PRODUKTE > ZSCALER ÜBERSICHT

Für die Cloud entwickelt zum Schutz der Cloud

Die multimandantenfähige Cloud-Architektur von Zscaler wurde von Grund auf hinsichtlich der Anforderung an elastische Skalierbarkeit, Sicherheit und Datenschutz entwickelt.

Mehr in der Unternehmensbroschüre >

Die Vision des Gründers

Im Jahr 2008 hatten mehrere erfahrene IT- Experten, darunter auch CEO Jay Chaudry, die Idee, das Thema Netzwerksicherheit gemeinsam auf eine neue Ebene zu bringen. Zscaler entstand auf Basis verschiedener grundlegender Beobachtungen. Am entscheidensten war die Tatsache, dass sowohl geschäftliche als auch private Anwendungen allmählich in die Cloud verlagert werden. Aus Web 2.0 entstanden Internet-basierte Apps und die zunehmende Mobilität führte dazu, dass Anwender von überall arbeiten konnten. Aus diesen Beobachtungen entstanden verschiedene Komponenten einer Next Generation Sicherheitsarchitektur, einschließlich:

  • Perimeter-basierende Appliances können dann keinen echten Schutz mehr bieten, wenn sich sowohl die Anwender als auch die zu schützenden Apps nicht mehr innerhalb dieses Perimeters befinden.
  • Selbst führende Point-Produkte sind nicht für eine ganzheitliche Kommunikation mit ähnlichen Lösungen ausgelegt, da in der IT häufig nur isolierte Ansichten und selten das Gesamtbild betrachtet werden.
  • Da die Mehrzahl aktiver Bedrohungen im Internet ihren Ursprung hat, muss effektiver Schutz im Idealfall zwischen den Anwendern und dem Internet, also in der Cloud, angesiedelt sein.
  • Bedrohungen verändern sich fortlaufend, so dass sich Unternehmen nicht mehr alleine auf Signaturen verlassen können, um Zero-Day Exploits wirksam zu bekämpfen, bevor sie in das das Netzwerk eindringen.

Kontaktieren Sie uns >


Zscaler vision of cloud-delivered internet security

Architektur—fünf Technologien, die den Markt revolutionieren

ByteScanTM

  • Extrem schnelles Scannen
  • Erkennen von schädlichen Inhalten, Datenlecks, klassifizieren von URLs

Page Risk Index

  • Dynamische Echtzeitanalyse des Contents
  • Deutliche Erhöhung der Sicherheit

NanologTM

  • 50:1 Reduzierung der Logs
  • Echtzeit-Konsolidierung
  • Drilldown über verschiedene Ebenen

10 GBit/s Plattform—Latenz im Mikrosekundenbereich

64-bit Architektur, Next Gen TCP Stack, Treiber, SSMA
(Single Scan Multi Action)

Verteiltes Netzwerk, multimandantenfähige Architektur


Die Antwort war eine Cloud-basierte, Firewall Proxy Architektur, mit der man den Internet-Verkehr über sämtliche Ports und Protokolle hinweg untersuchen kann, einschließlich des wachsenden Segments der SSL-Verschlüsselung. Die dabei eingesetzten Richtlinien müssen sich unabhängig von ihrem Aufenthaltsort und dem gerade eingesetzten Endgerät immer nach dem Anwender richten. Die Sicherheitsfunktionen müssen zusammenarbeiten und dabei die Ergebnisse unterschiedlicher Ansätze kombinieren, um so eine ganzheitliche Perspektive bieten zu können. Die Plattform muss Bedrohungen unabhängig von den Ergebnissen der Signaturprüfungen erkennen und dann entsprechende Informationen über diese Bedrohungen in Echtzeit über die Cloud verbreiten können. Einblick muss auf Anforderung verfügbar sein, und zwar mit nur wenigen Klicks von einer Übersichtsdarstellung bis hin zur Anwender-/Geräteebene.

