Cloud-basierte Geschäftsanwendungen wie Office 365 stellen hohe Anforderungen an die Performance und Dienstgüte des Weitverkehrsnetzes von Unternehmen. Traditionelle Corporate WANs, die den gesamten Cloud-Datenverkehr über zentrale Rechenzentren führen, sind damit überfordert. Abhilfe schaffen flexiblere Lösungen wie Software-Defined WANs (SD-WANs) in Verbindung mit Microsoft Azure Virtual WAN.

SaaS-Angebote erfreuen sich wachsender Beliebtheit. Das zeigt ein Blick auf Microsofts Office 365: Der weltweite Umsatz des Unternehmens mit dem Cloud-basierten Office-Paket stieg im vierten Quartal des Geschäftsjahres 2019 um 31 Prozent. Mittlerweile verwenden weltweit mehr als 180 Millionen Unternehmensmitarbeiter die Lösung. Über hohe Zuwachszahlen freuen sich auch andere SaaS-Anbieter, ERP-Spezialist Salesforce ebenso wie Adobe, Google oder SAP.

Laut einer Studie von Synergy Research war Microsoft im ersten Quartal mit einem Umsatzanteil von 17 Prozent der weltweit größte Anbieter von SaaS-Lösungen, vor Salesforce, Adobe und SAP. Für 2019 erwarten die Marktexperten einen Umsatz mit Software aus der Cloud von zirka 100 Milliarden Dollar.

Doch diese Entwicklung hinterlässt bei IT- und Netzwerkspezialisten im Unternehmen ein zwiespältiges Gefühl. Von Vorteil ist, dass sie dank der Cloud Mitarbeitern in Niederlassungen Geschäftsanwendungen wie Office 365 auf einfache Weise zugänglich machen können: Die Außenstelle benötigt lediglich einen Internet-Zugang, über den sie auf das Cloud-Rechenzentrum des SaaS-Anbieters zugreift.

Flaschenhals durch „Nabe und Speiche“

Der Datentransport über Internet-Links hat aber auch Schattenseiten. Denn ein beträchtlicher Teil der Unternehmens-WANs weist eine „Nabe-Speiche-Struktur“ (Hub and Spoke) auf: Der gesamte Datenverkehr läuft von den entfernten Standorten zunächst zu einem zentralen Hub, in der Regel zum zentralen Unternehmens-RZ. Denn dort sind die Firewalls und weitere IT-Security-Systeme platziert. Diese untersuchen und filtern Datenpakete mithilfe von Deep-Packet-Inspection-Verfahren oder setzen die Einhaltung von Firewall-Regeln um.

Von Nachteil ist, dass SaaS-Anwendungen dadurch einen Umweg nehmen müssen: Sie können nicht direkt auf einen Internet-Zugangspunkt in der Nähe der Niederlassung zugreifen. Vielmehr laufen die Daten zunächst zum Hub und von dort aus zu einem Internet-PoP (Point of Presence) des Providers. Das steigert die Latenz ebenso wie das Risiko einer höheren Paketverlustrate wegen überlasteter Verbindungen.

Erschwerend kommt hinzu, dass ein beträchtlicher Teil der Unternehmen im eigenen Weitverkehrsnetz MPLS (Multi-Protocol Label Switching) verwendet. Die Marktforschungsfirma Avidthink hat ermittelt, dass Ende 2018 rund 27 Prozent der Unternehmen komplett auf MPLS setzten. Knapp 43 Prozent nutzten ein hybrides WAN mit MPLS- und Internet-Links.

Der Nachteil von MPLS sind die hohen Kosten. So sind für eine MPLS-Standleitung mit einer Bandbreite von 10 MBit/s zwischen 450 und 650 Euro pro Monat fällig. Zum Vergleich: Die Telekom bietet Geschäftskunden eine Internetverbindung mit 50 MBit/s ab 42 Euro im Monat an, und Provider wie 1&1 stellen Unternehmen einen Breitband-Internetanschluss über Glasfaserkabel mit 1 GBit/s für rund 500 Euro monatlich zur Verfügung. Deshalb versuchen Unternehmen, die Bandbreite der MPLS-Verbindungen zwischen Außenstellen und Rechenzentrum auf ein Minimum zu begrenzen – auch auf das Risiko hin, dass die Latenzzeiten steigen.

Wenig Spielraum bei Latenz

Doch zu wenig Bandbreite ist vor allem für die Echtzeitkomponenten der Office-365-Suite problematisch, beispielsweise für die Collaboration-Anwendung Microsoft Teams (ehemals Skype for Business). So können bei Videokonferenzen und VoIP-Gesprächen via Teams „Ruckler“ auftreten oder es kommt sogar zu Verbindungsabbrüchen. Microsoft rät daher in Support-Dokumenten, dass bei Teams Netzwerkverbindungen zwischen dem Rand (Edge) des Kundennetzwerks und der Azure-Netzwerkinfrastruktur eine Latenzzeit von maximal 30 ms haben sollten. Die Round Trip Time (RTT) darf damit höchstens 60 ms betragen. Auch die Obergrenze der zulässigen Paketverlustrate bietet mit 0,1 Prozent in einem Intervall von 15 Sekunden nicht allzu viel Spielraum.

