Zscaler Private Access (ZPA): Die sichere und unkomplizierte Alternative zu VPNs

    Zscaler Private Access (ZPA)VPNs sind immer noch die popu­lärste Technik, um Mitar­beitern einen sicheren Remote-Zugriff auf das Firmen­netzwerk zu ge­währen. Sie stößt im Cloud-Zeitalter aber immer öfter an ihre Grenzen. ZPA dagegen erlaubt nicht den Zugriff auf das Netzwerk, sondern nur auf aus­gewählte Anwen­dungen.*

    Gerade weil Virtual Private Networks immer noch der Defacto-Standard für die Absicherung von Remote-Zugriffen (RAS) sind, werden ihre Nachteile meist in Kauf genommen:

    • Sicherheits­risiken: Externen Nutzern muss zwangsläufig das interne Netzwerk geöffnet werden, auch wenn diese nur auf einzelne Anwendungen zugreifen wollen. Dies setzt das Datacenter einem unnötigen Risiko aus, zudem sind die Access-Points für DDoS-Attacken anfällig. Trotz Segmen­tierung und VLANs können Anwender zudem meist mehr Applikationen sehen, als sie eigentlich sollen.
    • Hohe Komplexität: Eine Vielzahl technischer Komponenten und Appliances sind notwendig, um eine VPN-Infra­struktur aufzubauen und zu betreiben. Die Verwaltung der dabei benötigten Security-Policies ist aufwändig, da es nicht nur um den Schutz der bereitgestellten Applikationen, sondern immer gleich um die gesamte Sicherheits­infrastruktur geht. Um den Zugriff auf Applikationen selektiv zu gestalten, muss das Netzwerk segmentiert werden.
    • Zentralistischer Ansatz: VPN-Dienste werden zumeist (nur) im Datacenter zur Verfügung gestellt. Auch beim externen Zugriff auf eine Niederlassung oder eine Cloud-Applikation läuft die Kommunikation dann immer durch die Zentrale, mit negativen Auswirkungen auf die Performance.

    ZPA ersetzt hardwareintensive VPNs, bei denen Zugriffe auf Apps immer über das Datacenter geroutet werden müssen.

    • Aufwändige Skalierung: Soll die VPN-Infrastruktur auf weitere Applikationen und Services ausgeweitet werden, erfordert dies meist den Kauf neuer Hardware, was mit Anschaffungs- und Administrations­kosten einhergeht.
    • Schlechtes Benutzererlebnis: Anwender benötigen vorab immer einen VPN-Login, der je nach Endgerät unterschiedlich funktioniert.

    Sicherer Remote-Zugriff ohne VPN

    Zscaler Private Access  (ZPA) verfolgt einen vollkommen anderen Ansatz: Anstatt das gesamte Netz zu öffnen, verbindet ZPA authentif­izierte Benutzer direkt mit den für sie freigegebenen Applikationen. Zugriffe auf Anwendungen lassen sich dabei granular über Policies pro App und User zentral steuern, ohne dafür das Netzwerk segmentieren zu müssen.

    Mit Zscaler Private Access (ZPA) greifen Remote User direkt auf für sie freigegebene Anwendungen im Datacenter zu.

    User sehen dadurch nur diejenigen Anwendungen, auf die sie tatsächlich zugreifen dürfen. Die Applikationen werden nicht gegenüber dem Internet exponiert. Dies erhöht die Sicherheit und den Schutz vor DDoS-Attacken.

    ZPA ersetzt das Hardware-basierte VPN-Modell im Rechenzentrum durch eine reine Software-Lösung, deren Verwaltungs­komponente zentral in der Cloud läuft.

    Cloud-basierende Sicherheitsarchitektur

    Die Zscaler-Lösung besteht aus einer Cloud- und zwei lokalen Komponenten:

    • Der Z-Broker ist die von Zscaler gehostete Cloud Policy Engine. Die IT-Abteilung steuert darüber die Zugriffs­berechtigungen von Usern auf ihre Anwendungen.
    • Der ZPA-Client ("Z-App") stellt vom Endgerät des Users die Anfrage für den Zugriff auf eine bestimmte User-App an den Z-Broker. Der Anwender kann sich über SAML per Single-Sign-On mit seinen Unternehmens-Credentials im Client anmelden.
    • Der Z-Connector ist im Datacenter direkt vor der jeweiligen Applikation installiert. Er wird vom Z-Broker kontaktiert und angewiesen, eine sichere Verbindung von der Applikation zum autorisierten User herzustellen. Die Verbindungs­aufnahme geschieht somit ausschließlich von innen nach außen, so dass auf die betreffenden Anwendungen extern nicht zugegriffen werden kann.

    In der Cloud-basierten Admin-Konsole werden Policies pro Applikation und User definiert, um die Zugriffsberechtigungen steuern.

