BLOG

Aus geschäftlicher Sicht...

F5 Miniaturansicht
F5
Veröffentlicht am 15. Januar 2021

Im Laufe der letzten anderthalb Jahre haben wir mit einigen großen globalen Banken zusammengearbeitet, um unsere Lösungen zu testen und zu bewerten.

Ehrlich gesagt wurden wir von diesen Banken angesprochen, als sie die Notwendigkeit erkannten, eine Edge-Strategie zu entwickeln, und auch anfingen, über die Nutzung mehrerer Clouds (Schlagwort: „Multi-Cloud“) nachzudenken, meist auf private Weise.

Es ist wichtig, zwischen Multi-Cloud und mehreren Clouds zu unterscheiden. Viele Unternehmen beginnen ihre Reise mit der Einführung von Software-as-a-Service (SaaS)-Angeboten wie Office 365, Salesforce oder Workday als ersten Schritten in die Cloud. Wenn dieser erste Vorstoß erfolgreich war, möchten diese Unternehmen weitere Vorteile der Cloud nutzen, indem sie sich komplexeren Anwendungen zuwenden.

Für andere ist der Umzug in die Cloud eine Lift-and-Shift-Übung. Anwendungen werden in AWS, Azure oder GCP und nicht in einem privaten Rechenzentrum gehostet. Wenn Unternehmen die betrieblichen Nuancen verschiedener Clouds untersuchen, bevorzugen sie möglicherweise für bestimmte Anwendungen die eine oder andere, in der Regel aufgrund wirtschaftlicher oder Leistungsanforderungen.

Das Versprechen der Multi-Cloud besteht jedoch nicht darin, die IT-Umgebung einfach in Cloud-spezifische Shards aufzuteilen, die Infrastruktur und Vorgänge für begrenzte Domänen umfassen. Bei Multi-Cloud geht es darum, verteilte Ressourcen – unabhängig davon, ob sie sich in einer privaten oder öffentlichen Cloud befinden – als eine einzige zusammenhängende Infrastruktur zu verwalten.

Das ultimative Ziel einer Multi-Cloud-Umgebung ist tatsächlich die Abwesenheit einer Umgebung – mit anderen Worten, die Infrastruktur sollte unsichtbar sein und daher sollte der Standort keine Rolle spielen.

Der Anfang...

Und hier haben wir bei den großen Banken begonnen – mit der Einführung von SaaS.

Genauer gesagt, die Einführung von Office 365 (jetzt bekannt als Microsoft 365) als SaaS (aber eigentlich könnte es auch jedes andere SaaS sein).

Die Einführung von Office 365 als SaaS bringt eine gewisse zusätzliche Komplexität mit sich, da Office als Anwendungssuite bereits seit JAHREN von internen IT-Teams verwendet und verwaltet wird … und es daher etwas komplexer ist, Prozesse zu ändern, als ganz neue einzuführen.

Und genau das war die Aufgabe, die uns diese großen Banken gestellt haben. Ich beschreibe die Aufgabe in einfachen Worten: „Wir möchten unsere Benutzer mit Office 365 verbinden und ihnen die gleiche Benutzererfahrung bieten wie jetzt, jedoch mit den zusätzlichen Vorteilen der Office 365-Plattform, vor allem im Hinblick auf die Zusammenarbeit.“

Ok, wir wissen also ein paar Dinge:

  1. Auf Office 365 (wie auf die meisten SaaS-Plattformen) wird über das Internet zugegriffen.
  2. Das Internet bietet keine Servicequalität
    A. ERSTES PROBLEM – Wie können wir die Qualität des Benutzererlebnisses garantieren?
  3. Der Zugriff auf eine SaaS-Plattform über das Internet kann gegen die Sicherheitsauflagen von CORP verstoßen (in stark regulierten Umgebungen wie diesen großen Banken).
  4. Der Zugriff auf das Internet erfolgt über einen Proxy … über einen TCP-Proxy
    B. ZWEITES PROBLEM – Und was ist mit Sprache und Video?

