SD-WAN no solo llamó la atención de los fabricantes de Routers de toda la vida. Surgieron nuevos retadores como Viptela o VeloCloud que revolucionaron el mercado WAN. Otros fabricantes que ya disputaban su lugar en el Edge de las empresas también adaptaron sus mensajes a los beneficios de SD-WAN. Estos últimos, los fabricantes de Firewalls con mayor o menor éxito hoy son un competidor importante en las Redes WAN definidas por software.
Aunque habemos algunos puristas que podemos escribir muchos párrafos acerca de lo que es y no es SD-WAN. Muchos de estos appliances no tienen un plano de control centralizado, no abstraen las conexiones físicas y/o no hacen túneles separados por aplicación. Algunas de estas soluciones de SD-WAN se quedan en un balanceo de tráfico por túneles VPN y en el mejor de los casos generados dinámicamente.
¿Cuál es mejor opción: Routers o Firewalls haciendo SD-WAN?
Siendo prácticos, si solo buscamos añadir flexibilidad, enrutamiento basado en parámetros o requerimientos de las aplicaciones, gestión centralizada y simplificada, una solución SD-WAN basada en routers nos bastará.
Si añadimos las necesidades de seguridad de las branches y la posibilidad de asegurar las conexiones MPLS o conexiones directas a internet entonces una solución de Next-Generation Firewalls haciendo SD-WAN es más completa.
Dicho de otro modo, añadir capas de seguridad a nuestras conexiones WAN siempre es una buena idea. El empaquetado “Secure SD-WAN” adiciona funciones de IPS, URL filtering, protección anti-malware y Deep Packet Inspection propias de un NGFW a nuestras redes de área extendida. Si además todo esto se administra desde la misma interfaz o la misma suite de herramientas siendo objetivo inclina la balanza mucho más hacia SD-WAN basada en Firewalls.
La mayor preocupación de los administradores de redes al acercar “la salida an internet” a las branches es la seguridad. Y si bien los routers podrían añadir funciones de “Firewalling” por software, todos todavía confiamos un poco más en el hardware para esto.
Si yo fuera un lector de este artículo estaría dándome vueltas SASE como la solución a los párrafos anteriores. Y mi argumento se mantiene, al momento de escribir este artículo todos los incumbentes en SASE tienen herramientas separadas para todas esas funciones. Por lo tanto, si puedo elegir iniciar mi viaje hacia SASE con un Secure SD-WAN me decantaré seguro por los firewalls.
