- SD-WAN: cos’è la Software-Defined WAN?
- L’evoluzione della SD-WAN
- Vantaggi della SD-WAN
- SD-WAN vs. MPLS: pro e contro?
- Alternativa a MPLS
- SD-WAN vs. VPN: il confronto
- Sicurezza della SD-WAN
- La sicurezza della WAN e le sfide per l’impresa
- Perché la sicurezza della SD-WAN con il software cloud-native e la Security as a service cambia le carte in tavola
- Caratteristiche di sicurezza della SD-WAN basate sul cloud di livello aziendale
- Cato offre una sicurezza della SD-WAN moderna e scalabile
- Come collegare più uffici
- SD-WAN as a Service
- Vincoli del last mile
- La storia della SD-WAN
SD-WAN: cos'è la Software-Defined WAN?
La Software-Defined Wide-Area-Network (SD-WAN) è definita come un’architettura WAN virtuale che consente alle aziende di connettere in modo sicuro ed efficiente gli utenti alle applicazioni. Questa soluzione tecnologica offre un’agilità e una riduzione dei costi impareggiabili per la gestione delle reti. Con la SD-WAN, le organizzazioni possono fornire applicazioni più reattive e prevedibili a costi inferiori e in tempi più brevi rispetto ai servizi MPLS gestiti utilizzati tradizionalmente dalle aziende. L’IT diventa molto più agile: implementa i siti in pochi minuti, sfrutta qualsiasi servizio dati disponibile come MPLS, accesso dedicato a Internet (DIA), banda larga o wireless, perché può riconfigurare i siti all’istante e supportare più facilmente la migrazione verso il cloud ibrido.
La SD-WAN si ottiene separando le applicazioni dai servizi di rete sottostanti con un overlay virtuale basato su criteri. Questo overlay monitora le caratteristiche di prestazione in tempo reale delle reti sottostanti e seleziona la rete ottimale per ogni applicazione in base alle politiche di configurazione.
Come funziona la SD-WAN?
La Software-Defined WAN (SD-WAN) è progettata per risolvere molte delle sfide associate alla progettazione della WAN tradizionale. La SD-WAN elimina i dettagli del livello di rete, consentendo alla WAN di utilizzare in modo intercambiabile diversi tipi di connessione, tra cui LTE, MPLS e Internet a banda larga. Tale astrazione può migliorare la larghezza di banda, le prestazioni e la ridondanza della rete e consente la gestione e l’orchestrazione centralizzate.
La SD-WAN funziona creando una rete di appliance SD-WAN collegate da tunnel crittografati. Ogni sito sulla WAN ha la propria appliance SD-WAN e tutto il traffico passa attraverso questa. Poiché tutte le appliance sono gestite centralmente, è possibile applicare criteri di rete coerenti in tutta l’organizzazione. Quando il traffico entra in un’appliance SD-WAN, l’appliance determina il tipo di traffico dell’applicazione e lo instrada verso la destinazione in base ai criteri esistenti e alla disponibilità e alle prestazioni dei diversi collegamenti di rete.
La SD-WAN tradizionale non è certo perfetta. Molte SD-WAN non includono la sicurezza integrata, quindi ogni filiale deve implementare i propri prodotti di sicurezza stand-alone. La SD-WAN prevede anche l’implementazione di un’appliance SD-WAN in ogni endpoint, quindi l’utilizzo per il traffico cloud e mobile è difficile o impossibile. Infine, la SD-WAN si basa spesso sulla rete Internet pubblica, che può causare problemi di affidabilità. Tuttavia, molti di questi problemi sono risolti con piattaforme SASE (secure access service edge).
Perché le aziende hanno bisogno della SD-WAN?
Il cloud e gli elevati livelli di mobilità caratterizzano il modo in cui le persone utilizzano le reti oggi. Le WAN, tuttavia, sono state progettate in un’epoca in cui l’attenzione era concentrata sul collegamento delle sedi fisiche. L’utilizzo del precedente approccio per supportare le nuove esigenze si traduce in una costosa connettività globale, in topologie complesse e in “prodotti specifici” ampiamente dispersi, difficili da gestire e proteggere.
L’incessante e macchinoso ciclo di patch, aggiornamenti e upgrade richiede tecnici qualificati, sempre più difficili da reperire. La situazione è particolarmente preoccupante perché tutta questa complessità è un bersaglio invitante per gli hacker, che possono sfruttare configurazioni errate, vulnerabilità del software e altre superfici di attacco.
