Teldat Corporate Logo Header
Contactar
SDN / SD-WAN
SD-WAN: ventajas en comparaciĆ³n con VPN

sd-wan-outdates-vpn-security-visibility-scalability

En el Ćŗltimo aƱo, debido a la pandemia mundial provocada por el COVID-19, la mayorĆ­a de las empresas se han visto obligadas a acelerar sus procesos de digitalizaciĆ³n. Los trabajadores han tenido que realizar sus funciones desde localizaciones remotas, principalmente en sus casas, lugares que hasta ahora quedaban fuera del perĆ­metro de las comunicaciones empresariales.

 

Las soluciones VPN tradicionales han quedado por detrĆ”s respecto a las SDWAN, que proporcionan mĆŗltiples ventajas y garantizan la confidencialidad y seguridad de las conexiones

Este hecho ha planteado grandes retos debido a los mĆŗltiples tipos de lĆ­neas y conexiones existentes (xDSL, FTTH, 4Gā€¦), que, ademĆ”s, al ser lĆ­neas de internet, no cumplen con los requisitos empresariales que si tienen las lĆ­neas dedicadas como pueden ser los enlaces MPLS.

Estas garantizan privacidad, seguridad y calidad de servicio, mientras que las lĆ­neas residenciales no pueden garantizar por sĆ­ solas comunicaciones estables para aplicaciones crĆ­ticas. Hasta ahora en estos casos las empresas solĆ­an contar con herramientas como las conexiones VPN para permitir a ciertos perfiles de movilidad como Ventas o Marketing conectarse a recursos corporativos de manera segura gracias al cifrado de las comunicaciones desde el dispositivo del usuario hasta el Datacenter. Pero estas soluciones se mantenĆ­an para unos pocos empleados, y para situaciones concretas y ocasionales, como conexiones desde hoteles, ferias o transportes pĆŗblicos, y hoy en dĆ­a no sĆ³lo se accede a aplicaciones que estĆ©n alojadas en un punto central, el acceso a servicios y aplicaciones SaaS se ha disparado debido a las mĆŗltiples ventajas que ofrece.

Por tanto, la situaciĆ³n previa al COVID-19 ha cambiado radicalmente, y la demanda de este tipo de conexiones se ha multiplicado en el entorno empresarial, y no sĆ³lo para momentos puntuales, se requiere que los trabajadores estĆ©n conectados durante todo su horario laboral y en cualquier escenario.

Por este motivo las soluciones VPN tradicionales han quedado varios pasos por detrĆ”s respecto a nuevas soluciones como SDWAN, que proporcionan mĆŗltiples ventajas para la conexiĆ³n de cualquier tipo de perfil de la empresa, garantizando la confidencialidad y seguridad de las conexiones y la calidad necesaria para cualquier tipo de aplicaciĆ³n, tanto en Datacenter como en la nube. Vamos a realizar una comparaciĆ³n entre ambos tipos de soluciones basĆ”ndonos en 4 bloques diferentes:

Seguridad

  • VPN

      • Las configuraciones han de realizarse manualmente por cada conexiĆ³n remota, lo que puede provocar errores y fallos humanos y generar agujeros de seguridad si no se configura algĆŗn parĆ”metro.
      • No disponen de funcionalidades avanzadas como las de un NGFW, ya que sĆ³lo encriptan trĆ”ficos definidos independientemente del contenido.
      • SĆ³lo se puede aplicar el cifrado a redes, a niveles 3 o 4, no pudiendo elegir entre diferentes aplicaciones.
      • Al conectar redes remotas con redes centrales no hay ningĆŗn tipo de separaciĆ³n entre ellas, lo que puede provocar que un malware o un virus se distribuyan sin control, afectando a mĆŗltiples usuarios que ni siquiera estĆ©n en la red donde se ha originado.

  • SDWAN

      • El portal centralizado genera las configuraciones de manera automĆ”tica, unificando criterios y polĆ­ticas y permitiendo replicar plantillas de manera sencilla, evitando asĆ­ que cada sitio tenga que configurarse cada vez.
      • Se ofrecen funcionalidades de seguridad avanzada como IDS/IPS, Antivirus, AntiMalware, Antibot, control de aplicaciones, filtrado URL, Sandboxingā€¦ y la identificaciĆ³n de los usuarios mediante conexiĆ³n con LDAP para aplicaciĆ³n de polĆ­ticas personalizadas.
      • Las polĆ­ticas de seguridad y enrutamiento pueden basarse en aplicaciones a nivel 7, permitiendo clasificar el trĆ”fico y seleccionar destinos confiables a los que aplicar diferentes polĆ­ticas que al trĆ”fico no confiable.
      • El proceso de dividir la red en subredes lĆ³gicas se llama segmentaciĆ³n y se basa en el aislamiento de diferentes dominios o zonas de red, de modo que el trĆ”fico de un dominio no pueda llegar a destinos ubicados en otros dominios, asegurando la confidencialidad de los datos e impidiendo que un elemento malicioso se propague por diferentes redes.

Visibilidad

  • VPN

        • La visibilidad sĆ³lo estĆ” disponible enlace a enlace, y es necesario acceder a cada uno de ellos de manera individual.
        • No se muestra informaciĆ³n de nivel de aplicaciĆ³n, sĆ³lo de redes e IPs.
        • No estĆ” disponible la informaciĆ³n de SLAs, tan sĆ³lo se puede informar de si el enlace estĆ” caĆ­do o funcionando, pero no de la calidad de este.

