Zedmos
ENDE
Loslegen
SASE-MODUS · HUB-SPOKE

Verteilte Durchsetzung, zentrale Richtlinien, kontinuierliches Failover.

Dieselbe Engine, die vor Ort im Konsolen-Modus läuft, arbeitet im SASE-Modus an Ihren Hubs. Spokes wählen sich über ein verschlüsseltes Overlay ein. Richtlinien werden am Eingang durchgesetzt. Die Identität reist mit dem Nutzer. Failover ist atomar — gemessen in Sekunden.

TestphaseVerschlüsseltes OverlayZentrale OrchestrierungFailover < 10 sIdentitätsbewusster ZugriffMehrmandantenfähig
TOPOLOGIE

Spokes wählen sich aus, Hubs inspizieren, Richtlinien folgen dem Nutzer.

Keine neuen Protokolle zu lernen: die Zedmos-Engine, die Sie bereits kennen, eingebettet in ein verwaltetes Overlay, das Filialen, Cloud-Ausgänge und mobile Nutzer mit einer gemeinsamen Richtlinien-Ebene verbindet.

TESTIDENTITÄTSQUELLENAD-DC-AgentAzure GraphSCIM (Okta)Pull → Nutzer-TagsPRIMÄRER HUBZedmos-Engine (Routed)10.201.0.1/24 · orchestriertaktivBACKUP-HUBStandby-Engine10.201.1.1/24StandbyZustandsabgleichSpoke 1 · HQ10.0.1.0/24Tunnel aktivSpoke 2 · Filiale10.0.2.0/24Tunnel aktivSpoke 3 · Remote10.0.3.0/24Tunnel aktivSpoke 4 · UnterwegsNutzer · mobilTunnel aktivVerschlüsselte TunnelEgress
KONTINUIERLICHES FAILOVER

Wenn der Primär-Hub schwächelt, wechselt der Verkehr, bevor ein Sprachanruf abbricht.

Der Failover-Daemon läuft direkt im Hub — nicht als geplanter Task. Probes laufen im Sub-Sekunden-Takt und bilden einen zusammengesetzten Score aus ICMP, HTTP und DNS. Bei Überschreitung der Schwelle erfolgen Peer- und Routing-Änderungen atomar — ohne Klartextleck und ohne Peer-Überschneidung.

HUB-PEER-GESUNDHEIT · 0–10 sTESTUmschaltung abgeschlossen bei 8,2 s0s1s2s3s4s5s6s7s8s9s10sSchwelle · 25 %Primär aktivProbe 1 fehltProbe 2 fehltProbe 3 fehlt — Schwelle erreichtPeer-Wechsel Primär → Backup (atomar)Routing-Änderung übernommenVerkehr läuft über BackupProbes: ICMP 250 ms · HTTP /health 1 s · DNS 500 ms · zusammengesetzter Score · Hysterese aktiv
EINFÜHRUNGSPFAD

Fünf Schritte zu einem aktiven SASE-Mesh

01
Hub-Backend aufbauen

Ein gehärteter Orchestrator verwaltet Topologie, Richtlinien-Verteilung, Identitätszuordnung und Failover. Er läuft auf einem Knoten für kleinere Bereitstellungen oder als redundantes Paar im Produktivbetrieb.

  • Mehrmandantenfähiges Topologie-Modell
  • Gehärteter Datenspeicher mit rollenbasiertem Zugriff
  • Zentrale Quelle der Wahrheit für Richtlinien und Identitäten
02
Hub-Knoten bereitstellen

Hub-Knoten betreiben die Zedmos-Engine im Routed-Modus mit einer dedizierten verschlüsselten Schnittstelle. Jeder Spoke-Flow durchläuft am Hub DPI, Richtlinien-Auswertung, TLS-Inspektion und Protokollierung.

  • Dieselbe Engine wie in der Konsole — ein Binary, ein Verhalten
  • Inline-DPI und Richtlinien-Durchsetzung am Eingang
  • Primär- und Backup-Hub als Active-Standby-Paar
03
Spokes anbinden

Ein Spoke kann eine OPNsense-Appliance in der Filiale, ein kompaktes Linux-Gateway oder ein mobiler Agent pro Nutzer sein. Die Einbindung erfolgt tokenbasiert und vollständig automatisiert vom Hub aus.

  • Zero-Touch-Einbindung für Filial-Appliances
  • Mobile Agenten für hybride Belegschaften
  • Automatische Wiederverbindung und Schlüsselwechsel
04
Identitätsquellen verbinden

Verzeichnisdienste liefern Nutzer, Gruppen und Geräteposture an den Hub. Jeder Flow wird bei der Inspektion markiert, sodass Richtlinien Menschen unterscheiden — nicht nur Adressen.

  • Active Directory über Domänencontroller-Agent
  • Entra / Azure AD über Microsoft Graph
  • SCIM-Integration mit Okta und kompatiblen IDPs
05
Kontinuierliches Failover aktivieren

Ein Sub-Sekunden-Probing-Daemon läuft innerhalb des Hubs. Sobald der Primär-Hub unter die Schwelle fällt, übernimmt das Backup atomar — ohne Cron, ohne Mensch, ohne Klartextleck.

  • Zusammengesetzter Gesundheitswert aus ICMP, HTTP und DNS
  • Hysteresebewusste Umschaltung gegen Flap
  • Atomarer Peer-Wechsel mit Paket-Kontinuität
WANN SASE PASST

Ideale Einsatzszenarien

Organisationen mit mehreren Standorten
Filialnetze, Einzelhandel, Franchises und hybride Campus. Ein Richtlinienset, eine Quelle der Wahrheit, globale Durchsetzung.
Hybride und mobile Belegschaften
Mobile Nutzer wählen sich in den nächstgelegenen Hub ein. Identität und Geräteposture reisen mit dem Nutzer — nicht mit der IP-Adresse.
Active-Standby-Hochverfügbarkeit
Primär- und Backup-Hubs bleiben synchron. Failover wird in Sekunden gemessen, nicht in Minuten — ohne menschliches Eingreifen.
Zentrales SOC, verteilte Durchsetzung
Eine SIEM-Pipeline, ein Richtlinienset, ein Identitäts-Graph. Globale Ausrollungen verbreiten sich innerhalb von Sekunden über alle Hubs.