Visão geral
A rede definida por software (SDN) é uma abordagem de infraestrutura de TI que abstrai os recursos de rede para um sistema virtualizado. Isso é o que chamamos de virtualização de rede. A SDN separa as funções de encaminhamento e de controle para criar uma rede que possa ser gerenciada e programada de maneira central. Em outras palavras, isso significa separar o control plane e o data plane. Com a SDN, as equipes de operações de TI controlam o tráfego de rede em topologias complexas por meio de um painel centralizado. Assim, elas não precisam gerenciar cada dispositivo de rede manualmente.
Benefícios de uma rede definida por software vs. rede tradicional
As organizações adotam as redes definidas por software para superar as limitações das infraestruturas tradicionais. Estas são algumas das vantagens:
- Separação do control plane e data plane: o control plane, que fica responsável por decidir como os pacotes de dados são encaminhados, é centralizado e implementado em controladores baseados em software. Já o data plane, que fica de fato responsável por encaminhar os pacotes de dados pela rede, continua nos dispositivos de rede baseados em hardware, mas passa por simplificação e especialização para se concentrar apenas no encaminhamento de pacotes. Na rede tradicional, o control plane e o data plane costumam estar integrados em dispositivos de rede, como switches, roteadores e pontos de acesso, o que impossibilita o controle centralizado.
- Controle centralizado: a rede definida por software oferece controle centralizado para você gerenciar e aplicar configurações e políticas usando um controlador central. Em comparação, na rede tradicional, as configurações e políticas são distribuídas por vários dispositivos de rede.
- Custo reduzido: as infraestruturas de rede definida por software costumam ser mais econômicas do que os hardwares equivalentes. Isso acontece porque elas são executadas em servidores prontos para uso empresarial, em vez de dispositivos caros de finalidade única. Além disso, essas infraestruturas ocupam menos espaço, já que várias funções são executadas em um único servidor. Isso faz com que menos hardware físico seja necessário, possibilitando a consolidação dos recursos. Assim, há a necessidade de menos espaço físico e capacidade, além da redução dos custos gerais.
- Mais flexibilidade e escalabilidade: com a virtualização da infraestrutura de rede, é possível ampliar e contratar recursos de rede conforme e quando necessário. Isso elimina o trabalho complicado de adicionar outro hardware proprietário. Com a rede definida por software, você tem uma enorme flexibilidade para possibilitar o provisionamento de self-service dos recursos de rede.
- Alta capacidade de programação e automação: na rede definida por software, os administradores determinam as configurações e políticas de rede usando APIs e lógica definidas por software. Isso viabiliza o provisionamento dinâmico dos recursos de rede, além do gerenciamento deles com base em políticas. Assim, você faz implantações e adapta a rede às mudanças nas necessidades empresariais com rapidez. Muitas vezes, a rede tradicional envolve a configuração e o gerenciamento manuais de dispositivos de rede por meio de interfaces de linha de comando (CLIs) e ferramentas específicas do dispositivo.
- Gerenciamento simplificado: a rede definida por software gera uma infraestrutura geral mais fácil de operar porque ela não requer profissionais altamente especializados para gerenciá-la.
Ao unir essa rede com o armazenamento definido por software e outras tecnologias, possibilita-se uma abordagem de infraestrutura de TI chamada de hiperconvergência, em que todos os elementos são "definidos por software".
Rede definida por software (SDN) e virtualização de funções de rede (NFV)
As empresas de telecomunicação usam outro tipo de abstração de rede chamada de virtualização de funções de rede (NFV). Assim como a rede definida por software, a NFV abstrai as funções de rede do hardware. Para oferecer suporte à rede definida por software, a NFV fornece a infraestrutura em que o software da SDN será executado. A NFV fornece aos provedores a flexibilidade para executar funções em diferentes servidores ou transferi-las de acordo com as necessidades quando a demanda mudar. Assim, os provedores de telecomunicação aceleram a entrega de serviços e apps. Por exemplo, se o cliente exigir uma nova função de rede, os provedores podem iniciar uma nova máquina virtual para processar essa solicitação. Quando a função não for mais necessária, será possível desativar a máquina virtual. Isso é uma maneira sem riscos de testar o valor de novos serviços em potencial.
É possível usar a NFV e a SDN juntas, dependendo do que você quer fazer. Além disso, ambas utilizam um hardware comum. Com a NFV e a SDN, você cria uma arquitetura de rede que é mais flexível, programável e utiliza os recursos com mais eficiência.
Arquitetura e componentes da rede definida por software (SDN)
A arquitetura da rede definida por software reflete a maneira como ela altera o controle e a responsabilidade em comparação com a rede tradicional.
O control plane fica responsável por tomar decisões avançadas sobre como os pacotes de dados devem ser encaminhados pela rede. Na rede definida por software, o control plane é centralizado e implementado no software, sendo muitas vezes executado em um sistema operacional de rede ou controlador centralizado. O controlador se comunica com os dispositivos usando um protocolo padronizado como o OpenFlow, NETCONF e gRPC, além de oferecer uma visão geral do estado e topologia da rede.
