É comum em TI o lançamento de novas
tecnologias. Algumas são revolucionárias e prometem mudar completamente a
maneira como trabalhamos. Podem ser um grande sucesso ou acabar esquecidas.
Esse é o caso da SDN, ou software-defined networking, a tendência do momento em
arquitetura de redes. Para quem nunca ouviu falar aí vai um resumo em uma
frase: ela promete mudar completamente a maneira como empresas instalam e
gerenciam suas redes, com um potencial ainda não medido de alterar quem dá as
cartas no mercado de redes. Algo como a introdução da computação pessoal na
época dos mainframes.
O elemento básico dessa nova
arquitetura é a separação dos planos de controle e processamento de tráfego.
Hoje a configuração dos dispositivos de rede está implantada em cada
equipamento, apesar do gerenciamento centralizado. Uma mudança, física ou
lógica, exige mudanças em vários dispositivos. Na SDN a configuração da rede
está completamente separada. Regras de roteamento e ACLs, assim como definições
de VLAN, por exemplo, não são mais configuradas nos equipamentos e sim nesse
plano de controle, que se comunica com os equipamentos físicos que só executam
as instruções. Essa camada física torna-se também transparente para as aplicações,
que apenas se comunicam com o plano de controle. A chave de tudo isso está no
OpenFlow, o protocolo de comunicação entre os planos de controle e de
processamento de rede. Em tese as configurações de rede se tornam independentes
do hardware e do fabricante. Uma empresa pode, em tese, instalar qualquer
switch, de qualquer marca, que não fará a menor diferença. Aqui vemos o impacto
que a SDN pode causar no mercado, incluindo o de segurança.
Mas antes de falar sobre segurança
vejamos quem está por trás da proposta, e essa pode ser sua principal força. A
organização responsável pela definição e promoção da SDN chama-se Open
Networking Foundation (ONF) e foi criada pelo Deutsche Telekom, Facebook,
Google, Microsoft, Verizon e Yahoo!. O Google é alias um dos maiores
entusiastas com ampla adoção do OpenFlow em 2012. O que há de especial nessa
lista de fundadores? São todos usuários de redes. No comitê central da ONF
estão ainda a NTT (empresa de telecomunicações japonesa) e o Goldman Sachs. Já
entre os membros estão praticamente todas as empresas importantes de redes, TI
e telecomunicações; entre fabricantes, integradores e usuários. É também um
grupo internacional, com representantes dos Estados Unidos à China. Infelizmente nenhuma empresa brasileira faz
parte, sinal inequívoco das nossas dificuldades em inovação nessa área da
tecnologia. Vamos bem em outras, como aviação, mas em tecnologia de rede
continuamos a reboque de outros países, alguns deles emergentes como nós. Os
grandes fabricantes de redes – Cisco, Juniper, Huawey, entre outros, principais
afetados se a nova arquitetura pegar, também estão entre os membros.
Até o momento a discussão sobre
segurança é bem vaga. Fala-se dos benefícios da nova arquitetura em comparação
à atual, hierárquica, e que será mais simples implementar controles e reagir a
ataques como os de DDoS, já que é possível rapidamente reconfigurar a rede e
isolar o tráfego de ataque. A hierarquia na arquitetura de rede teve como
principal promotor a Cisco, que criou os conceitos das camadas de core,
distribuição e acesso, e a ONF fala diretamente em substitui-la pelo seu
modelo, mais flexível a adaptada aos novos tempos, segundo ela. Pois todos os
produtos de segurança de rede, entre firewalls, IPS e outros gateways, foram
concebidos com a arquitetura hierárquica em mente. Mesmo que os padrões
permitam que um firewall tradicional seja instalado em uma rede SDN, isso será
muito pouco para uma empresa que tenha implementado por completo o SDN e o
OpenFlow. Afinal de contas os dispositivos de segurança também são dispositivos
de rede, não há como a arquitetura de rede ser de um jeito e a de segurança de
outro.
Atualmente a implementação de
firewalls, assim como todas as outras tecnologias de proteção de rede, é
centrada no gateway, seja ele um equipamento ou um cluster. Se uma grande
empresa com dezenas de firewalls precisar liberar um acesso específico
provavelmente será necessário configurar a regra de diferentes equipamentos.
Tal procedimento é trabalhoso e propenso a falhas. Em um hipotético firewall
SDN (reforço que é em tese, pois tal equipamento não existe) todos os
equipamentos seriam parte de um grande sistema de firewall. Liberar tal acesso
para toda a rede seria tão simples como é hoje incluir uma regra em um único
dispositivo, pois a regra valeria para todos.
Ao especificar uma política de processamento de tráfego o administrador
iria também definir a política de segurança para ele, abstraindo-se dos
equipamentos físicos que iriam executar tais instruções. O monitoramento também
poderá se beneficiar a partir da simplificação e flexibilização da arquitetura
e aproximar-se das aplicações de negócio, traduzindo mais facilmente regras de
negócio em regras de segurança. Será sem dúvida uma grande mudança e não há como
prever o impacto e se novos fornecedores surgirão, ou se os fabricantes de rede
irão tomar a dianteira. Por outro lado novas tecnologias sempre trazem novas
vulnerabilidades e incertezas. Nenhum software é perfeito e questões como a
proteção do plano de controle deverão ser encaradas, pois o seu comprometimento
causaria muito mais estragos que o ataques atuais a equipamentos
individualizados.
É importante ter em mente que a
tecnologia ainda é nova e imatura; e continua como tendência, apesar de
implementada em empresas do porte da Google. É possível que no futuro se torne
o novo padrão, ou que seja eclipsada por algo mais novo que venha a surgir. No
final são sempre os usuários que definem qual arquitetura é a melhor. Mas
devemos levar em conta que no caso da SDN não é apenas a “indústria” quem a
está promovendo. Há usuários participando das definições dos padrões, e,
espero, aproximando os desejos dos fabricantes às necessidades dos clientes.