Diese Vision führte zur Entwicklung von fast 50 neuen, patentierten Technologien, einschließlich:

  • Verteilte, multimandantenfähige Architektur, komplett neu entwickelt für hohe Skalierbarkeit bei gleichzeitig hoher Sicherheit und Datenschutz.
  • 10 GBit/s Plattform, auf Basis von TCP Stack und Treibern der nächsten Generation sowie einer revolutionären Single Scan Multiple Action Technologie, mit deren Hilfe jedes einzelne Byte durch den Service untersucht werden kann.
  • ByteScan ermöglicht das ultraschnelle Untersuchen von Inhalten sowie das Erkennen von schädlichen Websites, Inhalten und Datenverlusten und vermeidet damit die Abhängigkeit von Signaturen.
  • Page Risk Index bietet dynamisch berechnete Daten auf Basis von Echtzeit-Onlineaktivitäten, anstatt sich ausschließlich auf Reputation zu verlassen.
  • Nanolog verschlüsselt und verdichtet Internet-Logs im Verhältnis 50:1 und ermöglicht damit vollständige Sichtbarkeit und Drilldown innerhalb von Sekunden.
Zscaler multi-tenant cloud security architecture

Die Funktionsweise von Zscaler

Die Architektur von Zscaler wurde aus der Cloud-Perspektive von Grund auf neu entwickelt. Wir bieten eine wirklich multimandantenfähige, hochgradig skalierbare Plattform, indem wir die Funktionalität eines herkömmlichen Proxys verteilen und dadurch ein riesiges weltweites Netzwerk aufbauen, das sich wie ein einziger virtueller Proxy verhält. Jeder Anwender kann sich jederzeit an ein beliebiges Gateway wenden und erhält anhand definierter Richtlinien dort sicheren Zugang zum Internet. Die Zscaler-Architektur besteht im Wesentlichen aus drei Bestandteilen: Zscaler Enforcement Nodes (ZENs), der Central Authority (CA) und den Nanolog Servern.

Weitere Informationen zu:
Central Authority >
ZENs >
Nanolog clusters >


>100 RECHENZENTREN WELTWEIT

>25 MILLIARDEN TRANSAKTIONEN TÄGLICH VERARBEITET

>125 MILLIONEN BEDROHUNGEN TÄGLICH BLOCKIERT

>120K SICHERHEITSUPDATES TÄGLICH

Central Authority (CA)

Die Central Authority stellt den Kern der Zscaler Cloud dar. Sie steuert und überwacht sämtliche Knoten und ist dafür verantwortlich, dass diese mit den aktuellsten Echtzeit-Feeds und Software stets auf dem neuesten Stand sind. Darüber hinaus sorgt sie für deren Synchronisation zur Verbreitung von Informationen über Bedrohungen in der gesamten Cloud. Die CA leitet Anwender zum nächstgelegenen Zscaler Enforcement Node und sorgt dabei durch Anpassung der Richtlinien für minimale Latenzzeiten. Die Central Authorities sind ein weltweit verteilter Peer-to-Peer Cluster mit einem automatisch gewählten Master (auch mit Standort in Europa); Auf diese Weise wird sichergestellt, dass sämtliche Cloud-Komponenten stets mit einer CA kommunizieren können, selbst wenn eine ganze Region von einem schweren Ausfall des Internets betroffen sein sollte. Personenbezogene Daten werden in der CA konform mit dem Bundesdatenschutzgesetz vorgehalten.

Aufgrund ihrer mandantenfähigen Architektur stellt die CA jedem Unternehmen ein eigenes sicheres Portal zur Verwaltung der Richtlinien zur Verfügung. Jegliche Änderung der Richtlinien wird innerhalb von Sekunden an die ZENs kommuniziert. Die CA ermöglicht die Anwenderauthentifizierung durch Integration mit Secure LDAP oder SAML, z.B. Microsoft ADFS


Zscaler central authority complex is the brain of our cloud architecture
Zscaler enforcement node where security, management, and compliance policies served by the CA are enforced.

Zscaler Enforcement Node (ZEN)

Ein Unternehmen sendet sämtlichen Internet-Verkehr an den nächstgelegenen ZEN, wo dann die von der CA vorgegebenen Sicherheits-, Management- und Compliance-Richtlinien umgesetzt werden. Dabei werden in den ZENs Daten lediglich verarbeitet, aber nicht gespeichert – auch keine Log-Daten.

