Durante los últimos años ha ido aumentando el número de componentes y la complejidad de las infraestructuras de interconexión y seguridad de los centros de datos. Hoy en día, a la infraestructura básica que en un principio únicamente contemplaba un cortafuegos, se le han añadido multitud de sistemas independientes, tales como concentradores VPN, balanceadores de carga, aceleradores criptográficos o sistemas IDS. Todas estas herramientas han traído consigo un incremento considerable del nivel de complejidad, claramente reflejado a nivel de CAPEX y OPEX de infraestructura.
El caso de los operadores y centros de hosting, que ofrecen sus servicios de alojamiento y aplicativos a múltiples clientes, supone una complejidad adicional, ya que normalmente obliga a mantener infraestructuras de interconexión y seguridad físicamente separadas y ‘redundadas’ para cada uno de los clientes, a fin de garantizar el cumplimiento de los acuerdos de nivel de servicio firmados de forma individual con cada uno. Por si esta complejidad estática no fuese suficiente, hay que añadirle la dificultad de aprovisionamiento de servicios en la era del ‘bajo demanda’.
La virtualización es la tendencia que nace para resolver estos problemas mediante la unificación de los servicios de red y seguridad tradicionales, garantizando siempre el rendimiento y la autonomía de gestión para cada uno de los servicios ofrecidos sobre una plataforma física común. Permite, por tanto, la definición sobre una única ‘caja’ de múltiples racks virtuales en los que a cada uno de los servicios ( firewalling, detección de intrusos, gestión de contenidos, balanceo de carga, conectividad WLAN, …), se le asignan recursos de computación de manera óptima, con gestión independiente.
El proceso de virtualización de servicios puede afrontarse de varias formas. Una de las primeras consideraciones que hay que plantearse es si interesa un enfoque de multiservicio o de multicliente.
La primera de estas opciones, multiservicio, está disponible en el mercado desde hace ya algún tiempo -si bien de forma bastante limitada-, dando soluciones en varias áreas de servicio. Esta aproximación ha surgido de forma natural como consecuencia de la necesidad de los fabricantes de aumentar su cartera de productos. Prácticamente cualquier sistema cortafuegos del mercado incorpora desde hace tiempo un servicio de concentración de VPNs en la misma solución, y la tendencia es ir incorporando nuevos servicios sobre la misma plataforma (IDS, antivirus, etc). Dicha integración podría considerarse como un nivel básico de virtualización de servicios.
Al margen de la reducción de costes de adquisición y mantenimiento que esta integración permite, la principal ventaja de una solución integrada es la eficiencia en la gestión del tráfico. Esto implica que la definición de la topología de la arquitectura, que antes se hacía físicamente mediante el cableado de los dispositivos, ahora pasa a ser una definición lógica o virtual, facilitando así tanto la instalación inicial como las modificaciones a las definiciones de flujos de información a través de diversos antivirus o filtrados de URLs.
La segunda aproximación a la virtualización la encontramos en los sistemas multicliente que permiten compartir un único servicio, típicamente el cortafuegos, entre varios clientes, ofreciendo siempre garantías de rendimiento e independencia de gestión para cada uno.
Esta solución resulta bastante más compleja si se pretende dar cobertura completa al problema. Esto es, la diferenciación de los entornos de los distintos clientes soportados en un mismo dispositivo no puede limitarse al nivel de configuración de los servicios; deben proporcionarse mecanismos de gestión y configuración para cada uno de los clientes de forma que cada uno sólo tenga visibilidad de su servicio. Más aún, el procesamiento de cada uno de los clientes debe quedar garantizado frente al resto.
Una de las ventajas de esta aproximación frente a los sistemas independientes estriba en el aprovechamiento óptimo de los recursos. En un entorno convencional, normalmente existen dispositivos con un aprovechamiento mínimo de los recursos, debido al dimensionamiento realizado para soportar la carga en pico. Los sistemas de virtualización multicliente, al compartir los recursos físicos de procesamiento, permiten garantizar a cada servicio un rendimiento mínimo y ofrecer rendimiento extra en situaciones de sobrecarga. Esta capacidad extra puede ser compartida entre todos los clientes soportados, con lo que el rendimiento total necesario es menor que en un entorno de sistemas independientes, o expresado de otra forma, se puede soportar un número mayor de clientes con la misma capacidad de procesamiento total.
La velocidad con la que se pueden realizar configuraciones para nuevos clientes es la segunda ventaja fundamental. Los sistemas multicliente facilitan el proceso de aprovisionamiento al limitarle a una simple configuración lógica, siempre que se disponga del excedente de capacidad de procesamiento necesario. Desaparece por tanto la necesidad de adquisición e instalación de nuevo equipamiento para cada nuevo servicio a prestar.
Respecto al coste de estos sistemas hay que decir que si bien es cierto que requieren una inversión inicial mayor que los dispositivos tradicionales, esta inversión se justifica fácilmente a medida que comenzamos a añadir nuevos servicios sobre la misma plataforma. Evidentemente, las aproximaciones multiservicio y multicliente no son excluyentes y ya se encuentran plataformas en el mercado con esta doble orientación.
La forma en que cada fabricante está adaptándose a esta tendencia difiere lógicamente según su punto de partida, y en esa misma medida, difieren las soluciones ofrecidas. Hoy en día se encuentran en el mercado soluciones de compañías que ya cubrían cada uno de los servicios a integrar por separado, otras que estaban centradas en un único servicio y que poco a poco están incorporando servicios adicionales propios o de terceros, y también compañías que han nacido con el objetivo único de dar soluciones de virtualización.
Cabe decir que todavía presentan un nivel de integración precario entre sus componentes, tanto a nivel de funcionamiento como de gestión y configuración, en algunos casos, obligando a tener herramientas de gestión de diversos fabricantes, o incluso apareciendo incompatibilidades entre ciertos componentes de la solución ofrecida, que impiden su coexistencia en un mismo chasis.
En caso de que pese más en la elección el nivel de integración, podemos optar por soluciones de nuevos fabricantes completamente focalizados en soluciones de virtualización. La aproximación de estos fabricantes ha partido del establecimiento previo de una base común para todos sus componentes funcionales y el desarrollo posterior desde cero de dichos componentes, que pueden llegar a afectar únicamente al software. Los resultados son plataformas con un nivel absoluto de integración tanto en la ejecución como en la gestión y configuración de unos componentes con funcionalidades hoy por hoy limitadas, pero con gran facilidad de crecimiento gracias al trabajo previo realizado.
Alberto Domarco, Consultor Senior de Telindus.
