O mercado de serviços de rede gerenciada é tradicionalmente dominado por empresas de telecomunicações. Afinal, estas fornecem uma rede MPLS comum. Contudo, ela está mudando lentamente à medida que novas abordagens são desenvolvidas. É o caso da SD-WAN
MPLSO Multiprotocol Label Switching consiste em um mecanismo de redes de telecomunicações. Ele tem alto desempenho e direciona dados de um nó da rede para o seguinte. A transferência se dá com base em rótulos de menor caminho ao invés de endereços de rede longos. Portanto, evita consultas complexas em uma tabela de roteamento. |
SD-WAN: O que é e por que é importante?
SD-WAN consiste em uma rede definida por software em uma rede de longa distância (WAN). Ou seja, a SD-WAN simplifica o gerenciamento e a operação de uma WAN. Isso acontece ao separar-se o hardware de rede do seu mecanismo de controle. Esse conceito é semelhante ao modo como a rede definida por software implementa a tecnologia de virtualização para melhorar o gerenciamento e a operação do data center.
Uma aplicação importante da SD-WAN é viabilizar que empresas construam WANs de alto desempenho. Tudo isso utilizando o acesso à internet de menor custo e disponível comercialmente. Afinal, dessa forma, as empresas poderão substituir parcial ou totalmente as tecnologias de conexão WAN privadas mais caras, como MPLS.
O Gartner Institute previu em 2018 que, até 2023, mais de 90% das iniciativas de atualização de infraestrutura de borda da WAN serão baseadas em plataformas de equipamentos de instalações do cliente virtualizadas (vCPE) ou software / dispositivos SD-WAN.
Contudo, grande parte da tecnologia que compõe a SD-WAN não é nova. O que é novo é seu empacotamento. O gerenciamento central de uma WAN também não é novo. Mas a combinação desses somada à capacidade da SD-WAN de compartilhar dinamicamente a largura de banda da rede entre os pontos de conexão.
Como era a WAN?
Muitas empresas possuem uma infraestrutura complexa em suas filiais. Estas consistem em roteadores, controladores de caminho e otimizadores de WAN, firewalls e outros componentes. Entretanto, essa infraestrutura é cara e complexa de se gerenciar.
O SD-WAN basicamente rotula os roteadores de ramificação tradicionais. A maioria das empresas precisa apenas de um pequeno subconjunto de funcionalidades. Portanto, os fornecedores de SD-WAN agrupam os quatro ou cinco recursos mais importantes – seleção de caminho, baixo custo – e os agrupam.
Por que a SD-WAN não é tão difundida?
Muitas organizações criaram ASICs personalizados, controlando suas WANs e LANs, que possuem longos ciclos de atualização. Além disso, os engenheiros de rede também são tradicionalmente avessos a mudanças drásticas.
Dessa forma, uma vez que os hardwares se encontrem prontos para uma atualização, espera-se que as organizações considerem SD-WANs. Contudo, isso pode ser um processo de vários anos.
Simplificando a WAN global
Fundamentalmente, a maneira como as empresas de telecomunicações fornecem serviços de rede gerenciados não mudou em décadas. A arquitetura principal dessa rede, conhecida como hub and spoke, consiste em filiais conversando com o data center em uma rede gerenciada com um firewall separado no meio. No entanto, esse tipo de WAN herdada não suporta as necessidades de negócios atuais. Afinal, estas incluem uma mudança para a nuvem, além de usuários móveis que precisam de acesso à rede de qualquer lugar, não apenas da filial.
Yishay Yovel, vice-presidente de estratégia de mercado da Cato Networks, acompanha o dilema das operadoras há anos. Segundo Yovel, existem inúmeros catalisadores para essa mudança evolutiva no mercado de serviços de rede gerenciada.
“O fluxo de tráfego na rede mudou significativamente nos últimos anos. Portanto, enviar todo o tráfego da rede para o data center antes que ele possa ir para a nuvem é realmente um obstáculo ao desempenho. Entretanto, quando a segurança é centralizada, o tráfego de retorno é necessário para impor parâmetros de segurança. Mas agora as empresas estão mudando seus padrões de tráfego para ir diretamente para a nuvem ou a internet. Isso quebra o antigo modelo de segurança. Ou seja, a segurança precisa ser ampliada, porque o tráfego não vai mais estritamente para o centro.”
