Che cos’è una SD-WAN?

Una Wide Area Network (SD-WAN) definita dal software è un’architettura WAN virtuale che permette alle imprese di sfruttare qualsiasi combinazione di servizi di trasporto, compresi MPLS, LTE e servizi Internet a banda larga, per collegare in modo sicuro gli utenti alle applicazioni.

SD-WAN spiegata

Il modello tradizionale di backhaul del traffico dalle filiali al data center per una solida ispezione della sicurezza non è più ottimale, poiché spreca larghezza di banda e aggiunge latenza, compromettendo in ultima analisi le prestazioni delle applicazioni. Esiste un'esigenza reale di trovare un modo migliore per inviare il traffico direttamente su Internet dalle filiali alle applicazioni SaaS e basate sul cloud affidabili, mantenendo al contempo la conformità con i mandati di sicurezza aziendali.

Una SD-WAN assicura prestazioni e resilienza costanti delle applicazioni, automatizza la gestione del traffico in un modo orientato all'applicazione in base all'intento aziendale, migliora la sicurezza di rete e semplifica l'architettura WAN. Una SD-WAN utilizza una funzione di controllo centralizzata per indirizzare il traffico in modo sicuro e intelligente attraverso la WAN e direttamente ai fornitori SaaS e IaaS affidabili. Ciò aumenta le prestazioni delle applicazioni e offre un'esperienza utente di qualità elevata, il che aumenta la produttività e l'agilità aziendale e riduce i costi di IT.

Architettura SD-WAN

Le WAN tradizionali basate su router convenzionali non sono mai state progettate per il cloud. Di solito richiedono il backhaul di tutto il traffico, compreso il traffico destinato al cloud, dalle filiali a un hub o al data center della sede centrale dove possono essere applicati servizi avanzati di ispezione della sicurezza. Il ritardo causato dal backhaul compromette le prestazioni delle applicazioni dando luogo a una scarsa esperienza utente e a perdita di produttività.

A differenza della tradizionale architettura WAN incentrata sul router, il modello SD-WAN è progettato per supportare pienamente le applicazioni ospitate nei data center in locale, nei cloud pubblici o privati e nei servizi SaaS come Salesforce.com, Workday, Dropbox, Microsoft 365 e altri ancora, offrendo al contempo i massimi livelli di prestazioni delle applicazioni.

Architettura SD-WAN spiegata

Come funziona l’SD-WAN?

A differenza di SD-WAN, il modello convenzionale incentrato sul router distribuisce la funzione di controllo su tutti i dispositivi della rete e instrada semplicemente il traffico in base agli indirizzi TCP/IP e alle ACL. Questo modello tradizionale è rigido, complesso, inefficiente, e non cloud-friendly e si traduce in una scarsa esperienza utente.

Una SD-WAN consente alle aziende cloud-first di fornire una qualità superiore dell’esperienza delle applicazioni (QoEx) per gli utenti. Identificando le applicazioni, una SD-WAN fornisce un instradamento intelligente e consapevole delle applicazioni attraverso la WAN. Ogni classe di applicazioni riceve la QoS appropriata e l’applicazione delle politiche di sicurezza, il tutto in conformità alle esigenze aziendali. L’interruzione di Internet sicuro a livello locale del traffico applicativo IaaS e SaaS dalla filiale fornisce i livelli più elevati di prestazioni del cloud, proteggendo l’azienda dalle minacce.

Guarda il video

Perché la SD-WAN?

I tempi sono cambiati e le imprese stanno utilizzando il cloud e si stanno abbonando al software-as-a-service (SaaS). Mentre gli utenti si collegavano tradizionalmente al data center aziendale per accedere alle applicazioni aziendali, ora vengono serviti meglio accedendo a molte di quelle stesse applicazioni nel cloud.

Di conseguenza, la WAN tradizionale non è più adatta soprattutto perché il backhaul di tutto il traffico, compreso quello destinato al cloud, dalle filiali alla sede centrale introduce latenza e compromette le prestazioni delle applicazioni. SD-WAN fornisce una semplificazione della WAN, costi più bassi, efficienza della larghezza di banda e un on-ramp senza soluzione di continuità verso il cloud con prestazioni applicative significative soprattutto per le applicazioni critiche senza sacrificare la sicurezza e la privacy dei dati. Migliori prestazioni delle applicazioni migliorano la produttività aziendale, la soddisfazione dei clienti e, infine, la redditività. La sicurezza coerente riduce il rischio aziendale.

