Zscaler App zTunnel Version 2.0

Der lang ersehnte Zscaler App zTunnel 2.0 ist von Zscaler released worden. Sie fragen sich «der was»? Ja genau der Zscaler App zTunnel 2.0. In diesem Blog Post möchte ich kurz aufzeigen, was es mit dem zTunnel 2.0 auf sich hat, was seine Tücken sind und wie sein Einsatzfeld aussehen kann.

Facts

Der Zscaler App zTunnel 2.0 ist die neue Version der Forwarding Methode «Tunnel» aus dem Forwarding Profil. Im Unterschied zum zTunnel der Version 1.0 kann der neue zTunnel jeglichen Traffic (ja, genau jeglichen Traffic!) zu Zscaler senden. Der neue Tunnel 2.0 löst das Dilemma der Auswahl zwischen den beiden Forwarding Methoden «Tunnel Version 1.0» und «Tunnel with local Proxy».

    • Tunnel Version 1.0: Forwarding HTTP/HTTPS Traffic auf Port 80 und 443
    • Tunnel with local Proxy: Forwarding proxyfähiger Traffic mit allen Ports
    • Tunnel Version 2.0: Forwarding jegliche Traffic (alle Protokolle und Ports)

Mit dem neuen Tunnel ist diese Entscheidung hinfällig, da nun aller Traffic unabhängig von Port und Proxyfähigkeit zu Zscaler geforwarded werden kann.

Tücken

Doch auch der neue zTunnel 2.0 ist noch nicht die eierlegende Wollmilchsau. Zurzeit ist bei Zscaler das Traffic-Handling basierend auf IPv6 noch nicht unterstützt. IPv6 Traffic wird zum aktuellen Zeitpunkt von der Zscaler App «gebypasst» und DIRECT geschickt. Es besteht keine Möglichkeit zur Unterbindung des IPv6 Traffic von Seiten Zscaler. Keine Bange ER (Enhancemend Request) ist unterwegs.

Auch das Forwarding von allem Traffic ist mit Vorsicht zu geniessen. Durch die Möglichkeit des Forwarding von allem Traffic ergeben sich neue Abhängigkeiten aus den anderen Default Policy-Modulen, wie zum Beispiel des Firewall Control Moduls oder auch Advanced Modulen wie dem DNS Control. Somit gut aufgepasst, was nun wohin geschickt wird. Mit einem gut definierten Forwarding-Konzept können auch diese Klippen umschifft werden.

Deployment

Kann nun auf alles verzichtet werden und nur noch die Zscaler App verwendet werden? Nein, dies ist nicht möglich. Die Zscaler App deckt auch weiterhin nur den Client basierenden Traffic (Windows, macOS, Android, iOS) ab. Serversysteme und andere Devices, die nicht Zscaler App fähig sind, müssen auch weiterhin über eine der anderen Forwarding Methoden zu Zscaler weitergeleitet werden.

Für den Einsatz der Zscaler App mit Tunnel 2.0 ist es wichtig, ein Gesamtkonzept zu planen, wie und wo der Tunnel 2.0 aktiviert werden soll. Zur Spezifizierung des Einsatzgebietes der Zscaler App mit dem Tunnel 2.0 können die folgenden Fragen verwendet werden:

      1. Von wo aus arbeiten meine Benutzer?
      2. Welche Applikationen müssen sie erreichen können und wo sind diese gehostet?
      3. Welcher Traffic soll via Zscaler geschickt werden?
      4. Was ist mit dem Resttraffic, der nicht via Zscaler abgedeckt ist?
      5. Welchen Schutz sollen die Clients an den verschiedenen Standorten (Home, Office, On the Road) haben?
      6. Welche Features werden wir zum Schutz unserer Clients dafür von Zscaler benötigen?

Links

Kontakt AVANTEC: www.avantec.ch/ueber-avantec/

Zscaler ZIA: www.avantec.ch/loesungen/zscaler/zscaler-secure-internet-access/

Der Beitrag Zscaler App zTunnel Version 2.0 – Facts & Deployment erschien zuerst auf Tec-Bite.