A tecnologia WAN definida por software (SD-WAN) aplica conceitos de rede definida por software (SDN) com a finalidade de distribuir o tráfego de rede em uma rede de área ampla (WAN). SD-WAN funciona automaticamente, usando políticas predefinidas para identificar a rota mais eficaz para o tráfego de aplicativos que passa das filiais para a sede, a nuvem e a Internet. Raramente há necessidade de configurar seus roteadores manualmente em filiais. Um controlador centralizado gerencia o SD-WAN, enviando informações de política para todos os dispositivos conectados. As equipes de tecnologia da informação (TI) podem programar dispositivos de borda de rede remotamente, usando provisionamento low-touch ou zero-touch.
A tecnologia SD-WAN normalmente cria uma sobreposição virtual independente de transporte. Isso é conseguido abstraindo conexões WAN públicas ou privadas subjacentes, como banda larga de Internet, fibra, evolução de longo prazo (LTE), sem fio ou comutação de rótulo multiprotocolo (MPLS). Uma sobreposição SD-WAN ajuda as organizações a continuar usando seus próprios links WAN existentes. A tecnologia SD-WAN centraliza o controle da rede, reduzindo custos e fornecendo gerenciamento de tráfego de aplicativos em tempo real nos links existentes.
Os casos de uso mais comuns de SD-WAN se enquadram nas seguintes categorias:
SD-WAN usa uma arquitetura de rede abstrata composta de duas partes separadas:
Uma arquitetura SD-WAN consiste nos seguintes componentes:
As implementações de SD-WAN aproveitam uma ampla gama de tecnologias, incluindo:
Controlador
Um controlador centralizado que gerencia a implantação de SD-WAN. O controlador impõe políticas de segurança e roteamento, bem como monitora a sobreposição virtual, quaisquer atualizações de software e fornece relatórios e alertas.
Rede definida por software (SDN)
Ativa os principais componentes da arquitetura, incluindo a sobreposição virtual, o controlador centralizado e a abstração de link.
Rede de área ampla (WAN)
Responsável por conectar instalações geograficamente separadas ou múltiplas LANs, usando conexões com ou sem fio.
Funções de rede virtual (VNFs)
Funções de rede próprias ou de terceiros, como tarefas de cache e firewall. As VNFs são normalmente usadas com a finalidade de reduzir a quantidade de dispositivos físicos ou para aumentar a flexibilidade e a interoperabilidade.
Largura de banda de commodities
A tecnologia SD-WAN pode aproveitar múltiplas conexões de largura de banda e atribuir tráfego a qualquer link específico. Isto proporciona aos usuários mais controle e permite economia de custos, transferindo o tráfego das dispendiosas linhas MPLS tradicionais para conexões de largura de banda de baixo custo.
Tecnologia de última milha
A tecnologia SD-WAN pode melhorar as conexões de última milha existentes através do uso de mais de um link de transporte ou do uso simultâneo de vários links.
Vejamos as principais diferenças entre as soluções WAN tradicionais e SD-WAN.
WAN | SD-WAN |
Balanceamento de carga e recuperação de desastres disponíveis, mas podem ser complexos de implantar | Balanceamento de carga e recuperação de desastres integrados com implantação rápida ou sem intervenção humana |
As alterações de configuração levam tempo e exigem trabalho de configuração manual, que é propenso a erros | Alterações de configuração em tempo real, automatizadas para evitar erros humanos |
Requer que o dispositivo edge seja configurado um por um, não permite aplicação geral de políticas | Usa sobreposições virtuais – pode replicar políticas instantaneamente em um grande número de dispositivos de borda |
Limitado a uma opção de conectividade: linhas MPLS legadas | Pode fazer uso ideal de múltiplas opções de conectividade – linhas de banda larga gerenciadas por MPLS e SDN |
Depende de VPNs, que funcionam bem com um único backbone IP, mas não podem coexistir com cargas de trabalho de alto rendimento, como voz e vídeo | Capaz de direcionar o tráfego para diferentes tipos de aplicativos, economizando largura de banda para os aplicativos que mais precisam |
Requer ajuste manual | Detecta automaticamente as condições da rede e pode otimizar dinamicamente a WAN |
SD-WAN pode usar conexões públicas de Internet para todas as transmissões intermediárias e, embora isso possa ser extremamente econômico, não é aconselhável. Não há como saber por quais links o tráfego passará, levantando preocupações de segurança e desempenho.
Sempre que possível, especialmente para comunicações sensíveis ou de missão crítica, prefira transmitir o tráfego SD-WAN em vez de rede privada. Alguns provedores de SD-WAN permitem usar sua própria rede global segura. Reserve capacidade pública da Internet para cargas de trabalho não críticas e não sensíveis ou cenários de failover quando a rede privada estiver inoperante.
Ao embarcar num projeto SD-WAN, eduque as partes interessadas sobre o processo de implantação e explique que SD-WAN é uma adição à infraestrutura de rede existente. Os executivos não devem ver a SD-WAN como um simples substituto da tecnologia de rede tradicional.
Deixe claro que você precisa manter a tecnologia existente e integrá-la aos novos investimentos em SD-WAN. Uma melhor compreensão da formação técnica e dos métodos de implantação proporcionará melhor suporte de liderança.
As soluções SD-WAN podem oferecer automação e implantação sem intervenção, mas você precisa verificar se funciona conforme o esperado. Os testes são frequentemente esquecidos, mas são uma parte crítica de um projeto SD-WAN. Certifique-se de testar extensivamente antes, durante e depois da implementação. Um projeto típico de SD-WAN envolve testes durante 3 a 6 meses, com foco na qualidade de serviço (QoS), escalabilidade, disponibilidade e failover, e confiabilidade das ferramentas de gerenciamento.
O modelo SD-WAN opera usando uma estrutura de rede distribuída, que normalmente não inclui os controles de segurança e acesso necessários para proteger as redes corporativas na nuvem.
Para resolver esse problema, o Gartner propôs um novo modelo de segurança de rede chamado Secure Access Service Edge (SASE). SASE combina funcionalidade WAN com recursos de segurança como:
A combinação desses recursos de segurança, desenvolvidos para um ambiente de nuvem, torna possível garantir que as redes SD-WAN sejam seguras.
As soluções SASE fornecem aos usuários móveis e filiais conectividade segura e segurança consistente. Eles fornecem uma visão centralizada de toda a rede, permitindo que administradores e equipes de segurança identifiquem usuários, dispositivos e endpoint em uma SD-WAN distribuída globalmente, apliquem políticas de acesso e segurança e forneçam recursos de segurança consistentes em vários locais geográficos e vários provedores de nuvem. .
Antes do SD-WAN, as conexões do escritório remoto eram transferidas para o centro de dados corporativo, onde eram protegidas usando a pilha de segurança da rede corporativa. Com o advento da SD-WAN, as conexões de nuvem e de Internet conectadas diretamente à Internet expõem os usuários da WAN a ataques sofisticados.
As soluções firewall como serviço e Secure Access Service Edge (SASE) protegem as conexões SD-WAN com aplicativos em nuvem e com a Internet. Para saber mais sobre as soluções SASE da Check Point e como elas podem melhorar a segurança WAN da sua organização, entre em contato conosco. Você também pode solicitar uma demonstração para ver a solução SASE da Check Point em ação.