
SD-WAN Cos’è l’SD-WAN?
Una SD-WAN (Software-Defined Wide Area Network) è una WAN virtuale che consente alle aziende di sfruttare qualsiasi combinazione di servizi di trasporto, tra cui nternet a banda larga, MPLS e LTE, per connettere in modo sicuro gli utenti alle applicazioni.

Descrizione della SD-WAN
Il modello tradizionale del traffico di backhauling dalle filiali al data center per un’ispezione robusta della sicurezza non è più ottimale: spreca larghezza di banda, aggiunge latenza con una riduzione delle prestazioni delle applicazioni. Nasce quindi l’esigenza di trovare un modo migliore per inviare il traffico direttamente tramite Internet dalle sedi delle filiali a SaaS affidabili e applicazioni cloud, mantenendo al contempo la compliance agli obblighi di sicurezza enterprise.
Una SD-WAN garantisce prestazioni uniformi delle applicazioni e resilienza, automatizza l’indirizzamento del traffico in base alle applicazioni secondo le intenzioni aziendali, migliora la protezione della rete e semplifica l’architettura WAN. Una SD-WAN utilizza una funzione di controllo centralizzata per indirizzare il traffico in modo sicuro e intelligente attraverso la WAN e direttamente ai provider SaaS e IaaS di fiducia. Questo migliora le prestazioni delle applicazioni e garantisce un’esperienza di alta qualità per l’utente che aumenta la produttività e l’agilità aziendale, oltre a ridurre i costi dell’IT.

Architettura SD-WAN
Le WAN tradizionali basate su router convenzionali non sono mai state progettate per il cloud. Generalmente richiedono il backhauling di tutto il traffico, incluso quello destinato al cloud, dalle filiali al data center della sede centrale o di un hub in cui è possibile applicare i servizi di ispezione della sicurezza avanzati. Il ritardo provocato dalle operazioni di backhauling compromette le prestazioni delle applicazioni, determinando un’esperienza utente scadente e perdita di produttività.
A differenza delle tradizionali architetture WAN incentrate sul router, il modello SD-WAN è stato progettato per supportare pienamente le applicazioni in hosting in data center on-premise, cloud pubblici o privati e servizi SaaS come Salesforce.com, Workday, Dropbox, Microsoft 365 e altri, fornendo al contempo i livelli più elevati di prestazioni delle applicazioni.
Come funziona l’SD-WAN?
A differenza della SD-WAN, il modello incentrato sui router convenzionali distribuisce la funzione di controllo tra tutti i dispositivi nella rete e indirizza semplicemente il traffico in base agli indirizzi TCP/IP e agli ACL. Questo modello tradizionale è rigido, complesso, inefficiente, non adatto al cloud e si traduce in un’esperienza utente non ottimale.
Una SD-WAN consente alle imprese cloud-first di fornire un livello superiore di quality of experience (QoEx) delle applicazioni per gli utenti. Identificando le applicazioni, una SD-WAN fornisce un routing intelligente basato sulle applicazioni in tutta la WAN. Ciascuna classe di applicazioni riceve il QoS e le policy di sicurezza appropriate, nel rispetto delle esigenze aziendali. Il breakout Internet locale sicuro del traffico delle applicazioni IaaS e SaaS dalla filiale fornisce i massimi livelli di prestazioni del cloud e protegge l’azienda dalle minacce.
Perché adottare la SD-WAN?
I tempi sono cambiati e le aziende utilizzano il cloud e sottoscrivono abbonamenti al software-as-a-service (SaaS). Mentre gli utenti si connettevano abitualmente al data center della società per accedere alle applicazioni aziendali, ora hanno a disposizione un servizio migliore accedendo a molte di quelle stesse applicazioni nel cloud.
