So funktioniert SD-WAN

SD-WAN ist ein Wide Area Network (Netzwerk, das sich über einen sehr großen geografischen Bereich erstreckt), dessen grundlegende Funktionen abstrahiert sind. Sie wird zentral von einer intelligenten Software-Plattform gesteuert, anstatt vollständig verteilt, dezentralisiert und von einzelnen Netzwerkbetriebssystemen abhängig zu sein. Dieses Konzept bietet eine besser programmierbare Steuerungsebene mit einer verbesserten Beobachtbarkeit, Reaktionsfähigkeit und Steuerbarkeit.

SD-WAN löst viele der Herausforderungen traditioneller WANs, wie z. B. operative Komplexität, begrenzte Steuerbarkeit, ungenaue Metriken, unzuverlässiger Service und suboptimales Kapazitätsmanagement. Darüber hinaus können größere Sicherheit und feinere Geschäftsrichtlinien eingebettet und gleichzeitig die Betriebskosten gesenkt werden. 

Als Abstraktionsschicht bietet SD-WAN eine einfachere Orchestrierung und einen optimierten Betrieb. Auf der Architekturebene gibt es verschiedene Ansätze, aber in der Regel wird SD-WAN zu einem Overlay auf einem physischen Netzwerk. Die Steuerungsebene ist zentralisiert, während zusätzliche Merkmale und Funktionen schnell aufgesetzt werden können. SD-WAN ermöglicht dann eine einheitliche Logik mit zentralisierten Workflows und APIs.

SD-WAN ist nicht ein einzelner Router, sondern kann die Rolle vieler Router übernehmen. Verschiedene Ansätze sehen die Erweiterung von physischen oder logischen Routern vor, während andere Lösungen die vorhandenen Knotenpunkte vollständig ersetzen. 

Das hängt von der Lösung ab. Einige SD-WAN-Angebote ersetzen Router und andere Knotenpunkte vollständig. Reibungsärmere Ansätze ergänzen bestehende Knoten oder schaffen neue logische Gateways.

SD-WAN ist eine Konzept- und Abstraktionsebene, die nach der Installation neue Routing-Protokolle enthalten kann, aber häufig bestehende nutzt. SD-WAN stellt in der Regel ein Overlay zu einem bestehenden Underlay-Netzwerk dar und bietet dann einen zusätzlichen Nutzen für alle Services und Abläufe.

Ein SD-WAN ist ein erweitertes WAN, das über die grundlegende Erreichbarkeit und das Traffic-Engineering hinaus zusätzliche Funktionen bietet. Ein traditionelles WAN besteht aus Routern, auf denen jeweils ein Netzwerkbetriebssystem mit einer eigenen Steuerungsebene auf der Grundlage lokaler Konfigurations- und Zustandsinformationen läuft. Ein SD-WAN zentralisiert üblicherweise die Steuerungsebene und teilt den Zustand über alle Knoten hinweg.

SD-WAN-Angebote können die Sicherheitslage verbessern, die Betriebskosten senken und eine detailliertere und intelligentere Entscheidungsfindung ermöglichen, insbesondere in Bezug auf Leistung und Kapazität. Die Benutzer- und Betreibererfahrung kann erheblich verbessert werden, während durch globale und lokale Ansichten der WAN-Bedingungen eine überlegene Skalierbarkeit und Elastizität erreicht werden kann.

SD-WANs nutzen zusätzliche Telemetrie, um die allgemeine Beobachtbarkeit eines WANs zu erhöhen. Dazu können einzelne Sitzungs- und Datenstrommetriken gehören, gehören, die sich auf die Benutzererfahrung auswirken. Mit einem ganzheitlicheren und detaillierteren Traffic-Engineering ist es möglich, die Leistung mithilfe intelligenter Logik und intelligenter Richtlinien schnell zu beeinflussen und zu steuern. Darüber hinaus werden die Orchestrierung und das Lebenszyklusmanagement durch eine zentralisierte Plattformlogik simplifiziert, die zunehmend künstliche Intelligenz (KI) einbezieht.

