In den letzten Jahren gab es erhebliche Veränderungen in den Weitverkehrsnetzen. Die wichtigste Änderung trägt den Namen „Software-Defined WAN“, kurz SD-WAN, und hat das Potenzial die Netzwerke zu optimieren und die Konnektivität nachhaltig zu verändern.
Softwaredefinierte Wide-Area-Netzwerke nutzen Software zur Steuerung der Konnektivität, des Managements und der Dienste zwischen Rechenzentren und entfernten Niederlassungen oder Cloud-Instanzen. Wie sein größerer technologischer Bruder, das Software-definierte Netzwerk, entkoppelt SD-WAN die Steuerungsebene von der Datenebene.
Eine SD-WAN-Implementierung kann vorhandene Router und Switches oder virtualisiertes Customer-Premises-Equipment umfassen, auf denen je nach Anbieter und Kundenkonfiguration eine Softwareversion läuft, die Richtlinien, Sicherheit, Netzwerkfunktionen und andere Werkzeuge verwaltet.
Eines der Hauptmerkmale von SD-WAN ist die Fähigkeit, mehrere Verbindungen von MPLS über Breitband bis hin zu LTE zu verwalten. Ein weiteres wichtiges Element ist die Möglichkeit, den das WAN durchquerenden Datenverkehr zu segmentieren, zu partitionieren und zu sichern.
Das Prinzip von SD-WAN besteht darin, die Einrichtung neuer Verbindungen zu Zweigstellen zu vereinfachen, die Nutzung dieser Verbindungen – für Daten, Sprache oder Video – besser zu verwalten und dabei potenziell Geld zu sparen.
Natürlich haben sich in diesem Marktsegment inzwischen eine Reihe von Anbietern etabliert – wie Cisco, VMware, Silver Peak, Riverbed, Lancom, Fortinet, Nokia, Versa, Netskope oder Zscaler. Das Analystenhaus IDC geht davon aus, dass die SD-WAN-Technologie von 2018 bis 2023 mit einer durchschnittlichen jährlichen Wachstumsrate von 30,8 % auf 5,25 Milliarden US-Dollar anwachsen wird.
Aus der VNI-Studie von Cisco geht hervor, dass der SD-WAN-Verkehr im Jahr 2017 weltweit 9 Prozent des geschäftlichen IP-WAN-Verkehrs ausmachte und bis 2022 29 Prozent des geschäftlichen IP-WAN-Verkehrs ausmachen wird. Darüber hinaus wird sich der SD-WAN-Verkehr von 2017 bis 2022 verfünffachen, was einer durchschnittlichen jährlichen Wachstumsrate von 37 Prozent entspricht.
Somit gehört SD-WAN zu einem der am schnellsten wachsenden Segmente des Netzwerkinfrastrukturmarktes, was auf eine Reihe von Faktoren zurückzuführen ist. Erstens erfüllen herkömmliche Unternehmens-WANs zunehmend nicht mehr die Anforderungen moderner digitaler Unternehmen, insbesondere im Hinblick auf die Unterstützung von SaaS-Anwendungen und die Nutzung von Multi- und Hybrid-Clouds. Zweitens sind Unternehmen an einer einfacheren Verwaltung mehrerer Verbindungstypen über ihr WAN interessiert, um die Anwendungsleistung und die Erfahrung der Endbenutzer zu verbessern. In Kombination mit der raschen Einführung von SD-WAN durch die großen Service-Provider sorgt dieser Trend dafür, dass den Unternehmen ein dynamisches Management von hybriden WAN-Verbindungen und die Möglichkeit, eine hohe Servicequalität auf Anwendungsbasis zur Verfügung steht.
Welchen Betrag leistet SD-WAN zur Netzwerksicherheit?
Der Wendepunkt für viele Kunden war das Aufkommen von Anwendungen wie das Cloud-basierte Office-365 und Amazon-Web-Services (AWS), die einen sicheren Fernzugriff erfordern. Mit SD-WAN können Kunden sichere regionale Zonen oder beliebige andere Bereiche einrichten und den Datenverkehr auf der Grundlage interner Sicherheitsrichtlinien sicher dorthin leiten, wo dieser hin soll. Bei SD-WAN geht es darum, die Sicherheit für Anwendungen wie beispielsweise AWS und Office-365 in die Konnektivitätsstruktur zu integrieren. Das ist ein großer Anreiz, sich für SD-WAN zu entscheiden.“
Mit SD-WAN können geschäftskritischer Datenverkehr und Assets partitioniert und vor Schwachstellen in anderen Teilen des Unternehmens geschützt werden. Dieser Anwendungsfall wird in vertikalen Branchen bevorzugt. SD-WAN kann auch den Anwendungsverkehr vor Bedrohungen innerhalb des Unternehmens und von außen schützen, indem ein ganzer Stapel von Sicherheitslösungen genutzt wird, die in SD-WAN enthalten sind, wie Next-Gen-Firewalls, IPS, URL-Filterung, Malware-Schutz und Cloud-Sicherheit.
