SD-WAN Cos’è l’SD-WAN?
Una SD-WAN (Software-Defined Wide Area Network) è una componente fondamentale del Secure Access Service Edge (SASE) che utilizza un’architettura WAN virtuale per sfruttare qualsiasi combinazione di servizi di trasporto, tra cui MPLS (Multiprotocol Label Switching), LTE e servizi Internet a banda larga, al fine di connettere in sicurezza gli utenti delle filiali alle applicazioni in hosting nel cloud o negli ambienti IT ibridi.
Tempo di lettura: 9 minuti e 14 secondi | Aggiornamento: 22 ottobre 2025
Indice
Descrizione dell’SD-WAN
Le architetture tradizionali utilizzano spesso i link MPLS per instradare il traffico dalle filiali al data center, ma risultano costose, poco flessibili e non ottimizzate per i modelli di traffico dinamici e le esigenze di prestazioni delle applicazioni delle organizzazioni incentrate sul cloud. Il modello tradizionale del traffico di backhauling dalle filiali al data center per un’ispezione della sicurezza non è più ottimale: aggiunge latenza e in ultima analisi determina una riduzione delle prestazioni delle applicazioni.
L’SD-WAN è un approccio moderno per collegare le filiali ai data center e al cloud. Utilizza un software per indirizzare in modo intelligente il traffico attraverso più connessioni, come banda larga, 5G, satelliti o MPLS, riducendo i costi e la dipendenza da MPLS e incrementando al contempo la flessibilità. Garantisce prestazioni delle applicazioni costanti e resilienza tramite diverse tecniche, quali tunnel bonding, selezione del percorso migliore, Forward Error Correction e ottimizzazione WAN. Automatizza l’instradamento del traffico in base alle applicazioni e agli intenti aziendali, migliora la protezione della rete con funzionalità di sicurezza integrate e semplifica l’architettura WAN.
Architettura SD-WAN
Una tipica architettura SD-WAN comprende tre componenti principali.
- Dispositivi edge: dispositivi fisici o virtuali distribuiti presso filiali, data center e sedi cloud che inoltrano il traffico in base a policy e misurano l'integrità dei link in tempo reale.
- SD-WAN orchestrator: gestione della configurazione, delle policy e del monitoraggio in hosting sul cloud oppure on-premise su tutti i nodi SD-WAN. L’orchestrator semplifica le operazioni fornendo un’interfaccia di gestione con singolo punto di gestione.
- Livello di trasporto: l’SD-WAN funziona su qualsiasi trasporto basato su IP, come Internet a banda larga, LTE, 5G o MPLS. Questo livello costituisce la rete underlay, mentre l’SD-WAN ne crea una rete intelligente con la selezione dinamica del percorso e failover.
Le architetture SD-WAN avanzate possono anche includere funzionalità di ottimizzazione WAN (ad esempio, accelerazione TCP e deduplicazione dei dati), connettività cloud diretta, controlli di sicurezza integrati e integrazione con piattaforme SSE (Security Service Edge).
Come funziona l’SD-WAN?
A differenza dell’SD-WAN, il modello incentrato sui router convenzionali distribuisce la funzione di controllo tra tutti i dispositivi nella rete e indirizza semplicemente il traffico in base agli indirizzi TCP/IP e agli ACL. Questo modello tradizionale è rigido, complesso, inefficiente e inadatto al cloud e si traduce in un’esperienza insoddisfacente per l’utente.
L’SD-WAN funziona valutando costantemente le prestazioni di tutti i collegamenti di rete disponibili e instradando in modo intelligente il traffico in base alle condizioni in tempo reale e alle policy aziendali. Ad esempio, può dare la priorità a una chiamata VoIP rispetto a un aggiornamento software a bassa priorità o indirizzare dati sensibili tramite un collegamento MPLS sicuro, instradando al contempo un traffico ingente sulla banda larga.
Ecco alcuni dei meccanismi fondamentali.
- Routing basato sulle applicazioni: identifica le applicazioni sul primo pacchetto e applica regole QoS (Quality of Service) per garantire prestazioni e affidabilità.
- Selezione dinamica del percorso: sceglie il percorso ottimale per ciascun flusso applicativo in base a parametri di collegamento quali latenza, jitter e perdita di pacchetti.
