Zscaler Blog

Viele Organisationen haben im Laufe der vergangenen dreißig Jahre komplexe Wide Area Networks mit sogenannten Hub-and-Spoke- bzw. Nabenarchitekturen aufgebaut und sukzessive optimiert, um User und Zweigstellen über private Netzwerke mit Anwendungen im Rechenzentrum zu verbinden. Der Zugriff auf Anwendungen war nur für User möglich, die sich innerhalb dieses vertrauenswürdigen Netzwerks befanden. Zum Schutz dieser Hub-and-Spoke-Netzwerke kamen Security-Stacks aus VPNs, Firewalls und anderen Appliances zum Einsatz. Diese Art von Sicherheitsarchitektur funktioniert nach dem Prinzip einer mittelalterlichen Festung mit Burggraben. Dieser Ansatz hatte seine Berechtigung, solange Anwendungen primär im unternehmenseigenen Rechenzentrum installiert waren.

Inzwischen greifen User von wechselnden Remote-Standorten aus auf IT-Ressourcen zu, und auch die Daten und Anwendungen der Organisation befinden sich nicht mehr ausschließlich im Rechenzentrum. Eine zügige und produktive Zusammenarbeit setzt voraus, dass User jederzeit von überall Direktzugriff auf Unternehmensanwendungen erhalten. Somit ist es nicht mehr sinnvoll, den Traffic zu Cloud-basierten Anwendungen im Backhauling-Verfahren über das Rechenzentrum umzuleiten. Deswegen steigen Organisationen zunehmend von herkömmlichen Netzwerkarchitekturen auf ein Modell um, das Direktverbindungen in die Cloud ermöglicht, wobei das Internet als neues Unternehmensnetzwerk fungiert.

Perimeterbasierte Sicherheit ist keine Lösung für heutige Unternehmen

Herkömmliche Hub-and-Spoke-Netzwerke weisen eine „flache“ Architektur auf, d. h. alle User, Anwendungen und Geräte werden zusammen auf einer Ebene platziert. Dadurch können User zwar problemlos auf Anwendungen zugreifen – ebenso mühelos verbreiten sich jedoch auch Infektionen im Netzwerk. Ein einziger infizierter Rechner im Homeoffice eines Users oder eine einzige infizierte Workload in einer öffentlichen Cloud kann sämtliche Anwendungen lahmlegen und Ihren Geschäftsbetrieb damit empfindlich stören.

Wie lässt sich jedoch an allen Standorten ein einheitliches Schutzniveau gewährleisten? Man kann zwar Hardware bereitstellen oder virtuelle Firewalls einrichten und sich der Illusion hingeben, gut geschützt zu sein. In Wirklichkeit vergrößern Sie dadurch aber nur die Angriffsfläche Ihrer Organisation. Jede im Internet exponierte Firewall – ob im Rechenzentrum, in der Cloud oder in Zweigstellen – kann von Bedrohungsakteuren erkannt, angegriffen und ausgenutzt werden. Solange Organisationen sich zur Gewährleistung von Cybersicherheit auf VPNs und Firewalls verlassen, sind Sicherheitsverletzungen unvermeidlich.

Zero-Trust-Architektur als bessere Alternative

Das Zero-Trust-Konzept geht von der Annahme aus, dass jede Ressource bzw. Entität im Netzwerk eine potenzielle Bedrohung darstellt. Demgemäß werden Zugriffsanforderungen auf Anwendungen erst genehmigt, nachdem Identität, Gerätestatus und Kontext verifiziert und entsprechende Richtlinienkontrollen durchgesetzt wurden. Da bei diesem Modell der gesamte Traffic protokolliert und überprüft wird, erfordert es ein Maß an Transparenz, das herkömmliche Sicherheitskontrollen nicht leisten können. Die Vision sicherer hybrider Arbeitskonzepte kann erst Wirklichkeit werden, wenn Organisationen sich von herkömmlichen perimeterbasierten Sicherheitsarchitekturen verabschieden und stattdessen auf eine Zero-Trust-Architektur umsteigen, die Usern standortunabhängig jederzeit schnellen und sicheren Direktzugriff auf die benötigten Anwendungen ermöglicht.

Zscaler Zero Trust Exchange: die One True Zero-Trust-Plattform

Zscaler hat sich als Pionier auf dem Gebiet der Zero-Trust-Sicherheit etabliert. Zur Unterstützung sicherer digitaler Unternehmenstransformationen hat Zscaler die Zero Trust Exchange als integrierte Cloud-native Cybersicherheitsplattform entwickelt, die auf dem Prinzip der minimalen Rechtevergabe sowie der Prämisse beruht, dass User, Workloads oder Geräte nie automatisch als vertrauenswürdig eingestuft werden dürfen. Die Plattform gewährt Zugriff auf Unternehmensressourcen anhand von Identitäts- und Kontextdaten wie Gerätetyp, Standort, angeforderte Anwendung und Inhalte. Nach erfolgreicher Authentifizierung vermittelt sie sichere Direktverbindungen zwischen einzelnen Anwendungen und Usern, Workloads oder Geräten unabhängig vom jeweiligen Netzwerk und Standort. Die Proxy-Architektur der Plattform beendet alle Verbindungen in Echtzeit und überprüft den gesamten – verschlüsselten und unverschlüsselten – Traffic, um die Angriffsfläche zu minimieren und die laterale Ausbreitung von Bedrohungen sowie Datenverluste zu verhindern.

