SD-WAN

¿Qué es una SD-WAN?

Los tiempos han cambiado y las empresas están utilizando la nube y la suscripción al software como servicio (SaaS). Mientras los usuarios tradicionalmente se conectaban de vuelta al centro de datos corporativo para acceder a las aplicaciones empresariales, ahora reciben un servicio mejorado al acceder a muchas de esas aplicaciones en la nube.

Como consecuencia, la WAN tradicional ya no resulta adecuada, principalmente, porque enviar de vuelta todo el tráfico, incluso el destinado a la nube, desde las sucursales a la sede, introduce latencia y deteriora el rendimiento de las aplicaciones. La SD-WAN proporciona simplificación de la WAN, menores costes, eficiencia del ancho de banda y una pasarela fluida hacia la nube con un rendimiento de las aplicaciones significativo, especialmente para aplicaciones críticas, sin sacrificar la seguridad y la privacidad de los datos. La mejora del rendimiento de las aplicaciones influye positivamente en la productividad empresarial, la satisfacción de los clientes y, en última instancia, la rentabilidad. Una seguridad homogénea reduce el riesgo empresarial.

• No todas las SD-WAN son iguales. Muchas soluciones de SD-WAN son muy básicas o tienen una «funcionalidad limitada». Carecen de la inteligencia, la seguridad, el rendimiento y la escala que se necesitan para garantizar una experiencia de red segura. Y recuerda, sin una red rápida, segura y de alto rendimiento, las iniciativas de transformación digital empresarial pueden paralizarse. La SD-WAN es un habilitador fundamental para la transformación digital, e impulsa la toma de decisiones estratégicas en la empresa. Por tanto, ¿qué es una SD-WAN segura orientada a la empresa y por qué una SD-WAN básica no es lo bastante buena?
• Calidad de la experiencia (QoEx) uniforme. Una ventaja esencial de una solución de SD-WAN avanzada es la capacidad para utilizar de forma activa varias formas de transporte WAN simultáneamente. Una solución básica puede dirigir el tráfico en función de la aplicación a través de una única ruta y, si esa ruta falla o no rinde lo suficiente, puede redirigirlo dinámicamente a un enlace que rinda mejor. Sin embargo, con muchas soluciones básicas, los tiempos de conmutación por error en caso de avería se sitúan en decenas de segundos o más, lo que a menudo provoca una molesta interrupción de las aplicaciones. Una SD-WAN orientada a la empresa supervisa y gestiona de forma inteligente todos los servicios subyacentes de transporte. Puede superar los problemas de pérdida de paquetes, latencia y fluctuación de fase para ofrecer a los usuarios los más altos niveles de rendimiento de las aplicaciones y calidad de la experiencia, incluso cuando los servicios de transporte WAN se ven afectados. A diferencia de una SD-WAN básica, una SD-WAN orientada a la empresa gestiona de forma fluida una interrupción total del transporte y proporciona conmutaciones por error de menos de un segundo que no interrumpen las aplicaciones cruciales para el negocio, como las comunicaciones de voz y vídeo.
• Autoaprendizaje continuo. Una solución SD-WAN básica dirige el tráfico según unas reglas predefinidas, normalmente programadas mediante plantillas. Una SD-WAN orientada a la empresa proporciona un rendimiento de las aplicaciones óptimo bajo cualquier condición o cambio de la red, incluso con congestión o cuando se producen deterioros. Mediante una supervisión y un autoaprendizaje continuos, una SD-WAN orientada a la empresa responde automáticamente y en tiempo real a cualquier cambio del estado de la red. Una SD-WAN orientada a la empresa se adapta continuamente y de forma automática en tiempo real a cualquier cambio en la red que pueda afectar al rendimiento de las aplicaciones, incluida la congestión de red, las caídas de tensión parciales y las condiciones de interrupción del transporte, de modo que los usuarios pueden conectarse siempre a las aplicaciones sin intervención manual de la organización de TI. Por ejemplo, en caso de que un servicio de transporte WAN o servicio de seguridad en la nube sufra un deterioro del rendimiento, la red se adapta automáticamente para mantener el flujo del tráfico, así como el cumplimiento de las políticas empresariales.
• Redes multinube. Las SD-WAN avanzadas se pueden implementar en una nube pública, como AWS, Azure y Google Cloud, para optimizar las conexiones entre las ubicaciones de las sucursales y la nube, utilizando todas las ventajas de la SD-WAN. Si se produce una caída de tensión o una interrupción completa, los enlaces restantes seguirán transportando el tráfico para que los usuarios no noten ninguna disrupción en las llamadas de voz, las conferencias de audio y videoconferencias, o en cualquier otra aplicación. Un primer tramo resistente entre la sucursal y la nube pública proporciona mayor rendimiento, fiabilidad y calidad de la red.
• Cortafuegos de próxima generación integrado. Una SD-WAN segura orientada a la empresa debe incluir un cortafuegos de próxima generación para proteger de forma eficiente los emplazamientos de las sucursales. Las funcionalidades clave incluyen la inspección profunda de paquetes (DPI), así como la detección y prevención de intrusiones (IDS/IPS). Otras SD-WAN avanzadas pueden incluso proteger a las organizaciones frente a ataques de DDoS. La integración de un cortafuegos de próxima generación permite a las organizaciones sustituir con facilidad equipos heredados en las sucursales y reducir, así, el espacio de hardware. Además, las políticas de seguridad se gestionan centralmente, de modo que se elimina la necesidad de contar con personal de TI formado a nivel local y se evitan las configuraciones incorrectas. Las políticas de seguridad configuradas de forma centralizada son más coherentes, debido a que se producen muchos menos errores humanos que con un cortafuegos heredado, que a menudo requiere configurar las políticas dispositivo por dispositivo. Si una política requiere un cambio, se programa centralmente con una SD-WAN orientada a la empresa y se envía a decenas, cientos o incluso miles de nodos de la red, lo que supone un aumento significativo de la eficacia de las operaciones, al tiempo que reduce la superficie global de ataque y se evitan brechas de seguridad.
• Segmentación basada en roles. Mientras que las SD-WAN básicas proporcionan el equivalente a un servicio VPN, una SD-WAN segura y orientada a la empresa ofrece una segmentación basada en roles global más completa. Además de admitir un cortafuegos de próxima generación, la plataforma SD-WAN debería organizar y aplicar una segmentación global que abarcase el centro de datos LAN-WAN y la nube LAN-WAN. Al añadir políticas basadas en roles e identidad de usuarios y dispositivos, las SD-WAN avanzadas y seguras proporcionan segmentación precisa y aplican la confianza cero. A continuación, una SD-WAN segura crea zonas globales, desde la LAN hasta la WAN, para una combinación de usuarios, dispositivos, grupos de aplicaciones y superposiciones virtuales, de modo que propaga las políticas de seguridad a todos los sitios remotos. Al utilizar el principio de acceso de menor privilegio, garantiza que los usuarios y dispositivos IoT solo se comuniquen con destinos relacionados con su función en la empresa, al tiempo que reduce el acceso no autorizado y limita el ámbito de las incidencias.
• Salida a Internet local segura para aplicaciones en la nube. Muchas SD-WAN básicas proporcionan algunas capacidades de clasificación de aplicaciones basadas en definiciones fijas y ACL programadas manualmente para enviar tráfico SaaS e IaaS directamente a través de Internet. No obstante, las aplicaciones en la nube cambian constantemente. Una SD-WAN orientada a la empresa se adapta a los cambios y proporciona actualizaciones diarias de las definiciones de las aplicaciones y las direcciones IP. Esto evita la interrupción de las aplicaciones y elimina los problemas de productividad de los usuarios.