- Forward Error Correction: migliora la qualità del collegamento correggendo la perdita di pacchetti e risolvendo i problemi di prestazioni sulle connessioni inaffidabili.
- Tunnel bonding: combina più link WAN in un’unica connessione logica per migliorare la produttività e la resilienza.
L’SD-WAN può funzionare mediante tunnel crittografati, in genere IPsec, oppure adottare un'architettura basata su sessioni senza tunnel, garantendo riservatezza e integrità anche sulle reti pubbliche. Una soluzione SD-WAN sicura avanzata supporta anche la segmentazione del traffico in base ai ruoli dell’utente, dell’applicazione o del dispositivo, per impedire movimenti laterali e mantenere i limiti di sicurezza.
Perché adottare l’SD-WAN?
I tempi sono cambiati e le aziende utilizzano il cloud e sottoscrivono abbonamenti SaaS (software-as-a-service). Mentre prima gli utenti si connettevano abitualmente al data center della società per accedere alle applicazioni aziendali, ora hanno a disposizione un servizio migliore sfruttando molte di quelle stesse applicazioni nel cloud.
Ne deriva che la WAN tradizionale non è più adeguata, soprattutto perché il backhauling di tutto il traffico, compreso quello destinato al cloud, dalle filiali alla sede centrale introduce latenza e compromette le prestazioni delle applicazioni. L’SD-WAN consente semplificazione della WAN, costi inferiori, efficienza della larghezza di banda e un passaggio senza problemi al cloud con prestazioni delle applicazioni significative, soprattutto per quelle critiche, senza rinunciare alla sicurezza e alla privacy dei dati. Il miglioramento delle prestazioni aumenta la produttività aziendale, la soddisfazione dei clienti e, in ultima analisi, la redditività. Una sicurezza coerente riduce il rischio per il business.
Quali sono i vantaggi dell’SD-WAN?
- Prestazioni migliorate: instrada le applicazioni tramite percorsi ottimali ed elimina il backhauling al data center.
- Sicurezza avanzata: si integra perfettamente con SSE per formare un'architettura SASE, poiché molte soluzioni SD-WAN includono crittografia, firewall e funzionalità di sicurezza avanzate.
- Incentrato sul cloud: ottimizza e protegge l’accesso al cloud dalle filiali.
- Risparmio sui costi: riduce la dipendenza dai costosi circuiti MPLS sfruttando link Internet più economici.
- Gestione semplificata: semplifica la configurazione e il monitoraggio della rete con controllo centralizzato.
SD-WAN di base e SD-WAN sicura avanzata
- Non tutte le SD-WAN nascono uguali: molte soluzioni sono basilari o "appena sufficienti", in quanto non offrono l’intelligenza, la sicurezza, le prestazioni e la scalabilità necessarie a garantire un’esperienza di rete sicura e un’architettura SASE solida. È bene ricordare che senza una rete ad alte prestazioni, rapida e sicura, le iniziative di trasformazione digitale aziendale e cybersicurezza possono bloccarsi.
| SD-WAN di base | SD-WAN sicura avanzata | |
|---|---|---|
| QoEx coerente |  |  |
| Sicurezza integrata | | |
| Reti multi-cloud | | |
| Basata sull’AI | | |
- Quality of Experience (QoEx) omogenea. Un vantaggio chiave di una soluzione SD-WAN avanzata è la capacità di utilizzare in modo attivo più forme di trasporto WAN contemporaneamente. Una soluzione di base è in grado di convogliare il traffico di un'applicazione su un singolo percorso e, in caso di guasto o di prestazioni insufficienti, reindirizzare il traffico in modo dinamico verso un link più efficiente. Tuttavia, per molte soluzioni di base, i tempi di failover in caso di indisponibilità sono nell’ordine di decine di secondi o più e spesso comportano una spiacevole interruzione delle applicazioni. Una SD-WAN orientata al business monitora e gestisce in modo intelligente tutti i servizi di trasporto underlay. È in grado di superare le problematiche di perdita di pacchetti, latenza e instabilità per offrire agli utenti i massimi livelli di prestazioni delle applicazioni e di qualità dell’esperienza, anche quando i servizi di trasporto WAN risultano compromessi. A differenza di una SD-WAN di base, una SD-WAN avanzata gestisce l’indisponibilità totale del trasporto senza interruzioni con failover inferiori al secondo che evitano di interrompere le applicazioni business-critical quali le comunicazioni voce e video. Si adegua continuamente ai cambiamenti nella rete adattandosi automaticamente in tempo reale a qualsiasi modifica che potrebbe avere un impatto sulle prestazioni delle applicazioni, come congestione, cali di tensione e interruzione del trasporto.
