Blog de Amazon Web Services (AWS)
Conectividad multi ambiente a través de SD-WAN sobre AWS Outposts, AWS Local Zones y regiones de AWS como solución a la problemática de la experiencia usuaria y la nueva realidad del trabajo remoto
Por: Gustavo Martínez Casanova Arquitecto de Soluciones en Amazon Web Services para Sector Salud en Chile
Enfoque tradicional de las comunicaciones
Actualmente las instituciones están adoptando diversas tecnologías, ya sea migrando sus sistemas a la nube, adoptando Software como Servicio y manejando múltiples centros de datos. Por otro lado, ya los colaboradores no están solo en las oficinas. Las oficinas también han cambiado, ya no vemos el modelo de la gran sucursal en puntos específicos en grandes centros poblacionales sino más bien la búsqueda de cobertura del territorio a través de oficinas más pequeñas asociadas al modelo de atención u operación “expreso”.
La pandemia y el COVID nos mostró un nuevo escenario, vimos durante la pandemia el surgimiento de hospitales de campañas en muchas partes remotas en algunos casos u otras instalaciones arrendadas o edificios de otro fin del gobierno transformadas en hospitales, a los cuales se debía llegar con los sistemas clínicos de manera rápida y segura en lo cual un modelo tradicional de redes no sería capaz de cubrir en la velocidad que se requeriría.
Actualmente muchas instituciones tienen un modelo de redes tradicional centrado en el “core” de comunicaciones, ya sea de sus data centers u oficinas corporativas lo que hace aún más complejo estos escenarios. Ya que todas las componentes deben por temas de rutas, encriptación y revisión de paquetes pasar por el “core” de comunicaciones.
Este modelo de central comunicaciones produce un único punto que actúa como cuello de botella creando una sobre carga de las plataformas de comunicaciones que no es necesario y por otro lado dificulta la experiencia del colaborador que está en su casa trabajando con una VPN a la oficina corporativa.
El colaborador para acceder a un servicio en nube o un SaaS (Software as a Service) debe si o si pasar a través del data center, esto hace que los tiempos de respuesta no sean los más adecuados afectando directamente a la experiencia usuaria.
Dentro de este modelo todas las comunicaciones deben pasar por el data center corporativo haciendo de este un punto único de fallas y por otro lado un cuello de botella. También se genera un tráfico innecesario, ya que el usuario que está accediendo a un SaaS en internet debe navegar a través de las oficinas corporativas para llegar a él, de igual forma para acceder a un servicio de nube como la consola de Amazon Web Services (AWS) debe acceder a través del data center sin haber ninguna necesidad real de que eso pase.
Nuevo enfoque de las comunicaciones
La tendencia actual es la distribución de los sistemas e incluso de los colaboradores de una empresa, actualmente muchas empresas ya no tienen su servicio de correo electrónico en el data center, ni los respaldos de equipos, muchas aplicaciones On Premises se han reemplazado por servicios de SaaS, otras se han migrado a la nube publica y otros han nacido en la nube públicas de cara a las nuevas tecnologías y capacidades de esta.
Esto nos revela una nueva realidad, la cual debemos tener en cuenta cuando diseñamos nuestro modelo de conectividad, si vemos la figura del párrafo anterior podemos observar como único punto de falla el data center corporativo, siendo este el centro neurálgico de todas las comunicaciones.
Ante estas nuevas realidades es imperativo plantearnos un nuevo modelo que se enfoque en manejar la seguridad y la conectividad en el borde de cada una de las componentes de nuestra infraestructura.
SASE (Security Access Service Edge) es una arquitectura de red que combina las capacidades de VPN y SD-WAN con las funciones de seguridad nativas de la nube, como puertas de enlace a web seguras, agentes de seguridad de acceso a la nube, firewalls y acceso llamado de cero confianzas. Estas funciones se administran desde la nube, instaladas en On Premises o el proveedor de SASE las proporciona como servicio.
SASE nos permite converger la comunicación con la seguridad, esto gracias a que todo lo correspondiente a encriptación, rutas, inspección de paquetes, identificación, ubicación y permisos de cada componente se verá en el borde de cada uno de los componentes y no como en el modelo anterior donde todo esto pasaba en el “core” de comunicación del data center.
