Hace tiempo que el modelo tradicional en el que las oficinas remotas confiaban en una conexión MPLS fija para redireccionar todo el tráfico de Internet, información de negocio y los flujos de trabajo a la red central ha dejado de tener sentido. Para competir en el entorno de la economía digital, las delegaciones de hoy deben ser una parte integral de la red, en lugar de funcionar como un complemento adjunto a través de alguna conexión WAN pendiente.
En su lugar, las organizaciones necesitan oficinas de nueva generación que puedan utilizar recursos basados en la nube y aplicaciones de colaboración global, como VoIP y videoconferencia, que requieren un ancho de banda altamente escalable. Tradicionalmente, esto se proporcionaba con MPLS, pero como en las redes actuales los recursos basados en la nube y los datos están cambiando y reubicándose constantemente, han hecho que esas conexiones tradicionalmente menos flexibles se necesiten reconsiderar.
De hecho, a medida que el centro de datos es cada vez más virtualizado y distribuido, los trabajadores y los recursos son más móviles, y el perímetro redistribuye aún más los recursos, la estrategia de tener una red central que funcionaba como un concentrador de recursos para múltiples sucursales no es operativa. Este modelo se está reemplazando por una red integrada que combina distintos entornos en el perímetro de la red: plataformas y aplicaciones en la nube, usuarios móviles y dispositivos inteligentes, IoT, 5G y Edge Computing, y el nuevo WAN Edge.
Para aprovechar todo el potencial de las soluciones para SD-Branch, se necesita ir más allá del acceso en tiempo real a los datos y recursos, donde sea que estén ubicados. Es necesario utilizar aplicaciones empresariales críticas que no solo requieren un ancho de banda fiable y de alto rendimiento, sino que también pueden interconectarse sin problemas con otras oficinas y usuarios, incluidos los trabajadores móviles.
Claves de las soluciones SD-WAN
Las soluciones SD-WAN utilizan la Internet pública para interconectar de forma segura las oficinas remotas con los recursos distribuidos, a la vez que garantiza un alto rendimiento para aplicaciones sensibles a la latencia y críticas para el negocio. Sin embargo, SD-WAN es mucho más que un reemplazo de conectividad, también necesita interconectarse con garantías con las funciones de las delegaciones locales. El SD-Branch combina la red y la virtualización definidas por software con el acceso local a los recursos de Internet y la nube, así como las funciones de conectividad LAN / Wi-Fi para dispositivos locales, para permitir la transformación digital del perímetro de la WAN.
Una solución SD-WAN efectiva soporta estas capacidades a través de una conectividad flexible y fiable, la extensión de una funcionalidad de routing avanzada y el balanceo a través de la VPN integrada de la organización, así como proporcionando una suite completa de seguridad integrada que puede asegurar los datos y las transacciones de principio a fin.
A medida que aumenta la superficie de ataque potencial, las posibilidades de que se produzcan brechas, pérdida de datos e información comprometida, crecen con cada nuevo dispositivo, aplicación y conexión. Por eso los expertos en SD-WAN y los analistas confirman que una solución SD-WAN empresarial óptima no solo debe ser compatible con los requisitos de rendimiento de la WAN, sino también abordar las prioridades de seguridad.
Sin embargo, SD-WAN se enfrenta al desafío que supone la incapacidad de la mayoría de las soluciones disponibles en el mercado para establecer una estrategia de seguridad efectiva y completa que pueda abarcar y adaptarse dinámicamente a las demandas de la transformación digital.
Esta situación lleva a muchas organizaciones a tratar de desplegar una solución de seguridad ad hoc utilizando las herramientas de seguridad heredadas de las que disponen. Pero la creciente demanda de rendimiento de las actuales redes digitales, potenciada por la naturaleza distribuida de los recursos de red, socava la eficacia de las herramientas tradicionales de ciberseguridad. Es poco probable que las herramientas de seguridad que luchan por adaptarse a los requisitos de velocidad y de ancho de banda brinden la protección que requieren las redes digitales sin convertirse en un verdadero cuello de botella.
