SD-WAN kontra VPN: Vor- und Nachteile im Vergleich
Services auf Basis von Software-defined WAN und VPN ähneln sich. Um herauszufinden, welche Technologie mehr Vorteile bietet, müssen Firmen daher SD-WAN und VPN genau vergleichen.
Da Software-defined WAN (SD-WAN) manchmal als modernere Version eines virtuellen privaten Netzwerks (VPN) über das Internet vermarktet wird, fragen sich viele IT-Teams nach den grundsätzlichen Unterschieden und Gemeinsamkeiten, wenn sie zwischen SD-WAN- und VPN-Services wählen müssen.
Obwohl die bevorzugte Konnektivitätsoption für SD-WAN-Plattformen in der Tat auf dem Internet beruht – genauer gesagt einer öffentlichen IP –, ist die Technologie konnektivitätsneutral. Das SD-WAN-Marketing suggeriert Usern gerne, die Internetkonnektivität sei die primäre Option für SD-WAN, aber das ursprüngliche Konzept für softwarebasierte Netzwerke sah – und sieht immer noch – vor, mehrere Schnittstellen zu unterstützen.
Um die passende Option für ihre Organisationen auszuwählen, versuchen IT-Teams in Unternehmen, sich nicht vom Hype rund um SD-WAN beeinflussen zu lassen, indem sie die Vorteile von SD-WAN und VPN miteinander vergleichen und gegenüberstellen.
Das leisten VPNs
Seit Jahrzehnten besteht die wesentliche Aufgabe von einfachen IPsec-VPNs darin, Pakete zu verwerfen, die nicht von authentifizierten Endpunkten stammen. Der gesamte Traffic zwischen Endpunkten wird auf höchstem Niveau verschlüsselt, was die Basis eines VPNs über das Internet darstellt. VPNs können einfach und kostengünstig sein, sich in puncto garantierter Netzwerk-Performance aber durchaus als problematisch erweisen.
Abbildung 1: Traffic wird auf seinem Weg von Punkt A nach Punkt B verschlüsselt.
Auf unterster Ebene können VPNs Anwendungen und Traffic vor deren Verschlüsselung priorisieren. Der Nutzen ist allerdings begrenzt, denn sobald Traffic durch einen verschlüsselten Tunnel fließt, lässt er sich aus Sicht des Provider-Netzwerks nicht priorisieren, weil der Header verschlüsselt ist und nicht eingesehen werden kann. Übrig bleibt ein Best-Effort-Netzwerk, das Traffic auf einem akzeptablen Performance-Niveau unterstützt.
Ein typisches VPN eignet sich gut für kleine Unternehmen, die ihren Betrieb über einen einzigen IP-Backbone abwickeln. Für größere Unternehmen mit mehreren Standorten verursacht ein IPsec-VPN jedoch aufgrund von hoher Latenz oder Überlastung des Netzwerks oft Probleme mit Sprach- und Videoanwendungen.
Obwohl SD-WAN für diese größeren Netzwerke die Rettung sein kann, machen sich Unternehmen nach wie vor Sorgen um End-to-End Traffic, insbesondere auf internationaler Basis. Warum also sollte eine Firma ein IPsec-VPN anstelle von SD-WAN wählen?
Im Wesentlichen sollten Unternehmen, die einen Vergleich zwischen SD-WAN und VPN anstellen, ihre Entscheidungen auf Grundlage eines soliden Abgleiches mit Geschäftsprozessen, Anwendungen und ihrer Strategie treffen. Einfach ausgedrückt, empfiehlt es sich, über die folgenden Fragen nachzudenken:
Muss Ihr Unternehmen eine bestimmte Anwendungs-Performance garantieren, oder ist Best Effort akzeptabel?
Nutzt Ihr Unternehmen die Cloud, und unterstützt es nicht abgesicherte Remote-Netzwerke?
Möchte Ihr Unternehmen sein eigenes WAN verwalten?
Für Unternehmen, die kostengünstige VPN-Services auf Best-Effort-Niveau implementieren wollen, ist der Einsatz einer traditionellen VPN-Appliance mit einem abgespeckten Leistungsumfang, einem einfachen Router oder Client mit IPsec-Funktionalität akzeptabel. Die Kosten, um einen solchen Service bereitzustellen, sind üblicherweise minimal. Einige Firmen stellen VPN-Services mit Breitband für weniger als 100 Euro pro Monat zur Verfügung.
Die SD-WAN-Technologie empfiehlt sich, wenn Unternehmen Cloud-Services einführen und darauf angewiesen sind oder Application Awareness, Remote Access und granulare Sicherheit benötigen.
