Jump to section

Cos'è il software defined networking (SDN)?

Copia URL

Le reti software defined (definite anche SDN) offrono un approccio all'infrastruttura IT che consente di estrarre le risorse di rete in un sistema virtuale e che viene chiamato virtualizzazione della rete. Le SDN separano le funzioni di inoltro da quelle di controllo della rete, con l'obiettivo di creare una rete gestibile e programmabile a livello centralizzato; questa operazione viene anche descritta come separazione del piano di controllo dal piano dati. Inoltre, consentono ai team responsabili dei processi IT di controllare il traffico di rete in topologie di rete complesse impiegando un pannello di controllo centralizzato anziché gestire manualmente ogni dispositivo di rete.

Le organizzazioni adottano le reti software defined per superare le limitazioni delle infrastrutture tradizionali. I vantaggi di queste tipologie di reti includono:

  • Separazione del piano di controllo e del piano dati: il piano di controllo, responsabile delle decisioni sulle modalità di inoltro dei pacchetti di dati, è centralizzato e implementato nei controller basati su software. Il piano dati, responsabile dell'inoltro effettivo dei pacchetti di dati attraverso la rete, continua a essere presente nei dispositivi di rete basati su hardware, ma è semplificato e specializzato per concentrarsi esclusivamente sull'inoltro dei pacchetti. Nelle reti tradizionali, il piano di controllo e il piano dati sono in genere integrati all'interno di dispositivi di rete come switch, router e punti di accesso, eliminando il controllo centralizzato.
  • Controllo centralizzato: le reti software defined forniscono un controllo centralizzato in cui le policy e le configurazioni di rete vengono gestite e applicate da un controller centrale, a differenza delle reti tradizionali, in cui le policy e le configurazioni sono distribuite su più dispositivi di rete.
  • Costo ridotto: le infrastrutture basate sulle reti software defined sono in genere più economiche dei loro corrispettivi hardware, perché vengono eseguite su server commerciali standard e non su appliance specializzate e costose. Hanno inoltre un ingombro ridotto, poiché più funzioni possono essere eseguite su un singolo server. A fronte di una riduzione dell'hardware fisico necessario, si ottengono un consolidamento delle risorse (date le esigenze di spazio fisico e consumo energetico inferiori) e un risparmio sui costi complessivi più elevato. 
  • Scalabilità e flessibilità aumentate: la virtualizzazione dell'infrastruttura consente di espandere o comprimere le risorse di rete in funzione delle esigenze del momento, senza dover ricorrere all'acquisto di componenti hardware proprietari. Una rete software defined consente il provisioning self service delle risorse, garantendo una notevole flessibilità.
  • Programmabilità e facilità di automazione: nelle reti software defined, gli amministratori definiscono le policy e le configurazioni di rete utilizzando la logica software defined e le API. Questo consente il provisioning dinamico e la gestione delle risorse di rete basata su policy, agevolando la distribuzione rapida e l'adattamento alle mutevoli esigenze aziendali. Le reti tradizionali spesso comportano la configurazione e la gestione manuale dei dispositivi di rete mediante interfacce a riga di comando (CLI) o strumenti di configurazione specifici. 
  • Gestione semplificata: l'adozione di una rete software defined assicura un'infrastruttura complessivamente più facile da utilizzare e gestire anche da esperti di rete meno specializzati. 

Se combinata allo software defined storage e ad altre tecnologie, questa tipologia di rete va a costituire l'approccio all'infrastruttura IT noto come iperconvergenza, in cui ogni elemento è definito dal software.

Le aziende del settore delle telecomunicazioni hanno a propria disposizione un altro tipo di estrazione della rete: la virtualizzazione delle funzioni di rete (NFV). Come accade con le reti software defined, anche la tecnologia NFV estrae le funzioni di rete dall'hardware. La virtualizzazione delle funzioni di rete supporta le reti software defined fornendo un'infrastruttura adatta all'esecuzione del software su cui si basa. Garantisce ai provider la flessibilità di eseguire le funzioni su server differenti o di spostarle in base alle necessità al variare della domanda, consentendo ai provider di servizi di telecomunicazioni di accelerare la distribuzione di servizi e applicazioni. Se, ad esempio, un cliente richiede una nuova funzione di rete, il provider può attivare una nuova macchina virtuale (VM) per soddisfare la richiesta. Quando la funzione non è più necessaria, la VM potrà essere dismessa. La virtualizzazione delle funzioni di rete rappresenta una modalità a basso rischio per testare il valore di un nuovo potenziale servizio.

