SD-WAN setzt sich als Basis für weitergehende Sicherheitsarchitekturen wie SASE durch. Bei diesem Konzept übernimmt eine Software die Netzwerkkontrolle über alle Standorte und Netzwerke hinweg, abgekoppelt von der physischen Infrastruktur. Software-defined Networking (SDN), ursprünglich für Rechenzentren entworfen, ist somit als Basis für alle Unternehmen von grösster Bedeutung, die über keinen klar umrissenen Perimeter mehr verfügen – also für alle Unternehmen mit einem hohen Anteil an Remote Workern.
Warum es überhaupt eine neue Art der Vernetzung braucht, liegt auf der Hand. Die Business-Welt hat sich in den letzten beiden Jahren beschleunigt und stark gewandelt. Äussere Einflüsse wie die Pandemie und andere Krisen in der Welt stellen Geschäftsmodelle auf eine harte Probe, besonders wenn sie über die eigenen Landesgrenzen hinausreichen. Arbeitsplätze befinden sich auch ausserhalb des Firmennetzwerks – der Firmenperimeter verändert sich dauernd mit dem Standort der Mitarbeitenden. Diese stehen unter permanentem Veränderungsdruck, müssen sich anpassen, agil bleiben, ein digitales Mindset pflegen in einer Kultur der digitalen Sicherheit. Das sind hohe Ansprüche.
Zunehmende dichtere Cloud- und komplexere Datenstrukturen, die Organisationen umgeben, sind das Umfeld, das kulturelle und technologische Massnahmen erfordert. Laut einer neuen globalen Cisco-Studie gelten 39 Prozent der von Unternehmen eingesetzten Sicherheitstechnologien als veraltet. Technologie-Investments im Bereich der Sicherheit stehen laut einer anderen Cisco-Studie auch bei Schweizer CIOs und IT-Leitern hoch im Kurs. Netzwerksicherheit (55%) und SASE-Lösungen (34%) sowie SD-WAN (28%) sind die Spitzenreiter der Wünsche.
Klassische Netzwerkstrukturen sind in diesen Zeiten out. Die Umstellung auf SDN für netzwerkinterne Abläufe und die Weiterführung der SDN-Konzepte ins WAN mit einer Business-Logik bringen Mehrwerte für KMU und grosse Unternehmen. Dabei sollten sich IT-Teams gleich mit SASE (ausgesprochen «Sassy») befassen, einer Weiterentwicklung von SD-WAN. Das neue Konzept verbindet das Beste aus allen Cloud-Welten zu einer integrierten Sicherheit.
SDN für Netzwerke
Konventionelle Netzwerke bestehen aus Routern und Switches. Deren proprietäre Software bestimmt die Regeln für die Weiterleitung der Datenpakete. Die Intelligenz verteilt sich auf alle Geräte im Netzwerk. Anders in der SDN-Architektur. Der Zentralkontroller steuert die Konfiguration einzelner Geräte, die nicht mehr individuell konfiguriert werden. Der Datenfluss wird aber immer noch in der Intelligenz der Netzwerkkomponenten kontrolliert. Dadurch ist die Lösung sehr skalierbar und hat keine Engpässe.
Eine SDN-Architektur ist ein zentralisiertes, programmierbares Netzwerk und besteht aus einer Anwendungs-, einer Kontroll- und einer Infrastrukturschicht. Der Controller (Software) als Kernelement ermöglicht dem IT-Administrator die zentralisierte Verwaltung und Kontrolle, die Automatisierung und Richtliniendurchsetzung in physischen und virtuellen Netzwerkumgebungen. Hinzu kommen APIs, die Informationen zwischen dem Controller und den einzelnen Netzwerkgeräten (Switches, Access Points, Router und Firewalls) weiterleiten sowie APIs, die Informationen zwischen dem Controller und den Anwendungen und Policy Engines weiterleiten, für die ein SDN wie ein einziges logisches Netzwerkgerät aussieht. Anders gesagt: Die Hardwarekomponenten werden über ein API angesteuert, die Data Plane führt die Anweisungen aus, beispielsweise Regeln für das Routing der Datenpakete. Der Network Controller ist zentralisiert, steuert und verwaltet verschiedene Netzwerkkomponenten. Ein Interface (Southbound) stellt die Kommunikation zwischen den beiden Planes sicher, ein anderes (Northbound) kommuniziert mit Applikationen oder Management- und Kontrollprogrammen.
Indem SDN wie oben beschrieben die Steuerung der Netzwerkkonfiguration und Netzwerkdatenanalyse (Control Plane) vom Datentransport im Netzwerk (Data Plane) trennt, gewinnen die IT-Teams an Flexibilität und Kontrolle. Ein physischer Netzwerkzugriff ist nicht mehr nötig. Proprietäre Hardware verliert an Bedeutung, SDN-Controller mit den entsprechenden Management-Tools werden wichtiger.
