SD-WAN mit Out-of-Band-Management
WAN der Enterprise-Klasse
Mit SD-WAN-Technik (Software-Defined Wide Area Network) wollen Unternehmen ihre Netzwerkkosten senken und den Betrieb ihrer WAN-Infrastruktur vereinfachen. Doch mit der neuen Technik sind ihre Netzwerke auch anfälliger für Ausfälle und Angriffe. Ohne ein durchdachtes Out-of-Band-Management (OOB) stehen die Verantwortlichen auf verlorenem Posten.
Die Aufgabe eines herkömmlichen WANs besteht darin, Beschäftigte einer Zweigstelle mit den im RZ gehosteten Anwendungen zu verbinden. Um eine hohe Sicherheit und zuverlässige Netzwerkanbindung zu gewährleisten, kommen in der Regel dedizierte MPLS-Verbindungen (Multiprotocol Label Switching) zum Einsatz. Die Einrichtung und Wartung eines MPLS-basierten WANs ist allerdings teuer: An jedem Standort müssen Unternehmen eine aufwändige Infrastruktur aufbauen, bestehend aus Routern, Firewalls, Controllern, Switches etc. Gleichzeitig haben sich die Anforderungen an ein Unternehmens-WAN durch Cloud Computing, mobiles Arbeiten, Web-gestützte Applikationen und dem Internet of Things (IoT) stark geändert.
Immer mehr Unternehmen denken deshalb über den SD-WAN-Einsatz zur Standortvernetzung nach, um die notwendige Flexibilität zu erreichen, den Bedarf an immer mehr Bandbreite zu decken und die Netzwerkkosten überschaubar zu halten. Nach Prognosen der Analysten von IDC soll der Markt bis 2023 um jährlich mehr als 30 Prozent auf 5,25 Milliarden Dollar wachsen. Parallel dazu haben die Marktforscher in ihrer jüngsten Studie „Network Transformation in Deutschland 2021“ festgestellt, dass hiesige Firmen, angetrieben durch geschäftliche Anforderungen, das Thema Netzwerkmodernisierung vorantreiben: Von softwaredefinierten Architekturansätzen versprechen sie sich dank Automatisierung ein einfacheres Management sowie mehr Transparenz und damit einen besseren Überblick über das Netzwerk und dessen Performance. Denn die Komplexität und schiere Menge an Daten und Geräten lässt sich mit manuellen Ansätzen nur noch schwer beherrschen.
Intelligentes Routing
Bei aller Euphorie für das SD-WAN dürfen Unternehmen nicht übersehen, dass die „neue“ Architektur auch einige Herausforderungen mit sich bringt und ein Sicherheitsrisiko darstellen kann. Grundsätzlich ist es mit einem softwaredefinierten WAN möglich, verschiedenste Verbindungswege zentral zu verwalten und zu orchestrieren, indem man den Datenverkehr wie die Applikationen priorisiert. Der Ansatz entkoppelt die Netzwerkkontrolle von der zugrunde liegenden physischen Infrastruktur (Underlay) und macht sie direkt programmierbar. Über ein Web-Portal können Unternehmen Änderungen – beispielsweise bei der Bandbreite – für dedizierte Anwendungen vornehmen und diese flexibel und in Echtzeit erhöhen oder senken. Zudem können sie Regeln für die Priorisierung festlegen. In der Konsequenz wählt eine SD-WAN-Lösung automatisch den jeweils am besten geeigneten Pfad für die Übertragung aus – von LTE über Breitband bis hin zu MPLS. Dank dieses intelligenten Routings laufen sicherheitskritische Daten mit hoher Priorität über das private MPLS, weniger sensible, aber bandbreitenintensive Daten hingegen über günstigere Internetverbindungen. Das heißt, ein SD-WAN nutzt Leitungskapazitäten optimal aus, erhöht so die Service-Qualität und senkt gleichzeitig die Kosten.
Demgegenüber stehen zahlreiche Risiken, die mit der neuen Technik einhergehen. In traditionellen Zweigstellen und Netzwerken laufen Router oft monatelang, ohne dass Eingriffe wie Konfigurationsänderungen oder Firmware-Updates erforderlich sind. Intelligente SD-WAN-Router sind dagegen stärker von ihrer Software abhängig und benötigen häufiger Anpassungen und Firmware-Aktualisierungen, etwa wenn der Hersteller neue Features einführt oder Bugs behebt, oder wenn das Anwenderunternehmen die Routing-Richtlinien ändert. Jedes Update stellt jedoch ein Risiko dar und kann dazu führen, dass der Router ausfällt oder nicht wieder richtig startet und in der Folge das Netzwerk lahmlegt. Zudem sind die grundlegenden Sicherheitsfunktionen eines SD-WANs für Unternehmen unzureichend – sie müssen die neue Technik in ihre bestehende Security-Infrastruktur integrieren. Allerdings haben Monitoring- und Netzwerk-Management-Tools oft Schwierigkeiten im Zusammenspiel mit dem SD-WAN und scheitern beispielsweise daran, nicht autorisierte IoT-Geräte im Netzwerk aufzuspüren. Da in einem SD-WAN häufig alle Geräte miteinander verbunden sind (Full Mesh), reicht bereits ein einziges kompromittiertes Gerät aus, damit Angreifer einen Überblick über alle Datenflüsse erhalten.
- WAN der Enterprise-Klasse
- Grenzen des In-Band-Managements
Lesen Sie mehr zum Thema
