https://www.teldat.com/wp-content/uploads/2024/01/ignacio-esnoz-profile-96x96.png

TELDAT Blog

Communicate with us

SD-WAN: ventajas en comparación con VPN

Nov 2, 2021

sd-wan-outdates-vpn-security-visibility-scalability

En el último año, debido a la pandemia mundial provocada por el COVID-19, la mayoría de las empresas se han visto obligadas a acelerar sus procesos de digitalización. Los trabajadores han tenido que realizar sus funciones desde localizaciones remotas, principalmente en sus casas, lugares que hasta ahora quedaban fuera del perímetro de las comunicaciones empresariales.

 

Las soluciones VPN tradicionales han quedado por detrás respecto a las SDWAN, que proporcionan múltiples ventajas y garantizan la confidencialidad y seguridad de las conexiones

Este hecho ha planteado grandes retos debido a los múltiples tipos de líneas y conexiones existentes (xDSL, FTTH, 4G…), que, además, al ser líneas de internet, no cumplen con los requisitos empresariales que si tienen las líneas dedicadas como pueden ser los enlaces MPLS.

Estas garantizan privacidad, seguridad y calidad de servicio, mientras que las líneas residenciales no pueden garantizar por sí solas comunicaciones estables para aplicaciones críticas. Hasta ahora en estos casos las empresas solían contar con herramientas como las conexiones VPN para permitir a ciertos perfiles de movilidad como Ventas o Marketing conectarse a recursos corporativos de manera segura gracias al cifrado de las comunicaciones desde el dispositivo del usuario hasta el Datacenter. Pero estas soluciones se mantenían para unos pocos empleados, y para situaciones concretas y ocasionales, como conexiones desde hoteles, ferias o transportes públicos, y hoy en día no sólo se accede a aplicaciones que estén alojadas en un punto central, el acceso a servicios y aplicaciones SaaS se ha disparado debido a las múltiples ventajas que ofrece.

Por tanto, la situación previa al COVID-19 ha cambiado radicalmente, y la demanda de este tipo de conexiones se ha multiplicado en el entorno empresarial, y no sólo para momentos puntuales, se requiere que los trabajadores estén conectados durante todo su horario laboral y en cualquier escenario.

Por este motivo las soluciones VPN tradicionales han quedado varios pasos por detrás respecto a nuevas soluciones como SDWAN, que proporcionan múltiples ventajas para la conexión de cualquier tipo de perfil de la empresa, garantizando la confidencialidad y seguridad de las conexiones y la calidad necesaria para cualquier tipo de aplicación, tanto en Datacenter como en la nube. Vamos a realizar una comparación entre ambos tipos de soluciones basándonos en 4 bloques diferentes:

Seguridad

  • VPN

      • Las configuraciones han de realizarse manualmente por cada conexión remota, lo que puede provocar errores y fallos humanos y generar agujeros de seguridad si no se configura algún parámetro.
      • No disponen de funcionalidades avanzadas como las de un NGFW, ya que sólo encriptan tráficos definidos independientemente del contenido.
      • Sólo se puede aplicar el cifrado a redes, a niveles 3 o 4, no pudiendo elegir entre diferentes aplicaciones.
      • Al conectar redes remotas con redes centrales no hay ningún tipo de separación entre ellas, lo que puede provocar que un malware o un virus se distribuyan sin control, afectando a múltiples usuarios que ni siquiera estén en la red donde se ha originado.
  • SDWAN

      • El portal centralizado genera las configuraciones de manera automática, unificando criterios y políticas y permitiendo replicar plantillas de manera sencilla, evitando así que cada sitio tenga que configurarse cada vez.
      • Se ofrecen funcionalidades de seguridad avanzada como IDS/IPS, Antivirus, AntiMalware, Antibot, control de aplicaciones, filtrado URL, Sandboxing… y la identificación de los usuarios mediante conexión con LDAP para aplicación de políticas personalizadas.
      • Las políticas de seguridad y enrutamiento pueden basarse en aplicaciones a nivel 7, permitiendo clasificar el tráfico y seleccionar destinos confiables a los que aplicar diferentes políticas que al tráfico no confiable.
      • El proceso de dividir la red en subredes lógicas se llama segmentación y se basa en el aislamiento de diferentes dominios o zonas de red, de modo que el tráfico de un dominio no pueda llegar a destinos ubicados en otros dominios, asegurando la confidencialidad de los datos e impidiendo que un elemento malicioso se propague por diferentes redes.

