Interview mit Nathan Howe von Zscaler
Zero-Trust-Sicherheit überall
Der US-amerikanische Cloud-Security-Spezialist Zscaler stellte kürzlich diverse Neuerungen rund um seine „Zero Trust Exchange“-Plattform vor: „ZPA Private Service Edge“ soll ZPA (Zscaler Private Access) zu einer Cloud-nativen Lösung machen, die neben Cloud- auch On-Premises-Umgebungen abdeckt; „Cloud Browser Isolation“ soll das Surfen im Web sicherer machen; und das neue „Revolutionaries“-Forum soll den Wissensaustausch unter Führungskräften befördern. LANline befragte Nathan Howe, Vice President Emerging Technologies bei Zscaler, zu Hintergründen und Details.
LANline: Herr Howe, Zscaler hat sein Portfolio kürzlich um ZPA Private Service Edge erweitert (LANline berichtete). Wie genau muss man sich dessen Funktionsweise vorstellen?
Nathan Howe: Generell geht es bei Zscaler Private Access (ZPA) darum, sicheren Zugriff für Anwender zu ihren Applikationen im Rechenzentrum oder in Multi-Cloud-Umgebungen auf Basis von Zero-Trust-Prinzipien zur Verfügung zu stellen. Dabei wird ein Micro-Tunnel zwischen Anwendung und Anwender aufgebaut, und die Plattform Zscaler Zero Trust Exchange sorgt für die Umsetzung der Richtlinien, also wer auf was zugreifen darf. Mit ZPA Private Service Edge wird diese Zero-Trust-Connectivity nun On-Premise ins Rechenzentrum gebracht, sodass auch der Zugriff auf private Anwendungen innerhalb des Netzwerks richtlinienbasiert abgewickelt werden kann, obwohl sich der Anwender im Netzwerk befindet. Dazu ist lediglich eine virtuelle Maschine am Edge erforderlich. Dieser Ansatz ersetzt die klassische Mikrosegmentierung und bietet granularen Zugriff auf die jeweilige Applikation.
LANline: Wie unterscheidet sich das Konzept von SASE (Secure Access Service Edge) beziehungsweise wie spielt es mit SASE zusammen?
Nathan Howe: Mit Zscaler Private Service Edge können Unternehmen die Zero-Trust-Funktionalität der geringsten Berechtigungen im Rahmen ihrer SASE-Konzepte vor Ort umsetzen. Diese Erweiterung ermöglicht die einfache Bereitstellung von Zero-Trust am Standort des Benutzers für den schnellen Zugriff auf Anwendungen. Die Prinzipien des Least Privilege Access lassen sich dadurch auch On-Premise umsetzen und sind nicht mehr nur auf Internet-Datenverkehr beschränkt. Man kann sich die Idee dahinter als Security-Overlay für den privaten Datenverkehr vorstellen. Es handelt sich um eine lokale Installation, die eine Verbindung zur Zscaler-Cloud aufbaut.
LANline: Welche Infrastruktur kommt hier zum Einsatz, wie werden lokale Einwahlpunkte mit der Zscaler-Cloud verbunden?
Nathan Howe: Dies ist die lokale Version der Zscaler Zero Trust Exchange in einer Software, die auf einem virtuellen Computer liegt. Diese VM kann auf einer SD-WAN-Box, einem Hypervisor oder einem Edge-Gerät wie ein Router laufen, wodurch die Verbindung zwischen dem lokalen Benutzer und der lokalen Anwendung entsteht – unabhängig vom Netzwerk. Auf Anwendungsseite gibt es einen App-Connector. Dieser Connector dient dazu, die Verbindung vom Benutzer zu seiner privaten Anwendung über Zscaler Zero Trust Exchange herzustellen. Das stellt sicher, dass nur autorisierte Benutzer mit zulässigen Anwendungen verbunden werden. Zscaler Private Service Edge ist also eine Erweiterung der Zscaler-Cloud. ZPSE benötigt eine Internetanbindung, um die Policies zu empfangen und Logs zur Administrationsplattform des Kunden zu übertragen.
LANline: Die ebenfalls neue Browser Isolation klingt gut, doch ein weiterer Hauptangriffspunkt ist die E-Mail. Plant Zscaler einen ähnlichen Schutzmechanismus in dieser Richtung, also eine E-Mail-Isolation oder Ähnliches?
Nathan Howe: Eine Browser-Isolation stärkt den Schutzschild von Unternehmen. Wir konzentrieren uns dabei auf das, was wir „Data Residency“ nennen. Das bedeutet, dass Anwender ihre Web-Inhalte sehen können, ohne den Content auf das Gerät zu laden. Dadurch ist die Infrastruktur nicht dem Internet ausgesetzt und die Übertragung von schädlichem Code lässt sich vermeiden. Cloud Browser Isolation stellt eine isolierte Browser-Sitzung her, die es den Nutzern ermöglicht, auf jede beliebige Website zuzugreifen, ohne sensible Daten auf das lokale Gerät oder das Unternehmensnetzwerk zu lassen. Zscaler plant keinen speziellen Schutz für E-Mails. Eine überwiegende Mehrheit der Malware, die darüber verbreitet wird, versucht nach dem Festsetzen auf dem Gerät eine Internetanfrage zu starten, um weiteren schädlichen Code nachzuladen. Die Sicherheitsfilter der Zscaler-Cloud verhindern diesen nachgelagerten Download der Malware aus dem Internet bereits.
