adzicnatasa - stock.adobe.com

Die SASE-Architektur von Zscaler: Top oder Flop?

Zscaler bietet eine starke Cloud-native Architektur für den sicheren Internetzugriff. Aber für eine vollständige SASE-Plattform fehlen entscheidende Elemente, wie SD-WAN-Geräte.

Wer an Secure Remote Access in der Cloud denkt, kommt an Zscaler kaum vorbei. Das 45 Milliarden US-Dollar (circa 41 Milliarden Euro) schwere Unternehmen, das im Bereich Netzwerksicherheit tätig ist, bezeichnet sich selbst als führenden Spezialisten für Zero Trust. Und da Zero Trust ein zentraler Bestandteil von Secure Access Service Edge (SASE) ist, sollte man erwarten, dass Zscaler bei SASE eine gute Figur macht. In Wirklichkeit bietet Zscaler jedoch nur einen Teil dessen, was für eine SASE-Plattform notwendig ist.

SASE kurz zusammengefasst

SASE versteht sich als globaler Cloud-Service, der überall sicheren Zugriff ermöglicht – an Standorten, unterwegs und in der Cloud. Mit SASE können Unternehmen ihre zahlreichen Netzwerk- und Sicherheits-Appliances durch einen einzigen globalen Service ersetzen.

Obwohl Gartner etwa ein Dutzend Sicherheits- und Networking-Funktionen in seiner SASE-Beschreibung aufführt, ist SASE in erster Linie ein Cloud-nativer Service. Die Verarbeitung sollte so weit wie möglich in der Cloud erfolgen und nur das Nötigste am Edge. Unter Edge versteht Gartner SD-WAN-Appliances (Software-defined WAN), die Standorte miteinander verbinden, außerdem Clients – und clientlosen Zugriff – für mobile und IoT-Geräte sowie Cloud-Konnektivität.

Die für SASE erforderlichen Kernfunktionen lassen sich in zwei Komponenten unterteilen:

  1. WAN-Edge-Services
  2. Security-Service-Edge

SD-WAN ist der wichtigste der WAN-Edge-Services. Zu den weiteren Funktionen gehören Routing, Quality of Service (QoS), WAN-Optimierung, SaaS-Beschleunigung und Content Delivery. In der Praxis unterstützen jetzt alle SD-WAN-Geräte Routing und QoS.

Bei den Sicherheitsdiensten identifiziert Gartner vier Services als kritisch: Firewall as a Service, Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) und Zero Trust Network Access (ZTNA). Weitere Funktionen sind Data Loss Prevention (DLP) und Remote Browser Isolation.

Nochmals: Das Innovative an SASE sind nicht neue Funktionen. Die meisten, wenn nicht sogar alle Funktionen einer SASE-Plattform gibt es bereits in irgendeiner Form auf dem Markt. Das Innovative an SASE ist die Bündelung dieser Funktionen – und zwar in einem einzigen, globalen Cloud-Service. Sie lassen sich über nur eine Konsole überwachen und verwalten. Kurz gesagt: Der Wechsel von Appliances und separaten Services zu einer SASE-Cloud ist ebenso revolutionär und vorteilhaft wie der Umstieg von Servern auf Cloud Computing.

Das SASE-Angebot von Zscaler

Zscaler betreibt eine globale, Cloud-native Plattform, die einen vertrauenswürdigen und sicheren Zugriff bietet. Mit der Einführung von SASE hat Zscaler diese Bezeichnung übernommen, um seine Secure Access Suite zu beschreiben.

Zscaler unterhält zwei Dienste:

  1. Zscaler Internet Access (ZIA) für den sicheren Internetzugriff.
  2. Zscaler Private Access (ZPA) für den sicheren Zugriff auf Remote-Standorte.

Der Provider bietet keine SD-WAN-Geräte an, so dass Kunden auf Appliances von Dritten zurückgreifen müssen.

Zscaler Internet Access

Mit ZIA bauen Unternehmen einen Tunnel per Generic Routing Encapsulation (GRE) oder IPsec vom Router eines Standorts zum nächstgelegenen Data Center von Zscaler auf. Mobile Mitarbeiter leiten den Traffic über den Zscaler Client Connector oder eine Proxy-Autokonfigurationsdatei weiter, die auf ihren mobilen Geräten läuft. ZIA prüft unverschlüsselten sowie SSL-Traffic (Secure Sockets Layer) und ermöglicht so eine Cloud Firewall, ein Cloud-basiertes Intrusion Prevention System (IPS), eine Cloud Sandbox, Cloud-DLP, CASB und Cloud Browser Isolation.

Zscaler Private Access

Mit ZPA erhalten Unternehmen Zero-Trust-Zugriff auf private Anwendungen, die in der Public Cloud oder im Data Center laufen. Die Unternehmen fügen die Zscaler-App-Connector-VM dem gleichen Netzwerksegment hinzu wie den Server, auf dem eine Anwendung läuft.