Die meisten WANs beruhen zwar auf dynamischem Routing, aber die verwendeten Metriken können als ungenau angesehen werden und betreffen nur die Erreichbarkeit. SD-WANs können mit dem Underlay-Routing interagieren (falls gewünscht), jedoch auch Overlays mit erweitertem dynamischem Routing erstellen, das intelligente Einblicke in die Over-the-Top-Services (OTT) nutzt, die den Endnutzern angeboten werden.

SD-WAN ist kein spezielles Protokoll oder eine standardisierte Architektur, sondern kann die vorhandenen Services, die von einem MPLS-Footprint bereitgestellt werden, nutzen und verbessern. SD-WAN ermöglicht auch eine größere Auswahl an kostengünstigeren Transporttechnologien und Medien (nicht nur MPLS-bezogen), je nach den geschäftlichen und technischen Anforderungen eines Unternehmens.

Verschiedene SD-WAN-Angebote bilden ihre eigene Art von Site-to-Site Virtual Private Network (VPN) und können VPNs für Remote-Zugriff integriert werden oder hinter diesen stehen. Einige SD-WAN-Angebote lösen Sicherheitsprobleme auf unterschiedliche Weise und verbessern gleichzeitig die Integrität, Verfügbarkeit und Leistung des WAN.  

Je nach Anforderungen kann SD-WAN einige dynamische Mehrpunkt-VPN (DMVPN)-Footprints ersetzen, indem es einen sicheren und skalierbaren Transport bietet, der wenig oder gar keine Orchestrierung erfordert (z. B. solche, die vollständig automatisierte Bereitstellung verwenden). Die Nutzung hängt stark vom SD-WAN-Angebot und dem Anwendungsszenario ab. Doch eines der Ziele von SD-WAN ist es, ähnliche Funktionen wie DMVPNs zu bieten. 

Die meisten SD-WAN-Lösungen und -Anbieter verwenden standardbasierte Protokolle, während einige ihre eigenen proprietären Protokolle erstellt haben. Ein SD-WAN kann ein bestehendes WAN und VPN erweitern oder ersetzen, was zur Folge hat, dass ein SD-WAN-Angebot mit IPsec integriert werden oder IPsec verwenden muss.

Der Wechsel von einer verteilten zu einer zentralen Steuerungsebene kann von einigen als Schwäche angesehen werden, obwohl es oft bereits eine Form von zentralisiertem Betrieb, Orchestrierung und Governance im WAN-Management gibt. SD-WANs zielen darauf ab, Betriebsfehler und systematische Ausfälle zu reduzieren und gleichzeitig ein robusteres Overlay bereitzustellen, selbst wenn traditionelle Underlays und Routing weiterhin im Einsatz sind. 

SD-WAN kann ein vollständig privates Netzwerk oder ein Netzwerk mit mehreren Mandanten sein – je nach spezifischem Anwendungsszenario, Serviceangebot und Netzwerkabsicht. SD-WAN kann verschiedene Datenschutzniveaus bieten und für ein einzelnes Unternehmen bestimmt sein. Es kann auch Teil eines verwalteten Serviceangebots sein oder als Teil eines Cloud-Angebots vom Kunden verwaltet werden. 

SD-WAN kann als eine Art VPN betrachtet werden, obwohl es beim SD-WAN-Konzept mehr um die Abstraktion, Programmierbarkeit und Flexibilität des WAN als um die Sicherheit geht. Ein SD-WAN kann ähnliche Ziele verfolgen und ähnliche Services anbieten wie ein VPN, aber nicht alle SD-WANs sind VPNs.

SD-WANs halten sich an grundlegende Sicherheitsprinzipien wie Vertraulichkeit, Integrität und Verfügbarkeit. Sie sind im Allgemeinen so ausgelegt, dass sie standardmäßig sicher sind und Schutz vor vorsätzlichem Schaden bieten, während sie gleichzeitig unbeabsichtigte Ausfälle verhindern. Wie immer und unabhängig von der Technologie, dem Protokoll oder der Konfiguration ist die Betriebssicherheit ein fortlaufender Prozess, der Verwaltung, Überwachung und Wartung erfordert.