Le WAN tradizionali non sono più all’altezza del compito per diversi motivi. MPLS, l’epicentro del precedente approccio, è costoso e richiede tempistiche lunghe per l’implementazione in nuove sedi. Il collegamento a Internet delle WAN tradizionali solo tramite portali Web sicuri, di solito presso il data center, comporta l’effetto “trombone” dell’invio di dati Web avanti e indietro attraverso le reti. Il risultato è una maggiore latenza e l’esaurimento della disponibilità di collegamenti MPLS con l’aumento del traffico Internet. L’accesso diretto a Internet, che collegherebbe gli uffici delle filiali a Internet, è costoso e potrebbe sovraccaricare il loro hardware rudimentale. Infine, la WAN è stata progettata quando l’attenzione era rivolta al collegamento di asset fisici come uffici e data center. Questo approccio non è adatto a questo mondo nuovo e variegato.
L’evoluzione della SD-WAN
SD-WAN 1.0: fame di larghezza di banda
La prima fase dell’evoluzione della SD-WAN si è concentrata sulla risoluzione dei problemi di disponibilità e di larghezza di banda del last mile. I nuovi collegamenti MPLS sono costosi e lenti da installare e l’uso di un backup Internet significava che il backup veniva utilizzato solo in caso di interruzione. Utilizzando il link-bonding, un predecessore della SD-WAN poteva combinare più tipi di connessioni diverse a livello di link, migliorando la larghezza di banda del last mile.
SD-WAN 2.0: l’ascesa delle startup SD-WAN
Il limite del link bonding è che ha migliorato solo le prestazioni del last mile. Per ottenere prestazioni migliori su tutta la WAN è necessario che il routing sia consapevole su tutto il percorso. Le prime soluzioni SD-WAN offrivano virtualizzazione failover/failback e routing application-aware. Con il routing application-aware, la SD-WAN potrebbe non essere più dipendente dai collegamenti MPLS e instradare il traffico in modo ottimale in base al tipo di applicazione.
SD-WAN 3.0: stabilire la comunicazione
L’ultima fase dell’evoluzione della SD-WAN si concentra sul superamento del collegamento in rete delle filiali. Poiché le organizzazioni spostano sempre più risorse nel cloud, la SD-WAN fornisce una soluzione per collegare in modo sicuro queste implementazioni cloud alla WAN aziendale.
I 5 principali vantaggi della SD-WAN
Progettata per fornire un’alternativa alla WAN tradizionale basata su MPLS, la Software-defined WAN (SD-WAN) offre alle organizzazioni cinque vantaggi principali rispetto a MPLS.
1. Riduzione dei costi WAN
La larghezza di banda MPLS è costosa e il provisioning di un nuovo collegamento MPLS può richiedere settimane o mesi, rispetto ai giorni necessari per la SD-WAN. Sia in termini di costi operativi che di perdita di opportunità di business, MPLS è inferiore alla SD-WAN.
2. Prestazioni WAN migliorate
MPLS è molto efficace per instradare il traffico tra due sedi statiche, ma la crescita del cloud lo rende meno utile per le aziende. Il routing basato su criteri della SD-WAN consente di inviare il traffico in modo ottimale attraverso la rete in base alle esigenze dell’applicazione sottostante.
3. Maggiore agilità della WAN
La SD-WAN offre inoltre una rete molto più agile rispetto a MPLS. Con la SD-WAN, il livello di rete è astratto, consentendo l’uso di una varietà di meccanismi di trasporto diversi in tutta la WAN.
4. Gestione semplificata della WAN
Con MPLS, un’organizzazione può avere bisogno di distribuire una serie di appliance stand-alone per gestire l’ottimizzazione e la sicurezza della WAN. Con la SD-WAN, queste operazioni possono essere centralizzate, consentendo alle organizzazioni di gestire in modo scalabile reti in crescita.
5. Maggiore disponibilità della WAN
Infine, la SD-WAN può fornire notevoli miglioramenti in termini di ridondanza e disponibilità rispetto a MPLS. Con MPLS, l’aggiunta di collegamenti ridondanti può essere costosa. La SD-WAN, invece, può instradare il traffico su un meccanismo di trasporto diverso in caso di interruzione.
