¿Qué es SD-WAN?
Una red de área extensa definida por software (SD-WAN) es una arquitectura WAN virtual que permite a las empresas utilizar cualquier combinación de servicios de transporte, incluidos los servicios MPLS, LTE y de banda ancha de Internet, para conectar de manera segura a los usuarios con las aplicaciones.
Explicación sobre SD-WAN
El modelo tradicional de retorno del tráfico desde las sucursales al centro de datos para una inspección de seguridad sólida ya no es óptimo porque desperdicia el ancho de banda y agrega latencia, lo que en última instancia perjudica el rendimiento de las aplicaciones. Encontrar una mejor manera de enviar el tráfico directamente a través de Internet desde las sucursales a las aplicaciones de confianza basadas en la nube y SaaS sin descuidar el cumplimiento de los mandatos de seguridad empresariales es una necesidad real.
Una red SD-WAN asegura un rendimiento y una resiliencia coherentes de las aplicaciones, automatiza el direccionamiento del tráfico en función de las aplicaciones sobre la base de la intención comercial, mejora la seguridad de la red y simplifica la arquitectura WAN. Una red SD-WAN utiliza una función de control centralizado para dirigir el tráfico de forma segura e inteligente a través de la red WAN y directamente a proveedores de SaaS e IaaS de confianza. Esto incrementa el rendimiento de las aplicaciones y ofrece una experiencia de usuario de alta calidad, lo que aumenta la productividad y la agilidad de la empresa y reduce los costos de TI.
Arquitectura de SD-WAN
Las WAN tradicionales basadas en routers convencionales no se diseñaron para la nube. Suelen requerir usar una red de retorno para dirigir todo el tráfico, incluido el tráfico destinado a la nube, de las sucursales a un centro o centro de datos principal donde se pueden aplicar servicios de inspección de seguridad avanzada. La demora ocasionada por el backhaul afecta el rendimiento de las aplicaciones y genera una mala experiencia al usuario, así como pérdida de productividad.
A diferencia de la arquitectura WAN tradicional centrada en router, el modelo de SD-WAN está diseñado para brindar compatibilidad completa con las aplicaciones alojadas en centros de datos locales, nubes públicas o privadas y servicios SaaS, como Salesforce.com, Workday, Dropbox, Microsoft 365 y otros, mientras ofrece niveles máximos de rendimiento de las aplicaciones,
¿Cómo funciona SD-WAN?
A diferencia de SD-WAN, el modelo convencional centrado en el router distribuye la función de control en todos los dispositivos de la red y simplemente enruta el tráfico según las direcciones TCP/IP y las ACL. Este modelo tradicional es rígido, complejo e ineficaz, no es fácil de usar en la nube y genera una mala experiencia para el usuario.
Una SD-WAN permite a las empresas que priorizan la nube brinda una calidad de experiencia (QoEx) superior a los usuarios con las aplicaciones. Al identificar las aplicaciones, una SD-WAN proporciona un enrutamiento inteligente en la WAN. Cada clase de aplicación recibe la QoS y la aplicación de las políticas de seguridad correspondientes, todo de acuerdo con las necesidades empresariales. La difusión local segura de Internet del tráfico de aplicaciones SaaS e IaaS desde la sucursal proporciona a la empresa máximos niveles de rendimiento en la nube, así como protección frente a las amenazas.
¿Por qué SD-WAN?
Los tiempos han cambiado, y las empresas están usando la nube y suscribiéndose a software como servicio (SaaS). Si bien, tradicionalmente, los usuarios se conectaban al centro de datos corporativo para acceder a las aplicaciones empresariales, ahora obtienen un mejor servicio al acceder a muchas de esas mismas aplicaciones en la nube.
Como resultado, la WAN tradicional ya no es adecuada, principalmente, porque el retorno de todo el tráfico, incluido el destinado a la nube, de las sucursales a la sede central introduce latencia y afecta el rendimiento de las aplicaciones. La SD-WAN simplifica la WAN, reduce los costos, otorga eficiencia en el ancho de banda y es una vía de acceso fluida a la nube con un rendimiento significativo para las aplicaciones, especialmente, para las más importantes, sin sacrificar la seguridad ni la privacidad de los datos. Con un mejor rendimiento de las aplicaciones, se incrementa la productividad empresarial, la satisfacción del cliente y, en última instancia, la rentabilidad. Una seguridad uniforme permite reducir los riesgos comerciales.
