Zscaler baut aus – was man jetzt vom Cloud-Security-Giganten erwarten kann

Zscaler gehört definitiv zu den Gewinnern der Corona-Zeit. Wie Amazon, Microsoft oder Zoom profitiert das Security-Unternehmen von Home-Office-Arbeit und der vermehrten Cloud-Nutzung. An der Börse hat sich der Wert von Zscaler seit dem Ausbruch der Corona-Krise zwischenzeitlich vervierfacht. Viele Projekte wurden beschleunigt oder ganz einfach über Nacht aus dem Boden gestampft, um Unternehmen für das neue Zeitalter aus Cloud und Mobilität fit zu machen. Mit dem neuen Geschäftsjahr baut Zscaler zudem seine Cloud-Plattform massiv aus. Wir haben uns schon mal schlau gemacht und die wichtigsten Themen rausgepickt.

Was ursprünglich als cloud-basierter Web Proxy angefangen hat, ist längst zu einer umfassenden Cloud-Plattform angewachsen. Und das widerspiegelt letztendlich nur die Bedürfnisse der heutigen Zeit. Mitarbeitende arbeiten von überall aus, Applikationen werden als SaaS-Dienst bezogen oder in die Cloud verschoben zu MS Azure oder AWS. Damit verschwindet der ursprüngliche Perimeter und das Internet wird zum Unternehmensnetzwerk. Stellt sich eigentlich nur noch die Frage der Sicherheit: Wie garantiere ich, dass alle Zugriffe auf Internet, SaaS- und Cloud-Applikationen authentisiert, nach geltender Berechtigungs-Policy und vor allem sicher und schnell erfolgen?

Gartner hat dafür den Begriff bzw. das Modell der SASE-Plattform geschaffen. Zscaler fehlen dazu noch einige wenige Puzzleteile. Mit welchen Plattformerweiterungen können wir diesen Herbst rechnen?

Der stärkste verfügbare Schutz gegen Malware und infizierte Webseiten ist die Browser Isolation. Dabei wird der Web Content nicht im Browser sondern auf einem Zwischensystem ausgeführt. Der Client erhält als Ergebnis nur Bilder der resultierenden Webseite und kann somit vom vermeintlich bösartigen Code nicht beschädigt werden.

Zscaler Remote Browser Isolation bringt genau diesen Schutz in die Cloud. Dabei ist jedoch davon auszugehen, dass dies keine Komplettlösung für alle Benutzer und alle Webseiten darstellt – zu stark wären die Einschränkungen durch Performanz und Funktionalität. Sinnvollerweise wird die Nutzung von Browser Isolation für gefährliche oder unbekannte Webkategorien eingesetzt oder auf VIPs eingeschränkt.

Browser Isolation ist kein neues Thema. Menlo Security ist schon länger mit diesem Thema unterwegs und HP Sure Click Enterprise (früher Bromium) schützt als Endpoint-Lösung den Client dank Isolation umfassend vor Schadcode auf Webseiten, in E-Mails oder auf Datenträgern. Isolations-Lösungen tun sicher aber nach wie vor schwer am Markt aufgrund von Einschränkungen bei Performanz, Usability oder ganz einfach wegen den zusätzlichen Kosten.

Wird Browser Isolation zu einem Cloud-Feature, das man quasi einfach per Mausklick hinzufügen kann, könnte sich das in naher Zukunft ändern.

Die Zscaler Cloud-Plattform ist reich an Funktionalität und deckt dabei die Themenblöcke Sicherheit, DLP und Nutzungsrechte ab. Bisher waren diese Funktionen dem inline Traffic vorbehalten – also dem klassischen Internetzugriff über die Zscaler-Cloud.

Mit Out-of-Band CASB ermöglicht Zscaler die Nutzung dieser Funktionen für beliebige Cloud-Dienste per API. Auf diese Weise kann die Zscaler Cloud Sandbox bei Office 365 eingehende E-Mails auf gefährliche Attachments prüfen, verseuchte Files in Share Point erkennen oder Dateien in OneDrive erkennen, welche gegen geltende (DLP)-Compliance verstossen.

Hier tritt Zscaler in den Wettkampf mit bestehenden CASB-Lösungen. Während diese sich vom CASB-Nischenplayer Richtung Web Proxy entwickeln, geht Zscaler den Schritt in die andere Richtung. Out-of-Band CASB dürfte daher vor allem für bestehende Zscaler-Kunden interessant sein, die nicht noch einen weiteren Anbieter ins Produktportfolio nehmen möchten.

