Ist SD-WAN wirklich tot?
Totgesagte leben bekanntlich länger! Wenn auch wie im Falle von SD-WAN in einer neuen Familie mit neuen Schwerpunkten. Entdecken Sie im nachfolgenden Blog die Highlights einer bemerkenswerten Laufbahn im Zeitalter der Globalisierung und rasch fortschreitenden Mobilität in unserer Gesellschaft.
Die Geschichte von SD-WAN und der neuen Identität
Es ist noch gar nicht so lange her, dass wir von der brandneuen Technologie namens SD-WAN geschwärmt haben. Der neue Liebling der Netzwerkbranche würde uns von den Fesseln der veralteten MPLS-Services befreien. Doch gerade als wir uns an das SD-WAN gewöhnt hatten, kam eine weitere, noch aufregendere Neuheit auf den Markt: der Secure Access Service Edge (SASE). Er würde uns noch mehr bieten – mehr Sicherheit, besseren Fernzugriff und schnellere Bereitstellung. SD-WAN? Das ist doch Schnee von gestern – oder doch nicht? Ist SD-WAN eine weitere Netzwerktechnologie, die in dieser SASE-Welt in Vergessenheit gerät, oder spielt SD-WAN weiterhin eine wichtige Rolle? Finden wir es heraus.
SD-WAN: Die Kleinkindjahre
Als SD-WAN geboren wurde, gab es viel zu lieben. Es war niedlich, glänzte und zeigte Unternehmen, wie sie sich von MPLS abwenden und ein Netzwerk für die neue Welt aufbauen konnten. MPLS war in die Jahre gekommen, als die Benutzer noch in Büros arbeiteten, die Ressourcen im Rechenzentrum untergebracht waren und das Internet erst später hinzukam. Es war hoffnungslos unzeitgemäß für eine Welt, die sich schnell bewegen musste und die vom Internet besessen war.
SD-WAN ging diese Probleme an und schuf ein intelligentes Overlay, dass es Unternehmen ermöglichte, Standard-Internetverbindungen zu nutzen, um die Einschränkungen von MPLS zu überwinden. Konkret bedeutete dies:
- Mehr Kapazität zur Verbesserung der Anwendungsleistung
- Geringere Netzwerkkosten durch die Nutzung eines erschwinglichen Internetzugangs und nicht einer teuren MPLS-Kapazität.
- Mehr Bandbreitenflexibilität durch Aggregation von Internet-Verbindungen auf der letzten Meile
- Verbesserte Verfügbarkeit auf der letzten Meile durch die Verbindung von Standorten über aktive Verbindungen
- Schnellere Bereitstellungen, da Standorte innerhalb von Tagen statt Monaten angeschlossen werden können
SD-WAN: Der Teenager, der enttäuscht
Doch dann änderte sich die Welt – wieder einmal. Ressourcen wurden in die Cloud verlagert und die Pandemie schickte alle nach Hause. Plötzlich war das Büro nicht mehr der Mittelpunkt der Arbeit. Es reichte nicht mehr aus, die Herausforderung der standortübergreifenden Kommunikation zu lösen. Jetzt brauchten Unternehmen eine Möglichkeit, fortschrittliche Sicherheit dorthin zu bringen, wo sich die Ressourcen befanden – in der Cloud oder im privaten Rechenzentrum. Auch vom Standort wo die Benutzer arbeiteten – im Büro, zu Hause oder unterwegs und dass alles ohne Leistungseinbußen. Nichts davon stand in der Aufgabenbeschreibung von SD-WAN, was die folgenden Anwendungsfälle zu einer besonderen Herausforderung macht:
Fernarbeitskräfte
SD-WAN bietet keine Unterstützung für den Fernzugriff – Punkt. Es gab keinen mobilen Client, der sich einem SD-WAN anschließen konnte. Heutzutage ist ein sicherer Fernzugriff jedoch eine wesentliche Säule für die Gewährleistung der Geschäftskontinuität.
