[21/02/2020] Los primeros productos SD WAN proporcionaron a las empresas una forma de desmantelar enlaces MPLS caros e inflexibles, conectar sucursales directamente a la nube y optimizar el tráfico WAN. Pero muchas de las ofertas iniciales de SD WAN carecían de funciones como los firewalls integrados, routing compatible con aplicaciones y analítica avanzada de datos.
Con el tiempo, los proveedores de SD WAN han reforzado sus productos para abarcar un conjunto robusto de funciones adicionales. Sin embargo, muchas empresas no están aprovechando las capacidades completas de los últimos productos SD WAN y las opciones de servicio administrado.
Entonces, ¿por qué los ejecutivos de TI no están aprovechando estas nuevas funciones? En algunos casos, los proveedores se han quedado cortos cuando se trata de educar a los líderes de TI sobre los beneficios y la facilidad de uso de estas capacidades avanzadas.
En otros casos, los silos organizacionales, como las barreras entre las redes y los equipos de seguridad, han impedido que las empresas activen, por ejemplo, el firewall de siguiente generación, o el sistema de prevención de intrusiones que podría venir con un dispositivo SD WAN.
Y en muchos casos, los profesionales de las redes tienen un conjunto estándar de métodos y procedimientos que han seguido durante años y que hacen el trabajo bien. Cuando se trata de una nueva forma de hacer las cosas, como el aprovisionamiento sin contacto, puede haber cierta renuencia a asumir un riesgo que podría terminar siendo contraproducente si algo sale mal. Sin embargo, las empresas deben considerar los beneficios que pueden ofrecer las funciones SD WAN que no se están aprovechando y que se enumeran a continuación. Después de todo, está pagando por el dispositivo SD WAN o el servicio gestionado de todos modos, entonces, ¿por qué no sacar el mayor provecho posible a su dinero?
1. Aprovisionamiento sin contacto
El método tradicional para implementar equipos de redes para sucursales es llevar el dispositivo físico a un área de preparación, configurarlo, probarlo y luego enviarlo a la sucursal, donde un profesional en redes lo configura. Para las empresas que implementan docenas o cientos de dispositivos SD WAN en un área geográfica amplia, este es un proceso manual intensivo, que requiere mucho tiempo.
El aprovisionamiento sin contacto, que viene de serie en la mayoría de los dispositivos SD WAN, configura automáticamente un dispositivo listo para usar. Todo lo que necesita el dispositivo es una conexión a Internet para poder llamar a casa, donde luego se configura completamente de una manera rápida, eficiente y estandarizada en base a plantillas predefinidas, según Kunal Thakkar, jefe de ingeniería de redes de Apcela.
2. Rotación de la llave de cifrado
Para las empresas que hacen negocios con el gobierno federal, como las empresas aeroespaciales y de defensa, o las empresas con responsabilidades de cumplimiento de PCI, que incluye a casi todos los demás, las llaves de cifrado deben rotarse regularmente (generalmente, cada noventa días). Este puede ser un proceso manual tedioso que conlleva políticas complejas de control de cambios, y puede requerir un tiempo de inactividad planificado.
Las plataformas SD WAN pueden reemplazar las rotaciones de llaves convencionales, basadas en VPN, con un sistema automatizado que puede programarse para hacer las rotaciones con la frecuencia que sea -incluso cada minuto-, sin ninguna interrupción en el tráfico del plano de datos. El resultado es una mayor seguridad, sin tiempo de inactividad y sin necesidad de intervención manual.
3. VPN multiplexadas
Existen muchos contextos en los que las empresas necesitan mantener diferentes tipos de tráfico separados entre sí. Por ejemplo, en el caso de una fusión o adquisición, la compañía combinada podría ser una sola entidad en papel, pero por razones comerciales, o de cumplimiento y/o seguridad, cada unidad de negocio continúa operando de manera independiente. Si la compañía decide hacer un upgrade a SD WAN, podría estar considerando la compra de dos conjuntos de dispositivos físicos.