Ne deriva che la WAN tradizionale non è più adeguata, soprattutto perché il backhauling di tutto il traffico, compreso quello destinato al cloud, dalle filiali alla sede centrale introduce latenza e compromette le prestazioni delle applicazioni. La SD-WAN propone semplificazione della WAN, costi inferiori, efficienza della larghezza di banda e un passaggio senza problemi al cloud con prestazioni delle applicazioni significative, soprattutto per le applicazioni critiche, senza rinunciare alla sicurezza e alla privacy dei dati. Prestazioni delle applicazioni migliori aumentano la produttività aziendale, la soddisfazione dei clienti e, in ultima analisi, la redditività. Una sicurezza coerente riduce il rischio per il business.
Confronto tra l’SD-WAN di base e l’SD-WAN sicura e orientata al business
- Non tutte le SD-WAN si equivalgono. Molte soluzioni SD-WAN sono estremamente basilari o “appena sufficienti”. Queste soluzioni non dispongono dell’intelligenza, della sicurezza, delle prestazioni e della scalabilità necessarie a garantire un’esperienza di rete sicura. E ricorda, senza una rete ad alte prestazioni, rapida e sicura, le iniziative di trasformazione digitale aziendale possono bloccarsi. La SD-WAN è un motore di trasformazione digitale fondamentale che guida le decisioni strategiche in tutta l’azienda. Quindi cos’è una SD-WAN sicura e orientata al business e perché una SD-WAN di base non è sufficiente?
- Quality of Experience (QoEx) omogenea. Un vantaggio chiave di una soluzione SD-WAN avanzata è la capacità di utilizzare in modo attivo più forme di trasporto WAN contemporaneamente. Una soluzione di base è in grado di convogliare il traffico di un'applicazione su un singolo percorso e, in caso di guasto o di prestazioni insufficienti, reindirizzare il traffico in modo dinamico verso un link più efficiente. Tuttavia, per molte soluzioni di base, i tempi di failover in caso di indisponibilità sono nell'ordine di decine di secondi o più e spesso comportano una spiacevole interruzione delle applicazioni. Una SD-WAN orientata al business monitora e gestisce in modo intelligente tutti i servizi di trasporto underlay. È in grado di superare le problematiche di perdita di pacchetti, latenza e instabilità per offrire agli utenti i massimi livelli di prestazioni delle applicazioni e di qualità dell'esperienza, anche quando i servizi di trasporto WAN risultano compromessi. A differenza di una SD-WAN di base, una SD-WAN orientata al business gestisce un'indisponibilità totale del trasporto senza interruzioni e fornisce failover inferiori al secondo che evitano di interrompere le applicazioni business-critical quali le comunicazioni voce e video.
- Apprendimento autonomo continuo. Una soluzione SD-WAN di base ridistribuisce il traffico in base a regole predefinite, generalmente programmate tramite modelli. Una SD-WAN orientata al business garantisce prestazioni delle applicazioni ottimali in qualsiasi condizione di rete o cambiamenti tra cui congestione e i caso di malfunzionamenti. Attraverso il monitoraggio e l’apprendimento autonomo continui, una SD-WAN orientata al business risponde automaticamente e in tempo reale a qualsiasi modifica dello stato della rete. Una SD-WAN orientata al business si adatta costantemente ai cambiamenti della rete, adeguandosi automaticamente e in tempo reale a qualsiasi modifica che potrebbe avere un impatto sulle prestazioni delle applicazioni, tra cui la congestione della rete, i cali di tensione e le condizioni di interruzione del trasporto, consentendo agli utenti di connettersi sempre alle applicazioni senza l’intervento manuale dell’IT. Ad esempio, nel caso in cui le prestazioni di un servizio di trasporto WAN o un servizio di sicurezza del cloud calassero, la rete si adatterebbe automaticamente al fine di mantenere il flusso del traffico mantenendo il rispetto della compliance delle policy aziendali.