LANline: Wo werden die Metadaten, welche in Verbindung mit Zero-Trust entstehen, gespeichert? Betreibt Zscaler hierzu Server im europäischen Rechtsraum?
Nathan Howe: Alle Logs und Metadaten europäischer Kunden werden innerhalb der europäischen Infrastruktur der Central Authority der Zscaler Cloud Exchange an drei verschiedenen Standorten gespeichert, wenn sie Zscaler Internet Access einsetzen. Zscaler Private Access generiert keine Metadaten auf Zscaler-Seite. Zscaler sammelt Informationen zu den Policies, die vom Kunden in Token-Form übertragen werden, um autorisierte Anwender mit ihren Applikationen zu verknüpfen. Als Basis dienen die Informationen zum Anwender, die der Identity-Provider zur Verfügung stellt.
LANline: Zscalers Pressemeldung war zu entnehmen, dass die Zero-Trust Exchange Platform die Angriffsfläche durch Nutzung einer Proxy-Architektur minimiert. Können Sie das noch näher erläutern?
Nathan Howe: Hier müssen wir die beiden Zscaler-Service-Optionen unterscheiden: ZIA – Zscaler Internet Access – ist ein Inline-Proxy für alle Ports und Protokolle, die zum Internet abgehen, und bietet entsprechende Kontrollfunktion. ZPA bietet Zero-Trust-Anbindung zu internen Applikationen auf Basis des Least-Privilege-Ansatzes und benötigt daher nicht die gleiche Funktionalität wie ZIA. Bei ZPA werden autorisierte Anwender direkt mit ihren Applikationen verbunden, und die Zscaler-Cloud stellt den sicheren Transportweg her, ohne Inspektionsfunktion für diesen Pfad. Zur Klarstellung noch einmal Schritt für Schritt die Funktionsweise von ZPA: Ein Mitarbeiter oder ein Dritter benötigt Zugriff auf eine private Anwendung eines Unternehmens. Dazu wird eine ausgehende Verbindung zu einem ZPA Service Edge als Vermittlungsinstanz aufgebaut. Der ZPA Service Edge bearbeitet die Anfrage und überprüft die Autorisierung mit Hilfe des Identity Providers des Unternehmens. Ist der Benutzer berechtigt, auf die Anwendung zuzugreifen, fordert der ZPA Service Edge den App Connector auf, eine ausgehende Verbindung herzustellen. Der ZPA Service Edge verknüpft dann die beiden ausgehenden Anforderungen – des Benutzers und der Anwendung – und ermöglicht so den autorisierten Zugriff. Da ZPA nicht auf die Netzwerkinfrastruktur und Hardware angewiesen ist, die dem Internet ausgesetzt ist, bleibt dieser Pfad unsichtbar für Angreifer.
LANline: Kommen wir zum neuen Revolutionaries Forum: Was ist dessen Hintergrund? Schließlich unterhält Zscaler doch mit der Zero Trust Academy bereits eine Plattform für den Wissensaustausch. Gibt es einen Rückstand in Sachen der Aufklärung, oder warum war das Forum notwendig?
Nathan Howe: Das Revolutionaries Forum ist für den Austausch von CIOs, CISOs, CDOs und Netzwerkleitern untereinander gedacht. Hier geht es um übergeordnete Fragestellungen zu Digitalisierungsstrategien und den Austausch von Best Practices. Wir haben uns für dieses Forum entschieden, da sich C-Level-Führungskräfte unter ihresgleichen austauschen möchten und auf diese Weise Rat einholen können. Die Zero Trust Academy wendet sich an die technischen Ansprechpartner in Unternehmen, die einen Zero-Trust-Ansatz umsetzen wollen. Wir sind oft mit der Frage konfrontiert, wo man mit der Implementierung eines Zero-Trust-Konzepts beginnen sollte und welche Bausteine zu berücksichtigen sind. Hier bietet die Academy gute Lösungsansätze.
LANline: Zum Schluss noch die Frage: Wie sieht das Zscaler-Ökosystem in der DACH-Region aus?
Nathan Howe: Kunden aus der DACH-Region haben genauso Zugriff auf das globale Ökosystem an Technologiepartnern wie andere Regionen weltweit. Mit unseren Technologiepartnern haben wir APIs entwickelt, die beispielsweise zur automatischen Erstellung von Policies für neu erkannte Services beitragen. Dazu setzen wir auf Machine Learning und Automatisierung und erleichtern damit den Einstieg in Zero-Trust. Zum Zscaler-Ökosystem zählen international agierende Partner wie Microsoft, SailPoint, Ping Identity, Okta, CrowdStrike, VMware, CarbonBlack, SentinelOne, Splunk und IBM Security für die Bereiche Identitäts-Management, Endpoint-Sicherheit und Security Operations.
LANline: Herr Howe, danke für das Gespräch.
Lesen Sie mehr zum Thema