- Sicurezza integrata. Una SD-WAN sicura avanzata include un next-generation firewall per proteggere le filiali in modo efficiente. Le funzionalità principali includono il rilevamento e la prevenzione delle intrusioni e (IDS/IPS) e la segmentazione end-to-end. Altre SD-WAN sicure avanzate possono proteggere le organizzazioni dagli attacchi DDoS e forniscono URL Filtering. L’integrazione di un firewall di nuova generazione consente alle organizzazioni di sostituire facilmente quelli legacy delle filiali, riducendo il footprint hardware. Inoltre, le policy di sicurezza sono gestite centralmente, eliminando la necessità di personale IT formato in sede ed evitando configurazioni errate. Infine, mentre le SD-WAN di base forniscono l'equivalente di un servizio VPN, le SD-WAN sicure avanzate offrono segmentazione end-to-end basata sui ruoli più completa. Aggiungendo policy basate su ruolo e identità di utenti e dispositivi, le SD-WAN sicure avanzate consentono una segmentazione granulare e l’applicazione dell’approccio zero trust. In base al principio del minor privilegio di accesso, garantiscono che gli utenti e i dispositivi IoT comunichino solo con destinazioni coerenti con il loro ruolo nell’azienda, riducendo al contempo gli accessi non autorizzati e limitando la portata degli incidenti.
- Rete multi-cloud. Le SD-WAN avanzate possono essere distribuite in un cloud pubblico come AWS, Azure e Google Cloud per ottimizzare le connessioni tra le filiali e il cloud sfruttando tutti i vantaggi della SD-WAN. In caso di brownout o blackout, i link rimanenti continuano a trasportare il traffico, senza che gli utenti notino alcuna interruzione delle chiamate vocali, delle conferenze audio e video o di qualsiasi altra applicazione. Il first mile rinforzato tra la filiale e il cloud pubblico garantisce prestazioni, affidabilità e qualità della rete di livello superiore.
- Basate sull'AI Le SD-WAN avanzate includono funzionalità di intelligenza artificiale per migliorare la visibilità degli utenti e dei dispositivi connessi. Inoltre, l’AI fornisce informazioni sul traffico e sulla sicurezza della rete, per diagnosticarne i problemi e risolverli in modo proattivo. L’SD-WAN basata sull'AI è progettata per ascoltare, comprendere e rispondere alle query in linguaggio naturale, semplificando l'acquisizione delle informazioni di cui i team IT hanno bisogno.
Funzionalità dell’SD-WAN avanzata per SASE
SASE associa la SD-WAN e Security Service Edge (SSE). Importanti funzionalità SSE includono ZTNA (Zero Trust Network Access), SWG (Secure Web Gateway) e CASB (Cloud Access Security Broker).
In sostanza, lo scopo di SASE è quello di fornire sicurezza e prestazioni alle organizzazioni incentrate sul cloud e agli ambienti di lavoro ibridi, per un accesso sicuro alle applicazioni e ai dati sensibili da qualsiasi luogo, proteggendo al contempo gli utenti dalle minacce basate su web. L'esperienza maturata con molte aziende che hanno progettato e distribuito le proprie architetture SASE indica che le funzionalità di base della SD-WAN sono carenti. Serve una SD-WAN sicura con funzionalità avanzate in materia di rete e sicurezza per abilitare pienamente SASE, intervenendo come segue.
- Integrare senza problemi una soluzione SSE per formare un’architettura SASE unificata e coerente o una soluzione SASE single vendor
- Automatizzare completamente l'orchestrazione tra SD-WAN e SSE
- Garantire il giusto livello di accesso e un'esperienza coerente in diverse sedi con una gestione centralizzata delle policy di sicurezza e di rete.
