La tecnología WAN definida por software (SD-WAN) aplica conceptos de redes definidas por software (SDN) con el fin de distribuir el tráfico de red a través de una red de área amplia (WAN). Las SD-WAN funcionan automáticamente y utilizan políticas predefinidas para identificar la ruta más eficaz para el tráfico de aplicaciones que pasa desde las sucursales hasta la sede, la nube e Internet. Rara vez es necesario configurar sus routers manualmente en las sucursales. Un controlador centralizado gestiona la SD-WAN y envía información de políticas a todos los dispositivos conectados. Los equipos de tecnología de la información (TI) pueden programar dispositivos de borde de red de forma remota, utilizando aprovisionamiento de bajo o cero contacto.
La tecnología SD-WAN normalmente crea una superposición virtual independiente del transporte. Esto se logra abstrayendo las conexiones WAN públicas o privadas subyacentes, como Internet de banda ancha, fibra, evolución a largo plazo (LTE), inalámbrica o conmutación de etiquetas multiprotocolo (MPLS). Una superposición SD-WAN ayuda a las organizaciones a seguir utilizando sus propios enlaces WAN existentes. La tecnología SD-WAN centraliza el control de la red, reduciendo costos y proporcionando gestión del tráfico de aplicaciones en tiempo real sobre los enlaces existentes.
Los casos de uso de SD-WAN más comunes se dividen en las siguientes categorías:
SD-WAN utiliza una arquitectura de red abstracta compuesta de dos partes separadas:
Una arquitectura SD-WAN consta de los siguientes componentes:
Las implementaciones de SD-WAN aprovechan una amplia gama de tecnologías, que incluyen:
Controlador
Un controlador centralizado que gestiona la implementación de SD-WAN. El controlador aplica las políticas de seguridad y enrutamiento, así como supervisa la superposición virtual, cualquier actualización de software y proporciona informes y alertas.
Redes definidas por software (SDN)
Habilita componentes clave en la arquitectura, incluida la superposición virtual, el controlador centralizado y la abstracción de enlaces.
Amplia zona roja (WAN)
Responsable de conectar instalaciones separadas geográficamente o múltiples LAN, utilizando conexiones inalámbricas o cableadas.
Funciones de red virtual (VNF)
Funciones de red propias o de terceros, como tareas de almacenamiento en caché y firewall. Los VNF se utilizan generalmente con el propósito de reducir la cantidad de dispositivos físicos o para aumentar la flexibilidad y la interoperabilidad.
Ancho de banda de productos básicos
La tecnología SD-WAN puede aprovechar múltiples conexiones de ancho de banda y asignar tráfico a cualquier enlace específico. Esto proporciona a los usuarios más control y permite ahorrar costos, al mover el tráfico de las costosas líneas MPLS tradicionales a conexiones de ancho de banda de productos básicos de bajo costo.
Tecnología de última milla
La tecnología SD-WAN puede mejorar las conexiones de última milla existentes mediante el uso de más de un enlace de transporte o mediante el uso simultáneo de múltiples enlaces.
Veamos las diferencias clave entre las soluciones WAN tradicionales y SD-WAN.
QUIERO | SD-WAN |
Balanceo de carga y recuperación ante desastres disponibles, pero puede ser complejo de implementar | Equilibrio de carga y recuperación ante desastres integrados con una implementación rápida o sin intervención |
Los cambios de configuración toman tiempo y requieren un trabajo de configuración manual, lo cual es propenso a errores | Cambios de configuración en tiempo real, automatizados para evitar errores humanos |
Requiere que el dispositivo perimetral se configure uno por uno, no permite la aplicación general de políticas | Utiliza superposiciones virtuales: puede replicar políticas instantáneamente en una gran cantidad de dispositivos perimetrales. |
Limitado a una opción de conectividad: líneas MPLS heredadas | Puede hacer un uso óptimo de múltiples opciones de conectividad: líneas de banda ancha gestionadas por MPLS y SDN |
Se basa en las VPN, que funcionan bien con una sola red troncal IP, pero no pueden coexistir con cargas de trabajo de alto rendimiento como voz y video | Capaz de dirigir el tráfico para diferentes tipos de aplicaciones, conservando el ancho de banda para la aplicación que más lo necesita. |
Requiere ajuste manual | Detecta las condiciones de la red automáticamente y puede optimizar dinámicamente la WAN |
SD-WAN puede utilizar conexiones públicas a Internet para todas las transmisiones de media milla y, si bien esto puede resultar extremadamente rentable, no se recomienda. No hay manera de saber por qué enlaces pasará el tráfico, lo que aumenta las preocupaciones de seguridad y rendimiento.
Siempre que sea posible, especialmente para comunicaciones sensibles o de misión crítica, prefiera transmitir el tráfico SD-WAN a través de red privada. Algunos proveedores de SD-WAN le permiten utilizar su propia red global segura. Reserve capacidad de Internet pública para cargas de trabajo no críticas ni sensibles, o escenarios de conmutación por error cuando la red privada no funciona.
Al embarcarse en un proyecto SD-WAN, eduque a las partes interesadas sobre el proceso de implementación y explique que SD-WAN es una adición a la infraestructura de red existente. Los ejecutivos no deberían ver la SD-WAN como un simple reemplazo de la tecnología de red tradicional.
Deje en claro que necesita mantener la tecnología existente e integrarla con nuevas inversiones en SD-WAN. Una mejor comprensión de los antecedentes técnicos y los métodos de implementación le brindarán un mejor apoyo de liderazgo.
Las soluciones SD-WAN pueden ofrecer automatización e implementación sin intervención, pero es necesario verificar que funcionen como se espera. A menudo se pasan por alto las pruebas, pero son una parte fundamental de un proyecto SD-WAN. Asegúrese de realizar pruebas exhaustivamente antes, durante y después de la implementación. Un proyecto SD-WAN típico implica pruebas de entre 3 y 6 meses, centrándose en la calidad del servicio (QoS), la escalabilidad, la disponibilidad y la conmutación por error, y la confiabilidad de las herramientas de administración.
El modelo SD-WAN opera utilizando una estructura de red distribuida, que normalmente no incluye los controles de seguridad y acceso necesarios para proteger las redes empresariales en la nube.
Para abordar este problema, Gartner propuso un nuevo modelo de seguridad de red llamado Secure Access Service Edge (SASE). SASE combina la funcionalidad WAN con características de seguridad tales como:
La combinación de estas capacidades de seguridad, diseñadas para un entorno de nube, hace posible garantizar que la red SD-WAN sea segura.
Las soluciones SASE proporcionan a los usuarios móviles y sucursales conectividad segura y seguridad constante. Proporcionan una vista centralizada de toda la red, lo que permite a los administradores y equipos de seguridad identificar usuarios, dispositivos y terminales en una SD-WAN distribuida globalmente, aplicar políticas de acceso y seguridad y proporcionar capacidades de seguridad consistentes en múltiples ubicaciones geográficas y múltiples proveedores de nube. .
Antes de SD-WAN, las conexiones de oficinas remotas se devolvían al centro de datos corporativo, donde estaban protegidas mediante la pila de seguridad de la red corporativa. Con la llegada de SD-WAN, las conexiones a Internet y a la nube conectadas directamente a Internet exponen a los usuarios de WAN a ataques sofisticados.
Las soluciones firewall como servicio y Secure Access Service Edge (SASE) protegen las conexiones SD-WAN a aplicaciones en la nube e Internet. Para obtener más información sobre las soluciones SASE de Check Point y cómo pueden mejorar la seguridad WAN de su organización, contáctenos. También puede solicitar una demostración para ver la solución SASE de Check Point en acción.