SD-WAN y SASE: Cómo están evolucionando los principales proveedores

0
27

A medida que la pandemia de COVID-19 se prolonga y continúa afectando la forma en que las personas trabajan, los proveedores de SD-WAN responden invirtiendo fuertemente en nuevas capacidades que extienden el límite empresarial a dondequiera que estén los trabajadores: sucursales, campus, oficinas en casa, espacios de coworking, móviles, etc.

El objetivo principal de esta evolución en la tecnología SD-WAN es la fusión de las funciones de red y seguridad en una sola plataforma, que la mayoría de los proveedores ahora denominan Secure Access Service Edge (SASE).

SASE, un término acuñado por Gartner en el 2019, converge la SD-WAN con ofertas de seguridad básicas, incluyendo el cifrado, antimalware y firewalls; y al mismo tiempo agrega servicios avanzados, como Next-Generation Firewall (NGFW), Firewall-as-a-Service (FWaaS), Data Leak Prevention (DLP), Secure Internet Gateway (SIG), y Zero Trust Network Access (ZTNA).

Si bien los principales proveedores de SASE están de acuerdo en gran medida con las apuestas de la mesa descritas por Gartner, también buscan obtener una ventaja sobre la competencia mediante el desarrollo de nuevas funciones innovadoras, como 5G para enlaces WAN, capacidades de seguridad avanzadas basadas en el comportamiento y el contexto, y AIOps integrado para la resolución de problemas y la corrección automática.

Los seis proveedores que figuran a continuación están ordenados según su cuota de mercado, basado en el informe Worldwide SD-WAN Infrastructure Market Share más reciente de IDC. Los seis primeros representaron el 78,3% del mercado; y, además, estos mismos proveedores son los únicos que figuran en la categoría «líderes» en el último Cuadrante Mágico de Gartner para Infraestructura WAN Edge.

Cisco: Orquestación y automatización
Posición de mercado: Cisco lidera el mercado de SD-WAN, con una cuota de mercado del 37%. IDC sitúa los ingresos de SD-WAN de Cisco en 630,3 millones de dólares en la primera mitad del 2021, un aumento del 20,3 % con respecto al mismo período del 2020.

Los ingresos de SD-WAN de Cisco provienen del desarrollo interno de SD-WAN, y una serie de adquisiciones estratégicas que incluyen Meraki (2012), Viptela (2017), Duo Security (2018) y ThousandEyes (2020).

Ofertas actuales de SD-WAN/SASE: Cisco ofrece una variedad de opciones de SD-WAN. Entre estas se encuentran los dispositivos Meraki SD-WAN, que se conectan a sucursales y nubes públicas a través de VPNs IPsec autoaprovisionadas; y SD-WAN Cloud OnRamp, una oferta de SaaS que conecta sucursales, centros de colocación y varias nubes.

El enfoque de Cisco para SASE combina capacidades de red, seguridad y observabilidad en una única oferta gestionada en la nube. En los últimos meses, Cisco ha añadido el nivel de servicio SIG y las verificaciones del estado de la red. Una verificación Layer 7 Application Health Check envía notificaciones de manera proactiva si la conexión SIG se deteriora para ayudar a los clientes a cumplir automáticamente los SLAs.

Cisco también ha habilitado el enrutamiento basado en políticas de Cisco Cloud OnRamp para SaaS con Cisco Umbrella para brindar seguridad al tráfico de SaaS. A través de la integración de SD-WAN de Cisco con ThousandEyes, Cisco ahora puede medir, probar e informar sobre la conectividad subyacente y la condición de los circuitos de Internet.

Nuevas funciones: En enero, Cisco lanzó Meraki Umbrella SD-WAN Connector, que integra las redes y la seguridad en una oferta SaaS. Para las organizaciones que tienen licencias Meraki MX y Umbrella SIG, el conector Meraki Umbrella SD-WAN simplifica la implementación de la seguridad en la nube a través de ubicaciones distribuidas en una tarea que solo requiere unos pocos clics en el panel de gestión.