        • No es posible visualizar la cantidad de trĆ”fico enviado directamente a aplicaciones SaaS

  • SDWAN

        • Gracias a las herramientas de anĆ”lisis de red es posible visualizar el trĆ”fico detallado de cada enlace y del total del trĆ”fico agregado. Se puede mostrar el trĆ”fico de cada interfaz y detallar si se estĆ” utilizando el overlay o el underlay en cada momento.
        • Mediante las capas de enriquecimiento se puede incluir la informaciĆ³n de nivel 7, para clasificar categorĆ­as y detallar el trĆ”fico hacia aplicaciones SaaS. TambiĆ©n se pueden detectar posibles accesos a sitios clasificados como potencialmente peligrosos y saber si se ha llegado a establecer la conexiĆ³n o los sistemas de seguridad han funcionado y se ha bloqueado.
        • Toda la informaciĆ³n se muestra en paneles personalizados con los parĆ”metros mĆ”s interesantes para cada cliente y escenario, pudiendo generar adicionalmente alertas y eventos que informen al equipo de operaciones.

Escalabilidad

  • VPN

          • Como hemos comentado anteriormente, las configuraciones han de hacerse manualmente y por cada sitio remoto, requiriendo personal especializado y mucho tiempo dedicado, lo que hace lento y complicado desplegar nuevas conexiones.
          • Las polĆ­ticas son estĆ”ticas, sitio por sitio y red por red. Cada nuevo cambio requiere modificar uno por uno todos los lugares donde se aplique, haciendo muy tedioso el proceso de generar nuevas reglas, aƱadir nuevos sitios o dispositivos, o encaminar trĆ”fico a nuevas aplicaciones.
          • La arquitectura es hub&spoke, si se requiere comunicar sitios entre ellos siempre deben utilizar el concentrador como pasarela, pudiendo provocar delays en el trĆ”fico y malas experiencias de usuario con trĆ”ficos como la voz o el vĆ­deo.

  • SDWAN

          • Las configuraciones de los sitios son dinĆ”micas y pueden replicarse de manera sencilla, con asistentes grĆ”ficos, lo cual permite que una cantidad muy baja de personal con nivel de cualificaciĆ³n medio o bajo pueda gestionar la red.
          • Todas las polĆ­ticas se pueden aplicar de manera dinĆ”mica con tan solo pulsar un botĆ³n. Se puede modificar, crear o eliminar cualquier regla de manera rĆ”pida y segura, y aplicarse de manera masiva en cuestiĆ³n de minutos, ahorrando tiempo y unificando la red.
          • Los sitios se despliegan utilizando ZTP, que permite enviar un equipo preconfigurado a cualquier lugar donde sĆ³lo serĆ” necesario conectarlo al enlace de red y a la alimentaciĆ³n, lo cual puede realizar cualquier usuario del sitio remoto o un trabajador en su casa, sin tener conocimientos de redes, simplificando asĆ­ la generaciĆ³n de nuevos sitios.
          • La arquitectura puede ser hub&spoke o generar una red mesh, donde el trĆ”fico de oficinas se tuneliza de manera dinĆ”mica y segura totalmente automatizado, evitando asĆ­ retardos en las comunicaciones. Una vez finalizado el trĆ”fico entre sedes los tĆŗneles se cierran para liberar recursos, permitiendo a los equipos disponer de todo su rendimiento.

Coste

  • VPN

            • Por todas las razones que hemos comentado hasta ahora, los entornos VPN requieren una gran especializaciĆ³n y mucho tiempo de despliegue, consumiendo una gran cantidad de recursos muy costosos.
            • Al enviar el trĆ”fico sĆ³lo por un enlace se pueden producir tiempos de indisponibilidad de este, provocando disminuciĆ³n de ventas en los negocios, o que aplicaciones crĆ­ticas no se cursen generando pĆ©rdidas para la empresa. Esto mismo puede ocurrir debido a que no es posible medir la calidad de servicio, por lo que ciertas aplicaciones pueden sufrir degradaciĆ³n en las comunicaciones.

  • SDWAN

            • De nuevo, como ya hemos indicado en los puntos anteriores, la flexibilidad y sencillez de la generaciĆ³n de configuraciones redunda en menor personal altamente cualificado y en el tiempo dedicado en tareas de mantenimiento, lo cual supone una reducciĆ³n notable en los costes de infraestructura.
            • La posibilidad de utilizar diversos enlaces y monitorizar el estado y calidad de estos permite garantizar la disponibilidad de acceso a cualquier servicio o aplicaciĆ³n crĆ­tica, lo cual permite asegurar que las aplicaciones crĆ­ticas de negocio siempre van a estar operativas, generando ventas.
            • Al poder utilizar diversos enlaces y de diferente tipo y generar el overlay sobre los mismos, se pueden buscar diferentes proveedores para conseguir mejores precios en las comunicaciones.
            • El modelo principal es OPEX, con tarifas mensuales que permiten flexibilidad y pago sĆ³lo por uso.

Como hemos visto, las soluciones SDWAN aportan un sinfĆ­n de ventajas en comparaciĆ³n con las soluciones de VPN tradicionales, permitiendo una mayor flexibilidad, una gestiĆ³n unificada y un ahorro de costes obteniendo mayor calidad en las comunicaciones.

Ignacio Esnoz

Ignacio Esnoz

with a degree in Technical Telecomunications Engineering (specialized in Telematics). SD-WAN product specialist at Teldat. Ā 

Tags: aplicaciones en la nube SD-WAN technology soluciones SD-WAN

Related PostsĀ