business-people-head-retro-television

Im zweiten Teil dieses Blog Beitrages zeige ich anhand eines Grobkonzepts auf, wie eine mögliche Ablösung von VPNs, MPLS oder SD-WAN aussehen kann. Welche Z-Connectoren zum Einsatz kommen, wie ein HA Setup von Hardware-Branch-Connectoren realisiert werden kann, welche Funktionen diese bieten und was an nicht mehr benötigtem Security Equipment abgelöst werden kann. Des Weiteren gehe ich darauf ein, was bezüglich dem Sizing der Z-Connectoren zu beachten ist und wie die Lizenzierung aussieht.

Link zum ersten Teil: Zero Trust Remote Access und SD-WAN – Teil 1

Deployment von Hardware Branch Connectoren

Wie im ersten Beitrag erwähnt, kann der Branch Connector als Hardware- oder Softwarevariante (VM) realisiert werden. In diesem Beitrag gehen wir auf die Hardwarevariante ein. Grundsätzlich gibt es zwei Deployment-Arten – den Gateway-Mode und den Non-Gateway-Mode (One-Arm). Im Non-Gateway-Mode muss das Netzwerk über einen externen Router verfügen, der die Verbindung zum ISP herstellen kann. Im Gateway-Mode hingegen wird das Branch-Connector-Hardwaregerät zum Standard-Gateway für das lokale Netzwerk.

Der Non-Gateway-Mode kann beim Hardware-Branch-Connector konfiguriert werden. Damit jedoch Security-Equipment an den Lokationen, wie etwa Next-Generation-Firewalls, abgebaut werden kann, sollte ausschliesslich der Gateway-Mode verwendet werden. Dieser wird nur von hardwarebasierten Branch Connectoren, auch Zero Trust Appliances (ZT) genannt, unterstützt.

In diesem Modus unterstützt der Branch Connector eine duale ISP-Konnektivität sowie High Availability (HA). Er kann als Firewall und DHCP-Server fungieren und unterstützt 802.1Q VLAN-Tagging. Der gesamte Benutzerverkehr wird über den Branch Connector geleitet, wodurch ein sicherer Zugang für alle Geräte und Benutzer gewährleistet wird. Im Gateway-Modus stehen zudem die folgenden zusätzlichen Funktionen zur Verfügung:

LAN:

  • Anschluss an mehrere L3-LAN-Netzwerke und Default-Gateway für diese Netzwerke
  • Bereitstellung eines DHCP-Servers für die lokalen LAN-Segmente
  • Statisches Routing mit bis zu 32 statischen Routen
  • Unterstützung von VLANs mit 802.1Q VLAN-Tagging (Anzahl abhängig vom Hardwaretyp)
  • Inter-VLAN-Stateful-Firewall-Regeln
  • Festlegung des Standard-Gateways zu ZIA für jede WAN-Schnittstelle

WAN:

  • Unterstützung für duale WAN-Uplinks, einschliesslich Mehrfach-ISP-Unterstützung
  • Pfadüberwachung der ISP-WAN-Uplinks
  • DHCP-Client-Unterstützung für die dynamische IP-Adressvergabe durch den ISP

Hochverfügbarkeit:

  • WAN-Link-Redundanz mit Failover, ausgelöst durch die Überwachung der ISP-WAN-Verbindung. WAN-Links können als aktiv/aktiv oder aktiv/standby konfiguriert werden
  • Hardware-Redundanz mittels Common Address Redundancy Protocol (CARP), das von mehreren Geräten gemeinsam genutzt wird
  • Redundanz des DHCP-Servers

Ausblick:

Zukünftig erhält der Branch Connector einen vollständig neuen Software-Stack. Damit sollen Funktionen wie IPsec-VPN-Support, Private Service Edge und Airgap (Mikrosegmentierung) auf den Branch Connectoren verfügbar werden. Zscaler hat diese Erweiterungen für das zweite Quartal 2025 angekündigt.