En febrero, Cisco amplió los dispositivos MX virtuales (vMX) de Meraki a Google Cloud Platform (GCP). Ahora, las organizaciones pueden conectar sucursales de manera segura con un dispositivo MX físico a recursos en GCP con Auto VPN.

Cisco también integró herramientas de seguridad de confianza cero y nativas de la nube en su cartera SD-WAN. La autenticación Duo Passwordless utiliza autenticadores de plataforma y claves de seguridad de los dispositivos para proteger el acceso a las aplicaciones sin contraseñas.

Hoja de ruta: En noviembre, Cisco dio a conocer una vista previa de una próxima incorporación: el soporte de Remote Desktop Protocol (RDP) para Duo Network Gateway (DNG). Esto permitirá el acceso remoto sin VPN, protegido con autenticación basada en riesgos, incluyendo las evaluaciones de la postura del dispositivo y el control de acceso.

Cisco tiene la intención de mejorar aún más su SD-WAN con capacidades dirigidas a MSPs y grandes empresas. Estas nuevas características simplificarán la complejidad de las implementaciones a escala y habilitarán nuevos servicios.

Otras inversiones en SD-WAN/SASE se centrarán en unificar la orquestación más allá de la conectividad segura y la experiencia de las aplicaciones. Además, Cisco planea mayores inversiones en la automatización de inferencias predictivas impulsadas por AI/ML, de modo que la infraestructura de red sea capaz de reaccionar en tiempo real a las demandas de las aplicaciones.

Versa: Sandboxing reforzado, DLP, CASB; futura expansión de AI/ML
Posición actual en el mercado: Según IDC, Versa capturó el 11,8% del mercado en la primera mitad del 2021 con ingresos de 200,6 millones de dólares, un salto interanual del 77,2%.

Versa está respaldado por 196 millones de dólares en fondos de capital de riesgo y ha conseguido clientes importantes que incluyen a BP y Capital One. La compañía también ha establecido asociaciones de canales sólidas con operadores y proveedores de servicios, como Comcast y NTT Communications.

Ofertas actuales de SD-WAN/SASE: Secure SD-WAN de Versa ahora forma parte de su cartera SASE. Secure SD-WAN proporciona una serie de capacidades, que incluyen la dirección de paquetes en fracciones de segundo a través de múltiples interfaces WAN, la reducción de la pérdida de paquetes y la elusión de enlaces de bajo rendimiento. Versa SD-WAN también actúa como un proxy DNS con dirección de tráfico SD-WAN, intercambio de rutas MP-BGP con controladores SDN, agregación de enlaces, QoS jerárquica, QoS por túnel y opciones de encapsulación superpuesta (VXLAN, IPSec).

Versa SASE utiliza su sistema operativo patentado Versa Operating System (VOS) para integrar estrechamente los servicios de redes y seguridad en una plataforma que admite entornos en la nube, locales e híbridos. Versa SASE incluye VPN, SD-WAN segura, protección del cómputo de borde, NGFW, FWaaS, SWG, DLP, ZTNA, Cloud Access Security Broker (CASB), ofuscación de red y Remote Browser Isolation (RBI).

Versa SASE también brinda seguridad contextual basada en el usuario, el rol, el dispositivo, la aplicación, ubicación, postura de seguridad del dispositivo y contenido.

Nuevas funciones: En los últimos meses, Versa ha ampliado el soporte para el sandboxing de malware basado en la nube. Antes de que se envíe un archivo a la infraestructura de sandboxing, se procesa en Versa Cloud Gateway (VCG) a través de los siguientes servicios: filtrado de IP, filtrado de URL, antivirus (AV), sistema de prevención de intrusiones (IPS), filtrado de archivos, filtrado de DNS, CASB y DLP. Si no hay un veredicto definitivo sobre el archivo, se envía a Versa Sandboxing Infrastructure, que lo analiza con mayor detalle.

Versa también ha reforzado sus capacidades DLP, agregando soporte para DLP contextual basado en usuario, grupo, aplicación, tipo de archivo, geolocalización, postura del dispositivo y todos los campos de Capa 3-4. El motor DLP ahora también admite la redacción, cuarentena, tokenización, el cifrado, bloqueo, autorización, notificación, alerta y otras reacciones automáticas.

