La rete di edge è sempre più virtuale

L’adozione di vCPE  semplifica la rete di edge, riduce i costi e permette di fruire di servizi di firewall e di encryption che velocizzano la trasformazione digitale

 

Da quando è stato concepito il modello OSI articolato su sette livelli e sono state realizzate le prime reti pubbliche e private a commutazione di pacchetto, antesignane di quelle odierne, il modo di concepire le reti trasmissive è andato cambiando in modo significativo.

Ma lo ha fatto in funzione anche e soprattutto dei cambiamenti tecnologici, dei tipi di supporto fisico, della velocità trasmissiva su connessioni fisse e mobili e, non ultimo, sulla base della capacità elaborativa e di storage dei data center e dei dispositivi di utente.

Quello che è andato evidenziandosi nel corso degli anni come un aspetto chiave nel modo di progettare le reti dati e trasmissive in genere è però il concetto di virtualizzazione, consistente in sostanza nel voler disaccoppiare la piattaforma fisica costituita dai dispositivi di rete da quella applicativa svolta dai singoli dispositivi.

Riferita come Network Function Virtualization (NFV), questa trasformazione ha avuto negli anni dinamiche interessanti.

L’evoluzione delle reti virtuali

E’ soprattutto nell’ultimo quinquennio che da una infrastruttura IT in cui la rete aveva il compito di convogliare verso un data center centrale le informazioni e i dati aziendali che si sono avuti significativi cambiamenti.

Ad una di tipo centralizzato si è andata sostituendo una architettura distribuita che ha spostato e sempre più sposta capacità elaborativa verso la parte periferica, o di edge, della rete, e soprattutto lo fa ricorrendo a tecniche di virtualizzazione mediante l’utilizzo di quelli che sono riferiti come vCPE, ovverossia Virtual Customer Premises Equipment, un approccio particolarmente gradito a operatori e fornitori di servizi per la flessibilità che offre.

Come accennato, la diffusione e la preferenza accordata a dispositivi vCPE a livello periferico della rete si accompagna alla diffusione delle reti definite a software (software defined WAN), basate su architetture che si articolano su un livello fisico sostanzialmente piatto controllato da un livello software che di volta in volta determina le caratteristiche operative e il comportamento dei dispositivi fisici in base alle esigenze dell’utenza e delle specifiche applicazioni.

Quando però una SD-WAN è fornita da un operatore non sempre il grado di flessibilità disponibile si adatta alle esigenze di un responsabile IT.

Per superare lo stallo di una flessibilità che può essere molto relativa si sta ricorrendo a quelle che sono riferite come SD-WAN virtuali, o vSD-WAN, una rete in cui si fa uso di dispositivi virtuali, ad esempio firewall virtuali (vFirewall), o router virtuali (vRouter).

Se una virtualizzazione spinta è ancora agli albori, più concreta è però la diffusione e l’interesse per i vCPE a livello di edge di rete e ai benefici di cui permettono di disporre a livello aziendale.

Tra questi il fatto di poter adeguare rapidamente i servizi erogati alle esigenze del mercato, la più semplice distribuzione e aggregazione dei flussi dati e il poter porre le basi per una progressiva virtualizzazione come uno dei componenti chiave di una trasformazione digitale.

Sintonia tra vCPE e dispositivi di utente 

Quella che sta interessando la periferia di una rete ricalca per molti aspetti l’evolzione che hanno avuto i dispositivi di utente.

Ad esempio, un moderno smartphone racchiude funzioni dati, telefoniche, fotografiche, di navigazione satellitare, eccetera, che in precedenza richiedevano dispositivi separati. Con la virtualizzazione delle relative funzioni è stato possibile concentrare il tutto in un unico dispositivo che in base alle esigenze diventa una macchina fotografica, un terminale per accedere a Internet o un telefono.

La virtualizzazione dei dispositivi di utente e di rete

La virtualizzazione dei dispositivi di utente e di rete

Similmente, mentre a livello di rete si avevano dispositivi specifici quali i router, i firewall, i load balancer, gli IP PBX, gli UTM o i modem, così tramite un vCPE è possibile disporre funzionalmente di tutti questi dispositivi in modo virtuale all’interno di un unico dispositivo fisico che a seconda della bisogna assume le funzioni di uno o dell’altro o di più di questi dispositivi.

