So senken Sie IT-Kosten mit Zscaler, Teil 2: Optimierung der Technologiekosten

Wirtschaftliche Überlegungen und kosteneffiziente Sicherheit haben in Unternehmen seit jeher Priorität. Doch in Zeiten finanzieller Ungewissheit müssen IT-Verantwortliche Budgets kürzen, Kosten senken und jeden Cent dreimal umdrehen – und währenddessen zudem raffinierte Cyberbedrohungen abwehren. Der Druck auf die IT steigt und steigt. Im ersten Blogbeitrag dieser Reihe ging es um die finanziellen Herausforderungen der IT und darum, wie Organisationen diese weltweit bewältigen. Dabei haben wir die steigenden Kosten von Sicherheitsverstößen analysiert, die vor allem durch perimeterbasierte Architekturen begünstigt werden. In unserem neuen Blogbeitrag möchten wir besprechen, wie Organisationen ihre Technologiekosten optimieren können. Wir gehen auch darauf ein, warum perimeterbasierte Sicherheitsansätze die Infrastrukturkosten in die Höhe treiben und in heutigen Cloud- sowie hybriden Umgebungen aus finanzieller Sicht keinen Sinn mehr ergeben.  

Die Nachteile von Hub-and-Spoke-Architekturen und Sicherheit nach dem Festung-mit-Burggraben-Prinzip

Hub-and-Spoke-Architekturen wurden konzipiert, um Traffic an Rechenzentren zu leiten und User, Geräte sowie Workloads mit dem Netzwerk zu verbinden, damit sie auf die benötigten Anwendungen und Ressourcen zugreifen können. Dieser Ansatz hatte seine Berechtigung, solange Anwendungen im unternehmenseigenen Rechenzentrum installiert waren und User im Büro arbeiteten. Da diese jedoch zunehmend standortunabhängig tätig sind und Anwendungen in die Cloud migriert werden, müssen Sie das Netzwerk kontinuierlich erweitern, um private Verbindungen zu jeder Anwendung, jeder Zweigstelle, jedem User und jedem Gerät an jedem Ort bereitzustellen. Dieses verflochtene Netzwerk wird durch Sicherheitsarchitekturen nach dem Festung-mit-Burggraben-Prinzip geschützt, wodurch sich verschiedene Optionen zur Absicherung ergeben, die nicht nur kostspielig, sondern auch für moderne Organisationen ungeeignet sind.

Überall hardwarebasierte Sicherheitsappliances

Die erste Option ist die Bereitstellung von Sicherheitsappliances in Form von Einzelprodukten – einschließlich Firewalls, virtueller privater Netzwerke (VPNs), Eindringschutzsystemen und Sandboxes – in jedem Büro und an jedem Remote-Standort. Die Investitionskosten für den Kauf und die Bereitstellung von hardwarebasierten Security-Stacks wären untragbar (ganz zu schweigen von der kostspieligen und komplexen Verwaltung). Außerdem lassen sich mit diesem Ansatz User im Homeoffice und mobile Mitarbeiter nicht schützen. 

Kleiner + billiger ≠ besser

Nur wenige Organisationen können es sich leisten, den Security-Stack des Gateways in der Unternehmenszentrale an allen Standorten zu replizieren, da die Kosten für den Kauf, die Konfiguration, die Verwaltung und die Wartung einer solch komplexen Bereitstellung zu hoch sind. Stattdessen gehen Organisationen oft einen Kompromiss ein, indem sie kleinere, weniger teure Firewalls und Sicherheitsappliances in Zweigstellen und an Remote-Standorten bereitstellen. Dadurch kann zwar ein Teil der hohen Anschaffungskosten eingespart werden, aber der Verwaltungsaufwand bleibt identisch. Und was noch wichtiger ist: Unternehmen sind durch diese Vorgehensweise angreifbar, denn diese kleineren, günstigeren Geräte sind auch weniger effektiv, da sie nur eingeschränkte Sicherheitskontrollen bieten. Folglich sind auch Ihre Büros und Remote-User angreifbar – Ihre Sicherheitsmaßnahmen sind nur so stark wie das schwächste Glied in der Kette. Organisationen können sich ein solches Risiko einfach nicht leisten.

Backhauling, Bumerang, Tromboning oder Hairpinning – das Ergebnis ist dasselbe

Eine weitere Möglichkeit besteht darin, den Traffic über Multiprotocol Label Switching (MPLS) oder VPNs zunächst per Backhauling zum Rechenzentrum und daraufhin durch umfangreiche, zentralisierte hardwarebasierte Security-Stacks zu leiten, was ebenfalls mit enormen Investitionskosten verbunden ist. Dieser Ansatz stellt Unternehmen jedoch auch vor die Herausforderung, die Ausgaben für MPLS und Bandbreite im Zaum zu halten. Wenn man den Traffic per Backhauling zum Rechenzentrum leitet, bevor er schließlich an Cloud- oder SaaS-Anwendungen gesendet wird, entsteht ein Hairpinning-Effekt. Im Grunde genommen zahlen Sie für Ihren Internet-, SaaS- und Cloud-Traffic doppelt – einmal für die Übertragung des Traffics über eine kostspielige private Verbindung vom Büro oder dem Remote-User zum Rechenzentrum und ein weiteres Mal dafür, dass er über das Web zur angeforderten Ressource gelangt – nur um dann über dieselbe Route zurückgeleitet zu werden. Darüber hinaus verschlechtert sich die User Experience aufgrund von Traffic-Engpässen und Latenzen, wenn User dezentral arbeiten und die Organisation wächst oder in neue Regionen expandiert. Die Kosten steigen dann exponentiell an (dazu mehr in einem späteren Blogbeitrag).