Sobald sich Benutzer mit ZPA verbinden, werden sie authentifiziert. Wenn sie berechtigt sind, weist ZPA den App Connector an, eine Verbindung zwischen der Anwendung und dem ZPA-Nutzer herzustellen. So sind die Anwendungen nie direkt vom Internet aus erreichbar und somit für nicht berechtigte Benutzer unsichtbar. Der Ansatz unterstützt sowohl verwaltete als auch nicht verwaltete Geräte sowie jede private Anwendung, nicht nur Web-Apps.

Zwei separate Produkte und Anwendungsfälle

Zscaler ermöglicht einfaches Firewalling, das als Access Control List (ACL) fungiert. Dies mag für Benutzer und Zweigstellen ausreichend sein, aber für Data Center sind Firewalls von Drittanbietern erforderlich. Die Überprüfungsfunktionen von Zscaler in ZIA sind auf das HTTPS-, FTP- und DNS-Protokoll beschränkt. Die meisten Kunden werden Zscalers Advanced Cloud Firewall verwenden, um den ausgehenden Zugriff zu schützen, was die vorhandene Firewall im Data Center erheblich entlastet.

Denken Sie vor allem daran, dass ZIA und ZPA zwei verschiedene Produkte sind. ZIA wird durch die Bereitstellung von Hardware in großen Data Centern realisiert, während ZPA hauptsächlich bei AWS eingesetzt wird. Der ZPA-Traffic kann nicht an ZIA weitergeleitet werden, während dies in umgekehrter Richtung möglich ist. Die Managementplattformen sind getrennt, ebenso wie die Authentifizierung. Ohne Single Sign-On (SSO) müssen sich die Benutzer doppelt authentifizieren.

Stärken von Zscaler SASE

Zscaler bietet mit ZIA eine umfangreiche Sicherheitsoption, die alle von Gartner als "Must-haves" für SASE definierten Kriterien erfüllt: Next-Generation Firewall (NGFW), SWG, CASB und ZTNA. Darüber hinaus unterstützt ZIA DLP und Sandboxing. ZTNA wird als Teil von ZPA angeboten. Durch Zscaler Digital Experience steht zudem eine starke Anwendungsanalyse zur Verfügung, die es Unternehmen ermöglicht, die Application Experience zu überwachen.

Schwächen von Zscaler SASE

Der Teufel steckt jedoch im Detail, und auf die Details kommt es an, wenn es um SASE geht. Folgend sind einige der Schwächen von Zscaler SASE aufgeführt.

PoPs und geografische Abdeckung

Obwohl Zscaler mit mehr als 150 Points of Presence (PoP) wirbt, ist diese Zahl irreführend. Nicht jeder Service ist von jedem Zscaler-Rechenzentrum aus verfügbar. Ein Kunde wird höchstwahrscheinlich lediglich auf 40 bis 60 Data Center zugreifen können, je nach der Zscaler-Cloud, zu der sie gehören. Außerdem werden für viele Regionen Zuschläge erhoben. Bei der letzten Zählung verfügte die Subcloud Zscaler.net zum Beispiel nur über 58 Data Center an ausgewählten Standorten, die von ZIA-Kunden genutzt werden können.

Performance-Manko plagt Zscaler

ZPA mag wie eine sinnvolle Option für den sicheren Unternehmenszugriff klingen, aber die Performance ist aus mehreren Gründen ein bekanntes Problem. Erstens ist ZPA bei insgesamt 150 Zscaler-PoPs nur an 50 Standorten verfügbar. Infolgedessen erhöht sich die Latenz, da der Nutzer-Traffic zu einem Zscaler-PoP umgeleitet werden muss, bevor er zum Data Center des Unternehmens gelangt. Zweitens sind die PoPs selbst kaum mehr als VMs, die in AWS laufen. Die Performance von Zscaler leidet zusätzlich, da keine Möglichkeit besteht, das Routing zu kontrollieren oder die Ressourcen entsprechend den Kapazitätsanforderungen zu skalieren.

Zudem sind die Data Center von Zscaler nicht über einen globalen Backbone, sondern per Internet miteinander verbunden. Für weltweit agierende Unternehmen bedeutet dies, dass der WAN-Traffic weiterhin vom unberechenbaren und in seiner Performance stark schwankenden globalen Internet abhängig ist. Der gesamte Datenverkehr – auch der zur Verwaltung des Dienstes genutzte Traffic – wird über das öffentliche Internet geroutet. Ein privater Backbone und WAN-Optimierung können zwar einen erheblichen Unterschied in der Performance ausmachen, aber keine dieser Technologien ist bei Zscaler verfügbar.

Zu oft habe ich von Fällen gehört, in denen Zscaler die Netzwerke seiner Kunden nicht richtig skaliert oder verwaltet. Die PoPs sind häufig nicht in der Lage, das Traffic-Aufkommen zu bewältigen, was Zscaler auf das Internet schieben kann. Der Anbieter fordert seine Kunden auf, betroffene Standorte manuell auf ein anderes Data Center umzustellen, während er den Fall untersucht. (Probleme mit Serviceausfällen bei Zscaler finden Sie unter trust.zscaler.com.) Alles in allem leidet die ZPA-Performance erheblich und ist oft schlechter als bei herkömmlichen VPN-Produkten.