In base ai risultati che si vogliono ottenere, gli approcci NFV e SDN possono essere utilizzati insieme, entrambi su hardware standard. NFV e SDN permettono di realizzare un'architettura di rete più flessibile, programmabile e con un impiego efficiente delle risorse.

L'architettura delle reti software defined rispecchia il modo in cui controllo e responsabilità cambiano rispetto alle reti tradizionali.

Il piano di controllo è responsabile delle decisioni di alto livello su come inoltrare i pacchetti di dati attraverso la rete. Nelle reti software defined, il piano di controllo è centralizzato e implementato nel software, in genere eseguito su un controller centralizzato o su un sistema operativo di rete. Il controller comunica con i dispositivi di rete utilizzando un protocollo standardizzato come OpenFlow, NETCONF o gRPC e mantiene una visione globale della topologia e dello stato della rete.

Il piano dati, noto anche come piano di inoltro o elemento di inoltro, è responsabile dell'inoltro dei pacchetti di dati attraverso la rete in base alle istruzioni ricevute dal piano di controllo. Nelle reti software defined, il piano dati è implementato in dispositivi di rete come switch, router e punti di accesso, che sono definiti elementi di inoltro. Questi dispositivi si basano sul piano di controllo per le istruzioni su come inoltrare i pacchetti e possono essere semplificati o resi più specifici per concentrarsi esclusivamente sull'inoltro dei pacchetti.

Componenti delle reti software defined

All’interno dell’architettura delle SDN, diversi componenti definiscono la gestione dei processi.

Due tipi di API, ovvero interfaccia di programmazione delle applicazioni, consentono la comunicazione tra i piani e la rete più ampia:

  • API southbound: le API southbound vengono utilizzate per comunicare tra il piano di controllo e il piano dati in architetture di reti software defined. Queste API consentono al controller di programmare e configurare i dispositivi di rete, recuperare informazioni sulla topologia e lo stato della rete e ricevere notifiche su eventi di rete come errori di collegamento o congestione. Le API southbound più comuni includono OpenFlow, ampiamente utilizzato per la comunicazione tra il controller e gli switch di rete.
  • API northbound: le API northbound vengono utilizzate per esporre la funzionalità del controller di reti software defined ad applicazioni e servizi di gestione di rete di livello superiore. Queste API consentono alle applicazioni esterne di interagire con il controller delle reti software defined, richiedere servizi di rete e recuperare informazioni sulla topologia di rete, i flussi di traffico e le metriche delle prestazioni. Le API northbound consentono la programmabilità e l'automazione delle attività di gestione della rete e facilitano l'integrazione con sistemi di orchestrazione, piattaforme cloud e altri strumenti di gestione.

Inoltre, il controller SDN è il componente centrale dell'architettura delle reti software defined, responsabile dell'implementazione delle funzioni di controllo della rete e del coordinamento della comunicazione tra il piano di controllo e il piano dati. Il controller fornisce una visibilità centralizzata della rete, mantiene le informazioni sullo stato della rete e prende decisioni su come configurare e gestire i dispositivi di rete in base ai criteri e ai requisiti specifici. Esempi di controller delle reti software defined includono OpenDaylight, ONOS e Ryu.

I dispositivi di rete come switch, router e punti di accesso costituiscono il piano dati dell'architettura delle reti software defined. Questi dispositivi inoltrano i pacchetti di dati in base alle istruzioni ricevute dal controller e possono supportare funzioni come l'inoltro basato sul flusso, la qualità del servizio e la progettazione del traffico. Nelle reti software defined, i dispositivi di rete sono spesso semplificati e standardizzati per supportare la programmabilità e l'interoperabilità con il controller.