En el mejor de los casos, los clientes empresariales deben cambiar a una plataforma SD-WAN orientada a la empresa que unifique las funciones de SD-WAN, cortafuegos, segmentación, enrutamiento, optimización de WAN, visibilidad y control, en una plataforma única y gestionada centralmente.

SASE combina la SD-WAN con funciones de seguridad entregadas en la nube, también conocidas como Security Service Edge (SSE). SSE define el conjunto de servicios de seguridad que ayudan a avanzar hacia la visión de la seguridad de SASE. Las funcionalidades clave de SSE incluyen acceso de red de confianza cero (ZTNA), puerta de enlace web segura (SWG) y agente de seguridad para el acceso a la nube (CASB).

En última instancia, el objetivo de SASE consiste en proporcionar seguridad y rendimiento a organizaciones centradas en la nube y entornos de trabajo híbridos, mientras los usuarios acceden a datos confidenciales desde cualquier lugar y navegan por sitios web inseguros. Después de trabajar con numerosas empresas que han diseñado e implementado sus arquitecturas SASE, hemos aprendido que la funcionalidad de la SD-WAN básica se queda corta. Se necesita una SD-WAN con funcionalidades avanzadas de conectividad de red y seguridad para habilitar completamente a una SASE para:

• Integrarse de forma fluida en una solución SSE y formar una arquitectura SASE unificada y homogénea.
• Automatizar la organización entre la SD-WAN y la SSE desde una sola consola para facilitarlo todo
• Identificar el tráfico de la aplicación en el primer paquete y dirigirlo de forma granular a una solución SSE sobre la base de políticas de seguridad predefinidas
• Realizar una conmutación por error automática a un punto de aplicación de la seguridad en la nube secundario para evitar cualquier interrupción de las aplicaciones
• Reconfigurar automáticamente las conexiones seguras a puntos de aplicación de la seguridad en la nube si existe una ubicación nueva y más cercana a la sucursal
• Habilitar a los clientes para implementar con facilidad nuevos servicios de seguridad en la nube… y sus implementaciones de SASE