Die Vorteile von SDN
SDN entfesselt im Netzwerk neue Kräfte, gestaltet eine intelligentere, automatisierbare Architektur. Das Netzwerk lässt sich dynamisch an die Anforderungen virtualisierter Rechner anpassen. Ein logisch getrenntes Netzwerk wird über dem physischen Netz dargestellt. Mit Mikrosegmentierung entstehen mehrere virtuelle Netzwerke mit spezifischen Richtlinien für jeden Mandanten. Das bietet IT-Teams Flexibilität, Einfachheit und Schnelligkeit. Die Hardware muss nicht mehr manuell konfiguriert werden.
Der Betrieb vereinfacht sich, wird günstiger (geringere Hardware- und Betriebskosten), die Automatisierung lässt sich hochsicher und skalierbar durchführen. Applikationen und Services sind leichter und schneller integriert, auch jene von Drittanbietern. Ein einziges, zentralisiertes Cloud-Dashboard für die Konfiguration und das Management des Netzwerks sowie seiner Sicherheit genügt.
Die Provisionierung aller Endpunkte oder Standorte etwa im WAN erfolgt mit Hilfe von Templates. Neue Netzelemente beziehungsweise Standorte sind schnell ausgerollt. Load Balancing zum Managen des Datenflusses lässt sich leicht einsetzen und verbessert Effizienz und Latenz des Netzwerks. Generell erlaubt der zentrale Überblick über alle Netzwerkknoten die Etablierung von Quality of Service (QoS). Anwender erhalten jederzeit die versprochene Bandbreite.
Für die Business-Analyse und Bandbreiten-Vorhersagen stehen detaillierte Reports zur Verfügung. Die Sichtbarkeit aller genutzten Anwendungen ist gross, der Betrieb einfach, die Einhaltung von Compliance-Regeln und Implementierung von netzwerkweiten Control- und Data Policies sowie Automatisierung fällt leichter.
SDN bietet feinere Instrumente zur Stärkung der Netzwerksicherheit. Zugangskontrolle und Sicherheitsanforderungen sind nach Workload-Typ oder Netzwerksegmentierung möglich.
Anwendungen von SDN
Sind die unteren Netzwerkebenen abstrahiert und erfolgt die Konfiguration mittels Software, ergeben sich verschiedene Anwendungsmöglichkeiten für SDN, beispielsweise die Echtzeitüberwachung des Datenverkehrs. SDN lässt sich auch im WAN anwenden, SD-WAN muss im Gegensatz zu SDN weiter verschiedene Infrastrukturelemente abstrahieren und mit verschiedenen Verbindungstypen, Geografien und Anbietern klarkommen.
Eine SD-WAN Lösung eignet sich nicht nur für die klassische Vernetzung einzelner Unternehmensstandorte, sondern auch für die Anbindung von Home-Office- beziehungsweise Teleworking-Arbeitsplätzen. Grösster Treiber ist laut IDC SD-WAN-Report die Cloud: 75 Prozent der befragten CIOs bestätigen, dass die Nutzung von Cloud-Diensten ihre Technologiewahl beeinflusse. Neue technische Entwicklungen machen nun SD-WAN auch für KMU mit mehreren Standorten interessant.
SD-Access ermöglicht den Zugriff auf alle Benutzer, Geräte oder Anwendungen vom Netzwerk-Edge bis zur Cloud, ohne die Sicherheit zu gefährden – die Grundlage für einen veritablen Zero-Trust-Arbeitsplatz, in dem jede einzelne Datenverbindung permanent geprüft wird, anstatt jedem Endgerät einmal mittels Passwort den Zugriff dauerhaft oder für bestimmte Zeitfenster zu gewähren.
Mit SDN wird DevOps einfacher, werden Campus-Netzwerke einfacher verwaltet und WiFi- und Ethernet-Netzwerke vereinheitlicht. Dienstanbietern hilft SDN, ihre Netzwerke automatisiert bereitzustellen. Ausserdem erhöhen virtuelle Firewalls die Sicherheit im Rechenzentrum.
Weitere Anwendungsbeispiele sind die direkte Anbindung und das dynamische Routing von SaaS-Applikationen (z.B. Office 365) über den besten verfügbaren Pfad (direkt über DIA oder Regional-Hub oder Rechenzentrum oder via Co-Location). Die Basis für die Routing-Entscheidung bilden regelmässige Performance-Messungen beziehungsweise Rückmeldungen an den SD-WAN Controller über entsprechende Analyse-Tools und API-Integrationen in die entsprechende SaaS-Provider-Plattform (z.B. Office 365). Standorte lassen sich auch direkt an Cloud-Provider-Plattformen für IaaS inklusive Automatisierungen anbinden. Infrastructure as a Service (IaaS) kombiniert SDN mit virtuellen Systemen und Storage. Damit wird eine bedarfsabhängige Ressourcennutzung möglich. Lasten lassen sich auf verschiedene Verbindungen verteilen.
