VPNs sind immer noch die populärste Technik, um Mitarbeitern einen sicheren Remote-Zugriff auf das Firmennetzwerk zu gewähren. Sie stößt im Cloud-Zeitalter aber immer öfter an ihre Grenzen. ZPA dagegen erlaubt nicht den Zugriff auf das Netzwerk, sondern nur auf ausgewählte Anwendungen.*
Gerade weil Virtual Private Networks immer noch der Defacto-Standard für die Absicherung von Remote-Zugriffen (RAS) sind, werden ihre Nachteile meist in Kauf genommen:
- Sicherheitsrisiken: Externen Nutzern muss zwangsläufig das interne Netzwerk geöffnet werden, auch wenn diese nur auf einzelne Anwendungen zugreifen wollen. Dies setzt das Datacenter einem unnötigen Risiko aus, zudem sind die Access-Points für DDoS-Attacken anfällig. Trotz Segmentierung und VLANs können Anwender zudem meist mehr Applikationen sehen, als sie eigentlich sollen.
- Hohe Komplexität: Eine Vielzahl technischer Komponenten und Appliances sind notwendig, um eine VPN-Infrastruktur aufzubauen und zu betreiben. Die Verwaltung der dabei benötigten Security-Policies ist aufwändig, da es nicht nur um den Schutz der bereitgestellten Applikationen, sondern immer gleich um die gesamte Sicherheitsinfrastruktur geht. Um den Zugriff auf Applikationen selektiv zu gestalten, muss das Netzwerk segmentiert werden.
- Zentralistischer Ansatz: VPN-Dienste werden zumeist (nur) im Datacenter zur Verfügung gestellt. Auch beim externen Zugriff auf eine Niederlassung oder eine Cloud-Applikation läuft die Kommunikation dann immer durch die Zentrale, mit negativen Auswirkungen auf die Performance.
- Aufwändige Skalierung: Soll die VPN-Infrastruktur auf weitere Applikationen und Services ausgeweitet werden, erfordert dies meist den Kauf neuer Hardware, was mit Anschaffungs- und Administrationskosten einhergeht.
- Schlechtes Benutzererlebnis: Anwender benötigen vorab immer einen VPN-Login, der je nach Endgerät unterschiedlich funktioniert.
Sicherer Remote-Zugriff ohne VPN
Zscaler Private Access (ZPA) verfolgt einen vollkommen anderen Ansatz: Anstatt das gesamte Netz zu öffnen, verbindet ZPA authentifizierte Benutzer direkt mit den für sie freigegebenen Applikationen. Zugriffe auf Anwendungen lassen sich dabei granular über Policies pro App und User zentral steuern, ohne dafür das Netzwerk segmentieren zu müssen.
User sehen dadurch nur diejenigen Anwendungen, auf die sie tatsächlich zugreifen dürfen. Die Applikationen werden nicht gegenüber dem Internet exponiert. Dies erhöht die Sicherheit und den Schutz vor DDoS-Attacken.
ZPA ersetzt das Hardware-basierte VPN-Modell im Rechenzentrum durch eine reine Software-Lösung, deren Verwaltungskomponente zentral in der Cloud läuft.
Cloud-basierende Sicherheitsarchitektur
Die Zscaler-Lösung besteht aus einer Cloud- und zwei lokalen Komponenten:
- Der Z-Broker ist die von Zscaler gehostete Cloud Policy Engine. Die IT-Abteilung steuert darüber die Zugriffsberechtigungen von Usern auf ihre Anwendungen.
- Der ZPA-Client ("Z-App") stellt vom Endgerät des Users die Anfrage für den Zugriff auf eine bestimmte User-App an den Z-Broker. Der Anwender kann sich über SAML per Single-Sign-On mit seinen Unternehmens-Credentials im Client anmelden.
- Der Z-Connector ist im Datacenter direkt vor der jeweiligen Applikation installiert. Er wird vom Z-Broker kontaktiert und angewiesen, eine sichere Verbindung von der Applikation zum autorisierten User herzustellen. Die Verbindungsaufnahme geschieht somit ausschließlich von innen nach außen, so dass auf die betreffenden Anwendungen extern nicht zugegriffen werden kann.
Sicherheitsvorkehrungen
Für die Absicherung des Datenverkehrs generiert ZPA einen dynamischen TLS 1.2-Tunnel mit den von der IT-Abteilung erzeugten, eigenen Zertifikaten. Pro User, App und Session (z.B. ein Browser-Tab) wird dabei ein separater Tunnel verwendet.
