Mit <kes>+ lesen

Sichere und stabile Netzwerke : SD-WAN vorausschauend planen

Unternehmen haben mit einer immer größer werdenden Datenlast zu kämpfen: Der zunehmende Vernetzungsgrad etwa durch das Internet of Things und Industrie 4.0 führt zu riesigen Datenströmen, die durch die Unternehmensnetze fließen. Ein software-basiertes WAN (SD-WAN) sorgt mit wenig Aufwand für Entlastung. Bei der Wahl der passenden Lösung sind jedoch einige Kriterien zu bedenken.

Tim Cappelmann
Lesezeit 8 Min.
Ein SD-WAN bündelt virtuell unterschiedliche Leitungen und Dienste und spannt ein Overlay-Netzwerk.
Ein SD-WAN bündelt virtuell unterschiedliche Leitungen und Dienste und spannt ein Overlay-Netzwerk.

Die digitale Transformation stellt hohe Ansprüche an die bestehenden Wide Area Networks (WANs). Wenn es darum geht, mehr Netzwerkleistung bereitzustellen, sind sie jedoch zu langsam und unflexibel. Bisher war deswegen bei höherem Bedarf der Zukauf von Multiprotocol-Label-Switching-(MPLS)-Leitungen nötig. Der Aufbau solcher MPLS-Netze ist jedoch zeitintensiv, teuer und schwer skalierbar. Als Mittel der Wahl setzen daher immer mehr Unternehmen auf die SD-WAN-Technologie, die mehr Leistung, Verfügbarkeit und Transparenz verspricht.

Gartners „Hype Cycle for Midsize Enterprises, 2018“ erstellte eine Prognose für SD-WAN-Produkte und gab an, dass sie spätestens im kommenden Jahr ihren Marktdurchbruch erreichen. Die Anbieter haben dementsprechend ihre Konzepte standardisiert und ermöglichen so einen immer leichteren, zielgerichteteren Einsatz. Hier spielt ihnen der voranschreitende Digitalisierungsgrad der Unternehmen in die Hände: Die IT-Abteilungen stehen zunehmend vor der Aufgabe, immer mehr Services und Anwendungen schnell und störungsfrei an unterschiedlichen Standorten bereitzustellen.

Gerade auch die Migration in die Cloud führt zu einem stetig wachsenden Bedarf an Bandbreite. So gibt der Cloud-Monitor 2019 von Bitkom Research an, dass im Jahr 2018 rund 73 Prozent der befragten Unternehmen Cloud-Computing nutzten. Im Vorjahr waren es noch 66 Prozent. 85 Prozent sehen die Cloud-Nutzung als treibende Kraft der Digitalisierung – doch Software as a Service (SaaS), Infrastructure as a Service (IaaS), Platform as a Service (PaaS) sind nur dann erfolgreich, wenn ein stabiles WAN einen zuverlässigen Zugriff auf die Cloud-Services ermöglicht. Ein SD-WAN ist eine mögliche Lösung für dieses Problem; es schafft ein stabiles Netz und sorgt so für eine höhere Ausfallsicherheit.

Die SD-WAN-Technologie bündelt unterschiedliche Leitungen wie MPLS, DSL und LTE-Dienste zu einer virtuellen Verbindung und spannt über alle nutzbaren Übertragungswege ein Overlay-Netzwerk. Dieses setzt auf das physische IP-Underlay-Netzwerk auf, das die Datenpakete transportiert. Das SD-WAN weist den Daten automatisch die passende Netzwerkleistung zu. Dafür überprüft es kontinuierlich die verfügbaren Leitungen und routet die Datenpakete über den jeweils bestmöglichen Pfad.

Der passende Pfad

Auch bei Pfadausfällen oder sinkender Performance reagiert das SD-WAN und lenkt den Traffic automatisch um. Diese Failover-Mechanismen greifen in Zeitspannen weit unterhalb einer Sekunde – Anwender bekommen davon also nicht viel mit. Der Betrieb verläuft dabei störungsfrei, ohne dass sie ihre Programme oder Systeme neu starten, verbinden oder sich wiederholt anmelden müssen. Die IT-Prozesse laufen somit ohne Unterbrechung und deutlich stabiler.

Für Unternehmen bedeutet das auch eine erhöhte Betriebssicherheit: Das SD-WAN berücksichtigt den sicheren Transfer von Daten, entsprechend ihrer Relevanz und der Unternehmensrichtlinien. Über die privaten MPLS-Leitungen schickt es beispielsweise Daten mit hoher Priorität oder besonders vertrauliche. Weniger sensible Datenpakete routet das SD-WAN über öffentliche und somit preiswertere Internetverbindungen. Trotzdem bleibt der Datenverkehr über die Tunnelverschlüsselung geschützt.