Pero la tecnología SD WAN permite que múltiples enlaces virtuales de routing y reenvío (VRF, por sus siglas en inglés) y VPN sean multiplexados con una sola superposición. Esto no era factible con tecnologías VPN anteriores. En el caso de organizaciones grandes y complejas, con múltiples unidades de negocios, el aislamiento del tráfico se puede lograr simplemente estableciendo políticas. La tecnología SD WAN puede crear hasta 16 VPN virtuales, todas ejecutadas en los mismos enlaces WAN físicos, afirma Thakkar.
4. Routing consciente de la aplicación
Los productos SD WAN tienen la capacidad de inspeccionar el tráfico en la Capa 7 para aplicar detalladas políticas de routing para aplicaciones específicas. De hecho, algunos dispositivos pueden identificar más de tres mil aplicaciones distintas y comprender los requisitos de desempeño de cada aplicación. Esta función ayuda a las empresas a optimizar los costos de telecomunicaciones a un nivel detallado, mediante el monitoreo constante de la latencia, el retraso, el jitter y otras características de las aplicaciones sensibles en tiempo real, y cambia las aplicaciones al método de transporte más rentable que cumpla con los umbrales de desempeño.
Según Ashwath Nagaraj, CTO de Aryaka Networks, el routing consciente de la aplicación no está tan ampliamente implementado como podría estarlo. Las posibles explicaciones son que la inspección de tráfico de capa 7 viene con cierto nivel de sobrecarga de desempeño, y requiere que las empresas tomen el tiempo y el esfuerzo para definir políticas para cada aplicación. Pero argumenta que el routing consciente de la aplicación puede proporcionar un desempeño significativo y beneficios en costos.
5. APIs programáticas
El uso de APIs puede ayudar a las empresas a organizar y automatizar la funcionalidad durante todo el ciclo de vida de la SD WAN, según Raviv Levi, director senior de gestión de productos en Cisco Meraki. Si bien actualmente es una capacidad subutilizada, Levi afirma que el interés está creciendo porque los ejecutivos de TI están comenzando a comprender que, con las APIs, "las grandes organizaciones pueden tomar posesión y controlar la red de una manera que no podían antes”.
Las API permiten a las empresas personalizar y automatizar la configuración inicial del equipo SD WAN, cambiar las configuraciones a escala en cualquier momento, automatizar el proceso de detección de problemas, y recopilar datos sobre el desempeño de la WAN para la optimización del tráfico en tiempo real y el monitoreo a largo plazo y la gestión de la infraestructura. Por ejemplo, las empresas pueden usar APIs para programar dispositivos destinados a realizar sondeos más frecuentes de los que se requieren en la configuración predeterminada.
A través de las API, las empresas pueden configurar su infraestructura SD WAN para recopilar automáticamente datos que pueden ser útiles en funciones como la administración de grupos de usuarios, la visualización de registros de auditoría, la recopilación de inventarios de dispositivos, la supervisión en tiempo real y la resolución de problemas de los dispositivos de la red.
6. Optimización de la conectividad con la nube
El cloud breakout, o la capacidad de conectar el tráfico de la sucursal directamente a la nube en lugar de volver al centro de datos, es uno de los beneficios clave de una SD WAN. Pero en muchos casos, los administradores de red tienen una visibilidad limitada o nula de las características del desempeño de la red entre el usuario final y las aplicaciones SaaS en la nube. Sin embargo, los proveedores ahora ofrecen una función llamada Cloud OnRamp en el ejemplo de Cisco Viptela, que utiliza APIs programáticas para medir el desempeño de las aplicaciones SaaS o los servicios IaaS de Amazon Web Services y Microsoft Azure.