Guarda il video

SD-WAN di base rispetto a SD-WAN orientata all’azienda

  • Non tutte le SD-WAN sono uguali. Molte soluzioni SD-WAN sono soluzioni SD-WAN di base o soluzioni “appena sufficienti”. Queste soluzioni mancano dell’intelligenza, dell’affidabilità, delle prestazioni e della scalabilità necessarie per garantire un’esperienza di rete superiore. E ricordate, senza una rete veloce, sicura e performante, le iniziative di trasformazione digitale delle imprese possono bloccarsi perché si affidano ad applicazioni che si basano su servizi che a loro volta si basano sulla rete. SD-WAN è un elemento cardine della trasformazione digitale e sta guidando le decisioni strategiche in tutta l’azienda. Quindi, cos’è una SD-WAN orientata all’azienda e perché la SD-WAN di base non è nemmeno appena sufficiente?
  • Orchestrazione e automazione del ciclo di vita. La maggior parte delle offerte SD-WAN di base forniscono un certo livello di provisioning zero-touch. Tuttavia, le soluzioni SD-WAN di base non sempre forniscono un’orchestrazione end-to-end completa di tutte le funzioni WAN edge come l’instradamento, i servizi di sicurezza, compreso il concatenamento dei servizi con servizi di sicurezza avanzati di terze parti e l’ottimizzazione della WAN. Quando le imprese implementano nuove applicazioni o quando è necessario un cambiamento di QoS o di politica di sicurezza, una SD-WAN orientata all’azienda supporta la configurazione centralizzata, consentendo di implementare le modifiche richieste in pochi minuti anziché in settimane o mesi. L’orchestrazione centralizzata riduce notevolmente gli errori umani che possono compromettere le prestazioni o la sicurezza.
  • Auto-apprendimento continuativo. Una soluzione SD-WAN di base gestisce il traffico secondo regole predefinite, di solito programmate tramite modelli. Una SD-WAN orientata all’azienda, offre prestazioni ottimali per le applicazioni in qualsiasi condizione o situazione della rete, compresa la congestione e quando si verificano compromissioni. Attraverso il monitoraggio continuo e l’auto-apprendimento, una SD-WAN orientata all’azienda risponde automaticamente e in tempo reale a qualsiasi cambiamento dello stato della rete. Una SD-WAN orientata all’azienda si adatta continuamente ai cambiamenti della rete, adattandosi automaticamente e in tempo reale a qualsiasi cambiamento che potrebbe avere un impatto sulle prestazioni delle applicazioni, compresa la congestione della rete, i brownout e le condizioni di interruzione del trasporto, permettendo agli utenti di connettersi sempre alle applicazioni senza intervento manuale dell’IT. Per esempio, se un servizio di trasporto WAN o un servizio di sicurezza cloud subiscono una compromissione legata alle prestazioni, la rete si adatta automaticamente per mantenere il flusso di traffico mantenendo al contempo la conformità con le politiche aziendali.
  • Qualità dell’esperienza uniforme (QoEx). Una soluzione SD-WAN avanzata offre il vantaggio di poter utilizzare attivamente più forme di trasporto WAN contemporaneamente. Una soluzione di base può dirigere il traffico su base applicativa lungo un singolo percorso, e se questo percorso fallisce o è sottoperformante, può reindirizzare dinamicamente a un link più performante. Tuttavia, con molte soluzioni di base, i tempi di failover intorno alle interruzioni si misurano in decine di secondi o più, spesso con conseguente fastidiosa interruzione delle applicazioni. Una SD-WAN orientata al business monitora e gestisce in modo intelligente tutti i servizi di trasporto sottostanti. Può superare le sfide della perdita di pacchetti, della latenza e del jitter per offrire agli utenti i massimi livelli di prestazioni delle applicazioni e di QoEx, anche quando i servizi di trasporto WAN sono compromessi. A differenza di una SD-WAN di base, una SD-WAN orientata all’azienda gestisce un’interruzione totale del trasporto senza soluzione di continuità e fornisce un failover sub-secondario che evita l’interruzione di applicazioni business-critical quali le comunicazioni voce e video.
  • Segmentazione end-to-end. Mentre le SD-WAN di base forniscono l’equivalente di un servizio VPN, una SD-WAN orientata all’azienda fornisce funzionalità di sicurezza end-to-end più complete. Oltre a supportare un firewall di prossima generazione, la piattaforma SD-WAN dovrebbe orchestrare e applicare una segmentazione end-to-end che abbracci la LAN-WAN dei data center e la LAN-WAN nel cloud. Le politiche di sicurezza configurate a livello centrale sono molto più coerenti grazie al minor numero di errori umani rispetto a un modello WAN incentrato sui dispositivi o a un modello SD-WAN di base che spesso richiede la configurazione delle politiche di dispositivo in dispositivo. Se una policy richiede una modifica, viene programmata centralmente con una SD-WAN orientata all’azienda e distribuita a decine, centinaia o migliaia di nodi in tutta la rete, fornendo un aumento significativo dell’efficienza operativa, riducendo al contempo la superficie di attacco complessiva ed evitando qualsiasi violazione della sicurezza.
  • L’interruzione di Internet sicuro a livello locale per applicazioni cloud. Molte SD-WAN di base forniscono alcune capacità di classificazione delle applicazioni basate su definizioni fisse e ACL sottoposte a script manualmente per dirigere il traffico SaaS e IaaS direttamente attraverso Internet. Tuttavia, le applicazioni cloud cambiano costantemente. Una SD-WAN orientata all’azienda si adatta continuamente ai cambiamenti e fornisce una definizione quotidiana automatica delle applicazioni e aggiornamenti degli indirizzi IP. Ciò elimina l’interruzione delle applicazioni e i problemi di produttività degli utenti.