Visibilidad

  • VPN

        • La visibilidad sólo está disponible enlace a enlace, y es necesario acceder a cada uno de ellos de manera individual.
        • No se muestra información de nivel de aplicación, sólo de redes e IPs.
        • No está disponible la información de SLAs, tan sólo se puede informar de si el enlace está caído o funcionando, pero no de la calidad de este.
        • No es posible visualizar la cantidad de tráfico enviado directamente a aplicaciones SaaS

  • SDWAN

        • Gracias a las herramientas de análisis de red es posible visualizar el tráfico detallado de cada enlace y del total del tráfico agregado. Se puede mostrar el tráfico de cada interfaz y detallar si se está utilizando el overlay o el underlay en cada momento.
        • Mediante las capas de enriquecimiento se puede incluir la información de nivel 7, para clasificar categorías y detallar el tráfico hacia aplicaciones SaaS. También se pueden detectar posibles accesos a sitios clasificados como potencialmente peligrosos y saber si se ha llegado a establecer la conexión o los sistemas de seguridad han funcionado y se ha bloqueado.
        • Toda la información se muestra en paneles personalizados con los parámetros más interesantes para cada cliente y escenario, pudiendo generar adicionalmente alertas y eventos que informen al equipo de operaciones.

Escalabilidad

  • VPN

          • Como hemos comentado anteriormente, las configuraciones han de hacerse manualmente y por cada sitio remoto, requiriendo personal especializado y mucho tiempo dedicado, lo que hace lento y complicado desplegar nuevas conexiones.
          • Las políticas son estáticas, sitio por sitio y red por red. Cada nuevo cambio requiere modificar uno por uno todos los lugares donde se aplique, haciendo muy tedioso el proceso de generar nuevas reglas, añadir nuevos sitios o dispositivos, o encaminar tráfico a nuevas aplicaciones.
          • La arquitectura es hub&spoke, si se requiere comunicar sitios entre ellos siempre deben utilizar el concentrador como pasarela, pudiendo provocar delays en el tráfico y malas experiencias de usuario con tráficos como la voz o el vídeo.
  • SDWAN

          • Las configuraciones de los sitios son dinámicas y pueden replicarse de manera sencilla, con asistentes gráficos, lo cual permite que una cantidad muy baja de personal con nivel de cualificación medio o bajo pueda gestionar la red.
          • Todas las políticas se pueden aplicar de manera dinámica con tan solo pulsar un botón. Se puede modificar, crear o eliminar cualquier regla de manera rápida y segura, y aplicarse de manera masiva en cuestión de minutos, ahorrando tiempo y unificando la red.
          • Los sitios se despliegan utilizando ZTP, que permite enviar un equipo preconfigurado a cualquier lugar donde sólo será necesario conectarlo al enlace de red y a la alimentación, lo cual puede realizar cualquier usuario del sitio remoto o un trabajador en su casa, sin tener conocimientos de redes, simplificando así la generación de nuevos sitios.
          • La arquitectura puede ser hub&spoke o generar una red mesh, donde el tráfico de oficinas se tuneliza de manera dinámica y segura totalmente automatizado, evitando así retardos en las comunicaciones. Una vez finalizado el tráfico entre sedes los túneles se cierran para liberar recursos, permitiendo a los equipos disponer de todo su rendimiento.

Coste

  • VPN

            • Por todas las razones que hemos comentado hasta ahora, los entornos VPN requieren una gran especialización y mucho tiempo de despliegue, consumiendo una gran cantidad de recursos muy costosos.
            • Al enviar el tráfico sólo por un enlace se pueden producir tiempos de indisponibilidad de este, provocando disminución de ventas en los negocios, o que aplicaciones críticas no se cursen generando pérdidas para la empresa. Esto mismo puede ocurrir debido a que no es posible medir la calidad de servicio, por lo que ciertas aplicaciones pueden sufrir degradación en las comunicaciones.
  • SDWAN

            • De nuevo, como ya hemos indicado en los puntos anteriores, la flexibilidad y sencillez de la generación de configuraciones redunda en menor personal altamente cualificado y en el tiempo dedicado en tareas de mantenimiento, lo cual supone una reducción notable en los costes de infraestructura.
            • La posibilidad de utilizar diversos enlaces y monitorizar el estado y calidad de estos permite garantizar la disponibilidad de acceso a cualquier servicio o aplicación crítica, lo cual permite asegurar que las aplicaciones críticas de negocio siempre van a estar operativas, generando ventas.
            • Al poder utilizar diversos enlaces y de diferente tipo y generar el overlay sobre los mismos, se pueden buscar diferentes proveedores para conseguir mejores precios en las comunicaciones.
            • El modelo principal es OPEX, con tarifas mensuales que permiten flexibilidad y pago sólo por uso.

Como hemos visto, las soluciones SDWAN aportan un sinfín de ventajas en comparación con las soluciones de VPN tradicionales, permitiendo una mayor flexibilidad, una gestión unificada y un ahorro de costes obteniendo mayor calidad en las comunicaciones.

Related Posts