haciéndose poco a poco un hueco en el conjunto de herramientas de trabajo de los ingenieros y técnicos de red. No es un cambio sencillo, puesto que requiere dedicar tiempo y esfuerzo al aprendizaje de lenguajes de programación, pero sobre todo porque supone un cambio de hábitos de trabajo (a veces duramente aprendidos). A pesar de ello, la potencia es tal, que paso a paso este nuevo modelo se está adoptando. Primero en las tareas obvias, chequeos o cambios masivos de configuraciones en todos los elementos de una red; más tarde identificando aquellas tareas críticas muy susceptibles al error, pero que bien definidas pueden ser ejecutadas por un operador; luego la automatización de pruebas y así un largo etcétera. Es aquí donde se produce la verdadera revolución, un cambio de paradigma. Los entornos SDN, apoyados en un orquestador que centraliza la toma de decisiones de la red y su interacción con el exterior a través de APIs, permiten crear una nueva cultura de la operación y la administración de las redes teniendo como base principal la automatización de tareas.
Puesto que el proceso de adopción ha comenzado, no es de extrañar la aparición de nuevas figuras en las organizaciones TIC como son los directores de automatización y orquestación, encargados de gestionar y controlar, pero sobre todo de institucionalizar los procesos de optimización y automatización.
Desde el punto de vista de la Tecnología:
En este último apartado, sin centrarnos en las descripciones de la tecnología SDx y de resaltar lo que ésta supone en cuanto a la abstracción de las infraestructuras de red, a la separación de los planos de control y forwarding, o a la toma de control por parte de un elemento central basado en análisis de los flujos de datos intercambiados en tiempo real, preferimos enumerar la lista de ventajas que a nuestro parecer se derivan de su adopción:
- Zero Trust model y visibilidad: Una de las principales ventajas de SDN es la capacidad de definir el conjunto de flujos permitidos para las aplicaciones, quien puede hablar con quién. Esta característica, que en ningún caso significa la obsolescencia de los firewalls (SDN solo mira la cabecera de los paquetes y no el payload), permite limitar en los datacenters el tráfico este-oeste, camino prioritario en la diseminación de ataques. Adicionalmente, estas nuevas soluciones tienen la capacidad de ofrecer una detallada telemetría de la red que puede servir de apoyo en el análisis y correlación de eventos de seguridad para ser explotados por herramientas SIEM.
- Reducción de huella de ataque: La centralización del control de la red puede verse como un problema o como una oportunidad. Lo veremos como un problema en la medida de que fijamos un objetivo único para los “malos”, así como un punto singular de fallo en el diseño, y lo veremos como una oportunidad al asumir que podemos dedicar todos nuestros esfuerzos en bastionar un único elemento de la red, evitando la necesidad de actuar sobre todos los elementos de ésta (distribuidos y más complejos en una arquitectura tradicional). En este caso, nosotros vemos el vaso medio lleno, puesto que, si bien es cierto que este elemento central es clave, su caída no supone la caída de la red, sino únicamente su capacidad de reconfiguración (que ciertamente tampoco es poco).
- Adaptación de la red a las aplicaciones: Tradicionalmente ha sido la arquitectura de red y las políticas de seguridad las que han condicionado la puesta en producción de las aplicaciones (múltiples segmentos de red, ingente número de VLANs, infinitas reglas de seguridad entre estas, …). Los nuevos entornos SDN simplifican la arquitectura de la red y delegan la segmentación lógica de la misma en el orquestador, permitiendo una mayor riqueza en cuanto a la clasificación del tráfico (no solo basado en las tradicionales VLAN o subred IP), la microsegmentación del mismo (gracias al nuevo tratamiento de los flujos en los elementos de red), su encaminamiento individual dentro de la SDN (Service-Chaining) y su política de seguridad (basada en contratos ejecutados dentro de la propia SDN como primer elemento de seguridad).
- Automatización de la provisión y gestión de la red, ya ampliamente tratado en estas líneas.
En resumen, todo parece indicar que no nos encontramos ante una evolución tecnológica incremental, sino que estamos asistiendo a un cambio claro del paradigma de la arquitectura y operación de la red que ha de remodelar muy mucho las formas tradicionales de trabajo. Desde nuestro humilde punto de vista es ésta una gran oportunidad que extiende el área de competencia de los ingenieros de red, y los sitúan en el centro de la transformación (digital, claro está).
Este artículo fue publicado en la edición de diciembre de la revista “A Nosa Rede” del Colegio Oficial de Ingenieros de Telecomunicación de Galicia. Podéis descargar la revista a través de este enlace.