Zscaler als Betreiber der Cloud-Komponente sieht dabei lediglich den Username, die Ziel-URL und den Port, aber nicht die Nutzdaten. Der Username kann zusätzlich tokenisiert werden, um die Vertraulichkeit weiter zu erhöhen.
Praktische Anwendungsfälle
ZPA erlaubt IT-Abteilungen, ohne großen administrativen Aufwand den abgesicherten Zugriff auf interne Applikationen zu konfigurieren. Die Besonderheit dabei: Anwendungen können dabei On-Prem oder in der Cloud laufen.
Bei Cloud-Applikationen erfolgt der Zugriff dann direkt über das Internet, ohne den Umweg über das Datacenter. Dies sorgt für eine optimale Nutzung der verfügbaren Bandbreite und schafft ein nahtloses Benutzererlebnis. Dies gilt analog auch für Zugriffe auf eine Niederlassung, die dann ebenfalls nicht mehr durch das Rechenzentrum geroutet werden müssen.
Einheitlicher Mechanismus für alle Anwendungen
Zwar lassen sich Cloud-Anwendungen auch direkt über die Mechanismen der jeweiligen Plattformen absichern, aber hier ist dann mit diversen Nachteilen zu rechnen. So handelt es sich dabei um einen IP-zentrischen Weg, der wenig Flexibilität bietet und für DDoS anfällig ist. Zudem stellt dieser Ansatz eine administrative Insellösung dar, während über ZPA sämtliche Apps, unabhängig davon, wo sie gehostet sind, zentral gesteuert werden.
Der Zugriff für Nutzergruppen außerhalb der Mitarbeiterschaft wie Partner und Lieferanten lässt sich mit der Zscaler-Technik elegant einrichten, da nicht das gesamte Netzwerk geöffnet und anschließend aufwändig segmentiert werden muss. Der Administrator legt bloß die betreffenden Logins an und definiert über Policies die Berechtigungen für die freizugebenden Applikationen.
Auch die Zusammenlegung von Rechenzentren nach Firmenübernahmen lässt sich durch die Segmentierung von Apps einfach und sehr schnell bewerkstelligen, zudem können IP-Konflikte leicht vermieden werden.
Ultimativ kann mit ZPA je nach Infrastruktur das etablierte VPN schrittweise zurückgebaut und schließlich ganz abgeschafft werden.
Technik und Einrichtung
Da sich der Administrator nur um zwei Software-Komponenten kümmern muss, ist das Setup schnell erledigt. Der Z-Connector wird als VM (auf VMware, AWS oder Azure) installiert, vorzugsweise in der DMZ, mit Zugriff auf die benötigten Applikationen.
Verbindungen werden nur über Port 443 hergestellt. Für Hochverfügbarkeit und Bandbreitenoptimierung empfiehlt der Hersteller den Einsatz von mindestens zwei Konnektoren.
Anschließend fügt man den Connector im Admin-Portal von ZPA unter https://admin.private.zscaler.com seiner Konfiguration hinzu.
Der ZPA-Client kann auf iOS, Android, Windows 7/8/10 und MacOS installiert werden. SSO wird über SAML im Admin-Portal konfiguriert.
Fazit
Mit Zscaler Private Access ermöglichen Unternehmen ihren Mitarbeitern und Partnern den Zugriff auf Applikationen von außen, ohne sie ins Netzwerk holen zu müssen. Der ZPA-Service stellt damit eine sichere und kostengünstige Alternative zu klassischen VPNs dar, mit mehreren Vorteilen gegenüber traditionellen Ansätzen.
Die Reduzierung der Komplexität birgt Einsparpotentiale, der Entfall von Hardware spart Kosten. Weil interne Firewalls und Sicherheitsmechanismen nicht angepasst werden müssen, vereinfacht sich die Administration erheblich.
Die Abkoppelung vom Unternehmensnetzwerk erhöht maßgeblich die Sicherheit und die Flexibilität der IT. Die Anwender haben ein deutlich verbessertes Erlebnis durch höhere Performance und nahtlosen Zugang zu ihren Anwendungen.
ZPA kann über Zscaler-Partner bezogen werden, Preise erhalten Interessenten auf Anfrage. Der Dienst kann über eine kostenlose interaktive Demo getestet werden.
* Dieser Text ist ein bezahlter Beitrag von Zscaler.
Die Security Cloud von Zscaler agiert als Sicherheitsinstanz zwischen Unternehmen und dem öffentlichen Internet und überprüft dabei den kompletten Datenverkehr zwischen allen Endgeräten und dem Internet. Täglich werden durch Zscaler mehr als 15 Millionen Anwender in über 200 Ländern geschützt.