Eine der kontroversesten Debatten über SD-WAN basiert auf der Frage, wie sich die Softwaretechnologie auf die Nutzung von MPLS auswirkt. Die meisten Service-Provider und Netzanbieter sind der Meinung, dass MPLS noch lange Zeit Bestand haben wird und dass SD-WAN die Notwendigkeit von MPLS nicht vollständig beseitigt. Die Hauptkritikpunkte an MPLS sind die traditionell hohen Kosten und die komplizierte Einrichtung des Dienstes.
Ein aktueller Bericht von Avant Communications besagt, dass 83 Prozent der Unternehmen, die MPLS nutzen oder damit vertraut sind, planen, ihre MPLS-Netzwerkinfrastruktur in diesem Jahr zu erweitern, und 40 Prozent sagen, dass sie ihre Nutzung deutlich erhöhen werden. Wie sich das in der Praxis auswirkt, ist noch nicht bekannt, aber es scheint, dass beide Technologien in den Unternehmen der nahen Zukunft eine Rolle spielen werden.
Für viele Unternehmen ist MPLS nur eine weitere Option. Viele Unternehmen drücken sich um eine klare Entscheidung und es wird nie deutlich gesagt, dass SD-WAN besser als MPLS ist, so dass MPLS abgeschafft wird oder abgeschafft werden muss.
Die Kunden werden das MPLS daher nicht in Scharen abschalten. Vielleicht wird nicht mehr so viel MPLS eingekauft wie in der Vergangenheit. Laut dem Analystenhaus Gartner wollen die Kunden ihre WAN-Erweiterung bzw. -Aktualisierung dadurch finanzieren, dass sie teure MPLS-Verbindungen durch internetbasierte VPNs ersetzen oder ergänzen. Die Eignung von Internetverbindungen ist jedoch je nach geografischer Lage sehr unterschiedlich, und die Kombination von Verbindungen verschiedener Anbieter erhöht die Komplexität. SD-WAN hat diesen Ansatz aus einer Reihe von Gründen vereinfacht. Hierzu gehören:
- Aufgrund der einfacheren Betriebsumgebung und der Möglichkeit, mehrere Leitungen von mehreren Anbietern zu nutzen, können Unternehmen die Transportebene von der logischen Ebene abstrahieren und sind weniger abhängig von ihren Dienstanbietern.
- Diese Entkopplung der Schichten ermöglicht es neuen Providern, sich im Markt zu etablieren und die Vorteile für deren Kunden zu nutzen.
- Traditionelle Service-Provider reagieren darauf mit Network-Function-Virtualization (NFV)-basierten Angeboten, die Services (SD-WAN, Sicherheit, WAN-Optimierung) von mehreren gängigen Anbietern kombinieren und orchestrieren. NFV ermöglicht virtualisierte Netzwerkfunktionen einschließlich Routing, Mobilität und Sicherheit.
SD-WAN in Cloud-Umgebungen integrieren
Während die Sicherheit und die Senkung der traditionellen WAN-Kosten die Einführung von SD-WAN vorantreiben, ist auch die Notwendigkeit, Cloud-Dienste schnell und sicher einzubinden, ein wichtiger Motivationsfaktor.
Es gibt eine Reihe von Trends, die den verstärkten Einsatz von SD-WAN-Technologien vorantreiben. Einer davon ist die zunehmende Nutzung von Containern und Cloud-basierten Anwendungen, die einen Zugriff vom Edge aus benötigen. Viele Kunden nutzen inzwischen die SD-WAN-Technologien, um das Rechenzentrum mit Cloud-Ressourcen zu verbinden. Ein wichtiger Schwerpunkt ist dabei die Schaffung einer fließenden Verbindung zwischen Datenquellen vor Ort und der öffentlichen Cloud. Unternehmen werden ihre privaten Rechenzentren weiter ausbauen und gleichzeitig die Nutzung von Public-Cloud-Diensten erweitern. Aus diesem Grund werden die Unternehmen versuchen, ein gemeinsames Management und eine richtlinienbasierte Governance für ihre Multi-Cloud-Umgebungen aufzubauen, damit sie Anwendungen einfach und sicher bereitstellen und schneller verwalten können.
Wie passen SASE, SD-WAN und SD-Branch zusammen?
