Descrizione di SD-WAN

La SD-WAN è una rete a estensione geografica con le sue funzioni fondamentali astratte. È controllata a livello centrale da una piattaforma software intelligente anziché essere interamente distribuita, decentralizzata e dipendente da sistemi operativi di rete discreti. Questo concetto offre un piano di controllo più programmabile con maggiore osservabilità, reattività e controllabilità.

La SD-WAN risolve molte delle sfide delle WAN tradizionali, tra cui complessità operativa, controllabilità limitata, metriche non precise, instabilità del servizio e gestione della capacità non ottimale. Inoltre, è possibile integrare una maggiore sicurezza e un controllo granulare delle policy aziendali, riducendo al contempo i costi operativi. 

Come livello di astrazione, la SD-WAN fornisce un'orchestrazione più semplice e operazioni ottimizzate. Come livello di architettura, sebbene esistano vari approcci la SD-WAN diventa solitamente un overlay su una rete fisica. Il piano di controllo è centralizzato mentre le caratteristiche e le funzionalità aggiuntive possono essere rapidamente stratificate. La SD-WAN consente quindi una logica unificata con API e flussi di lavoro centralizzati.

La SD-WAN non è un router singolo ma può includere ed eseguire il ruolo di molti router. I diversi approcci comportano l'aumento dei router fisici o logici, mentre altre soluzioni sostituiscono completamente i nodi esistenti. 

Dipende dalla soluzione. Alcune offerte di SD-WAN sostituiscono completamente i router e gli altri nodi. Gli approcci a basso attrito aumentano i nodi esistenti o forniscono nuovi gateway logici.

La SD-WAN rappresenta un livello di concezione e astrazione che, una volta istanziato, può incorporare nuovi protocolli di routing ma che spesso si avvale di quelli già esistenti. Normalmente la SD-WAN fornisce un overlay su una rete underlay esistente e quindi offre un valore aggiunto attraverso tutti i servizi e le operazioni.

Una SD-WAN è una WAN avanzata che offre funzionalità aggiuntive oltre a raggiungibilità e ingegneria del traffico di base. Una WAN tradizionale è composta da router, ognuno dei quali esegue un sistema operativo di rete con il proprio piano di controllo in base alla configurazione e alle informazioni di stato locali. In genere, una SD-WAN centralizza il piano di controllo e condivide lo stato in tutti i nodi.

Le offerte SD-WAN possono migliorare l'approccio alla sicurezza, ridurre i costi operativi e consentire un processo decisionale più granulare e intelligente, soprattutto in materia di prestazioni e capacità. L'esperienza utente e l'esperienza operatore possono essere notevolmente migliorate, mentre è possibile raggiungere scalabilità ed elasticità superiori utilizzando visualizzazioni globali e locali delle condizioni WAN.

Le SD-WAN utilizzano telemetria aggiuntiva per aumentare l'osservabilità complessiva di una WAN. Questo può includere singole metriche di sessione e di flusso che influenzano l'esperienza utente. L'ingegneria del traffico più olistica e granulare comporta la capacità di influenzare e controllare rapidamente le prestazioni utilizzando logica e policy più intelligenti. Inoltre, la gestione dell'orchestrazione e del ciclo di vita risulta semplificata grazie alla logica della piattaforma centralizzata, che incorpora sempre più l'intelligenza artificiale (IA).

Anche se la maggior parte delle WAN si affidano al routing dinamico, le metriche utilizzate possono essere considerate imprecise e interessate solo alla raggiungibilità. Le SD-WAN possono interagire con il routing dell'underlay (se del caso) ma costruiscono gli overlay utilizzando routing dinamico avanzato che sfrutta le informazioni intelligenti sui servizi over-the-top (OTT) forniti agli utenti finali.

La SD-WAN non è un protocollo specifico o un'architettura standardizzata, ma può utilizzare e migliorare i servizi esistenti offerti dalla presenza della MPLS. La SD-WAN consente anche una selezione più ampia di tecnologie e media di trasporto a basso costo (non solo correlati all'MPLS) in base ai requisiti aziendali e tecnici dell'organizzazione.

Le diverse offerte SD-WAN formano il loro tipo di rete privata virtuale (VPN) site-to-site e possono integrarsi con o stare dietro le VPN ad accesso remoto. Alcune offerte SD-WAN risolvono le sfide della sicurezza in modi diversi, migliorando al contempo l'integrità, la disponibilità e le prestazioni della WAN.  

