Was ist SD-WAN?

Ein softwaredefiniertes Wide Area-Netzwerk (SD-WAN) ist eine virtuelle WAN-Architektur, die es Unternehmen ermöglicht, jede beliebige Kombination aus Transportservices zu nutzen, darunter MPLS, LTE und Breitband-Internetservices, um Benutzer sicher mit Anwendungen zu verbinden.

Das sind SD-WAN-Gateways

Das traditionelle Modell des Backhauling von Datenverkehr von Zweigstellen ins Rechenzentrum für eine gründliche Sicherheitsprüfung ist nicht mehr optimal, da es Bandbreite verschwendet und Latenzen erzeugt, wodurch es letztlich zu einer Verschlechterung der Anwendungsleistung kommt. Es gibt großen Bedarf nach einer besseren Lösung, um Datenverkehr von Zweigstellen direkt über das Internet zu vertrauenswürdigen SaaS- und cloudbasierten Anwendungen zu senden, während Sicherheitsauflagen von Unternehmen eingehalten werden.

Ein SD-WAN gewährleistet konstante Anwendungsleistung und -resilienz, automatisiert die Lenkung des Datenverkehrs auf eine anwendungsbasierte Art und Weise auf der Grundlage der Geschäftsabsicht, erhöht die Netzwerksicherheit und vereinfacht die WAN-Architektur. Ein SD-WAN nutzt eine zentrale Steuerungsfunktion, um Datenverkehr sicher und intelligent durch das WAN und direkt zu vertrauenswürdigen SaaS- und IaaS-Anbietern zu lenken. Auf diese Weise wird die Anwendungsleistung gesteigert und eine hochwertige Benutzererfahrung bereitgestellt, die wiederum Produktivität und Flexibilität im Unternehmen fördert und zu einer Senkung der IT-Kosten beiträgt.

SD-WAN-Architektur

Herkömmliche, auf konventionellen Routern basierende WANs waren nie für die Cloud gedacht. In der Regel ist es damit erforderlich, den gesamten Datenverkehr, einschließlich des für die Cloud bestimmten Datenverkehrs, von Zweigstellenbüros in ein Hub oder in Rechenzentren im Hauptsitz zurückzutransportieren, wo erweitere Sicherheitsprüfungen angewendet werden. Die Verzögerung aufgrund des Rücktransports, der Backhaul, beeinträchtigt die Anwendungsleistung und infolgedessen die Benutzererfahrung und die Produktivität.

Im Gegensatz zur traditionellen routerzentrierten WAN-Architektur wurde das SD-WAN-Modell konzipiert, um vollständigen Support für Anwendungen zu bieten, die in lokalen Rechenzentren, öffentlichen oder privaten Clouds und in SaaS-Services gehostet werden, wie zum Beispiel Salesforce.com, Workday, Dropbox, Microsoft 365 und weitere Anwendungen, und dabei eine hohe Anwendungsleistung zu bieten.

Das ist eine SD-WAN-Architektur

Wie funktioniert ein SD-WAN?

Im Unterschied zum SD-WAN ist beim herkömmlichen routerzentrierten Modell die Steuerungsfunktion auf alle Geräte im Netzwerk verteilt. Der Datenverkehr wird dabei einfach auf der Grundlage von TCP-/IP-Adressen und ACLs weitergeleitet. Dieses traditionelle Modell ist starr, komplex, ineffizient und für die Cloud nicht geeignet. Die Folge: Eine unbefriedigende Benutzererfahrung.

Mit einem SD-WAN können Cloud-zentrierte Unternehmen ihren Nutzern eine herausragende Anwendungserfahrungsqualität (Application Quality of Experience, QoEx) bieten. Durch die Bestimmung von Anwendungen liefert ein SD-WAN eine intelligente, anwendungsbewusste Weiterleitung durch das WAN. Jede Anwendungsklasse erhält eine geeignete QoS und Sicherheitsrichtlinien-Durchsetzung, alles im Einklang mit den geschäftlichen Anforderungen. Sichere lokale Internet-Breakouts des IaaS- und SaaS-Anwendungsdatenverkehrs ausgehend von der Zweigstelle ermöglichen das höchste Niveau an Cloud-Performance, während das Unternehmen gleichzeitig vor Bedrohungen geschützt wird.

