SD-WAN im Vergleich zu VPN: Wie unterscheiden sie sich?

SD-WAN im Vergleich zu VPN: Wie unterscheiden sie sich?

Aus dem Wechsel von BioIVT von einem internetbasierten VPN (Virtual Private Network) zu einem cloudbasierten SD-WAN lässt sich eine wichtige Erkenntnis ziehen: Die Auswahl der richtigen Netzwerklösung für den jeweiligen Anwendungsfall kann beträchtliche Auswirkungen auf den Geschäftsbetrieb haben. In diesem Fall konnte die Bereitstellungszeit für neue Standorte um Monate verkürzt werden.

Internetbasiertes VPN, d. h. die Verwendung von IPsec-Tunneln (oder ähnlichen Verschlüsselungsmethoden) und physischen oder virtuellen VPN-Appliances für eine sichere Verbindung mehrerer Standorte in einem WAN über das öffentliche Internet, ist seit Jahren fester Bestandteil von Unternehmens-WANs. Da Unternehmen so die Bandbreitenkosten senken können, wenn auch mit gewissen Zugeständnissen an die Zuverlässigkeit und Leistung, hat sich das internetbasierte VPN als Alternative zu MPLS (Multiprotocol Label Switching) für bestimmte Anwendungsbereiche im WAN-Bereich bewährt.

Während lange Zeit diskutiert wurde, ob ein internetbasiertes VPN oder MPLS die bessere Wahl sei, hat sich die WAN-Technologie in den letzten Jahren weiterentwickelt. Inzwischen ist aus der SD-WAN-Technologie eine WAN-Konnektivitätslösung für Unternehmen geworden, die eine Kombination aus Kosteneffizienz, Flexibilität und Cloudkompatibilität bietet, mit der weder MPLS noch ein internetbasiertes VPN mithalten können. Vor allem das cloudbasierte SD-WAN hat sich bewährt, da es die Zuverlässigkeit und die zusätzlich integrierten Sicherheitsfunktionen noch weiter verbessert.

Wie können Sie in Anbetracht all dieser Aspekte entscheiden, ob ein internetbasiertes VPN oder ein SD-WAN für die Anforderungen in Ihrem Unternehmen besser geeignet ist? Im Folgenden finden Sie die Antwort.

SD-WAN im Vergleich zu VPN: Vorteile und Einschränkungen

Bei einem Vergleich von WAN-Konnektivitätslösungen sind Kosten, Leistung, Zuverlässigkeit sowie Konfigurations- und Wartungsaspekte von Bedeutung. Schauen wir uns in diesen Kategorien an, was für das SD-WAN und was für das VPN spricht.

SD-WAN im Vergleich zu VPN: Kosten

Sowohl mit internetbasiertem VPN als auch mit SD-WAN können Unternehmen kostengünstige Bandbreiten im öffentlichen Internet nutzen. Bei kleinen Bereitstellungen stellt VPN eine preiswerte Lösung für einige wenige Standorte und eine einfache WAN-Topologie dar. Eine einfache Verbindung zwischen Standorten kann z. B. mit Standardservern und Open-Source-Software wie Openswan eingerichtet werden. Doch wie wir bei BioIVT gesehen haben, können die Komplexität und die Engpässe, die mit der Skalierung von VPN-basierten Netzwerken einhergehen, die Kosteneinsparungen bei weitem übertreffen.

SD-WAN im Vergleich zu VPN: Leistung

Leistungsmäßig ist ein internetbasiertes VPN zwangsläufig an das öffentliche Internet gebunden. Abgesehen von Leistungseinbußen durch Belastungsspitzen ist die Übertragung über große geografische Entfernungen bei VPN-basierten WANs meist mit erheblichen Latenzzeiten verbunden.

Zudem fehlen bei der VPN-Technologie Funktionen zur Leistungsoptimierung wie dynamische Pfadauswahl, QoS (Quality of Service) und anwendungsbezogenes Routing, mit denen sichergestellt werden kann, dass für Anwendungen wie VoIP und Telefonkonferenzen die erforderlichen Kapazitäten bereitgestellt werden. SD-WAN bietet diese Funktionen, wobei bei einem cloudbasierten SD-WAN Latenzzeiten über große Distanzen kein Thema mehr sind. Das SLA-gestützte globale, private Backbone-Netzwerk von Cato umfasst über 45 PoPs (Points of Presence) auf der ganzen Welt. Da der Datenverkehr zum nächstgelegenen PoP und über das Hochgeschwindigkeits-Backbone-Netzwerk von Cato geleitet wird, spielen die mit dem öffentlichen Internet verbundenen Leistungsprobleme auf der mittleren Meile keine Rolle mehr.