- Identificare il traffico delle applicazioni sul primo pacchetto e indirizzarlo in modo granulare a una soluzione SSE sulla base di policy di sicurezza predefinite
- Eseguire automaticamente il failover a un punto di applicazione della sicurezza del cloud secondario per evitare qualsiasi interruzione delle applicazioni
- Riconfigurare automaticamente le connessioni sicure ai punti di applicazione della sicurezza del cloud se si rende disponibile una posizione più recente e più vicina alla filiale
- Monitorare i tunnel verso SSE per garantirne l'integrità, attivare automaticamente il failover per fare affidamento un'elevata disponibilità e mantenere prestazioni costanti delle applicazioni.
HPE Networking e SD-WAN
La soluzione HPE Networking SD-WAN è un portafoglio completo di opzioni di distribuzione degli accessi per connettere le organizzazioni enterprise tra diverse sedi, data center, cloud e SaaS. La soluzione include vari modelli di distribuzione, o "on-ramp," al fabric SD-WAN. Tutto questo garantisce una connettività di rete ad alte prestazioni sicura e senza problemi a partire da sedi centrali, data center, campus, filiali, piccoli uffici, abitazioni dove lavorano i dipendenti e utenti mobili per raggiungere applicazioni, dati e servizi ovunque.
- HPE Aruba Networking EdgeConnect SD-WAN consente agli amministratori IT di progettare un edge SD-WAN sicuro ed avanzato che apprende e si adatta costantemente alle mutevoli esigenze aziendali e fornisce funzionalità di sicurezza avanzate con un next-generation firewall integrato.
- HPE Aruba Networking EdgeConnect SD-Branch consente agli amministratori IT di consolidare i componenti di rete delle filiali per la massima integrazione tra WLAN, LAN e SD-WAN con sicurezza e supporto LTE integrati, oltre a una gestione del cloud centralizzata.
- HPE Aruba Networking EdgeConnect Microbranch utilizza un'ampia gamma di punti di accesso remoto (RAP) HPE Aruba Networking al fine di abilitare una connettività WAN sicura per la rete aziendale ed è ideale per i piccoli uffici o il lavoro da casa.
- HPE Juniper Networking Session Smart Router fornisce un approccio incentrato sulla sessione, con prestazioni granulari a livello di sessione. La sua esclusiva architettura senza tunnel fornisce un percorso diretto per le sessioni, il che non solo migliora le prestazioni delle applicazioni e riduce la latenza, ma semplifica anche le operazioni di rete.
HPE Networking SD-WAN offre una soluzione completa per le moderne problematiche di connettività e sicurezza nelle aziende distribuite. Migliora le prestazioni e riduce i costi tramite tecniche di tunnel bonding, Business Intent Overlay, condizionamento del percorso e ottimizzazione WAN. Queste caratteristiche garantiscono prestazioni applicative affidabili e di alta qualità su link WAN ibridi come MPLS, banda larga e 5G.
Per gli ambienti basati su cloud, indirizza in modo intelligente il traffico delle applicazioni direttamente ai cloud provider quali Amazon Web Services, Azure, Oracle Cloud e Google Cloud, migliorando l’efficienza e l’esperienza dell’utente.
La sicurezza è integrata, con funzionalità next-generation firewall, IDS/IPS, protezione DDoS adattiva e segmentazione basata sui ruoli, tutto gestito centralmente. L’integrazione di Secure Web Gateway (SWG) estende la protezione contro le minacce basate sul Web ai dispositivi non gestiti, senza richiedere agenti. La sicurezza IoT è rafforzata anche dall’integrazione di HPE Aruba Networking ClearPass, che consente la dynamic segmentation in base all’identità e al ruolo.
Come base per SASE, si integra strettamente con HPE Aruba Networking SSE, una soluzione SSE cloud-native che supporta ZTNA, SWG, CASB e altre funzionalità di sicurezza, oppure si integra con più SSE di terze parti per operare negli ecosistemi di sicurezza esistenti.
Infine, AIOps ottimizza l’intelligence di rete automatizzando le attività di configurazione e risoluzione dei problemi. AIOps migliora in modo significativo i tempi di risoluzione attraverso le query in linguaggio naturale, sfruttando l'AI generativa e i Large Language Model (LLM), tramite suggerimenti fruibili, per garantire che la rete continui a funzionare al meglio.
Domande frequenti sull’SD-WAN
Tutte le soluzioni SD-WAN sono uguali?