Elementos a evaluar a la hora de adoptar una solución SD-WAN
El desafío es que debido a que SD-WAN se ha convertido en un mercado tan candente, una gran cantidad de proveedores se han lanzado a por él. Y al igual que ocurre en los inicios de cualquier mercado, muchas de las soluciones disponibles no cubren todas las necesidades. Las organizaciones que quieren adoptar una solución SD-WAN como parte de su estrategia de transformación digital deben considerar cuatro elementos críticos al evaluar una solución:
- Soporte para aplicaciones críticas del negocio: La función más crítica proporcionada por una SD-WAN es la amplitud de su solución de conectividad. SD-WAN necesita reconocer y soportar de forma dinámica las aplicaciones de negocio, asignar funciones de negocio a los recursos WAN, después seleccionar las conexiones WAN más eficientes para dirigir esas aplicaciones, a la vez que suministrar el rendimiento y el ancho de banda adecuado. Esto implica priorizar aquellas aplicaciones de acuerdo con la criticidad del negocio, incluyendo la capacidad para establecer políticas separadas para sub-aplicaciones.
- Políticas dinámicas y adaptables: Cualquier solución SD-WAN debe poder modificar las políticas de la WAN en base a aspectos críticos de la aplicación y los requisitos de rendimiento – incluyendo las políticas de seguridad – que se adaptan automáticamente a medida que cambian las configuraciones de red y los recursos. La inteligencia automatizada de múltiples rutas, por lo tanto, es un servicio crítico que debe proporcionar cualquier solución SD-WAN, tanto para aplicaciones de negocio como para seguridad. Y si esa ruta WAN se degradara por debajo de los umbrales basados en políticas, entonces debería poder cambiar de forma automática y sin problemas al siguiente mejor enlace disponible sin afectar el rendimiento de la aplicación.
- Seguridad integrada: Debido a que SD-WAN ajusta las conexiones dinámicamente para garantizar el rendimiento, la aplicación de protección utilizando herramientas de seguridad tradicionalmente estáticas, especialmente cuando se implementa como una solución aparte, es problemática. SD-WAN no solo requiere la protección tradicional contra amenazas, incluyendo NGFW, antivirus / antimalware y prevención de intrusos (IPS). También requiere controles de SSL y VPN IPSec de alto rendimiento, inspección profunda del tráfico cifrado a velocidades de red, filtrado web y protección avanzada contra amenazas (ATP), como el sandboxing. Además, estas herramientas de seguridad deben poder integrarse sin problemas con el resto de la red distribuida, desde el perímetro hasta la nube.
- Gestión centralizada: Uno de los requisitos que suele pasarse por alto en SD-WAN es que no se puede separar del resto de la red. Para aprovechar el potencial de la transformación digital, los nuevos perímetros de la red deben funcionar como un sistema único e integrado. Y eso implica establecer una estrategia de control y visibilidad centralizada que abarque la red distribuida.
Las organizaciones ya no pueden permitirse que sus redes funcionen como una colección de segmentos aislados, lo que significa que todas las funciones de red y seguridad deben integrarse en la misma solución gestionada desde un único panel. Al seleccionar una solución SD-WAN que admita herramientas de administración, configuración y seguimiento centralizadas para las soluciones WAN y de seguridad, aumenta la eficiencia y la eficacia de la administración, al tiempo que reduce significativamente el coste de implementación y gestión. Y esa estrategia de gestión debe extenderse al resto de la red distribuida.
La verdadera transformación digital solo puede producirse si no hay una expansión desproporcionada de la superficie de ataque. Y para ello debemos ver nuestra red y sistemas de seguridad como una solución única y holística. Las soluciones SD-WAN para el perímetro WAN en expansión, como las soluciones que se aplican en cualquiera de los otros entornos del perímetro de red, no solo deben proporcionar una amplia flexibilidad y funcionalidad y servicios de alto rendimiento, sino también operar como parte de un todo colectivo. Y a medida que las organizaciones trabajan para implementar una transformación digital integral, la correlación entre la red y la inteligencia de seguridad debe ser una de las principales prioridades, ya que los ciberdelincuentes están tan motivados para aprovechar estos entornos de red como las organizaciones que las desarrollan.
José Luis Laguna
Systems Engineer Manager en Fortinet Iberia