Unternehmen müssen daher einen Weg finden, um Cloud-Anwendungen wie Office 365 in der geforderten Qualität zur Verfügung zu stellen, und das an jedem Unternehmensstandort. Die Lösung heißt SD-WAN in Verbindung mit Azure Virtual WAN. Ein solches Netz vermeidet den Umweg über das Unternehmens-RZ. Stattdessen greifen Nutzer in Außenstellen über den nächstgelegenen Office-365-PoP auf die Microsoft-Anwendungen zu. In Deutschland sind dies Rechenzentren in Frankfurt am Main und in Kürze auch ein Cloud-Datacenter in Berlin.

Azure Virtual WAN (VWAN) ist ein Netzwerkdienst, der über den Backbone von Microsofts Cloud-Plattform Azure Unternehmensstandorte verbindet. Der Zugang erfolgt über die PoPs oder „Edge Nodes“ von Azure. Weltweit stehen mehr als 150 solcher Zugangspunkte zur Verfügung. Eine SD-WAN-Lösung, die für Office 365 zertifiziert ist, identifiziert Daten, die für Office 365 bestimmt sind. Das erfolgt bereits anhand des ersten Datenpakets, das übermittelt wird. Anschließend leitet das SD-WAN diese Datenströme automatisch an den nächstgelegenen Azure-PoP (siehe Bild).

Von Microsoft empfohlene WAN-Architektur: Datenströme aus Zweigstellen gehen automatisch an den nächstgelegenen Azure-PoP. Bild: Microsoft

Von Microsoft empfohlene WAN-Architektur: Datenströme aus Zweigstellen gehen automatisch an den nächstgelegenen Azure-PoP. Bild: Microsoft

Die Edge Nodes sind nicht zwangsläufig in der Nähe der Backend-Server von Office 365 angesiedelt, sondern können nahe beim Anwender platziert sein. Der Vorteil dieses Konzepts: Das SD-WAN stellt sicher, dass Datenverkehr auf dem kürzestmöglichen Weg von und zu Office-365-Rechenzentren geroutet wird. Das heißt geringere Latenzzeiten und eine hohe Quality of Service (QoS).

IT-Abteilungen können mit einem SD-WAN Datenströme mit individuellen Regeln (Policies) unterlegen. Die Grundlage bilden die technischen Anforderungen der Geschäftsprozesse und Applikationen, beispielsweise bezüglich QoS. Setzt ein Unternehmen Azure Virtual WAN ein, bezieht das SD-WAN die Traffic Policies über REST-APIs direkt vom VWAN.

Beschleunigung per SD-WAN

Wie dies in der Praxis aussehen kann, zeigt folgendes Beispiel: Der Nutzer kann vorgeben, dass das SD-WAN Daten von unbekannten Anwendungen und Internet-Traffic prinzipiell zu einem Web Security Gateway, Cloud Proxy oder dem Unternehmens-RZ weiterleitet. Office-365-Daten hingegen laufen direkt zu Microsofts Edge Nodes und vor dort zu den Office-365-Servern. Dabei kommen die Sicherheitsmaßnahmen zum Zuge, die Office 365 per se bereitstellt, darunter Datenverschlüsselung, der Schutz vor Schadsoftware und DDoS-Angriffen (Distributed Denial of Service) sowie eine DLP-Lösung (Data Loss Prevention).

Wie wichtig es ist, dass Office-365-Datenverkehr ohne Umwege über Proxy-Server und DPI-Systeme übermittelt wird, belegt folgende Zahl von Microsoft: Demnach benötigt nur eine kleine Zahl von Endpunkten, die Office-365-Anwendungen nutzen, niedrige Latenzzeiten von unter 30 Millisekunden. Das gilt beispielsweise für Microsoft Teams. Doch auf diese Applikationen entfallen 75 bis 90 Prozent der Bandbreite und der Verbindungen. Würden diese Daten über IT-Security-Systeme und Proxy-Server im Unternehmens-RZ gelenkt, wären Probleme mit Latenzzeiten und der QoS fast unvermeidlich.

Azure VWAN plus SD-WAN

Ein wesentlicher Vorteil der Kombination von SD-WAN und Azure Virtual WAN ist somit eine einheitliche Netzwerk- und Richtlinienverwaltung im gesamten Unternehmensnetzwerk – einschließlich WLANs. Die IT-Abteilung gibt über ein Web-Portal vor, welche Vorgaben in Bezug auf die Performance und IT-Sicherheit für bestimmte Anwendungen gelten sollen. Die Umsetzung der Policies erfolgt automatisch.

Unternehmen haben zudem die Möglichkeit, quasi auf Knopfdruck weitere Niederlassungen in das Enterprise-WAN einzubinden und dort SaaS-Lösungen bereitzustellen. Auch dies erfolgt weitgehend automatisiert, sodass sich die Belastung der IT-Abteilung in Grenzen hält. Ein weiterer Vorteil ist, dass ein SD-WAN unterschiedliche Weitverkehrsverbindungen parallel nutzt. Fällt eine Verbindung aus, schaltet die SD-WAN-Software automatisch auf alternative Links um. Bei funktionierender Verbindung hingegen sind sämtliche Links im Einsatz – das vermeidet ungenutzte Failover-Leitungen.