SD-WAN ist eine Anwendung von Software-Defined Networking (SDN), die zur Verbindung von Standorten und zur Verwaltung aus der Ferne ein virtualisiertes Netzwerk-Overlay verwendet. Der Fokus liegt dabei auf der Rückverbindung dieser Standorte mit einem zentralen privaten Netzwerk. Auch wenn ein SD-WAN zwar für die Verbindung mit der Cloud angepasst werden kann, ist es aber nicht explizit mit der Cloud als Schwerpunkt und zentralem Kernelement aufgebaut.
Dagegen konzentriert sich SASE (Secure Access Service Edge) auf die Cloud und hat eine verteilte Architektur. Anstatt sich auf die Verbindung von Standorten mit einem zentralen Netzwerk zu fokussieren, konzentriert sich SASE auf die Verbindung einzelner Endpunkte (Standort, einzelner Benutzer oder einzelnes Gerät) mit dem Service-Edge. Der Service-Edge besteht aus einem Netzwerk von verteilten Points of Presence (PoPs), auf denen der SASE-Software-Stack läuft. Außerdem legt SASE einen Fokus auf integrierte Sicherheit – deshalb der Teil „Secure Access“ im Namen.
Man kann es mit dem Austausch von Dateien über ein Intranet oder Google Drive vergleichen: Auch wenn beide Methoden das gleiche Ziel anstreben, sind die beiden Ansätze dennoch sehr unterschiedlich.
Obwohl die COVID-19-Pandemie die Entwicklung etwas behindert und verzögert hat, ist SD-WAN mittlerweile ein ausgereifter Markt, der insgesamt ein konstantes Wachstum aufweist. Dagegen ist das SASE-Konzept noch vergleichsweise neu. Der Begriff wurde im Jahr 2019 von Gartner geprägt. Und obwohl der SASE-Markt erst im Entstehen ist, findet man bereits einige Anbieter auf dem Markt mit eigenen SASE- oder SASE-ähnlichen Diensten.
Vergleicht man SASE vs SD-WAN, dann lassen sich die Unterschiede in diesen drei Kategorien zusammenfassen:
- Ihre Verbindung zur Cloud / der Umfang der Cloud-Integration
- Der Ort, an dem Security- und Netzwerk-Tools untergebracht sind
- Wie der Datenverkehr inspiziert wird
SASE vs SD-WAN: Die Cloud
SASE nutzt eines oder mehrere der folgenden Elemente:
- private Rechenzentren
- die öffentliche Cloud
- Colocation-Einrichtungen
Diese PoPs sind der Service-Edge der Architektur, auf dem der SASE-Stack läuft. Außerdem befinden sich diese PoPs oft in öffentlichen Clouds oder in der Nähe von öffentlichen Cloud-Gateways. So wird ein sicherer Zugriff auf Cloud-Ressourcen mit niedriger Latenz sichergestellt. Der Datenverkehr wird zu dem Knoten geleitet, der ausreichende Ressourcen für die vom Benutzer angeforderten Daten verfügt. Auf dem Weg zu seinem Endpunkt, wählt die SASE-Software optimale Routen für den Datenverkehr aus. Die verteilte Architektur der SASE-Knoten unterscheidet sich dabei von der typischen Architektur von SD-WAN-Lösungen, die auf das Rechenzentrum des Unternehmens zentriert ist (alternativ auch auf dedizierte weitere RZ- und Cloud-Instanzen des Unternehmens).
Es gibt SD-WAN-Angebote, die intensiver auch Cloud-Bestandteile nutzen. Allerdings ist die Cloud-Integration eher ein Feature von SD-WAN als eine Schlüsselkomponente. Bei Cloud-fähigen SD-WANs verbinden sich die Benutzer über das Internet mit einem virtuellen Cloud-Gateway. Dadurch wird das Netzwerk leichter zugänglich und Cloud-native Anwendungen werden unterstützt. Das ist dem SASE-Ansatz sehr ähnlich.
Ort der Security- und Netzwerkentscheidungen
Der Fokus von SASE liegt auf der Bereitstellung eines sicheren Zugriffs auf verteilte Ressourcen für das Netzwerk und seine Benutzer. Dabei können die Ressourcen in privaten Rechenzentren, Colocation-Einrichtungen und in der Cloud verteilt sein. Aus diesem Grund sind Security- und Netzwerkentscheidungen in denselben Security-Tools enthalten. SASE-Produkte verfügen über Security-Tools, die sowohl auf dem Gerät des Benutzers als Securityagent als auch in der Cloud als Cloud-nativer Software-Stack vorhanden sind. Zum Beispiel kann der Securityagent ein sicheres Web-Gateway enthalten und die Cloud eines Anbieters kann eine Firewall-as-a-Service enthalten. Um an Standorten mit mehreren Personen agentenlose Geräte wie z. B. Drucker zu sichern, ist eine SASE-Appliance üblich.
Die SD-WAN-Technologie wurde nicht mit dem Fokus auf Sicherheit entwickelt. Denn SD-WAN-Sicherheit wird oft über sekundäre Funktionen oder von Drittanbietern bereitgestellt. Auch wenn einige SD-WAN-Lösungen über eingebaute Security-Funktionalitäten verfügen, trifft das aber nicht auf die Mehrheit zu. Das zentrale Ziel von SD-WAN ist es, geografisch getrennte Büros miteinander und mit einer Zentrale und/oder RZ-Standorten (auch in der Cloud) zu verbinden – und zwar mit Flexibilität und Anpassungsfähigkeit an unterschiedliche Netzwerkbedingungen. In einem SD-WAN befinden sich die Sicherheitstools in der Regel in den Büros/an den Standorten in den lokal installierten CPE und nicht auf den Endgeräten selbst. In einem SD-WAN werden Netzwerkentscheidungen in den virtualisierten Netzwerkgeräten getroffen, die über das gesamte Netzwerk verteilt sind.
