So funktioniert SD-WAN

Eine kurze Geschichte der WANs

Das Konzept und die Implementierung von WANs (Wide Area Networks) entstanden zunächst als Mittel für einen vereinfachten Remote-Terminal-Access auf Großrechnern und Minicomputern. Von den wohl ersten Clouds, die in den 1970er und 80er Jahren X.25 und dann in den frühen 90er Jahren Frame Relay nutzten, dauerte es noch bis zu den späten 90er Jahren, bis sich WANs mit IPsec-VPNs und MPLS-VPNs wirklich durchsetzten.

Ein Schwarz-Weiß-Diagramm: X.25-Netzwerk

X.25-Netzwerk

Während der Aufstieg des Internets viele wichtige Innovationen hervorbrachte, gab es den beständigen Wunsch, die Kosten pro Bit Bandbreite zu senken, insbesondere in teuren WANs. Da Breitbandverbindungen zunehmend flächendeckender wurden, begannen Unternehmen damit, diese Verbindungen als günstigere Pfade für verschiedene Arten von Datenverkehr über unterschiedliche Szenarien hinweg zu nutzen.

In den frühen 2010er Jahren wurde SDN (softwaredefiniertes Networking) allmählich als Ansatz entdeckt, der im Bereich von Datennetzwerken Innovationen ermöglichen würde. Ziel war es, Netzwerke für eine Reihe an funktionellen, operativen und leistungsorientierten Verbesserungen weiter zu abstrahieren. Frühe Zielsetzungen waren die Entflechtung von Netzwerkhardware und -software, die Standardisierung der Steuerebene und größere Offenheit. SDN sollte außerdem dazu dienen, Innovationszyklen zu beschleunigen. Während Rechen- und Speicherkomponenten große Entwicklungen durchmachten und zunehmend an Komplexität verloren, begann SDN damit, das „Wie“ – und nicht nur das „Was“ – im Networking zu revolutionieren.

In der SDN-Denkschule wurde dann das SD-WAN (softwaredefiniertes Wide Area Network) geboren. Bei SD-WAN handelt es sich weniger um eine spezifische SD-Architektur als um ein Konzept und eine Abstraktion, die darauf abzielen, viele der Einschränkungen und Mängel von traditionellen WANs zu beseitigen.

WAN-spezifische Herausforderungen

Selbst bei dynamischen Routing-Protokollen werden WAN-Pfade selten für mehr als grundlegende Erreichbarkeit optimiert. Viele CSPs (Kommunikationsdienstleister) machen umfassenden Gebrauch von Routing-Metriken (wie Latenz, Jitter und Paketverlust) sowie von richtlinienbasierten Techniken, um den bestmöglichen Betrieb sicherzustellen und Kosten zur Bereitstellung von Failover-Links sowie die Kundenerfahrung im WAN zu optimieren. Für viele Unternehmen sind solche Aufgaben jedoch zu komplex, zeitraubend und teuer.

Ein Schwarz-Weiß-Diagramm: Komplexe Pfadzuordnung für kritische Umgebungen

Komplexe Pfadzuordnung für kritische Umgebungen

Andererseits sind Unternehmen, deren WANs selten Umsatz generieren, oft von produktivitätsmindernden Problemen betroffen, die zu einem Verlust des Benutzervertrauens führen. Dieser Verlust kann auf suboptimale WAN-Leistung, Ausfälle oder Wartungsaufgaben zurückzuführen sein, die geschäftskritische Workflows und Kommunikation beeinträchtigen.

Obwohl dynamisch geroutet, werden traditionelle WAN-Orchestrierung und -Abläufe durch eine mangelnde situative Sensibilisierung im Zusammenhang mit einzelnen Anwendersitzungen und dem Umfang der von ihnen bedienten Umgebungen belastet. Moderne Multimedia-Anwendungen wie Sprach- und Videokonferenzen, Spiele und andere latenzsensible Apps erfordern konstante Spitzenleistung. Sie können nicht gut mit Überlastung oder Paketverlust umgehen.

Welche Probleme oder Herausforderungen sollen sich also mit einem SD-WAN lösen lassen?

  • Teure WAN-Konnektivität
  • Operative Komplexität
  • Begrenzte Steuerbarkeit und ungenaue Kennzahlen
  • Unzuverlässiger Service
  • Mangelnde Anwendungs- und Sitzungssensibilität
  • Suboptimale Leistung, Überlastung und komplexe Warteschlangen
  • Begrenzte Skalierbarkeit und Elastizität
  • Keine standardmäßigen Sicherheitsverfahren
  • Anwendung oder Einbettung von Geschäftsrichtlinien

 

Das Versprechen von SD-WAN

Wie bereits erwähnt, stellt SD-WAN ein Konzept und eine Abstraktionsschicht dar. Es handelt sich dabei um einen Netzwerkansatz, der unterschiedliche Architekturen, Implementierungen und Ziele aufweist, aber darauf fokussiert ist, alle Facetten der WAN-Servicebereitstellung zu verbessern. Als natürlicher Ableger eines SDN sorgt SD-WAN für ein geschmeidigeres, besser programmierbares und intelligenteres WAN. Dieser Ansatz ermöglicht neue Funktionen, eine verbesserte Servicebereitstellung und geringere Kosten. Darüber hinaus spielt SD-WAN eine Rolle bei der Entwicklung von neuen Modellen für Infrastrukturmanagement, -überwachung und -sicherheit.

Bedeutung von SD-WAN: Was genau heißt softwaredefiniert?

Egal ob es um simplifizierte Orchestrierung, mehr Programmierbarkeit im WAN oder die Bereitstellung eines neuen virtuellen Overlay-Netzwerks geht: Unter SD-WAN verstehen nicht immer alle das Gleiche. Was bedeutet softwaredefiniert in Bezug auf WANs?

Anstatt herkömmliche Netzwerkbetriebssysteme und statische Konfigurationen die Gesamtheit und den Betrieb eines WANs definieren zu lassen, stellt SD-WAN eine neue Schnittstelle oder Plattform dar, die WAN-Funktionen und -Merkmale beeinflusst oder bereitstellt. Alles – von der Orchestrierung über den Betrieb bis hin zur Paketsteuerung auf unterer Ebene – kann von dieser neuen (und oft zentralisierten) Softwareplattform unterstützt werden.