En el contexto de una IaaS, una instancia virtual del router SD WAN, dentro del dominio del proveedor de servicios de nube, mide continuamente el desempeño de la aplicación, ofreciendo a los administradores de red visibilidad del desempeño de la aplicación de una manera que nunca había estado disponible. En el contexto de un SaaS, el dispositivo SD WAN se conecta al punto de presencia SaaS más cercano y toma decisiones en tiempo real para elegir la ruta de mejor desempeño. Según Rohan Grover, director senior de gestión de productos, SD WAN y routing empresarial de Cisco, los usuarios finales han experimentado una mejora del desempeño de 40% en las aplicaciones de productividad populares como Office 365.
7. Analítica de datos
Otra función subutilizada de los sistemas SD WAN es la capacidad de utilizar la analítica de datos para solucionar problemas de desempeño de la red y realizar una planificación de la capacidad de la red a largo plazo. Ya sea que tenga un servicio gestionado o esté tomando la ruta autodidáctica, existe una gran cantidad de datos de tráfico disponibles que cubren la conexión WAN de extremo a extremo. El uso de la analítica elimina la típica señalización que se produce entre el cliente empresarial, el proveedor de servicios en la nube, el IPS, el proveedor de última milla, etcétera.
8. Microsegmentación de extremo a extremo
La microsegmentación se ha convertido en un enfoque cada vez más popular para proteger a las aplicaciones que se ejecutan en centros de datos y ambientes de nube mediante el aislamiento de las cargas de trabajo en base a políticas. La microsegmentación brinda a las empresas un mayor control sobre el tráfico este-oeste y, si se producen infracciones, la microsegmentación limita el posible movimiento lateral por parte de los hackers.
El aumento de los overlays de software, como SDN y NFV, allanó el camino para la microsegmentación, por lo que es natural que la microsegmentación se convierta en una función de los overlays SD WAN. Según Sunil Khandekar, CEO de Nuage Networks, el beneficio de la microsegmentación es que, si un nodo de sucursal estuviera bajo ataque, un servidor de políticas central podría tomar medidas automáticamente para poner en cuarentena la sucursal respecto al resto de la red
9. Encadenamiento de servicios
Cuando el tráfico de la sucursal seguía la ruta de regreso al centro de datos a través de enlaces MPLS seguros, no había mucha necesidad de funciones adicionales de red y seguridad en la sucursal. Pero ahora que las sucursales se conectan directamente a Internet, las empresas pueden encontrarse con múltiples dispositivos de sucursales como firewalls, cajas NAT y sistemas de prevención de intrusiones. El encadenamiento de servicios permite a las empresas reducir el desorden de las sucursales, como lo expresa Khandekar. Las organizaciones pueden crear una cadena de servicios de red conectados y automatizar la forma en que se tratan los diferentes flujos de tráfico en función de los requerimientos de tráfico en áreas como seguridad, latencia o QoS.
10. Conectividad inalámbrica fija
Aunque no es específicamente una función SD WAN, los expertos afirman que las empresas que configuran sus enlaces de sucursales deberían considerar la conexión inalámbrica fija, especialmente si la velocidad de implementación es la máxima prioridad. Para las empresas con una pequeña presencia regional, solicitar enlaces WAN al ISP actual puede ser relativamente sencillo. Pero para las organizaciones con ubicaciones rurales, que no reciben servicios de banda ancha tradicional, o para las empresas que necesitan proporcionar SD WAN rápidamente a una nueva tienda minorista u otra ubicación comercial emergente, los circuitos inalámbricos fijos pueden ser un salvavidas.
Las primeras implementaciones de SD WAN se centraron, principalmente, en la conectividad básica y el ahorro de costos. Pero en la actualidad, SD WAN es vista como una plataforma de automatización de red para soportar la transformación digital, afirma Khandekar. Y la implementación de estas funciones subutilizadas puede ayudar a las organizaciones de TI a alinear su WAN con las necesidades de la empresa.
Neal Weinberg, Network World (EE.UU.)