SD-WAN vs. MPLS: pro e contro
Con la crescente diffusione di organizzazioni globali, la necessità di collegare LAN geograficamente distribuite tramite una WAN diventa importantissima. Per poter competere efficacemente, le aziende devono avere accesso a una WAN stabile e ad alte prestazioni a un prezzo accessibile. Esistono tre opzioni per fornire questo servizio: rete Internet pubblica, MPLS e Software-Defined WAN (SD-WAN).
La prima opzione per un’azienda è instradare il traffico interno sulla rete Internet pubblica. I due vantaggi principali di questo approccio sono la rapidità di configurazione e i costi relativamente bassi, poiché Internet a banda larga è ampiamente accessibile e generalmente conveniente. Tuttavia, questo a fronte di svantaggi come prestazioni instabili, latenza volatile e mancanza di gestione end-to-end.
MPLS è progettato per fornire connessioni di rete affidabili e ad alte prestazioni, supportate da SLA che garantiscono latenza, consegna dei pacchetti e disponibilità. Tuttavia, queste connessioni ad alte prestazioni sono costose e lentissime da implementare (richiedono settimane o mesi). Le connessioni MPLS sono inoltre poco adatte al cloud computing, poiché il traffico deve essere riportato a un punto di accesso centralizzato prima di essere inviato a destinazione.
MPLS è progettato per fornire connessioni di rete affidabili e ad alte prestazioni, supportate da SLA che garantiscono latenza, consegna dei pacchetti e disponibilità. Tuttavia, queste connessioni ad alte prestazioni sono costose e lentissime da implementare (richiedono settimane o mesi). Le connessioni MPLS sono inoltre poco adatte al cloud computing, poiché il traffico deve essere riportato a un punto di accesso centralizzato prima di essere inviato a destinazione.
Alternativa a MPLS
MPLS, una scelta comune per le aziende che necessitano di connessioni di rete affidabili e ad alta velocità, offre disponibilità, perdita di pacchetti e latenza garantite da SLA.
Tuttavia, se da un lato la tecnologia è matura e costruita per le aziende, dall’altro presenta anche degli svantaggi. Le caratteristiche garantite di MPLS fanno sì che la larghezza di banda MPLS sia costosa, senza contare che cambiare le connessioni MPLS è difficile, dato che l’implementazione di nuove connessioni può richiedere settimane o mesi. Ciò influisce sulla possibilità di creare nuove filiali, di espandere la larghezza di banda nelle sedi esistenti e di apportare altre modifiche alla rete.
La Software-Defined WAN (SD-WAN) è progettata per fornire un’alternativa a MPLS in grado di affrontare queste sfide a MPLS. La SD-WAN, che consiste in una rete di appliance SD-WAN collegate tramite tunnel su più mezzi di trasporto, astrae dal livello di rete e instrada in modo ottimale il traffico su una serie di servizi dati diversi a seconda del tipo di traffico applicativo. Di conseguenza, può ridurre i costi di rete e consente una rapida implementazione.
Tuttavia, la SD-WAN non è una soluzione perfetta. La sua dipendenza dai collegamenti di comunicazione esistenti significa che per alcune applicazioni MPLS potrebbe essere ancora necessario, e le appliance SD-WAN spesso non hanno la sicurezza integrata di default. Per risolvere questi problemi ed espandere la copertura agli utenti mobili e cloud, occorre una SD-WAN basata su cloud.
Ridondanza SD-WAN vs. ridondanza MPLS
La ridondanza è fondamentale per la WAN aziendale. Le interruzioni di rete sono una delle cause principali dei tempi di inattività, pertanto è necessario disporre di connessioni di rete ridondanti per ridurre al minimo i tempi di inattività. La Software-Defined WAN (SD-WAN) è una valida alternativa a MPLS per la WAN aziendale, ma l’affidabilità e la ridondanza possono rappresentare un problema. Tuttavia, se implementata correttamente, la SD-WAN può offrire una ridondanza migliore rispetto a MPLS.
MPLS è noto per la sua affidabilità middle mile. Tuttavia, spesso non si rileva lo stesso livello di affidabilità per i collegamenti last mile. La larghezza di banda MPLS è costosa, quindi il prezzo della ridondanza per il last mile può essere proibitivo. Di conseguenza, i tempi di inattività possono essere facilmente causati da eventi che interrompono questa connessione last mile. La ridondanza per il last mile richiede connessioni dual-homed che sono instradate in modi diversi verso diversi provider. In genere, MPLS offre una ridondanza attiva-passiva con failover basato sulla convergenza dei percorsi o del DNS.
