SDN, virtualización de redes y lo que viene

Martin Casado fue una persona clave en el desarrollo de OpenFlow. Luego de recibir recientemente un galardón como “Idolo a la innovación en la Nube”, el CTO de Networking en VMware se refirió a SDN, seguridad, ratones y elefantes.

Martin Casado fue galardonado en la Cumbre de Innovación NetEvents Cloud el 27 de marzo en Mountain Winery, Saratoga, California, con el premio “Idolo a la innovación en la Nube”. Casado, persona clave en el desarrollo de OpenFlow en Stanford, fundó Nicira Network, que posteriormente fue adquirida por VMware.

En su discurso inaugural, Casado comenzó diciendo que, en su opinión, la tendencia más importante en los últimos años no ha estado relacionada directamente con NEE o NFV, sino más bien con los centros de datos masivos que están detrás de servicios en la nube como Google, Facebook , Amazon, Azure, Tencent, Baidu y Yahoo!

Estos son los centros de datos más exitosos del planeta, y son excepcionales bajo cualquier criterio – siendo decididamente los más escalables. Entonces, ¿quién les vendió esta tecnología? La respuesta es: nadie; lo hicieron ellos mismos. “Estas empresas altamente tecnológicas – con algunos de los mejores conocimientos técnicos sobre la faz del planeta – diseñaron su propia arquitectura. Y, básicamente, lo que hicieron fue trasladar la funcionalidad que tradicionalmente había radicado en la red, al software. Cosas como la seguridad, el aislamiento de errores, la visibilidad y la depuración se trasladaron desde el hardware al software”.

Casado identificó buenas razones para hacerlo: “En software, puedes evolucionar más rápidamente y tienes más contexto, porque estás más cerca de la aplicación. Podría decirse que, si está en el software, puedes escalarlo mejor.” Así que ¿por qué no todo el mundo lo hace?

“La razón de qué todo no todo el mundo lo haga es que sólo es posible si puedes reescribir la aplicación. Si estoy Google, tengo la aplicación de Google, en la que puedo instalar cosas como seguridad, balance de carga y facturación. Si estoy Amazon, controlo la aplicación y puedo hacer lo mismo. Así que si puedo controlar mi aplicación, puedo construir el centro de datos más impresionante del planeta”.

Esto plantea la pregunta: ¿cómo construir un centro de datos tan bueno como este, si no tienes la posibilidad de controlar la aplicación? Aquí es donde entra en juego la virtualización de la red.

Un centro de datos cuenta con una red física. Podría ser cualquier cosa: Infraestructura de Cisco, red IP, IP sobre InfiniBand o lo que sea. Vamos a suponer que estás ejecutando virtualización en tus servidores. Así que la idea de la virtualización de la red es crear lo que quieras a partir del hipervisor de la red – de la misma forma que esos centros de datos gigantes sacaron funcionalidad de la red física para colocarla en la aplicación. Lo que queda se parece a una red física, pero en realidad es una abstracción virtual. Puedo conectar una aplicación a una de estas abstracciones virtuales, y la aplicación piensa que se está ejecutando en una red física.

Estas abstracciones tienen el modelo de funcionamiento de una máquina virtual: se pueden crear de forma dinámica, crecer, reducir su tamaño, moverlas o hacer lo que quieras. Así que ahora, a alto nivel, tienes características como los centros de datos gigantes – funcionalidad escrita en software.

“Cuando empezamos a hacer estas cosas, la mayoría de la gente pensó que estábamos locos. Estábamos trabajando con los adoptantes tempranos reales, y había un montón de proyectos conjuntos. Hemos trabajado con algunas de las mayores compañías de telecomunicaciones, nubes, y finanzas a escala mundial. Y ha sido muy interesante ver todo esto evolucionar”.