Ok, bevor wir auf die oben genannten Punkte näher eingehen, ist eine Frage wichtig: „Was ist eigentlich der eigentliche Grund für den Wechsel von Office vor Ort zum SaaS-Angebot von Office 365?“ – Diese Frage könnte auch wie folgt formuliert werden: „Was sind eigentlich die Gründe für den Wechsel hin zu SaaS-Angeboten?“

Geschäftstreiber

Nun, die Antwort darauf lag in den wirtschaftlichen Treibern. Der erste Geschäftstreiber war betrieblicher Natur und beruhte auf der Tatsache, dass für die Wartung von Microsoft Office-Anwendungen vor Ort eine enorme Infrastruktur und eine komplexe IT-Organisationsstruktur zur Unterstützung dieser Anwendungen erforderlich sind. Dazu gehören unter anderem zahlreiche Teams/Fachkräfte, die eine enorme betriebliche Belastung darstellen.

Der zweite geschäftliche Treiber war die Frage, wie eine bessere Zusammenarbeit ohne Beeinträchtigung der Sicherheit erreicht werden könne.

Globale Banken verfügen hinsichtlich ihrer Rechenzentren, Standorte, Filialen und Mitarbeiter über eine enorm verteilte Präsenz. Und sie müssen alle miteinander verbinden. Eine weit verteilte Belegschaft erschwert die Zusammenarbeit, weshalb die Einführung von Tools, die diese Zusammenarbeit verbessern, ein Muss ist. Doch während die Zusammenarbeit innerhalb des Unternehmensnetzwerks über das private Backbone als sicher angesehen werden kann, ist die Zusammenarbeit über das Internet mit Mitarbeitern, die von zu Hause aus arbeiten und überall verbunden sind, nicht ohne Herausforderungen.

Wie lässt sich also eine Zusammenarbeit erreichen, ohne die Sicherheit zu gefährden, wenn die Belegschaft über viele verschiedene Standorte verteilt ist? Hier kommen private Backbones ins Spiel – die Übertragung des Datenverkehrs über ein privates Backbone wird nicht nur als sicher wahrgenommen (wie oben erwähnt), sondern ermöglicht auch die Verkehrssteuerung, um eine hohe Benutzerfreundlichkeit zu erreichen. Und wissen Sie was? Die Banken verfügen bereits über ihr eigenes privates Backbone. Wie können also ihre Backbones direkt mit dem SaaS-Anbieter verbunden werden, um sicherzustellen, dass der Datenverkehr durchgängig privat bleibt?

Auf diese Frage gibt es zwei Antworten:

  1. Im Fall von Office 365 ermöglicht die Azure-Plattform großen Unternehmen private, dedizierte und schnelle Verbindungen zu ihrer Cloud, sogenannte ExpressRoute-Leitungen. Daher kann Microsoft die allgemeinen Latenz- und Leistungsprobleme jetzt lösen, indem es Unternehmensmitarbeitern und VDI-Systemen den Zugriff auf Office 365 über diesen dedizierten privaten ExpressRoute-Schaltkreis ermöglicht.
  2. Die zweite Möglichkeit besteht darin, einen Dienstanbieter zu verwenden, der bereits über dedizierte Links über das eigene private Backbone dieser SaaS- und Cloud-Anbieter verbunden ist – beispielsweise Volterra. (Ja, bei dieser Option benötigen Sie kein eigenes privates Backbone.)

Lassen Sie uns die erste Lösung etwas genauer betrachten:

Eine Bank benötigt eine Reihe von Diensten, um eine Verbindung zu Office 365 herzustellen und den Datenverkehr ihrer Mitarbeiter über einen privaten Schaltkreis an dieses zu senden. Darüber hinaus sind bestimmte Dienste obligatorisch, wenn eine Bank einen neuen Schaltkreis einrichtet – was gewissermaßen einer neuen DMZ entspricht, sodass die in der DMZ vorhandenen Dienste dort vorhanden sein müssen. Der Mindestsatz an erforderlichen Diensten ist:

  • Firewall/Router – weil es notwendig ist, über diesen Schaltkreis zu den öffentlichen Endpunkten (ja, sie sind immer noch öffentlich) zu routen, sie in das Unternehmensnetzwerk einzuspeisen und das Ganze durch die Implementierung von Firewall-Richtlinien und NAT zu sichern.
  • Proxy – weil CORP-Richtlinien eingehalten werden müssen, wie z. B. die Einschränkung von Mandanten (um den Zugriff auf Unternehmenskonten nur über diesen neuen Pfad zuzulassen und privaten Konten den Zugriff zu verweigern)
  • Lastenausgleich – weil der Datenverkehr zur verteilten Verarbeitung und auch zur Gewährleistung einer hohen Verfügbarkeit auf alle Dienste verteilt werden muss.