SD-WAN im Vergleich zu VPN: Zuverlässigkeit

Noch bevor sich der Staub in den kontroversen Diskussionen um SD-WAN und MPLS legte, war ein häufiges Argument gegen ein appliancebasiertes SD-WAN und VPN das fehlende SLA bei Nutzung des öffentlichen Internets. Unternehmen benötigen eine kalkulierbare, zuverlässige Leistung. VPN ist immer noch auf das öffentliche Internet angewiesen, aber das SLA-gestützte globale Backbone-Netzwerk von Cato ist rund um den Globus über mehrere Tier-1-Provider verbunden. Dadurch kann Cato SASE Cloud einen berechenbaren Service und zuverlässige Verbindungen auf dem Niveau von MPLS oder sogar darüber bereitstellen.

SD-WAN im Vergleich zu VPN: Konfiguration und Wartung

Die VPN-Konfiguration bringt häufig viele manuelle Eingriffe mit sich. IPsec-Tunneling, IKE (Internet Key Exchange) und NAT-T (Network Address Translation Traversal) setzen umfangreiches Fachwissen voraus, um diese sicher zu konfigurieren und zu skalieren. Je mehr Standorte zu einem WAN hinzukommen, desto schwieriger wird die Wartung des Netzwerks. Dies wiederum führt zu Leistungsproblemen und einer unzusammenhängenden WAN-Infrastruktur.

Paysafe Financial Services erlebte selbst, welche Auswirkungen die Skalierung des VPN hatte. Nach mehreren Fusionen und Übernahmen verfügte Paysafe nur noch über ein Backbone-Netzwerk aus MPLS-Leitungen und internetbasierten VPN-Verbindungen. Für den Aufbau eines wirklich engmaschigen Netzwerks über ein internetbasiertes VPN hätte Paysafe 210 VPN-Tunnel benötigt: Das hätte einen enormen Zeit- und Ressourcenaufwand bedeutet. Laut Stuart Gall, dem damaligen Infrastrukturarchitekten bei Paysafe, war vor allem das VPN ein großer Schwachpunkt in ihrem WAN. In Bezug auf die VPN-Konnektivität sagte Gall: „Immer wieder gab es jemanden an einem Standort, der auf einen anderen Standort zugreifen musste, wodurch eine erneute Bereitstellung erforderlich war. Mit Genehmigungen und allem Drum und Dran konnte das eine Arbeit von mehreren Wochen bedeuten.

Doch welche Lösung fand Paysafe für dieses Problem? Ganz einfach: Cato SASE Cloud. Mit Cato konnte Paysafe von automatischen, skalierbaren, richtlinienbasierten Konfigurationen und der Skalierbarkeit eines cloudbasierten Servicemodells profitieren. Das Ergebnis: Paysafe verringerte den Aufwand für WAN-Konfigurationen und die Bereitstellungszeit und verkürzte die Latenzzeit im Vergleich zu VPN um 45 %. Doch wie viel schneller war die Konfiguration mit Cato? Gall gab an: „Vorher verbrachten wir Wochen mit der Einrichtung von MPLS oder sogar einem VPN an einem neuen Standort. Nun dauert die Cato-Socket-Bereitstellung nicht mehr als 30 Minuten – einschließlich der Zeit für das Auspacken.

Paysafe setzte zwar schon vor dem Wechsel zu Cato einzelne Sicherheitslösungen ein, doch die in das Cato-Netzwerk integrierten Sicherheitsfunktionen tragen dazu bei, eine stabile Skalierbarkeit zu gewährleisten. Daher war es nicht notwendig, zusätzliche Sicherheitsanwendungen wie NGFWs (Next Generation Firewalls) zu konfigurieren.

Zeit für eine Entscheidung

Wie können Sie nun anhand all dieser Informationen eine Entscheidung zwischen SD-WAN und VPN treffen? Für Kleinunternehmen, die nur wenige Standorte miteinander verbinden müssen, kann ein internetbasiertes VPN durchaus sinnvoll sein. Für Anwendungsfälle, bei denen es auf Skalierbarkeit, Leistung, Zuverlässigkeit und betriebliche Flexibilität ankommt, ist ein cloudbasiertes SD-WAN jedoch die bessere Wahl. Dies trifft nicht nur zu, wenn man die Leistungsmerkmale auf dem Papier vergleicht, sondern wird auch von Cato-Kunden wie Paysafe und BioIVT in der Praxis bestätigt.

Wenn Sie mehr darüber erfahren möchten, wie Ihr Unternehmen von Cato SASE Cloud profitieren kann, können Sie uns gerne kontaktieren. Wenn Sie Cato SASE Cloud in Aktion sehen möchten, schauen Sie sich diese Demo an oder buchen Sie eine eigene Demo für Ihr Unternehmen.

FAQ zu SD-WAN

  • Was ist ein SD-WAN?

