Há muitos anos que as tecnologias de rede definidas por software (SDN, SDA, SD-WAN) têm vindo a ocupar espaço de apresentação no ambiente das TIC, mas não tantas implantações do mundo real. No entanto, parece que, pouco a pouco, elas atingiram um grau de maturidade que lhes permitiu deixar os jornais e habitar as redes de produção e os data centers. Esse amadurecimento, significativo em si, não veio sozinho, mas sim da mão de dois importantes companheiros de viagem, como a virtualização da função de rede (NFV) e o compromisso generalizado com a automação e a APIficação.
Das redes definidas por software
A mudança que todas essas tecnologias introduziram parece profunda, tanto que até começou a mudar a própria estrutura das organizações das TIC. Organizações que tradicionalmente têm sido caracterizadas por uma forte compartimentação de funções entre diferentes grupos tecnológicos e, de cerfa forma, de alguma hostilidade entre eles. Esses grupos enfrentam agora a necessidade de evoluir na sua maneira tradicional de trabalhar para aproveitar todo o poder da tecnologia. Técnicos de rede que se deslocam para áreas historicamente ocupadas por técnicos de sistemas e programadores, e estes últimos assumindo que a rede não é apenas um recurso exógeno a serviço da aplicação, mas um recurso que é programado e que, portanto, pode ser um sujeito ativo das aplicações que desenvolve. Siga os nossos posts sobre redes sdn que possam ser do seu interesse.
Em referência a esse movimento de blocos organizacionais, uma surpresa curiosa, pelo menos na nossa experiência na SATEC, tem sido o fato de que as barreiras e os muros entre eles, começaram a cair do lado menos previsível, a rede. Assim, inesperadamente, foram os engenheiros de rede que abraçaram mais rapidamente as vantagens de sua adoção, tanto ao nível de engenharia quanto operacional, lançando a estudar e a incorporar no seu trabalho as diferentes linguagens declarativas e de programação disponíveis (Python, Ansible, YAML, YANG, etc.) para otimizar suas tarefas diárias, seja em novas implementações ou na gestão e gestão de redes em produção.
Tendo feita esta introdução, e correndo o risco de ser repetitivo – são já muitos os anos ouvindo e falando sobre o assunto – discutiremos as vantagens e mudanças que a adoção das soluções SDx implica para uma empresa ao longo de três eixos:
- Negócio: na medida em que permitem responder melhor e de forma mais segura às necessidades concretas das aplicações.
- Operação: no sentido em que se redefine a forma de implementar e, sobretudo, operar as redes e a consequente mudança que isto implica, não só nas ferramentas, mas, fundamentalmente, nos conhecimentos e organização requeridos.
- Tecnológico: onde analisaremos que coisas permitem fazer ou melhorar estas novas tecnologias.
Desde o ponto de vista de Negócio:
A oferta na produção e operação de novos serviços de TIC foi substancialmente transformada, permitindo oferecer os serviços tanto aos usuários internos quanto aos clientes de forma muito mais diversificada (nuvens públicas e/ou privadas, linhas próprias versus acesso à Internet, …). Ao mesmo tempo, a introdução de metodologias ágeis no desenvolvimento de aplicações e a proliferação dos ambientes de DevOps necessários melhoraram a produção de novas aplicações, forçando os ambientes de infraestrutura a melhorar os recursos que devem oferecer. É essa evolução que impulsiona a rede para acompanhar essa mudança, começando nos ambientes de Data Center, continuando com o gerenciamento de SDx de redes WAN (SD-WAN) e, mais recentemente, com ambientes campus LAN (SD-Access).
A promessa de arquiteturas definidas por software é permitir que se redefina ou programe a rede para que as aplicações sejam executadas sempre de forma eficaz, eficiente e segura . Em relação a esta última (segurança, entendido neste caso cibersegurança), embora uma solução SDN não substitua as arquiteturas tradicionais de segurança (firewalls, etc.), ela complementá-as fornecendo uma vantagem significativa em termos de capacidade de microsegmentação e melhoria de segurança, limitando a pegada de ataque.
Muitas organizações olham para a tecnologia SD-WAN com base na ideia de criar e operar uma rede WAN segura, confiável e flexível, usando um conjunto mais amplo de tipos de links e, em particular, usando conexões de internet, seja como linha principal ou backup. Por isso, nas organizações de tecnologia SD-WAN vemos a possibilidade de economia direta e também uma maior capacidade de negociação com os comerciantes. Por outro lado, derivado da visibilidade do uso da rede que o SD-WAN fornece tanto no nível do protocolo quanto no nível de aplicação, os clientes encontram no SD-WAN um mecanismo para simplificar e gerir a rede de forma mais eficiente, o que se traduz diretamente na contratação de uma taxa de fluxo mais baixa ou de um tipo de linha mais económica , ou indiretamente num melhor serviço e, portanto, maior satisfação dos usuários (empregados). Essa satisfação é a peça central de qualquer processo de transformação digital.