La SD-WAN básica frente a la SD-WAN dirigida por la empresa
- No todas las SD-WAN son iguales. Muchas soluciones de SD-WAN son básicas o “lo suficientemente buenas”. Estas soluciones carecen de la inteligencia, la confiabilidad, el rendimiento y la escala necesarios para garantizar una experiencia superior en la red. Recuerda que sin una red rápida, segura y de alto rendimiento, las iniciativas empresariales de transformación digital pueden obstruirse si dependen de aplicaciones que dependen de servicios que, a su vez, dependen de la red. La SD-WAN es un elemento crucial para facilitar la transformación digital y la toma de decisiones estratégicas en la empresa. Entonces, ¿qué es una SD-WAN dirigida por la empresa y por qué la SD-WAN básica no es lo suficientemente eficaz?
- Orquestación y automatización del ciclo de vida. La mayoría de las ofertas de SD-WAN básicas proporciona cierto nivel de aprovisionamiento sin intervención. Sin embargo, las soluciones de SD-WAN básicas no siempre brindan una orquestación completa e integral de todas las funciones de la WAN en el borde, como enrutamiento, servicios de seguridad (incluido el encadenamiento con los servicios de seguridad avanzados de otros proveedores) y la optimización de la WAN. Cuando las empresas implementan una nueva aplicación o cuando es necesario modificar una política de seguridad o QoS, una SD-WAN dirigida por la empresa permite realizar una configuración centralizada para poder implementar los cambios necesarios en unos minutos, en lugar de semanas o meses. La orquestación centralizada minimiza considerablemente los errores humanos que pueden poner en riesgo el rendimiento o la seguridad.
- Aprendizaje automático continuo. Una solución de SD-WAN básica dirige el tráfico de acuerdo con reglas predefinidas, que suelen programarse mediante plantillas. Una SD-WAN dirigida por la empresa ofrece un óptimo rendimiento de las aplicaciones en cualquier condición de la red o con cualquier cambio, como congestión o fallas. A través del monitoreo continuo y el aprendizaje automático, una SD-WAN dirigida por la empresa responde automáticamente y en tiempo real a cualquier cambio en el estado de la red. Una SD-WAN dirigida por la empresa se adapta continuamente a los cambios en la red que puedan afectar el rendimiento de las aplicaciones, como la congestión de la red, las degradaciones y las condiciones de corte del transporte, y permite que los usuarios se conecten siempre a las aplicaciones, sin intervención manual de TI. Por ejemplo, si ocurriera un problema de rendimiento en el servicio de transporte de WAN o en la experiencia del servicio de seguridad en la nube, la red se adaptaría automáticamente para mantener el flujo del tráfico, así como el cumplimiento de las políticas empresariales.
- Calidad de experiencia (QoEx) uniforme. Un beneficio clave de una solución de SD-WAN avanzada es la capacidad de usar activamente varias formas de transporte WAN en forma simultánea. Una solución básica puede dirigir el tráfico por aplicación por una sola ruta y, si esa ruta falla o si su rendimiento es insuficiente, puede redirigirlo de forma dinámica a un enlace con un mejor rendimiento. Sin embargo, con muchas soluciones básicas, los tiempos de conmutación por error cuando se producen cortes son de décimas de segundos o más, lo que tiene como resultado una interrupción molesta en el funcionamiento de las aplicaciones. Una SD-WAN dirigida por la empresa monitorea y administra de manera inteligente todos los servicios de transporte subyacentes. Tiene la capacidad de superar los problemas de pérdida de paquetes, latencia y fluctuaciones, y brinda los más altos niveles de rendimiento de las aplicaciones y calidad de la experiencia a los usuarios, incluso cuando los servicios de transporte de WAN son deficientes. A diferencia de una SD-WAN básica, una SD-WAN dirigida por la empresa maneja un corte total del transporte de forma impecable, y sus tiempos de conmutación por error son inferiores al segundo, por lo que no se interrumpen las aplicaciones esenciales para el negocio, como las comunicaciones de voz y video.
