Einführung – SD-WAN wird erwachsen
In den letzten Jahren hat die SD-WAN-Technologie in der Unternehmenswelt große Fortschritte gemacht. Gartner schätzt, dass die Ausgaben von Unternehmen für gemanagte SD-WAN-Services im Jahr 2023 ein Volumen von 5,7 Milliarden US-Dollar erreichen werden, mit einer starken jährlichen Wachstumsrate von >75 %. Trotz der vorübergehenden Auswirkungen der Pandemie ist zu erwarten, dass sich der SD-WAN-Markt schnell erholen und beschleunigen wird, da sich die Unternehmen an ein „hybrides“ Szenario anpassen werden, mit mobilem Arbeiten und Arbeiten aus dem Home-Office und einer teilweisen Rückkehr ins Büro im Unternehmens-Standort.
In der Zwischenzeit hat das neu eingeführte Konzept des „Secure Access Service Edge“ (SASE) einen klaren Weg für die weitere Entwicklung der SD-WAN-Technologie aufgezeigt.
Bisher konzentrierte sich SD-WAN vor allem auf die Umwandlung des Unternehmens-WAN von den Kunden-Endgeräten (Customer Premises Equipment, CPE) nach innen in Richtung Unternehmenskern: Kombination eines zentral verwalteten Orchestrators mit Zero-Touch-Provisioning, Multilink und Link-Bonding, Routing, WAN-Optimierung, Verschlüsselung und Security.
SASE hingegen beginnt konzeptionell in der Cloud und strahlt von dort nach außen.
SASE Ziele und Vorteile
Secure SD-WAN konvergiert Netzwerk und Netzwerk-Security am Unternehmensrand – aber SASE geht noch weiter.
SASE umfasst die gesamte Kategorie SD-WAN und fügt Edge-Sicherheitsdienste hinzu, wie Cloud Access Services Broker (CASB), Next Generation Firewall (NGFW), Secure Web Gateway (SWG), Zero-Trust Network Access (ZTNA) und einige andere.
Gartner, das Unternehmen, das den Begriff SASE geprägt hat, weist darauf hin, dass sich aufgrund des breiten Umfangs der Definition nur wenige Anbieter aktuell tatsächlich als vollständig „SASE-ready“ qualifizieren. Und selbst die Anbieter, die dies tun, verfügen nicht über die gesamte Palette an Diensten.
Durch die Konvergenz von Netzwerk und Sicherheit in einem einzigen Cloud-basierten Angebot kann SASE jedoch sowohl die klassischen Außenstellen/Niederlassungen, als gleichermaßen auch mobile Nutzer und Home-Office-Nutzer bedienen. Um die Vorteile von SASE zu nutzen, wird ein Unternehmensmitarbeiter automatisch mit dem nächstgelegenen Cloud-Gateway verbunden (=„Service Edge“), um dessen Security-Schutzschild zu aktivieren. Viele SASE-Angebote versprechen zudem eine verbesserte Konnektivität zu Cloud- und Internet-Diensten, indem sie private Internet-Backbones und direkte Verbindungen zu beliebten Hyperscale Clouds (AWS, Azure, Google) und SaaS-Diensten nutzen. Daher beeinflussen die Anzahl der SASE-Points-of-Presence und die Nähe zu den Unternehmensanwendern die Performance der SASE-Lösung.
Genauso wie nicht alle heutigen SD-WAN- oder Security-Provider ihre Services in einem Sprung in eine SASE-Lösung transformieren werden, werden auch die Unternehmen eine schrittweise Entwicklung über einige Zwischen-Stufen verfolgen. Zunächst sollten die aktuellen WAN- und Legacy-VPN-Anbindungen über eine SD-WAN-Transformation modernisiert werden. Dann kann man die Services auf dieser SD-WAN-Implementierung erweitern und schließlich alle Edge-Security- und Netzwerksdienste des Unternehmens auf ein SASE-Modell migrieren.
