Zscaler Cloud Security Broker – die neusten Bewegungen

Zscaler ist heute wohl einer der bekanntesten Cloud Security Broker und den meisten als «Proxy in der Cloud» mit ZIA oder dem «VPN Ersatz» ZPA bekannt. Sollten Sie Zscaler im Einsatz haben oder kennen, möchte ich Ihnen heute ein paar Updates zu Zscaler geben. Dabei werde ich sowohl einzelne Features, die in der letzten Zeit freigegeben wurden, als auch komplett neue Produkte zeigen.

Doch erstmal ein grober Überblick über das Produkt-Portfolio:

Ihnen bekannt ist sicher ZIA und ZPA. Zscaler Digital Experience wird ebenfalls dem ein oder anderen ein Begriff sein.

Bei Zscaler Digital Experience (ZDX) geht es vereinfacht gesagt um das Monitoring des userbasierten Verkehrs zu Applikationen und Webseiten, welche via ZIA und ZPA angeboten werden. Es bietet dadurch eine signifikante Erleichterung des Troubleshootings und erleichtert den Support Prozess. Wenn Sie mehr hierzu erfahren möchten, empfehle ich Ihnen, sich genauer hier einzulesen.

Komplett neue und up-coming Produkte sind folgende drei (welche zugegebenermassen nicht alle in der Grafik oben ersichtlich sind):

• • Cloud Browser Isolation
  • Zscaler Deception (by Smookscreen)
  • Zscaler Workloud Segmentation

Bei der Cloud Browser Isolation handelt es sich um einen Browser, welcher, wie der Name sagt, in der Cloud ausgeführt und isoliert wird. Dieses Feature kann sowohl für ZIA als auch für ZPA zum Einsatz kommen. Der Client selbst erhält dabei lediglich den Content als Pixel-Stream übermittelt. So wird evtl. vorhandene Malware erst gar nicht zum Client durchgereicht (bei ZIA) oder dem Server wird der direkte Zugriff verhindert, wie bei einer Citrix Umgebung (ZPA). Aktuell muss im Regelwerk von ZIA noch recht statisch definiert werden, welche Seiten so isoliert werden sollen. Es wird aber bald möglich sein, anhand eines Risk-Scores automatsch Seiten zu isolieren.

Bei Zscaler Deception (by Smookscreen) handelt es sich um eine Honeypot-Lösung, welche einen Angreifer von den eigentlichen Zielen mit sogenannten Decoys abbringen soll. Decoys sind dabei sozusagen falsche Ziele, welche zum Beispiel ein Active Directory, einen Web- oder File-Server simulieren. Bei allen Deception Lösungen (also auch von anderen Herstellern) wird eine entsprechende VM im Netzwerk platziert. Zscalers Deception Lösung bietet «out of the box» eine Integration mit ZPA und kann eine «Fake-Cloud» simulieren, welches so auf dem Markt einzigartig ist. Wir (AVANTEC) werden diese Lösung aber noch im Zuge unserer new comer Produkte analysieren und genauer betrachten.

Zscaler Workload Segmentation (ZWS) ist ein Produkt, welches einen neuen, bisher noch fehlenden, Angriffsvektor abdecken soll: Die Server to Server Verbindung. Kurz gesagt ist ZWS eine Lösung zur Micro-Segmentierung, um den Traffic zwischen diversen Servern zu steuern. Traditionell hatte man dies mit klassischen Firewalls gelöst, welche aufwändig platziert und verwaltet werden müssen. Bei ZWS wird auf jeden zu schützenden Server eine kleine Applikation installiert. Diese Applikation wertet die Verbindungen untereinander aus und gibt eine Möglichkeit, die Client-Firewall zu verwalten. Dies wird in der Art gemacht, dass bei der Auswertung die Meta-Daten in die Cloud geschickt werden.

Also welcher Service auf dem Rechner mit welchem Port zu welchem anderen Service kommunizieren möchte – und ja, wir können bei ZWS nicht nur Port-basiert die Kommunikation steuern, sondern runtergebrochen auf den Service. In der Cloud laufen diese Meta-Daten zusammen und geben dem Admin einen Überblick der laufenden Kommunikation. Hier kann dieser dann die entsprechenden Policies verwalten und wird mittels Maschine-Learning in der Cloud unterstützt. Wenn eine Anpassung der Policy erfolgt, dann wird diese auf den Client zurück übermittelt werden und entsprechend aktiv. ZWS ist derzeit noch Limited Available und auch für uns noch nicht verfügbar. Wir möchten dieses Produkt jedoch gerne genauer betrachten.

Neben neuen Produkten gab es noch zwei weitere Features, welche zuletzt bei ZPA freigegeben wurden, welche ich hier gerne erwähnen möchte.

Mit ZPA Inspection geht Zscaler den nächsten Step des Reverse Proxies und bietet eine Inline Inspection für Web Application. Dabei wird der übermittelte Datenstream analysiert und gegen bekannte Angriffe abgesichert. Hierbei wird auf die bewährten Patterns der OWASP gesetzt. Ferner können noch eigene Patterns definiert werden.

Privileged Remote Access ermöglicht es, RDP und SSH Session via Browser Access zu ermöglichen. Browser Access ist bisher eine Möglichkeit gewesen, Webseiten von extern via ZPA zu veröffentlichen. Dabei wird im externen DNS ein CNAME eingetragen, welcher zu Zscaler zeigt. Privileged Remote Access basiert auf demselben Prinzip. Als Einstiegspunkt wird ein Portal hinterlegt, welches dem Anwender nach dem Einloggen die entsprechenden RDP und SSH Hosts präsentiert, zu welchem dieser berechtigt ist. Beim Öffnen wird entsprechend die Session gestartet und im Browser der Pixel-Stream angezeigt (wie bei Apache Guacamole). Insbesondere interessant ist diese Technologie, um Firmen einen Partner Access auf einen Jump-Host zu ermöglichen, ohne dass der End-Anwender eine Applikation installieren muss.