Mobilidade
Outro catalisador para a mudança é a mobilidade dos trabalhadores. Yovel diz que a rede gerenciada é apenas para filiais e locais físicos.Ou seja, os trabalhadores móveis ficam de fora da rede. Portanto, as empresas são forçadas a encontrar um método de conectividade alternativo para eles, como a VPN. Porém, isso apenas aumenta a complexidade geral.
Globalização
“As empresas multinacionais normalmente precisam reunir vários fornecedores de MPLS para criar uma rede global”, diz Yovel.
“É um verdadeiro desafio encontrar redes consistentes e acessíveis em todos os lugares em que as empresas operam atualmente. Além disso, existe essa pressão para gerenciar tudo com uma equipe muito pequena”.
Isso acontece porque, em resumo, as WANs herdadas não foram criadas para esse profundo nível de mudança.
“O primeiro desafio para o mercado de serviços de rede gerenciada é que o que costumava ser uma rede gerenciada muito bem definida e bem compreendida, com objetivos específicos, projetos específicos, práticas recomendadas específicas – está basicamente desmoronando. Ele precisa atender a tantos objetivos e tantas necessidades que a rede típica baseada em MPLS de hub e spoke com segurança centralizada simplesmente não funciona mais “.
O primeiro passo evolutivo: NFV
O primeiro passo para a evolução do mercado de serviços de rede gerenciada foi a virtualização de funções de rede (NFV).
“Quando os provedores de serviços estavam enfrentando a necessidade de otimizar suas operações, mover-se mais rapidamente, responder mais rapidamente, adotaram uma abordagem de dispositivos de virtualização”, diz Yovel. “Pense em todas as funções de rede diferentes que costumavam estar na rede antiga – firewalls de última geração, várias soluções de orquestração, soluções de VPN e assim por diante. Eles virtualizaram todas essas caixas. Contudo, isso não mudou a dinâmica do núcleo da própria rede. Afinal, cada função proveniente de diferentes fornecedores ainda tinha sua própria interface de gerenciamento. Isso, além de seu próprio ambiente de dimensionamento. O fato de o dispositivo ter sido virtualizado não mudou isso. Portanto, eles ainda tinham o mesmo problema com a arquitetura centralizada”, conclui.
Considere o exemplo de virtualização de um firewall. Os usuários móveis ainda precisam se conectar pela internet, a longas distâncias, a algum firewall em algum local para obter a segurança de que precisam. Ou seja, o fato de o firewall estar virtualizado não altera essa dinâmica.
“Ainda tenho um firewall em um local específico que agora é virtual ao qual preciso me conectar com todos os desafios que tive antes para meus usuários. Ou seja, eles não se beneficiaram da virtualização ”, diz Yovel.
O ponto principal é que o NFV não vai longe o suficiente para transformar a rede da operadora e obter agilidade e flexibilidade reais. Isso, além de ter uma adequação às necessidades de negócios atuais.
Modelo de serviços gerenciados da AWS
“Os clientes desejam serviços de rede gerenciados e um manuseio de rede semelhante à AWS [Amazon Web Services]”, diz Yovel. “Eles querem uma rede gerenciada da mesma forma que agora têm servidores gerenciados, armazenamento gerenciado e todas essas outras grandes coisas que mudam para a AWS. Entretanto, infelizmente, as empresas de telecomunicações não dispõem desse modelo de negócios hoje. Afinal, eles ainda são muito caros e muito complexos”.
Portanto, é necessária uma nova abordagem para os serviços de rede gerenciados e vários fornecedores importantes estão enfrentando esse desafio. A empresa de Yovel, Cato Networks, é um desses fornecedores, assim como algumas outras empresas, como Microsoft, Aryaka, Meta Networks e Mode.