Abbildung 1: Infrastruktur perimeterbasierter Architekturen

Die Unvorhersehbarkeit der Kapazitätsplanung

Jeder der oben genannten Ansätze stellt CIOs und CISOs vor die mühsame Aufgabe, die Kapazität planen zu müssen – ein wahrer Drahtseilakt. Legacy-Lösungen, selbst virtuelle Appliances, lassen sich nicht im selben Maße skalieren wie die Cloud. Daher müssen das Traffic-Volumen und der Bedarf des Unternehmens über den Lebenszyklus der Appliance hinweg kalkuliert werden. 

Bei der Kapazitätsplanung müssen viele Faktoren berücksichtigt werden, darunter die Anzahl der User, Geräte, Plattformen, Betriebssysteme, Standorte und Anwendungen sowie der Bandbreitenverbrauch, die Edge- und WAN-Infrastruktur, Traffic-Muster in verschiedenen Zeitzonen und vieles mehr. Und das gilt nur für den unmittelbaren Betrieb. Bei der Planung muss auch das jährliche Wachstum des Cloud-Traffics berücksichtigt werden, und zwar mindestens für einen Zeitraum von drei Jahren. Schließlich müssen Sie auch Prognosen für plötzliche, ungeplante Bandbreitenspitzen erstellen, die die Anwendererfahrung beeinträchtigen sowie User und Kunden gleichermaßen frustrieren.

Werden die Kapazitätsanforderungen unterschätzt, führt dies zu einer schlechten Performance und einer mangelhaften User Experience, wodurch Unternehmen ihre Geschäftsziele nicht mehr erreichen können. Eine Überschätzung hingegen führt zu unnötig hohen Kosten und ungenutzter Hardware. In beiden Fällen werden also Ressourcen verschwendet.

Eine bessere Alternative

Da Firewalls, VPNs und andere veraltete Sicherheitskonzepte im Hinblick auf Skalierbarkeit, Leistungsumfang und Sicherheit nicht für die Anforderungen heutiger Unternehmen konzipiert wurden, handelt es sich bei den vorgestellten Optionen bestenfalls um teure Behelfslösungen. Im Gegensatz zu den kostspieligen Hardware-Aktualisierungen und hohen Infrastrukturkosten von perimeterbasierten Architekturen können Organisationen mithilfe einer Zero-Trust-Architektur ihre Kosten senken und einen höheren wirtschaftlichen Nutzen erzielen. Eine ESG-Studie zum wirtschaftlichen Nutzen der Zscaler Zero Trust Exchange ergab, dass Organisationen mit dieser Lösung ihre MPLS-Ausgaben um 50 % reduzieren und bis zu 90 % ihrer Appliances abschaffen können, was zu einem ROI von 139 % beiträgt.

Die Zscaler Zero Trust Exchange ist eine integrierte Serviceplattform, die User, Geräte, Workloads und Anwendungen sicher miteinander verbindet. Sie bietet schnelle, sichere und direkte Anwendungskonnektivität – Traffic-Backhauling ist also nicht mehr erforderlich und die Kosten für MPLS werden deutlich reduziert. Mithilfe dieser cloudbasierten Plattform können Organisationen Hardware für Einzelprodukte konsolidieren und müssen nicht länger in Firewalls, VPNs oder VDI investieren. 

Abbildung 2: Die Zscaler Zero Trust Exchange

Dank der cloudbasierten Architektur der Zero Trust Exchange, die sich nahtlos an die Kundennachfrage anpasst, müssen Sie sich auch nicht länger mit Kapazitätsplanung und Reservekapazität befassen. Somit steht Ihnen mehr Kapital für relevantere Investitionen zur Verfügung. 

Die nächsten Schritte

Wenn Sie herausfinden möchten, wie Sie die finanziellen Belastungen einer kostspieligen Architektur mithilfe eines echten Zero-Trust-Ansatzes hinter sich lassen können, laden Sie unser Whitepaper Erstklassige Sicherheit mit messbarem wirtschaftlichem Nutzen – One True Zero: die Vorteile der einzigen echten Zero-Trust-Plattform herunter.

Alternativ erfahren Sie in unserem E-Book Effektive Kostensenkung mit der One True Zero-Trust-Plattform anhand verschiedener Fallstudien, wie Organisationen die Kosten und Komplexität ihrer IT mit der Zero Trust Exchange deutlich reduzieren konnten. 

Klicken Sie hier, um Teil 3 dieser Blogreihe zu lesen, in der aufgezeigt wird, wie Zscaler durch die Verbesserung der betrieblichen Effizienz einen wirtschaftlichen Mehrwert schafft.