Gestione e orchestrazione (MANO): le architetture delle reti software defined possono includere anche sistemi di gestione e orchestrazione responsabili del provisioning, della configurazione e del monitoraggio delle risorse di rete. I sistemi MANO interagiscono con il controller delle SDN tramite API northbound per automatizzare le attività di gestione della rete, ottimizzare l'utilizzo delle risorse e garantire la disponibilità e le prestazioni del servizio.

Nel complesso, l'architettura delle reti software defined separa le funzioni di controllo della rete da quelle di inoltro dei dati, centralizza l'intelligence e la gestione della rete nei controller software defined e consente la gestione programmabile, flessibile e scalabile delle risorse di rete tramite API e interfacce standardizzate.

Le reti software defined comportano diverse implicazioni per la sicurezza.

  • Poiché le reti software defined utilizzano un piano di controllo centralizzato, l'applicazione dei criteri di sicurezza è semplificata rispetto a un modello di rete tradizionale. Le SDN consentono l'applicazione coerente e semplificata dei criteri di sicurezza nell'intera rete, riducendo il rischio di configurazioni errate.
  • Un controller centralizzato fornisce una visione globale completa del traffico di rete, consentendo un monitoraggio più efficace e un'identificazione più rapida delle potenziali minacce.
  • Questo consente il rilevamento e il contenimento delle minacce in tempo reale, in quanto le SDN sono in grado di regolare dinamicamente le configurazioni di rete, isolando i segmenti interessati o reindirizzando il traffico per evitare nodi compromessi.
  • Il piano di controllo centralizzato può anche consentire l'aggiornamento automatico dei criteri e delle configurazioni di sicurezza in tutta la rete, garantendo che tutti i dispositivi vengano tempestivamente aggiornati e configurati in base agli standard di sicurezza più recenti.
  • Le reti software defined possono applicare la microsegmentazione, consentendo l'isolamento granulare di diversi segmenti di rete e riducendo la superficie di attacco mantenendo potenziali minacce in segmenti specifici.
  • La registrazione centralizzata e l'analisi del traffico di rete consentono una migliore comprensione del comportamento della rete, facilitando l'identificazione di attività anomale e potenziali violazioni della sicurezza.
  • Le SDN si integrano facilmente con vari strumenti di sicurezza, come i sistemi di rilevamento delle intrusioni (IDS), i sistemi di prevenzione delle intrusioni (IPS), i firewall e i sistemi di sicurezza informatica e gestione eventi (SIEM).

Naturalmente, le reti software defined presentano le proprie sfide alla sicurezza, la maggior parte delle quali è legata alla loro autorità centralizzata. Tra queste ricordiamo:

  1. Il controller delle SDN è un componente fondamentale e, pertanto, un potenziale singolo punto di vulnerabilità. Compromettendo questo strumento, si può perdere il controllo dell'intera rete.
  2. Il controller delle SDN è un obiettivo ad alto valore per i criminali informatici. Garantirne la sicurezza è essenziale per mantenere la sicurezza complessiva della rete.
  3. Inoltre, per proteggere la comunicazione tra il controller e i dispositivi di rete, è necessario utilizzare una crittografia e un'autenticazione efficaci, al fine di evitare intercettazioni, manomissioni o spoofing dei messaggi di controllo.
  4. Allo stesso modo, le API utilizzate per la comunicazione tra il controller e le applicazioni (northbound) e tra il controller e i dispositivi di rete (southbound) devono essere protette dall'accesso e dallo sfruttamento non autorizzati.

Man mano che evolvono, è naturale che le reti e le policy che implementano così facilmente diventino più complesse. Mantenere criteri di sicurezza coerenti in un ambiente SDN dinamico e potenzialmente su larga scala può essere difficile e soggetto a errori. Un'altra sfida è garantire che i criteri di sicurezza non siano in conflitto tra loro e siano applicati in modo coerente.

In qualsiasi architettura di rete, le soluzioni di sicurezza devono adattarsi alla rete per gestire quantità crescenti di traffico e dispositivi senza introdurre significativi ostacoli in termini di latenza o prestazioni. Spesso, i vantaggi delle reti software defined sono più delle sfide, poiché un piano di controllo centralizzato migliora la coerenza e semplifica l'implementazione della sicurezza.