Das folgende Bild veranschaulicht dies:

Geschäft1

Auch wenn die Reduzierung der Infrastruktur und des Betriebsaufwands zu den wirtschaftlichen Zielen gehörte, sind zur Aufrechterhaltung dieser Option immer noch zahlreiche Dienste und Infrastrukturen erforderlich.

Mit diesem Ansatz sind auch einige Herausforderungen verbunden, die sich auf Folgendes beziehen:

  1. Einfügen eines öffentlichen IP-Adressraums in das Unternehmensnetzwerk
  2. Verwaltung der unterschiedlichen Pfade, über die Benutzer heute auf die Dienste zugreifen können (privater Stromkreis und Internet)
  3. Wartung der benötigten Dienste/Geräte (wie oben beschrieben)

Betreten Sie Volterra

Der Volterra VoltMeshTM-Dienst kann als SaaS-verwaltete private Zugriffslösung für Unternehmen bereitgestellt werden, die einen Anwendungsrouter mit programmierbarem Proxy und einen Lastenausgleich umfasst. Diese Lösung kann ExpressRoute-Implementierungen vereinfachen und die Sicherheitshürden überwinden, die durch die Änderungen an der internen Netzwerkarchitektur entstehen. Mithilfe dieser Volterra-Lösung können Unternehmen ihren Mitarbeitern die Vorteile von ExpressRoute zu Office 365 und zugehörigen Anwendungsdiensten bereitstellen und gleichzeitig auf elegante Weise die Notwendigkeit beseitigen, komplexe Netzwerkinfrastrukturen und Sicherheitsrichtlinien bereitzustellen und/oder zu verwalten.

Auf einer hohen Ebene wird das Unternehmen VoltMesh an einem oder mehreren Standorten des Unternehmens bereitstellen und mit dem Azure ExpressRoute-Router verbinden, wo Microsoft die Office 365-Routen/-Dienste bereitstellt. VoltMesh führt über diesen Router eine automatische Erkennung der Office 365-Endpunkte durch und ermöglicht Unternehmen den Zugriff auf Office 365-Dienste durch die verteilte Implementierung der erforderlichen Infrastrukturkomponenten (Firewall, Router, Proxy, Lastenausgleich). Dadurch werden potenzielle Latenzen (der Datenverkehr erreicht nur ein Gerät) und Risiken (die Routing-Komplexität wird entfernt) beseitigt und ein optimales Benutzererlebnis sichergestellt.

Das folgende Bild veranschaulicht dies:

Geschäft2

Die wichtigsten Vergleichspunkte auf einen Blick:

Nachfolgend sehen Sie einen kurzen Vergleich der einzelnen Lösungen untereinander:

Unternehmen3

Betriebsübersicht

Nachdem wir nun die technischen Details der Lösungen und ihre Vorteile besprochen haben, sollten wir uns auf die geschäftsrelevanten Faktoren konzentrieren, die am Anfang dieses Dokuments genannt wurden, und uns ansehen, welche betrieblichen Auswirkungen die einzelnen Faktoren im Vergleich zu den anderen haben.

Aus dem, was wir zuvor besprochen haben, ergeben sich einige betriebliche Aspekte, auf die wir uns konzentrieren sollten. Diese Operationselemente sind:

  1. Kapazitätserweiterung für die Infrastruktur, die eine Verbindung zu Office 365 herstellt – in diesem Szenario müssen wir vergleichen, dass wir auf der einen Seite Kapazität auf drei unterschiedlichen Ebenen und mit drei unterschiedlichen Geräten (Firewall, Proxy und Lastenausgleich) hinzufügen und auf der anderen Seite – Volterra – nur eine Box hinzufügen müssen, die automatisch ein Cluster erstellt.

Nachfolgend finden Sie die Übersicht dieses Vergleichs:

Unternehmen4
  1. Konfigurationen ändern – Office 365 ändert oder fügt häufig Endpunkte hinzu. Um die normale Funktionalität aufrechtzuerhalten, müssen diese Endpunkte aktualisiert und auf allen drei Geräten zugelassen werden. Bei Volterra läuft dieser Vorgang dank der automatischen Erkennung der Endpunkte wie unten dargestellt automatisch ab:

Nachfolgend finden Sie die Übersicht dieses Vergleichs:

Unternehmen5
  1. Upgrades – Da es sich um Software-, Betriebssystem- oder Firmware-Upgrades handelt, müssen diese Boxen aktualisiert werden. Volterra-Upgrades werden als Flotte von Sites/Geräten durchgeführt. Ein Klick genügt und schon startet der Rollvorgang.

