SD-WAN-Technik (Software-Defined Wide Area Network) dient dem Ziel, Unternehmensnetzwerke grundlegend zu verbessern – sowohl die Leistungsfähigkeit, als auch die Sicherheit. Letzteres kommt jedoch nicht automatisch mit der Entscheidung für eine SD-WAN-Lösung. Nur wer die richtigen Konfigurationen vornimmt, gewinnt mit der Technik ein neues Maß an Sicherheit.

SD-WANs sollen die bisherigen Weitverkehrsnetze ergänzen, um deren MPLS-Leitungen (Multi-Protocol Label Switching) und Internet-Zugänge leistungsfähiger und den Datentransfer sicherer zu machen. Durch die Bereitstellung von Kunden-Services und die Expansion in neue Märkte gehört die international standortübergreifende Arbeit für die meisten Unternehmen heute zum Alltag. Um Zweigstellen an das zentrale Unternehmensnetzwerk anzuschließen, setzten in der Vergangenheit viele auf statische WANs. Als besonders zuverlässig stellten sich dedizierte MPLS-Leitungen als Basis für das Unternehmens-VPN heraus. Für Leitungsausfälle stehen Backup-Lösungen über lokale DSL- oder Mobilfunkleitungen zur Verfügung. Im Regelfall ruhend, werden sie nur in solche Ausnahmesituationen aktiv.

Doch ohne Entlastung ächzen die MPLS-Leitungen zunehmend unter der täglichen Last von Cloud-basierten Services wie SaaS, IaaS und Big Data oder dem Datenverkehr durch das Internet of Things. Diese gewinnen für Unternehmen zunehmend an Bedeutung und müssen in den Zweigstellen und bei mobilen Mitarbeitern mit derselben Performance zur Verfügung stehen wie im Unternehmen selbst. Doch die Services und Anwendungen gehen mit enormen Kapazitätsanforderungen einher. Diesen sind die statischen WANs kaum noch gewachsen. Zudem können Zweigstellen Cloud-Anwendungen und das Internet in der Regel nur über zentrale Breakouts, zumeist an der Firmenzentrale, erreichen. Der Datenverkehr läuft dabei im ungünstigsten Fall zum zentralen Übergang und dann zurück zur dezentralen Cloud-Applikation. Für Unternehmen bedeutet dies Komplikationen bei modernen Geschäftsprozessen und Cloud-Diensten, was wiederum unproduktive Arbeitsabläufe und Mehrkosten mit sich bringt. Zwar kann man die Leistungsfähigkeit solcher WANs durchaus erhöhen – doch dies ist zum einen sehr kostspielig und verspricht zum anderen nur eine kurzfristige Lösung des Problems.

Um ihre digitale Zukunft voranzutreiben, müssen sich Unternehmen von den traditionellen Netzwerken und der damit verbundenen starren Hardwarestruktur lösen. An deren Stelle treten flexible Lösungen wie softwaregesteuerte Netzwerke und virtualisierte Netzwerkfunktionen. Für Unternehmen mit Außenstellen sind dabei agile und programmierbare Netzwerke mit Echtzeit-Statusinformationen, Kontrollmöglichkeiten und der Priorisierung des Datenverkehrs ein Muss. All das vereint die Netzwerkarchitektur des SD-WANs.

Beim SD-WAN handelt es sich um einen mandantenfähigen NFV-Service (Network Function Virtualization), der sich dem Nutzerbedarf flexibel anpasst. Dieser Ansatz verspricht mittels Netzwerk-Overlays und Virtualisierung eine bedeutend bessere und flexiblere Vernetzung. Dadurch können Unternehmen Ressourcen optimieren, Betriebskosten senken und die Benutzerfreundlichkeit von Cloud-Anwendungen verbessern. SD-WAN verwendet nicht nur die Hauptleitungen, sondern ein hybrides Netzwerk aus MPLS-Leitungen, allen weiteren lokal verfügbaren Netzzugängen sowie dem Internet-Breakout. Bestehende Netztopologien wie multiple VPNs können in einem SD-WAN erhalten bleiben, ihre Funktionalität erweitert sich aber bedeutend. Die bisherigen Backup-Leitungen kommen so auch im Regelbetrieb zum Einsatz. Dies erhöht die Verfügbarkeit und Erreichbarkeit eines Standorts signifikant gegenüber einer Standard-Backup-Lösung – und damit auch die Erreichbarkeit der Anwendungen in der Cloud.

Um den Ansatz zu realisieren, verwaltet die IT-Organisation die gesamte Traffic-Steuerung und die zentrale Orchestrierung von Netzwerkregeln mittels Standardsoftware. Dies ist ein entscheidender Unterschied zu den traditionellen WANs, die in der Regel aus einer Vielzahl herstellerspezifischer physischer Hardwaregeräte wie Routern, Controllern oder Firewalls bestehen. Diese muss der Administrator manuell installieren und warten, meist konfiguriert er sie ad hoc.

