¿Qué es SD-WAN?
Una red de área extensa definida por software (SD-WAN) es una arquitectura de WAN virtual que permite a las empresas aprovechar cualquier combinación de servicios de transporte, incluidos MPLS, LTE y servicios de Internet de banda ancha, para conectar de forma segura a los usuarios con las aplicaciones.
Información sobre SD-WAN
El modelo tradicional de dirigir el tráfico de retorno desde las sucursales al centro de datos para someterlo a una inspección de seguridad sólida ya no es la solución óptima, ya que se desperdicia ancho de banda y aumenta la latencia, lo que en última instancia perjudica el rendimiento de las aplicaciones. Existe una necesidad real de encontrar una forma más eficiente de enviar el tráfico directamente a través de Internet desde las sucursales a aplicaciones basadas en la nube y SaaS fiables sin dejar de cumplir las directivas de seguridad empresarial.
Una SD‑WAN garantiza un rendimiento y una resiliencia constantes de las aplicaciones, automatiza el direccionamiento del tráfico con un modelo basado en las aplicaciones en función de la intención comercial, mejora la seguridad de la red y simplifica la arquitectura WAN. Una SD-WAN utiliza una función de control centralizado para dirigir el tráfico de forma segura e inteligente a través de la WAN y directamente a los proveedores de SaaS e IaaS de confianza. De esta forma, mejora el rendimiento de las aplicaciones y ofrece una experiencia de usuario de alta calidad, lo que aumenta la productividad y la agilidad empresarial a la vez que reduce los costes de TI.
Arquitectura de SD-WAN
Las WAN tradicionales basadas en routers convencionales nunca fueron diseñadas para la nube. Suelen requerir el retorno de todo el tráfico, incluido el destinado a la nube, desde las sucursales hasta un centro de datos de la sede central donde se pueden aplicar servicios avanzados de inspección de seguridad. El retraso causado por el retorno perjudica el rendimiento de las aplicaciones, lo que da lugar a una mala experiencia del usuario y a una pérdida de productividad.
A diferencia de la arquitectura WAN tradicional centrada en el router, el modelo de SD-WAN está diseñado para admitir completamente las aplicaciones alojadas en centros de datos locales, nubes públicas o privadas y servicios SaaS como Salesforce.com, Workday, Dropbox, Microsoft 365, etc., al tiempo que ofrece los niveles más altos de rendimiento de las aplicaciones.
¿Cómo funciona la SD-WAN?
A diferencia de SD-WAN, el modelo convencional centrado en el router distribuye la función de control entre todos los dispositivos de la red y se limita a enrutar el tráfico en función de las direcciones TCP/IP y las ACL. Este modelo tradicional es rígido, complejo, ineficaz y no está adaptado a la nube, y da lugar a una mala experiencia de usuario.
Una SD-WAN permite a las empresas centradas en la nube ofrecer a los usuarios una calidad de experiencia de aplicación superior (QoEx). Al identificar las aplicaciones, una SD-WAN proporciona un enrutamiento inteligente que detecta aplicaciones a través de la WAN. Cada clase de aplicación recibe la QoS adecuada y la aplicación de directivas de seguridad, todo ello de acuerdo con las necesidades del negocio. El redireccionamiento a Internet local seguro del tráfico de aplicaciones de IaaS y SaaS desde la sucursal proporciona los niveles más altos de rendimiento de la nube, al tiempo que protege a la empresa de las amenazas.
¿Por qué SD-WAN?
Los tiempos han cambiado y las empresas utilizan la nube y se suscriben al software como servicio (SaaS). Mientras que los usuarios tradicionalmente se conectaban al centro de datos corporativo para acceder a las aplicaciones empresariales, ahora el servicio es mucho mejor al acceder a muchas de esas mismas aplicaciones en la nube.
Como resultado, la WAN tradicional ya no es adecuada, principalmente porque el retorno de todo el tráfico, incluido el destinado a la nube, desde las sucursales a la sede central introduce latencia y perjudica el rendimiento de las aplicaciones. La SD-WAN proporciona una simplificación de la WAN, menores costes, eficiencia en el ancho de banda y una rampa de acceso a la nube sin problemas, con un importante rendimiento de las aplicaciones, especialmente para las aplicaciones críticas, sin sacrificar la seguridad y la privacidad de los datos. Un mejor rendimiento de las aplicaciones mejora la productividad empresarial, la satisfacción de los clientes y, en última instancia, la rentabilidad. La seguridad consistente reduce el riesgo empresarial.