- Segmentación de extremo a extremo. Si bien las redes SD-WAN básicas constituyen el equivalente de un servicio de VPN, una red SD-WAN dirigida por la empresa posee capacidades de seguridad más completas, de extremo a extremo. Además de admitir un firewall de próxima generación, la plataforma de SD-WAN debe coordinar y aplicar la segmentación de extremo a extremo, que abarca la LAN, la WAN y el centro de datos, y la LAN, la WAN y la nube. Las políticas de seguridad configuradas desde una ubicación central son mucho más uniformes —debido a que ocurren menos errores humanos— que un modelo de WAN centrado en los dispositivos o un modelo de SD-WAN básico que suele requerir la configuración de las políticas por dispositivo. Si una política requiere una modificación, se la programa de manera centralizada con una red SD-WAN dirigida por la empresa y se la envía a decenas, cientos o miles de nodos en toda la red, lo que aumenta considerablemente la eficiencia operativa, a la vez que reduce la superficie de ataque general y evita las vulneraciones de seguridad.
- Acceso directo local seguro a Internet para aplicaciones en la nube. Muchas SD-WAN básicas cuentan con algunas capacidades de clasificación de aplicaciones, basadas en definiciones fijas y ACL escritas en forma manual para enviar el tráfico de SaaS e IaaS directamente por Internet. Sin embargo, las aplicaciones en la nube cambian de manera constante. Una SD-WAN dirigida por la empresa se adapta continuamente a los cambios y brinda definición de aplicaciones y actualizaciones de direcciones IP a diario en forma automática. Esto elimina la interrupción de las aplicaciones y los problemas de productividad del usuario.
Idealmente, los usuarios empresariales deberían realizar la transición a una plataforma de SD-WAN dirigida por la empresa que unifique la SD-WAN, el firewall, la segmentación, el enrutamiento, la optimización de la WAN y las funciones de visibilidad y control, todo en una sola plataforma administrada de manera centralizada.
Funcionalidad avanzada de SD-WAN para SASE
En 2019, Gartner acuñó el término borde de servicios de acceso seguro, o SASE, que aporta una forma más segura y flexible de realizar una inspección de seguridad avanzada directamente en la nube, en lugar de usar una red de retorno para dirigir el tráfico de aplicaciones a un centro de datos antes de reenviarlo a la nube.
SASE combina SD-WAN con funciones de seguridad necesarias en la nube, también conocidas como borde de servicios de seguridad (SSE). El SSE define el conjunto de servicios de seguridad que ayuda a cumplir la visión de seguridad de SASE.
En última instancia, el objetivo de SASE es ofrecer la mejor calidad de experiencia para usuarios finales en aplicaciones alojadas en la nube, sin comprometer la seguridad. Después de trabajar con muchas empresas que han diseñado e implementado sus arquitecturas SASE, hemos aprendido que la funcionalidad de la SD-WAN básica se queda corta. Se requiere una SD-WAN con capacidades de redes avanzadas para habilitar las funciones completas de SASE:
- Identificar el tráfico de aplicaciones en el primer paquete y dirigirlo de forma granular para cumplir con las políticas de seguridad y QoS definidas por los objetivos empresariales
- Mantener actualizados los rangos de direcciones TCP/IP y las definiciones de aplicaciones en la nube de manera automática, todos los días
- Automatizar y facilitar la orquestación entre la SD-WAN y los servicios de seguridad prestados a través de la nube desde una sola consola
- Conmutar por error automáticamente a un punto secundario de cumplimiento de seguridad en la nube para evitar la interrupción de las aplicaciones
- Reconfigurar automáticamente las conexiones seguras en los puntos de cumplimiento de seguridad en la nube si hay una ubicación nueva y más cercana a la sucursal disponible
- Permitir que los clientes adopten servicios de seguridad en la nube, así como sus implementaciones de SASE, a su propio ritmo
- Brindar libertad de elección a la hora de implementar innovaciones en seguridad que estén disponibles de cualquier proveedor para abordar fácilmente amenazas futuras desconocidas (punto más importante)