Cuando comenzó la virtualización de cómputo, la gente simplemente lo vio como una forma directa de consolidar dos o más servidores en uno – es decir, una sencilla propuesta de valor. Pero una vez establecida, se ha convertido en una poderosa manera de hacer más cosas en grande – llevando eventualmente a la computación en la nube. Lo mismo está sucediendo con la virtualización de red.

El caso de uso inicial para la virtualización de red fue aprovisionar tiempo. Mientras que encender una máquina virtual tarda 30 segundos, la configuración de una red necesita dos meses – un enorme desajuste. Durante los últimos tres años la virtualización de red fue adoptada inicialmente por los proveedores de servicios, luego llegó el turno a la nube, luego entornos de pruebas y desarrollo, y finalmente el sector financiero. Pero en el último año, el despegue ha sido definitivo: “Treinta y un clientes en los últimos meses, tres de las cinco principales organizaciones financieras, además de fabricantes de bebidas y conservas, empresas manufactureras, etc… Las ventas a los adoptantes tempranos siempre son difíciles, porque hay que educarlos, y se tarda años. Pero el último trimestre hemos tenido dos clientes que adoptaron virtualización de redes, con quienes nadie en mi equipo había hablado antes. Es como el primer ejemplo en el que realmente tienes una venta que llegó sola, desde el mercado”.

Con todas las grandes compañías hablando ahora del tema, los casos de uso han pasado del ahorro de tiempo a la seguridad, con un 40% de los últimos clientes de virtualización de redes teniendo precisamente ese enfoque; la seguridad. “Y, de hecho, no fue algo que yo anticipara desde el principio. No estoy seguro de si ustedes lo saben, pero trabajé anteriormente para las agencias de inteligencia. Antes de ir a Stanford, me dediqué a la seguridad informática – realizando operaciones en las que forzaba mi entrada a sistemas. Y déjenme decirles, un centro de datos prácticamente no tiene controles”.

Comparó la seguridad del centro de datos con la conocida Línea Maginot que los franceses construyeron para protegerse de la invasión germana: un poderoso sistema de fortificación y defensa que llevó a los alemanes a invadir Francia vía Bélgica, en lugar de hacerlo directamente. Del mismo modo, el 80% de la seguridad va a asegurar el perímetro de la red, pero si un atacante puede vulnerar el perímetro – digamos entrando al edificio – hay muy poca defensa disponible. “Es muy difícil controlar un terabit de ancho de banda. Es por eso que construimos cajas, que colocamos en el perímetro”.

“Pero supongamos que nos las arreglamos con sobornos, para allanar nuestro camino hacia el centro de datos, e instalar código en un servidor, cualquier servidor antiguo – que podría ser un servidor de desarrollo, o un servidor añadido para apoyar algunas aplicaciones heredadas. ¿Qué acceso es ahora posible para el código que acabamos de instalar? La respuesta es: pleno acceso. Puedo ver la red física, que contará con 50 versiones de iOS, y muchas decenas de millones de líneas de código. Tengo DHCP compartida. Tengo DNS compartida. Tengo AD compartido. Puedo ver cada uno de los otros servidores: Tengo acceso ilimitado a todo lo que quiero”.

“Así que si puedo intervenir una aplicación y puedo ver la infraestructura física. Es bastante absurdo compartir todos estos componentes, ya que si vulnero el servidor y sigo adelante y golpeo a DNS o AD, entonces consigo acceso a todo lo que esté contenido en el centro del centro de datos o en el almacenamiento compartido”.

La solución es hacer cumplir “el principio de privilegios mínimos”, que es dar a cada aplicación instalada en el centro de datos acceso únicamente a lo que necesita para hacer su trabajo – y nada más. Efectivamente, se utiliza la virtualización de red como bloques de construcción para crear redes virtuales llamadas “micro-segmentos”. Todo lo que llega a un micro-segmento particular no puede ver nada, excepto lo que está en el mismo segmento. Esa red virtual puede ser provista de sus propios servicios de seguridad, su propia capa de servicios y – si fuera vulnerada – el ataque se limita al micro-segmento.