Cuáles son los requerimientos que se deben cumplir para este modelo, tanto por el lado de las redes como por el de la seguridad:
| Redes | Seguridad | |
| Conectividad en todas partes | Acceso seguro a las aplicaciones | |
| Agnóstico a la capa – transporte | Acceso seguro a los datos | |
| MPLS, Internet, P2P, 5G, 4G | Requerimientos de Accesos Dinámicos | |
| Arquitectura de Malla | Aplicación basada en Políticas | |
| Manejo Centralizado | Contexto de Identidad en Tiempo Real |
SD-WAN (Software Defined WAN) es una red de área amplia definida por software, es una tecnología transformadora que simplifica el control y a administración de la infraestructura tecnológica tanto en On Premises, oficinas, nubes públicas y Software como servicio. Proporciona una Red Amplia virtual que conecta de manera segura a los usuarios y las aplicaciones.
La SD-WAN funciona superponiendo una virtualización de la red de área amplia (WAN) con un control centralizado, con el fin de simplificar la administración y la implementación de servicios en los distintos puntos de acceso a las aplicaciones y a la data.
Modelo Lógico:
Bajo este modelo cada una de las aplicaciones y los usuarios podrían comunicarse basados en reglas las cuales deben ser definidas desde una plataforma centralizada donde dependerá de cada caso los permisos y accesos que se tengan.
Esta administración pasa por los servicios de SD-WAN a nivel de consola de administración que puede estar en un servicio que se entregue por un proveedor, instalado en On Premises o en la nube pública como una aplicación.
¿Cómo saber si necesito implementar una SD-WAN?
- Presencia de aplicaciones basadas en nube y otras de modalidad SaaS
- Existencia de múltiples WAN de transporte por localidades físicas
- Complejidad en el manejo de la conectividad en diversas locaciones
- Búsqueda de agilidad en los servicios y seguridad en modo East/West
¿Qué beneficios me entrega usar una SD-WAN?
- Flexibilidad
- Conectividad mejorada
- Mantención reducida
- Mejor eficiencia en el uso de las redes físicas
- Mejora la integración
- Reduce la complejidad
- Mejora la seguridad
- Reduce costos
Dentro de la nube de AWS podríamos ver lo siguiente:
En una Virtual Private Cloud (VPC) de entrada a la nube veremos como el tráfico ira siempre al salir y al entrar a la VPC por las máquinas virtuales que alojen a la SD-WAN y serán estas las que definan que camino tomar a través de las redes, ya sea por una regla explicita, por latencia o simplemente por distribución del tráfico.
Con esto podremos direccionar el tráfico desde un cliente de una persona que trabaja desde su casa, una oficina, un SaaS, una aplicación en nube u On Premises.
A la interna en nuestras redes de AWS tendremos que integrar múltiples VPC en múltiples cuentas a través de una estrategia East/West basada en el AWS Transit Gateway como Hub de comunicaciones para todas estas reglas. Lo cual creará una VPC de entrada a la red de AWS que se deberá comunicar con el AWS Transit Gateway para llegar a las distintas componentes.
Si necesitamos una estrategia de múltiples regiones de AWS podemos integrar el primer AWS Transit Gateway con otro AWS Transit Gateway en otra región de AWS.
Pensando en aplicaciones sensibles a la latencia, o en datos que por regulación debamos llevar a infraestructura que este local en alguna de las ubicaciones en las cuales tenemos opciones de AWS Local Zones o AWS Outposts a nivel local, y en este sentido la misma lógica del SD-WAN se puede aplicar en estos casos.
Conclusiones
En cualquiera de los distintos escenarios podemos observar como el tráfico entre componentes será regulado por una capa de software, la cual podrá ser configurada según la necesidad de cada cliente, podrá adaptarse en base a latencias, en caso de falla de algunas de las componentes o simplemente para un mejor performance de los enlaces.
Para iniciar la transformación de un modelo tradicional de las comunicaciones a un modelo una red de área amplia basada en software, el mejor lugar donde puede iniciar esta búsqueda de una solución es el Marketplace de AWS filtrando en su búsqueda por SD-WAN, donde encontrara más de 50 opciones de industria distintos los cuales se adaptan a diferentes realidades y necesidades.
Fuentes
- Simplify SD-WAN connectivity with AWS Transit Gateway Connect
- SD-WAN Reviews and Ratings
- Get to AWS Faster with VMware SD-WAN
- What is SASE?
Acerca del autor
Gustavo Martínez Casanova es Arquitecto de Soluciones en Amazon Web Services para Sector Salud en Chile. Gustavo ha colaborado con múltiples instituciones de Sector Salud tanto Público como Privado en la adopción tecnológica de nube en los últimos 3 años, ha ejecutado de manera exitosa proyectos con impacto en la salud de las personas alrededor de América Latina.