SD-WAN ist nicht nur eine Neuinterpretation eines NMS (Netzwerkmanagementsystems). Vielmehr stellt der Ansatz einen Paradigmenwechsel bei der Umgestaltung und Steuerung von untergeordneten und übergeordneten WAN-Funktionen dar. WAN-Services, die den Ansatz und die Vorteile von SDN nutzen (wie oftmals in modernen Datencentern), können schneller an sich ändernde Unternehmensanforderungen angepasst werden.

 

SD-WAN-Lösungen: Definition und Neudefinition des WAN

Ein Schwarz-Weiß-Diagramm: Traditionelles WAN

Traditionelles WAN

Obwohl Netzwerke mit dynamischen Routing-Protokollen selbst eine Art von verteiltem System darstellen, impliziert SD-WAN den Einsatz intelligenter Logik, um neue Service-Overlays oder Schnittstellen bereitzustellen, damit sich WANs in Echtzeit steuern, beschleunigen und optimieren lassen. Verbesserte Logik, zusätzliche Automatisierung und neue Funktionen werden über diese Plattform orchestriert und gesteuert. Manche SD-WANs können (über traditionelle Routing-Protokolle) auch direkt mit einem vorhandenen Underlay interagieren und eine völlig neue virtuelle Overlay-Ebene für Paketsteuerung, -lenkung und -weiterleitung bereitstellen.

SD-WAN verfügt über vielfältige Architekturen. Häufig beinhaltet ein SD-WAN einen zentralisierten physischen, virtuellen oder Cloud-basierten Controller. Manche Lösungen erweitern das Underlay-WAN um neue physische oder virtuelle Knoten. Die meisten Unternehmen nutzen auf dem Markt erhältliche SD-WAN-Lösungen, andere wenige entwickeln ihre eigene Lösungsplattform, sofern sie die passende interne Expertise und Ressourcen haben.

Ein Schwarz-Weiß-Diagramm: SD-WAN (Software Defined WAN)

SD-WAN (Software Defined WAN)

Mit den neuen Systemschnittstellen und Overlays kann SD-WAN traditionelle WAN-Servicebereitstellung und -Operationen neu definieren und transformieren. Während Erreichbarkeit und Zuverlässigkeit die herkömmlichen Bausteine bestehender Underlays waren, adressiert SD-WAN den Bedarf nach einem sensibleren, intelligenteren und belastbareren Netzwerk.

SD-WAN: Ein neuer Ansatz

Ziele eines SD-WAN

Auch wenn Unternehmen unterschiedliche Ziele bei der Bereitstellung eines SD-WAN haben, wollen sie meist eine Mischung aus allgemeinen geschäftlichen und technischen Anforderungen erfüllen:

  • Simplifizierte betriebliche Abläufe mit höherer Netzwerkzuverlässigkeit
  • Intelligenteres Pathing Orchestrierung und Agilität
  • Die Fähigkeit, Geschäftslogik und -richtlinien tief im Netzwerk einzubetten
  • Reduzierte Übertragungskosten und optimierte Ressourcenauslastung
  • Bessere Beobachtbarkeit und Anwendungsanalysen
  • Anwendungsbeschleunigung (zunehmend für SaaS-Anwendungen, die sensibel auf Latenz, Verlust und Jitter reagieren)
  • Erhöhte Sicherheit mit feinkörniger Richtlinienkontrolle
  • Verbesserte Benutzererfahrung und höhere Servicequalität
  • Programmierbarkeit, mehr Automatisierung und modernere APIs

 

Vorteile von und Gründe für den Einsatz von SD-WAN

Wenn Technologie Änderungen durchläuft, gilt das auch für Netzwerkverkehrsmuster. Unternehmen streben ständig danach, Netzwerkkomplexität zu reduzieren und gleichzeitig Kosten zu senken und optimale Services für ihre Kunden und Mitarbeitenden bereitzustellen. Mit der Nutzung Cloud-basierter Services steigen auch die Anforderungen an WAN-Konnektivität. Da ist es durchaus möglich, dass Daten beim Zugriff auf diese Services sowohl über vertrauenswürdige als auch über nicht vertrauenswürdige Pfade geleitet werden. Je nach verwendeter Übertragungsmethode greifen diese Pfade unter Umständen auf gemeinsam genutzte anstelle von dedizierten Links zurück und bieten möglicherweise keine unterschiedlichen Serviceklassen.

Ein Schwarz-Weiß-Diagramm: Traditioneller zentralisierter Internetzugang

Traditioneller zentralisierter Internetzugang

Ein Schwarz-Weiß-Diagramm: Nutzung von direktem Internetzugang

Nutzung von direktem Internetzugang

Wenn es darum geht, die sichere Nutzung verschiedener Zugriffsmethoden zu vereinfachen und zu vereinheitlichen – ob in Zweigstellen-, Campus- oder Datencenter-Umgebungen –, versprechen SD-WAN-Lösungen mehr Elastizität, Agilität und Sicherheit in einer Reihe von Formfaktoren und Geschäftsmodellen. Bei der Evaluierung von SD-WAN-Lösungen ist es zwingend notwendig, dass sich Unternehmen nicht nur für Tag 0 (Design), sondern auch für Tag 1 (Bereitstellung), Tag 2 (Betrieb) und darüber hinaus über ihre Motivationen, Anforderungen und gewünschten Ergebnisse im Klaren sind.

 

Wer profitiert von SD-WAN?

SD-WAN bietet großen Netzwerkbetreibern, kleineren Akteuren und allen dazwischen wichtige Vorteile. Bei SD-WANs geht es nicht nur um die Verbesserung von Orchestrierung, Betrieb und Sicherheit, sondern auch um eine optimierte Servicebereitstellung und höhere Qualität der Benutzererfahrung. Die Netzwerkbetreiber, das Bilanzbuch eines Unternehmens und die WAN-Benutzer (ob Mensch oder Maschine): Sie alle profitieren von diesen Vorteilen.