“Como técnico, se te ocurren estas arquitecturas principales y estos productos básicos ¡y luego empiezas a ser conducido hacia áreas que ni siquiera te imaginaste! Esto ahora está impulsando en gran medida la adopción de la virtualización de la red, lo cual es genial”.

Después de haber pasado los últimos seis meses enfrascado en el campo de la seguridad, Casado explayó sobre este tema, y dijo que en los 10 años que han transcurrido desde que trabajaba en seguridad, nada había cambiado radicalmente: “Bueno, el gasto de seguridad está superando al gasto en TI, ¿verdad? Y lo único que parece estar superando el gasto de seguridad son las pérdidas en seguridad. Es como que estamos perdiendo esta batalla – la batalla en sí no puede arruinarnos. Para mí, esta es la oportunidad: hay algo fundamentalmente erróneo en la arquitectura”.

Casado recordó el concepto de “La Zona Ricitos de Oro” – un término tomado de la ciencia planetaria para describir la distancia perfecta entre cualquier estrella y un planeta, para que éste no sea ni demasiado caliente ni demasiado frío como para sostener la vida. En este caso, la Zona Ricitos de Oro es descrita como una capa de seguridad horizontal que proporciona contexto y aislamiento para construir la seguridad. Lo que hemos heredado en el centro de datos es un compromiso entre ambos: el contexto y el aislamiento.

Dice así: si tenemos algún agente de seguridad como un cortafuegos y lo ponemos en una aplicación, tiene el contexto completo: conoce los usuarios, los datos, los archivos, etc. Pero no hay aislamiento, por lo que poner un control de seguridad en ese lugar es como poner el interruptor de encendido y apagado de un sistema de alarma en el exterior de una casa. No tiene ningún sentido. Así que, en lugar de ello, pongamos el control de seguridad en la infraestructura, instalando ACL o lo que sea en los switches y routers. Si alguien consigue acceder a un servidor, no necesariamente estará teniendo acceso al router, por lo que la superficie de ataque es mucho más pequeña. Pero ahora tenemos el aislamiento, con lo que se pierde el contexto: no hay datos sobre los usuarios, aplicaciones, ni ningún acceso a los sistemas de archivos locales.

Casado sugirió que, con unos cuarenta millones de máquinas virtuales por ahí, probablemente alrededor del 70%-80% de las cargas de trabajo empresariales ahora deben ser virtualizadas. Así que si el hipervisor podría ser utilizado para mirar en la aplicación y sacar contexto significativo – sobre los usuarios y las aplicaciones, y ver qué cosas están haciendo – y al mismo tiempo salvaguardar la visibilidad y garantizar la protección y la aplicación, estaría proporcionando el espacio óptimo donde la visibilidad, el contexto y el aislamiento pueden coexistir. Esta es la zona de seguridad de tipo Ricitos de Oro.

“Este es un área importante que estoy investigando. Porque, dado el estado de la industria de seguridad, si esto sigue así, vamos a gastar todo nuestro tiempo y dinero en seguridad”. En lugar de ello, explicó, es necesario un enfoque totalmente nuevo en la arquitectura y la forma en que la percibimos. Lo que falta es una capa horizontal que proporcione seguridad verdaderamente significativa. “Estructurada como plataforma, donde nuevos servicios de seguridad puedan ser agregados encima, para cumplir funciones como cortafuegos de próxima generación, con profunda visibilidad en el anfitrión final, o control de acceso a la red que realmente entiende cosas como objetos, personas, políticas significativas o evaluación de vulnerabilidades”.

“Y así que les dejo con esto. El modelo de computación cambia muy raramente: mainframe a servidor cliente, de servidor cliente a la nube. Estamos viendo cambios en la arquitectura de red, y creo que esta es la única oportunidad ya que estamos redefiniendo las arquitecturas, para realmente incorporar seguridad inherente. Si podemos construir esta capa, creo que podemos dotarla de seguridad de la misma manera que hemos manejado el tema de las redes en los últimos siete años. Quiero decir, he dedicado mi vida a SDN, y creo que tenemos el mismo tipo de oportunidad aquí”.

