Warum Last-Mile- und Backbone-Design darüber entscheiden, ob Ihre SASE-Strategie funktioniert

Teil 2 unserer Connectivity-Serie

In Teil 1 dieser Serie haben wir argumentiert, dass Konnektivität längst keine einfache Commodity mehr ist. In Teil 2 werden wir konkreter: Wie verändert SASE die Anforderungen an Konnektivität?

SASE vereint Networking und Security in einer gemeinsamen Architektur. Das ist die richtige Richtung. Allerdings konzentriert sich die Diskussion rund um SASE verständlicherweise stark auf die Sicherheitsseite: Zero Trust, SSE, CASB, cloudbasierte Durchsetzung von Richtlinien. Das Design der Konnektivität ist in vielen Fällen in den Hintergrund gerückt.

Das Problem: SASE verändert die Traffic-Muster grundlegend. Jede Sicherheitskomponente, von SWG über ZTNA bis CASB, beeinflusst, wohin Datenverkehr fliesst, welche Distanzen er zurücklegt und wie viel Backbone-Kapazität benötigt wird. Wird Konnektivität nicht gemeinsam mit der Security-Architektur geplant, leidet die Performance.

Hier in Teil 2 betrachten wir die wichtigsten SASE-Komponenten, ihre Auswirkungen auf das Connectivity-Design sowie die praktischen Trade-offs, die entstehen, wenn Security- und Netzwerkarchitektur nicht aufeinander abgestimmt sind.

Wie SASE das Connectivity-Design grundlegend verändert

SASE ist nicht einfach Networking plus Security. Die Architektur verändert Traffic-Flüsse und Inspektionslogik so, dass sie direkte Auswirkungen auf die Connectivity-Architektur haben.

Jede zentrale SASE-Komponente beeinflusst, wohin Traffic fliesst, wie oft er inspiziert wird, welche Distanz er zurücklegt und wie viel Backbone-Kapazität erforderlich ist. Schauen wir uns das komponentenweise an.

SD-WAN: Das Overlay hängt vom Underlay ab

SD-WAN hat Flexibilität und Intelligenz in die WAN-Architektur gebracht. Unternehmen können damit:

  • MPLS-, DIA-, Breitband- und Mobilfunkverbindungen kombinieren
  • Traffic dynamisch basierend auf der Applikationsperformance steuern
  • Standort-zu-Standort-Kommunikation verschlüsseln
  • Kritische Workloads priorisieren

Doch SD-WAN hebt physische Grenzen nicht auf.

Wenn eine zugrunde liegende Leitung unter Paketverlust, Jitter, instabiler Latenz oder unzureichender Bandbreite leidet, verschlechtert sich die Applikationsperformance – unabhängig davon, wie intelligent das Overlay arbeitet.

Die Konnektivitätsarchitektur muss daher die geschäftliche Kritikalität widerspiegeln.

Zum Beispiel:

  • Ein Produktionsstandort mit vernetzten Maschinen benötigt möglicherweise zwei divers geführte Leitungen und strenge SLAs.
  • Ein regionales Vertriebsbüro kann kurzfristige Performance-Einbrüche eher tolerieren.
  • Ein Cloud-angebundenes Rechenzentrum benötigt möglicherweise vorhersehbare Backbone-Routen zu grossen SaaS-Anbietern.

SD-WAN ermöglicht Optimierung. Es ersetzt jedoch keine physische Resilienz.

ZTNA: Zero Trust verändert Traffic-Pfade

Zero Trust Network Access erzwingt eine identitätsbasierte Verifikation für jede Verbindung.

In der Praxis bedeutet das:

  • Sämtlicher Traffic muss mindestens einen ZTNA-Connector durchlaufen.
  • Richtlinien werden angewendet, bevor Zugriff gewährt wird.
  • Authentifizierungsdienste sind häufig zentralisiert.

Alle Datenströme passieren mindestens einen Enforcement Point, bevor Zugriff gewährt wird. Wo diese Enforcement Points positioniert sind, beeinflusst die Traffic-Muster direkt.

Betrachten wir zwei Szenarien:

  1. Zentralisierte ZTNA-Durchsetzung in einer globalen Region.
  2. Verteilte Durchsetzung nahe bei grossen Nutzer- und Applikationsclustern.

Im ersten Fall kann Traffic Tausende Kilometer zur Inspektion reisen, bevor er zu einem eigentlich nahegelegenen Ziel zurückkehrt. Latenz steigt, Backbone-Auslastung ebenfalls.

Im zweiten Fall bleibt die Inspektion geografisch nahe bei Nutzern und Workloads.