Idealmente, i clienti aziendali hanno bisogno di passare a una piattaforma SD-WAN orientata all’azienda che unisca SD-WAN, firewall, segmentazione, instradamento, ottimizzazione della WAN e funzioni di visibilità e controllo, il tutto in una singola piattaforma gestita centralmente.

Funzionalità SD-WAN avanzate per SASE

Nel 2019, Gartner ha coniato il termine servizio di accesso sicuro edge, o SASE (Secure Access Service Edge), che indica un modo più sicuro e flessibile per eseguire ispezioni di sicurezza avanzate direttamente nel cloud, invece di effettuare il backhaul del traffico applicativo a un data center prima di inoltrarlo al cloud.

Il SASE combina SD-WAN con le necessarie funzioni di sicurezza fornita nel cloud, altrimenti note come Security Service Edge (SSE). SSE definisce l’insieme dei servizi di sicurezza che contribuiscono a realizzare la visione di sicurezza di SASE.

In definitiva, l’obiettivo di SASE è quello di fornire la migliore qualità di esperienza all’utente finale per le applicazioni ospitate nel cloud senza compromettere la sicurezza. Dopo aver lavorato con molte imprese che hanno progettato e implementato le loro architetture SASE, abbiamo imparato che le funzionalità SD-WAN di base non sono sufficienti. Una SD-WAN con capacità di rete avanzate è necessaria per abilitare completamente SASE:

  • identificare il traffico applicativo al primo pacchetto e dirigerlo in modo granulare per applicare sia la QoS sia le politiche di sicurezza come definito dall’intento aziendale
  • mantenere aggiornate le definizioni delle applicazioni cloud e gli intervalli di indirizzi TCP/IP, automaticamente, ogni giorno
  • automatizzare l’orchestrazione tra la SD-WAN e i servizi di sicurezza forniti dal cloud da un’unica console per rendere tutto più semplice
  • failover automatico a un punto secondario di applicazione della sicurezza nel cloud per evitare qualsiasi interruzione delle applicazioni
  • riconfigurare automaticamente le connessioni sicure ai punti di applicazione della sicurezza nel cloud se diventa disponibile una nuova posizione più vicina alla filiale
  • consentire ai clienti di adottare i servizi di sicurezza nel cloud, nonché le loro implementazioni SASE, al loro ritmo
  • Soprattutto, fornire la libertà di scelta per implementare nuove innovazioni di sicurezza non appena diventano disponibili da qualsiasi fornitore per affrontare facilmente minacce future sconosciute

Guarda il video

Si comincia!