SD-WAN vereinfacht darüber hinaus die Konfiguration von Routern und Edge-Geräten: Mitarbeiter der IT-Abteilungen verwalten die Geräte mit SD-WAN nicht mehr einzeln, sondern über eine zentral steuernde Instanz. So sind Netzwerk- und Sicherheitsrichtlinien in wenigen Klicks auf allen Geräten installiert. Der Aufwand, ein SD-WAN in Betrieb zu nehmen, ist daher minimal und der Service steht schnell bereit. Auch volatilen Anforderungen an Leitungsparameter oder agile Bereitstellungsprozesse begegnet SD-WAN sofort.

Mehr Transparenz

Die SD-WAN-Technologie eröffnet einen ständigen Überblick über die Datenströme und schafft so Transparenz darüber, wie die Leitungen ausgelastet sind. Außerdem ist ersichtlich, welche Anwendungen und Netzteilnehmer mit welcher Netzqualität versorgt sind – historisch und in Echtzeit. Bevor der Anwender es überhaupt merkt, sieht der Administrator, wo sich Engpässe anbahnen oder wo die Orchestrierung nicht aufeinander abgestimmt ist. Da es diese Einblicke in Legacy-WANs nicht gibt, ziehen Leitungsprobleme hier oftmals eine längere Fehlersuche nach sich. Die SD-WAN-Technologie erhöht die Reaktionsgeschwindigkeit bei Problemen somit erheblich und unterstützt damit die gesamte Geschäftsagilität.

Aber das bessere Monitoring erlaubt nicht nur, auf die Netzwerkauslastungen zu reagieren. Es ermöglicht auch, größeren Datentransfer, der etwa bei Updates anfällt, vorausschauend zu planen. Ein weiterer Vorteil der software-definierten Lösung liegt darin, dass sie durch das Echtzeit-Monitoring Security-Risiken senkt. Die Übersicht der Datenströme hilft beispielweise Distributed-Denial-of-Service-(DDoS)-Attacken oder den physischen Abzug von Daten frühzeitig zu erkennen und abzuwehren. Potenzielle Schäden werden so auf ein Minimum begrenzt.

Passende Produkte

Aktuell haben sich verschiedene Anbieter mit SD-WAN-Produkten und einer ergänzenden Service-Ökonomie auf dem Markt positioniert. Führend sind hier bekannte Anbieter wie Citrix, Cisco oder Aruba. Bei der Auswahl eines Providers sollten Unternehmen genau hinschauen: Hinter dem Begriff SD-WAN versteckt sich oft ein unterschiedliches Verständnis.

Der Kern der Technologie ist das dynamische Routing der Anwendungsklassen über das Overlay-Netzwerk. Das heißt, es findet ein kontinuierlicher Abgleich der Netzwerkknoten untereinander statt. Das funktioniert, wenn sich alle Knoten miteinander austauschen und Kenntnisse von der Lastsituation aller Netzwerkknoten haben. Auf diese Weise leitet das SD-WAN den Daten-Traffic intelligent um – SD-WAN-Produkte, die dieses Prinzip beinhalten, schaffen die gewünschte Netzflexibilität.

Einige Hersteller schließen in ihr Produkt zusätzlich eine WAN-Optimierungs-Technologie ein, die unter anderem Datenkomprimierung, Traffic-Engineering und Bandbreiten-Management umfasst. So ermöglichen die Produkte beispielsweise eine Kompressionsrate von 1:10 000, sobald die Leitung wiederkehrende Bitmuster transportiert. Damit verringert sich der Daten-Traffic und analog dazu der Leitungsbedarf. Das gilt besonders bei vielen Protokollen, die ursprünglich nicht für den latenzbehafteten WAN-Betrieb konzipiert wurden (CIFS, NFS etc.).

Vor dem Kauf eines SD-WAN-Produkts sollten Unternehmen daher zwingend den Bedarf ihrer Bandbreite ermitteln. Dann gilt es grundsätzlich zu entscheiden, ob sie eine WAN-Optimierung im Overlay-Netzwerk des SD-WANs integrieren möchten. Die Anschaffungskosten liegen dabei höher als bei einem SD-WAN ohne diese Technologie. Meist zahlt sich die Investition aber dadurch aus, dass die Netze besser ausgelastet sind. Außerdem ist weniger Netzvolumen bei den beteiligten Providern nötig.

Eigenregie oder Dienstleistung?

Nun stellt sich dem Unternehmen die nächste Frage: Installiert und verwaltet die eigene IT-Abteilung das SD-WAN oder übernimmt das ein Managed-Service-Partner? Der Knackpunkt liegt dabei hauptsächlich bei der Betreuung des SD-WANs: Die Standard-Installation selbst hat oftmals einen Plug-and-Play-Charakter und wird vom Techniker des Herstellers begleitet. Sobald es dann aber um die individuelle Konfiguration, vor allem bei der Optimierung, und das tägliche Monitoring geht, ist das für Unternehmen zeit- und ressourcenintensiv. Denn die Administratoren haben die Aufgabe, die Anwendungslandschaft der konkreten Organisation anzupassen und die Kommunikationsmatrix entsprechend zu adaptieren.