    SD-WAN-Geräte (Software-Defined Wide Area Network) befinden sich an Unternehmensstandorten und bilden ein verschlüsseltes Overlay untereinander, wobei die zugrundeliegenden Übertragungsdienste über MPLS-, LTE- und Breitbandverbindungen genutzt werden.

  • Welche Vorteile bietet die SD-WAN-Technologie?

    Geringere Kosten für die Bandbreite: MPLS-Bandbreite ist teuer. Gemessen in Euro pro Bit ist MPLS deutlich teurer als die Nutzung der öffentlichen Internetbandbreite. Die genaue Höhe der Mehrkosten hängt von verschiedenen Faktoren ab, nicht zuletzt vom Standort. Die Kosten für MPLS entstehen jedoch nicht nur durch wesentlich höhere Bandbreitengebühren. Die Bereitstellung einer MPLS-Verbindung dauert oft Wochen oder Monate, während eine vergleichbare SD-WAN-Einrichtung oft innerhalb von Tagen abgeschlossen ist. In Unternehmen ist Zeit Geld, weshalb die Beseitigung des WAN als Engpass einen entscheidenden Wettbewerbsvorteil darstellen kann.
    Ein zuverlässiges Verbindungsnetz im unzuverlässigen Internet: Es besteht die Möglichkeit, Standorte mit mehreren Datendiensten zu verbinden, die in Aktiv-Aktiv-Konfigurationen betrieben werden. Sekundenschnelle Netzwerk-Failover sorgen dafür, dass Sitzungen bei Ausfällen ohne Unterbrechung der Anwendung auf neue Übertragungswege verlagert werden.
    Sichere Kommunikation: Verschlüsselte Verbindungen schützen den Datenverkehr während des Routings auf allen Übertragungswegen.
    Bedarfsorientierte Bandbreitennutzung: Die Bandbreite lässt sich jederzeit nach oben oder unten zu skalieren, um sicherzustellen, dass kritische Anwendungen die benötigte Bandbreite dann erhalten, wenn sie sie benötigen.
    Sofortige Standortaktivierung: Die Einrichtung einer neuen Niederlassung dauert nur wenige Minuten, statt Wochen und Monate wie bei MPLS. SD-WAN-Knoten werden automatisch konfiguriert und können 4G/LTE für eine sofortige Bereitstellung nutzen.

  • Welche wichtigen Trends sprechen für die Einführung einer SD-WAN-Lösung?

    Die meisten Netzwerke in Unternehmen basieren auf veralteten Carrierservices, wie einem verwalteten MPLS-Service. Diese Services sind sehr kostenintensiv, es dauert Wochen oder sogar Monate bis zur Inbetriebnahme und auf einfache Änderungen durch den Serviceprovider muss lange gewartet werden.
    Die SD-WAN-Technologie schafft hier Abhilfe, indem sie Flexibilität und Kosteneffizienz für IT-Netzwerke bietet. Das SD-WAN verbindet Standorte über mehrere Internetverbindungen und bündelt diese durch ein verschlüsseltes Overlay. Richtlinien, anwendungsorientiertes Routing und eine dynamische Bewertung der Verbindungen im Overlay erlauben die bestmögliche Nutzung der vorhandenen Internetverbindungen.
    Letztendlich liefert ein SD-WAN die erforderlichen Leistungs- und Verfügbarkeitseigenschaften, indem es das kostengünstige öffentliche Internet mit der vom Unternehmen geforderten Sicherheit und Zuverlässigkeit nutzt.

  • Wo liegen die Grenzen eines SD-WAN?

    Fehlendes globales Backbone-Netzwerk: SD-WAN-Appliances setzen auf der zugrundeliegenden Netzwerkinfrastruktur auf. Somit kann der Bedarf an einem leistungsfähigen und zuverlässigen Backbone-Netzwerk durch SD-WAN-Appliances allein nicht gedeckt werden.
    Fehlende erweiterte Sicherheitsfunktionen: SD-WAN-Appliances helfen bei der Bewältigung vieler gängiger Netzwerkaufgaben, erfüllen jedoch nicht die Sicherheitsanforderungen. Daher müssen Unternehmen oft einen Flickenteppich von Sicherheits- und Netzwerkappliances verschiedener Anbieter (wie CASBs) verwalten, um ihre Anforderungen zu erfüllen. Dies wiederum führt zu höheren Netzwerkkosten und mehr Komplexität, da jede Appliance von der internen IT-Abteilung oder einem MSP beschafft, bereitgestellt und verwaltet werden muss.
    Keine Unterstützung für mobile Mitarbeiter: SD-WAN-Appliances wurden ursprünglich für die Verbindung verschiedener Standorte konzipiert. Die sichere Einbindung mobiler Benutzer wird von SD-WAN-Appliances nicht unterstützt.