SDN als Basis für die Zukunft
Der Umstieg auf SDN setzt eine tiefe Kenntnis des eigenen Netzwerks, der Auswirkungen auf die Netzwerksicherheit und eine umsichtige Planung voraus. Wo beginnen? Die Planung eines SD-WANs könnte ein guter Startpunkt sein. Der Weg zu einer SDN-Architektur kann schrittweise erfolgen, eine Umstellung über Nacht ist kaum empfehlenswert, angesichts der Komplexität der Aufgabe. So verschwimmen etwa die Grenzen zwischen den IT-Umgebungen – etwa zu Computing. Somit bietet es sich an, mit einem SDN-Testnetzwerk klein anzufangen.
Ein Software-defined Network besteht aus den Hardwarekomponenten der Data Plane (Layer 3 oder Layer 2), die ihre Konfigurationsanweisungen und Informationen von der Control Plane erhalten. Die Server der Kontrollebene stellen die Intelligenz des Netzwerks zur Verfügung. Die Kommunikation zwischen den Planes geschieht über ein offenes, standardisiertes oder ein herstellerspezifisches Protokoll. Je nach Standard und Hersteller bieten sich unterschiedliche Realisierungskonzepte an.
Bestehende Netzwerke können häufig durch eine reine Software-Aktualisierung (ohne Hardware-Austausch) zu einer SDN-Lösung migriert werden. Zwingend ist ein exaktes Assessement, um jene Komponenten zu identifizieren, die nicht SDN-fähig sind, und die Anforderungen an die Controllerfunktionen genau zu definieren.
Über die Kosten lässt sich kaum eine Aussage machen, zu individuell sind die IT-Architekturen, zu unterschiedlich die Anforderungen. Mögliche Einsparungen stehen in den meisten Fällen auch gar nicht im Vordergrund, dafür aber das Bedürfnis nach einer einfacheren Verwaltung und einem schnelleren Reagieren auf Performance- und Businessbedürfnisse. Ein starker Treiber ist die zunehmende Abhängigkeit der Geschäftswelt von Digital Experiences: IT-Teams brauchen umfassende Visibilität von der App über das Netzwerk bis ins Internet. Die Basis für solche Entwicklungen ebenso des Einsatzes von künstlicher Intelligenz und Business-Logik im Netzwerk ist das SD-Netzwerk, in welcher Ausprägung auch immer.
Mit SDN und seiner Implementierung in das WAN (SD-WAN) vollziehen Unternehmen auch den ersten Schritt in Richtung SASE. Besser ist es, von Anfang an auf «Sassy», die Königin der Cloud-Sicherheit zu setzen und etwa mit Zero Trust gleich ein weiteres SASE-Element zu implementieren. Die Angriffsflächen werden nicht kleiner. Ransomware als Sicherheitsbedrohung wird nicht einfach verschwinden, doch wer grundsätzlich jedem Endgerät misstraut, schafft erst die Voraussetzungen zur Bekämpfung der digitalen Kriminalität. Die Transformation der Unternehmens-IT ist mit dem SD-WAN eingeleitet, die folgenden Schritte und das Tempo sind individuell. Am Ende entsteht eine solide Basis für sichere Geschäfte und die Entwicklung einer nachhaltigen Sicherheitskultur in der Organisation.
Von SDN zu NaaS
Damit ist aber nicht das Ende des Umbaus in den lokalen, regionalen und globalen Netzen erreicht. Die Zukunft gehört dem Network as a Service (NaaS). SD-WAN und SASE werden diesem Modell zum Durchbruch verhelfen. Darunter versteht sich ein Cloud-Modell, das hardwarezentrierte VPNs, Load Balancers, Firewalls und MPLS-Connections vollständig ersetzt, ohne dass Organisationen die nötige Infrastruktur besitzen müssen. Grundlage dieses neuen Beschaffungs- und Konsumationsmodells sind softwaredefinierte Netzwerke. In der Cisco-Studie 2022 Global Networking Trends, einer Befragung von über 1500 IT-Experten in 13 Ländern und Gesprächen mit IT-Führungskräften, zeigt sich der Aufstieg von NaaS. Hauptantriebskraft sind die kontinuierliche Bereitstellung neuer Netzwerktechnologien und die zunehmende Bedeutung und Komplexität von Sicherheitsangriffen. Schnelligkeit bei der Behebung von Sicherheits- und Leistungsproblemen ist laut der Studie zentral. Mehr als 75 Prozent der befragen Unternehmen sind davon überzeugt, dass NaaS den IT-Teams nicht nur die Erweiterung ihrer Kompetenzen, sondern auch geschäftliche Mehrwerte durch Konzentration auf innovative und wertsteigernde Aufgaben bietet.
Der Autor
Stefan Leemann ist bei
Cisco Schweiz als Head of Enterprise Networking tätig. Er verfügt über mehr als 20 Jahre Networking-Erfahrung, unter anderem bei Avaya.