NSPs (Netzwerk-Service Provider) können mit SD-WAN-Implementierungen die Bereitstellung robusterer und erweiterter WAN-Services ermöglichen. SD-WAN wird zunehmend in Form von IaaS-Modellen (Infrastructure-as-a-Service) bereitgestellt, die intern oder als MNS (Managed Network Service) am Netzwerk-Edge Anwendung finden. Da SD-WAN-gestützte verwaltete WAN-Services bei Unternehmen, großen Campus-Umgebungen und Einzelhändlern immer beliebter werden, werden SD-WAN-Dienstleister ihre Angebote weiter ausbauen. Viele bieten bereits Funktionen wie ZTP (Zero Touch Provisioning) und ZTC (Zero Touch Configuration) an, um reibungslosere, skalierbare Betriebsabläufe bereitzustellen und Time-to-Delivery- und Time-to-Value-Werte zu verbessern.

In allen Unternehmen haben Netzwerk- und Sicherheitsteams, die SD-WAN nutzen, die Möglichkeit, Services zu verbessern, Antwortzeiten zu verringern und vor allem den täglichen Aufwand zu reduzieren. Je weniger Zeit IT-Teams auf die Aufrechterhaltung des Betriebs aufwenden müssen, desto mehr Zeit können sie für Projekte nutzen, die dazu dienen, ihr Unternehmen voranzubringen. Alle geschäftlichen Workflows, Netzwerkströme oder Workloads, die auf ein WAN angewiesen sind, haben das Potenzial, von SD-WAN-Funktionen und -Merkmalen zu profitieren, was zu einem überdurchschnittlich effektiven, widerstandsfähigeren und sicheren Unternehmen führt.

SD-WAN-Architektur

Eines der ursprünglichen Ziele von SD-WANs war es, die Daten- und Steuerebene voneinander zu trennen, um eine Logik und Intelligenz auf höherer Ebene zu erreichen. Dennoch gibt es noch keine einheitliche SD-WAN-Netzwerkarchitektur. Es gibt viele Ansätze und Varianten; manche Experten argumentieren, dass auch automatisierte Orchestrierung und Abläufe ein SD-WAN darstellen können.

Es gibt jedoch übliche Bausteine und Grenzen, die SD-WAN als konzeptionelles Bereitstellungsmodell ausmachen. Ein SD-WAN kann als Plattform verstanden werden, die WAN-Elemente bzw. WAN-spezifische Betriebskomponenten nutzen, erweitern oder ersetzen kann. Dies geschieht jeweils durch die Einbindung in oder die Übernahme von Netzwerkfunktionen in den Daten- und Steuerebenen.

SD-WAN-Designs und -Lösungen spielen in der Regel auch eine große Rolle bei der Bereitstellung, Orchestrierung, Verwaltung und Überwachung von Netzwerken, während einige Lösungen deutlich dynamischere und granulare Funktionen für Leistungs-, Richtlinien- und Sicherheitsanforderungen bieten.

Selbst bei unterschiedlichen Geschäftsmodellen und Anwendungsfällen umfasst SD-WAN üblicherweise einen zentralen Controller und entweder ein vollständiges oder anteiliges Mesh (im Gegensatz zur herkömmlichen Hub-and-Spoke-Topologie). Obwohl ein SD-WAN ein zugrunde liegendes traditionelles oder hybrides WAN zum Aufbau des neuen Übertragungs-Overlays nutzen kann, handelt es sich dabei um ein Over-the-top-Modell (OTT), das Bereitstellungen beschleunigt und die Verwaltung des gesamten Lebenszyklus ermöglicht, wodurch sich teure Komplett-Upgrades vermeiden lassen.

Tunnelbasierte oder tunnelfreie Designs

Tunnel verursachen Paket-Overheads und eine höhere Fragmentierung. Zusätzliche Daten und größere Verarbeitungs-Overheads beeinträchtigen den Durchsatz und die Leistung. Tunnel-basierte Ansätze erschweren und behindern außerdem die Skalierung und bringen ein langsameres Sitzungs-Failover bei Backup-Pfaden mit sich. Außerdem ist es selbst bei Einrichtung eines Tunnels unmöglich, während der Übertragung Sicherheitsrichtlinien anzuwenden, bis eine nachfolgende Entkapselung die Prüfung, Identifizierung und Profilerstellung hinter dem Tunnel-Endpunkt erlaubt.

Ein Schwarz-Weiß-Diagramm: Tunnelbasierte Konfiguration und Datenkapselung

Tunnelbasierte Konfiguration und Datenkapselung

Ein Schwarz-Weiß-Diagramm: Tunnelfreie sitzungsbasierte Steuerbarkeit

Tunnelfreie sitzungsbasierte Steuerbarkeit

Sehen Sie, wie Juniper mit Session Smart Networking tunnelfreies SD-WAN schafft.

Neuere Tunnel-freie Ansätze reduzieren SD-WAN-Paket-Overheads und sorgen auch ohne aufwendige Verkapselung für einen optimalen Durchsatz. Dieser Ansatz ermöglicht auch eine schnelle Skalierung. Zwar ist keine unbegrenzte Skalierung möglich, es werden aber deutlich weniger Ressourcen und Konfigurationsschritte für die Bereitstellung einer wachsenden Any-to-Any-Topologie benötigt. Ein tunnelfreier Ansatz erlaubt zudem eine bessere Situations- und Sitzungssensibilität, wodurch sich Ströme steuern und Sicherheitsrichtlinien früher anwenden lassen.

 

SD-WAN-Bereitstellung

Wie bereits erwähnt, können SD-WANs in verschiedenen Formen (und Formfaktoren) auftreten, aber am beliebtesten sind Ansätze, die sich besonders reibungslos einbinden lassen. In einigen Szenarien kommt eine lokale Appliance oder Whitebox zum Einsatz. Die meisten SD-WAN-Architekturen und -Lösungen nutzen jedoch virtuelle Maschinen und virtualisierte Netzwerkfunktionen, die sich auf bestehenden Servern und Routern vollständig per Software bereitstellen lassen.

