SD-WAN ist mehr als nur eine Alternative zu MPLS. Zero-Touch-Provisioning, anwendungsorientiertes Routing und Mikrosegmentierung sind nur einige der Funktionen, die SD-WAN-Produkte und -Dienste bieten können. [...]
Frühe SD-WAN-Produkte boten Unternehmen die Möglichkeit, teure, unflexible MPLS-Verbindungen abzuschalten, Zweigstellen direkt mit der Cloud zu verbinden und den WAN-Verkehr zu optimieren. Doch viele der ersten SD-WAN-Angebote ließen Funktionen wie integrierte Firewalls, anwendungsorientiertes Routing und erweiterte Datenanalysen vermissen.
Im Laufe der Zeit haben die SD-WAN-Anbieter ihre Produkte um eine Reihe zusätzlicher Funktionen erweitert. Viele Unternehmen nutzen jedoch nicht den vollen Funktionsumfang der neuesten SD-WAN-Produkte und Managed Service-Optionen.
Warum nutzen IT-Führungskräfte diese neuen Funktionen nicht? In einigen Fällen sind die Anbieter nicht in der Lage, die IT-Leiter über die Vorteile und die Benutzerfreundlichkeit dieser erweiterten Funktionen umfassend zu informieren.
In anderen Fällen haben organisatorische Silos, wie z.B. die Barrieren zwischen Netzwerk- und Sicherheitsteams, Unternehmen daran gehindert, z.B. die Firewall oder das Intrusion Prevention System der nächsten Generation zu aktivieren, die mit einer SD-WAN-Appliance geliefert werden könnten.
Und in vielen Fällen verfügen Netzwerkprofis über eine Reihe von Standardmethoden und -verfahren, die sie seit Jahren befolgen und die ihre Arbeit gut erledigen. Wenn es um eine neue Vorgehensweise geht, wie z.B. Zero-Touch-Provisioning, kann es eine gewisse Zurückhaltung geben, ein Risiko einzugehen, das im Falle eines Fehlers zu einer Fehlfunktion führen könnte. Unternehmen sollten jedoch die Vorteile in Betracht ziehen, die nicht ausreichend genutzte SD-WAN-Funktionen, die unten aufgeführt sind, bieten können. Schließlich bezahlen Sie ohnehin für das SD-WAN-Gerät oder den verwalteten Dienst, warum also nicht auf Ihre Kosten kommen?
1. Zero-Touch-Bereitstellung
Die traditionelle Methode zur Bereitstellung von Netzwerkgeräten in Zweigstellen besteht darin, das physische Gerät in einen Bereitstellungsbereich zu bringen, es zu konfigurieren, zu testen und dann an die Zweigstelle zu schicken, wo es von einem Netzwerkprofi eingerichtet wird. Für Unternehmen, die Dutzende oder Hunderte von SD-WAN-Geräten in einem großen geografischen Gebiet bereitstellen, ist dies ein manuelles, intensives und zeitaufwändiges Verfahren.
Durch die Zero-Touch-Bereitstellung, die bei den meisten SD-WAN-Geräten standardmäßig vorhanden ist, wird ein sofort einsatzbereites Gerät automatisch konfiguriert. Alles, was das Gerät benötigt, ist eine Internetverbindung, damit es nach Hause telefonieren kann, wo es dann auf schnelle, effiziente und standardisierte Weise auf der Grundlage vordefinierter Vorlagen vollständig konfiguriert wird, wie Kunal Thakkar, Leiter der Netzwerktechnik bei Apcela, erklärt.
2. Encryption Key Rotation
Für Unternehmen, die mit der Bundesregierung zusammenarbeiten, wie z. B. Unternehmen der Luft- und Raumfahrt und der Verteidigungsindustrie, oder Unternehmen mit PCI-Compliance-Verantwortung, zu der fast alle anderen Unternehmen gehören, müssen die Verschlüsselungscodes regelmäßig (in der Regel alle 90 Tage) rotiert werden. Dies kann ein mühsamer manueller Prozess sein, der komplexe Änderungskontrollrichtlinien beinhaltet und geplante Ausfallzeiten erfordern kann.
SD-WAN-Plattformen können herkömmliche VPN-basierte Schlüsselrotationen durch ein automatisiertes System ersetzen, das so programmiert werden kann, dass die Rotationen so regelmäßig wie jede Minute erfolgen, ohne dass der Verkehr auf Datenebene unterbrochen wird. Das Ergebnis ist eine bessere Sicherheit, keine Ausfallzeiten und keine Notwendigkeit mehr für manuelle Eingriffe.
3. Multiplex-VPNs:
Es gibt viele Szenarien, in denen Unternehmen verschiedene Arten von Datenverkehr voneinander getrennt halten müssen. Im Falle einer Fusion oder Übernahme kann das kombinierte Unternehmen beispielsweise auf dem Papier eine einzige Einheit sein, aber aus geschäftlichen oder Compliance- oder Sicherheitsgründen arbeitet jede Geschäftseinheit weiterhin unabhängig voneinander. Wenn sich das Unternehmen dann für ein Upgrade auf SD-WAN entscheidet, könnte es die Anschaffung von zwei Sets physischer Geräte in Erwägung ziehen.