Jede Kommunikation, die über die Zero Trust Exchange geleitet wird, muss eine Reihe von Kontrollen durchlaufen, bevor eine Verbindung hergestellt wird:

1. Verifizierung – Authentifizierung von Identität und Kontext. Jede Verbindung, die ein User, eine Workload oder ein Gerät anfordert, wird zunächst von der Zero Trust Exchange beendet, damit Fragen nach dem „Wer“ (Identität), „Was“ (Kontext) und „Wohin“ (Verbindungsziel) eindeutig geklärt werden können.
2. Kontrolle – Überprüfung von Inhalten und Zugriffsrisiken. Im nächsten Schritt bewertet die Zero Trust Exchange die mit der Anforderung verbundenen Risiken und überprüft den Traffic auf Cyberbedrohungen und vertrauliche Daten.
3. Durchsetzen von Richtlinien. Anhand der Ergebnisse der bisherigen Schritte setzt die Zero Trust Exchange Richtlinien sitzungsbasiert durch und trifft eine bedingte Entscheidung über die Genehmigung oder Blockierung der angeforderten Verbindung.

Die Zero Trust Exchange wird als weltweit größte Inline-Security-Cloud in über 150 Rechenzentren bereitgestellt und verarbeitet täglich Hunderte Milliarden Transaktionen. Sie ist auf Skalierbarkeit ausgelegt und bietet mit ihrem ganzheitlichen Funktionsumfang in einer einzigen Plattform eine effektivere Alternative zum Einsatz disparater Einzelprodukte:

1) Schutz vor Cyberbedrohungen: Anwendungen werden von der Zero Trust Exchange abgeschirmt, sodass sie im Internet nicht sichtbar und dadurch vor Angriffen geschützt sind. Als weitere Sicherheitsmaßnahme wird der gesamte Traffic auf Cyberbedrohungen untersucht.

2) Datenschutz: Durch Inline-Überprüfung und Out-of-Band-Schutz für SaaS, IaaS und PaaS sowie E-Mail und Endgeräte bietet die Zero Trust Exchange einen ganzheitlichen Ansatz zur Vermeidung von Datenverlusten.

3) Zero-Trust-Konnektivität: Die Zero Trust Exchange verbindet User und Geräte niemals mit dem Netzwerk, sondern nur mit Anwendungen. Dadurch wird verhindert, dass Bedrohungen sich lateral verbreiten und andere Geräte oder Anwendungen infizieren können. Die Notwendigkeit einer aufwändigen Netzwerksegmentierung entfällt. 

4) Digital Experience Management: Die KI-gestützte Engine von Zscaler gewährleistet eine lückenlose Überwachung der User Experience, sodass die Ursachen von Problemen präzise lokalisiert und von der IT proaktiv behoben werden können.  

Mit der Zero Trust Exchange kann Ihre Organisation eine nahtlose, sichere und kostengünstige Zero-Trust-Architektur aufbauen. Die speziell entwickelte, branchenweit einzigartige Plattform von Zscaler hält, was das Zero-Trust-Konzept verspricht:

• Minimierung der im Internet exponierten Angriffsfläche und der lateralen Ausbreitung von Bedrohungen: User werden nicht mit dem Netzwerk, sondern direkt mit Anwendungen verbunden. 
• Optimierte User Experience: Die Zero Trust Exchange eliminiert Latenzen und Effizienzverluste durch intelligente Verwaltung und Optimierung von Direktverbindungen zu Zielen in sämtlichen Cloud- und Internet-Umgebungen ohne Backhauling des Traffics.
• Nahtlose Integration mit Cloud-, Identitäts-, Endpoint-Protection- und SecOps-Lösungen führender Anbieter.
• Weniger Kosten und Komplexität: Die Zero Trust Exchange überzeugt durch einfache Bereitstellung und Verwaltung ohne Einrichtung von VPNs oder komplexe Firewall-Richtlinien zum Schutz des Netzwerkperimeters.
• Skalierbare Sicherheit: Die Zero Trust Exchange wird als weltweit größte Security Cloud in über 150 Rechenzentren bereitgestellt und verarbeitet täglich über 250 Milliarden Transaktionen.

Informationen zur One True Zero Platform und den Angeboten von Zscaler zur Unterstützung Ihrer Zero-Trust-Strategie finden Sie unter www.zscaler.de.