Otras adiciones recientes incluyen mejoras en CASB para soportar reglas de política de control de acceso de seguridad detalladas basadas en la aplicación, usuario, grupo, dispositivo, posición del dispositivo, geolocalización, el estado de cumplimiento, etc.; soporte para Scalable/Security Group Tag (SGT); capacidades extendidas de RBI que brindan un entorno de navegación web air-gapped; y soporte de tunelización DNS.

Hoja de ruta: Según un portavoz de Versa, SD-WAN es un componente fundamental de Versa SASE, y ambos servicios seguirán mejorando en el 2022. Las innovaciones y mejoras en la hoja de ruta SASE/SD-WAN a corto plazo de Versa incluyen la funcionalidad Cloud Security Posture Management (CSPM ) que comprende el descubrimiento de la carga de trabajo en la nube y la visibilidad de las cargas de trabajo multi-cloud, así como la corrección automatizada de las vulnerabilidades de seguridad; segmentación basada en la identidad para la protección de la carga de trabajo del centro de datos; y expansión de las capacidades de AI/ML para aplicarlas a más casos de uso.

Fortinet: Pesado en IA, automatización, IAM
Posición actual en el mercado: Fortinet capturó el 9,2% del mercado durante la primera mitad del 2021, según IDC, con 157,8 millones de dólares en ingresos, un 48,2% más año tras año.

Fortinet adquirió la startup Opaq en el 2020, que coincidió con el cambio de SD-WAN a SASE. El hardware de Fortinet se basa en sus propios ASICs patentados, y gracias a la adición de las capacidades SASE de Opaq, las capacidades de seguridad sólidas de Fortinet se han reforzado.

Ofertas actuales de SD-WAN/SASE: Lanzada hace cinco años, Fortinet Secure SD-WAN consolida el enrutamiento, SD-WAN y NGFW en una sola plataforma. Otras características incluyen protección contra amenazas, inspección SSL, gestión y orquestación centralizadas y proxies de acceso ZTNA integrados.

El sistema operativo FortiOS está diseñado para soportar múltiples entornos de red, incluyendo los locales, en la nube e híbridos. El SWG basado en la nube de Fortinet proporciona soluciones CASB y ZTNA para usuarios remotos.

Nuevas funciones: Desde el lanzamiento de FortiOS 7.0 a principios del 2021, Fortinet dice que ha agregado 40 funciones SD-WAN que se enfocan en impulsar el rendimiento de las aplicaciones, potenciar las operaciones y mejorar el monitoreo y la visibilidad.

Hoja de ruta: Según Fortinet, el modelo de trabajo remoto impulsado por la pandemia ha cambiado radicalmente el borde; ahora hay usuarios que se mueven entre ubicaciones locales, sucursales interconectadas, oficinas en el hogar y ubicaciones temporales durante viajes, por nombrar solo algunos lugares donde los empleados ahora realizan negocios. Esto significa que las ofertas de SD-WAN no pueden centrarse simplemente en una única arquitectura, como la nube.

Un portavoz de Fortinet dice que la compañía continuará invirtiendo fuertemente en el desarrollo de una «Security Fabric Platform” que converja aún más las redes y la seguridad en una única solución que establezca un «Zero Trust Edge”. El objetivo es que la plataforma se adapte automáticamente a los cambios dinámicos en la infraestructura de red subyacente, incluyendo la conectividad, y que al mismo tiempo proporcione acceso explícito a las aplicaciones en función de la validación continua de la identidad y el contexto del usuario.

Para lograr esto, otras mejoras planificadas a corto plazo para Fortinet Secure SD-WAN incluyen la integración de la funcionalidad de seguridad AI/ML, la mejora de las capacidades de gestión, el impulso de las funciones de seguridad y la incorporación de AIOps y el monitoreo de la experiencia digital.