Como funciona
Em geral, o novo tipo de provedor de serviços de rede gerenciada é nativo da nuvem. Ou seja, tudo reside na nuvem e os clientes simplesmente assinam um serviço, como fazem hoje com a AWS. O provedor estabelece uma rede global privada composta de vários pontos de presença em um backbone de camada 1 de várias operadoras. O provedor de serviços gerenciados controla o roteamento e a latência de pacotes em escala global sobre esse backbone previsível e suportado por SLA. Usando vários links e balanceamento de carga entre eles, o provedor de serviços pode oferecer confiabilidade, alta disponibilidade, desempenho garantido e consistência em todo o mundo. Além disso, todo o tráfego no backbone é criptografado para transporte seguro.
Os clientes podem conectar seus data centers, filiais e usuários móveis a essa rede global no PoP mais próximo. A rede também interage com nuvens públicas e aplicativos SaaS, oferecendo aos clientes acesso direto e seguro a eles. Segurança, como firewalls, antivírus e anti-malware e IDS / IPS, geralmente são integrados diretamente à rede e estão prontamente disponíveis em qualquer lugar, inclusive para trabalhadores móveis.
Mudança
Essa nova arquitetura resolve os problemas que a arquitetura WAN herdada não consegue. Afinal, o transporte de rede é consistente em todo o mundo. Portanto, os clientes podem obter acesso direto à nuvem e à internet sem voltar o tráfego ou sacrificar a segurança. Os trabalhadores móveis também podem obter acesso sem a necessidade de uma VPN. E como a rede é oferecida como um serviço, não há espera para a instalação de equipamentos ou circuitos nas instalações do cliente para fornecer serviços para um novo local.
Propriedade total da plataforma
A abordagem da Cato Networks, por exemplo, é possuir toda a plataforma, com exceção dos circuitos de transporte subjacentes. Portanto, a Cato reescreveu o antigo pacote de soluções pontuais do modelo legado de telecomunicações e o transformou em uma plataforma nativa da nuvem.
O pacote de telecomunicações geralmente inclui MPLS, SD-WAN, firewall de última geração, otimização de WAN, gerenciamento de políticas, integração de nuvem, VPN móvel e perímetro definido por software. Todos provenientes de vários fornecedores terceiros. Contudo, o modelo da Cato permite que eles controlem a pilha. Ou seja, eles escreveram e têm controle total de sua própria rede convergente e pilha de software segura ao invés de usar elementos de terceiros e integrá-los.
Segundo Yovel, isso oferece várias vantagens:
- A Cato não depende de terceiros para lançar novos recursos, corrigir um bug ou fazer aprimoramentos com base nas solicitações dos clientes;
- Os custos podem cair porque não há necessidade de pagar royalties por software de terceiros;
- Há apenas um conjunto de códigos para toda a plataforma, portanto, é mais simples de gerenciar.
Yovel diz que tudo isso resulta em menos complexidade e maior velocidade. “Podemos implantar novos recursos e atender rapidamente às solicitações de serviço. Afinal, tudo está sob nosso controle. Portanto, não precisamos envolver outras empresas para fazer as coisas”, diz ele.
Integrar somente o melhor
Outras empresas estão entrando no novo espaço de serviços de rede gerenciada. A Microsoft tem uma oferta chamada Azure WAN. Ela oferece conectividade simples, unificada e global usando uma rede Microsoft subjacente. A WAN do Azure inclui conectividade automatizada de filial em larga escala, gerenciamento unificado de rede e política e segurança e roteamento otimizados. Embora muitos dos elementos de rede sejam desenvolvidos pela Microsoft, a empresa usa componentes de parceiros de tecnologia. É o caso da Citrix, Riverbed, Palo Alto e Check Point Software para completar a pilha.
A Aryaka é uma empresa bastante madura, com uma oferta global de WAN corporativa. No entanto, ela prefere fazer parceria com as melhores empresas de tecnologia ao invés de rolar sua própria pilha. Entre os parceiros estão a Symantec, Palo Alto, Zscaler, Radware, 8×8 e todas as principais plataformas de nuvem pública.