La SD-WAN è progettata per astrarre dal livello di rete e consentire il routing del traffico su una serie di connessioni diverse. Pertanto, tutte le connessioni SD-WAN sono sempre attive, con disponibilità e monitoraggio delle prestazioni in tempo reale, migliorando la larghezza di banda e l’affidabilità della connettività WAN, ma consentendo anche la ridondanza attiva-attiva. In caso di interruzione di un metodo di trasporto, i dati possono essere instradati senza problemi attraverso una connessione alternativa. Pertanto, oltre a fornire un’elevata ridondanza per il middle mile, la SD-WAN può anche fornire una migliore ridondanza per il last mile rispetto a MPLS.
SD-WAN vs. VPN: il confronto
La ridondanza è fondamentale per la WAN aziendale. Le interruzioni di rete sono una delle cause principali dei tempi di inattività, pertanto è necessario disporre di connessioni di rete ridondanti per ridurre al minimo i tempi di inattività. La Software-Defined WAN (SD-WAN) è una valida alternativa a MPLS per la WAN aziendale, ma l’affidabilità e la ridondanza possono rappresentare un problema. Tuttavia, se implementata correttamente, la SD-WAN può offrire una ridondanza migliore rispetto a MPLS.
MPLS è noto per la sua affidabilità middle mile. Tuttavia, spesso non si rileva lo stesso livello di affidabilità per i collegamenti last mile. La larghezza di banda MPLS è costosa, quindi il prezzo della ridondanza per il last mile può essere proibitivo. Di conseguenza, i tempi di inattività possono essere facilmente causati da eventi che interrompono questa connessione last mile. La ridondanza per il last mile richiede connessioni dual-homed che sono instradate in modi diversi verso diversi provider. In genere, MPLS offre una ridondanza attiva-passiva con failover basato sulla convergenza dei percorsi o del DNS.
La SD-WAN è progettata per astrarre dal livello di rete e consentire il routing del traffico su una serie di connessioni diverse. Pertanto, tutte le connessioni SD-WAN sono sempre attive, con disponibilità e monitoraggio delle prestazioni in tempo reale, migliorando la larghezza di banda e l’affidabilità della connettività WAN, ma consentendo anche la ridondanza attiva-attiva. In caso di interruzione di un metodo di trasporto, i dati possono essere instradati senza problemi attraverso una connessione alternativa. Pertanto, oltre a fornire un’elevata ridondanza per il middle mile, la SD-WAN può anche fornire una migliore ridondanza per il last mile rispetto a MPLS.
Qual è la differenza tra SD-WAN e SDN?
Le SD-WAN implementano principi di reti definite dal software (SDN) per collegare le sedi. Le SDN sono state introdotte per la prima volta nei data center con l’obiettivo di aumentare la rete separando il piano dati dal piano di controllo. I criteri e l’intelligenza di routing verrebbero eseguiti in uno o più server (“controller”), che istruirebbero gli elementi di rete che inoltrano i pacchetti (switch e router).
SDN ha creato un overlay attraverso la rete locale, aprendo un mondo di possibilità in termini di efficienza e agilità. La SD-WAN crea un overlay attraverso la wide area network, apportando anche incredibili guadagni in termini di efficienza e agilità.
Sicurezza della SD-WAN
Sia MPLS che la SD-WAN (Software-Defined WAN) basata su appliance possono fornire a un’organizzazione le funzionalità di rete necessarie per una WAN. Tuttavia, spesso presentano notevoli limiti in termini di sicurezza. MPLS non prevede la crittografia dei suoi circuiti e sia MPLS che la SD-WAN basata su appliance possono non avere una sicurezza integrata. Di conseguenza, molte organizzazioni che utilizzano questi sistemi distribuiscono appliance di sicurezza stand-alone in ogni sede per fornire le necessarie protezioni di sicurezza informatica.
Tuttavia, questo approccio alla sicurezza WAN può essere complesso, non scalabile e costoso, poiché ogni nuova sede richiede un’altra serie di appliance di sicurezza. Ciascuna di queste appliance deve essere acquistata, configurata, monitorata e gestita singolarmente, con conseguenti costi significativi per tutta la loro durata. Questo approccio non funziona nemmeno per il cloud e il mobile, dove le appliance di sicurezza non possono essere distribuite in loco.