SASE vs SD-WAN: Traffic-Inspection
Bei SASE-Netzwerken wird der Datenverkehr einmalig geöffnet und von mehreren Policy Engines auf einmal inspiziert. Die Engines laufen parallel, ohne den Datenverkehr zwischen ihnen weiterzuleiten. Das spart Zeit, da der Datenverkehr nicht wiederholt von einer Sicherheitsfunktion zur nächsten weitergeleitet wird, wie es in einer SD-WAN-Lösung mit ergänzten Security-Features meist der Fall ist. Außerdem leisten diese Policy Engines genauso viel, wenn nicht sogar mehr, als die Sicherheitstools in einem SD-WAN.
SD-WAN verwendet eine sog. Serviceverkettung (Service-Chaining). Beim Service-Chaining wird der Datenverkehr von einer Sicherheitsfunktion nach der anderen geprüft. Diese einzelnen Funktionen behandeln jeweils eine Art von Bedrohung und werden als Punktlösungen bezeichnet. Jede Punktlösung öffnet den Datenverkehr, inspiziert ihn, schließt ihn ab und leitet ihn anschließend an die nächste Punktlösung weiter, bis der Datenverkehr alle Punktlösungen durchlaufen hat.
Ähnlichkeiten der beiden Netzwerktechnologien
Auch wenn sie ähnlichen Zwecken dienen, haben SASE und SD-WAN nicht viele architektonische Ähnlichkeiten. Einige übergeordnete Gemeinsamkeiten sind die Tatsache, dass es sich bei beiden um Wide-Area-Netzwerke handelt sowie ihre virtualisierte Infrastruktur.
Sowohl SD-WAN als auch SASE sind darauf ausgelegt, ein großes geografisches Gebiet abzudecken. Der Unterschied liegt in der Infrastruktur. Die Infrastruktur von SASE verfügt über private Rechenzentren, Colocation-Einrichtungen oder eine Cloud, die als Endpunkte fungieren und in welchen die Netzwerk-, Optimierungs- und Sicherheitsfunktionen laufen. Dagegen laufen bei einem SD-WAN diese Funktionen in Devices in einer Niederlassung und in der Zentrale (oder auch dedizierten RZ- und Cloud-Instanzen des Unternehmens). Sowohl SASE als auch SD-WAN können von überall gesteuert und gemonitored werden. Im Falle von SD-WAN liegt die Steuerung bei einem DIY-Ansatz in der Regel in der Zentrale des Unternehmens. Bei einer gemanagten Lösung erfolgt die Steuerung aus der Ferne durch den Service-Provider. Und eine Co-Managed-Lösung ähnelt einer gemanagten Lösung, wobei das Unternehmen über ein Portal eine gewisse eigene Kontrolle hat.
Trotz der unterschiedlichen Formate der beiden Infrastrukturen sind sie beide virtualisiert. Denn SD-WAN und SASE verlassen sich nicht auf proprietäre Devices mit festen Funktionen wie ein nicht virtualisiertes WAN. So werden bei SASE die Sicherheits- und Netzwerkfunktionen in einer Cloud oder einem anderen Rechenzentrum sowie in einem Sicherheitsagenten ausgeführt. Während bei SD-WAN sowohl die Netzwerkknoten als auch die CPE softwaredefiniert sind. Die Funktionen laufen also als Software.
Wie Anbieter SASE und SD-WAN verkaufen
SASE ist immer noch eine sehr neue, aber aktuell aufstrebende Technologie mit zunehmender Aufmerksamkeit und Wahrnehmung auf Seiten der Unternehmen. Um dem Rechnung zu tragen, beginnen viele SD-WAN-Anbieter, zusätzlich zu ihrer SD-WAN-Lösung eine SASE-Lösung anzubieten. Oder sie behaupten zumindest, dass es sich bei ihrem Angebot um SASE handelt. Neben vielen anderen praktizieren das zum Beispiel Cisco, VMware VeloCloud und Open Systems.
Dagegen stecken andere Unternehmen ihre Ressourcen mehr in die Entwicklung und Bereitstellung von SASE-Services über SD-WAN, wie z. B. Palo Alto und Cato Networks.
SASE vs SD-WAN: Wichtige Erkenntnisse
SASE und SD-WAN sind zwei verschiedene Netzwerktechnologien, die mit unterschiedlichen Mitteln zu ähnlichen Zielen führen. Beide Technologien haben das Ziel, geografisch verteilte Organisationen auf flexible und anpassungsfähige Weise zu verbinden. Das SASE-Netzwerk konzentriert sich dabei auf die Bereitstellung von Cloud-nativen Sicherheitstools und hat die Cloud im Zentrum des Netzwerks. Dagegen ist die SD-WAN-Technologie darauf ausgerichtet, Büros mit einer Zentrale und einem Rechenzentrum zu verbinden, obwohl sie auch Benutzer direkt mit der Cloud verbinden kann.
Sie interessieren sich für SASE und SD-WAN zur flexiblen Standortvernetzung Ihres Unternehmens? Dann kontaktieren Sie uns gerne.