Las siglas SD-WAN (Software-Defined Wide Area Network o redes de área extendida definidas por software), introducidas por primera vez en 2014, hacen referencia a una tecnología que permite a las empresas mejorar la calidad de la velocidad de sus infraestructuras. Pero esta tecnología también – y lo que es más importante – ha ganado terreno al añadir servicios complementarios, como la ciberseguridad, o la monitorización de dichas infraestructuras. Repasamos la aparición de Trusted SD-WAN.
¿Cuál es la génesis del término "SD-WAN"? ¿Y qué es una SD-WAN de confianza? Este artículo ofrece una breve historia de SD-WAN y la gestión de redes.
Origines de SD-WAN
Empecemos con una breve historia de SD-WAN y su evolución. A principios de la década de 2000, las necesidades de acceso a Internet se reducían básicamente a los servicios web y de correo electrónico. Las empresas más grandes alojaban sus servidores de correo en su propia infraestructura, mientras que las más pequeñas recurrían a servicios dedicados. En aquella época, los enlaces entre sitios, como las redes de área extendida (WAN), se basaban en conexiones MPLS (Multi-Protocol Label Switching, o conmutación de etiquetas multiprotocolo). Aunque este protocolo ofrecía una buena calidad de servicio, la configuración y despliegue de enlaces MPLS seguía siendo un proceso tedioso. El otro inconveniente era de carácter contractual. Debido a su topología de núcleo de red, la empresa cliente seguía dependiendo totalmente de su operador, cuyos servicios podían resultar muy caros. El acceso generalizado de las empresas a Internet cambiaría las reglas del juego. Un acceso a Internet más rápido, de mayor calidad y, lo que es más importante, más barato, se convertiría en la norma de la vida empresarial.
Pero este tipo de acceso a Internet creó nuevos requisitos, como las VPN para el intercambio de datos confidenciales, enlaces compartidos para la continuidad del servicio y un mayor rendimiento, y QoS (calidad de servicio) para dar prioridad a los flujos de datos más importantes. "Fueron características de software como éstas, que permitían crear redes WAN "sobre" Internet, las que condujeron a la definición de SD-WAN: y así nació la red de área extendida definida por software", afirma Julien Paffumi, jefe de portfolio de productos de Stormshield.
A continuación, las empresas aceleraron el ritmo y empezaron a depender de Internet para sus actividades y negocios, mediante el uso de servicios de videoconferencia o incluso los primeros casos de "Software-as-a-Service" o software como servicio, convirtiendo así la calidad del servicio de acceso a Internet en una cuestión central. Como resultado, la tecnología SD-WAN surgió como una alternativa flexible que podía satisfacer los cambiantes requisitos de conectividad de las empresas. Pero no fue hasta 2014 cuando SD-WAN se ganó oficialmente su lugar como una nueva categoría de tecnología WAN. "Además de la gestión de enlaces WAN, se espera que la tecnología SD-WAN garantice una buena calidad de servicio", afirma Paffumi. SD-WAN es flexible de implantar porque es agnóstica en cuanto a proveedores de servicios de Internet. Sobre todo, es capaz de priorizar los flujos de datos salientes hacia Internet.
Calidad y disponibilidad son dos promesas de SD-WAN, pero ¿qué pasa con la seguridad de los datos? En 2016, los fabricantes de ciberseguridad se lanzaron al ruedo con una simple promesa: acceso tanto a la seguridad de la red como a las funciones SD-WAN.
Principios básicos de las SD-WAN
Las funciones que ofrece aportan muchas ventajas para el negocio. En primer lugar, mediante el uso de routers inteligentes que emplean conexiones estándar a internet (ADSL, internet de banda ancha, 5G), los algoritmos de gestión del tráfico ofrecen una calidad de servicio (QoS) mejorada. A continuación, mediante el balanceo de carga o el reconocimiento de aplicaciones, la tecnología SD-WAN mejora el rendimiento general de la red. Al mismo tiempo, SD-WAN facilita la supervisión y el control de la red. Por último, mediante la adopción de conexiones a Internet más baratas y un enfoque multioperador, las empresas se están haciendo más resilientes. Esta lista no es exhaustiva.
