Zscaler stellt Alternative zu VPN-Konzepten vor

Zscaler (Grafik: Zscaler)

Der Anbieter erweitert damit seine cloud-basierenden Security-Dienste. Statt wie diese Geräte mit dem Netzwerk zu verbinden, sorgt Zscaler Private Access für den Zugriff von Personen auf Applikationen. So soll Komplexität reduziert und Sicherheit erhöht werden.

“Die auch heute noch gebräuchlichen VPN-Ansätze basieren auf Technologien und Konzepten von vor 20 Jahren. Inzwischen haben sich jedoch die Anforderungen geändert”, erklärt Mathias Widler, Area Director Central&Eastern Europe bei Zscaler im Gespräch mit silicon.de. Mit gewandelten Anforderungen hat das 2008 gegründete und finanziell komfortabel ausgestattete Unternehmen schon Erfahrung: Seitdem entwickelt es Cloud-Angebote, die traditionelle Security-Appliances ablösen. Ausgangspunkt war damals die Annahme – die sich inzwischen bestätigt hat – dass Mobilität und mobile Nutzung von Firmenressourcen stark zunimmt und sich die bis dahin und vielfach noch immer verfolgten Konzepte zur Absicherung des Perimeters – also die Abschottung der Firmen-IT – sich so nicht mehr lange durchsetzen lässt.

Zscaler Private Acces soll VPNs ersetzen (Grafik: Zscaler)

Mit eigenentwickelter Software und inzwischen über 80 Patenten hat Zscaler sich daher in gut 100 auf der ganzen Welt verteilten Rechenzentren eingemietet. Die verteilte Infrastruktur sorgt für kurze Latenzzeiten und Flexibilität. Von dort aus bietet Zscaler Security-Dienste aus der Cloud an. Die Präsenzen in werden intern als “Enforcement Node” bezeichnet, der mit einer Software von Zscaler ausgerüstete Client interagiert mit dem “Enforcement Node” ähnlich wie mit einem Proxy-Server. Derzeit sind darüber Funktionen wie Web Security, Sandboxing, Firewall (auch eine Outbound Firewall), Data Loss Prevention und Bandbreitenkontrolle möglich.

Damit eignet sich das Angebot nicht nur für mobile Mitarbeiter, sondern wird auch von Firmen mit vielen Zweigstellen oder von kleinen Unternehmen genutzt, die so ihre kleine oder fast gar nicht vorhandene IT-Abteilung von komplexen, arbeitsintensiven aber eigentlich routinemäßigen Aufgaben entlasten wollen. Grundsätzlich können die im Mietmodell vermarkteten Angebote schon ab 5 bis 10 Mitarbeitern genutzt werden. In Deutschland liegt der Schwerpunkt des derzeit knapp 20 Köpfe umfassenden Zscaler-Teams aber aktuell noch darauf, größere Kunden für einen oder auch mehrere der Dienste zu gewinnen. Bei gut 330 Firmen ist ihnen das eigenen Angaben zufolge bislang gelungen.

Mit dem, nun vorgestellten Zscaler Private Access bekommen sie nun ein weiteres, attraktives Argument an die Hand. Das Angebot lässt sich einerseits nutzen, um ein herkömmliches VPN mit Hardware in der Zentrale und Client auf dem mobilen Endgerät zu ersetzen. Seine Stärken spielt es aber erst voll aus, wenn das Unternehmen eine oder mehrere Applikationen bei einem Cloud-Betreiber laufen lässt oder – was ebenfalls immer öfter vorkommt – gleichzeitig eine Verbindung zu mehreren Applikationen in mehreren Rechenzentren erforderlich wird.

Die bisherigen Funktionen von Zscalers Cloud-Angeboten werden nun mit Zscaler Private Access um eine VPN-Alternative ergänzt (Bild: Zscaler)(Bild: Zscaler)
Die hier abgebildeten bisherigen Funktionen von Zscalers Cloud-Angeboten werden nun mit Zscaler Private Access um eine VPN-Alternative ergänzt (Bild: Zscaler).

Bei bisherigen Konzepten müsste dazu dann ein Site-to-Site-Multi-Site-VPN eingerichtet werden – wobei nicht nur die Einrichtung, sondern später auch die Wartung komplex und aufwändig ist und sich letztendlich die Verbindung von der Zentrale zum Cloud-Dienst als Flaschenhals erweisen würde. Mit Zscaler Private Access soll das dagegen ebenso einfach nutzbar sein, wie die Nutzung eines beliebigen anderen Dienstes.

Cloud-Anwender profitieren von Zscaler Private Access besonders

Den Unterschied macht der konzeptionelle Ansatz dahinter. Während bei einem VPN der alten Schule das Gerät mit dem Netzwerk verbunden wird, erhält bei Zscaler Private Access der Nutzer Zugriff auf eine Applikation. Wie und wo er auf die zugreift, kann ihm dabei eigentlich gleichgültig sein: Er ruft sie einfach auf und sie wird ausgeführt. Damit dass funktioniert, muss allerdings eine Client-Software von Zscaler installiert ein. Die kümmert sich allerdings vereinfach gesagt lediglich darum, dass die richtige Ressource ausgewählt wird. Sicherheitsprüfungen, Rechteverwaltung und Authentifizierung laufen dann über die Zscaler Cloud.