Con estas palabras, Casado terminó su presentación, dando paso a una serie de preguntas. La primea correspondió a Michael Howard, cofundador y analista principal de Infonetics Research, y luego de los asistentes.

Howard, que tiene su propia atención puesta en las redes de proveedores de servicios, naturalmente tenía una pregunta acerca de la relevancia de la virtualización en una red de proveedor de servicio. Casado planteó el dolor de cabeza actual: la forma en que operadores OTT como Netflix pueden establecer un gran negocio en la red, dejando a empresas como AT&T con un hosting marginal del 4%. “En cambio, voy a construir una plataforma y esta plataforma va a tener APIs, y Netflix. Puedes usar mis APIs, así que voy a ser el EC2 de mi red. Así que no es EC2 como una nube de computación. Es como una nube EC2 de servicios de redes, y construyes encima de eso, lo que me da el control de la monetización”. Para hacer esto correctamente, explicó, necesitas virtualización de la red, y también necesitas la plataforma como un servicio, colocada encima de eso.

Otras citas memorables de Casado incluyen:

“Mucha gente ve la tecnología como un arco, donde es necesario tener el arco entero; es decir, sólo al colocar la última pieza puedes decir que tienes un arco. Creo que la tecnología debería ser más como una casa de Eichler, donde vas colocando bloques, y tendrás rápidamente algo funcional, y luego puedes construir algo encima de eso, y luego construir algo encima de eso. Todo lo que hemos hecho es construir el primer bloque funcional”.

“Hemos sentado las bases y ahora tenemos que empezar a resolver los problemas relacionados con la empresa, como la seguridad. Hay mucho que también podemos hacer en cuanto a rendimiento y optimización del rendimiento. Me estoy centrando ahora en la seguridad, ya que, si intento detectar los problemas de la industria aplicando el mapa térmico de Martin, estamos jodidos si no resolvemos esa parte”.

En lo relativo a la seguridad del hardware en comparación con la seguridad del software: “El software tiende a tener más errores porque ponemos mucho más funcionalidad en él. Entonces, está claro, tenemos que centrarnos en la seguridad del software, pero es algo que ya se aplica a las funciones de toda Internet y de cada aplicación que hacemos hoy, y afortunadamente, tenemos grandes paradigmas para lidiar con eso”.

En el frente del rendimiento, Casado planteó la distinción entre los “flujos de ratones” y los “elefantes”: “Denominamos ‘flujo de ratones’ a la mayor parte del tráfico en el centro de datos. Son muy pequeños y se van muy rápido – muy sensibles a la latencia. Pero, de vez en cuando, llega un elefante, que es un gran caudal. Los grandes flujos pisotean a los caudales pequeños, porque se llenan los búferes, y se hacen colas, con demoras para los ratones”.

Si puedes predecir la llegada del elefante, el problema es fácil – el paquete pertenece a un flujo de elefante, así que deber asegurarte que no pisará a los ratones. Pero nadie sabe cómo detectar los elefantes, y no podemos hacerlo desde dentro de la red. El hipervisor, sin embargo, hace posible ver la cantidad de datos que hay que enviar; puede ver el futuro y avisar sobre un elefante se acerca, solucionando así un problema de rendimiento de larga data en la creación de redes.

Por Alan Zeichick, analista principal de Camden Associates, empresa líder de análisis tecnológico concentrada en cloud computing, desarrollo de software, redes enterprise/carrier y computación móvil. Camden ofrece análisis para planificación estratégica. La empresa tiene oficinas en Silicon Valley, California, y Phoenix, Arizona. Versión en español exclusiva para Diario TI.

Imagen: Martin Casado en el Cloud Innovation Summit de NetEvents 2014 (Fotografía: Diario TI)


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022