Video ansehen

Gründe für Aruba SD-WAN

Die Zeiten haben sich geändert. Unternehmen setzen auf die Cloud und abonnieren Software-as-a-Service (SaaS). Früher mussten sich Benutzer mit dem Unternehmensrechenzentrum verbinden, um auf Unternehmensanwendungen zuzugreifen. Heute genießen sie einen viel besseren Service, indem sie auf viele dieser Anwendungen in der Cloud zugreifen.

Daher ist das herkömmliche WAN nicht mehr länger primär geeignet, da der Backhaul des gesamten Datenverkehrs, einschließlich des Datenverkehrs zur Cloud, von Zweigestellen zum Hauptsitz Latenzen verursacht und die Anwendungsleistung beeinträchtigt. SD-WAN bietet WAN-Vereinfachung, Kostensenkung, Bandbreiteneffizienz und einen reibungslosen Weg in die Cloud mit einer deutlichen Anwendungsleistung, insbesondere für kritische Anwendungen, ohne dass es zu Beeinträchtigungen der Sicherheit und des Datenschutzes kommt. Eine verbesserte Anwendungsleistung fördert die Unternehmensproduktivität, die Kundenzufriedenheit und infolgedessen auch die Profitabilität. Unterbrechungsfreie Sicherheit verringert Unternehmensrisiken.