Hochverfügbarkeit mit Gateway-Mode

Hochverfügbarkeit für den Branch Connector ist in zwei Formen verfügbar: Redundanz auf der Ebene der Hardware-Geräte und Redundanz auf der Ebene der WAN-Verbindung.

In einer Branch-Connector-Gruppe können zwei Hardwareinstanzen betrieben werden, die sich pro LAN-Subnetz eine CARP-VIP-Adresse teilen. Die beiden Branch Connectoren arbeiten im Aktiv/Backup-Modus, ohne Statussynchronisation zwischen den Geräten. Reagiert der primäre Branch Connector nicht mehr, wird die CARP-Adresse automatisch auf den Backup-Branch-Connector übertragen.

Redundanz auf der Ebene der WAN-Verbindung involviert die ISP-Links. Der Branch Connector verwendet Link Monitoring, um die beste Verbindung zu ermitteln und sicherzustellen, dass auf jeder ISP-Verbindung ein aktiver Pfad zur Verfügung steht.

Grobkonzept mögliche Ablösung von VPNs, MPLS oder SD-WAN

Hier nun das komplette Bild, bestehend aus allen Z-Connectoren:

  • Branch-Connector als Hardware Variante (ZT)
  • Cloud-Connector (CC)
  • Application-Connector (AC)
  • Client-Connector

Branch-, Client-, Application- und Cloud-Connectoren verbinden sich mit Zscaler Internet und Private Access Cloud (Zero Trust Exchange).

Fazit aus Teil 1: Mit all diesen sogenannten Z-Connectoren lassen sich sämtliche denkbaren Anwendungsfälle für eine sichere Kommunikation von Nutzern, IoT-, OT-Geräten, Workloads und Anwendungen abdecken – gesteuert über eine zentrale Policy. Diese Architektur erhöht Ihre Sicherheit gegen Angriffe auf Ihre Remote Access-, SD-WAN- sowie MPLS-Umgebung erheblich, da sie keine Angriffsfläche bietet.

Zusätzlich bietet Zscaler auch die Möglichkeit bestehende (Partner) VPNs, die unter Umständen nicht abgebaut werden können, an der Zero Trust Exchange Plattform zu terminieren. Link dazu: https://www.zscaler.com/innovations/improved-traffic-forwarding-ipsec-local-termination-virtual-service-edges

Für das Desaster-Recovery von ZPA kann die Private Service Edge (PSE) im Firmennetz platziert werden – in diesem Beispiel im Cloud-Tenant. Wo und ob die PSE bei Ihnen platziert wird, hängt von Ihrem Desaster-Recovery-Konzept ab.

Zero Touch Provisioning

Mittels Zero Touch Provisioning (ZTP), das die Einrichtung und Konfiguration neuer Geräte automatisiert und manuelle Eingriffe überflüssig macht, wird eine konsistente, gleichzeitige und automatisierte Konfiguration der Z-Connector-Geräte ermöglicht, indem beim ersten Start Konfigurationsdateien direkt an das Gerät übermittelt werden.

Regelmässige Upgrades

Cloud- und Branch-Connectoren suchen wöchentlich nach neuen Softwareversionen und aktualisieren diese automatisch, sobald sie verfügbar sind. Standardmässig beginnt das Upgrade-Fenster jeden Sonntag um Mitternacht (Ortszeit des eingesetzten Cloud- oder Branch-Connectors). Siehe dazu: https://help.zscaler.com/cloud-branch-connector/managing-cloud-branch-connector-upgrades

Sizing und Lizenzierung

Hardware-Branch-Connector

Die Hardware-Branch-Connectoren sind in verschiedenen Ausführungen erhältlich, die sich in mehreren Kennzahlen unterscheiden. Dazu gehören:

  • Durchsatz in Gbit/s
  • Anzahl Geräte hinter dem Branch-Connector
  • Datenvolumen pro Monat in GB/Monat

Datenblatt: https://www.zscaler.com/resources/data-sheets/zscaler-zero-trust-sd-wan-datasheet.pdf

Zscaler arbeitet laufend an neuen Appliances – hier abgebildet, das neue Modell ZT-400-C, welches 5G unterstützt.