O data plane, também conhecido como o elemento ou plano de encaminhamento, fica responsável por encaminhar os pacotes de dados pela rede de acordo com as instruções que ele recebe do control plane. Na rede definida por software, o data plane é implementado em dispositivos de rede como switches, roteadores e pontos de acesso, que são chamados de elementos de encaminhamento. Esses dispositivos se baseiam no control plane para saber como encaminhar os pacotes e podem passar por simplificação ou especialização para que se concentrem apenas no encaminhamento.
Componentes da rede definida por software
Na arquitetura da SDN, vários componentes definem a maneira como ela lida com os processos.
Há dois tipos de interfaces de programação de aplicações (APIs) que viabilizam a comunicação entre os planes e a rede mais ampla:
- APIs southbound: usadas na comunicação entre o control plane e o data plane nas arquiteturas de rede definida por software. Com essas APIs, o controlador pode programar e configurar dispositivos de rede, recuperar informações sobre estado e topologia, bem como receber notificações sobre eventos como congestionamento e falhas de link. As APIs southbound comuns incluem o OpenFlow, que é muito usado na comunicação entre o controlador e os switches de rede.
- APIs northbound: usadas para expor a funcionalidade do controlador de rede definida por software a serviços e aplicações de gerenciamento de rede de nível superior. Com elas, aplicações externas podem interagir com o controlador de rede definida por software, solicitar serviços de rede e recuperar informações sobre métricas de desempenho, fluxos de tráfego e topologia. As APIs northbound viabilizam a programabilidade e a automação das tarefas de gerenciamento de rede, além de facilitar a integração a sistemas de orquestração, plataformas de nuvem e outras ferramentas relevantes.
O controlador de SDN também é o principal componente da arquitetura de rede definida por software. Ele fica responsável por implementar funções de controle de rede e coordenar a comunicação entre o control plane e o data plante. O controlador oferece uma visão centralizada da rede, armazena informações sobre o estado dela e toma decisões sobre como configurar e gerenciar dispositivos de rede com base em políticas e requisitos. Exemplos de controladores de rede definida por software incluem o OpenDaylight, ONOS e Ryu.
Dispositivos de rede como switches, roteadores e pontos de acesso formam o data plane da arquitetura de rede definida por software. Eles encaminham pacotes de dados de acordo com as instruções que recebem do controlador e podem oferecer suporte a funcionalidades como o encaminhamento baseado em fluxo, qualidade de serviço (QoS) e engenharia de tráfego. Na rede definida por software, esses dispositivos costumam ser simplificados e padronizados para viabilizar a programabilidade e a interoperabilidade com o controlador.
Gerenciamento e orquestração (MANO): as arquiteturas de rede definida por software também podem incluir sistemas de gerenciamento e orquestração que ficam responsáveis por provisionar, configurar e monitorar os recursos de rede. Os sistemas de MANO interagem com o controlador de SDN por meio das APIs northbound para automatizar as tarefas de gerenciamento de rede, otimizar a utilização de recursos e assegurar o alto desempenho e disponibilidade do serviço.
Em geral, a arquitetura de rede definida por software separa as funções de controle de rede e as de encaminhamento de dados, centraliza a administração e a inteligência em controladores baseados em software e possibilita o gerenciamento escalável, flexível e programável dos recursos de rede por meio de interfaces e APIs padronizadas.
Segurança da rede definida por software
A rede definida por software tem diversas implicações relacionadas à segurança.
- Como a rede definida por software usa um control plane centralizado, a aplicação das políticas de segurança é simplificada em comparação com o modelo de rede tradicional. A SDN viabiliza a aplicação consistente e simplificada de políticas de segurança em toda a rede, o que diminui o risco de configurações incorretas.
- O controlador centralizado oferece uma visão geral do tráfego de rede, o que aumenta a efetividade do monitoramento e acelera a identificação de possíveis ameaças.
- Isso possibilita a detecção e mitigação de ameças em tempo real, já que a SDN ajusta dinamicamente as configurações de rede, isolando os segmentos afetados ou redirecionando o tráfego para evitar os nós comprometidos.
- Por conta do control plane centralizado, também é possível atualizar automaticamente as configurações e políticas de segurança na rede. Isso assegura que todos os dispositivos sejam corrigidos e configurados com rapidez de acordo com os padrões de segurança mais recentes.
- A microssegmentação pode ser aplicada à rede definida por software para viabilizar o isolamento granular de diferentes segmentos e reduzir a superfície de ataque com a contenção de possíveis ameaças em segmentos específicos.
- A análise e geração de logs centralizadas do tráfego oferece insights melhores sobre o comportamento da rede para ajudar na identificação de atividades incomuns e possíveis violações de segurança.
- É possível integrar várias ferramentas de segurança à SDN com facilidade, como sistemas de detecção de invasões (IDS), de prevenção de invasões (IPS) e de gerenciamento de eventos e informações de segurança (SIEM), além de firewalls.
