¿Cuál es la principal diferencia en el modelo de integración de seguridad?

Fortinet integra NGFW completo y SD-WAN en el mismo hardware. VeloCloud utiliza un firewall básico en el Edge, a menudo requiriendo un NGFW encadenado o backhauling a sus Gateways para seguridad avanzada. Versa SASE integra todas las funciones de red y seguridad (NGFW, CASB, DLP, ZTNA) en una plataforma de paso único, ya sea on-prem o alojada en la nube.

¿Cómo afecta la adquisición de Broadcom al futuro de VeloCloud?

La adquisición de Broadcom introduce incertidumbre con respecto a la hoja de ruta a largo plazo, los precios y la inversión en I+D de VeloCloud. Si bien las características existentes permanecen, la nueva innovación podría ralentizarse, y el producto podría integrarse más estrechamente en un portafolio más amplio de Broadcom, impactando potencialmente su valor estratégico independiente para las empresas.

¿Qué solución ofrece la mejor optimización del rendimiento de las aplicaciones?

El DMPO de VeloCloud es reconocido por su direccionamiento por paquete, FEC y duplicación de paquetes para la remediación de aplicaciones en tiempo real a través de múltiples enlaces, ofreciendo posiblemente la optimización de rendimiento más dinámica. Fortinet y Versa también proporcionan un robusto direccionamiento de aplicaciones y remediación, pero el DMPO de VeloCloud es una característica central y altamente optimizada.

¿Cuál es la diferencia típica de TCO para un despliegue de sucursales grande?

Para un despliegue de 500 sucursales, 200 Mbps durante 3 años (excluyendo enlaces WAN), Fortinet generalmente ofrece el TCO más bajo debido a la consolidación de hardware. VeloCloud (con un NGFW separado) y Versa SASE tienen TCOs similares, pero más altos, principalmente debido al hardware de seguridad separado para VeloCloud o la suscripción SASE integral para Versa.

¿Es ZTNA (Zero Trust Network Access) un componente central para estos proveedores?

Fortinet ofrece ZTNA como parte de su FortiClient y FortiGate fabric , integrándose con FortiAuthenticator. Versa SASE incluye ZTNA como un componente nativo de paso único en sus ofertas en la nube y on-premise . Las capacidades ZTNA de VeloCloud están emergiendo, dependiendo en gran medida de la integración con otros productos de seguridad de VMware Broadcom como Carbon Black y NSX, en lugar de estar integradas de forma nativa en el Edge en sí.

Fortinet Secure SD-WAN vs VMware VeloCloud vs Versa SASE: Comparación Empresarial 2026

El mercado de SD-WAN en 2026 presenta un panorama consolidado, aunque complejo. Las empresas que evalúan soluciones se enfrentan a una elección entre plataformas de seguridad integradas, SD-WAN dedicadas con complementos de seguridad en evolución, o arquitecturas centradas en SASE. Esta comparación se centra en FortiGate Secure SD-WAN de Fortinet, VMware VeloCloud de Broadcom y Versa SASE, desglosando sus capacidades principales, las compensaciones arquitectónicas y el costo total de propiedad (TCO) para despliegues multisitio.

Filosofías Arquitectónicas e Integración de Seguridad

El enfoque de Fortinet es singular: la consolidación. El FortiGate es un NGFW, un dispositivo SD-WAN y un controlador inalámbrico en uno. Esto significa que todos los servicios de seguridad (IPS, AV, Web Filtering, SSL Inspection hasta TLS 1.3) se ejecutan en el mismo hardware, a menudo aprovechando los procesadores de red NP7 o NP6XLite para aceleración. Un FortiGate 1800F, por ejemplo, ofrece 28 Gbps de rendimiento de NGFW y 18 Gbps de SSL inspection. Todo el tráfico, independientemente de su determinación de ruta SD-WAN, pasa por el motor NGFW. Esto simplifica significativamente la aplicación de políticas y reduce la latencia en comparación con el encadenamiento de dispositivos o el hair-pinning a servicios de seguridad en la nube para todo tipo de tráfico. La desventaja es la escalabilidad. Si sus requisitos de seguridad superan la capacidad de procesamiento del FortiGate, actualiza el dispositivo completo, no solo un módulo de seguridad.