In diesem Beispiel würde der SD-WAN-Router die Daten über die MPLS- oder die Internet/LTE-Leitung zum Endpunkt in der Cloud routen. Bild: Riedel Networks

 

Premiumversand für wichtige Daten

Die Grundlage für das SD-WAN bildet das von den Routern durchgeführte Application-Aware Routing (AAR). Entscheidend ist hier das BFD-Protokoll (Bidirectional Forwarding Detection): Dieses misst kontinuierlich die Qualität der Leitungen zu den Endpunkten jeder Applikation und deren Erreichbarkeit, vergleichbar mit einer Ping-Abfrage. Zudem sammelt es Informationen zu den wesentlichen Qualitätsparametern wie Laufzeit, Jitter und Paketverlust. Die SD-WAN-Router vergleichen die Qualität der verfügbaren Wege mit den Vorgaben der Applikationen und wählen den optimalen Weg für sie aus. Dieser kann je nach Anwendung die MPLS-Route, die öffentliche Cloud oder der direkte Breakout ins Internet sein. Bei den SD-WAN-Lösungen von Cisco oder Viptela beispielsweise sind die wichtigsten 1.400 Applikationen bereits vorkonfiguriert. Diese kann das Netzwerkteam schnell und einfach durch weitere Anwendungen ergänzen. Dies ist vor allem bei intern entwickelten Applikationen von Vorteil.

Dass das SD-WAN Daten auch über das öffentliche Internet versendet, mag auf den ersten Blick als weniger sicher gegenüber traditionellen WANs erscheinen. Immerhin sind der dedizierte Charakter und die daraus resultierende Sicherheit bis heute zentrale Argumente für die Verwendung von MPLS. Ob eine SD-WAN-Lösung ein vergleichbares oder sogar höheres Maß an Sicherheit bieten kann, hängt in entscheidendem Maße von ihrer Konfiguration ab. Diese kann im besten Fall dazu beitragen, dass die SD-WAN-Lösung sicherer ist als ein rein MPLS-basiertes Unternehmensnetz mit zentralen Internet- und Cloud-Zugängen und lokalen Backup-Leitungen. So bietet beispielsweise Ciscos Cloud Umbrella Schutzfunktionen für die Verbindung der Unternehmensnetzwerke zu Cloud-basierten Diensten.

Der zentrale Sicherheitsaspekt von SD-WANs liegt in der Verschlüsselung des gesamten Datenverkehrs sowie der Signalisierung im Netzwerk über IPSec. Dank eines skalierbaren Mechanismus zum Austausch der Schlüssel sowie der zentral definierten und verteilten Firewall- und Router-Einstellungen sind alle Geräte und Endpunkte vollständig geschützt. Mittels virtueller Router oder Hardware im Rechenzentrum lassen sich auch die Datenströme von und zu den Endpunkten in privaten oder öffentlichen Cloud-Lokationen komplett verschlüsseln.

Das zentrale Management der Router und damit auch der Sicherheitseinstellungen stellt einen weiteren wichtigen Aspekt dar. Früher führte die lokale Administration der Firewalls je nach Standort zu unterschiedlichen Sicherheitslevels innerhalb des Unternehmensnetzwerks. In einem SD-WAN konfiguriert die IT-Abteilung die Einstellungen dagegen zentral und spielt sie in die Router ein. Zwar kann sie immer noch Ausnahmen für einzelne Standorte über die zentrale Management-Plattform einrichten, die wichtigsten Einstellungen sind jedoch einheitlich und lassen sich nur durch autorisiertes Personal ändern. Gleiches gilt für die Einstellungen des Daten-Routings in Abhängigkeit von der lokalen Leitungsqualität und der Anwendung.

Bei der Entscheidung für eine der zahlreichen SD-WAN-Lösungen auf dem Markt sollte man darauf achten, dass die Sicherheits-Tools wie Firewalls, IDS/IPS, URL Filtering oder Malware Protection nahtlos integriert und nativ eingebettet sind. Dies ist beim SD-WAN wichtig, da nun lokale Internetzugänge an allen Standorten den zuvor zentralen Internet-Breakout ersetzen. Dabei lassen sich mittels uCPE (Universal Customer Premises Equipment) virtuelle Netzfunktionen wie Firewalls oder WLAN-Controller auf offenen Servern mit Standard-Betriebssystemen realisieren.

Dr. Joachim Sinzig ist Direktor Produkt Management bei Riedel Networks, www.riedel-networks.net.