Komplexe Bedienung und Einrichtung

SASE soll Networking und Sicherheit vereinfachen, aber Unternehmen stehen mit Zscaler weiterhin vor komplexen Herausforderungen. Bei der Bereitstellung kann von Zero Touch kaum die Rede sein. Kunden müssen die Zscaler-App-Connector-VM im gleichen Netzwerksegment installieren wie den Server, auf dem die Anwendungen laufen, auf die remote zugegriffen wird. Darüber hinaus müssen Kunden den Client Connector auf jedem Client einrichten, der sich mit ZPA oder ZIA verbindet und Zugriff auf diese Anwendungen benötigt. Außerdem müssen sie SD-WAN-Geräte und Data Center Firewalls von Drittanbietern separat bereitstellen.

Für das Backend braucht die IT mehrere VMs. Die IT-Teams benötigen möglicherweise die Zscaler Authentication Bridge, um Active-Directory-Benutzer zu importieren. Der Nanolog Streaming Service und der Log Streaming Service, der in die ZPA-Connector-VM integriert ist, sind für den Export von Protokollen in das Security Information and Event Management von Drittanbietern für ZPA beziehungsweise ZIA erforderlich. Alle diese Dienste sowie die Appliances von Drittanbietern müssen aus Gründen der Hochverfügbarkeit dupliziert werden.

Ein wesentlicher Bestandteil von SASE ist die Darstellung und Verwaltung des gesamten Netzwerks über eine einzige Konsole. Bei Zscaler ist das ein Problem. Zscaler verfügt über drei separate Konsolen für das Management von ZIA, ZPA und dem Zscaler Client Connector. Zusätzlich zu diesen drei Zscaler-Konsolen benötigen Kunden eine weitere, um SD-WAN-Geräte von Drittanbietern an jedem Standort mit der Zscaler-Cloud zu verbinden.

Uneinheitliche Sicherheit

ZIA enthält eine Vielzahl von Sicherheitsfunktionen, aber es fehlt eine vollwertige Firewall zur Überprüfung von Protokollen, die in Unternehmen üblich sind, zum Beispiel Server Message Block 3.0 (SMB). Zscaler kann seinen Kunden auch keine dedizierten IP-Adressen zur Verfügung stellen. Die einzigen Optionen sind das Backhauling des Traffics durch den ZPA-Service an einen Data-Center-Standort oder Proxy Chaining.

Zusammenfassend lässt sich sagen, dass Zscaler einzelne Teile einer SASE-Plattform bereitstellt, aber keine fertige Lösung.

Da alle Kunden Egress-IPs gemeinsam nutzen, ist es bei Zscaler zu Problemen mit Websites gekommen, die IPs sperren, was zu Schwierigkeiten für Kunden führt. Dieses Problem kann auch die Verwendung von SIPA-Richtlinien (Source IP Anchoring) für die Authentifizierung wirkungslos machen. Die Malware-Erkennung von Zscaler per Advanced Threat Protection schützt vor allen gängigen Bedrohungen.

Was ZPA betrifft, so bietet es einen sicheren Zugang – mehr aber nicht. Es unterstützt weder Content Inspection, wodurch die Server anfällig für Malware sind, die sich per Lateral Movement von infizierten Endpunkten aus im WAN ausbreitet, noch Data Leakage Protection. Aktuell bietet ZPA nur Schutz vor den vom Open Web Application Security Project (OWASP) gelisteten zehn kritischsten Sicherheitsrisiken, und zwar ausschließlich für HTTPS. Alles andere, was über ZPA ins Data Center gelangt, wird nicht geprüft.

Zscaler: Nur eine halbe SASE-Plattform

Zusammenfassend lässt sich sagen, dass Zscaler einzelne Teile einer SASE-Plattform bereitstellt, aber keine fertige Lösung. In puncto Sicherheit bietet ZIA eine starke Option für den Internetzugriff, prüft aber keine anderen Protokolle. Ebenso wenig untersucht ZPA den Ost-West-Traffic. ZPA basiert auf dem Zscaler Client Connector und ermöglicht Zero Trust. Für einzelne Nutzer bietet ZPA jedoch derzeit keine Site-to-Site-Funktionalität, obwohl ein clientloser Zugriff verfügbar ist. SD-WAN-Geräte werden, wie erwähnt, überhaupt nicht angeboten.

Infolgedessen müssen sich Unternehmen mit einem Sammelsurium von Diensten begnügen, um ihre Sicherheits- und Networking-Anforderungen zu erfüllen. Genau diesen Flickenteppich soll SASE eigentlich beseitigen. Zscaler ist dafür zu loben, dass es mit einer Cloud-nativen Architektur eine Vorreiterrolle übernimmt. Damit Zscaler als ernstzunehmende SASE-Plattform in Betracht gezogen werden kann, ist jedoch noch viel mehr Entwicklung oder die Integration in eine SD-WAN-Plattform erforderlich.

Erfahren Sie mehr über Netzwerkhardware