Die SD-WAN-Technologie ermöglicht es jedoch, mehrere VRF- (Virtual Routing and Forwarding) und VPN-Verbindungen mit einem einzigen Overlay zu multiplexen. Dies war mit früheren VPN-Technologien nicht möglich. Bei weitläufigen, komplexen Organisationen mit mehreren Geschäftseinheiten kann die Verkehrsisolation einfach durch die Festlegung von Richtlinien erreicht werden. Die SD-WAN-Technologie kann bis zu 16 virtuelle VPNs erstellen, die alle auf denselben physischen WAN-Verbindungen laufen, erklärt Thakkar.
4. Anwendungsorientiertes Routing
SD-WAN-Produkte haben die Möglichkeit, den Datenverkehr auf Layer 7 zu inspizieren, um granulare Routing-Richtlinien für bestimmte Anwendungen anzuwenden. Tatsächlich können einige Geräte mehr als 3.000 verschiedene Anwendungen identifizieren und die Leistungsanforderungen jeder Anwendung verstehen. Diese Funktion hilft Unternehmen bei der Optimierung der Telekommunikationskosten auf granularer Ebene, indem Latenz, Verzögerung, Jitter und andere Merkmale sensibler Anwendungen ständig in Echtzeit überwacht und Anwendungen auf die kostengünstigste Transportmethode verlagert werden, die die Performance-Schwellenwerte erfüllt.
Laut Ashwath Nagaraj, CTO bei Aryaka Networks, ist das anwendungsorientierte Routing nicht so weit verbreitet, wie es sein könnte. Eine mögliche Erklärung dafür ist, dass die Überprüfung des Layer-7-Verkehrs mit einem gewissen Performance-Overhead verbunden ist, und dass Unternehmen Zeit und Mühe aufwenden müssen, um Richtlinien für jede Anwendung zu definieren. Aber er argumentiert, dass anwendungsbewusstes Routing erhebliche Leistungs- und Kostenvorteile bieten kann.
5. Programmatische APIs
Die Verwendung von APIs kann Unternehmen bei der Orchestrierung und Automatisierung von Funktionen während des gesamten SD-WAN-Lebenszyklus helfen, so Raviv Levi, Senior Director of Product Management bei Cisco Meraki. Obwohl diese Funktion derzeit nicht ausreichend genutzt wird, wächst laut Levi das Interesse, da IT-Führungskräfte allmählich verstehen, dass mit APIs „große Unternehmen die Eigentümerschaft und Kontrolle über das Netzwerk auf eine Weise übernehmen können, die sie vorher nicht hatten“.
APIs ermöglichen es Unternehmen, die Erstkonfiguration von SD-WAN-Geräten anzupassen und zu automatisieren, Konfigurationen jederzeit in großem Maßstab zu ändern, den Trouble-Ticket-Prozess zu automatisieren und Daten zur WAN-Performance zu sammeln, um sowohl den Datenverkehr in Echtzeit zu optimieren als auch die Infrastruktur längerfristig zu überwachen und zu verwalten. Unternehmen können beispielsweise APIs verwenden, um Geräte so zu programmieren, dass sie häufigere Abfragen durchführen als in den Standardeinstellungen gefordert.
Über APIs können Unternehmen ihre SD-WAN-Infrastruktur so einrichten, dass sie automatisch Daten sammeln, die bei Funktionen wie der Verwaltung von Benutzergruppen, der Anzeige von Audit-Protokollen, der Erfassung von Gerätebeständen, der Durchführung von Echtzeit-Überwachung und der Fehlerbehebung bei Netzwerkgeräten hilfreich sein können.
6. Optimierte Cloud-Konnektivität
Der Cloud-Breakout oder die Möglichkeit, den Datenverkehr der Zweigstellen direkt mit der Cloud zu verbinden, anstatt ihn wieder in das Rechenzentrum zu leiten, ist einer der Hauptvorteile von SD-WAN. Doch in vielen Fällen haben Netzwerkadministratoren nur einen begrenzten oder gar keinen Einblick in die Leistungsmerkmale des Netzwerks zwischen dem Endbenutzer und den SaaS-Anwendungen in der Cloud. Die Anbieter bieten jetzt jedoch eine Funktion an, die im Beispiel von Cisco Viptela als Cloud OnRamp bezeichnet wird und programmatische APIs zur Messung der Leistung von SaaS-Anwendungen oder IaaS-Diensten von Amazon Web Services und Microsoft Azure verwendet.
