Las redes definidas por software

Las redes definidas por software (SDN) constituyen un enfoque de la infraestructura de TI que aísla los recursos de red en un sistema virtualizado. Esto es lo que se denomina virtualización de la red. Este tipo de redes separan las funciones de envío de datos de las de control para diseñar una red que se pueda programar y gestionar desde un solo lugar, lo que también se describe como separación del plano de control del de datos. Permiten que el equipo de operaciones de TI controle el tráfico de red en las topologías de redes complejas con un panel concentrado, en lugar de administrar cada dispositivo de forma manual.

Las empresas adoptan este tipo de redes en respuesta a las limitaciones de las infraestructuras tradicionales. Estos son algunos de sus beneficios:

• Separación del plano de control del de datos: el plano de control, que se encarga de tomar las decisiones sobre la forma de enviar los paquetes de datos, se encuentra implementado y concentrado en controladores basados en software. El plano de datos, que se encarga de efectivamente enviar esos paquetes de datos a través de la red, permanece en los dispositivos de red basados en hardware, pero está simplificado y se especializa en centrarse solo en el envío de paquetes. En las redes tradicionales, el plano de control y el de datos suelen estar integrados dentro de los dispositivos de red, como los conmutadores, los enrutadores y los puntos de acceso, por lo que se elimina la posibilidad de llevar a cabo el control desde un solo lugar.
• Control desde un solo lugar: las redes definidas por software proporcionan control concentrado, dado que en ellas, las políticas y las configuraciones de la red se gestionan y aplican desde un controlador central, lo que las diferencia de las redes tradicionales, en las cuales las políticas y las configuraciones de la red se distribuyen entre varios dispositivos de red.
• Menor costo: las infraestructuras de redes definidas por software suelen tener un costo menor que sus equivalentes en hardware, ya que se ejecutan en servidores comerciales y no en dispositivos costosos de un solo uso. Además, ocupan un espacio menor porque permiten ejecutar varias funciones en un solo servidor. Al necesitar menos hardware físico, se logra la consolidación de los recursos, lo cual da como resultado una reducción de los costos generales, energéticos y de espacio físico. 
• Mayor escalabilidad y flexibilidad: la virtualización de la infraestructura de red le permite ampliar o contraer los recursos de red cuando lo considera oportuno, sin tener que agregar otra pieza de hardware propietario. Las redes definidas por software le ofrecen una enorme flexibilidad que permite la implementación de autoservicio de los recursos de red.
• Programación y automatización sencilla: en las redes definidas por software, los administradores definen las políticas y las configuraciones de la red mediante el uso de las API y la lógica definida por software. Esto permite la implementación dinámica de los recursos de red y su gestión basada en las políticas, lo que facilita su rápida implementación y adaptación a las necesidades empresariales en constante cambio. En las redes tradicionales, la configuración y la gestión de los dispositivos de red se suelen llevar a cabo de forma manual con interfaces de línea de comando (CLI) o herramientas de configuración específicas de los dispositivos. 
• Gestión simplificada: una red definida por software da lugar a una infraestructura general más fácil de operar, ya que no se requieren grandes especialistas de redes para gestionarla. 

Las redes definidas por software, en combinación con el almacenamiento definido por software y otras tecnologías, pueden constituir un enfoque de infraestructura de TI conocido como hiperconvergencia: un enfoque definido por software para todo.

Hay otro tipo de abstracción de red para las empresas de telecomunicaciones llamada virtualización de las funciones de red (NFV). Al igual que las redes definidas por software, la NFV separa las funciones de red del hardware. También proporciona la infraestructura en la cual puede ejecutarse el software de la SDN. Además, ofrece a los proveedores la flexibilidad para ejecutar funciones en diferentes servidores o para trasladarlas cuando cambia la demanda. Esta flexibilidad agiliza la prestación de servicios y la distribución de aplicaciones por parte de los proveedores de telecomunicaciones. Por ejemplo, si un cliente solicita una función de red nueva, se puede poner en marcha una nueva máquina virtual (VM) que gestione esa solicitud. Cuando la función ya no sea necesaria, se podrá retirar la máquina virtual. Esto permite determinar el valor de un posible nuevo servicio sin correr muchos riesgos.

La NFV y la SDN pueden utilizarse en conjunto, según lo que se quiera lograr, y ambas utilizan un hardware básico. Con ellas, puede crear una arquitectura de red más flexible y programable que utilice los recursos de manera eficiente.

La arquitectura de las redes definidas por software refleja la manera en que cambia el control y la responsabilidad en comparación con las redes tradicionales.

El plano de control se encarga de tomar decisiones de alto nivel sobre la manera en que deberían enviarse los paquetes de datos a través de la red. En las redes definidas por software, el plano de control se encuentra concentrado e implementado en el software, y se suele ejecutar en un controlador o un sistema operativo de red unificado. El controlador se comunica con los dispositivos de red mediante un protocolo estandarizado, como OpenFlow, NETCONF o gRPC, y mantiene una visión global de la topología y el estado de la red.