In base ai requisiti, la SD-WAN può sostituire alcune installazioni VPN multi punto dinamiche (DMVPN) fornendo un trasporto sicuro e scalabile che richiede un'orchestrazione minima o nulla (come quelli che utilizzano zero-touch provisioning). Nonostante l'utilizzo dipenda fortemente dall'offerta SD-WAN e dal caso d'uso, uno degli obiettivi della SD-WAN è fornire funzionalità simili alle DMVPN. 

La maggior parte delle soluzioni SD-WAN e dei fornitori utilizzano protocolli basati su standard, mentre alcuni hanno creato i loro protocolli proprietari. La SD-WAN può migliorare o sostituire una WAN e una VPN esistenti, il che stabilirà se l'offerta SD-WAN deve integrarsi con o utilizzare un IPsec.

Alcuni possono considerare la transizione da un piano di controllo distribuito a uno centralizzato come una debolezza, anche se spesso nella gestione della WAN esistono già alcune forme di operazioni, orchestrazione e governance centralizzate. Le SD-WAN cercano di ridurre gli errori operativi e i guasti di modo comune, fornendo al contempo un overlay più solido anche quando underlay e routing tradizionali sono ancora in funzione. 

La SD-WAN può essere una rete completamente privata o multitenant, in base allo specifico caso d'uso, all'offerta di servizi e all'intento della rete. La SD-WAN può offrire diversi livelli di privacy e può essere dedicata a un'unica azienda; può anche essere parte di un'offerta di servizi gestiti o essere amministrata dal cliente nell'ambito di un'offerta cloud. 

La SD-WAN potrebbe essere considerata come un tipo di VPN, anche se il concetto SD-WAN è più incentrato su astrazione, programmabilità e flessibilità rispetto alla WAN che si basa invece sulla sicurezza. Una SD-WAN può condividere obiettivi simili e fornire servizi simili a una VPN, ma non tutte le SD-WAN sono VPN.

Le SD-WAN aderiscono a principi fondamentali di sicurezza come riservatezza, integrità e disponibilità. In genere sono costruite per essere sicure di default e offrire protezione dai danni intenzionali evitando al contempo i guasti involontari. Come sempre, e indipendentemente dalla tecnologia, dal protocollo o dalla configurazione, la sicurezza operativa è un processo continuo che richiede gestione, sorveglianza e manutenzione.

La SD-WAN può implementare e applicare più prontamente strategie come difesa in profondità e controllo degli accessi zero trust, in parte per via della sua struttura centralizzata di comando e controllo. L'applicazione di una policy granulare e l'orchestrazione facilitano controlli coerenti "least privilege" e assicurano che la deny-by-default sia obbligatoria ovunque al posto del più permissivo approccio permit-by-default delle WAN tradizionali. Utilizzando protocolli sicuri e una telemetria aumentata per una migliore visibilità nella rete, la SD-WAN può osservare, identificare, controllare e mitigare le minacce in modo più rapido rispetto alle soluzioni a punto singolo posizionate ai punti di delimitazione. È possibile integrare la sicurezza in tutta la WAN.  

In base all'approccio alla sicurezza e ai punti di applicazione della policy esistente, potrebbero non essere necessari livelli di sicurezza aggiuntivi durante l'implementazione di una SD-WAN. Le moderne offerte SD-WAN includono una gamma di funzionalità di sicurezza a livello di rete e di applicazione. Molte di queste funzionalità eliminano la necessità di certe funzioni dei firewall. Il miglioramento dell'approccio alla sicurezza sulla WAN sui livelli sia della rete che dell'applicazione può comportare benefici molto significativi per la sicurezza dell'azienda, in particolare quando si adottano strategie zero trust.

La SD-WAN è un concetto e un'astrazione che le aziende possono scegliere di costruire da zero, acquistare da un fornitore di fiducia o consumare come servizio offerto da un provider di servizi o cloud. Gli operatori che non dispongono di competenze di sviluppo, budget, tempo e risorse indispensabili per costruire la propria SD-WAN, acquisteranno e implementeranno un'offerta SD-WAN di un fornitore o useranno un servizio gestito. Questa opzione consente a piccole e medie imprese di concentrarsi sulle proprie competenze fondamentali, beneficiando al contempo di sviluppo del prodotto, assistenza e manutenzione offerti dai fornitori, e dai provider di servizi e cloud.