VMware: Servicios de autocuración basados en WAN 5G
Posición actual en el mercado: Según IDC, VMware capturó el 8,2% del mercado en la primera mitad del 2021, con ingresos de 139,8 millones de dólares, que representan un aumento interanual del 18,8%. VMware se convirtió en un serio competidor de SD-WAN en 2017 tras la adquisición de VeloCloud.

Ofertas actuales de SD-WAN/SASE: Lo que ofrece SD-WAN de VMware consta de tres componentes principales: VMware SD-WAN Orchestrator, la plataforma de gestión central; VMware SD-WAN Gateways, que se implementan en más de tres mil PoPs en todo el mundo; y VMware SD-WAN Edge, los dispositivos locales que se conectan a la red global de VMware.

VMware SASE es una plataforma nativa de la nube que integra SD-WAN con servicios de seguridad proporcionados desde la nube. Las funciones de seguridad incluyen ZTNA, SWG, CASB, DLP, filtrado de URL y RBI.

VMware Edge Network Intelligence ofrece una solución AIOps que proporciona visibilidad habilitada para AI/ML desde la WAN hasta la sucursal y el Wi-Fi/LAN con el objetivo de ofrecer información útil para garantizar el rendimiento y la autocuración de la red.

Nuevas funciones: VMware mejoró la protección contra las fugas de datos empresariales al proporcionar nuevas capacidades para detectar y evitar que los datos confidenciales salgan de la red. Se agregó soporte completo de IPv6 a VMware SASE, así como funciones de autocuración que permiten a los usuarios detectar, comprender y solucionar problemas rápidamente con AIOps.

Hoja de ruta: VMware señala que SD-WAN está evolucionando de ser una «tecnología de extremo a extremo” y ahora se está expandiendo a través de la nube, profundizando en los clientes individuales (ya sea en el hogar, en un dispositivo móvil, en un campus grande, etc.). SD-WAN también se está volviendo consciente de las aplicaciones, hasta llegar a los contenedores de aplicaciones individuales en nubes públicas o privadas.

Las mejoras futuras se centrarán en ampliar las características de seguridad, reforzar el rendimiento del trabajo desde cualquier lugar, crear interconexiones multi-cloud, agregar funciones de computación de borde y promover las capacidades de autocuración. VMware también tiene la intención de invertir en funciones para operadores y proveedores de servicios que habilitarán nuevas prestaciones, como enlaces WAN basados en 5G.

HPE: Silver Peak se une con Aruba para respaldar las oficinas en el hogar
Posición actual en el mercado: Según IDC, HPE capturó el 6,5% del mercado en la primera mitad del 2021, con ingresos de 111 millones de dólares. Esto supuso una disminución del 4,3% año tras año.

HPE ingresó al mercado SD-WAN con la adquisición de Silver Peak en el 2020, integrándola en la plataforma Aruba. (HPE adquirió Aruba en el 2015).

Ofertas actuales de SD-WAN/SASE: HPE EdgeConnect SD-WAN ofrece a las organizaciones la posibilidad de crear superposiciones de WAN virtuales para diferentes clases de tráfico. Una vez establecidas las clases, las políticas de enrutamiento, seguridad y rendimiento de la aplicación se programan automáticamente en todos los sitios. Otras capacidades incluyen monitoreo en tiempo real del rendimiento de la red y las aplicaciones, reparación automatizada en caso de una interrupción, firewall integrado y optimización de WAN.

EdgeConnect está estrechamente integrado con la plataforma más amplia Aruba, que incluye una variedad de conmutadores, puertas de enlace y controladores.

Aruba SASE unifica las funciones de borde de WAN con servicios de seguridad avanzados entregados en la nube, que incluyen SWG, CASB y ZTNA. Aruba SASE también proporciona APIs para integrar otras herramientas de seguridad en la nube de primer nivel, como Zscaler, Netskope, Check Point, Palo Alto Prisma Access y McAfee.

Nuevas funciones: En diciembre, Aruba presentó una nueva solución EdgeConnect Microbranch. Con el auge del trabajo remoto, esta solución se desarrolló para brindar a los trabajadores remotos una experiencia de conectividad en la oficina mediante la ampliación de los servicios de seguridad SD-WAN y SASE a través de un único punto de acceso.