Video ansehen

Grundlegendes SD-WAN vs. unternehmensorientiertes SD-WAN

  • Nicht alle SD-WANs werden auf die gleiche Weise erstellt. Viele SD-WAN-Lösungen sind grundlegende SD-WAN-Lösungen oder „nur ausreichend gute“ Lösungen. Diesen Lösungen mangelt es an Intelligenz, Zuverlässigkeit, Leistung und Skalierbarkeit, die erforderlich sind, um eine herausragende Netzwerkerfahrung zu gewährleisten. Vergessen Sie nicht, ohne ein schnelles, sicheres und leistungsstarkes Netzwerk können Unternehmensinitiativen zur digitalen Transformation verzögert werden, denn sie basiert auf Apps, die auf Services basieren, die wiederum vom Netzwerk abhängig sind. Ein SD-WAN ist die zentrale Grundvoraussetzung für die digitale Transformation und fördert strategische Entscheidungen im Unternehmen. Was also ist ein unternehmensorientiertes SD-WAN, und warum ist ein grundlegendes SD-WAN nicht gut genug?
  • Lebenszyklus-Orchestrierung und -Automatisierung. Viele der grundlegenden SD-WAN-Angebote bieten ein gewisses Maß an vollautomatisierter Bereitstellung. Doch grundlegende SD-WAN-Lösungen bieten nicht immer vollständige Ende-zu-Ende-Orchestrierung aller WAN-Edge-Funktionen, wie zum Beispiel Weiterleitung, Sicherheitsdienste, darunter die Verkettung von Services zu fortschrittlichen Sicherheitsservices von Drittanbietern, und WAN-Optimierung. Wenn Unternehmen neue Anwendungen bereitstellen oder wenn eine QoS- oder Sicherheitsrichtlinien-Änderung erforderlich ist, unterstützt ein unternehmensorientiertes SD-WAN die zentrale Konfiguration und ermöglicht es, dass die erforderlichen Änderungen innerhalb weniger Minuten und nicht in Wochen oder Monaten bereitgestellt werden. Die zentrale Orchestrierung verringert in hohem Maße menschliche Fehler, die die Leistung oder Sicherheit beeinträchtigen können.
  • Fortlaufendes Selbstlernen. Eine grundlegende SD-WAN-Lösung leitet den Datenverkehr basierend auf vordefinierten Regeln, meist programmiert über Vorlagen. Ein unternehmensorientiertes SD-WAN bietet unter allen Netzwerkbedingungen eine optimale Anwendungsleistung oder passt sich im Falle von Veränderungen wie Überlastungen oder Beeinträchtigungen an. Durch fortlaufende Überwachung und Selbstlernen reagiert ein unternehmensorientiertes SD-WAN automatisch und in Echtzeit auf alle Änderungen im Netzwerkzustand. Ein unternehmensorientiertes SD-WAN passt sich ständig an Änderungen im Netzwerk an und reagiert in Echtzeit auf Änderungen, die die Anwendungsleistung beeinträchtigen könnten, darunter Netzwerküberlastung, Brownout- und Transportausfallbedingungen. So können sich Benutzer jederzeit mit Anwendungen verbinden, ohne dass eine manuelle IT-Intervention erforderlich wird. Wenn es beispielsweise bei einem WAN-Transportservice oder einem Cloud-Sicherheitsservice zu Leistungsbeeinträchtigungen kommt, passt sich das Netzwerk automatisch an, damit der Datenverkehr weiterhin fließen kann und die Einhaltung von Unternehmensrichtlinien sichergestellt ist.
  • Gleichbleibende Erfahrungsqualität (QoEx). Ein wesentlicher Vorteil einer fortschrittlichen SD-WAN-Lösung ist die Möglichkeit, aktiv mehrere Formen des WAN-Transports gleichzeitig zu nutzen. Eine grundlegende Lösung kann Datenverkehr auf Anwendungsbasis über einen einzelnen Pfad leiten. Und wenn dieser Pfad ausfällt oder unzureichende Leistung bietet, kann eine dynamische Umleitung zu einem Link mit besserer Performance erfolgen. Doch bei vielen grundlegenden Lösungen werden Failover-Zeiten bei Ausfällen in Zehntelsekunden und länger gemessen, und das führt häufig zu störenden Anwendungsunterbrechungen. Ein unternehmensorientiertes SD-WAN überwacht und verwaltet intelligent alle zugrunde liegenden Transportservices. So lassen sich die Herausforderungen von Paketverlust, Latenz und Jitter überwinden, um den Nutzern eine herausragende Anwendungsleistung und QoEx zu bieten, selbst wenn WAN-Transportservices beeinträchtigt sind. Im Gegensatz zu einem grundlegenden SD-WAN wickelt ein unternehmensorientiertes SD-WAN vollständige Transportausfälle reibungslos ab und bietet Failover in Sekundenbruchteilen, was eine Unterbrechung von unternehmenskritischen Anwendungen verhindert, wie zum Beispiel Sprach- und Videokommunikation.
  • Ende-zu-Ende-Segmentierung. Grundlegende SD-WANs bieten zwar das Äquivalent eines VPN-Service, doch ein unternehmensorientiertes SD-WAN bietet umfassendere Ende-zu-Ende-Sicherheitsfunktionen. Die SD-WAN-Plattform sollte nicht nur eine Firewall der nächsten Generation unterstützen, sondern die Ende-zu-Ende-Segmentierung orchestrieren und durchsetzen, die vom LAN-WAN-Rechenzentrum bis zur LAN-WAN-Cloud reicht. Zentral konfigurierte Sicherheitsrichtlinien sind wesentlich einheitlicher, da weniger menschliche Fehler auftreten als beim geräteorientierten SD-WAN-Modell, für das häufig Konfigurationsrichtlinien auf Gerätebasis erforderlich sind. Wenn eine Richtlinie geändert werden muss, wird sie bei einem unternehmensorientierten SD-WAN zentral programmiert und an Hunderte oder Tausende Knoten im Netzwerk übertragen. So realisieren Sie eine erhebliche Steigerung der operativen Effizienz, verkleinern die gesamte Angriffsfläche und verhindern Sicherheitsverstöße.
  • Sicherer lokaler Internet-Breakout für Cloud-Anwendungen. Viele grundlegende SD-WANs bieten ein gewisses Maß an Funktionen zur Anwendungsklassifizierung auf der Grundlage fester Definitionen und manueller Skripte für ACLs, um SaaS- und IaaS-Datenverkehr direkt durch das Internet zu leiten. Allerdings verändern sich Cloud-Anwendungen ständig. Ein unternehmensorientiertes SD-WAN passt sich fortlaufend an Änderungen an und bietet automatisch tägliche Updates für Anwendungsdefinitionen und IP-Adressen. So werden Anwendungsunterbrechungen und Probleme hinsichtlich der Nutzerproduktivität vermieden.

