Emanuel Monticelli, Manager Presales System Engineers di Extreme Networks Italia, evidenzia gli aspetti importanti da valutare nella scelta di una SD-WAN.
La tecnologia SD-WAN si è sviluppata dal 2000 al 2014, e da allora è diventata una tecnologia complessa e in continua evoluzione. Il processo è stato accelerato dalla migrazione verso il cloud di applicazioni e servizi, e dalla migrazione di collaboratori e lavoratori, anche a causa delle pandemia, verso quella che possiamo definire come “periferia estesa”. Partendo da questi presupposti vediamo ora quelli che sono i 7 termini fondamentali con cui dovete fare i conti quando prenderete in esame la tecnologia SD-WAN.
Multi-Cloud: un ambiente in cui coesistono servizi cloud di più fornitori
Un ambiente multi-cloud è un’infrastruttura di rete che combina più servizi cloud di più fornitori, sia pubblici che privati. Gli ambienti multi-cloud presentano sfide di gestione della WAN in termini di garanzia delle prestazioni e di sicurezza delle applicazioni. Le nuove tecnologie SD-WAN, come il cloud mesh, possono affrontare queste sfide consentendo un accesso sicuro e diretto agli ambienti cloud tramite l’interconnessione basata su software (SDI).
A differenza dei cloud multipli, i multi-cloud sono interconnessi tra loro e alla WAN aziendale. Ogni azienda seleziona fornitori di cloud pubblici e definisce una chiara strategia di utilizzo, crescita e acquisto. Inoltre, le politiche di gestione, manutenzione e sicurezza comprendono tutti i fornitori in modo analogo e il multi-cloud diventa parte integrante dell’ecosistema aziendale.
Cloud Mesh: un modo per fornire connettività mesh nel cloud
Il cloud mesh è un’architettura di rete che sfrutta l’interconnessione basata su software (SDI) per offrire una connettività full-mesh, e quindi consentire a tutti i siti della rete aziendale di connettersi direttamente a tutti gli altri siti della rete. In genere, le architetture full-mesh hanno un impatto negativo sulle prestazioni delle applicazioni, perché il traffico può essere costretto a fare dei “salti” per poter raggiungere siti geograficamente distanti tra loro, e questo può causare latenza e perdita di pacchetti.
Al contrario, il full mesh distribuito nel cloud per le applicazioni sfrutta il Point of Presence (PoP) geograficamente più vicino, garantendo una qualità dell’esperienza (QoE) superiore per i carichi di lavoro SaaS rispetto al full mesh standard. Quindi, il cloud mesh consente alle aziende di sfruttare i vantaggi del SaaS e dello IaaS senza compromettere la sicurezza o le prestazioni.
Orchestrazione e orchestratori: l’intelligenza che si occupano del controllo e della gestione della WAN
L’orchestrazione SD-WAN è un modello di servizio amministrativo centralizzato che fornisce un controllo e una gestione della WAN sicuri e (idealmente) forniti dal cloud. Automatizza le funzioni di amministrazione della rete per snellire e semplificare la gestione delle operazioni di rete distribuite.
L’orchestrazione SD-WAN “as a service” consente ai fornitori di servizi gestiti e alle aziende di accedere a un orchestratore da un portale web protetto, per gestire e monitorare centralmente le implementazioni SD-WAN delle filiali (periferia) in base alle politiche aziendali.
SASE (Secure Access Service Edge), una suite di tecnologie WAN basate sul cloud
Secure Access Service Edge (SASE) è un acronimo coniato da Gartner nel 2019 che e descrive un nuovo paradigma nel networking wide-area. Pronunciato ‘sassy’, SASE combina una suite di tecnologie WAN con funzioni di sicurezza native del cloud come gateway web sicuri, broker di sicurezza per l’accesso al cloud, accesso alla rete zero-trust e firewall-as-a-service, con la capacità di identificare dati sensibili o malware e la capacità di decodificare i contenuti in tempo reale, grazie a un monitoraggio continuo delle sessioni. Poiché SASE, in molti casi, utilizza SD-WAN, è importante chiarire la distinzione tra i due concetti.
L’obiettivo principale della SD-WAN è quella di collegare tra loro uffici, sedi centrali, data center e cloud geograficamente distanti, con strumenti di sicurezza posizionati nei dispositivi on-premise situati negli uffici dei clienti. SASE, invece, si concentra sulla connessione efficiente e sicura degli endpoint, con particolare attenzione per il cloud. Attualmente non esiste uno standard di settore per il SASE.
Extended Edge: adozione di tecnologie e utilizzo di risorse di rete al di fuori dei tradizionali confini fisici del perimetro aziendale
Storicamente, la rete aziendale era un’entità fisica che interconnetteva le diverse strutture – sede centrale, uffici remoti e data center – attraverso la WAN. Tuttavia, con la decentralizzazione delle operazioni e il trasferimento delle applicazioni dal data center al cloud, la periferia della rete si è spostata oltre il perimetro fisico dell’azienda.
E siccome i dipendenti si stanno spostando sempre più spesso verso scenari di “lavoro remoto”, la periferia estesa si riferisce al modo in cui dipendenti e clienti, e altri collaboratori, accedono alle applicazioni da reti remote che sono al di fuori del controllo diretto dei responsabili dell’infrastruttura IT dell’azienda.
FWaaS: Firewall as a Service, un sistema di firewall che si trova nel cloud
Il Firewall as a Service (FWaaS) porta le funzionalità dei firewall nel cloud, lontano dal perimetro della rete tradizionale, e offre alcuni vantaggi importanti: essendo distribuito attraverso il cloud, è sempre l’ultima versione, e non influisce sulle prestazioni della rete come le soluzioni on-premise. Inoltre, offre un miglior controllo dei costi perché anche la sicurezza è un servizio a livello cloud.
ZBF: Zone-Based Firewall, un firewall che opera a un livello granulare
Lo Zone-Based Firewall centralizza e automatizza le funzionalità di sicurezza applicando i criteri a un livello fortemente granulare, gestendo le applicazioni e integrandosi con il gateway dei servizi wireless. Un buon ZBF è in grado di fare tutto questo a livello di sessione, e consente di utilizzare le autorizzazioni in base alla topologia e alle zone definite dalle applicazioni, oltre a offrire la capacità di effettuare il backhaul del traffico attraverso il data center se i responsabili della rete ritengono che il traffico debba essere filtrato dai firewall principali.
Un altro vantaggio dello ZBF è che offre un isolamento topologico basato su policy, senza richiedere la segmentazione della rete in tutti i casi in cui l’azienda ritiene opportuno separare il traffico interno dei diversi settori aziendali per evitare, per esempio, che il traffico del marketing incroci quello della contabilità o delle vendite.
Certo, e la SD-WAN…
Naturalmente non dobbiamo dimenticare la definizione di SD-WAN, la tecnologia che facilita la gestione delle reti e delle funzioni di rete attraverso una funzionalità centralizzata basata su software.
Il termine SD-WAN definisce l’applicazione delle tecnologie di rete basate sul software alle infrastrutture WAN, per offrire l’accesso a servizi cloud, data center privati e applicazioni aziendali basate su SaaS con alte prestazioni e costi ridotti. Le soluzioni SD-WAN sostituiscono i tradizionali router WAN per assicurare una distribuzione del traffico dinamica basata su policy tra più connessioni WAN, e includono sistemi di orchestrazione e gateway per i servizi.