VMware VeloCloud de Broadcom, después de la adquisición, mantiene su arquitectura distribuida. Los VeloCloud Edges se centran principalmente en el enrutamiento consciente de las aplicaciones, Dynamic Multipath Optimization (DMPO) y la dirección basada en el rendimiento. Los servicios de seguridad, más allá del stateful firewalling, típico de sus raíces SD-WAN, tradicionalmente dependen de encadenamiento a un NGFW de terceros (por ejemplo, Palo Alto PA-400 Series, FortiGate 80F) o el backhauling a VeloCloud Gateways centralizadas que ofrecen seguridad básica. La hoja de ruta declarada de Broadcom implica una integración más estrecha con Carbon Black y NSX para protección avanzada contra amenazas, pero esto sigue siendo distinto de la función principal de SD-WAN. Para una sucursal de 200 Mbps, un VeloCloud Edge 510 proporciona 1 Gbps de rendimiento SD-WAN pero depende de su firewall básico. Para un UTM completo, un dispositivo de seguridad adicional es obligatorio, añadiendo complejidad y sobrecarga de gestión.

Versa SASE, por el contrario, está construido sobre un motor de procesamiento paralelo de pase único. Ya sea desplegado como un dispositivo on-prem (Versa CSG, por ejemplo, CSG300) o un gateway alojado en la nube, el paquete completo—desde la selección de ruta SD-WAN hasta NGFW completo, CASB, DLP y RBI—se procesa simultáneamente. Esta arquitectura busca ofrecer lo mejor de ambos mundos: seguridad integrada similar a Fortinet pero con un modelo de escalado cloud-native para SASE. Un Versa CSG300 para una sucursal mediana puede manejar 2 Gbps de tráfico habilitado para DPI, proporcionando funciones integrales de seguridad y red dentro de un único sistema operativo. La configuración inicial y la complejidad operativa son mayores que las de Fortinet o VeloCloud debido a la amplitud de características.

Direccionamiento de Aplicaciones, FEC y SLAs de Rendimiento

El motor SD-WAN de Fortinet utiliza sondas SLA (latencia, jitter, pérdida de paquetes) sobre enlaces configurados para determinar la mejor ruta. Admite funciones avanzadas como Forward Error Correction (FEC) y duplicación de paquetes para aplicaciones críticas. El direccionamiento de aplicaciones se basa en la inspección profunda de paquetes (DPI) a través de su motor IPS, permitiendo un control granular sobre cientos de aplicaciones e incluso sub-aplicaciones. Las definiciones de aplicaciones personalizadas también son robustas. Ejemplo de configuración para ruta preferida basada en SLA:

config system sdwan
  config health-check
    edit "WAN1_SLA_CHECK"
      set server "8.8.8.8"
      set protocol ping
      set packet-size 64
      set fail-detect-threshold 3
      set detect-mode active
    next
  end
  config service
    edit 1
      set name "VOIP_TRAFFIC"
      set dst "all"
      set src "all"
      set internet service fortinet-category "VoIP"
      set health-check "WAN1_SLA_CHECK"
      set member 1
      set sla-mode link-cost
      set sla-options {
        set latency-threshold 50
        set jitter-threshold 30
        set loss-threshold 1
      }
    next
  end
end

Este control granular asegura que las aplicaciones críticas cumplan con los objetivos de rendimiento definidos.

El DMPO (Dynamic Multipath Optimization) de VeloCloud es un sello distintivo de su oferta. Supervisa activamente todos los enlaces disponibles, agregando ancho de banda y dirigiendo el tráfico dinámicamente en función de las condiciones de cada paquete o flujo. VeloCloud destaca en el cambio de ruta en sub-segundos y puede realizar direccionamiento por paquete, FEC y duplicación de paquetes de forma transparente, a menudo sin requerir una configuración explícita para estas características. Su capacidad para remediar condiciones de brownout duplicando paquetes a través de múltiples enlaces para aplicaciones críticas es particularmente sólida. Los VeloCloud Edges reportan métricas de rendimiento granular al Orchestrator, proporcionando visibilidad en tiempo real de la calidad del enlace y la experiencia de la aplicación. El foco aquí es maximizar la disponibilidad de la aplicación y la remediación del rendimiento a través de diferentes tipos de transporte.

Versa SASE también ofrece un enrutamiento robusto consciente de las aplicaciones, aprovechando su motor DPI para una identificación granular de las aplicaciones. Soporta selección de ruta por flujo, FEC y duplicación de paquetes. La fuerza de Versa reside en su extenso framework de políticas, permitiendo a los administradores definir reglas de ingeniería de tráfico altamente complejas basadas en aplicaciones, usuarios, dispositivos y postura de seguridad. Esta extensibilidad, aunque potente, requiere una comprensión más profunda del lenguaje de políticas de Versa. Los SLAs de rendimiento pueden aplicarse dinámicamente, desviando el tráfico de enlaces degradados o empleando técnicas de remediación. Por ejemplo, asegurar que el tráfico de Microsoft Teams siempre use la ruta de menor latencia mientras se aplica duplicación de paquetes si el jitter excede un umbral para usuarios ejecutivos.