Idealerweise sollten sich Unternehmenskunden einer unternehmensorientierten SD-WAN-Plattform zuwenden, die Funktionen für SD-WAN, Firewall, Segmentierung, Weiterleitung, WAN-Optimierung und Transparenz sowie Steuerung alle in einer einzelnen, zentral verwalteten Plattform vereint.

Erweiterte SD-WAN-Funktion für SASE

2019 hat Gartner den Begriff „Secure Access Service Edge“ oder „SASE“ geprägt, wodurch eine sicherere und flexiblere Möglichkeit, Sicherheitsprüfungen direkt in der Cloud durchzuführen, bereitgestellt wird, statt den Datenverkehr von Anwendungen zum Rechenzentrum zurückweisen zu müssen, bevor er in die Cloud weitergeleitet wird.

SASE kombiniert SD-WAN mit erforderlichen cloudbasierten Sicherheitsfunktionen, die auch als Security Service Edge (SSE) bekannt sind. SSE definiert die Zusammenstellung der Sicherheitsservices, die dazu beitragen, die Sicherheitsvision von SASE Realität werden zu lassen.

Das eigentliche Ziel von SASE ist es, die beste Erfahrungsqualität für Endbenutzer bei in der Cloud gehosteten Anwendungen zu bieten, ohne die Sicherheit zu beeinträchtigen. Bei der Zusammenarbeit mit vielen Unternehmen, die ihre SASE-Architekturen konzipiert und bereitgestellt haben, haben wir gelernt, dass grundlegende SD-WAN-Funktionen zu kurz greifen. Ein SD-WAN mit erweiterten Netzwerkfunktionen ist erforderlich, um SASE vollständig zu ermöglichen:

  • Bestimmen Sie Anwendungsdatenverkehr am ersten Paket und leiten Sie ihn granular weiter, um sowohl QoS- als auch Sicherheitsrichtlinien gemäß der Unternehmensabsicht durchzusetzen
  • Halten Sie Cloud-Anwendungsdefinitionen und TCP-/IP-Adressbereiche auf dem aktuellen Stand, automatisch und jeden Tag
  • Automatisieren Sie die Orchestrierung zwischen dem SD-WAN und über die Cloud bereitgestellte Sicherheitsservices von einer einzigen Konsole aus, um es einfach zu halten
  • Bieten Sie einen automatischen Failover auf einen sekundären Punkt zur Durchsetzung der Cloud-Sicherheit, um Anwendungsunterbrechungen zu vermeiden
  • Bieten Sie die automatische Neukonfiguration von sicheren Verbindungen zu Punkten der Durchsetzung von Cloud-Sicherheit, wenn ein neuerer, näher gelegener Standort für die Zweigstelle verfügbar wird
  • Ermöglichen Sie es Kunden, Cloud-Sicherheitsdienste und ihre SASE-Implementierungen in ihrer eigenen Geschwindigkeit zu übernehmen
  • Und am wichtigsten: Bieten Sie Wahlfreiheit bei der Bereitstellung neuer Sicherheitsinnovationen, sobald Anbieter sie zur Verfügung stellen, um unbekannten Sicherheitsbedrohungen einfach entgegenzuwirken

Video ansehen

Sind Sie startbereit?

Feedback