Le reti software defined (SDN) forniscono un approccio flessibile, programmabile e centralizzato alla gestione della rete che può essere applicato a vari scenari di utilizzo in diversi settori e applicazioni.

  • Nell'ottimizzazione dei data center, la virtualizzazione e la gestione automatizzata della rete delle SDN migliorano la flessibilità e riducono la probabilità di errori.
  • Nella virtualizzazione delle funzioni di rete (NFV), le SDN possono sostituire le tradizionali appliance di rete (come firewall e servizi di bilanciamento del carico) con software eseguiti su hardware di largo consumo, riducendo i costi e aumentando la flessibilità. Le SDN consentono inoltre la creazione di catene di servizi in cui i dati fluiscono attraverso una serie di VNF, fornendo un percorso personalizzabile per i pacchetti di dati.
  • Nelle reti dei campus e delle aziende, la gestione centralizzata delle policy delle SDN consente di applicare criteri di sicurezza coerenti in tutta la rete. Inoltre, le SDN possono regolare dinamicamente i controlli degli accessi in base all'identità dell'utente, al dispositivo e al contesto, migliorando la sicurezza e l'esperienza dell'utente.
  • La tecnologia SDN può essere utilizzata per ottimizzare e gestire le connessioni Wide Area Network (WAN), migliorando le prestazioni e l'affidabilità delle connessioni di rete a lunga distanza. Questo strumento è particolarmente utile per le aziende con più filiali.
  • Nel cloud computing e nell'integrazione multicloud, le SDN consentono un'integrazione e una gestione lineare degli ambienti multicloud, permettendo alle organizzazioni di utilizzare in modo efficiente le risorse di più provider cloud e fornendo soluzioni di rete scalabili che possono crescere in base alle esigenze delle applicazioni cloud.
  • Nelle reti Internet of Things (IoT), le SDN gestiscono gli enormi requisiti di scalabilità, fornendo configurazioni di rete dinamiche man mano che vengono aggiunti nuovi dispositivi. Inoltre, il controllo centralizzato consente di applicare criteri di sicurezza coerenti a tutti i dispositivi IoT, riducendo i rischi associati agli endpoint non protetti.
  • Nelle reti 5G, le SDN consentono la creazione di sezioni di rete virtuali, ciascuna ottimizzata per diversi tipi di servizi (ad esempio, bassa latenza per veicoli autonomi, throughput elevato per lo streaming video).
  • Per i casi di ripristino di emergenza e continuità operativa, le SDN possono automatizzare i processi di failover, assicurando che i servizi di rete siano ripristinati rapidamente in caso di guasto e consentendo soluzioni di backup di rete più flessibili ed efficienti, garantendo l'integrità e la disponibilità dei dati in caso di emergenza.

Noi di Red Hat prestiamo molta attenzione al cloud ibrido aperto, una visione olistica del cloud ibrido che incorpora anche procedure aperte. La strategia di cloud ibrido e aperto di Red Hat è progettata sulla base tecnologica di Red Hat Enterprise Linux, Red Hat OpenShift e Red Hat Ansible Automation Platform. La piattaforma Red Hat sblocca le potenzialità dell'infrastruttura alla base garantendo esperienze cloud coerenti in qualsiasi ambiente e l'opportunità di offrire un'infrastruttura IT automatizzata. Red Hat è all'avanguardia nel cloud ibrido e aiuta migliaia di aziende nei loro percorsi di modernizzazione. 

Approfondisci

Articolo

Cos'è l'infrastruttura iperconvergente?

Con iperconvergente indichiamo un approccio software-defined all'infrastruttura IT che consolida le risorse di elaborazione, storage e rete in un sistema unificato.

Articolo

Cos'è il software-defined networking (SDN)?

Le reti software-defined (definite anche SDN) offrono un approccio all'infrastruttura IT che consente di astrarre le risorse di rete in un sistema virtuale.

Articolo

Cosa si intende per NFV?

La virtualizzazione delle funzioni di rete (Network Functions Virtualization, NFV) è un modo per virtualizzare quei servizi di rete che convenzionalmente vengono eseguiti su un hardware proprietario.