Wie ein traditionelles WAN für Konnektivität und Übertragung zwischen Standorten, Assets und Diensten sorgt, kann ein SD-WAN auch ein intelligentes Edge oder ein Mesh überall dorthin ausweiten, wo verwaltete Entitäten oder Agenten vorhanden sind (auch bei Verwendung von nicht verwalteten Underlays):

  • Zweigstellen und Filialen
  • Verteilte Campus-Umgebungen
  • Datencenter zu Datencenter
  • Remote-Zugriff
  • Hauptniederlassung zu Public oder Private Cloud
  • CSP oder ISP-Core/Edge

Da SD-WAN kein explizites Protokoll bzw. keine explizite Technologie ist, nutzen viele Implementierungen von SD-WAN-Overlays unterschiedliche zugrunde liegende kabelgebundene und drahtlose Übertragungsmethoden oder Technologien, einschließlich SD-WAN über MPLS-VPNs, DSL und 5G/LTE (oder andere drahtlose Backhauls).

SD-WAN vs. MPLS

SD-WAN ist kein direkter Ersatz für MPLS-VPNs, sondern kann in Kombination mit anderen Übertragungsmethoden als Alternative dienen. SD-WAN lässt sich über unterschiedliche Architekturen hinweg mit einer ganzen Reihe von WAN-Technologien integrieren. Unterschiedliche Arten von SD-WAN können bestehende MPLS-Services leicht nutzen und ihre eigene neue Topologie oder Overlay-Methode schaffen – bei Bedarf sogar tunnelfrei. Durch eine dramatische Verringerung der Overheads beim Kapseln von Daten sorgen diese tunnelfreien SD-WAN-Lösungen bei einer Vielzahl von Links unmittelbar für Kostensenkungen und gewährleisten gleichzeitig Sicherheit sowie damit verbundene Vertraulichkeit.

In bestimmten Szenarien können SD-WAN-Implementierungen den Bedarf nach MPLS-VPNs verringern, indem sie kostengünstigere Konnektivitätsoptionen verwenden, aber dennoch viele der Vorteile teurer Übertragungsoptionen bieten.

 

Die Schlüssel zu SD-WAN

Alles dreht sich um die Benutzererfahrung

Oft wird angenommen, dass ein Unternehmen genau weiß, wer und was sein WAN nutzt. Aber erst nachdem die Ströme und Sitzungen analysiert wurden, kann ein Unternehmen mit Gewissheit sagen, wer das Netzwerk zu welchen Zwecken nutzt.

Mit der Zeit oszilliert und alterniert die Netzwerknutzung zwischen maschinenbasierten Agenten und von Benutzern initiertem Datenverkehr. Das WAN selbst ist eine endliche Ressource; wenn sich Verkehrsmuster ändern, werden manche Sitzungen und Ströme überlastet. Diese Sitzungen können und sollten sofort priorisiert oder über alternative Pfade geleitet werden; das ist aber nicht immer der Fall.

Überlastete Pfade können die Anforderungen an Echtzeit-Kommunikation nicht erfüllen. Dies war bei der Bereitstellung von WAN-Services schon immer ein Problem. Ältere Generationen von SD-WAN-Lösungen haben meist statische Implementierungen bereitgestellt, die QoS (Quality of Service)-Markierungen sowie Warteschlangenstrategien verwenden, aber selten können sie einzelne Sitzungen dynamisch beeinflussen und steuern, um die mangelhafte Erfahrung eines Benutzers in Echtzeit zu verbessern. Einige SD-WAN-Lösungen unterstützen sogar eine sitzungsbasierte symmetrische Pfadzuweisung, um eine optimale Leistung und Richtlinieneinhaltung zu gewährleisten.

Sitzungssensibilität ist ein entscheidender Bestandteil moderner SD-WAN-Lösungen. Sie bietet die zuverlässigste Übersicht über ein Netzwerk aus der Sicht des Benutzers. Sitzungen sind zeitlich beschränkt und beinhalten spezifische Anwendungsströme, deren Qualität stark variieren kann (aufgrund von Faktoren wie Kapazität, Verzögerung, Überlastung und kurzzeitigen Ausfällen). Sitzungssensibilität geht weiter über die standardmäßige Anwendungsidentifizierung hinaus und kann durch ein intelligentes Fabric verwendet werden, um Sitzungen für einzelne Benutzer oder Agenten individuell zu steuern. Durch eine ganzheitlichere und einheitlichere Ansicht, die mit einer Fähigkeit zur genauen Steuerung von Verkehrsströmen verbunden ist, können manche SD-WAN-Lösungen Sitzungen automatisch anheben, deaktivieren oder selektiv steuern (anhand von Kriterien wie Zielen auf der Serviceebene). Einzelne Sitzungen sind zur ultimativen Währung für Netzwerkbetreiber geworden, die überragende Benutzererfahrungen bieten möchten.

WAN Assurance

Assurance ist ein Mittel, um Vertrauen zu schaffen. Das WAN ist nicht nur für die Vernetzung von Standorten entscheidend, sondern auch für den Zugriff auf Services und Ressourcen sowie die Beschleunigung von Workflows. Vertrauen schafft Seelenfrieden. Egal ob es um die Bereitstellung neuer Standorte, die Skalierung von Kapazitäten oder die Unterstützung der Sicherheits- und operativen Teams mit den richtigen Tools und Support-Funktionen geht: Netzwerkbetreiber benötigen die richtigen Leistungsmerkmale. Im Betrieb geht es nicht nur um hohe Leistung, sondern vor allem auch um das schnelle Bewältigen von Ausfällen sowie das Minimieren von Schäden. Ausfälle und Überlastungen können zwar auftreten, doch bei einem intelligenten Overlay entstehen weniger Probleme mit der MTBF (mittlerer Ausfallabstand) und MTTR (mittlere Instandsetzungsdauer).

Während der Flexibilität der IT-Teams bislang durch die Metriken und Einschränkungen herkömmlicher Routing-Protokolle Grenzen gesetzt wurden, besteht jetzt die Möglichkeit, das WAN zu virtualisieren und zudem neue Schichten von Intelligenz sowie schnellere Funktionen hinzuzufügen. SD-WAN verspricht eine genauere Steuerung von Paketen und ihren Strömen und eröffnet unzählige Implementierungsmöglichkeiten: von besseren Sicherheitsrichtlinien über optimierte Kostenkontrolle bis hin zu einer verbesserten Benutzererfahrung.