Mit ZPA erfolgt bereits heute der Zugriff von Benutzern auf private Applikationen sicher und gemäss Zero-Trust. Durch die Akquisition der Firma Edgewise bringt Zscaler das Zero-Trust-Konzept auch für den Server-zu-Server-Verkehr innerhalb des Cloud-Datacenters. Die Lösung soll in den nächsten Monaten integriert werden.

Bereits verfügbar ist Zscaler Cloud Security Posture Management (Zscaler CSPM). Dabei geht es darum, die bestehende Cloud-Infrastruktur genauer unter die Lupe zu nehmen, Visibilität zu schaffen und dabei Schwachstellen und Fehlkonfiguration rasch zu erkennen.  Zscaler CSPM steht auch für SaaS-Dienste wie Office 365 zur Verfügung.

Was Kunden im Bereich von ZPA schon lange wünschen ist der einfache, sichere und Zero-Trust-basierte Zugriff von Drittparteien wie Kunden oder Lieferanten auf die eigenen privaten Applikationen. Bei diesen Unternehmen kann im Gegensatz zu den eigenen Mitarbeitenden nicht einfach eine App ausgerollt werden.

Das neue Produkt Zscaler B2B adressiert genau diesen Umstand und bietet eine Portallösung für den sicheren Zero-Trust-Zugriff für Business Partner.

Im geschäftlichen Kontext treffe ich immer wieder auf Firmen, die hierzu eine Lösung suchen. Im Gegensatz zu vielen bestehenden Ansätzen, bietet Zscaler mit dem Zero-Trust-Ansatz den Vorteil, dass die firmeneigenen Applikationen gegenüber dem Internet und generell gegenüber Dritten unsichtbar bleiben, was die mögliche Angriffsfläche für Hacking und DDoS massiv verringert.

Die Idee liegt auf der Hand: Wenn alle Zugriffe auf Internet, SaaS-Dienste und Applikationen über die Zscaler-Cloud laufen, auf allen Endpoints die Zscaler App läuft und Zscaler weltweit über die Sichtbarkeit von 100 Rechenzentren und Tausenden von Kunden verfügt, kann das Unternehmen weitreichende Visibilität zu Netzwerk- und Applikations-Performanz schaffen und bei entsprechenden Problemen bzgl. Verfügbarkeit oder Latenzen mit guter Zuverlässigkeit und in Echtzeit aufzeigen, wo die Ursache liegen könnte.

ZDX kann als Trouble-Shooting-Lösung eingesetzt werden oder noch besser als proaktives Warnsystem für bevorstehende Performanzengpässe.

Aus unserer eigenen Erfahrung im technischen Support dürfte ZDX für viele Kunden sehr wertvolle Dienste leisten – initial bei bestehenden Performanz-Probleme, mit voranschreitender Cloudifizierung immer mehr als vorausschauendes präventives Tool um die Verfügbarkeit von allen möglichen produktiven Verbindungen sicherzustellen.

Zscaler entwickelt sich getreu dem neuen SASE-Modell von Gartner zur kompletten Cloud-Plattform, welche jegliche Unternehmensverbindungen und Datenströme absichern wird. Dabei hat Zscaler dank seiner reifen, bewährten und skalierbaren Cloud-Architektur noch die eine oder andere Nasenlänge-Vorsprung vor der Konkurrenz. Aber Lösungsanbieter aus allen Bereichen – vom Firewall-Hersteller bis zum CASB-Spezialisten – schlagen dieselbe Richtung ein.

Damit kommt es auch zur spannenden Frage, ob sich Komplett-Plattformen durchsetzen werden oder ob Unternehmen auch in der Cloud auf Best-of-Breed setzen und sich gemäss Ihren Bedürfnissen und Anforderungen einzelne Funktionen individuell zusammenstellen werden.

Man darf gespannt sein über die Entwicklung der kommenden Monate und Jahre und welche Hersteller den strategischen Wechsel rechtzeitig schaffen und welche nicht, denn Corona hat den Markt für SASE-Plattformen massiv beschleunigt.

Mehr zu SASE: www.tec-bite.ch/wohin-die-it-security-reise-geht-teil3-sase/

Übersicht Zscaler: www.avantec.ch/loesungen/zscaler/