SD-WAN básica frente a SD-WAN orientada a la empresa
- No todas las SD-WAN son iguales. Muchas soluciones de SD-WAN son soluciones de SD-WAN básicas o soluciones «lo suficientemente buenas». Estas soluciones carecen de la inteligencia, la fiabilidad, el rendimiento y la escala necesarios para garantizar una experiencia de red superior. Y recuerde, sin una red rápida, segura y de alto rendimiento, las iniciativas de transformación digital de la empresa pueden estancarse porque dependen de aplicaciones que dependen de servicios que a su vez dependen de la red. La SD-WAN es un facilitador fundamental de la transformación digital e impulsa decisiones estratégicas en toda la empresa. Entonces, ¿qué es una SD-WAN orientada a la empresa y por qué una SD-WAN básica no es suficiente?
- Orquestación y automatización del ciclo de vida. La mayoría de las ofertas de SD-WAN básicas proporcionan cierto nivel de aprovisionamiento sin intervención. No obstante, las soluciones de SD-WAN básicas no siempre ofrecen una orquestación integral de todas las funciones del Edge WAN, como el enrutamiento, los servicios de seguridad (incluido el encadenamiento de servicios a servicios de seguridad avanzados de otros proveedores) y la optimización de la WAN. Cuando las empresas implementan nuevas aplicaciones o cuando es necesario un cambio en una directiva de calidad del servicio o de seguridad, una SD-WAN orientada a la empresa admite la configuración centralizada, lo que permite implementar los cambios necesarios en unos minutos en lugar de semanas o meses. La orquestación centralizada minimiza en gran medida los errores humanos que pueden comprometer el rendimiento o la seguridad.
- Aprendizaje automático continuo. Una solución de SD-WAN básica dirige el tráfico en función de una serie de reglas predefinidas, programadas generalmente a través de plantillas. Una SD-WAN orientada a la empresa ofrece un rendimiento óptimo de las aplicaciones en cualquier condición o cambio de red posible, incluida la congestión y cuando se producen deficiencias. Mediante la supervisión continua y el aprendizaje automático, una SD-WAN orientada a la empresa responde automáticamente y en tiempo real a cualquier cambio en el estado de la red. Una SD-WAN orientada a la empresa se adapta continuamente a los cambios en la red, adaptándose automáticamente y en tiempo real a cualquier cambio que pueda afectar al rendimiento de las aplicaciones, como la congestión de la red, las caídas de tensión y las condiciones de interrupción del transporte, lo que permite a los usuarios conectarse siempre a las aplicaciones sin intervención manual de TI. Por ejemplo, si un servicio de transporte de WAN o un servicio de seguridad en la nube experimenta una deficiencia del rendimiento, la red se adapta automáticamente para mantener el flujo de tráfico sin dejar de cumplir las directivas de la empresa.
- Calidad coherente de la experiencia de usuario (QoEx). Una ventaja clave de una solución de SD-WAN es la flexibilidad que ofrece para utilizar diferentes formas de transporte de WAN de forma activa. Una solución básica puede dirigir el tráfico tanto de una aplicación como de una sola ruta y, si se produce un error en esa ruta o su rendimiento es deficiente, puede redirigir el tráfico dinámicamente a un enlace cuyo rendimiento sea mejor. Sin embargo, con muchas soluciones básicas, los tiempos de reacción ante las interrupciones se miden en decenas de segundos o más, lo que a menudo provoca una interrupción molesta de las aplicaciones. Una SD-WAN orientada a la empresa supervisa y gestiona de forma inteligente todos los servicios de transporte subyacentes. Puede superar los retos de la pérdida de paquetes, latencia y fluctuaciones para lograr ofrecer un rendimiento excepcional de las aplicaciones y una experiencia de gran calidad para los usuarios, aun cuando los servicios de transporte de WAN no funcionen correctamente. A diferencia de una SD-WAN básica, una SD-WAN orientada a la empresa es capaz de gestionar sin problemas una interrupción total del transporte y proporciona una conmutación por error inferior al segundo que evita la interrupción de las aplicaciones críticas para la empresa, como las comunicaciones de voz y vídeo.