Auch die Granularität spielt eine Rolle. Wird Zero Trust bis auf Maschinenebene innerhalb von Produktionsumgebungen umgesetzt, steigt das interne Traffic-Volumen, und die Konnektivität muss entsprechend dimensioniert werden.

Deshalb müssen ZTNA-Architektur und Connectivity-Planung gemeinsam erfolgen.

SWG: Webfilterung beeinflusst die Breakout-Strategie

Secure Web Gateways schützen und filtern internetgebundenen Traffic.

Ihre Platzierung bestimmt die Breakout-Architektur.

Organisationen wählen typischerweise zwischen:

  • zentralisierter Inspektion in Core-Rechenzentren
  • regionalem Breakout mit verteilter Durchsetzung
  • rein cloudbasierter SWG-Inspektion, bei der sämtlicher Traffic über Cloud-Knoten geleitet wird

Jeder Ansatz hat Performance-Auswirkungen: Zentralisierte Inspektion erhöht Backbone-Bedarf und Latenz. Lokaler Breakout verbessert die Performance, erfordert jedoch eine konsistente globale Policy-Verwaltung. Cloud-only-Durchsetzung hängt stark von optimiertem Backbone-Routing ab, um Hairpinning zu vermeiden.

Die Platzierung eines SWG ist daher nicht nur eine Sicherheitsentscheidung – sie ist auch eine Konnektivitätsentscheidung.

CASB: Cloud-Kontrolle braucht geografisches Bewusstsein

Cloud Access Security Broker schaffen Transparenz und Kontrolle über SaaS-Nutzung.

Um CASB effektiv zu designen, müssen Organisationen verstehen:

  • welche Cloud-Applikationen genutzt werden
  • aus welchen Regionen darauf zugegriffen wird
  • wie performancekritisch sie sind

Wenn Enforcement Points weit entfernt von Cloud-Regionen liegen, entstehen ineffiziente Traffic-Pfade.

Ein Beispiel: Wird asiatischer SaaS-Traffic über europäische Enforcement Nodes geleitet, steigen Latenz und Backbone-Auslastung unnötig.

Connectivity und CASB-Platzierung müssen daher aufeinander abgestimmt werden.

Was viele Security-zentrierte SASE-Architekturen falsch machen

Wenn Organisationen SASE primär aus einer Security-Perspektive designen, entstehen häufig Trade-offs, die die Netzwerkperformance beeinträchtigen.

Hier sind einige typische Fallstricke.

1. An physischen Leitungen sparen, in der Betriebsrealität bezahlen

Wenn Organisationen günstigere Zugangsanbindungen wählen und darauf vertrauen, dass SD-WAN die Performance ausgleicht, sieht die Realität oft anders aus.

SD-WAN verbessert die Traffic-Steuerung, kann aber keine Performance aus unzuverlässigen Leitungen erzeugen.

Das Ergebnis: Unternehmen investieren mehr in

  • kontinuierliche Fehleranalyse
  • Netzwerkbetriebsaufwand
  • Monitoring und Performance-Tuning

statt die Ursache direkt zu beheben.

2. Enforcement Points zentralisieren, um Lizenzkosten zu sparen

Um Lizenz- oder Managementaufwand zu reduzieren, setzen manche IT-Teams auf möglichst wenige zentrale Inspektionsknoten.

Das wirkt effizient – bis Netzwerkverkehr:

  • längere Distanzen zurücklegen muss
  • Backbone-Kapazität ineffizient nutzt
  • höhere Latenzen für Nutzer und Applikationen verursacht

Die eingesparten Kosten bei Enforcement Nodes werden häufig durch steigende Backbone-Kosten und schlechtere Nutzererfahrung kompensiert.

3. Denken, man müsse sich zwischen Last-Mile oder Backbone entscheiden

Eine verbreitete Annahme ist, dass Organisationen wählen müssen zwischen:

  • traditionellen Last-Mile-Leitungen (wie im klassischen WAN)

oder

  • einem Backbone-only-Ansatz (cloud-first, backbone-zentriert)

In der Praxis benötigen jedoch:

  • Produktionssysteme vor Ort
  • Cloud- und SaaS-Workloads
  • regionale Niederlassungen
  • Remote-User

beides:

  • zuverlässige und divers geführte Last-Mile-Konnektivität
  • ein leistungsfähiges Backbone, das alles miteinander verbindet

Backbone-Konnektivität reduziert das unvorhersehbare Verhalten des öffentlichen Internets im Middle Mile. Last-Mile-Leitungen stellen lokale Performance und Redundanz sicher.

Gemeinsam sorgen sie für konsistente globale Performance.

4. Operative Komplexität unterschätzen

Konnektivität ist nur so lange „einmal designt“, bis sie ausfällt.