É claro que a rede definida por software tem seus próprios desafios de segurança, sendo a maioria deles relacionada à sua natureza centralizada. Alguns desafios incluem o seguinte:
- Como o controlador de SDN é um componente essencial, ele também é um possível ponto único de falha. Quando o controlador é comprometido, você pode perder o controle sobre toda a rede.
- O controlador de SDN é um alvo de alto valor para invasores. Assegurar a proteção dele é essencial para manter a segurança geral da rede.
- Além disso, é necessário aplicar criptografia e autenticação reforçadas para proteger a comunicação entre o controlador e os dispositivos de rede. Assim, você evita a interceptação, a adulteração e o spoofing das mensagens de controle.
- Da mesma forma, é essencial proteger contra acessos não autorizados e explorações as APIs usadas na comunicação entre o controlador e aplicações (northbound) e entre o controlador e dispositivos de rede (southbound).
À medida que as redes ficam mais maduras, sua complexidade cresce naturalmente, assim como as políticas que elas implementam com tanta facilidade. Manter políticas de segurança consistentes em um ambiente de SDN dinâmico e possivelmente em larga escala é um processo complicado e suscetível a erros. Outro desafio é assegurar que as políticas de segurança não entrem em conflito entre si e sejam aplicadas de maneira consistente.
Em qualquer arquitetura de rede, é preciso escalar as soluções de segurança de acordo com a rede para lidar com os volumes cada vez maiores de tráfego e dispositivos sem causar um aumento significativo de latência ou produzir obstáculos ao desempenho. Na maioria das vezes, os benefícios da rede definida por software prevalecem em relação aos seus desafios, já que o control plane centralizado gera consistência e facilita as implementações de segurança.
Casos de uso da rede definida por software
A rede definida por software (SDN) oferece uma abordagem flexível, programável e centralizada de gerenciamento de rede que pode ser adotada em vários casos de uso em diferentes setores e aplicações.
- Na otimização do data center, o gerenciamento automatizado e a virtualização de rede que a SDN oferece produzem flexibilidade e diminuem a probabilidade de erros.
- Na virtualização de funções de rede (NFV), a SDN substitui os equipamentos de rede tradicionais (como firewalls e balanceadores de carga) por software que é executado em hardware proprietário, o que diminui os custos e aumenta a flexibilidade. Com a SDN, também é possível criar cadeias de serviços em que os dados são transportados por meio de uma série de VNFs, oferecendo um caminho personalizável para os pacotes de dados.
- Nas redes empresariais e de campus, o gerenciamento centralizado de políticas da SDN aumenta a consistência das políticas de segurança na rede. A SDN também ajusta dinamicamente os controles de acesso com base na identidade do usuário, dispositivo e contexto, o que aprimora a segurança e a experiência.
- É possível usar a tecnologia da SDN na otimização e no gerenciamento das conexões de redes de longa distância (WAN) para aprimorar o desempenho e a confiabilidade delas. Isso é muito útil para as empresas que têm várias filiais.
- Na multicloud e cloud computing, a SDN viabiliza a integração e gerenciamento otimizados de ambientes multicloud. Assim, as organizações podem usar os recursos de vários provedores de nuvem com eficiência, além de implementar soluções de rede escaláveis que crescem de acordo com as necessidades das aplicações em nuvem.
- Nas redes de IoT (Internet of Things), a SDN lida com os enormes requisitos de escalabilidade para oferecer configurações de rede dinâmicas à medida que novos dispositivos são adicionados. Além disso, o controle centralizado aumenta a consistência das políticas de segurança em todos os dispositivos de IoT, o que diminui os riscos associados a endpoints não protegidos.
- Nas redes 5G, a SDN possibilita a criação de fatias de rede virtual, em que cada uma delas é otimizada para diferentes tipos de serviços (por exemplo, baixa latência em veículos autônomos e alta taxa de transferência no streaming de vídeo).
- Nos casos de recuperação de desastres e continuidade de negócios, a SDN automatiza os processos de failover para que os serviços de rede sejam restaurados com rapidez após uma falha. Além disso, ela permite o uso de soluções de backup de rede mais flexíveis e eficientes para assegurar a disponibilidade e a integridade dos dados durante os desastres.
Como a Red Hat pode ajudar com a rede definida por software
Na Red Hat, um dos nossos principais focos é a nuvem híbrida aberta: uma abordagem completa de nuvem híbrida que também incorpora práticas open source. A estratégia de nuvem híbrida aberta da Red Hat foi criada com a base tecnológica do Red Hat Enterprise Linux, Red Hat OpenShift e Red Hat Ansible Automation Platform. As plataformas da Red Hat liberam todo o potencial da infraestrutura subjacente para criar uma experiência na nuvem consistente em todo o ambiente, com a capacidade de entregar uma infraestrutura de TI automatizada. A Red Hat é líder em nuvem híbrida e ajuda milhares de empresas nas suas jornadas de modernização.