Welche Hardware-Branch-Connectoren eingesetzt werden sollen, hängt also von den oben genannten Kennzahlen sowie der Art der eingesetzten Geräte ab.

Für die Anzahl Geräte hinter dem Branch-Connector sowie Traffic pro Monat in GB können bei Zscaler zusätzliche Lizenzen erworben werden.

Branch-Connector VM

Für den Branch-Connector als virtuelle Maschine (VM) gibt es die folgende Kennzahlen, die zu lizenzieren sind:

  • Anzahl Geräte hinter dem Branch-Connector
  • Traffic pro Monat in GB /Monat

Der Durchsatz in Gbit/s ist abhängig von den zugewiesenen Ressourcen der Virtualisierungsplattform.

Cloud-Connector VM

Für den Cloud-Connector als virtuelle Maschine (VM) muss man lediglich den monatlichen Traffic in GB lizenzieren.

Client-Connector

Der Client-Connector wird nach wie vor anhand der User für ZIA und ZPA lizenziert. Je nach ZPA-Edition ist eine bestimmte Menge an Traffic pro Monat lizenziert.

Application-Connector

Eine bestimmte Anzahl an Application-Connectoren ist in der Benutzerlizenzierung von ZPA enthalten (abhängig von der erworbenen Edition). Weitere Application-Connectoren können über eine Zusatzlizenz erworben werden.

Business-Partner-VPN-Anbindung

Aktuell ist mir noch nicht bekannt, wie die Business-Partner-VPNs lizenziert werden müssen. Ich gehe jedoch davon aus, dass sie ebenfalls nach dem monatlichen Traffic in GB lizenziert werden.

Pools

Das Sizing und die dafür notwendige Lizenzierung basieren hauptsächlich auf dem monatlichen Traffic in GB. Meistens ist diese Kennzahl während der Konzeptphase unbekannt und teils nur schwer abzuschätzen. Beim Hardware-Branch-Connector kommt zudem noch die Anzahl der Geräte hinzu, die hinter den Branch-Connectoren angeschlossen sind.

Für beide Kennzahlen wird jeweils ein Pool berechnet, der aus dem insgesamt verfügbaren monatlichen Traffic (Traffic Pool) und der Anzahl der Geräte hinter den Branch-Connectoren (Device Pool) besteht. Der Traffic Pool wird zudem über ein Jahr gemittelt.

Fazit

Zscaler bietet mit ihrem stetig erweiterten Zero-Trust-Portfolio eine gute Basis, um Ihre Geschäftskommunikation abzusichern. Dadurch, dass Zscaler die Z-Connectoren automatisch basierend auf der Konfiguration in der Policy aktualisiert, sparen Sie einen erheblichen Betriebsaufwand, um die Komponenten sicher und aktuell zu halten. Zudem profitieren Sie vom Zero-Touch-Provisioning beim Deployment. Im Vergleich zu anderen SD-WAN-Herstellern, bei denen Sie für die Aktualität und Updates verantwortlich sind, rechtfertigt sich dadurch auch der höhere Anschaffungspreis, und die Zscaler-Lösung kann für Sie auch kommerziell attraktiv sein. Weiters profitieren Sie von der Innovationskraft und dem modernen Ansatz zur Umsetzung von Zero-Trust-Remote-Access und SD-WAN.

Weiterführende Links

https://www.tec-bite.ch/iot-ot-ein-ausblick-auf-den-zscaler-branch-connector/

https://help.zscaler.com/cloud-branch-connector/understanding-zero-trust-branch-devices

Step-by-Step Configuration Guide für Zscaler Branch-Connector: https://help.zscaler.com/cloud-branch-connector/step-step-configuration-guide-zscaler-branch-connector

Der Beitrag Zero Trust Remote Access und SD-WAN – Teil 2 erschien zuerst auf Tec-Bite.