Erfahren Sie, wie Juniper für WAN Assurance sorgt

Vernetzte Sicherheit und SASE

Beim Thema Sicherheit geht es um die Minimierung von Risiken. In einer Welt grenzenloser und beschleunigter digitaler Bedrohungen streben Unternehmen danach, ihre Ressourcen, Services und Mitarbeitenden zu schützen. Digitale und physische Sicherheit sind zunehmend miteinander verbunden. Die Risiken im Zusammenhang mit vorsätzlichen Angriffen beeinflussen inzwischen auch andere Elemente im Betrieb. Je mehr digitale Konnektivität und Steuerung es gibt, desto größer ist die digitale Angriffsfläche, die geschützt werden muss.

Ziel von Sicherheitsarchitekturen war es schon lange, Ausfalldomänen als Mittel gegen die Ausbreitung von Störungen zu begrenzen und zu partitionieren. Das ist jedoch keineswegs einfach, wenn der reibungslose Ablauf von Workflows und Prozessen nicht gestört werden soll. SASE (Secure Access Service Edge) bietet eine Kombination von Sicherheitsfunktionen, die an vertrauenswürdigen Grenzen bereitgestellt werden und die traditionellen Overheads im Zusammenhang mit Remote-Access-Lösungen begrenzen.

Wenn SD-WAN als konzeptionelles Bereitstellungsmodell für Services aufgefasst wird, kann es als Fundament für viele Best Practices im Bereich Sicherheit verstanden werden. Dabei geht es nicht um SD-WAN vs. SASE, sondern das Wissen, dass SD-WAN die grundlegenden Bausteine für SASE liefert. Das Netzwerk ist nach wie vor eine der besten Stellen für viele Sicherheitskontrollen. Das WAN-Edge schafft einen effizienten und effektiven Punkt zur Durchsetzung von Richtlinien, der auch Mittel zur besseren Beobachtung und Kontrolle von Zonengrenzen und der damit verbundenen Sicherheitsanforderungen bietet. Bei ZTNA (Zero Trust Network Access) liegt der Fokus stark auf dem Status „default deny“ (standardmäßig ablehnen), da dies die vorteilhafteste und robusteste Option im Vergleich zur weniger sicheren Option „default permit“ (standardmäßig zulassen) ist.

Ein Schwarz-Weiß-Diagramm: Zero-Trust-Netzwerkzugang

Zero-Trust-Netzwerkzugang

(erfordert explizite Genehmigung)

Die verbleibende Herausforderung besteht darin, sicherzustellen, dass die Komplexität in Schach gehalten wird. Wenn Mikrosegmentierung und Mikroberechtigungen an das granulare IAM (Identity Access Management) gebunden sind, wird das manuelle Zuweisen von Berechtigungen, Zugriff und Rollen zu aufwendig. Unternehmen entscheiden sich zunehmend für Automatisierungs- und softwarebasierte Lösungen, die die IAM-Aufgaben für sie übernehmen.

SD-WAN kann dabei helfen, das Versprechen von mehr Sicherheit, zusätzlichem Vertrauen und weniger Sorgen zu erreichen, indem es den stärksten Punkt zur Durchsetzung von Richtlinien (das Netzwerk) kräftigt.

Das SD-WAN aus Sicht des Betreibers

Bei der Suche nach geringeren TCO (Total Cost of Ownership) sind es oft OpEx (Betriebsausgaben), die CapEx (Kapitalausgaben) über einen bestimmten Zeitrahmen oder Lebenszyklus hinaus übersteigen. Komplexe Systeme implizieren operative Komplexität, aber das ist nicht immer so. Genauso wie es Abstraktionen Netzwerkbetreibern ermöglichen, mit weniger mehr zu erreichen, so erlaubt SD-WAN auch vereinfachte Verwaltungs- und Betriebsabläufe, damit IT-Teams an sie gestellte Erwartungen übertreffen können.

Teams, die Werkzeuge und Ansätze nutzen, die aufwendige Aufgaben intelligent eliminieren oder reduzieren, profitieren von mehr Zufriedenheit, was zu weniger Personalwechsel und mehr Produktivität führt (2020 SoNAR-State of Network Automation Report).

Letztendlich sind es die Betriebsteams, die über die technische Gesundheit eines Unternehmens entscheiden. Das heißt, dass die IT einen überdimensionalen Anteil am Erfolg oder Misserfolg eines Unternehmens haben kann. Größere Ausfälle werden nicht nur für Benutzer, sondern auch für Kunden und schließlich den ganzen Markt sichtbar. Obwohl Kosteneinsparungen und Sicherheit zentrale Ziele eines SD-WAN sind, sind sie nicht die einzigen Vorteile, die ein SD-WAN hinsichtlich der Investitionsrendite bietet.

Der AIOps-Vorteil

KI (künstliche Intelligenz) und eine ihrer Untergruppen – ML (maschinelles Lernen) – können in der gesamten Netzwerkdomäne enormen Nutzen bringen. In zahlreichen Problembereichen, in denen die Funktionen und Protokolle ausreichend bekannt sind (wie z. B. bei der Datenvernetzung), bietet sich der Einsatz von ML in vielerlei Hinsicht an. In diesen wohl definierten Problembereichen lassen sich KI-Verzerrungen einfach beseitigen, um Ergebnisse in der realen Welt zu optimieren und außerdem die Netzwerkkonnektivität und -sicherheit zu verbessern. Durch Trainieren von ML mit einer Kombination aus gemischtem und beschleunigten Lernen (wie z. B. Lerntransfer) und das anschließende Ergänzen von KI um Produktionsdaten kann schnell Vertrauen aufgebaut werden. Genaue Erkenntnisse und empfohlene Korrekturmaßnahmen können rasch angezeigt und validiert werden.