In vielerlei Hinsicht kann die SD-WAN-Technologie als das erste Sprungbrett oder der erste Schritt hin zu SASE betrachtet werden.
Wo steht die SD-WAN-Technologie heute?
In der ersten Phase des neuen SD-WAN-Marktes haben sich Technologie- und Service-Provider aus sehr unterschiedlichen Bereichen mit Ihren Lösungen zu positionieren versucht.
Diese ersten SD-WAN-Anbieter kommen ursprünglich aus verschiedenen Netzwerk-Kategorien, darunter CPE-Hersteller, Routing, Firewall, WAN-Optimierung, Link-Bonding, WiFi und Cloud-Networking. Sie alle haben sich bemüht, ihre jeweiligen Lösungen mit Funktionen wie Zero-Touch-Provisioning (ZTP), zentralisiertem Cloud-Management und einer Multilink- und Applikations-Optimierung zu ergänzen, um sich damit als bestmögliche SD-WAN-Produkte zu qualifizieren.
Heute hat sich der SD-WAN-Markt konsolidiert. Die Lösungsangebote der führenden Anbieter befinden sich in unterschiedlichen Stadien mit unterschiedlichem Reifegrad, aber mit durchaus ähnlichem Funktionsumfang.
Die große Aufmerksamkeit auf das „SASE“-Konzept hat zuletzt den Fokus aber verschoben und erweitert.
So werden SD-WAN-Technologien derzeit eingesetzt:
- Niederlassungen/Filialstandorte: Als Teil der WAN-Transformation war der Anwendungsfall Niederlassung/Filiale mit einer CPE-Komponente vor Ort der Ausgangspunkt für SD-WAN. Mittlerweile ist allerdings ein „hybrides“ Setup, mit einer Kombination aus Arbeit aus dem Office und dem Home-Office zur neuen Norm dafür geworden dafür, wie und wo Mitarbeiter arbeiten.
- Mobile oder Heimstandorte: Einige wenige SD-WAN-Lösungen hatten zuvor bereits auch auf mobile- oder Software-Clients gesetzt, die zentralisierte Richtlinien und Compliance bieten, aber nicht die anderen filialzentrierten Attribute von SD-WAN-Produkten. Als COVID-19 kam und die VPN-Server unter der zusätzlichen Last ins Wanken gerieten, haben einige Unternehmen SD-WAN-Softwarelösungen eingeführt (und auch anfängliche SASE-Services wie ZTNA). Da sich zukünftig hybride Arbeitsmodelle etablieren werden, werden die Anbieter von SD-WAN-Lösungen, die bisher noch keinen Software- oder Mobil-Client haben, von Kunden-Seite dazu getrieben, einen solchen hinzuzufügen.
- Cloud-Standorte: Immer mehr Unternehmen erwarten, dass SD-WAN-Lösungen sich auch in Cloud-Plattformen bzw. in virtuelle private Clouds (VPCs) innerhalb von Hyperscale-Cloud-Plattformen integrieren lassen. Eine performante und sichere Multi-Cloud-Konnektivität ist daher mittlerweile oft eine wichtige Anforderung.
SD-WAN-Technologie und lokale CPEs sind nicht wegzudenken
Ob über vom Hersteller bereitgestellte CPEs/Appliances oder als Softwarefunktionen, die auf einer „universal-CPE“ (uCPE) laufen – die SD-WAN-Technologie wird sich weiter durchsetzen.
Nach COVID kehren die Unternehmen und die Standorte/Niederlassungen wieder zu einem halbwegs normalen Betrieb zurück, was die Notwendigkeit einer kontinuierlichen WAN-Transformation wieder mehr in den Fokus rückt. Der Bedarf an Redundanz, mehr Bandbreite und mehr WAN-Performance (Link-Bonding etc.) wird nicht verschwinden.
Ebenso werden ein verbessertes zentrales Monitoring und Fernüberwachung weiterhin erforderlich sein, und die Anforderungen an lokale Security-Funktionalität und Netzwerkzugriffskontrolle werden bestehen bleiben und weiter wachsen.