    Sicherheitsvorkehrungen

    Für die Absicherung des Daten­verkehrs generiert ZPA einen dynamischen TLS 1.2-Tunnel mit den von der IT-Abteilung erzeugten, eigenen Zertifikaten. Pro User, App und Session (z.B. ein Browser-Tab) wird dabei ein separater Tunnel verwendet.

    Zscaler als Betreiber der Cloud-Komponente sieht dabei lediglich den Username, die Ziel-URL und den Port, aber nicht die Nutzdaten. Der Username kann zusätzlich tokenisiert werden, um die Vertraulichkeit weiter zu erhöhen.

    Praktische Anwendungsfälle

    ZPA erlaubt IT-Abteilungen, ohne großen administrativen Aufwand den abgesicherten Zugriff auf interne Applikationen zu konfigurieren. Die Besonderheit dabei: Anwendungen können dabei On-Prem oder in der Cloud laufen.

    Auf AWS und Azure erfolgt der Zugriff direkt, mit nativer Anbindung via AWS Direct Connect und Azure ExpressRoute.

    Bei Cloud-Applikationen erfolgt der Zugriff dann direkt über das Internet, ohne den Umweg über das Datacenter. Dies sorgt für eine optimale Nutzung der verfügbaren Bandbreite und schafft ein nahtloses Benutzererlebnis. Dies gilt analog auch für Zugriffe auf eine Niederlassung, die dann ebenfalls nicht mehr durch das Rechen­zentrum geroutet werden müssen.

    Einheitlicher Mechanismus für alle Anwendungen

    Zwar lassen sich Cloud-Anwendungen auch direkt über die Mechanismen der jeweiligen Plattformen absichern, aber hier ist dann mit diversen Nachteilen zu rechnen. So handelt es sich dabei um einen IP-zentrischen Weg, der wenig Flexibilität bietet und für DDoS anfällig ist. Zudem stellt dieser Ansatz eine administrative Insellösung dar, während über ZPA sämtliche Apps, unabhängig davon, wo sie gehostet sind, zentral gesteuert werden.

    Der Zugriff für Nutzergruppen außerhalb der Mitarbeiter­schaft wie Partner und Lieferanten lässt sich mit der Zscaler-Technik elegant einrichten, da nicht das gesamte Netzwerk geöffnet und anschließend aufwändig segmentiert werden muss. Der Administrator legt bloß die betreffenden Logins an und definiert über Policies die Berechtigungen für die freizugebenden Applikationen.

    Auch die Zusammen­legung von Rechenzentren nach Firmen­übernahmen lässt sich durch die Segmentierung von Apps einfach und sehr schnell bewerkstelligen, zudem können IP-Konflikte leicht vermieden werden.

    Ultimativ kann mit ZPA je nach Infrastruktur das etablierte VPN schrittweise zurückgebaut und schließlich ganz abgeschafft werden.

    Technik und Einrichtung

    Da sich der Administrator nur um zwei Software-Komponenten kümmern muss, ist das Setup schnell erledigt. Der Z-Connector wird als VM (auf VMware, AWS oder Azure) installiert, vorzugsweise in der DMZ, mit Zugriff auf die benötigten Applikationen.

    Verbindungen werden nur über Port 443 hergestellt. Für Hochver­fügbarkeit und Bandbreiten­optimierung empfiehlt der Hersteller den Einsatz von mindestens zwei Konnektoren.

    Die Verbindung zwischen Applikation und Anwender-Endgerät wird über einen ZPA-Connector hergestellt.

    Anschließend fügt man den Connector im Admin-Portal von ZPA unter https://admin.private.zscaler.com seiner Konfiguration hinzu.

    Der ZPA-Client kann auf iOS, Android, Windows 7/8/10 und MacOS installiert werden. SSO wird über SAML im Admin-Portal konfiguriert.

    Fazit

    Mit Zscaler Private Access ermöglichen Unternehmen ihren Mitarbeitern und Partnern den Zugriff auf Applikationen von außen, ohne sie ins Netzwerk holen zu müssen. Der ZPA-Service stellt damit eine sichere und kosten­günstige Alternative zu klassischen VPNs dar, mit mehreren Vorteilen gegenüber traditionellen Ansätzen.

    Die zentrale ZPA-Konsole stellt auch Monitoring- und Health-Informationen für die gesamte Umgebung bereit.

    Die Reduzierung der Komplexität birgt Einspar­potentiale, der Entfall von Hardware spart Kosten. Weil interne Firewalls und Sicherheits­mechanismen nicht angepasst werden müssen, vereinfacht sich die Administration erheblich.

    Die Abkoppelung vom Unternehmens­netzwerk erhöht maßgeblich die Sicherheit und die Flexibilität der IT. Die Anwender haben ein deutlich verbessertes Erlebnis durch höhere Performance und nahtlosen Zugang zu ihren Anwendungen.

    ZPA kann über Zscaler-Partner bezogen werden, Preise erhalten Interessenten auf Anfrage. Der Dienst kann über eine kostenlose interaktive Demo getestet werden.

    * Dieser Text ist ein bezahlter Beitrag von Zscaler.