Wann sich SD-WAN lohnt
Die SD-WAN-Technologie empfiehlt sich, wenn Unternehmen Cloud-Services einführen und darauf angewiesen sind. Oder sie benötigen Application Awareness, Remote Access und granulare Sicherheit. Zwar besitzt SD-WAN keinen End-to-End-QoS (Quality of Service) wie ein MPLS-VPN auf Layer 3. Trotzdem stellt sich SD-WAN dieser Herausforderung, indem es in der Lage ist, Netzwerkbedingungen wahrzunehmen und Anwendungen lokal zu priorisieren. Der lokale QoS von SD-WAN ist deutlich fortschrittlicher als grundlegende Internet-VPN-Services, was er seinem granularen Unterstützungsniveau sowie Technologien wie Caching oder Anwendungsbeschleunigung zu verdanken hat.
Wenn Organisationen Cloud-Services benötigen, sollten sie Sicherheit und Application Awareness mit einbeziehen. SD-WAN-Appliances und -Clients sind in der Regel robuster hinsichtlich Funktionen, die sich an modernen Arbeitspraktiken orientieren, wie das Arbeiten von zu Hause, Cafés oder Hotels aus. Mit der stärkeren Kontrolle von SD-WAN können IT-Teams oder Provider Traffic basierend auf Nutzerprofilen und Traffic-Typen einschränken und absichern.
In vielen Fällen treibt ein vereinfachtes Self-Management mit leicht zu bedienenden GUIs die Einführung von SD-WAN. Während die herkömmliche VPN-Konfiguration beispielsweise von Cisco IOS ausgewiesenes Fachwissen und eine Cisco-Akkreditierung erforderte, basiert die SD-WAN-Konfiguration auf dem Point-and-Click-Ansatz.
SD-WAN verspricht, jede Art von Netzwerkkonnektivität zu unterstützen – von MPLS über Virtual Private LAN Service (VPLS) bis hin zu, natürlich, Internet-VPN. Derzeit ist es immer noch günstiger, einfache IPsec-Geräte bereitzustellen, um eine Standard-VPN-Konnektivität herzustellen.
Abbildung 2: SD-WAN kann mehrere Arten der Konnektivität nutzen.
Währenddessen bieten SD-WAN-Appliances und -Clients alles in einer einfachen, leicht zu nutzenden Funktion. Das einstige Versprechen von SD-WAN wird zur Realität, wenn jedes Gerät oder jeder Client einfach ein schneller Zugang zu einem zentralisierten Managementserver ist. Mit anderen Worten: Unternehmen werden – abhängig von ihrem Gesamtbedarf oder standortbezogen – imstande sein, die einfachsten SD-WAN Services oder die komplexeren Elemente zu verwenden, was im Wesentlichen die Nutzung von Cloud-NFV (Network Functions Virtualization) bedeutet.
Die SD-WAN-Technologie ist noch nicht ganz so weit, da die meisten Provider Kosteneinsparungen forcieren, indem sie eine preiswerte Internetkonnektivität mit Hardware nutzen, die sich immer noch individuell programmieren lässt – obwohl auch eine Konfiguration von einem Server aus möglich ist.
SD-WAN kontra VPN: Entscheidungsfindung
Zwar ist es schwierig, die Zukunft vorherzusagen, aber zweifellos werden Unternehmen nach der besten Netzwerk-Performance, Sicherheit und Flexibilität suchen, und das zu möglichst geringen Kosten.
Das Ziel von SD-WAN besteht darin, Geschäftselemente herauszugreifen und in die Geschäftsabläufe abzubilden. Mit SD-WAN wird das Netzwerk granularer, was das Reporting, die Sicherheit und Anwendungs-Performance verbessert. Im Gegensatz zu einem Standard-Internet-VPN kann SD-WAN Netzwerkbedingungen wahrnehmen, um ein zuverlässiges Performance-Niveau sicherzustellen, ganz gleich, von wo aus und zu welchem Ziel Clients eine Verbindung aufbauen.
Wenn man SD-WAN mit VPN über das Internet vergleicht, ist SD-WAN deutlich umfassender. Die SD-WAN-Technologie besitzt das Potenzial, einfache Internet-VPNs zu ermöglichen und globale MPLS- und VPLS-Netzwerke abzulösen.
Bei jeder infrage kommenden Networking-Technologie müssen Unternehmen sich aber vor dem Marketing-Hype in Acht nehmen. Dieser kann sie dazu verführen, sich für ein eng mit einem bestimmten Provider verknüpftes SD-WAN-Angebot zu entscheiden, dem möglicherweise wichtige Komponenten fehlen.
Während IT-Teams nach vorne schauen und Fortschritte erzielen, geht auch die technologische Entwicklung ungebremst weiter und sorgt für immer mehr Produktfunktionen, was letztlich dazu führt, dass einfache VPNs der Vergangenheit angehören werden. Unternehmen werden den Anwendungs-Traffic mit einem fokussierteren Ansatz absichern und behandeln müssen, um Bedrohungen durch Hacker oder eine schlechte Anwendungs-Performance zu verhindern – alles Dinge, die den Geschäftsbetrieb beeinträchtigen.