Datenvernetzung ist ein Bereich, in dem das Volumen und die Geschwindigkeit von Betriebs- und Telemetriedaten kontinuierlich die Fähigkeiten traditioneller Methoden übertreffen. Netzwerke können als Graphen verstanden werden. KI und ML können schnelle und praxisrelevante Einblicke in Graphen und deren Abhängigkeiten bieten, von der Ermittlung komplexer Ursachen bis hin zur Bereitstellung besserer Schnittstellen für den Umgang mit wachsender Netzwerkkomplexität.

AIOps (Artificial Intelligence for IT Operations) ist eine Praxis, die darauf abzielt, die Belastung für Netzwerkbetreiber zu reduzieren, indem zahlreiche sich wiederholende und wenig Wert erzeugende Aufgaben automatisiert werden. Die Freisetzung von menschlichen Talenten für strategisch wertvollere Herausforderungen ist ein entscheidender Innovationsschritt – ebenso wie die Demokratisierung der Fähigkeit, die wachsenden Netzwerke und die damit verbundene Komplexität besser zu verstehen. 

SD-WAN – FAQs

Was bedeutet SD-WAN?

SD-WAN ist ein Wide Area Network (Netzwerk, das sich über einen sehr großen geografischen Bereich erstreckt), dessen grundlegende Funktionen abstrahiert sind. Sie wird zentral von einer intelligenten Software-Plattform gesteuert, anstatt vollständig verteilt, dezentralisiert und von einzelnen Netzwerkbetriebssystemen abhängig zu sein. Dieses Konzept bietet eine besser programmierbare Steuerungsebene mit einer verbesserten Beobachtbarkeit, Reaktionsfähigkeit und Steuerbarkeit.

Was löst SD-WAN?

SD-WAN löst viele der Herausforderungen traditioneller WANs, wie z. B. operative Komplexität, begrenzte Steuerbarkeit, ungenaue Metriken, unzuverlässiger Service und suboptimales Kapazitätsmanagement. Darüber hinaus können größere Sicherheit und feinere Geschäftsrichtlinien eingebettet und gleichzeitig die Betriebskosten gesenkt werden. 

Wie funktioniert SD-WAN?

Als Abstraktionsschicht bietet SD-WAN eine einfachere Orchestrierung und einen optimierten Betrieb. Auf der Architekturebene gibt es verschiedene Ansätze, aber in der Regel wird SD-WAN zu einem Overlay auf einem physischen Netzwerk. Die Steuerungsebene ist zentralisiert, während zusätzliche Merkmale und Funktionen schnell aufgesetzt werden können. SD-WAN ermöglicht dann eine einheitliche Logik mit zentralisierten Workflows und APIs.

Ist SD-WAN ein Router?

SD-WAN ist nicht ein einzelner Router, sondern kann die Rolle vieler Router übernehmen. Verschiedene Ansätze sehen die Erweiterung von physischen oder logischen Routern vor, während andere Lösungen die vorhandenen Knotenpunkte vollständig ersetzen. 

Ersetzt SD-WAN einen Router?

Das hängt von der Lösung ab. Einige SD-WAN-Angebote ersetzen Router und andere Knotenpunkte vollständig. Reibungsärmere Ansätze ergänzen bestehende Knoten oder schaffen neue logische Gateways.

Ist SD-WAN ein Routing-Protokoll?

SD-WAN ist eine Konzept- und Abstraktionsebene, die nach der Installation neue Routing-Protokolle enthalten kann, aber häufig bestehende nutzt. SD-WAN stellt in der Regel ein Overlay zu einem bestehenden Underlay-Netzwerk dar und bietet dann einen zusätzlichen Nutzen für alle Services und Abläufe.

Was ist der Unterschied zwischen SD-WAN und WAN?

Ein SD-WAN ist ein erweitertes WAN, das über die grundlegende Erreichbarkeit und das Traffic-Engineering hinaus zusätzliche Funktionen bietet. Ein traditionelles WAN besteht aus Routern, auf denen jeweils ein Netzwerkbetriebssystem mit einer eigenen Steuerungsebene auf der Grundlage lokaler Konfigurations- und Zustandsinformationen läuft. Ein SD-WAN zentralisiert üblicherweise die Steuerungsebene und teilt den Zustand über alle Knoten hinweg.

Welche Vorteile bietet SD-WAN im Vergleich zu einer traditionellen WAN-Lösung?

SD-WAN-Angebote können die Sicherheitslage verbessern, die Betriebskosten senken und eine detailliertere und intelligentere Entscheidungsfindung ermöglichen, insbesondere in Bezug auf Leistung und Kapazität. Die Benutzer- und Betreibererfahrung kann erheblich verbessert werden, während durch globale und lokale Ansichten der WAN-Bedingungen eine überlegene Skalierbarkeit und Elastizität erreicht werden kann.

Wie verbessert SD-WAN die Netzwerkleistung und macht WANs agil?

SD-WANs nutzen zusätzliche Telemetrie, um die allgemeine Beobachtbarkeit eines WANs zu erhöhen. Dazu können einzelne Sitzungs- und Datenstrommetriken gehören, gehören, die sich auf die Benutzererfahrung auswirken. Mit einem ganzheitlicheren und detaillierteren Traffic-Engineering ist es möglich, die Leistung mithilfe intelligenter Logik und intelligenter Richtlinien schnell zu beeinflussen und zu steuern. Darüber hinaus werden die Orchestrierung und das Lebenszyklusmanagement durch eine zentralisierte Plattformlogik simplifiziert, die zunehmend künstliche Intelligenz (KI) einbezieht.

Was ist dynamisches SD-WAN-Routing?

Die meisten WANs beruhen zwar auf dynamischem Routing, aber die verwendeten Metriken können als ungenau angesehen werden und betreffen nur die Erreichbarkeit. SD-WANs können mit dem Underlay-Routing interagieren (falls gewünscht), jedoch auch Overlays mit erweitertem dynamischem Routing erstellen, das intelligente Einblicke in die Over-the-Top-Services (OTT) nutzt, die den Endnutzern angeboten werden.

Ist SD-WAN besser als MPLS?