Im IaaS-Szenario misst eine virtuelle Instanz des SD-WAN-Routers innerhalb der Domäne des Cloud-Service-Providers kontinuierlich die Leistung der Anwendung, wodurch Netzwerkadministratoren einen Einblick in die Anwendungsleistung erhalten, wie er bisher nicht möglich war. Im SaaS-Szenario verbindet sich das SD-WAN-Gerät mit dem nächstgelegenen SaaS-Punkt und trifft in Echtzeit Entscheidungen zur Wahl des leistungsstärksten Pfades. Laut Rohan Grover, Senior Director of Product Management, SD-WAN und Enterprise Routing bei Cisco, konnten die Endbenutzer eine 40-prozentige Leistungssteigerung bei beliebten Produktivitätsanwendungen wie Office 365 feststellen.
7. Datenanalyse
Eine weitere nicht ausreichend genutzte Funktion von SD-WAN-Systemen ist die Möglichkeit, Datenanalysen zur Fehlerbehebung bei Netzwerkperformance-Problemen und zur langfristigen Planung der Netzwerkkapazität zu nutzen. Unabhängig davon, ob Sie einen verwalteten Dienst haben oder die Do-it-yourself-Route nehmen, steht eine Fülle von Verkehrsdaten zur Verfügung, die die End-to-End-WAN-Verbindung abdecken. Durch den Einsatz von Analysen werden die typischen Schuldzuweisungen zwischen dem Unternehmenskunden, dem Cloud-Service-Anbieter, dem IPS, dem Last-Mile-Anbieter usw. vermieden.
8. End-to-End-Mikrosegmentierung
Die Mikrosegmentierung ist zu einem immer beliebteren Ansatz zur Sicherung von Anwendungen geworden, die in Rechenzentrums- und Cloud-Umgebungen ausgeführt werden, indem Arbeitslasten auf der Grundlage von Richtlinien isoliert werden. Die Mikrosegmentierung gibt Unternehmen eine größere Kontrolle über den Ost-West-Verkehr, und wenn es zu Sicherheitsverletzungen kommt, begrenzt die Mikrosegmentierung die mögliche laterale Bewegung von Hackern.
Die Zunahme von Software-Overlays wie SDN und NFV ebnete den Weg für die Mikrosegmentierung, so dass es nur natürlich ist, dass die Mikrosegmentierung zu einem Merkmal von SD-WAN-Overlays wird. Laut Sunil Khandekar, CEO von Nuage Networks, besteht der Vorteil der Mikrosegmentierung darin, dass bei einem Angriff auf einen Zweigstellenknoten ein zentraler Richtlinienserver automatisch Maßnahmen ergreifen könnte, um die Zweigstelle vom restlichen Netzwerk zu isolieren.
9. Service-Verkettung
Als der Datenverkehr der Zweigstelle über sichere MPLS-Links zurück zum Rechenzentrum geleitet wurde, bestand in der Zweigstelle kein großer Bedarf an zusätzlichen Netzwerk- und Sicherheitsfunktionen. Aber jetzt, da die Zweigstellen direkt mit dem Internet verbunden sind, können Unternehmen mit mehreren Zweigstellengeräten wie Firewalls, NAT-Boxen und Intrusion Prevention-Systemen konfrontiert werden. Durch die Verkettung von Diensten können Unternehmen die Unordnung in den Zweigstellen reduzieren, wie Khandekar es formuliert. Unternehmen können eine Kette verbundener Netzwerkdienste erstellen und die Art und Weise automatisieren, wie unterschiedliche Verkehrsströme je nach den Anforderungen an den Datenverkehr in Bereichen wie Sicherheit, Latenz oder QoS behandelt werden.
10. Feste drahtlose Konnektivität
Obwohl es sich dabei nicht um eine spezifische SD-WAN-Funktion handelt, sagen Experten, dass Unternehmen, die ihre Zweigstellenverbindungen einrichten, fixe drahtlose Verbindungen in Betracht ziehen sollten, insbesondere wenn die Schnelligkeit des Einsatzes von höchster Priorität ist. Für Unternehmen mit einer kleinen regionalen Ausdehnung kann die Bestellung von WAN-Verbindungen beim etablierten ISP relativ problemlos sein. Aber für Organisationen mit ländlichen Standorten, die nicht mit herkömmlicher Breitbandverbindung versorgt werden, oder für Unternehmen, die schnell ein SD-WAN für ein neues Einzelhandelsgeschäft oder einen anderen Pop-up-Geschäftsstandort bereitstellen müssen, können feste drahtlose Verbindungen eine lebensrettende Maßnahme sein.
Die ersten SD-WAN-Bereitstellungen konzentrierten sich in erster Linie auf grundlegende Konnektivität und Kosteneinsparungen. Aber heute wird SD-WAN als eine Netzwerkautomatisierungsplattform zur Unterstützung der digitalen Transformation angesehen, betont Khandekar. Und der Einsatz dieser nicht ausreichend genutzten Funktionen kann IT-Organisationen dabei helfen, ihr WAN auf die Bedürfnisse des Unternehmens auszurichten.
*Neal Weinberg ist ein freiberuflicher Tech-Autor und Redakteur.
Be the first to comment