Plano de Gestión y Complejidad Operativa

El ecosistema de gestión de Fortinet gira en torno a FortiManager. Este dispositivo centralizado (físico o virtual) proporciona una gestión de “panel único” para cientos o miles de FortiGates. FortiManager sobresale en la creación de plantillas, Forti-scripts y ZTP (Zero Touch Provisioning), haciendo que los despliegues a gran escala sean eficientes. Las configuraciones de SD-WAN, las políticas de seguridad y las actualizaciones de firmware se gestionan de forma centralizada. La integración con FortiAnalyzer para el registro y los informes completa el panorama. La curva de aprendizaje para FortiManager es moderada; los administradores familiarizados con FortiGates generalmente se adaptan rápidamente. Sin embargo, la gestión de Forti-scripts personalizados para escenarios complejos puede requerir experiencia específica.

El Orchestrator de VMware VeloCloud es una plataforma de gestión cloud-native, elogiada por su simplicidad y su GUI intuitiva. ZTP es una característica principal; basta con conectar un Edge y se auto aprovisiona. El Orchestrator proporciona una excelente visibilidad del rendimiento de las aplicaciones, la calidad del enlace y la salud de la red. Los cambios de políticas se aplican instantáneamente en toda la red. Durante muchos años, el Orchestrator fue considerado el mejor de su clase por su facilidad de uso. Después de Broadcom, existen preocupaciones sobre la inversión a largo plazo y la innovación en esta plataforma. Aunque actualmente es estable, la dirección estratégica bajo Broadcom para soluciones SD-WAN dedicadas, especialmente compitiendo con productos que ahora forman parte del portafolio de Broadcom, es menos clara. Esta incertidumbre influye en las proyecciones de OPEX a largo plazo y la evolución de las características.

Versa Director es la plataforma de gestión para Versa SASE. Ofrece un conjunto completo de herramientas para la configuración, monitoreo y resolución de problemas. Versa Director, particularmente al desplegar la pila SASE completa, es considerablemente más complejo que FortiManager o VeloCloud Orchestrator. Su poder reside en su detallado framework de políticas, pero esto se traduce en una curva de aprendizaje más empinada y potencialmente mayores costes operativos para la capacitación del personal. Para organizaciones con una experiencia interna significativa en redes, Versa Director ofrece un control sin igual. Para equipos de TI más pequeños, el despliegue inicial y la gestión continua pueden ser un desafío. Versa Analytics proporciona visibilidad y reportes detallados, integrándose perfectamente con Director.

Dimensionamiento, TCO e Impacto de Broadcom en VeloCloud

Consideremos un escenario para 500 sucursales, cada una requiriendo 200 Mbps de rendimiento de internet, NGFW completo y capacidades SD-WAN. Asumamos $150/mes por sucursal para circuitos de internet duales. Utilizaremos precios de lista para el hardware y soporte/suscripción de 3 años.

Comparación de Costos SD-WAN/SASE (500 Sucursales, 200 Mbps, TCO de 3 Años)
Característica	Fortinet (FortiGate 100F)	VeloCloud (Edge 510 + PA-410)	Versa SASE (CSG300)
Dispositivo de Sucursal (Precio de Lista)	$4,500 (100F)	$2,500 (Edge 510) + $3,500 (PA-410) = $6,000	$6,000 (CSG300)
Suscripción UTM/SD-WAN de 3 Años	$3,000 (UGP Bundle para 100F)	$1,500 (VeloCloud) + $3,000 (PA-410 Threat Prev.) = $4,500	$4,000 (Versa Branch SASE)
Gestión Central (FortiManager/VeloCloud Orchestrator/Versa Director, promedio/sucursal prorrateado)	$500	$700	$1,000
CAPEX/OPEX Total por sucursal en 3 años (excl. enlaces WAN)	$8,000	$11,200	$11,000
TCO Total de 3 Años para 500 Sucursales (excl. enlaces WAN)	$4,000,000	$5,600,000	$5,500,000

Fortinet generalmente ofrece un TCO más bajo debido a la consolidación de hardware. La adquisición de VMware por parte de Broadcom, específicamente VeloCloud, introduce una incertidumbre significativa. La historia de Broadcom con productos adquiridos a menudo implica mayores costos de licenciamiento, menor inversión en I+D en áreas no centrales y una posible simplificación de líneas de productos. Si bien las capacidades técnicas de VeloCloud siguen siendo sólidas, la hoja de ruta futura, la estrategia de precios y el nivel de innovación son motivos de preocupación legítima para las empresas que realizan inversiones a varios años. Este 'factor Broadcom' debe ponderarse fuertemente en cualquier evaluación de VeloCloud, aumentando potencialmente el costo de riesgo incuantificable.

