Wie lässt sich der Zugriff
auf Anwendungen in Azure sichern?
Der zeitgemäße Ansatz für sicheren Remote-Access
Netzwerkzentrierte Sicherheit macht den Wechsel zu Azure aufwändig
Inzwischen führen 40 Prozent der Unternehmen Applikationen in Azure aus, um von Vorteilen im Hinblick auf die Skalierbarkeit und Geschwindigkeit zu profitieren. Dadurch hat sich der Sicherheits-Perimeter ins Internet verschoben. Dennoch verwenden viele Unternehmen nach wie vor Remote Access-VPNs, die netzwerkzentriert sind und nicht für sicheren Zugriff auf das Internet entwickelt wurden. User erhalten damit Zugang zum gesamten Netzwerk, und die erforderlichen physischen oder virtuellen Appliances erhöhen die Komplexität und schränken die Skalierbarkeit ein.
Übliche Probleme bei netzwerkzentrierten Ansätzen:
- Öffnet User für den Zugriff auf Azure das gesamte Netzwerk
- Erfordert Appliances, ACLs und Firewall-Policies
- Mangelhafte Nutzererfahrung
- Eröffnet Gelegenheiten für DDoS-Angriffe
- Kann keine echte Anwendungssegmentierung durchführen
- Kaum Visibilität in die Aktivitäten von Applikationen


Zscaler Private Access für Azure
Benutzer- und Applikations-zentrierte Sicherheit für Azure
Zscaler Private Access (ZPA) für Azure ist ein Cloud-Service von Zscaler, der sicheren Remote-Access auf interne Applikationen ermöglicht, die über Azure bereitgestellt werden. Mit ZPA werden Anwendungen niemals im Internet exponiert und sind daher für unbefugte User vollkommen unsichtbar. Mit dem Service werden Anwendungen „von innen nach außen" direkt mit Benutzern verbunden, ohne das Netzwerk für sie zu öffnen. So haben User niemals Zugang zum Netzwerk. Es wird ein Software Defined Perimeter für Azure erstellt, der jedes Gerät und jede interne Anwendung unterstützt.
Vorteile von Zscaler Private Access für Azure
Transformation mit Zscaler.
Bessere Nutzererfahrung für externe Mitarbeiter
User haben schnellen und direkten Cloud-Zugriff, ohne sich jedes Mal beim VPN-Client anmelden zu müssen.
Weniger Komplexität für Administratoren
Netzwerkadministratoren können über das Web-UI nach Anwendung segmentieren. Eine Netzwerksegmentierung ist nicht notwendig. IP-Adress-Segmentierung oder Zugangskontrolllisten sind nicht erforderlich.
Sicherer Remote Access ohne Netzwerkzugang
Richtlinienbasierter Zugriff ohne Netzwerkzugang. Transparenter Einblick in die von Usern genutzten Applikationen und Erkennung nicht genehmigter Anwendungen in Azure.
Traffic über das Internet bleibt privat
Durch dynamische, anwendungsspezifische End-to-End-Verschlüsselung mit TLS in der unternehmenseigenen PKI bleiben alle Daten zuverlässig geschützt.
Keine Hardware-Appliances, geringere Kosten
Der Cloud-Service kommt ohne Hardware aus. Unternehmen können problemlos über mehrere Rechenzentren von Azure und Zscaler hinweg skalieren, ohne Gateways replizieren zu müssen.
Skaliert elastisch, reduziert Latenz
Der Service nutzt das globale Azure-Netzwerk, um neue User hinzuzufügen und sie über das Internet an den nächstgelegenen Applikations-Standort zu leiten.
Einfacher und sicherer Remote Access auf interne Apps in Azure
Zscaler Private Access verfolgt einen auf User und Anwendungen konzentrierten Ansatz für die Netzwerksicherheit. Dadurch wird sichergestellt, dass nur befugte User und Geräte Zugang zu bestimmten internen Anwendungen auf Azure haben. Statt auf physische oder virtuelle Appliances zu setzen, verwendet ZPA eine schlanke, Infrastruktur-agnostische Software, um Benutzer und Anwendungen mit der Zscaler Security Cloud zu verbinden, wo die vermittelte Verbindung verknüpft wird. ZPA kann ergänzend zu Azure ExpressRoute eingesetzt werden.

1. ZPA Public Service Edge
- Gehostet in der Cloud
- Verwendet für Authentifizierung
- Von Administratoren anpassbar
- Vermittelt eine sichere Verbindung zwischen Client Connector und App Connector
2. Zscaler Client Connector (ehemals Zscaler App/Z App)
- Auf Geräten installierter Mobile Client
- fordert den Zugriff auf eine Applikation an
3. App Connector
- Wird vor Applikationen in Rechenzentren, Azure, AWS und anderen öffentlichen Cloud-Services geschaltet
- Stellt ausgehende TLS 1.2-Verbindungen zum Broker her
- Macht Applikationen unsichtbar, um DDos-Angriffe zu verhindern
Von der Leistungsfähigkeit des Azure-Netzwerks profitieren
Zscaler Private Access für Azure, eine ZPA Public Service Edge, verknüpft Remote-Benutzer mit einer internen Anwendung , die in der Azure Cloud ausgeführt wird. So können Administratoren das Azure-Netzwerk und seine zahlreichen Rechenzentren nutzen. Durch Minimierung von Zwischenschritten wird die Latenz reduziert und die Produktivität der User gesteigert.


Anwendungssegmentierung schlägt Netzwerksegmentierung
Früher mussten Administratoren Netzwerke segmentieren, um sichere Userverbindungen zu gewährleisten. Heute lässt sich mit ZPA steuern, welche User auf welche Apps zugreifen. Admins können problemlos auf Anwendungsebene granulare Richtlinien für spezifische User, Usergruppen, Anwendungen, Anwendungsgruppen und die zugehörigen Subdomains festlegen.

1. Erstellen und Benennen von Richtlinien.
2. Festlegen unterschiedlicher Berechtigungsstufen für User und User-Gruppen
3. Zuordnen der jeweiligen Anwendungen zu den einzelnen Richtlinien
4. Einfaches Hinzufügen neuer Regeln und Richtlinien für User und Anwendungen über die UI
Integrierte Funktionen beschleunigen den Zugang zu Azure
Zscaler hat Integrationen u. a. für Azure AD entwickelt. Mit ZPA können Administratoren Zugriffsrichtlinien für User-Gruppen anhand von vorhandenen Konfigurationen festlegen. Außerdem ist der App Connector im Azure Marketplace erhältlich. Der App Connector funktioniert als Front-End für Applikationen auf Azure und vermittelt eine ausgehende Verbindung zur Zscaler Security Cloud, wo befugte User mit Anwendungen verknüpft werden.