Assumindo a mensagem (já muito usada, mas verdadeira) de que a automação nos permite dedicar os nossos técnicos a um valor maior, libertando-os das tarefas mais repetitivas, gostaríamos de enfatizar que a automação permite uma melhoria substancial na conformidade, minimizando os custos de verificação e, principalmente, aumentando a rastreabilidade das ações realizadas, além de minimizar erros.
Desde o ponto de vista da Operação:
A programação em diferentes linguagens como Python, Ansible ou YANG está a ganhar espaço, gradualmente, no conjunto de ferramentas de trabalho de engenheiros e técnicos de rede. Não é uma mudança simples, pois requer tempo e esforço para aprender linguagens de programação, mas sobretudo, porque envolve uma mudança nos hábitos de trabalho (às vezes difícil de aprender). Apesar disso, o poder é tal que este novo modelo está a ser adotado. Primeiro nas tarefas óbvias, verificações ou mudanças maciças de configuração em todos os elementos de uma rede; posteriormente, identificando tarefas críticas que são muito suscetíveis a erros, mas que podem ser executadas por um operador; em seguida, testar a automação e assim por diante. É aqui que a verdadeira revolução acontece, uma mudança de paradigma. Os ambientes SDN, apoiados por um orquestrador que centraliza a tomada de decisão da rede e a interação com o exterior por meio de APIs, permitem criar uma nova cultura de operação e gerenciamento de rede baseada na automação de tarefas.
Desde o início do processo de adoção, não é de surpreender a existência de novas figuras nas organizações de TIC, como os diretores de automação e orquestração, responsáveis pela gestão e controlo, mas sobretudo pela institucionalização dos processos de otimização e automação.
Desde o ponto de vista da Tecnologia:
Nesta última secção, sem focar nas descrições da tecnologia SDx e destacando o que esta implica em termos de abstração de infraestruturas de rede, à separação dos planos de controlo e forwarding, ou assumindo o controlo por um elemento central com base na análise dos fluxos de dados trocados em tempo real , preferimos listar a lista de vantagens que acreditamos serem derivadas de sua adoção:
- Modelo de Confiança Zero e visibilidade: Uma das principais vantagens do SDN é a capacidade de definir o conjunto de fluxos permitidos para aplicações, quem pode falar com quem. Esse recurso, que em caso algum significa obsolescência de firewall (o SDN apenas olha para o cabeçalho do pacote e não o payload), permite limitar o tráfego este-oeste nos data centers, um caminho prioritário na propagação de ataques. Além disso, essas novas soluções têm a capacidade de fornecer telemetria de rede detalhada que pode suportar a análise e correlação de eventos de segurança a serem explorados pelas ferramentas SIEM.
- Redução da pegada de ataque: a centralização do controlo de rede pode ser vista como um problema ou como uma oportunidade. Vamos vê-lo como um problema na medida em que estabelecemos uma meta única para o “ruim”, bem como um ponto singular de falha de design, e vamos vê-lo como uma oportunidade de assumir que podemos dedicar todos os nossos esforços para bastião um único elemento da rede, evitando a necessidade de agir sobre todos os elementos da rede (distribuídos e mais complexos em uma arquitetura tradicional). Neste caso, vemos o copo meio cheio, já que, embora seja verdade que esse elemento central é fundamental, a sua queda não significa a queda da rede, mas apenas sua capacidade de reconfiguração (o que certamente não é pouco).
- Adaptação de rede às aplicações: Tradicionalmente, foram as políticas de arquitetura de rede e segurança que condicionaram a produção de aplicações (múltiplos segmentos de rede, grande número de VLANs, regras de segurança infinitas entre eles, …). Os novos ambientes SDN simplificam a arquitetura da rede e delegam a segmentação lógica da rede ao orquestrador, permitindo maior riqueza em termos de classificação de trâfego (não apenas com base em VLANs tradicionais ou sub-rede IP), a microsegmentação da rede (graças ao retratamento de fluxos nos elementos da rede), seu endereçamento individual dentro do SDN (Service-Chaining) e sua política de segurança (com base em contratos executados dentro do próprio SDN). como um primeiro elemento de segurança).
Automação da provisão e gestão da rede, já amplamente discutida nessas linhas.
Em suma, tudo parece indicar que não estamos perante uma evolução tecnológica incremental, mas que estamos a testemunhar uma clara mudança no paradigma da arquitetura e operação da rede que tem que remodelar muito as formas tradicionais de trabalho. Do nosso humilde ponto de vista, esta é uma grande oportunidade que amplia a área de competência dos engenheiros de rede, e os coloca no centro da transformação (digital, é claro).
Este artigo foi publicado na edição de dezembro da revista “A Nosa Rede” do Colégio Oficial de Engenheiros de Telecomunicações da Galícia. Poderá fazer o download da revista através deste link.