Die Realität zeigt:

  • Lokale IT-Teams mit eigenen ISP-Beziehungen führen zu Inkonsistenzen
  • Cloud-only-SASE-Produkte ohne operativen Support für Konnektivität verschlechtern die Nutzererfahrung
  • Connectivity-Ausfälle sind unvermeidlich ohne proaktives Monitoring und Incident Handling

Deshalb ist gemanagte Konnektivität mit dediziertem 24×7-Support entscheidend: für ISP-Eskalationen, Monitoring der Leitungsqualität und Sicherstellung der Betriebsstabilität – ohne interne Teams zu überlasten.

Konnektivität für SASE-Performance designen

Eine leistungsfähige SASE-Architektur integriert Konnektivität auf allen Ebenen – Netzwerk und Security.

1. Optimierte End-to-End-Pfade: vom Standort in die Cloud

Traffic-Routing und Sicherheitsinspektion müssen gemeinsam geplant werden.

Das bedeutet:

  • strategische Platzierung von Enforcement Points entlang der Connectivity-Pfade
  • Backbone-Design mit optimierter Latenz, Paketverlust und Durchsatz
  • intelligente SD-WAN-Pfadwahl abgestimmt auf Sicherheitsinspektionspunkte

So wird sichergestellt, dass Sicherheit nicht auf Kosten der Performance geht.

2. Gemanagte Last-Mile-Konnektivität mit operativem Support

Was bringt SD-WAN, wenn beim Ausfall einer Leitung keine zuverlässige Last-Mile-Redundanz vorhanden ist?

Ein effektives Last-Mile-Design umfasst:

  • strategisches ISP-Sourcing und Vertragskonsolidierung
  • Redundanz entsprechend der geschäftlichen Kritikalität
  • 24×7 Monitoring und Incident Support
  • Performance-Verifikation ab physischer Leitungsebene

Beispielsweise vereinfacht der Open Systems Last-Mile Connectivity Service die Beschaffung und Verwaltung von ISP-Leitungen, indem sie unter einem Vertrag und einer operativen Verantwortung zusammengeführt werden.

3. Hochleistungsfähige Backbone-Konnektivität

Ein gemanagter Backbone vermeidet das unvorhersehbare Verhalten des öffentlichen Internets im Middle Mile.

Mit mehreren hundert globalen Points of Presence (PoPs) ermöglicht Backbone-Konnektivität:

  • niedrigen Jitter und geringen Paketverlust
  • intelligentes Routing nahe grosser Cloud- und SaaS-Endpunkte
  • geografisch optimierte Traffic-Pfade
  • End-to-End-SLAs über Backbone- und Last-Mile-Verbindungen hinweg

Beispielsweise zeigt die Open Systems Global Backbone Connectivity, wie Backbone-Design WAN-Performance und Cloud-Zugriff weltweit verbessern kann.

4. Hybride Enforcement-Deployment-Modelle

Eine flexible SASE-Architektur kombiniert:

  • cloudnative Inspektion für Remote-User und SaaS
  • On-Prem-Enforcement für Rechenzentren und Produktionssysteme

Dieses hybride Modell stellt sicher, dass weder Performance noch Security kompromittiert werden.

Open Systems Global Connectivity Services

Bei Open Systems haben wir unsere Connectivity-Services nach den oben beschriebenen Prinzipien aufgebaut: integriertes Design, operative Verantwortung und End-to-End-Performance.

Die Open Systems Global Connectivity Services umfassen:

  • Last-Mile-Sourcing und -Betrieb in über 180 Ländern
  • ein Hochleistungs-Backbone mit mehr als 500 PoPs
  • End-to-End-SLAs für Verfügbarkeit und Traffic-Qualität
  • einen 24×7 Line Operations Service
  • integriertes SD-WAN- und SSE-Design

Mehr erfahren: • SD-WAN as a ServiceSecurity Service Edge (SSE)Cloud Access Security Broker (CASB)

Konnektivität, Security und Betrieb werden gemeinsam entwickelt – nicht nachträglich übereinandergeschichtet.

Fazit: Konnektivität ist ein strategischer Bestandteil von SASE

SASE verspricht Konvergenz. Doch Konvergenz funktioniert nur, wenn Netzwerk und Security gemeinsam designt werden.

Last-Mile-Stabilität sorgt für lokale Resilienz. Backbone-Performance sorgt für globale Konsistenz. Security-Enforcement prägt die Traffic-Muster. Damit SASE wirklich vorhersehbare Performance und robuste Sicherheit liefert, muss Konnektivität von Anfang an Teil der Architektur sein.

In Teil 3 dieser Serie werden wir Konnektivität als Managed Service betrachten – und warum Technologie allein ohne operative Exzellenz nicht ausreicht.