Nachfolgend finden Sie die Übersicht dieses Vergleichs:

Geschäft6
  1. Fehlerbehebung – Dies ist wahrscheinlich die Aufgabe, die am häufigsten anfällt – Benutzer beschweren sich – und für jede Beschwerde wird häufig die Infrastruktur verantwortlich gemacht, bevor mit der Fehlerbehebung begonnen wird. Die Fehlerbehebung bei der Infrastruktur mehrerer Geräte, die oft von unterschiedlichen Teams verwaltet werden, ist ein langwieriger Prozess und lässt sich nur schwer korrelieren. VoltMesh bietet eine automatische Korrelation zwischen allen bereitgestellten Diensten und alle Teams (NetOps, SecOps, DevOps und Entwickler) haben die gleiche Ansicht und können alle Informationen bereits korreliert in den bereitgestellten Observability-Dashboards abrufen.

Nachfolgend finden Sie die Übersicht dieses Vergleichs:

Geschäft7

Jahresübersicht

Was also bedeutet das alles und wie sieht es im Hinblick auf die Betriebszusammenlegung am Jahresende aus?

In dieser Übung mussten wir einige Annahmen treffen, um am Ende des Jahres die Gesamtzahlen zu erhalten. Wir sind von den folgenden Annahmen ausgegangen:

  1. Kapazitätserweiterung – wir gingen davon aus, dass einmal im Jahr Kapazitätserweiterungen notwendig sein würden
  2. Konfigurationsänderungen – wir sind davon ausgegangen, dass es jeden Monat eine Konfigurationsänderung gibt. Dies steht im Einklang mit dem, was Microsoft darüber schreibt, wie oft sich die Adressierung und Benennung von Endpunkten ändern bzw. hinzufügen kann.
  3. Upgrades – wir gingen davon aus, dass 6 Upgrades pro Jahr durchgeführt werden
  4. Fehlerbehebung – wir gingen davon aus, dass wöchentlich zwei Situationen behoben werden müssten. Dies ist wahrscheinlich eine optimistische Annahme, aber wir wollten die Berechnung nicht überladen.

Auf Grundlage der oben genannten Annahmen haben wir die folgende jährliche Übersicht über die Betriebsausgaben erstellt:

Geschäft8

Abschluss

Ja, es handelt sich um einen gewaltigen Unterschied. Und genau dafür wurde Volterra mit seiner SaaS-basierten Plattform entwickelt: das Problem der hohen Betriebskosten und des Zeitaufwands. Seit sehr langer Zeit findet eine Ausbreitung der Infrastruktur statt, die mit dem Wachstum der Unternehmen exponentiell zunimmt, was wiederum zu einer Vergrößerung der Belegschaft und damit zu neuen Anforderungen führt.

Die Zusammenarbeit zwischen Teams wird zunehmend wichtiger, nicht nur, um zu verhindern, dass jedes Team sein eigenes „Ding“ macht, sondern auch, um Konflikte zu vermeiden und sicherzustellen, dass jedes einzelne „Ding“ mit der Geschäftsstrategie und dem Endziel übereinstimmt und kein anderes „Ding“ (von anderen Teams) kaputt macht.

Hier bei Volterra haben wir eine umfassende Lösung zum Verbinden und Sichern moderner Apps über einen einzigen SaaS-basierten Dienst, VoltMesh, entwickelt. Unserer Meinung nach erfüllt es die Mehrheit der neuen Anforderungen an App-2-App- und User-2-App-Netzwerk- und Sicherheitsfunktionen. Volterra wurde im Hinblick auf die Zusammenarbeit aller Teams (NetOps, SecOps, DevOps und Entwickler) entwickelt. Dadurch wird sichergestellt, dass die gesamte Konfiguration, Strategie und Bereitstellung eines Dienstes allen anderen Teams zur Nutzung oder Beobachtung zur Verfügung steht.

Volterra bietet derzeit einen Freemium-Dienst von VoltMesh an (einschließlich seines einzigartigen, weltweit verteilten Load Balancer/Ingress-Egress-Gateways + Firewall + Proxy + Router + API-Gateway + API-Autoerkennung und -Steuerung) – und Sie können ihn heute gerne selbst ausprobieren .