- Rete multi-cloud. Le SD-WAN avanzate possono essere distribuite in un cloud pubblico come AWS, Azure e Google Cloud per ottimizzare le connessioni tra le filiali e il cloud sfruttando tutti i vantaggi della SD-WAN. In caso di calo di tensione o blackout, i link rimanenti continuano a trasportare il traffico in modo tale che gli utenti non notino alcuna interruzione delle chiamate vocali, delle conferenze audio e video o di qualsiasi altra applicazione. Il first mile rinforzato tra la filiale e il cloud pubblico garantisce prestazioni, affidabilità e qualità della rete di livello superiore.
- Firewall di nuova generazione integrato. Una SD-WAN sicura e orientata al business dovrebbe includere un firewall di nuova generazione per proteggere le filiali in modo efficiente. Le funzionalità principali comprendono l’ispezione approfondita dei pacchetti (DPI), così come il rilevamento delle intrusioni e la loro prevenzione (IDS/IPS). Altre SD-WAN avanzate possono persino proteggere le organizzazioni dagli attacchi DDoS. L’integrazione di un firewall di nuova generazione consente alle organizzazioni di sostituire facilmente i firewall legacy delle filiali, riducendo il footprint hardware. Inoltre, le policy di sicurezza vengono gestite a livello centrale, eliminando la necessità di personale IT addestrato a livello locale ed evitando configurazioni errate. Le policy di sicurezza configurate a livello centrale sono molto più omogenee, per il minor numero di errori umani, rispetto a un firewall legacy, che spesso richiede la configurazione delle policy per ogni singolo dispositivo. Se una policy richiede una modifica, viene programmata a livello centrale con una SD-WAN orientata al business e inviata a decine, centinaia o migliaia di nodi della rete, con un sensibile aumento dell’efficienza operativa, riducendo al contempo la superficie di attacco complessiva ed evitando le violazioni della sicurezza.
- Segmentazione basata sul ruolo. Mentre le SD-WAN di base forniscono l'equivalente di un servizio VPN, una SD-WAN sicura e orientata al business offre una segmentazione end-to-end basata sul ruolo più completa. Oltre a supportare un firewall di nuova generazione, la piattaforma deve orchestrare e applicare la segmentazione end-to-end tra LAN, WAN e data center e tra LAN, WAN e cloud. Aggiungendo policy basate su ruolo e identità di utenti e dispositivi, la SD-WAN sicura e avanzata consente una segmentazione granulare e l’applicazione dell’approccio Zero Trust. Una SD-WAN sicura crea quindi zone end-to-end, dalla LAN alla WAN, per qualsiasi combinazione di utenti, dispositivi, gruppi di applicazioni e overlay virtuali, propagando le policy di sicurezza a tutte le sedi remote. In base al principio del minor privilegio di accesso, garantisce che gli utenti e i dispositivi IoT comunichino solo con destinazioni coerenti con il loro ruolo nell’azienda, riducendo al contempo gli accessi non autorizzati e limitando la portata degli incidenti.
- Internet breakout locale sicuro per le applicazioni cloud. Molte SD-WAN di base forniscono alcune funzionalità di classificazione delle applicazioni basate su definizioni fisse e ACL gestite manualmente tramite script per l'invio diretto a Internet del traffico SaaS e IaaS. Tuttavia, le applicazioni cloud cambiano continuamente. Una SD-WAN orientata al business si adatta continuamente ai cambiamenti e fornisce aggiornamenti giornalieri automatizzati delle definizioni delle applicazioni e degli indirizzi IP, eliminando in tal modo i problemi di produttività degli utenti e di interruzione delle applicazioni.
Idealmente, i clienti aziendali devono passare a una piattaforma SD-WAN orientata al business che unifica SD-WAN, firewall, segmentazione, routing, ottimizzazione WAN e funzioni di visibilità e controllo in un’unica piattaforma gestita a livello centrale.
Funzionalità della SD-WAN avanzata per SASE
Il SASE abbina l’SD-WAN a funzioni di sicurezza basate su cloud, altrimenti note come Security Service Edge (SSE). SSE definisce l’insieme di servizi di sicurezza che contribuiscono a supportare la visione di sicurezza di SASE. Importanti funzionalità SSE includono ZTNA (Zero Trust Network Access), SWG (Secure Web Gateway) e CASB (Cloud Access Security Broker).