Non tutte le soluzioni SD-WAN sono uguali. Le SD-WAN di base spesso offrono una scarsa integrazione con i servizi SSE, limitando il loro ruolo in un'architettura SASE completa, mentre le SD-WAN avanzate offrono molteplici integrazioni con i fornitori SSE o addirittura supportano un approccio SASE single vendor. Alcune puntano sulle prestazioni con funzionalità di rete e sicurezza avanzate, mentre altre si concentrano sull'integrazione con reti cablate e wireless. Infine, esistono SD-WAN che utilizzano un modello senza tunnel con inoltro intelligente della sessione e SD-WAN che fanno affidamento sui tunnel IPsec, ognuno adatto a diversi casi d'uso.
Cos'è una SD-WAN basata sull'AI?
Una SD-WAN basata sull’AI fornisce informazioni supportate dall’intelligenza artificiale, rilevamento delle anomalie e risoluzione automatica dei problemi. Consente agli amministratori IT di offrire esperienze di rete migliori agli utenti finali con un carico operativo minimo per il personale IT. Mette in correlazione le prestazioni SD-WAN con le prestazioni delle reti wireless e cablate. In questo modo, fornisce informazioni e visibilità complete, dall'edge al cloud.
A cosa dovrei prestare attenzione quando scelgo una soluzione SD-WAN?
Nella scelta di una soluzione SD-WAN, è opportuno dare priorità alle opzioni che supportano l'architettura SASE single vendor o l'integrazione con più fornitori SSE. Cerca funzionalità come tunnel bonding, FEC e ottimizzazione WAN per una delivery delle applicazioni affidabile. Valuta le funzionalità di sicurezza, tra cui next-generation firewall, IDS/IPS, difesa DDoS e microsegmentazione. Garantisci l'integrazione nel cloud con provider come Amazon Web Services, Microsoft Azure o Google Cloud. Infine, verifica la presenza di analisi basate sull'AI e AIOps per la risoluzione automatica dei problemi e l'ottimizzazione.
L’SD-WAN può migliorare le prestazioni della rete?
L’SD-WAN può migliorare significativamente le prestazioni della rete. Le SD-WAN avanzate utilizzano tecniche quali Forward Error Correction (FEC) per recuperare i pacchetti persi, tunnel bonding per combinare più link per una maggiore produttività, la selezione del percorso migliore per indirizzare il traffico lungo il percorso ottimale e l'ottimizzazione WAN con algoritmi di compressione per ridurre il consumo di larghezza di banda. L’SD-WAN monitora costantemente le condizioni della rete e fornisce automaticamente un percorso alternativo in caso di failover, garantendo prestazioni affidabili delle applicazioni e un'esperienza utente omogenea.
SD-WAN e MPLS: qual è la differenza?
Un tempo MPLS era lo standard di riferimento per una connettività affidabile, ma oggi fa fatica a soddisfare le esigenze cloud-first a causa di costi elevati, rigidità, limiti di larghezza di banda e colli di bottiglia di backhaul. L’SD-WAN virtualizza più link (MPLS, banda larga, 5G), aumentando la larghezza di banda e l'affidabilità. A differenza di MPLS, crittografa tutto il traffico con IPsec, supporta il breakout cloud diretto per SaaS e si integra in un'architettura SASE. L’SD-WAN avanzata può sostituire senza problemi MPLS con la banda larga, migliorando al contempo le prestazioni, riducendo i costi e semplificando le operazioni delle filiali tramite un'orchestrazione centralizzata. Tutto questo consente inoltre alle organizzazioni di aprire rapidamente nuove filiali, contenendo al contempo i costi dell'infrastruttura.
Quali sono le caratteristiche di sicurezza dell’SD-WAN?
Alcune SD-WAN sicure avanzate includono funzionalità next-generation firewall integrate, tra cui IDS/IPS, difesa DDoS e microsegmentazione, che non solo migliorano le prestazioni e la protezione della rete, ma semplificano anche le distribuzioni nelle filiali. Una SD-WAN sicura può sostituire i firewall delle filiali oltre ai router, con un consolidamento delle apparecchiature e una riduzione della complessità, garantendo al contempo un'esperienza utente coerente e sicura in tutte le sedi.