SD-WAN kann Strategien wie Defense-in-Depth und Zero-Trust-Zugriffssteuerung leichter implementieren und durchsetzen, was zum Teil auf seine zentrale Befehls- und Steuerstruktur zurückzuführen ist. Eine fein abgestufte Richtliniendurchsetzung und -orchestrierung erleichtert die konsistente Steuerung nach dem Prinzip der „geringsten Privilegien“. Zudem wird gewährleistet, dass Deny-by-Default durchgängig gilt und nicht wie bei herkömmlichen WANs das eher permissive Permit-by-Default. Durch den Einsatz von sicheren Protokollen und verbesserter Telemetrie für bessere Visibilität im Netzwerk kann SD-WAN Bedrohungen schneller beobachten, identifizieren, kontrollieren und entschärfen als individuelle Punktlösungen an Grenzpunkten. Die Sicherheit kann im gesamten WAN eingebettet werden.  

Entsprechend Ihrer Sicherheitslage und den vorhandenen Punkten zur Durchsetzung von Richtlinien benötigen Sie bei der Bereitstellung eines SD-WAN möglicherweise keine zusätzlichen Sicherheitsebenen. Moderne SD-WAN-Angebote umfassen eine Reihe von Sicherheitsfunktionen auf Netzwerk- und Anwendungsebene. Viele dieser Merkmale machen bestimmte Funktionen von Firewalls überflüssig. Die Verbesserung der Sicherheitsbedingungen im WAN sowohl auf der Netzwerk- als auch auf der Anwendungsebene kann für die Sicherheitslage eines Unternehmens von großem Nutzen sein, insbesondere bei der Einführung von Zero-Trust-Strategien.

SD-WAN ist ein Konzept und eine Abstraktion, die Unternehmen entweder von Grund auf aufbauen, von einem vertrauenswürdigen Anbieter kaufen oder als verwalteten Service von einem Cloud- oder Service-Provider in Anspruch nehmen können. Diejenigen, die nicht über das nötige Entwicklungs-Know-how, das Budget, die Zeit und die Ressourcen verfügen, um ein eigenes System zu entwickeln, werden SD-WAN-Angebote von Anbietern kaufen und implementieren oder einen verwalteten Service nutzen. Diese Option ermöglicht es kleinen, mittleren und großen Unternehmen, sich auf ihre Kernkompetenzen zu konzentrieren und gleichzeitig von der Produktentwicklung, dem Support und der Wartung zu profitieren, die von Anbietern, Cloud- und Service-Providern angeboten werden.

Es gibt viele Ansätze zur Entwicklung und Verbesserung von SD-WAN-Lösungen. Wenn Sie kein AI driven SD-WAN verwenden, bleiben herkömmliche Betriebsaufgaben in der Regel mühsam. Dazu gehören die ständige Überwachung, das Leistungsmanagement, die Verfeinerung der Datenverkehrs- und Sicherheitsrichtlinien sowie das laufende Lebenszyklusmanagement. Es gibt viele Bereiche, in denen Verbesserungen gerechtfertigt sind, aber die Verringerung der gesamten betrieblichen Arbeit mithilfe von KI und Automatisierung ist der Schlüssel dazu, dass Menschen mehr Zeit haben, um sich auf Initiativen mit größerer Wirkung zu konzentrieren. 

Es gibt keinen konkreten Preis für eine SD-WAN-Lösung, da es mehrere Ansätze und Anbieter gibt. SD-WAN verspricht jedoch eine Senkung der Leitungskosten und des Betriebsaufwands. Es soll die Zeit für die Bereitstellung neuer Standorte und Topologien drastisch verkürzen und gleichzeitig die Benutzer- und Betreibererfahrungen verbessern. 

