Migration zu Software-definierten Weitverkehrsnetzen

So umgehen Sie Stolpersteine auf dem Weg zum SD-WAN

| Autor / Redakteur: Axel Wegat / Andreas Donner

SD-WAN: Zentrale und dynamische Steuerung virtualisierter Netze.
SD-WAN: Zentrale und dynamische Steuerung virtualisierter Netze. (Bild: © magele-picture - stock.adobe.com)

SD-WAN ist für immer mehr Firmen eine verlockende Möglichkeit, ihr Firmennetz und dessen Ankopplung an Weitverkehrsnetze einfacher und dynamischer zu administrieren. Die Basis hierfür legen eine gründliche Planung und ein stimmiges Migrationskonzept. Doch meist ist es ratsam, SD-WAN als Fully Managed Service zu nutzen.

Die Virtualisierung von Firmennetzen liegt im Trend. Laut einer Umfrage von Frost & Sullivan im Auftrag von SilverPeak planen weltweit 61 Prozent aller Unternehmen, in den nächsten zwei Jahren SD-WAN einzuführen. Und Erhebungen des SD-WAN-Anbieters Cisco zeigen, dass der Anteil von SD-WAN am gesamten WAN-Traffic jährlich um durchschnittlich 37 Prozent wächst – 2022 sollen bereits knapp 30 Prozent des globalen Datenverkehrs über SD-WAN laufen.

Zwei Virtualisierungstechnologien machen SD-WAN so attraktiv: Software Defined Networking (SDN) und Network Functions Virtualization (NFV). Durch SDN wird die Kontrollschicht (Control Plane) aus Netzwerk-Hardware wie Routern in eine Software übertragen, den SDN-Controller. Dieser steuert das Netz zentral aus einem Rechenzentrum. Damit können Unternehmen Änderungen im gesamten Netzwerk, wie neue Konfigurationen oder das Aufspielen von Sicherheits-Policies, schneller umsetzen. Mithilfe von NFV wiederum lassen sich Netzfunktionen virtualisieren und die Hardware in einem SD-WAN reduzieren. So benötigen etwa Firewall, MPLS-Anschluss oder WAN-Beschleunigung als virtualisierte Netzwerkfunktion keine eigenen Geräte mehr. Stattdessen können sie auf einer Standard-Hardware laufen, dem Universal Customer Premises Equipment (uCPE). SD-WAN bildet somit ein homogenes Overlay über dem vorhandenen WAN-Transportnetz (Underlay), das etwa aus MPLS-, Internet- und Ethernetleitungen bestehen kann.

SD-WAN-Migration sorgfältig planen

Um das traditionelle WAN zum SD-WAN zu machen, bietet sich ein schrittweiser Übergang an. Wichtigster Bestandteil der Migration ist eine sorgfältige Planung. Unternehmen müssen ihre Anforderungen verstehen und ihre Ziele definieren, denn danach richtet sich unter anderem der Bedarf an Bandbreiten und Sicherheitsmaßnahmen. Wollen sie künftig beispielsweise verstärkt IoT-Prozesse abbilden, erhöht sich zwangsläufig die benötigte Bandbreite. Und Cloud-Dienst ist nicht gleich Cloud-Dienst: Ein E-Mail-Server, der in der Cloud betrieben wird, hat geringere Ansprüche an die Netzwerkverbindung zum WAN als eine Videoconferencing-Lösung aus der Cloud. Mit der Abklärung der Anforderungen gilt es so im ersten Schritt das Design des neuen Netzes auszulegen (Layout). Soll kein SD-WAN im Eigenbau installiert werden, erfolgt das Layout in enger Abstimmung mit einem entsprechend qualifizierten Migrationspartner beziehungsweise Service Provider.

In der zweiten Phase liegt der Fokus auf der Anpassung von Underlay und Hardware (Update). Meist ist es unumgänglich, das bestehende Transportnetz an künftige Anforderungen anzupassen: Zwar erkennt ein SD-WAN beispielsweise, wenn eine Netzverbindung überlastet ist – ausreichende Bandbreite muss jedoch das Transportnetz bereitstellen. Daher sollte sich etwa die Bandbreite einer Cloud-Anbindung immer an den zu erwartenden Zugriffszahlen ausrichten. Zudem kann die Aufschaltung lokaler Internet-Gateways oder zusätzlicher Ethernetleitungen erforderlich werden. Auch eine Hardwarenachrüstung, etwa für Edge-Clouds an bestimmten Unternehmensstandorten, gehört zum Update dazu.

Anschließend teilen die Verantwortlichen das Netz in einzelne Segmente, zum Beispiel nach Regionen, Bedeutung für den Geschäftsbetrieb oder Qualitätsansprüchen (Creation of Segments). Im abschließenden Schritt (Implementation) stellen sie das Netz dann Segment für Segment um – so treffen eventuelle Störungen nicht den gesamten Netzbetrieb. Nach erfolgreicher Migration können Unternehmen alle Vorteile von SD-WAN nutzen und damit ihr Netz zentral überwachen, schnell anpassen, die Performance von Anschlüssen verbessern und Public Clouds sicher direkt an Standorte anbinden.