I driver che sono alla base del favore che incontrano i vCPE, osserva Luigi Meregalli, General Manager di CIE Telematica, società di ingegneria specializzata nelle reti di nuova generazione e partner di RAD, società con uno status internazionale nel settore delle reti di accesso e virtuali, sono numerosi ma riconducibili a tre classi principali:

  • Disaggregazione della piattaforma di rete per I servizi di edge da erogare: permette di erogare servizi di router e firewall sotto forma di funzione virtuale ed evita il lock-in con uno specifico fornitore.
  • Riduzione dei costi logistici: la versatilità della piattaforma e il suo semplice adeguamento alle esigenze operative riduce Capex e Opex.
  • Benefici operative: sono il risultato del disporre di una piattaforma di servizio più agile e di una più rapida fornitura del servizio.
Luigi Meregalli , General Manager di CIE Telematica

Luigi Meregalli , General Manager di CIE Telematica

Una stima basata su dati in field, ha evidenziato RAD, ha permesso di valutare risparmi dell’ordine del 33% per quanto concerne la logistica, del 50% per l’installazione e del 30% per quanto concerne la gestione dei malfunzionamenti e il monitoraggio del servizio.

Se si passa a valutare i costi in conto capitale e operativi, osserva Meregalli, i benefici derivanti dall’adozione di quello che viene riferito come White Box (e cioè la piattaforma hardware con sistema operativo su cui calare le funzioni software desiderate al posto di dispositivi specializzati) sono in un range simile, con un 20-30% di risparmi per quel che concerne i costi in conto capitale e del 30-40% per quelli operativi.

Risparmi ottenibili tramite l'adozione di vCPE

Risparmi ottenibili tramite l’adozione di vCPE

Le diverse esigenze installative hanno poi reso disponibili i vCPE in due diverse opzioni.

Una prima, riferita come uCPE (universal CPE) è ideata per ambienti di rete decentralizzati e distribuiti, laddove l’esigenza di virtualizzazione si trova alla periferia di una rete nei confronti della sede centrale o di un servizio cloud.

Una seconda, riferita come pCPE (physical CPE) è ideata per realtà laddove le funzioni di virtualizzazione sono localizzate centralmente.

I vCPE dal firewalling all’encryption

Tra le funzioni che stanno rendendo i vCPE sempre più interessanti vi sono quella consolidata di Firewall e quella emergente di Encryption.

Se ad esempio si fa riferimento alla soluzione ETX di RAD, le applicazioni possibili sono svariate e vanno da quelle di firewall perimetrale per garantire un acceso sicuro a Internet o a cloud sino a quelle di gateway sicuro per VPN criptate.

Un servizio di vFirewall, ha spiegato Meregalli, può calarsi ed essere erogato al disopra del sistema operativo vCPE-OS di RAD o su semplici box x86 con hypervisor KVM.

Esempio di utilizzo di firewall virtuali

Esempio di utilizzo di firewall virtuali

Se quello di firewalling è un servizio abbastanza comune, ancor più si prospetta che sarà quello di encryption.

Criptare i dati è un compito oneroso a livello di calcolo e consuma molto in termine di cicli di computer. Il poter demandare a un dispositivo terzo e per di più su macchina virtuale la funzione di cifratura è quindi una cosa molto interessante a livello di rete.

Gli allarmi continui per quanto riguarda cyber attacchi o ransomware spingono infatti operatori ed aziende a rafforzare le difese della rete e a considerare un uCPE su cui poter calare anche la funzione di sicurezza virtuale un elemento chiave della propria strategia di offerta.

Disporre di un servizio di cifratura a livello 2 della rete e in periferia permette ad esempio di fornire un servizio di sicurezza molto robusto per quanto concerne la trasmissione di dati sensibili, come ad esempio potrebbe essere il caso di aggregazione di dati generati da dispositivi IIoT inerenti infrastrutture produttive critiche.

Permette altresì di collegare uffici remoti, home worker o dispositivi IoT al core di una rete in tutta sicurezza.

L’encryption a livello 2 e nell’edge di rete costituisce una opportunità per i service provider e per l’IT aziendale al fine di fornire una infrastruttura sicura in ambienti distribuiti, ha commentato Meregalli.