El plano de datos, también conocido como plano o elemento de envío, se encarga de enviar los paquetes de datos a través de la red de acuerdo con las instrucciones que recibe del plano de control. En las redes definidas por software, el plano de datos se encuentra implementado en los dispositivos de la red, como los conmutadores, los enrutadores y los puntos de acceso, los cuales se conocen como elementos de envío. Estos dispositivos dependen del plano de control para recibir las instrucciones sobre el proceso de envío de los paquetes de datos, y pueden estar simplificados o especializados para centrarse solo en esa tarea.

Elementos de las redes definidas por software

Dentro de la arquitectura de las redes definidas por software, varios elementos definen la gestión de sus procesos.

Dos tipos de API (interfaces de programación de aplicaciones) permiten la comunicación entre los planos y con la red más amplia:

• API southbound: las API southbound se utilizan en las arquitecturas de las redes definidas por software para la comunicación entre el plano de control y el de datos. Estas API permiten que el controlador programe y configure los dispositivos de red, recupere la información sobre la topología y el estado de la red y reciba notificaciones sobre los eventos de la red, como las fallas de conexión o las congestiones. Las API southbound incluyen OpenFlow, que se suele utilizar para las comunicaciones entre el controlador y los conmutadores de la red.
• API northbound: las API northbound se utilizan para exponer la función del controlador de la red definida por software ante las aplicaciones y los servicios de gestión de redes de nivel superior. Estas API permiten que las aplicaciones externas interactúen con el controlador de la red definida por software; soliciten servicios de red; y recuperen la información sobre la topología, los flujos del tráfico y los indicadores del rendimiento de la red. Las API northbound permiten que las tareas de gestión de la red se puedan programar y automatizar; además, facilitan su integración en los sistemas de organización, las plataformas de nube y otras herramientas de gestión.

Asimismo, el controlador de la red definida por software es el elemento central de su arquitectura, ya que es el encargado de implementar las funciones de control de la red y de coordinar la comunicación entre el plano de control y el de datos. Proporciona una visualización concentrada de la red, mantiene la información sobre su estado y toma decisiones sobre la configuración y la gestión de los dispositivos de la red en función de sus políticas y requisitos. Algunos ejemplos de los controladores de las redes definidas por software son OpenDaylight, ONOS y Ryu.

Los dispositivos de red, como los conmutadores, los enrutadores y los puntos de acceso conforman el plano de datos de la arquitectura de las redes definidas por software. Estos dispositivos envían los paquetes de datos según las instrucciones que reciben del controlador y pueden admitir funciones como el envío basado en los flujos, la calidad del servicio (QoS) y la ingeniería del tráfico. En las redes definidas por software, los dispositivos de red se suelen simplificar y estandarizar para que admitan la programación y la interoperabilidad con el controlador.

Gestión y organización: las arquitecturas de las redes definidas por software también pueden incluir sistemas de gestión y organización que se encargan de implementar, configurar y supervisar los recursos de las redes. Los sistemas de gestión y organización interactúan con el controlador de la red definida por software a través de las API northbound para automatizar las tareas de administración de la red, optimizar la utilización de los recursos y garantizar la disponibilidad y el rendimiento de los servicios.

En general, la arquitectura de este tipo de redes separa las funciones de control de la red de las de envío de datos; concentra la información y la gestión de la red en los controladores basados en el software; y permite la gestión programable, flexible y ajustable de los recursos de la red a través de API e interfaces estandarizadas.

Las redes definidas por software conllevan varias implicaciones de seguridad.

• Como las redes definidas por software utilizan un plano de control concentrado, la aplicación de las políticas de seguridad se simplifica en comparación con el modelo de redes tradicionales. Las SDN permiten que haya una aplicación uniforme y simplificada de dichas políticas en toda la red, lo que permite reducir el riesgo de cometer errores de configuración.
• El controlador central ofrece una visión global de todo el tráfico de la red, lo que permite que la supervisión sea más eficaz y que las posibles amenazas se puedan identificar con mayor rapidez.
• A su vez, esto permite detectar las amenazas y corregirlas en tiempo real, ya que las SDN pueden ajustar las configuraciones de la red de forma dinámica y aislar los segmentos afectados o redirigir el tráfico para evitar comprometer los nodos.
• El plano de control concentrado también puede lograr que las configuraciones y las políticas de seguridad se actualicen automáticamente en toda la red, lo que garantiza que se apliquen los parches correspondientes en todos los dispositivos de forma inmediata y que estos se configuren de acuerdo con los últimos estándares de seguridad.
• Las redes definidas por software pueden aplicar la microsegmentación, que permite el aislamiento específico de diferentes segmentos de la red y reduce la superficie de ataque detectando las amenazas potenciales en segmentos particulares.
• El registro y el análisis concentrados del tráfico de la red permiten tener mejor información sobre el comportamiento de la red, lo cual facilita la identificación de las actividades anómalas y los posibles fallos de seguridad.
• Las SDN se integran con facilidad en diversas herramientas de seguridad, como los sistemas de detección de intrusos (IDS), los sistemas de prevención de intrusos (IPS), los firewalls y los sistemas de gestión de la información y los eventos de seguridad (SIEM).