A grandes rasgos, el mercado se divide en dos tipos de ofertas SD-WAN. La más extendida es una oferta SD-WAN en forma de caja que puede instalarse fácilmente en cualquier punto final de conexión a Internet. Una segunda oferta, definida como "SD-WAN-as-a-Service", adopta la forma de una SD-WAN virtualizada alojada en la nube. Este enfoque permite crear una red privada virtual accesible desde cualquier lugar del mundo, en la que es posible encontrar todas las aplicaciones SaaS críticas para la actividad de la empresa (CRM, contabilidad, entorno colaborativo, etc.).
Pero esta conectividad con aplicaciones de terceros plantea la cuestión de la superficie de ataque y la seguridad de la infraestructura global. Esto se debe a que estas nuevas prácticas web / SaaS conllevan un aumento de los riesgos (intrusiones y monitorización de comunicaciones sensibles) y la necesidad de implementar capas de seguridad adicionales dentro de la arquitectura SD-WAN.
Los desafíos de seguridad de las SD-WAN
Según Gartner, el 80% de las implantaciones de SD-WAN tendrán en cuenta los requisitos de los servicios de seguridad en los próximos años. Al fin y al cabo, el carácter crítico de las comunicaciones WAN, centrales en todos los intercambios de una organización, requiere una capa de seguridad y confianza para garantizar la confidencialidad de los datos. Para la red y los intercambios entre sedes, así como para los ordenadores de los empleados y su acceso directo a Internet, la consolidación de las funciones SD-WAN y de ciberseguridad en una sola caja ofrece la garantía de una protección más eficaz de su empresa.
Suscribirse a una oferta SD-WAN implica que sus datos transitan a través de un tercero. Esto plantea la cuestión del nivel de confianza que debe asignarse a ese tercero.
Julien Paffumi, jefe de portfolio de productos de Stormshield
Por este motivo, la oferta de SD-WAN debe ofrecer un cifrado robusto de extremo a extremo. "Pero suscribirse a una oferta SD-WAN de este tipo implica que los datos transitan a través de un tercero", afirma Paffumi. Esto plantea la cuestión del nivel de confianza que debe asignarse a ese tercero". Por tanto, surge una pregunta legítima: ¿Existen arquitecturas SD-WAN certificadas y/o homologadas por un organismo de certificación independiente? Como era de esperar, la respuesta es "no": en la actualidad, no existen certificaciones o cualificaciones SD-WAN independientes de los proveedores que promuevan este enfoque tecnológico. Por lo tanto, es importante disponer de pruebas concretas que nos permitan juzgar objetivamente la solución SD-WAN elegida. Al seleccionar un fabricante entre varias soluciones de hardware y software, debemos examinar factores como la robustez del producto y la confianza en términos geopolíticos y económicos. El concepto de robustez es definido por la ANSSI como una evaluación de productos que "consiste en probar su capacidad para resistir ataques informáticos según un contexto de uso y un nivel de amenaza definidos". El concepto de confianza aparece claramente en las estrategias de producto de los distintos fabricantes. Rendimiento, coste, seguridad, confianza: las cuatro consideraciones que deben guiar su elección de una oferta SD-WAN de confianza.
Integrada ahora con soluciones como Cloud Access Security Broker (CASB, o agente de seguridad de acceso a la nube), pasarelas de seguridad web (SWG) y cortafuegos de nueva generación (NGFW), SD-WAN constituye la base de red de la infraestructura de seguridad Secure Access Service Edge (SASE, o servicio de acceso seguro en el borde). SASE conecta de forma segura usuarios, sistemas y puntos finales (estación de trabajo, teléfono) a redes y aplicaciones remotas, independientemente de su ubicación. Otro modelo de seguridad que merece la pena seguir.