Eine „on-premise“ CPE-Komponente, ob heute Teil einer SD-WAN-Lösung oder morgen einer weiterentwickelten SASE-Lösung, kann insofern umfassenden Schutz für Niederlassungen/Standorte und auch Home-Offices bieten und dabei auch spezielle Anforderungen an lokale Netzwerk-Security abbilden (Netzsegmentierung etc.).
Die Sicherstellung von kontinuierlicher Produktivität, Transparenz, Durchsetzung von Richtlinien und Unternehmenssicherheit auch im Home-Office ist zu einer ständigen IT-Priorität in heutigen Unternehmen geworden. ZTNA-Clients (oder VPN-Clients der nächsten Generation) ermöglichen es dabei, das HomeOffice und die mobilen Nutzer (Laptops unterwegs, Telefone, Tablets) mit Cloud-Security-Funktionen abzusichern.
SD-WAN-Technologie – Der Einstieg zu SASE
Nichtsdestotrotz stellen einige SD-WAN-Anbieter bereits heute SASE-Services über die Cloud und über „on-premise“ Devices zur Verfügung, während andere SD-WAN-Anbieter ihre Lösung weiterentwickeln und sich in Richtung SASE positionieren, indem sie cloudbasierte Funktionen zu ihrem Produktmix hinzufügen.
Von Seite der Unternehmen besteht der Druck, Laptops und mobile Geräte außerhalb der Office-Standorte in die WAN- und Security-Lösung zu integrieren. Und es gibt den Wunsch, die WAN-Qualität und -Performance für alle Nutzer zu verbessern. Um das zu bedienen, verfolgen viele SD-WAN-Anbieter und Service-Provider die folgenden Schritte:
- Hinzufügen von Software- und mobilen-Clients: Dies bietet umfassende und nahtlose Sicherheits- und Netzwerkzugriffsrichtlinien für alle Zugriffsorte und -typen, unabhängig davon, ob die Mitarbeiter vom Büro-Standort oder von einem anderen Ort aus arbeiten.
- Implementierung von Cloud-Gateways: SD-WAN-Anbieter, die bisher keine Cloud-Komponente hatten, fügen nun diese Optionen hinzu. Unabhängig davon, ob sie vom Anbieter oder von Managed Service Providern (oder dem Unternehmen) betrieben werden, bieten diese Gateways einen Landepunkt, an dem erweiterte Dienste angeboten werden können, ohne den Software-Client oder das SD-WAN CPE vor Ort zu belasten.
- Erweiterung der Gateway-Verfügbarkeit: Anbieter, die über Cloud-Gateways verfügen, fügen entweder weitere Gateways an mehr Standorten (Points-of-Presence oder POPs) hinzu, um die Latenz bei der Verbindung zu reduzieren, oder bauen ihre Backbone-Konnektivität über diese Standorte aus. Eine Untergruppe von SD-WAN/SASE-Anbietern verbessert die Anwendungsleistung, indem sie private Backbones betreiben oder bestehende Cloud-Backbones/Co-Location-Provider (d. h. Equinix, Azure, AWS, Google Cloud usw.) nutzen, um direkte Verbindungen zu Hyperscaler-Clouds und beliebten SaaS-Diensten bereitzustellen.
Verbesserung Cloud-basierter Sicherheitsdienste
Schließlich – und als wichtiges Sprungbrett zu SASE – sehen wir SD-WAN- (und frühe SASE-)Anbieter und Service Provider, die ihre Cloud-basierten Sicherheitsdienste verbessern. Vom Hinzufügen von NGFW-Funktionen bis hin zur Integration von SWG, ZTNA und rudimentären CASB-Funktionen versuchen Anbieter und MSPs, mehr Security-Funktionen in den Cloud-Angeboten zu konsolidieren, um deren Leistungsumfang zu steigern. Einige koppeln bestehende Security-Appliances miteinander, um diese vereinheitlichten Angebote bereitzustellen. Andere gehen den Weg, diese Funktionen von Grund auf neu zu entwickeln, in der Hoffnung, Synergien in einer Clean-Slate-Implementierung zu erzielen. Clean-Slate-Implementierungen, sowohl vor Ort als auch in der Cloud, können die Anzahl der Durchläufe jedes Netzwerkpakets reduzieren, was die Latenz verringert und die Effizienz und Leistung verbessert.