Desde luego, las redes definidas por software presentan sus propios desafíos de seguridad, la mayoría de los cuales están relacionados con sus funciones de control concentradas en un solo lugar. Estos son algunos de ellos:

1. El controlador de SDN es un elemento fundamental y, por lo tanto, un punto único de fallas potencial. Si se compromete el controlador, se puede perder el control de toda la red.
2. El controlador de las SDN constituye un objetivo de gran valor para los atacantes. Por ello, garantizar su seguridad es primordial para poder mantener la seguridad de toda la red.
3. Además, se deben utilizar sistemas sólidos de cifrado y autenticación con el fin de proteger la comunicación entre el controlador y los dispositivos de red para evitar la interceptación, la manipulación o la suplantación de los mensajes de control.
4. Del mismo modo, las API que se usan para la comunicación entre el controlador y las aplicaciones (northbound) y entre el controlador y los dispositivos de la red (southbound) deben protegerse del acceso no autorizado y de los ataques.

A medida que evolucionan las redes, se vuelven más complejas junto con las políticas que implementan con tanta facilidad. El mantenimiento de políticas de seguridad uniformes en el entorno dinámico de las SDN, que puede convertirse en uno de gran tamaño, es una tarea compleja y que puede dar lugar a errores. Otro desafío es asegurarse de que las políticas de seguridad no entren en conflicto entre ellas y de que se apliquen de manera uniforme.

En cualquier arquitectura de red, las soluciones de seguridad deben ajustarse junto con la red para poder manejar los mayores volúmenes de tráfico y dispositivos, sin que ello implique un gran aumento de la latencia ni la aparición de bloqueos en el rendimiento. A menudo, los beneficios de las redes definidas por software superarán sus desafíos, ya que un plan de control concentrado genera uniformidad y facilita las implementaciones de seguridad.

Las redes definidas por software (SDN) brindan un enfoque flexible y programable desde un solo lugar para gestionar la red que puede aplicarse a una gran variedad de casos prácticos en diferentes sectores y aplicaciones.

• En la optimización del centro de datos, la virtualización y la gestión automatizada de las SDN aportan flexibilidad y reducen la probabilidad de que se produzcan errores.
• En la virtualización de la función de la red (NFV), las SDN pueden remplazar los dispositivos de red tradicionales (como los firewalls y los equilibradores de carga) por software que se ejecuta en el hardware básico, lo cual reduce los costos y aumenta la flexibilidad. Las SDN también facilitan la creación de cadenas de servicios en las que los datos fluyen a través de series de VNF y brindan un plan personalizable para los paquetes de datos.
• En las redes de campus y empresas, la gestión concentrada de las políticas de las SDN permite la aplicación de políticas de seguridad uniformes en toda la red. Las SDN también pueden ajustar los controles de acceso de manera dinámica en función de la identidad, el dispositivo y el contexto del usuario, para mejorar su seguridad y experiencia.
• La tecnología de las SDN se puede utilizar para optimizar y gestionar las conexiones de la red de área amplia (WAN), lo cual mejora el rendimiento y la confiabilidad de las conexiones de la red de larga distancia. Esto resulta particularmente útil para las empresas que cuentan con varias sucursales.
• En la integración del cloud computing y el multicloud, las SDN dan lugar a la integración y la gestión óptimas de los entornos multicloud y, por lo tanto, las empresas pueden utilizar recursos de varios proveedores de nube de manera eficiente, así como ofrecer soluciones de red ajustables que crezcan según las necesidades de las aplicaciones de la nube.
• En las redes del Internet de las cosas (IoT), las SDN gestionan los requisitos de gran capacidad de expansión, por lo que se permiten las configuraciones dinámicas de la red a medida que se incorporan nuevos dispositivos. Además, al poder llevar a cabo el control desde un solo lugar, se aplican políticas de seguridad uniformes en todos los dispositivos del IoT y se reducen los riesgos relacionados con los extremos que no están protegidos.
• En las redes 5G, las SDN facilitan la creación de segmentos de red virtual, cada uno de los cuales se optimiza para diferentes tipos de servicios, como la baja latencia para los vehículos autónomos o el alto rendimiento para la transmisión de videos.
• En los casos de recuperación ante desastres y de continuidad empresarial, las SDN pueden automatizar los procesos de tolerancia a fallos, de manera que los servicios de red se restauren con rapidez cuando se produzcan errores, y se desarrollen soluciones más eficientes y flexibles para la creación de backups de la red, lo que garantiza la integridad de los datos y su disponibilidad durante los desastres.

En Red Hat, nos centramos especialmente en la nube híbrida abierta, una visión integral de la nube híbrida que también incorpora las prácticas abiertas. La estrategia de nube híbrida abierta de Red Hat se basa en la tecnología de Red Hat Enterprise Linux, Red Hat OpenShift y Red Hat Ansible Automation Platform. Las plataformas de Red Hat le permiten aprovechar el potencial de la infraestructura para crear una experiencia de nube uniforme en cualquier entorno, con la capacidad de ofrecer una infraestructura de TI automatizada. Red Hat marca el camino en el avance de la nube híbrida y ayuda a miles de empresas en sus procesos de modernización.