- Microsegmentación integral. Mientras que las SD-WAN básicas proporcionan el equivalente a un servicio VPN, una SD-WAN orientada a la empresa proporciona capacidades de seguridad integral más amplias. Además de mantener un firewall de nueva generación, la plataforma de SD-WAN debe organizar y forzar una segmentación integral que abarque la LAN, la WAN y el centro de datos. Las políticas de seguridad configuradas de forma centralizada son mucho más consistentes (debido a que hay muchos menos errores humanos) que con un modelo WAN centrado en el dispositivo o un modelo de SD-WAN básico que a menudo requiere la configuración de políticas dispositivo por dispositivo. Si una política requiere un cambio, se programa de forma central con una SD-WAN orientada a la empresa y se envía a cientos o incluso miles de nodos de la red, lo que proporciona un aumento significativo de la eficiencia operativa a la vez que reduce la superficie de ataque general y evita cualquier brecha de seguridad.
- Redireccionamiento seguro a Internet local para aplicaciones en la nube. Muchas SD-WAN básicas proporcionan ciertas capacidades de clasificación de aplicaciones basadas en definiciones fijas y ACL generadas manualmente con scripts para enviar el tráfico de SaaS e IaaS directamente a Internet. Sin embargo, las aplicaciones en la nube cambian constantemente. Una SD-WAN orientada a la empresa se adapta continuamente a los cambios y proporciona actualizaciones diarias automatizadas de la definición de aplicaciones y de las direcciones IP. Esto elimina la interrupción de las aplicaciones y los problemas de productividad de los usuarios.
Idealmente, los clientes empresariales necesitan cambiar a una plataforma SD-WAN orientada a la empresa que unifique las funciones de SD-WAN, cortafuegos, segmentación, enrutamiento, optimización, visibilidad y control de la WAN, todo ello en una única plataforma gestionada de forma centralizada.
Funcionalidad SD-WAN avanzada para SASE
En 2019, Gartner acuñó el término SASE (Edge de servicio de acceso seguro), que proporciona una forma más segura y flexible de realizar una inspección de seguridad avanzada directamente en la nube, en lugar de devolver el tráfico de aplicaciones a un centro de datos antes de enviarlo a la nube.
SASE combina SD-WAN con las funciones de seguridad en la nube necesarias, que corresponden al denominado Edge de servicio de seguridad (SSE). SSE define el conjunto de servicios de seguridad que ayudan a cumplir el modelo de seguridad de SASE.
En última instancia, el objetivo de SASE es ofrecer la mejor calidad de experiencia al usuario final para las aplicaciones alojadas en la nube sin comprometer la seguridad. Después de trabajar con muchas empresas que han diseñado e implementado sus arquitecturas SASE, hemos aprendido que la funcionalidad básica de SD-WAN se queda corta. Se necesita una SD-WAN con capacidades de red avanzadas para habilitar completamente SASE:
- Identificar el tráfico de aplicaciones en el primer paquete y dirigirlo de forma granular para aplicar las directivas de calidad del servicio y de seguridad definidas por la empresa
- Mantener las definiciones de las aplicaciones en la nube y los rangos de direcciones TCP/IP actualizados, automáticamente, todos los días
- Automatizar la orquestación entre la SD-WAN y los servicios de seguridad proporcionados por la nube desde una única consola para que resulte más sencillo
- Conmutar por error automáticamente a un punto de cumplimiento de la seguridad en la nube secundario para evitar cualquier interrupción de la aplicación
- Reconfigurar automáticamente las conexiones seguras a los puntos de cumplimiento de la seguridad en la nube si se dispone de una ubicación más nueva y cercana a la sucursal
- Permitir a los clientes adoptar los servicios de seguridad en la nube (y sus implementaciones de SASE) a su propio ritmo
- Y, lo que es más importante, proporcionar la libertad de elección para implementar las nuevas innovaciones de seguridad a medida que estén disponibles de cualquier proveedor para hacer frente a futuras amenazas desconocidas fácilmente