Erweiterte Sicherheit
SD-WAN verfügt nicht über die notwendige Sicherheit, um Zweigstellen zu schützen. Firewall der nächsten Generation (NGFW), Intrusion Prevention Systems (IPS), Secure Web Gateway (SWG), Anti-Malware – alles notwendige Komponenten für den Schutz des Unternehmens, die von SD-WAN nicht bereitgestellt werden. Die Kosten und die Komplexität von SD-WAN-Implementierungen steigen erheblich, wenn man die für die Bereitstellung dieser Funktionen erforderlichen Geräte und Dienste mit einbezieht.
SD-WAN: Die besten Jahre
SD-WAN ist also nicht perfekt, aber vielleicht fragen Sie sich, warum es nicht mit dem Rest der Sicherheits- und Netzwerkinfrastruktur koexistieren kann? Stellen Sie einfach eine SWG- oder eine Security Service Edge-Lösung (SSE) bereit. Dies führt jedoch zu einem Netzwerk, das bestenfalls mit getrennten Gehirnen verwaltet wird – eines für Ihr SD-WAN und ein weiteres für Ihre Sicherheitsinfrastruktur – und eher zu zusätzlichen Gehirnen für die Verwaltung der restlichen Sicherheitsinfrastruktur und des globalen Backbone.
Und mit mehreren Gehirnen wird alles noch komplizierter:
Vergessen Sie Zero-Touch:
SD-WAN hat zwar behauptet, eine Zero-Touch-Konfiguration zu bieten, aber die Realität sieht ganz anders aus. Ohne die erforderlichen Sicherheitsfunktionen wird die Bereitstellung von SD-WANs sehr viel komplizierter, da zusätzliche Sicherheitsanwendungen bewertet, gekauft, an die Standorte geliefert, installiert und integriert werden müssen.
Hochverfügbarkeit (HA) wird zum Kopfzerbrechen:
Da SD-WAN auf Internetverbindungen angewiesen ist, ist Hochverfügbarkeit (HA) fast schon eine Notwendigkeit. Aber mit mehreren Gehirnen wird HA noch viel schwieriger. Es gibt keine automatisierte Bereitstellung von stabilen Verbindungen zwischen Geräten oder Diensten. Es gibt auch kein damit verbundenes dynamisches Failover, sodass Unternehmen Backup-Appliances installieren und zusätzliche Betriebszeit für das Testen von Failover-Szenarien aufwenden müssen.
Die Sichtbarkeit ist begrenzt:
Die Fragmentierung von Daten über mehrere Netzwerk- und Sicherheitssysteme hinweg bedeutet, dass Sie nie einen vollständigen Überblick über Ihr Netzwerk haben. Sie können die Netzwerkindikatoren für neue Bedrohungen nicht erkennen. Die Fehlerbehebung bei Ausfällen wird schwieriger, da sich die Daten in den Protokollen mehrerer Geräte verstecken.
Wenn Sie sich auf SSE-Angebote oder Sicherheitsdienste in der Cloud verlassen, wird das Problem nicht vollständig gelöst. Die Bereitstellung ist immer noch ein Problem, da es kein automatisiertes Traffic-Routing und keinen Tunnelaufbau zwischen SD-WAN-Geräten und Cloud Security PoPs gibt. Die Sicherheitsinfrastruktur ist auch nicht in der Lage, Sicherheitsrichtlinien (z. B. Segmentierung) zwischen SD-WAN- und Cloud-Sicherheitsanbietern zu verwenden und gemeinsam zu nutzen. Im Betrieb bleiben SD-WAN-Geräte und Cloud-Services getrennt, was die Fehlerbehebung erschwert und den Sicherheitsteams Netzwerkinformationen vorenthält, die für die Suche nach Bedrohungen wertvoll sein könnten.
Und letztendlich ist es immer noch besser, auf zwei Gehirne zu reduzieren als auf vier, denn dann hat man immer noch zwei Gehirne in einem Netzwerk.