Die Reise der Unternehmen zu SASE
Während SD-WAN– und SASE-Anbieter sowie -Provider ihr Angebot ausbauen, können Unternehmen parallel dazu ihre eigene Reise zu SASE antreten. Wie wir bereits angedeutet haben, sollten Unternehmen zunächst ihre unmittelbaren Konnektivitäts- und Sicherheitslücken schließen, indem sie die SD-WAN-Technologie für Zweigstellen und ZTNA/SASE-Software-Client-Optionen für ihre mobilen und Laptop-Benutzer implementieren. Die SD-WAN-Implementierung sorgt für konsistente Sicherheits- und Zugriffsrichtlinien über die gesamte Zugangsfläche des Unternehmens hinweg und bietet eine einheitliche Transparenz über das zentrale Monitoring.
Für Benutzer, die sich nicht in Niederlassungen befinden und durch SD-WAN-CPEs geschützt sind, könnte ein Unternehmen entscheiden, mehr Cloud-zentrierte SASE-Funktionen zu aktivieren, um das Schutzniveau für diese Mitarbeiter zu erhöhen. Die Verwendung eines Cloud-Gateways als erster Landepunkt des Mitarbeiters in einem nahegelegenen POP könnte die Applikationsperformance und die Nutzererfahrung und damit die Produktivität der Anwender verbessern.
In dem Maße, in dem die Anbieter ihre Cloud-basierten Angebote verbessern und die Konformität mit einer vollwertigen SASE-Lösung entsprechend des SASE-Konzeptes verbessern, können Unternehmen entscheiden, welche Funktionen für welche Untergruppe von Mitarbeitern und Standorten sinnvoll sind.
Den ersten SASE-Schritt machen
Es gibt heute zahlreiche SD-WAN-Lösungen auf dem Markt, und viele bezeichnen sich selbst als SASE. Recht sicher werden alle diese SD-WAN-Anbieter mit genügend Zeit und Investitionen ihr letztendliches Ziel erreichen und ihre Lösung in Richtung SASE weiterentwickeln.
Aber wir glauben trotzdem, dass die Auswahl des richtigen SD-WAN-Partners heute schon den Weg eines Unternehmens von SD-WAN zu SASE beschleunigen kann.
Jedes Unternehmen hat andere unmittelbare Anforderungen, die von der jeweiligen Branche, der Unternehmensgröße, den geografischen Standorten und den Geschäftsmodellen abhängen. Nichtsdestotrotz wird es notwendig sein, eine SD-WAN-Architektur mit einem reichhaltigen SD-WAN-Funktionssatz zu finden – insbesondere im Hinblick auf das Thema Security –, die anwendungsorientiert ist und sich in großen Implementierungen bewährt hat.
Ebenso glauben wir, dass ein SD-WAN-Anbieter mit Cloud-Gateways, erfolgreichen Software- und Mobile-Clients und einer breiten Präsenz bei Managed-Service-Providern, schneller zu einer echten SASE-Lösung kommen würde.
Mit SASE als nächster Wachstumsstufe wird die SD-WAN-Technologie noch schneller eine ausgereifte Lösung.
Mit den Richtlinien, die wir in diesem Artikel skizziert haben, können Unternehmen heute sicher mit SD-WAN beginnen, mit Blick auf die Zukunft und ein vollwertiges SASE-Konzept.
Sie interessieren sich für SASE und SD-WAN zur flexiblen Standortvernetzung Ihres Unternehmens? Dann kontaktieren Sie uns gerne.