Sicherheitsthemen rechtzeitig einbeziehen

Schon bei der Planung des neuen Netzes gilt es, die Sicherheit des SD-WANs zu berücksichtigen. Sicherheits-, Cloud-, App- und Netzwerkexperten sollten gemeinsam festlegen, welche Sicherheitsanforderungen das neue Netz erfüllen muss. Alle erforderlichen Security-Komponenten sollten dann nahtlos in das Netzwerk integriert werden.

Ein SD-WAN ermöglicht es, ein zentrales Sicherheitsmonitoring zu betreiben und Software aus der Ferne schnell zu installieren, anzupassen oder zu skalieren. Durch die zentrale Überwachung fallen Anomalien im Datenverkehr schneller auf. Verdächtige Datenströme lassen sich wie in herkömmlichen Netzen blocken – oder dank SD-WAN dynamisch an einen Honeypot oder ein Quarantäne-Netz für die weitere forensische Untersuchung weiterleiten. Findet tatsächlich ein Hackerangriff statt, können Unternehmen betroffene Netzteile schnell vom Rest des WANs isolieren.

SD-WAN bildet ein Overlay über das bestehende Transportnetz und optimiert den Netzbetrieb so vor allem in vier Bereichen.
SD-WAN bildet ein Overlay über das bestehende Transportnetz und optimiert den Netzbetrieb so vor allem in vier Bereichen. (Bild: T-Systems)

Komplett gemanagtes SD-WAN für ganzheitliche Security-Sicht

Ein wirkungsvoller Schutz gegen Attacken setzt zudem voraus, dass alle Sicherheitskomponenten nahtlos zusammenarbeiten und eine ganzheitliche Sicht auf die SD-WAN-Security besteht. Wenn sich verschiedene Akteure oder Anbieter jeweils nur um einen Teil des Netzes kümmern, stehen sie auch nur für die Sicherheit dieses Teils in der Verantwortung. Daher ist für die meisten Unternehmen ein so genanntes Fully Managed SD-WAN wohl die geeignetste Lösung, denn hierbei bietet der Anbieter Overlay und Underlay aus einer Hand an und trägt somit die Verantwortung für alle Teile des Netzes, von Transportnetz bis SD-WAN. Für Unternehmen, die über ausreichend Personal und Know-how im Bereich SD-WAN verfügen, kommt aber auch der Aufbau einer Do-It-Yourself-Lösung ohne Migrations- und Servicepartner infrage. Alle anderen fahren in der Regel besser mit einem Partner, der von Planung über Migration bis zum laufenden Betrieb mit im Boot sitzt.

Laut einer Studie von SDxCentral betrachten mehr als die Hälfte der Unternehmen die Auswahl von SD-WAN-Anbieter und -Lösung als größte Herausforderung bei der Migration. Angesichts der Vielzahl von Anbietern gehen die Autoren der Studie davon aus, dass sich der SD-WAN-Markt in Richtung eines Managed-Modells entwickeln wird.

Die Migration des Firmennetzwerks auf SD-WAN erfolgt idealerweise in vier Schritten. Besonders wichtig ist dabei der erste Schritt: die Planung.
Die Migration des Firmennetzwerks auf SD-WAN erfolgt idealerweise in vier Schritten. Besonders wichtig ist dabei der erste Schritt: die Planung. (Bild: T-Systems)

Datenschutz gewährleisten

Wollen Unternehmen sichergehen, dass sie mit ihrem SD-WAN datenschutzkonform arbeiten und die strenge EU-Datenschutzgrundverordnung (DSGVO) erfüllen, empfieht sich die Wahl eines Fully-Managed-SD-WAN-Anbieters, der über einen Hauptsitz und zertifizierte Rechenzentren in Deutschland beziehungsweise in der EU verfügt. Um höchste Anforderungen an Sicherheit und Datenschutz zu erfüllen, betreibt beispielsweise T-Systems alle Managementkomponenten seiner Lösung IntraSelect SD-WAN in der Open Telekom Cloud in Deutschland.

Die SD-WAN-Lösung nutzt Technologie von Cisco, bei der alle SD-WAN-Komponenten über Zertifikate und eine Public-Key-Infrastruktur (PKI) authentifiziert werden. Zudem ist der kritische Steuerverkehr zwischen der zentralen Steuerkomponente, dem SDN-Controller, und den Routern per TLS oder DTLS verschlüsselt. Die Cisco-Technologie hat – ebenso wie alle anderen Bestandteile dieses Fully Managed SD-WAN-Services – das Telekom-interne Prüfverfahren „Privacy and Security Assessment“ (PSA) erfolgreich durchlaufen. So kann T-Systems die Echtzeitüberwachung und die datenschutzkonforme Ende-zu-Ende-Verantwortung für das komplette SD-WAN eines Unternehmens übernehmen.

Axel Wegat.
Axel Wegat. (Bild: P.G.LOSKE / T-Systems)

Über den Autor

Axel Wegat ist SD-WAN-Experte bei T-Systems. Wegat leitet als Squad Lead die Markteinführung von IntraSelect SD-WAN, dem integrierten SD-WAN Service von T-Systems. Zuvor war Wegat verantwortlich für die Angebots-Entwicklung für Applikationsmodernisierung, SAP S/4Hana-Migrationen und Application Performance Management. Neben seinem Beruf engagiert sich der dreifache Familienvater als Trainer für eine Floorball Jugendmannschaft.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46225047 / Architektur)