A Meta Networks oferece uma solução de rede como serviço que leva a segurança um passo adiante. Ela conta com um perímetro definido por software (SDP) para todos os usuários que se conectam à rede. O SDP complementa a pilha de segurança aberta incorporada na rede.
Outro provedor com seu próprio backbone é o Mode. Trata-se de uma startup, portanto, a oferta ainda não está completa. Contudo, eles oferecem conectividade global gerenciada como uma alternativa às empresas de telecomunicações tradicionais.
A recém-chegada Teridion aproveita a nuvem pública para fornecer seu serviço WAN. Afinal, ela prefere se concentrar no aspecto de várias nuvens de seu serviço de rede, que se relaciona estreitamente com aplicativos SaaS e cargas de trabalho na nuvem, para que eles tenham desempenho e sites no backbone da WAN.
Provavelmente haverá outras empresas entrando nesse mercado no futuro, pois essa é a direção evolutiva da operadora de rede.
Como a SD-WAN pode melhorar sua estratégia de segurança
A SD-WAN apresenta novas opções de segurança, não disponíveis anteriormente com tecnologias de rede herdadas. Isso facilita o gerenciamento e a segurança do tráfego de rede.
Violações de dados e ameaças à segurança são uma das principais preocupações entre os líderes de TI. Contudo, está mais difícil do que nunca contratar profissionais de segurança qualificados. Isso faz com que as organizações procurem maneiras de melhorar sua estratégia de segurança. Uma boa opção para isso é implementar uma WAN definida por software (SD-WAN).
Hamza Seqqat, diretor de arquitetura de soluções da Apcela,explica como a SD-WAN afeta a estratégia de segurança. Segundo ele, existem quatro áreas em que a SD-WAN oferece novos benefícios de segurança.
Eliminar preocupações de VPN
Uma das primeiras áreas em que a SD-WAN afeta a segurança é quando uma empresa usa a internet como método de transporte.
“Antes da SD-WAN aparecer e as empresas estarem usando a internet como backup ou mesmo como principal método de transporte, elas construíram uma VPN ou uma DMVPN para garantir o transporte seguro de seu tráfego. Contudo, isso apresenta alguns problemas. O primeiro é a proliferação de VPNs que precisam ser gerenciadas. A empresa deve ter firewalls instalados em seu data center, juntamente com um dispositivo VPN ou firewall instalado em locais remotos para poder fazer essas VPNs. Afinal, todo site depende do esforço de estar na rede. ”
O failover é um problema com essa abordagem de VPN. Afinal, as empresas não podem realizar failover sem interrupções de um tipo de transporte baseado em fibra sem precisar pressionar algumas teclas no meio. Portanto, fica difícil e caro fazer failover contínuo. Entretanto, a implantação da SD-WAN elimina essas preocupações com a VPN.
“Agora você não precisa ter firewalls para VPNs. Você não precisa se preocupar em criar suas próprias VPNs ou criptografar seu tráfego. Todo produto SD-WAN vem com um controlador que cuida das coisas sem problemas. Isso significa que existe esse mecanismo inteligente definido por software que cria todos esses túneis IPsec entre todos os locais assim que você conecta o dispositivo. Na verdade, você não precisa construir uma VPN. Afinal, o controlador faz isso automaticamente para você. Então, você precisa fornecer um endereço IP ao dispositivo ou ativar o DHCP e deixá-lo escolher um endereço IP no servidor DHCP.”
Ele acrescentou que o controlador SD-WAN cria uma malha completa para que possa conversar com todos os sites sem precisar voltar ao data center. Somente esse recurso pode reduzir significativamente a pegada de segurança de uma empresa. Afinal, o tráfego site a site se torna seguro, fácil e contínuo.
Reduza o tráfego passando pela segurança
Um segundo benefício significativo da SD-WAN que afeta a estratégia de segurança é que ela reduz a quantidade de tráfego que precisa passar por parâmetros de segurança. Isso, porque todo o tráfego site a site é criptografado. Dessa forma, a segurança se torna um pouco mais fácil de gerenciar.