On-Ramp a la Nube y Capacidades de Hybrid WAN

Fortinet proporciona capacidades robustas para el cloud on-ramp a través de su FortiGate-VM en las principales nubes públicas (AWS, Azure, GCP). Los túneles IPSec desde los FortiGates de sucursal pueden terminar directamente en el FortiGate-VM en la nube, extendiendo las políticas SD-WAN y la postura de seguridad al entorno de la nube. El Fabric Connector de Fortinet automatiza gran parte de esto, aprendiendo dinámicamente la topología de la red en la nube y automatizando las actualizaciones de políticas de seguridad. Esto proporciona seguridad y segmentación de red consistentes desde el borde hasta la nube. Los overlays SD-WAN pueden extenderse a través de la red troncal de la nube pública con la misma facilidad que las conexiones a centros de datos privados. Consulte también /blog/fortinet/fortigate-cloud-on-ramp-optimizing-aws-azure-gcp-connectivty/ para más detalles.

La arquitectura de VeloCloud, con sus Gateways distribuidos, es inherentemente Nube-céntrica. Los VeloCloud Gateways existen en centros de datos a nivel global, permitiendo que las sucursales se incorporen a la fabric de VeloCloud y obtengan acceso optimizado a los recursos de la nube y a las aplicaciones SaaS. Las empresas también pueden desplegar Gateways privados de VeloCloud dentro de sus propios centros de datos o instancias de nube pública. El motor DMPO asegura que el tráfico a las aplicaciones de la nube se enrute de manera óptima, aprovechando la mejor vía disponible a través de la red VeloCloud. Los VeloCloud Gateways también sirven como puntos de agregación para arquitecturas multi-tenant y single-tenant, lo que los hace eficientes para la conectividad a la nube a gran escala.

Versa SASE es quizás el más nativo de la nube en su visión última. Aunque soporta dispositivos on-prem (serie CSG), su oferta completa de SASE incluye puntos de presencia (PoPs) alojados en la nube a nivel global. Las sucursales pueden conectarse al PoP de Versa más cercano, obteniendo acceso directo, optimizado y seguro a las aplicaciones SaaS y a los recursos de la nube pública. El motor de paso único procesa todas las funciones de seguridad y redes dentro de estos PoPs, eliminando la necesidad de pilas de seguridad separadas o backhauling. Para implementaciones de nube híbrida, Versa puede extender su fabric a través de centros de datos privados y nubes públicas, asegurando la aplicación consistente de políticas y el rendimiento. Sus funciones de red avanzadas pueden integrarse sin problemas con varias construcciones de la nube.

Escalabilidad y Redundancia

Los dispositivos de Fortinet escalan significativamente, desde el FortiGate 60F para sucursales pequeñas hasta la serie FortiGate 7000 para el core del campus o grandes centros de datos. Para SD-WAN, un FortiGate 1800F proporciona 20 Gbps de rendimiento de SD-WAN IPsec de malla completa, adecuado para grandes hubs regionales. La alta disponibilidad (HA) normalmente utiliza pares activo-pasivo (FGCP), ofreciendo conmutación por error en sub-segundos. Para despliegues más grandes, FortiManager escala para gestionar más de 10,000 FortiGates. La redundancia a nivel de circuito se gestiona mediante la agregación de enlaces SD-WAN y las políticas de conmutación por error. Los FortiGates también se integran con módulos LTE-A/5G para redundancia celular (p. ej., FortiExtender).

La escalabilidad de VeloCloud es principalmente horizontal, añadiendo más Edges o Gateways según sea necesario. El Orchestrator puede gestionar miles de Edges. La redundancia de sucursal se logra típicamente instalando dos VeloCloud Edges en un par activo/en espera o aprovechando la redundancia de enlaces incorporada. Los Gateways centralizados se despliegan en pares redundantes en múltiples centros de datos o regiones para alta disponibilidad. La infraestructura de red subyacente de los Gateways de VeloCloud está diseñada para alta disponibilidad y baja latencia, lo que la hace resiliente. VeloCloud es adecuada para entornos multi-tenant de alta densidad y geográficamente dispersos a través de su arquitectura Gateway.