Con EdgeConnect Microbranch, los departamentos de TI pueden garantizar que la experiencia de los empleados sea consistente independientemente de dónde se encuentren los trabajadores, y al mismo tiempo acelerar la resolución de problemas y mantener las protecciones corporativas mediante la extensión de los marcos de seguridad Zero Trust y SASE on-campus hacia la oficina.

Hoja de ruta: Los planes futuros de HPE incluyen acelerar la capacidad de sus clientes para consumir Networking- y Security-as-a-service. HPE continuará desarrollando ofertas de SaaS que brinden uso bajo demanda, un modelo de facturación basado en el consumo, capacidades de autoservicio y elementos como enrutadores de red, conmutadores, puertas de enlace y firewalls.

Palo Alto Networks: 5G y mayor soporte AIops
Posición actual en el mercado: Palo Alto Networks capturó el 5,1% del mercado en la primera mitad del 2021, según IDC, con ingresos de 86,8 millones de dólares. Eso representó un aumento interanual del 19,3%.

Palo Alto Networks ingresó al mercado SD-WAN con la adquisición de CloudGenix en el 2020. Tiene varios clientes designados, como Salesforce, AutoNation y Aaron’s.

Ofertas actuales de SD-WAN/SASE: La base de la solución Prisma SD-WAN de Palo Alto son los dispositivos Instant-On Network (ION) implementados tanto en las sucursales como en las sedes centrales. Su software AppFabric consolida los recursos WAN (MPLS, banda ancha, celular), brindando a las empresas la capacidad de crear conectividad basada en políticas para cada aplicación y sitio. Los dispositivos ION establecen de manera automática una conectividad segura entre los sitios y supervisan continuamente el estado y el rendimiento de las aplicaciones y los enlaces WAN, eligiendo de forma dinámica la ruta de mejor rendimiento. Autonomous Digital Experience Management (ADEM) gestiona la experiencia digital de los usuarios móviles, y permite a las organizaciones obtener visibilidad de extremo a extremo desde la consola de gestión sin necesidad de implementar agentes o dispositivos adicionales.

Prisma SASE de Palo Alto integra las capacidades SD-WAN de Prisma SD-WAN con capacidades de seguridad SASE basadas en la nube, que incluyen ZTNA, Cloud SWG, CASB y FWaaS.

Nuevas funciones: En el 2021, Palo Alto introdujo una serie de nuevas capacidades de seguridad, incluyendo funciones CASB como datos en tiempo real y protecciones de día cero. Para adaptarse a las fuerzas de trabajo híbridas, también integró las capacidades de CSWB para ofrecer reglas de seguridad web con recomendaciones predefinidas y evaluaciones continuas.

Palo Alto lanzó una nueva versión de ION, el ION 1200, con soporte 5G. Esto brinda a las organizaciones la capacidad de ofrecer conectividad WAN 5G a las redes de sucursales como parte de la solución Prisma SASE, incluyendo la capacidad de ejecutar interfaces WAN 5G activas/activas para la redundancia del operador. Palo Alto también agregó las capacidades de AIOps para utilizar ML y análisis para automatizar las operaciones de TI. AIOps proporciona análisis y detección en tiempo real de problemas de TI.

Hoja de ruta: El próximo año, Palo Alto planea invertir en una variedad de adiciones y actualizaciones a su cartera SASE/SD-WAN. Estas incluyen modelos de servicio de ancho de banda bajo demanda que brindan a los usuarios la flexibilidad de mover el ancho de banda entre sucursales, oficinas en el hogar, usuarios móviles, etc.; integraciones más profundas entre seguridad y SD-WAN; y mejoras adicionales para los casos de uso de colaboración y multi-cloud.

Jeff Vance NetworkWorld.com

Artículo anteriorTipos de ataques DNS y cómo mitigarlos
Artículo siguienteLos archivos de la SEC muestran los costos y las pérdidas ocultas del ‘ransomware’