“Muitas empresas, quando fazem VPNs para tráfego site a site, precisam passar por firewalls ou algum tipo de mecanismo de criptografia, o que aumenta sua segurança. Contudo, também aumenta a complexidade e o custo da segurança. Já a SD-WAN muda a maneira como o tráfego é roteado.”
Sem a SD-WAN, geralmente você teria que executar todo o tráfego através de um firewall, e o firewall dividiria o tráfego entre o que vai para o data center e o que vai para a internet, segundo Seggat. “Quando você usa SD-WAN, não precisa fazer isso. Você pode separar o tráfego na SD-WAN com um túnel dividido para pegar metade do tráfego e empurrá-lo pelo firewall para acessar a internet. Enquanto isso, a outra metade vai direto para o site sem precisar passar por um parâmetro de segurança. Agora você tem um firewall para lidar com 500 megas e isso faz uma enorme diferença. Afinal, a maioria dos produtos de segurança se baseia na taxa de transferência e na utilização. Portanto, isso pode trazer alguns benefícios de custo e facilitar o gerenciamento também”.
Segurança inerente à SD-WAN
Uma terceira área em que a SD-WAN altera a estratégia de segurança é o fato de que certos recursos de segurança podem ser implementados diretamente através da plataforma SD-WAN. Isso reduz custos e complexidade na plataforma de segurança real.
“Isso depende de quais aspectos da segurança você está falando”, disse Seqqat. “Por exemplo, a segurança está incluída no produto Silverpeak SD-WAN, então os dispositivos Silverpeak realmente fazem a maior parte da segurança para você. Você não precisa implantar outro firewall em cima disso. Com a SD-WAN da Versa, você pode virtualizar o firewall, para que não seja necessário implantar firewalls físicos”.
Para sites que simplesmente precisam de segurança muito básica, a SD-WAN possui alguns recursos de segurança inerentes. Ou seja, que podem permitir e negar determinados sites e limitar o tráfego que é direcionado a determinados sites.
“Quando você olha para a maioria dos produtos SD-WAN, geralmente pode se aproximar de um ou de outro com base em seus requisitos de segurança. A implantação do SD-WAN por si só pode realmente eliminar a necessidade de segurança em vários locais ou estender a segurança que você está usando.”
Simplifique o uso de plataformas de segurança
Em seu ponto final, Seqqat disse que os provedores de SD-WAN estão fazendo muito progresso em parcerias com provedores de segurança em nuvem e provedores de serviços em nuvem. Afinal, ao tornar o tráfego criptografado e seguro via SD-WAN, as plataformas de segurança precisarão lidar apenas com o tráfego público da internet.
“Os provedores de SD-WAN estão realmente trabalhando na parceria e certificação de diferentes produtos de segurança”, disse ele. “Considere o Zscaler como um exemplo. Alguns produtos SD-WAN direcionam automaticamente todo o seu tráfego através do Zscalar. Este, executa um parâmetro de segurança baseado em nuvem antes de ser lançado na internet ou em provedores de serviços em nuvem”.
Seqqat disse que a parte mais importante está no fato de o Zscalar estar distribuído em 35 ou 40 data centers. Todos dentro dos parâmetros de segurança.
“Tomar essa decisão de roteamento sobre o data center em que seu tráfego passa antes de sair para a internet é extremamente importante para o desempenho. Se sua instância do Office 365 estiver hospedada em Seattle e seus usuários na Europa tentarem alcançá-lo, qual data center Zscalar o tráfego passará antes de passar pela instância de Seattle do O365 faz toda a diferença em relação à latência estar em viagem de ida e volta”.
Portanto, a SD-WAN fornece uma automação e otimização de como o tráfego passa pelos data centers Zscalar com base em métricas de desempenho. A SD-WAN também pode extrair latência, jitter, perda de pacotes, etc. Portanto, existe alguma inteligência que acontece quando uma decisão de roteamento está sendo tomada sobre onde o tráfego do usuário irá para a limpeza ou recursos de segurança antes que ocorra. Ou seja, para o provedor de nuvem ou para a Internet. “Esse é um recurso imenso que entra em jogo sempre que você implanta SD-WAN”, conclui.