Zscaler Private Acces sorgt automatisch dafür, dass der Anwender zur richtigen Ressource weitergeleitet wird (Grafik: Zscaler).
Zscaler Private Acces sorgt automatisch dafür, dass der Anwender zur richtigen Ressource weitergeleitet wird (Grafik: Zscaler).

Der entscheidende Unterscheid zu einem VPN ist aber, dass Nutzer, wenn sie sich einmal “eingewählt”“ haben, nicht – zumindest theoretisch – Zugriff auf das gesamte Netzwerk haben, was sich nur durch knifflige und wartungsintensive Maßnahmen, etwa VLANs, Netzwerksegmentierungen und Rechteverwaltung eingrenzen lässt, sondern dass bei Zscaler die Verbindung zwischen Anwendung und Nutzer von inne hergestellt wird. Letztendlich greift also der Nutzer gar nicht auf die Anwendung zu, sondern die lädt ihn quasi zur Nutzung ein. Damit sind zahlreiche potenzielle Sicherheitslücken der alten VPN-Welt erst gar nicht möglich.

Oder wie Zscaler es formuliert: “Der neue Service entkoppelt die Anwendung vom physischen Netzwerk und öffnet Benutzern individuelle Zugangsberechtigungen für Applikationen und Services im internen Unternehmensnetzwerk, im eigenen Rechenzentrum oder in Public-Cloud-Angeboten, wie Amazon Web Services, Azure oder Google.” Damit sei dann der sicheren Zugriff auf einzelne Applikationen möglich, ohne den Zugang zum gesamten Netzwerk zu öffnen.

Erste Referenzkunden: MAN und SAS

Das gilt zudem nicht nur für die eigenen Mitarbeiter, sondern lässt sich auch bei der Zusammenarbeit mit externen Kräften, mit Lieferanten, Partnern oder Subunternehmern nutzen. Außerdem weist Patrick Foxhoven, CIO bei Zscaler, in einer Pressemitteilung darauf hin, dass Zscaler Private Access die Zugangskontrolle von Benutzern mit einer einschränkbaren Sichtbarkeit von Applikationen kombiniere und Flexibilität in Bezug auf die künftige Strategie schaffe: “Ohne Autorisierung können Anwender Applikationen nicht sehen und folglich auch nicht darauf zugreifen. Das schützt die Applikation und ermöglicht es der IT trotzdem, Applikationen zwischen Rechenzentrum und Cloud zu bewegen, ohne Zugriffsberechtigungen ändern zu müssen.”

Bei Zscaler Private Access stellt ein Konnektor die Verbindung zum dem vom Nutzer verwendeten Client von innen nach außen her (Grafik: Zscaler).
Bei Zscaler Private Access stellt ein Konnektor die Verbindung zum dem vom Nutzer verwendeten Client von innen nach außen her (Grafik: Zscaler).

Um die Richtlinien für die Remote-Verbindung einzurichten und zu warten steht aufgrund des Cloud-basierten Ansatzes eine zentrale Administrationsoberfläche (für den „Enforcement Point“) zur Verfügung. Auch Hardware wie VPN-Konzentratoren oder Load Balancer sind beim Kunden – ebenfalls aufgrund des Cloud-Ansatzes – nicht erforderlich Das senkt wie üblich die Einstiegskosten und reduziert die Zeit, bis sich der Dienst erstmals nutzen lässt.

Als einen Referenzkunden für das neue Angebot kann Zscaler bereits MAN vorweisen. Das Unternehmen setzt Zscaler Private Access als Alternative für das zuvor genutzte VPN ein. „Typische VPNs öffnen die Netzwerkumgebung für jeden verbundenen Anwender und stellen somit ein Sicherheitsrisiko dar. Zscaler Private Access ermöglicht es uns, Benutzern einen Zugang zu dedizierten Applikationen zu erlauben und nicht gleich auf das gesamte Netzwerk. Mit dieser granularen Kontrolle über Applikationen können wir auch unseren Partnern und Lieferanten Zugriff auf spezifische Unternehmensapplikationen gewähren.“, wird Tony Fergusson, IT Infrastructure Architect bei MAN Diesel & Turbo, in ei er Pressemitteilung zitiert.

Zweiter Referenzkunde mit etwas anderem Schwerpunkt ist der Software-Hersteller SAS. Für ihn war laut Brian Wilson, Senior Manager für IT Information Security bei SAS, vor allem die Möglichkeit der Mikrosegmentierung mit Zscaler Private Access ausschlaggebend: “Mikrosegmentierung, vor allem in Kombination mit Remote-Zugriff, war in der Vergangenheit nur schwer zu erreichen und erforderte oft ein Zusammenspiel von VPN und Netzwerkzugangskontrolle (NAC). Ein granularer Zugang zur Anwendungsebene mit Zscaler Private Access kann schneller als mit VPN und NAC realisiert werden.”

Umfrage

Plant Ihr Unternehmen die Anschaffung von 2-in-1-Geräten auf Basis von Windows 10?

Ergebnisse

Loading ... Loading ...