Jede ZEN verfügt auf Basis von über 30 Patenten über die volle Funktionalität eines Inline-Proxys, der die betreffenden Richtlinien mit einer Auflösung bis auf Anwenderebene umsetzt. Der ZEN beinhaltet ein spezifisches OS sowie einen TCP/IP-Stack, so dass 90% aller Transaktionen innerhalb von weniger als 90 Mikrosekunden ausgeführt werden. Dank der ByteScan Technolgie von Zscaler kann jeder ZEN jedes einzelne Byte von Internet-Anfragen, -Inhalten und -Antworten sowie alle zugehörigen Daten untersuchen, um dann Bedrohungen wie Viren, Cross Site Scripting (XSS) und Botnets zu blockieren. Dies ermöglicht auch eine Dynamic Content Classfifcation (DCC) bei unbekannten Websites. Durch Untersuchung jeder Seite berechnet der ZEN für jede geladene Seite einen sogenannten Page Risk Index und ermöglicht es dem Administrator, den Anwendern Inhalte mit einem akzeptierten Risiko anzubieten.

Ein ZEN beinhaltet zudem auch die einzigartigen Authentifizierungs- und Richtlinienverteilungsmechanismen von Zscaler, damit sich jeder Anwender jederzeit mit dem ZEN verbinden kann. Auf diese Weise können Unternehmen auf Basis ihrer Richtlinien den Datenverkehr einfach an beliebige ZENs weiterleiten und erhalten entsprechende Berichte in Echtzeit zurück.

Nanolog Server

Die Nanolog-Technologie von Zscaler basiert auf verschiedenen Patenten und sorgt bei jedem ZEN für eine verlustfreie Komprimierung von Log-Dateien um einen Faktor von 50:1, so dass die Administratoren auf jedes Transaktionsprotokoll praktisch sofortigen Zugriff haben. Die Logs werden im Sekundentakt über sichere Verbindungen an die Nanolog-Server übertragen und aus Redundanzgründen per Multicast an mehrere Server. Aufgrund eines speziell für Internet-Protokolle entwickelten, innovativen Report- und Datenbanksystems unterstützen die Nanolog-Server mehr als 15 Millionen Logs pro Sekunde.

Durch diese Technologie verfügen Administratoren über Echtzeitreports sowie die Möglichkeit, jederzeit innerhalb von Sekunden für jeden Anwender, jede Abteilung oder jeden Standort nach detaillierten Transaktionsdaten zu suchen. Jeder Server verfügt über eine Speicherkapazität von über 16 Terabyte, so dass Zscaler eine Datenhaltung von mehreren Jahren unterstützt. Log-Daten aller europäischen Kunden werden im Einklang mit dem Bundesdatenschutzvorgaben nur in der EU vorgehalten, unabhängig davon, welche ZENs der Kunde nutzt.


Zscaler nanolog server technology is backed with multiple security patents

Sicherheit und Datenschutz

Datenschutz und Sicherheit sind grundlegende Voraussetzungen jeder multimandantenfähigen Architektur. Zscaler gewährleistet die Prinzipien wie folgt:

Datenschutz auf Internet-Transaktionsebene:

  • Zscaler Services speichern niemals den Inhalt von Transaktionen
  • Transaktionsinhalte werden niemals auf Discs geschrieben, sämtliche Analysen finden im Speicher statt
  • Logs werden in einem verschlüsselten Format gespeichert und übertragen
  • Logs sind über die Zscaler Oberfläche nur mit Admin-Rechten einsehbar

Datenschutz auf Ebene der Organisation:

  • Sicherheitsstandards entsprechen denen von weltweit führenden Finanz- und Rechenzentren (zertifiziert gemäß ISO27001 oder SSAE 16)
  • Autorisiertes Personal erhält Zugang erst nach dem Durchlaufen mehrerer Sicherheits- und Überprüfungsstufen
  • Sämtliche Rechenzentren sind vollständig anonym

Datenschutz auf Netzwerkebene:

  • Logs werden niemals im Klartext gespeichert
  • Logs werden als indexierte, komprimierte und differenzierte Protokolle übertragen
  • Alle Logs werden SSL-verschlüsselt übertragen
  • Zugriff auf die Gateway-Knoten besteht ausschließlich über die Central Authority

Zscaler ist gemäß ISO27001 zertifiziert und garantiert 99,999%Verfügbarkeit —mit zusätzlichen SLAs für Latenzzeit und Sicherheit. Vergleichbar hohe Performance lässt sich mit Sicherheits-Appliances nur zu unverhältnismäßig hohen Kosten erreichen. Die Datenverarbeitung erfolgt bei Zscaler konform mit dem Bundesdatenschutzgesetz auf Basis eines Vertrags zur Auftragsdatenverabreitung nach §14 BDSG.

Weitere Informationen über die weltweit größte Sicherheits-Cloud

Kontaktieren Sie uns >