SD-WAN ist kein spezielles Protokoll oder eine standardisierte Architektur, sondern kann die vorhandenen Services, die von einem MPLS-Footprint bereitgestellt werden, nutzen und verbessern. SD-WAN ermöglicht auch eine größere Auswahl an kostengünstigeren Transporttechnologien und Medien (nicht nur MPLS-bezogen), je nach den geschäftlichen und technischen Anforderungen eines Unternehmens.

Kann SD-WAN VPN ersetzen?

Verschiedene SD-WAN-Angebote bilden ihre eigene Art von Site-to-Site Virtual Private Network (VPN) und können VPNs für Remote-Zugriff integriert werden oder hinter diesen stehen. Einige SD-WAN-Angebote lösen Sicherheitsprobleme auf unterschiedliche Weise und verbessern gleichzeitig die Integrität, Verfügbarkeit und Leistung des WAN.  

Kann SD-WAN DMVPN ersetzen?

Je nach Anforderungen kann SD-WAN einige dynamische Mehrpunkt-VPN (DMVPN)-Footprints ersetzen, indem es einen sicheren und skalierbaren Transport bietet, der wenig oder gar keine Orchestrierung erfordert (z. B. solche, die vollständig automatisierte Bereitstellung verwenden). Die Nutzung hängt stark vom SD-WAN-Angebot und dem Anwendungsszenario ab. Doch eines der Ziele von SD-WAN ist es, ähnliche Funktionen wie DMVPNs zu bieten. 

Verwendet SD-WAN IPsec?

Die meisten SD-WAN-Lösungen und -Anbieter verwenden standardbasierte Protokolle, während einige ihre eigenen proprietären Protokolle erstellt haben. Ein SD-WAN kann ein bestehendes WAN und VPN erweitern oder ersetzen, was zur Folge hat, dass ein SD-WAN-Angebot mit IPsec integriert werden oder IPsec verwenden muss.

Welche Schwachstellen weist SD-WAN auf?

Der Wechsel von einer verteilten zu einer zentralen Steuerungsebene kann von einigen als Schwäche angesehen werden, obwohl es oft bereits eine Form von zentralisiertem Betrieb, Orchestrierung und Governance im WAN-Management gibt. SD-WANs zielen darauf ab, Betriebsfehler und systematische Ausfälle zu reduzieren und gleichzeitig ein robusteres Overlay bereitzustellen, selbst wenn traditionelle Underlays und Routing weiterhin im Einsatz sind. 

Ist SD-WAN ein privates Netzwerk?

SD-WAN kann ein vollständig privates Netzwerk oder ein Netzwerk mit mehreren Mandanten sein – je nach spezifischem Anwendungsszenario, Serviceangebot und Netzwerkabsicht. SD-WAN kann verschiedene Datenschutzniveaus bieten und für ein einzelnes Unternehmen bestimmt sein. Es kann auch Teil eines verwalteten Serviceangebots sein oder als Teil eines Cloud-Angebots vom Kunden verwaltet werden. 

Ist SD-WAN ein VPN?

SD-WAN kann als eine Art VPN betrachtet werden, obwohl es beim SD-WAN-Konzept mehr um die Abstraktion, Programmierbarkeit und Flexibilität des WAN als um die Sicherheit geht. Ein SD-WAN kann ähnliche Ziele verfolgen und ähnliche Services anbieten wie ein VPN, aber nicht alle SD-WANs sind VPNs.

Ist SD-WAN sicher?

SD-WANs halten sich an grundlegende Sicherheitsprinzipien wie Vertraulichkeit, Integrität und Verfügbarkeit. Sie sind im Allgemeinen so ausgelegt, dass sie standardmäßig sicher sind und Schutz vor vorsätzlichem Schaden bieten, während sie gleichzeitig unbeabsichtigte Ausfälle verhindern. Wie immer und unabhängig von der Technologie, dem Protokoll oder der Konfiguration ist die Betriebssicherheit ein fortlaufender Prozess, der Verwaltung, Überwachung und Wartung erfordert.

Wie verbessert SD-WAN die Sicherheit?

SD-WAN kann Strategien wie Defense-in-Depth und Zero-Trust-Zugriffssteuerung leichter implementieren und durchsetzen, was zum Teil auf seine zentrale Befehls- und Steuerstruktur zurückzuführen ist. Eine fein abgestufte Richtliniendurchsetzung und -orchestrierung erleichtert die konsistente Steuerung nach dem Prinzip der „geringsten Privilegien“. Zudem wird gewährleistet, dass Deny-by-Default durchgängig gilt und nicht wie bei herkömmlichen WANs das eher permissive Permit-by-Default. Durch den Einsatz von sicheren Protokollen und verbesserter Telemetrie für bessere Visibilität im Netzwerk kann SD-WAN Bedrohungen schneller beobachten, identifizieren, kontrollieren und entschärfen als individuelle Punktlösungen an Grenzpunkten. Die Sicherheit kann im gesamten WAN eingebettet werden.  

Brauchen Sie in Verbindung mit SD-WAN eine Firewall?

Entsprechend Ihrer Sicherheitslage und den vorhandenen Punkten zur Durchsetzung von Richtlinien benötigen Sie bei der Bereitstellung eines SD-WAN möglicherweise keine zusätzlichen Sicherheitsebenen. Moderne SD-WAN-Angebote umfassen eine Reihe von Sicherheitsfunktionen auf Netzwerk- und Anwendungsebene. Viele dieser Merkmale machen bestimmte Funktionen von Firewalls überflüssig. Die Verbesserung der Sicherheitsbedingungen im WAN sowohl auf der Netzwerk- als auch auf der Anwendungsebene kann für die Sicherheitslage eines Unternehmens von großem Nutzen sein, insbesondere bei der Einführung von Zero-Trust-Strategien.

Wer kauft SD-WAN?

SD-WAN ist ein Konzept und eine Abstraktion, die Unternehmen entweder von Grund auf aufbauen, von einem vertrauenswürdigen Anbieter kaufen oder als verwalteten Service von einem Cloud- oder Service-Provider in Anspruch nehmen können. Diejenigen, die nicht über das nötige Entwicklungs-Know-how, das Budget, die Zeit und die Ressourcen verfügen, um ein eigenes System zu entwickeln, werden SD-WAN-Angebote von Anbietern kaufen und implementieren oder einen verwalteten Service nutzen. Diese Option ermöglicht es kleinen, mittleren und großen Unternehmen, sich auf ihre Kernkompetenzen zu konzentrieren und gleichzeitig von der Produktentwicklung, dem Support und der Wartung zu profitieren, die von Anbietern, Cloud- und Service-Providern angeboten werden.

