Autor: Alexandre S. Cezar (CISSP. É consultor especialista em segurança da Informação da Juniper Networks Brasil)

Vivemos na era da nuvem. Da Automação. Do DevOps. Da SDN.

É um caminho sem volta, creio eu. As vantagens de possuir aplicações no modelo de nuvem são muito grandes quando comparadas aos modelos tradicionais e entendo que o mercado, com o passar do tempo irá migrar, se não totalmente, algumas de suas aplicações ou serviços para nuvens privadas, híbridas e públicas.

Mas estes ainda são temas repletos de dúvidas e desta forma, creio que seja oportuno falar sobre o assunto e tentar responder a alguns destes questionamentos. Vou focar claro, no tema segurança, visto que esta é a minha especialidade, mas irei também passar por outros temas durante este artigo.

Nuvem x Virtualização

A nuvem é um modelo tecnológico idealizado com o intuito de permitir de forma simples e conveniente o acesso a um grupo de recursos computacionais configuráveis (servidores, armazenamento, aplicações e serviços de rede) que podem ser rapidamente provisionados com esforço mínimo de gerenciamento ou interação de outras áreas de tecnologia que normalmente precisam ser envolvidas neste tipo de tarefa.

Virtualização é a capacidade de se ativar diversos novos sistemas operacionais dentro da mesma plataforma de HW através do uso de uma supervisora (hypervisor). Com o uso crescente da virtualização, notou-se que, além da redução de OPEX e CAPEX, existem diversas vantagens adicionais que a tecnologia oferece, tais como administração mais simples, facilidade de implementar novos sistemas e aplicações e automatizar tarefas.

Com este conceito em mente, desenvolveu-se uma série de tecnologias que permitem não somente criar sistemas operacionais de forma rápida e automática, mas também outros serviços de TI, como armazenamento. De forma resumida, a nuvem oferece uma completa abstração da camada de hardware, permitindo ao usuário escalar seu serviço de forma rápida, de acordo com as suas necessidades, abstraindo assim, as camadas adicionais necessárias a implantação de serviços (redes, segurança, armazenamento, etc).

Onde entram NFV, SDN e Devops?

Como comentei, a evolução da tecnologia permitiu a abstração das camadas de sistemas, armazenamento, tornando-as simplesmente “recursos” que são consumidos pelos usuários. Tal abstração oferece um dinamismo nunca antes possível aos negócios e serviços.

Mas ainda havia um elemento nesta arquitetura que não se adequava à dinâmica exigida pelas novas arquiteturas de nuvem.

Ainda se fazia necessário implementar elementos estáticos de camadas 2 e 3 para se ativar um serviço, o que obviamente atrasava o lançamento de novos serviços e afetava a dinâmica de uma nuvem (imagine as máquinas virtuais que estão em um determinado servidor sendo migradas dinamicamente para outro servidor, que está conectado a uma rede completamente diferente e os problemas que isto gera).

Tais problemas causam enormes distúrbios as equipes de virtualização e redes e uma nova solução se fez necessária. Para resolver tal problema, criou-se o conceito de Software Defined Network (SDN), que basicamente implementa aquilo que foi o conceito básico na criação da Juniper. A separação do plano de controle do plano de redes.

Agora toda a tomada de decisão de redes está centralizada em um controller (SDN Controller) e a rede física basicamente é um grande plano distribuído para encaminhamento de pacotes.

Ainda assim, um problema permaneceu. Os equipamentos de rede (roteadores, firewalls, etc), não suportam a escalabilidade necessária para atender as necessidades de ambientes de nuvem, e desta forma também se fez necessário desacoplar os serviços de rede (IPS, FW, roteador) da plataforma física e virtualiza-los. Esta virtualização dos serviços de rede e segurança se chama SDN (Software Defined Network).

Como automatizamos todas estas funções de rede?

Por exemplo, gerenciamento de de vlans, criação de túneis, políticas de segurança, balanceamento de tráfego, etc. Esta é a função dos profissionais de devops. Automatizar as funções de rede através da programação das tarefas que o Controller irá executar.

Isto significa que preciso trocar todos os meus equipamentos de rede para ter uma rede capaz de suportar SDN? Não, a maioria dos equipamentos de rede suportam as interfaces lógicas de comunicação com os elementos de controle.

Mas é aqui que está uma das diferenças nas estratégias de SDN. O diferencial seria uma estratégia aberta, ou seja, equipamentos que se conectam com a maioria das soluções de gestão de nuvem e automação do mercado. Muitos fabricantes possuem uma estratégia mais fechada, oferecendo uma solução “lock-in”.

O mercado particularmente tem caminhado para soluções abertas, vide o crescimento da adoção da plataforma OpenStack. Mas é importante de agora em diante, que nas novas aquisições de soluções de rede, que se leve em conta o suporte a “SDN”.

E como fica a segurança na nuvem?

A segurança continua sendo um aspecto fundamental nos ambientes corporativos e a virtualização e SDN introduziram novos desafios.

– Como controlar o tráfego dentro da rede virtualizada?

– Como proteger os novos serviços criados dinamicamente?

– Como automatizar as políticas de segurança para elas se adequem aos requisitos de cada novo sistema?

– Como proteger o controlador SDN, que agora é o novo “cérebro” da rede.

Todas estas questões precisam ser endereçadas e respondidas pelas equipes que estão desenhando as novas redes para garantir a eficácia do projeto.

Fonte: Computerworld