Versa ofrece una amplia escalabilidad tanto para dispositivos on-premise como para despliegues basados en la nube. Las plataformas Versa Titan y Versa SASE están diseñadas para una escala masiva, soportando cientos de miles de sitios y usuarios. Los dispositivos CSG on-premise soportan clustering activo-activo, proporcionando mayor rendimiento y redundancia que la HA activo-pasivo típica. Los PoPs cloud SASE de Versa están construidos sobre una arquitectura distribuida y resiliente, asegurando alta disponibilidad y alcance global. La gestión a través de Versa Director puede manejar despliegues globales complejos y multi-tenant. La flexibilidad de su arquitectura de software le permite escalar dinámicamente con la demanda, una ventaja clave para empresas en rápido crecimiento.

Hoja de Ruta y Preparación para el Futuro

Fortinet continúa su estrategia de convergencia. Se espera una mayor integración de AI/ML en su security fabric, detección avanzada de amenazas en el borde y una expansión continua de SD-Branch. FortiOS 7.6, aprovechando los servicios de FortiGuard, probablemente mejorará la detección de aplicaciones, la inteligencia de amenazas y la automatización para SD-WAN. La hoja de ruta incluye una integración más estrecha con la seguridad OT/IoT y un mayor refinamiento de su oferta SASE (FortiSASE), asegurando una política consistente desde el endpoint hasta la sucursal y la nube. La fuerza central sigue siendo el FortiGate como el nexo de la red y la seguridad, mejorando continuamente los aceleradores de hardware.

VMware VeloCloud bajo Broadcom se enfrenta a un futuro más incierto. Si bien la funcionalidad principal de SD-WAN de DMPO y la selección inteligente de rutas probablemente se mantendrán, las nuevas funciones significativas o las innovaciones revolucionarias pueden ralentizarse. El enfoque podría cambiar hacia la integración dentro de la pila de soluciones más amplia de Broadcom (por ejemplo, integración de Carbon Black, posiblemente aprovechando NSX). Las empresas deben examinar detenidamente las declaraciones públicas de Broadcom y la inversión real antes de comprometerse con VeloCloud para iniciativas estratégicas a largo plazo. Es plausible que VeloCloud se convierta en un componente dentro de una estrategia de red más grande de Broadcom en lugar de un producto SD-WAN independiente y agresivamente innovado.

Versa Networks está fuertemente invertida en su visión SASE. Se espera una expansión continua de su huella global de PoP, una integración más profunda de servicios de seguridad avanzados (DLP, RBI, ZTNA) y una mayor simplificación de su modelo operativo a través de la automatización basada en IA. El enfoque de Versa en una arquitectura SASE de pase único la posiciona bien para el entorno de trabajo híbrido y cloud-first en evolución. La hoja de ruta probablemente incluye una mayor monitorización de la experiencia del usuario, un soporte de aplicaciones más amplio y una integración más sólida con ecosistemas de seguridad de terceros. Se espera una innovación continua tanto en el frente de la red como en el de la seguridad dentro de su plataforma unificada.

Veredicto

Para las empresas que priorizan la integración rentable de NGFW directamente en la sucursal, una gestión simplificada y un security fabric maduro y probado, Fortinet Secure SD-WAN en FortiGate es el claro ganador. Su TCO suele ser menor debido a la consolidación de hardware, y el modelo operativo es bien comprendido por un gran número de ingenieros de redes y seguridad. Es ideal para organizaciones que tienen una huella existente de Fortinet o que valoran un proveedor de seguridad unificado.

Para las organizaciones que priorizan la mejor remediación del rendimiento de las aplicaciones (DMPO) de su clase, una facilidad de uso excepcional para SD-WAN en sí misma y una experiencia de gestión cloud-native, VMware VeloCloud sigue siendo técnicamente fuerte. Sin embargo, el 'factor Broadcom' introduce un riesgo estratégico significativo. VeloCloud es más adecuado para organizaciones con una inversión existente en VMware, o aquellas dispuestas a aceptar la incertidumbre por sus características de rendimiento y que se sienten cómodas con una solución de seguridad separada y de las mejores en su categoría, o donde su integración con otros productos de Broadcom es un diferenciador.

Para empresas con una visión de futuro comprometidas con una transformación SASE completa, que requieren redes integrales y seguridad avanzada (NGFW, CASB, DLP, ZTNA) de un único proveedor a través de una plataforma unificada, y están preparadas para una curva de aprendizaje inicial más alta para una granularidad de políticas máxima, Versa SASE es el contendiente más fuerte. Representa la visión SASE más completa actual, ofreciendo seguridad y redes integradas desde el borde hasta la nube. Es ideal para empresas con necesidades complejas de seguridad y cumplimiento, o aquellas con experiencia interna significativa en redes que buscan un control granular.