In sostanza, l’obiettivo di SASE è fornire sicurezza e prestazioni alle organizzazioni incentrate sul cloud e agli ambienti di lavoro ibridi, dato che gli utenti accedono a dati sensibili da qualsiasi luogo e navigano su siti web non sicuri. Dopo aver lavorato con molte aziende che hanno progettato e distribuito architetture SASE, abbiamo constatato che le funzionalità SD-WAN di base sono insufficienti. È necessaria una SD-WAN con funzionalità avanzate in materia di rete e sicurezza per abilitare pienamente SASE al fine di:
- integrare senza problemi una soluzione SSE per formare un’architettura SASE unificata e coerente
- automatizzare l’orchestrazione tra SD-WAN e SSE da un’unica console per semplificare le operazioni
- identificare il traffico delle applicazioni sul primo pacchetto e indirizzarlo in modo granulare a una soluzione SSE sulla base di policy di sicurezza predefinite
- eseguire automaticamente il failover a un punto di applicazione della sicurezza del cloud secondario per evitare qualsiasi interruzione delle applicazioni
- riconfigurare automaticamente le connessioni sicure ai punti di applicazione della sicurezza del cloud se si rende disponibile una posizione più recente e più vicina alla filiale
- consentire ai clienti di distribuire facilmente nuovi servizi di sicurezza del cloud e le loro implementazioni SASE
HPE e SD-WAN
HPE Aruba Networking EdgeConnect SD-WAN è un portafoglio completo di opzioni di distribuzione degli accessi per connettere le organizzazioni aziendali dall’edge al cloud a un unico fabric SD-WAN tra diverse sedi, data center, cloud e SaaS. La soluzione comprende tre tipi di modelli di distribuzione di dimensioni adeguate, o “onramps” al fabric SD-WAN, che garantiscono una connettività di rete sicura, senza problemi e ad alte prestazioni da sedi, data center, campus, filiali, piccoli uffici, lavoro da casa e utenti mobili per raggiungere applicazioni, dati e servizi ovunque.
- EdgeConnect SD-WAN consente agli amministratori IT di progettare un edge SD-WAN avanzato che apprende e si adatta continuamente alle mutevoli esigenze aziendali per garantire in modo flessibile prestazioni delle applicazioni e di rete ai massimi livelli edge to cloud.
- EdgeConnect SD-Branch consente agli amministratori IT di consolidare i componenti di rete delle filiali per la massima integrazione tra WLAN, LAN e SD-WAN con sicurezza e supporto LTE integrati, oltre a una gestione del cloud centralizzata.
- EdgeConnect Microbranch è ideale per i piccoli uffici o gli ambienti di lavoro da casa. Questa opzione dall’ingombro minimo che utilizza una serie di punti di accesso remoto (RAP) di HPE Aruba Networking consente la connettività WAN sicura alla rete aziendale e le integrazioni automatizzate con i servizi di sicurezza basati su cloud.
EdgeConnect SD-WAN Fabric offre esperienza e prestazioni della massima qualità, garantendo l’adattamento continuo, la sicurezza sempre disponibile e l’agilità necessaria per supportare le WAN più complesse. Sfruttando l’automazione, il machine learning e l’intelligenza artificiale, le funzionalità avanzate riducono l’onere delle organizzazioni IT eliminando la complessità e le attività manuali necessarie per la distribuzione, la configurazione e la manutenzione di reti distribuite di grandi dimensioni.
EdgeConnect SD-WAN Fabric si estende facilmente a data center, IaaS, SaaS e cloud privati. Le integrazioni automatizzate semplificano la connettività multi-cloud per AWS, Microsoft Azure, Google, Equinix, Megaport e altri.
EdgeConnect SD-WAN Fabric automatizza l’integrazione con HPE Aruba Networking SSE per la creazione di una piattaforma SASE unificata, così come con le soluzioni dei partner terzi per la sicurezza del cloud.