Viele Unternehmen beschäftigen sich im Rahmen der Modernisierung ihrer Infrastruktur mit der Einführung von SD-WAN-Lösungen. Neben der Anbindung von Standorten kommt dabei vermehrt auch die Anforderung zum Tragen, eine sichere und performante Homeoffice-Anbindung gewährleisten zu können.

Auch wenn sich die SD-WAN-Produkte der einzelnen Hersteller in manchen Bereichen lediglich in Details unterscheiden, so gibt es doch divergierende technische Ansätze. Die Spezialisten von becom raten deshalb dazu, sich vor einer SD-WAN-Entscheidung mit drei Aspekten zu beschäftigen, die häufig übersehen werden.

  1. Cloud-Gateway: Ja oder nein?
    Grundsätzlich ist ein SD-WAN auch ohne Cloud-Gateway realisierbar. In der Regel handelt es sich dann um eine sternförmig aufgebaute Hub-Spoke-Architektur. Die Spokes sind die jeweiligen Endpunkte, während in der Zentrale ein Hub installiert ist. Das Problem liegt im Design: Die Kommunikation der einzelnen Endpunkte läuft bei einem solchen Modell immer über den zentralen Hub – letztlich ein ähnlicher Aufbau, wie er bei typischen Internet-VPN- oder MPLS-Szenerien verwendet wird.

    Zu wünschen übrig lässt hier allerdings die Performance, was sich gerade bei international verzweigten Unternehmen stark negativ bemerkbar machen kann. Und auch die Anbindung mobiler Benutzerinnen und Benutzer wird auf diese Weise limitiert. Ein Cloud-Gateway sorgt in solchen Fällen für einen großen Mehrwert. Der zentrale Hub wird vom Traffic entlastet und die Performance – gerade in weit verzweigten Netzen – oft erheblich verbessert.

 

  1. Session- oder Packet-based
    Viele SD-WAN-Anbieter setzen derzeit auf Systeme, die Session-based arbeiten. Eine Problematik dieser Technologie ist, dass der Ausfall einer WAN-Leitung zur Unterbrechung der jeweiligen Sitzung führen kann. Besonders nachteilig ist dies in der Praxis beispielsweise bei Videokonferenzen oder Telefongesprächen. In diesem Punkt sind SD-WAN-Lösungen im Vorteil, die Packet-based arbeiten: Selbst bei Ausfall einer Leitung wird der Abbruch des Telefonats oder Online-Meetings verhindert.

    Häufig nicht bekannt ist, dass die Verteilung der Pakete auf mehrere Leitungen auch ein Plus an Sicherheit mit sich bringen kann. Gelingt etwa ein „Man-in-the-middle“-Angriff auf eine Leitung, so steht Angreifern nur ein Teil des gesamten Datenstroms zur Verfügung. Eine Rekonstruktion sinnvoll nutzbarer Daten wird dadurch praktisch unmöglich.

 

  1. Integrierte Sicherheit: Vor- oder Nachteil?
    Unterschiedliche Ansätze gibt es auch generell beim Thema „Sicherheit und SD-WAN“. Einige Hersteller bieten ihre Lösungen mit mehr oder weniger bereits integrierten Sicherheitsmerkmalen an und vermarkten dies als zusätzlichen Vorteil. Dies kann dann in der Tat der Fall sein, wenn zu dem jeweiligen Teilaspekt – beispielsweise Cloud-Sicherheit oder die Absicherung von Homeoffice-Arbeitsplätzen – im Unternehmen noch keine dedizierte Security-Lösung vorhanden ist.

    Auch die sogenannte SASE-Architektur (Secure Access Service Edge) wird in diesem Zusammenhang oft bemüht, wobei hier Langzeiterfahrungen meist noch fehlen. Allerdings sollten sich Unternehmen darüber im Klaren sein, dass mit integrierter Sicherheit auch eine relativ hohe Abhängigkeit vom jeweiligen Anbieter einhergeht, was den späteren Wechsel auf Alternativen erschweren kann. Zudem darf getrost bezweifelt werden, dass jeder SD-WAN-Spezialist gleichzeitig auch Experte auf dem sehr weiten Feld der IT-Sicherheit ist.

    Viele Security-Themen sind eigenständig, haben zahlreiche Anknüpfungspunkte im gesamten Unternehmen und gehen über grundsätzliche Netzwerkfragen deutlich hinaus. Es wird sich in vielen Fällen daher anbieten, „SD-WAN“ und „Sicherheit“ als jeweils eigenständige Themen zu betrachten – und auf Dienstleister und Anbieter zu setzen, die im jeweiligen Fachgebiet über das erforderliche Know-how verfügen.

Weitere Beiträge....

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.