Nova arquitetura para redes empresariais distribuídas traz diversas vantagens na gestão dos serviços e na experiência dos usuários

por Eduardo Yuki

Há poucas décadas, a massificação da internet foi possível pela ousadia de inventar um novo serviço sobre a infraestrutura existente àquela época. As aplicações foram a “cenoura na frente do cavalo” e conduziram a indústria de conectividade e telecomunicações a construir as condições para um mundo “over IP”.

De certa forma, a transformação das WANs (redes distribuídas) também é uma resposta à atual realidade de TI e de negócios, em que o desenho tradicional, embora funcione minimamente, vai ficando ineficiente e insatisfatório, e logo vai ficar insustentável. A SD-WAN (WAN definida por software) conjuga tecnologias como virtualização, automação e segurança, com benefícios claros sob diversos pontos de vista. É um caso singular em que o diretor financeiro, o administrador de redes, a TI, os provedores de conectividade de aplicações e os usuários finais rapidamente percebem vantagens.

Por que o “SD” na SD-WAN

Na rede distribuída definida por software, SD-WAN, as funcionalidades de roteamento, firewall e outros serviços deixam de estar embutidos no equipamento e passam a ser “definidos por software” atualizado, distribuído e gerenciado a partir de uma console central. Independente de as funções serem executadas em um ‘appliance’ (software e hardware no mesmo dispositivo), em plataformas genéricas (‘bare metal’) ou na própria nuvem, a independência da camada de controle e sua consolidação em um único ponto trazem uma flexibilidade técnica imprescindível no contexto da transformação digital.

Nem só pela elegância tecnológica a SD-WAN tem feito tanto sucesso e é destacada como o caminho de evolução por praticamente todos os pesquisadores, analistas e indústrias. A convergência não se limita à tecnologia. Todos têm bons motivos para olhar a SD-WAN – o diretor financeiro pela redução de despesas, o comercial pela agilidade de levantar pontos de presença, o gestor de cibersegurança, pelo controle, a TI pela agilidade na implantação de novos serviços. E os usuários, pela melhora na qualidade da experiência.

Redução de custos e mais performance com rede otimizada para multi-cloud

As redes privadas de longa distância foram criadas para garantir a conectividade entre as diversas filiais de uma empresa com a matriz ou o data center.

A tecnologia de transporte MPLS foi desenvolvida para permitir o isolamento do tráfego de cada cliente dentro de um ‘backbone’ compartilhado da operadora. A segurança é garantida pelo isolamento do tráfego dos clientes em redes privadas virtuais (VPN MPLS), embora não haja qualquer tipo de criptografia. Este tipo de serviço também garante priorização de tráfego (QoS) e uma disponibilidade (SLA) alta. Entretanto, isso resulta em um custo por banda muito mais elevado que um acesso internet de banda larga.

O desenho tradicional das WANs foi feito no tempo em que o grosso do tráfego convergia a um ponto central na matriz. Nessa topologia, as mesmas linhas privadas que conectam os escritórios ao data center também carregam o tráfego de Internet, cujo acesso é centralizado em um ponto sob controle.

Já funcionou, mas hoje está defasado da realidade. Na prática, a maioria de nós tem grande parte da rotina de trabalho na nuvem. Começamos o dia com o e-mail e, além das aplicações do desktop e dos sistemas em data center próprio, vamos usando Office 365, Salesforce e diversos outros serviços hospedados na Azure, AWS e outras nuvens.

Os provedores como Amazon e Microsoft, por sua vez, investem em pontos de acesso mais próximos aos usuários finais para dar mais performance e proporcionar uma melhor experiência ao usuário. Nesse cenário, é um contrassenso que todo tráfego de Internet passe por circuitos dedicados, de alto custo, para chegar ao usuário na filial. É caro e ineficaz.

O roteamento tradicional é baseado em escolher o caminho com a melhor métrica de desempenho na conexão entre dois pontos distintos da rede. Normalmente, a métrica utilizada é a largura de banda do link, o que faz com que um link de 100 Mbps sempre seja preferido ante um link de 10 Mbps, independentemente de sua ocupação ou qualidade. Isso significa que se 11 aplicações necessitarem de 10 Mbps para funcionar corretamente, o link de 100 Mbps ficará congestionado ao passo que o link de 10 Mbps não terá tráfego algum.

Na rede SD-WAN, o dispositivo de acesso tem a capacidade de direcionar, de forma inteligente e sensível ao contexto, as conexões tanto para as linhas privadas MPLS quanto para os links de banda larga disponíveis em cada localidade. A decisão é tomada levando em consideração a necessidade de banda de cada aplicação versus a qualidade e ocupação de cada link.

Como as conexões de internet custam até 10 vezes menos, podem-se contratar mais largura de banda e obter o mesmo índice de disponibilidade com uma despesa muito menor. Além de definir as rotas mais eficientes, a plataforma de SD-WAN monitora em tempo real tanto os links de internet quanto de MPLS para detectar perda de pacotes por problemas no caminho, além de outros parâmetros que impactam a experiência do usuário (‘delay e jitter’) garantindo o melhor aproveitamento de todos os recursos disponíveis. Isso acentua o retorno financeiro, uma vez que se aproveitam os links de contingência – que custam caro e são subutilizados – para oferecer mais qualidade de serviço em condições normais.

Segurança nos acessos descentralizados de WAN – enxergando e protegendo tudo de longe

O alto custo da arquitetura tradicional de WAN tinha suas razões. À medida que os funcionários de pontos remotos lidam com dados críticos e riscos ao negócio, era preciso centralizar todos os acessos em um ambiente com todo aparato de firewall, anti-malware e outras plataformas de segurança. Além de cara, essa abordagem foi perdendo eficácia.

Na prática, à medida que todos dependem mais e mais das aplicações e serviços na Internet, os escritórios e usuários acabam usando conexões que estão fora do controle central, como acessos por dispositivos móveis ou links de banda larga contratados localmente, e criam vários pontos cegos para a segurança.

A SD-WAN dá vários passos adiante na gestão de segurança. O primeiro ganho é a visibilidade de todo tráfego. O “SD” que define a tecnologia também facilita tanto a padronização quanto o gerenciamento granular das políticas de segurança. Por exemplo, se uma auditoria de ‘compliance’ ou uma atualização da análise de riscos recomendam mudanças na configuração de firewall, isso é feito imediatamente em todos os pontos da rede. A automação também permite manobras mais específicas – por exemplo, se uma unidade tem um sistema operacional vulnerável, regras de firewall ou segmentação são lançadas em tempo real para minimizar os riscos.

Além disso, as políticas de acesso à internet continuam a ser definidas de forma centralizada, mas sem a necessidade de encaminhar todo o tráfego para um ponto de gargalo.