Esistono molti approcci per sviluppare e migliorare le soluzioni SD-WAN. Se non si utilizza una SD-WAN basata su AI, le attività operative tradizionali rimangono di solito impegnative. Queste includono monitoraggio costante, gestione delle prestazioni, miglioramento del traffico e delle policy di sicurezza oltre alla gestione continua del ciclo di vita. Esistono molte aree in cui i miglioramenti possono essere garantiti, ma la riduzione delle inefficienze operative generali attraverso l'AI è essenziale per liberare quel tempo che gli operatori umani potranno concentrare sulle iniziative ad alto impatto. 

Non esiste un prezzo specifico per una SD-WAN poiché ci sono molteplici approcci e offerte dei fornitori. La SD-WAN dovrebbe comunque ridurre o costi del circuito e i costi fissi operativi. Dovrebbe ridurre drasticamente il tempo per implementare nuovi siti e topologie migliorando al contempo le esperienze degli utenti e degli operatori. 

ZTP o zero-touch provisioning significa che non è necessario effettuare il bootstrap e configurare localmente i nodi SD-WAN. Queste attività vengono eseguite a livello centrale e sono automatizzate. In genere, solo i modelli o i profili non predefiniti devono essere selezionati in una posizione centrale, mentre tutti gli altri dispositivi sono automatizzati. 

Una WAN ibrida utilizza molteplici tipi di trasporto e connessione. La WAN ibrida si avvale di diversi livelli e tecnologie come MPLS, linee affittate, VPLS Ethernet e accesso diretto a Internet (DIA) a banda larga. La SD-WAN è una tecnologia overlay che in genere funziona su queste reti fisiche. La SD-WAN si focalizza maggiormente su raggiungibilità dell'overlay, ingegneria del traffico e servizi a valore aggiunto sfruttando la WAN fisica.

La SD-WAN comprende normalmente un controller centrale ad alta disponibilità e una funzione di orchestrazione che programma e gestisce i nodi edge. Questi nodi edge possono anche fornire una gamma di servizi alla SD-WAN come indicato dall'offerta SD-WAN. Normalmente il controller fornisce tutte le funzioni di orchestrazione, gestione e reportistica utilizzando il contesto acquisito dai nodi edge per adottare decisioni globali più efficaci sul miglioramento di routing, policy, sicurezza e servizio. 

Secure Access Service Edge (SASE) è l'evoluzione e il completamento della SD-WAN che offre funzioni di sicurezza complete, compresi i servizi relativi all'identità, in tutta la WAN. Il SASE si affida a un insieme di funzioni di sicurezza basate su cloud, definite come edge di servizio sicuro (SSE). Il SASE, inoltre, può essere considerato come somma di SD-WAN e SSE. L'SSE è normalmente basato su cloud e può essere offerto da un fornitore specifico, mentre la SD-WAN può essere fisica, logica e/o basata su cloud, integrandosi lateralmente con altri fornitori.

La risposta dipende da molteplici criteri. Questi includono il livello di complessità della WAN, le risorse e le competenze del team e il budget. 

I servizi SD-WAN possono essere offerti dal fornitore che vende la soluzione, da società di servizi cloud o da fornitori di servizi gestiti specializzati in SD-WAN. Anche i servizi professionali come progettazione, deployment e funzionamento sono messi a disposizione dalla maggior parte dei fornitori per coprire le esigenze del giorno 0, del giorno-1 e continue. 

SD-WAN fai da te (DIY) significa costruire da sé tutti gli aspetti di una soluzione SD-WAN. Il progetto implica la scrittura di tutto il software per i nodi edge del controller e della SD-WAN oltre all'assunzione della responsabilità per tutti gli aspetti della gestione del software e del ciclo di vita del sistema. Costruire una SD-WAN DIY è un'impresa complessa di cui si fanno carico principalmente i fornitori di cloud hyperscale con ampie risorse IT e un budget significativo a disposizione.

SD-WAN avvantaggia gli operatori di rete su larga scala, gli attori più piccoli e chiunque tra questi due poli. Non consiste solo nel rafforzamento dell'orchestrazione, delle operazioni e della sicurezza, ma anche nel potenziamento della fornitura di servizi e nel miglioramento della qualità dell'esperienza utente.