Der Einsatz eines Managed-Service-Partners ist deswegen gerade für kleine und mittlere Unternehmen (KMU) sinnvoll. Die Service-Provider sind mit der Technik vertraut und überwachen das software-definierte WAN rund um die Uhr – sobald unregelmäßige oder ungewöhnliche Datenströme auftreten, kann der Dienstleister so entsprechende Maßnahmen einleiten. Hersteller von SD-WAN-Produkten gehen immer mehr dazu über, Systemhäuser als Service-Partner einzubeziehen, um die Kompatibilität zu verbessern. Wenn diese den Partnerstatus tragen, besitzen sie entsprechende Expertise. Außerdem stehen sie mit dem SD-WAN-Anbieter in direktem Austausch, was die Qualität des Services nochmals erhöht.

Bessere Security-Sensorik

Damit die Installation des SD-WANs reibungslos verläuft, gilt es spezielle Eckpunkte zu bedenken. Grundlegend sollte man prüfen, ob die Schnittstellen der Unternehmens-IT mit denen des SD-WAN-Produkts kompatibel sind. Ist das gegeben, greifen im übrigen Verlauf die standardisierten Schnittstellen des Underlayer-Netzwerks. Hersteller wie Cisco, Aruba und Citrix veröffentlichen dazu Deployment Guides, die die Installationsschritte detailliert beschreiben. Im laufenden Betrieb sind die gesamten Komponenten des SD-WANs dann über das Overlay miteinander verbunden. Zusätzlich zur WAN-Optimierung verbessert das unter bestimmten Voraussetzungen die IT-Sicherheit: Über das Overlay lässt sich der Datenverkehr in der gesamten Organisation abgreifen und schlussendlich auf potenzielle Gefahren untersuchen – obwohl der Datenverkehr verschlüsselt ist.

Ein SD-WAN erleichtert darüber hinaus auch die Installation der Security-Sensorik. Will ein Unternehmen beispielsweise ein zusätzliches Intrusion-Detection-System (IDS) implementieren, lässt sich dieses ganz leicht über die SD-WAN-Technologie integrieren, da das mühsame Forschen nach den nötigen Netzwerkpunkten komplett entfällt. Das vereinfacht es, Sicherheitsbausteine wie ein IDS in einem verzweigten Netzwerk durchzusetzen.

Entscheiden sich Unternehmen für einen SD-WAN-Betrieb mithilfe eines Managed-Service-Partners, sollten sie vorab darauf achten, dass der Dienstleister über die nötige Security-Expertise verfügt. Ist der Provider im Security-Bereich erfahren, sind Unternehmen in der Lage, die gesamte Bandbreite der SD-WAN-Technologie auszuschöpfen. Damit die Systeme effektiv greifen, ist eine 24/7-Überwachung notwendig – das stellen spezielle Managed-Security-Service-Provider (MSSP) sicher. Idealerweise sind dabei Lösungen wie ein IDS ein Baustein eines umfänglichen Security-Operation-Centers (SOC), dessen Verwaltung dem MSSP obliegt. Auch Hersteller von SD-WAN-Komponenten richten ihren Fokus verstärkt auf das Sicherheitsthema und integrieren in ihren Produkten zum Beispiel Firewall-Technik. Der Betrieb der Sicherheitskomponenten läuft hierbei mithilfe virtueller Maschinen (VMs) – zusätzliche Kosten für Erwerb und Installation von Hardware entfallen dadurch.

Fazit

Spätestens mit dem flächendeckenden Einsatz von Cloud-Services stehen Unternehmensnetzwerke unter Leistungsdruck. Ein SD-WAN ist „State of the Art“, wenn es darum geht, Daten schnell, sicher und kostensparend an ihre Zielorte zu transportieren. Im täglichen Einsatz gilt es vor allem, die Vorteile des umfänglichen Monitorings zu nutzen. Hier sollten Unternehmen abwägen, ob die eigene IT-Abteilung das SD-WAN verwaltet oder ob sie dafür einen Dienstleister engagieren. Besonders bei der Installation ist es für Unternehmen ratsam, den Sicherheitshinweisen der Hersteller zu folgen. Um das Security-Level der gesamten Unternehmens-IT zu steigern, bieten Hersteller oftmals bereits Sicherheits-Features in ihren Produkten an. Über ein SD-WAN-Overlay lassen sich diese dann einfach implementieren. Unternehmen sollten prüfen, ob sie auf spezialisierte Managed-Security-Service-Provider zurückgreifen, um alle Lösungen am Ende miteinander zu verknüpfen.

Tim Cappelmann ist Leiter Managed Services bei AirITSystems.

Diesen Beitrag teilen: