Netzpalaver sprach mit Nathan Howe, Vice President of Emerging Technologies bei Zscaler über die Grundlagen von Zero-Trust-Onpremises und wie Unternehmen die ersten Phasen der Implementierung meistern können.
Netzpalaver: Unternehmensnetze und den Cloud-Zugriff mittels Zero-Trust zu schützen ist noch eine relativ junge Konzeption. Insbesondere die Onpremise-Variante von Zscaler-Zero-Trust-Ansatz. Können Sie kurz erläutern was sich dahinter verbirgt und auch was die produkttechnischen Neuerungen sind?
Nathan Howe: ZPA-Private-Service-Edge (PSE) verwandelt Zscaler-Private-Access für den sicheren Remote-Zugriff von Mitarbeitern auf die Cloud oder auf Applikationen im Netzwerk in eine Lösung, die nun auch in Onpremise-Umgebungen eingesetzt werden kann. Private-Service-Edge wird als virtuelle Maschine (VM) auf einem Edge-Device gehostet. Der Service verbindet sich mit der Zscaler-Zero-Trust-Exchange, um auf die Richtlinien Zugriff zu haben, die für die sichere Verbindung von Usern zu privaten Anwendungen definiert wurden. Durch die granulare und direkte Verbindung vom Anwender zur Applikation wird die Notwendigkeit einer verwaltungsaufwändigen Netzwerksegmentierung hinfällig. PSE brokert die Verbindung zwischen den Mitarbeitern im Netzwerk und ihren latenzempfindlichen Anwendungen, was neben der Sicherheit auch zu einer höheren Performanz führt. Gleichzeitig verringert sich die Komplexität für Netzwerkadministratoren und das Risiko einer Kompromittierung wird durch das Ausschalten von Angriffsflächen reduziert.
Als weiteres Feature der globalen Sicherheits-Cloud wurde die „Browser Isolation“ vorgestellt. Damit lässt sich die Möglichkeit von Web-basierten Angriffen und Datenlecks reduzieren. Ein Großteil der externen Angriffe auf die Nutzer wird in der Regel über den Webbrowser durchgeführt. Mit Hilfe von „Cloud Browser Isolation“ wird eine isolierte Sitzung hergestellt, die den Nutzern die Ansicht von Webseiten zeigt, ohne dass Schadcode auf das lokale Gerät oder das Unternehmensnetzwerk gelangen oder Daten unerwünscht abfließen können. Da die Benutzer niemals direkt auf aktive Webinhalte zugreifen, wird die Übertragung von Schadcode verhindert.
Die dritte Neuerung bietet Vereinfachung von Zero-Trust-Konzepten durch Automatisierung. APIs erstellen automatisch Richtlinien für neu hinzugefügte Services und entziehen Benutzern den Zugriff auf die Anwendungen basierend auf einer Zeiteinstellung. Im gleichen Atemzug lernt ein System durch Analyse der Datenströme mit Hilfe von Machine-Learning autorisierte Verbindungen zu erkennen und hilft somit bei der automatischen Segmentierung von Anwendungs-Workloads. Administratoren sparen sich wertvolle Zeit, die für das Einrichten von Richtlinien anfällt. Diese Neuerungen sollen Unternehmen beim Start in die Zero -Trust-Welt unterstützen.
Netzpalaver: Es heißt immer, Zero-Trust würde bei der Architektur beginnen, was steckt hinter dieser Aussage?
Nathan Howe: Die Architektur ist meiner Meinung nach der Schlüssel für den Erfolg eines jeden digitalen Transformationsprojektes. Genauer gesagt muss das architektonische Setup richtig aufgebaut sein, bevor eine Verlagerung von Anwendungen in Cloud-Umgebungen oder eine Sicherheitstransformation stattfinden kann. Unternehmen sollten die Anwendungstransformation in die Cloud nicht isoliert behandeln, dasselbe gilt für die Transformation der Sicherheit in ein Zero-Trust-Modell.
Bei jedem Transformationsprojekt sollten diese vier Grundlagen im Blick behalten werden: Benutzer, Anwendungen, Netzwerke und Prozesse. Wenn Anwendungen in die Cloud wandern, aber der Benutzer mit dem Zugriff auf diese Anwendungen nicht zufrieden ist, ist etwas falsch gelaufen. In den meisten Fällen nützt es nichts, einen schnellen Weg bei der Cloud-Einführung zu nehmen, denn das zahlt sich auf lange Sicht nicht aus. Die Berücksichtigung eines Cloud-first Ansatzes für Konnektivität und Sicherheit ist ein Katalysator für die Transformation, und genau hier wird das Konzept von Zero-Trust relevant.
Netzpalaver: Welche Empfehlungen haben Sie für Unternehmen, die mit Zero-Trust starten wollen?
Nathan Howe: Bei Zero-Trust-Lösungen geht es vor allem darum, den Least-Privilege-Access der Benutzer zu definieren. Wer darf Zugriff auf welche Anwendung zu welcher Zeit haben? – sind die zentralen Fragen, die gestellt und beantwortet werden müssen. Die IT-Abteilung muss auch den Pfad zur Anwendung vorgeben, bevor eine sichere Verbindung zwischen Nutzer und Anwendung in Multi-Cloud-Umgebungen oder ins Rechenzentrum hergestellt werden kann. Nur dann können beide Seiten mit einem sicheren Tunnel verbunden werden.
Beide Enden der Verbindung verfügen über Identitäten und diese Identitäten stellen die Grundlage für die Entscheidung dar, dass ein sicherer Tunnel aufgebaut werden kann oder eben nicht. In der aktuellen Home-Office-Situation mit vielen Mitarbeitern zu Hause besitzen IT-Abteilungen durch bestehende Identity- and Access-Management-Systeme bereits über einen Großteil der benötigten Informationen. Denn ein guter Ausgangspunkt ist auch ein Blick darauf, welche Anwendungen überhaupt benutzt wurden und welche nicht.
Netzpalaver: Eine schon angesprochene Neuerung bei Zscaler ist die Browser-Isolation. Was genau wird denn isoliert und wie sehe ein Einsatzszenario aus?
Nathan Howe: Wir haben unsere Zero-Trust-Exchange-Plattform um die Funktionalität der Browser-Isolation erweitert. Die Lösung konzentriert sich auf etwas, dass ich „Datenresidenz“ nenne. Im Wesentlichen können Benutzer Web-Inhalte angezeigt bekommen, aber sie werden nicht auf ein Gerät heruntergeladen, was bedeutet, dass die Infrastruktur nicht angegriffen werden kann. Browser-Isolation kann in mehreren Szenarien eingesetzt werden. Sie kann zum Beispiel mit einer virtuellen Desktop-Umgebung gekoppelt werden, die über Browser-Isolation als Web-Service angeboten wird, anstatt als voll interaktive Lösung.
Netzpalaver: Wie wichtig ist die Automatisierung bei Zero-Trust?
Nathan Howe: Eine wichtige Voraussetzung für jedes Zero-Trust-Projekt ist die vollständige Transparenz darüber, was in einem Netzwerk passiert, und die Automatisierung ist ein Teil des Puzzles, um die anfängliche Komplexität zu überwinden. Sobald IT-Manager über eine automatisierte Bestandsaufnahme aller Anwendungen in ihrer Infrastruktur verfügen, liefert unsere Zero-Trust Exchange Empfehlungen für den ersten Startpunkt. Automatisierung und maschinelles Lernen können also den Weg zum Einstieg in ein Zero-Trust-Konzept vereinfachen. Wir haben mit unseren Technologiepartnern neue APIs entwickelt, die automatisch Richtlinien für neu entdeckte Dienste erstellen und den Benutzerzugriff basierend auf Zeiteinstellungen widerrufen. Erweiterungen des maschinellen Lernens ermöglichen auch die automatische Segmentierung von Anwendungs-Workloads. Damit helfen wir bei der Reduktion des Zeitaufwands für die Erstellung von Zugriffsrichtlinien und vereinfachen die Mikrosegmentierung. So bleibt den IT-Teams mehr Zeit, sich auf andere Projekte zu konzentrieren.
#Zscaler