ZTP (Zero-Touch-Provisioning) oder vollständig automatisierte Bereitstellung bedeutet, dass SD-WAN-Knoten nicht gebootet und lokal konfiguriert werden müssen. Diese Aufgaben werden zentral erledigt und sind automatisiert. In der Regel müssen nur die nicht standardmäßigen Vorlagen oder Profile an einer zentralen Stelle ausgewählt werden, während alle anderen Bereitstellungen automatisch erfolgen. 

In einem hybriden WAN werden mehrere Transport- und Verbindungsarten verwendet. Hybrid-WAN nutzt verschiedene Ebenen und Technologien wie MPLS, Mietleitungen, VPLS-Ethernet und Breitband-Direktinternetzugang (DIA). SD-WAN ist eine Overlay-Technologie, die üblicherweise auf diesen physischen Netzwerken läuft. SD-WAN konzentriert sich mehr auf Overlay-Erreichbarkeit, Traffic-Engineering und Mehrwertdienste, die auf dem physischen WAN aufsetzen.

Ein SD-WAN umfasst normalerweise einen hochverfügbaren zentralen Controller und eine Orchestrierungsfunktion, die Edge-Knoten programmiert und verwaltet. Diese Edge-Knoten können auch eine Reihe von Services für das SD-WAN bereitstellen, die durch das SD-WAN-Angebot vorgegeben sind. Der Controller übernimmt in der Regel alle Orchestrierungs-, Verwaltungs- und Berichterstattungsfunktionen und nutzt den von den Edge-Knoten gewonnenen Kontext, um bessere Entscheidungen in Bezug auf globales Routing, Richtlinien, Sicherheit und Serviceverbesserung zu treffen. 

Secure Access Service Edge (SASE) ist eine Weiterentwicklung und Ergänzung von SD-WAN, die umfassende Sicherheitsfunktionen, einschließlich identitätsbezogener Services, im gesamten WAN bereitstellt. SASE stützt sich auf eine Cloud-basierte Auswahl an Sicherheitsfunktionen, die als Secure Service Edge (SSE) bezeichnet werden. SASE kann also als SD-WAN plus SSE betrachtet werden. SSE ist üblicherweise Cloud-basiert und kann von einem bestimmten Anbieter bereitgestellt werden, während SD-WAN physisch, logisch und/oder Cloud-basiert sein kann und sich seitlich mit anderen Anbietern integrieren lässt.

Die Antwort hängt von mehreren Kriterien ab. Dazu gehören die Komplexität Ihres WAN, die Ressourcen und Kompetenzen des Teams und das Budget. 

SD-WAN-Services können vom Anbieter der Lösung, von Cloud-Services-Unternehmen oder von auf SD-WAN spezialisierten Managed Service Providern bereitgestellt werden. Professionelle Dienstleistungen wie Design, Bereitstellung und Betrieb werden von den meisten Anbietern ebenfalls angeboten, um Ihre Anforderungen von Tag 0, Tag 1 und im laufenden Betrieb zu erfüllen. 

Do-it-yourself (DIY)-SD-WAN bedeutet, dass Sie alle Facetten einer SD-WAN-Lösung selbst aufbauen. Im Rahmen des Projekts wird die gesamte Software sowohl für den Controller als auch für die SD-WAN-Edge-Knoten geschrieben und die Verantwortung für alle Aspekte des Software- und Systemlebenszyklusmanagements übernommen. Der Aufbau eines DIY-SD-WAN ist ein komplexes Unterfangen, das vor allem von Hyperscale-Cloud-Anbietern mit großen IT-Ressourcen und Budgets in Angriff genommen wird.

SD-WAN bietet großen Netzwerkbetreibern, kleineren Akteuren und allen dazwischen wichtige Vorteile. Bei SD-WANs geht es nicht nur um die Verbesserung von Orchestrierung, Betrieb und Sicherheit, sondern auch um eine optimierte Servicebereitstellung und höhere Qualität der Benutzererfahrung.