Was ist der Unterschied zwischen SASE, SD-WAN und SD-Branch? Es wichtig, zunächst zu klären, was diese Konzepte an Gemeinsamkeiten haben. Alle drei Technologiekonzepte stehen im Zusammenhang mit sicheren Edge-Netzwerken und der Herausforderung, ein sicheres, flexibles Netzwerk mit geografisch verteilten Standorten zu verwalten und gleichzeitig die damit verbundenen IT-Kosten, den notwendigen Zeitaufwand für die Verwaltung und die Komplexität zu reduzieren. Auf den ersten Blick scheinen diese drei Konzepte eine gewisse Redundanz aufzuweisen, doch bei genauerem Hinsehen gibt es einige deutliche Unterschiede.
Software-Defined-Wide-Area-Networking (SD-WAN) ist eine Anwendung des Software-definierten Netzwerks (SDN), die sich auf die Verbindung von Zweigstellennetzwerken mit einem zentralen Rechenzentrum oder einem Hauptsitznetzwerk konzentriert. Die SD-WAN-Architektur besteht aus drei Hauptkomponenten:
- Edge-Gerät: Kundeneigene Geräte (CPE), die die einzelnen Zweigstellen miteinander verbinden.
- Dienst-Gateway: Virtualisierter Netzwerkmanager und SD-WAN-Kontrollebene.
- Cloud-Orchestrator: Ein einziges Fenster zur Bereitstellung, Überwachung und Verwaltung von Netzwerkdiensten-
Das Versprechen von SD-WAN als virtualisiertes Netzwerk-Overlay besteht darin,
- die Möglichkeit, die Bandbreite bei geringeren Kosten zu erhöhen, indem für jede Niederlassung die optimale Leitung und der optimale ISP ausgewählt werden.
- Geringerer Bedarf an IT-Mitarbeitern vor Ort für die Bereitstellung und Verwaltung des Netzwerks dank einer Cloud-Management-Konsole.
- Vollständige Transparenz und Kontrolle über das gesamte Netzwerk und jede einzelne Zweigstelle.
Bei der Auswahl eines SD-WAN-Anbieters ist es wichtig zu wissen, dass es SD-WAN-as-a-Service-Anbieter und Managed-SD-WAN-Anbieter gibt. Der Unterschied besteht darin, dass erstere die Tools und die Architektur bereitstellen und versprechen, den Betrieb permanent aufrecht zu halten, während letztere all dies plus Personal bereitstellen, das den Orchestrator tatsächlich steuert – um die praktische Verwaltung des Netzwerks und dessen Sicherheitsrichtlinien zu gewährleisten.
Secure-Access-Service-Edge (SASE) ist ein relativ neuerer Begriff, der viele der Vorteile und Anwendungsfälle von SD-WAN teilt, sich aber im Ansatz unterscheidet. Während SD-WAN in erster Linie darauf ausgelegt ist, unterschiedliche Zweigstellennetzwerke mit einem privaten Netzwerk zu verbinden, das in der Regel durch ein Rechenzentrum oder die Unternehmenszentrale repräsentiert wird, ist SASE stattdessen darauf ausgelegt, Zweigstellen mit der Cloud zu verbinden. Genauer gesagt, und daher leitet sich auch der Name ab, verbindet SASE diese Zweigstellen mit dem Service-Edge, der aus verteilten Points of Presence (PoPs) besteht. SD-WAN ermöglicht zwar Sicherheit, beinhaltet aber nicht standardmäßig Sicherheit. Von SASE-Lösungen wird erwartet, dass diese über eingebettete Sicherheitskontrollen verfügen, daher der Zusatz „sicherer Zugang“ im Namen.
Software-Defined-Branch-Networking (SD-Branch) unterscheidet sich ein wenig von den anderen Konzepten, da es sich nicht um eine Technologiearchitektur handelt. Vielmehr ist SD-Branch ein Konzept für Geschäftsanwendungen. SD-Branch ist eine Erweiterung der Software-Defined-Networking (SDN) Technologie, um die Anforderungen von Umgebungen wie Einzelhandelsgeschäften, Restaurants, Hotels und Zweigstellen, für die herkömmliche SD-WAN-Lösungen nicht geeignet sind oder die meisten SASE-Lösungen zu unvollständig sind, um dies ganzheitlich zu erfüllen. SD-Branch ist eine Art „Zweigstellennetzwerk in einer Box“, das speziell für kleine Zweigstellen entwickelt wurde. Es bündelt die primären Netzwerkfunktionen, die Unternehmen wahrscheinlich benötigen, und bietet erweiterte Cybersicherheit, flexibles Management, robuste Konnektivität und die Einhaltung gesetzlicher Vorschriften. SD-Branch kombiniert Routing, Sicherheit, WiFi und Mobilfunk-Failover.
Fazit
Und was bedeutet das alles? Alles dreht sich um die Bereitstellung eines sicheren Edge-Networking. SD-WAN und SASE sind zwei unterschiedliche Ansätze zur Optimierung des Netzwerkmanagements und SASE vor allem zur Sicherheit für geografisch verteilte Unternehmen.
Von Mathias Hein, Consultant, Buchautor, Redakteur