Wie kann ich mein SD-WAN verbessern?

Es gibt viele Ansätze zur Entwicklung und Verbesserung von SD-WAN-Lösungen. Wenn Sie kein AI driven SD-WAN verwenden, bleiben herkömmliche Betriebsaufgaben in der Regel mühsam. Dazu gehören die ständige Überwachung, das Leistungsmanagement, die Verfeinerung der Datenverkehrs- und Sicherheitsrichtlinien sowie das laufende Lebenszyklusmanagement. Es gibt viele Bereiche, in denen Verbesserungen gerechtfertigt sind, aber die Verringerung der gesamten betrieblichen Arbeit mithilfe von KI und Automatisierung ist der Schlüssel dazu, dass Menschen mehr Zeit haben, um sich auf Initiativen mit größerer Wirkung zu konzentrieren. 

Wie hoch sind die Kosten für SD-WAN?

Es gibt keinen konkreten Preis für eine SD-WAN-Lösung, da es mehrere Ansätze und Anbieter gibt. SD-WAN verspricht jedoch eine Senkung der Leitungskosten und des Betriebsaufwands. Es soll die Zeit für die Bereitstellung neuer Standorte und Topologien drastisch verkürzen und gleichzeitig die Benutzer- und Betreibererfahrungen verbessern. 

Was ist ZTP in SD-WAN?

ZTP (Zero-Touch-Provisioning) oder vollständig automatisierte Bereitstellung bedeutet, dass SD-WAN-Knoten nicht gebootet und lokal konfiguriert werden müssen. Diese Aufgaben werden zentral erledigt und sind automatisiert. In der Regel müssen nur die nicht standardmäßigen Vorlagen oder Profile an einer zentralen Stelle ausgewählt werden, während alle anderen Bereitstellungen automatisch erfolgen. 

Was ist der Hauptunterschied zwischen dem SD-WAN-Anwendungsszenario und dem Hybrid-WAN-Anwendungsszenario?

In einem hybriden WAN werden mehrere Transport- und Verbindungsarten verwendet. Hybrid-WAN nutzt verschiedene Ebenen und Technologien wie MPLS, Mietleitungen, VPLS-Ethernet und Breitband-Direktinternetzugang (DIA). SD-WAN ist eine Overlay-Technologie, die üblicherweise auf diesen physischen Netzwerken läuft. SD-WAN konzentriert sich mehr auf Overlay-Erreichbarkeit, Traffic-Engineering und Mehrwertdienste, die auf dem physischen WAN aufsetzen.

Welche Komponenten umfasst SD-WAN?

Ein SD-WAN umfasst normalerweise einen hochverfügbaren zentralen Controller und eine Orchestrierungsfunktion, die Edge-Knoten programmiert und verwaltet. Diese Edge-Knoten können auch eine Reihe von Services für das SD-WAN bereitstellen, die durch das SD-WAN-Angebot vorgegeben sind. Der Controller übernimmt in der Regel alle Orchestrierungs-, Verwaltungs- und Berichterstattungsfunktionen und nutzt den von den Edge-Knoten gewonnenen Kontext, um bessere Entscheidungen in Bezug auf globales Routing, Richtlinien, Sicherheit und Serviceverbesserung zu treffen. 

Benötigt SASE SD-WAN?

Secure Access Service Edge (SASE) ist eine Weiterentwicklung und Ergänzung von SD-WAN, die umfassende Sicherheitsfunktionen, einschließlich identitätsbezogener Services, im gesamten WAN bereitstellt. SASE stützt sich auf eine Cloud-basierte Auswahl an Sicherheitsfunktionen, die als Secure Service Edge (SSE) bezeichnet werden. SASE kann also als SD-WAN plus SSE betrachtet werden. SSE ist üblicherweise Cloud-basiert und kann von einem bestimmten Anbieter bereitgestellt werden, während SD-WAN physisch, logisch und/oder Cloud-basiert sein kann und sich seitlich mit anderen Anbietern integrieren lässt.

Sollte ich einen Managed Service Provider für SD-WAN verwenden?

Die Antwort hängt von mehreren Kriterien ab. Dazu gehören die Komplexität Ihres WAN, die Ressourcen und Kompetenzen des Teams und das Budget. 

Wer stellt SD-WAN-Services zur Verfügung?

SD-WAN-Services können vom Anbieter der Lösung, von Cloud-Services-Unternehmen oder von auf SD-WAN spezialisierten Managed Service Providern bereitgestellt werden. Professionelle Dienstleistungen wie Design, Bereitstellung und Betrieb werden von den meisten Anbietern ebenfalls angeboten, um Ihre Anforderungen von Tag 0, Tag 1 und im laufenden Betrieb zu erfüllen. 

Was ist DIY-SD-WAN?

Do-it-yourself (DIY)-SD-WAN bedeutet, dass Sie alle Facetten einer SD-WAN-Lösung selbst aufbauen. Im Rahmen des Projekts wird die gesamte Software sowohl für den Controller als auch für die SD-WAN-Edge-Knoten geschrieben und die Verantwortung für alle Aspekte des Software- und Systemlebenszyklusmanagements übernommen. Der Aufbau eines DIY-SD-WAN ist ein komplexes Unterfangen, das vor allem von Hyperscale-Cloud-Anbietern mit großen IT-Ressourcen und Budgets in Angriff genommen wird.

Wer profitiert von SD-WAN?

SD-WAN bietet großen Netzwerkbetreibern, kleineren Akteuren und allen dazwischen wichtige Vorteile. Bei SD-WANs geht es nicht nur um die Verbesserung von Orchestrierung, Betrieb und Sicherheit, sondern auch um eine optimierte Servicebereitstellung und höhere Qualität der Benutzererfahrung.