SD-WAN: Es ist nicht tot, nur Teil einer größeren Familie
Ist SD-WAN also tot? Wohl kaum. Es bleibt, was es immer war – ein wichtiges Tool für den Aufbau eines Unternehmensnetzwerks. Aber wie der verrückte Onkel, der zwar für Lacher sorgt, aber nicht sehr zuverlässig ist, hat SD-WAN Grenzen, die es zu überwinden gilt.
Gefragt ist ein Ansatz, der SD-WAN für die Verbindung von Standorten nutzt, aber dessen Sicherheits- und Bereitstellungsbeschränkungen berücksichtigt. SASE sichert und verbindet das gesamte Unternehmen – Hauptsitz, Zweigstellen an entfernten Standorten, Benutzer zu Hause oder unterwegs und Ressourcen in der Cloud, in privaten Rechenzentren oder im Internet. Mit einem Netzwerk, das das gesamte Unternehmen sichert und verbindet, werden Implementierungen einfacher, die Sichtbarkeit wird verbessert und die Sicherheit wird konsistenter.
Um dies zu erreichen, fordert SASE, den Großteil der Sicherheits- und Netzwerkverarbeitung in ein globales Netzwerk von PoPs zu verlagern. SD-WAN-Geräte verbinden Standorte mit den nächstgelegenen PoPs; VPN-Clients oder clientloser Zugang verbinden entfernte und mobile Benutzer. Native Cloud-Konnektivität innerhalb der PoPs verbindet IaaS- und SaaS-Ressourcen.
Cato ist die weltweit erste und robusteste globale SASE-Plattform
Cato ist die weltweit erste SASE-Plattform, die SD-WAN und Netzwerksicherheit in einem globalen, Cloud-nativen Service zusammenführt. Cato optimiert und sichert den Anwendungszugriff für alle Benutzer und Standorte, einschließlich Zweigstellen, mobile Benutzer und Cloud-Rechenzentren, und ermöglicht es Unternehmen, alle diese Anwendungen über eine einzige Managementkonsole mit umfassender Netzwerktransparenz zu verwalten. Die SASE-Plattform von Cato bietet alle Vorteile von Cloud-nativen Architekturen, inklusive nahezu unbegrenzte Skalierbarkeit und Elastizität.
Cato Blog von Dave Greenfield, Retrieved 2022, Juli 26,
Der Inseya CareFree Service
Inseya, der erste Cato Networks «distinguished support Partner» der Schweiz, verfügt über hervorragend ausgebildete und zertifizierte Engineers, um Kundenprojekte erfolgreich zu implementieren und zu betreiben. Wohin und wie Sie sich auch entwickeln, wir werden über die erforderlichen Expertenressourcen verfügen und Sie in der Herausforderung, der sich jede WAN-Transformationsinitiative stellen muss, begleiten und unterstützen.
Inseya unterstützt sie auf Ihrem Weg vom PMO zum FMO, indem die gesamtheitlichen Planung und schrittweise Umsetzung mit dem Kunden erarbeitet wird. Nebst den technischen Aspekten wird viel Wert auf Usability, Kommunikation und Einbezug aller Stakeholder gelegt.
Transport Layer Management Option
Damit Enterprise Kunden vom «one-stop-shop» Erlebnis profitieren, integriert Inseya auf Wunsch den Transport Layer. Design, Topologie und Kapazität werden mit dem Netzwerk Provider managed und laufend nach den Kundenbedürfnissen optimiert. Darin enthalten ist auch das ‘last mile montoring’ inbegriffen.
Mobile Sites und Benutzer
Inseya bietet standardmässig eine «mobile Site» Integration an, die für temporäre oder bewegliche Standorte genutzt werden. Damit wird das Erlebnis von mobilen und Heim-Benutzern nahtlos erweiterbar und demjenigen der Office Gerät angeglichen und als Service verfügbar.
Betrieb und Change Management
Sämtliche operativen Aufgaben, Incident Support sowie das Change Management sind durch den CareFree Support abgedeckt. Die Service Meetings unter Leitung der fest zugeteilten Service Engineers stellen das optimale Kundenerlebnis sicher.