La SD-WAN basata sul cloud offre una soluzione a questo problema. Collocando i punti di presenza (PoP) nel cloud, questi possono ottenere una copertura globale, consentendo agli utenti di connettersi tramite un PoP vicino e di utilizzare la SD-WAN con un impatto minimo sulla latenza. Questi PoP possono anche avere funzionalità di sicurezza integrate, eliminando la necessità di distribuire appliance stand-alone in ogni sede e consentendo una visibilità centralizzata della rete e della sicurezza sulla WAN aziendale. L’integrazione di rete e sicurezza può anche migliorare le prestazioni, poiché le appliance di rete e sicurezza possono essere ottimizzate per interagire tra loro.
Quali sono i limiti delle SD-WAN?
Sebbene la SD-WAN abbia molti vantaggi, non mancano limiti principali. L’estensione della SD-WAN al cloud richiede l’installazione di una SD-WAN all’interno o in prossimità del data center del cloud provider, un compito complicato se non impossibile. Gli utenti mobili non vengono minimamente presi in considerazione dalla SD-WAN.
Inoltre, anche se il traffico è criptato, l’esposizione delle filiali a Internet aumenta la minaccia di malware, e-mail di phishing e altri attacchi. L’implementazione delle appliance di sicurezza nelle filiali implica il mantenimento dei costi di acquisto, dimensionamento e manutenzione associati alle appliance di sicurezza. Le aziende sono tuttora costrette ad aggiornare le appliance e l’IT ha bisogno di applicare l’intera gamma di funzioni di sicurezza, man mano che i volumi di traffico crescono. Infine, la risoluzione dei problemi è più difficile a causa del personale che deve passare dalla console di rete a quella di sicurezza per arrivare alla causa principale. Questa soluzione è inefficiente e può portare a errori e a trascurare le informazioni sul problema in questione.
Come collegare più uffici
Le connessioni WAN agli uffici delle filiali hanno diversi vincoli: devono essere sicure, affidabili, convenienti e offrire prestazioni di rete di livello aziendale. Esistono diverse soluzioni, ma molte di esse presentano dei problemi.
Una soluzione comune per collegare le sedi di filiali distaccate è l’uso di VPN su rete Internet pubblica. Sebbene possano fornire la sicurezza richiesta da un’organizzazione, sono spesso difficili da configurare e potrebbero non soddisfare le esigenze dell’organizzazione. I client VPN per dispositivi mobili sono inesistenti o poco funzionali e le appliance VPN fisiche possono richiedere molto tempo per essere implementate e potrebbero non soddisfare le esigenze di una forza lavoro mobile. La dipendenza delle VPN dalla rete Internet pubblica significa che le VPN potrebbero anche non fornire l’affidabilità richiesta dall’azienda.
Sebbene MPLS fornisca connessioni di rete più affidabili e ad alte prestazioni, le connessioni MPLS sono lente da implementare e la larghezza di banda MPLS è costosa. La tecnologia è inoltre poco adatta agli utenti mobili e del cloud e manca di sicurezza integrata.
La Software-Defined WAN (SD-WAN) basata sul cloud offre una soluzione alle sfide della gestione delle reti delle filiali. I punti di presenza (PoP) basati sul cloud e collegati da connessioni di rete di livello 1 supportate da SLA offrono una rete ad alte prestazioni, affidabile e conveniente. La rete di PoP basati su cloud consente agli utenti di connettersi da qualsiasi luogo con una latenza minima, mentre uno stack di sicurezza integrato garantisce la sicurezza dell’intera rete.
SD-WAN as a Service
SD-WAN as a Service estende le funzionalità principali della SD-WAN tradizionale. Converge l’edge della WAN, una dorsale globale e uno stack completo di sicurezza di rete in una piattaforma cloud-native unificata. Conosciuto come SASE (o Secure Access Service Edge) è strutturato per connettere e proteggere in modo ottimale tutte le risorse aziendali: sedi fisiche, data center cloud e forza lavoro mobile. Integrando la SD-WAN in SASE, le aziende possono trasformare gradualmente la loro WAN per affrontare l’intero percorso di trasformazione della WAN, senza implementare più soluzioni specifiche.