Isolation ist eine der stärksten verfügbaren Schutz-Massnahmen überhaupt – sowohl in der Medizin als auch in der IT. Dieses Konzept hat Bromium (heute HP Wolf Security) schon vor einigen Jahren sehr gut verstanden. Der Ansatz ist simpel aber sehr effektiv: Betrachte alles, speziell alles was von extern kommt, als kritisch und führe es in einer «Micro VM» aus, welche nach dem Aufruf verworfen wird.

Malware kann sich so innert der VM zwar ausbreiten, aber nach Schliessen der Session wird die VM vernichtet. Der eigentliche Host bleibt unversehrt.


Security – ein mehrstufiges Konzept

Den zusätzlichen Layer eines Gateway oder Client-basierten Schutzes ersetzt diese Lösung dennoch nicht gänzlich. Denn die Malware schon bevor sie den Host erreicht, abzufangen, sollte nicht vernachlässigt werden. Ergo sollten Mail-Filter oder generell Perimeter-Stacks – inkl. Antivirus, Advanced Threat Protection, Sandbox etc. – weiterhin in einem gut durchdachten Konzept nicht fehlen.

Die Cloud Browser Isolation ist einer von vielen Bausteinen, welcher dabei zum Einsatz kommen kann und ebenfalls zusätzlichen Schutz am Perimeter erwirkt. Hierbei ist es egal, ob wir nun die Lösung von Zscaler, Symantec Bluecoat oder anderer Herstellern betrachten, da diese auf eine ähnliche Art und Weise funktionieren – in diesem Artikel gehe ich jedoch auf die Technologie von Zscaler ein.


Cloud Browser Isolation – wie Zscaler es macht

Die Cloud Browser Isolation von Zscaler ergänzt sowohl das Produkt Zscaler Internet Access (ZIA) – quasi der Proxy und Security Stack von Zscaler Richtung Internet – als auch Zscaler Private Access (ZPA) – Zscalers Zero Trust Network Lösung, welche Access auf eigene Applikationen ermöglicht. Es ist jedoch eine zusätzliche Subscription erforderlich, welche dann den Zugriff auf ein separates Portal ermöglicht, bei welchem wir unsere ZIA bzw. ZPA Tennant hinterlegen.

In diesem Portal definieren wir das Look-Feel für den User und ob Copy & Paste oder der Up- und Download von Files gestattet ist. Es können mehrere Profile mit unterschiedlichen Settings definiert werden. Haben wir ein Profil definiert, müssen wir im ZIA bzw. ZPA Portal dieses noch in der Policy verwenden.

Isolation für ZIA

Bei ZIA ist es aktuell so, dass wir in der Sektion «URL & Cloud App Control» – des Web- und Proxy-Modules von Zscaler – definieren müssen, welche URL Kategorien wir durch die Cloud Browser Isolation schützen möchten. Es ist natürlich ebenfalls möglich, eigene URL Listen zu pflegen, um diese so abzusichern. Dieser Ansatz ist aber recht statisch und bietet nicht unbedingt den gewünschten Schutz.

Mit der ZIA Version 6.2 – welche im Verlauf des kommenden Halbjahres ausgerollt werden soll – wird es möglich sein, dynamisch Webseiten in die Isolation zu schicken. Hierbei macht ZIA eine Analyse des Contents und macht eine Risikoeinschätzung der Webseite mithilfe von künstlicher Intelligenz.

Der User selbst erfährt beim Aufruf einer URL, die isoliert wird, eine Weiterleitung zu einer anderen URL und je nach look and feel, kann ein Logo und Text eingeblendet werden oder der Webseiten-Content wird wie gewohnt im Browser dargestellt. Für den User transparent wurde die Webseite in einem Docker-Container in der Cloud ausgeführt und ein Bild als Pixel-Stream übermittelt. Etwaige schadhafte Dateien oder Code gelangt so nicht zum Endgerät durch.

Isolation für ZPA

Bei ZPA können wir granular definieren, welche Web-Applikationen isoliert werden sollen. Dazu können wir jede dedizierte URL selektieren und nach Kriterien wie User-Gruppe oder User-Attributen eine Isolation Policy definieren.

So können beispielsweise bestimmte interne Seiten nur für bestimmte User isoliert werden, für andere geschieht der Zugriff ohne Isolation direkt. Ein Anwendungsfall hierfür wäre zum Beispiel ein Portal, welches von Lieferanten mitbenutzt werden soll, wo aber kein Datenabzug (z.B. per Print-Screen oder File-Download) möglich sein soll. Natürlich können wir so die Sicherheit hinsichtlich des Zugriffs erhöhen, da wir verhindern können, dass ein Upload von Dateien möglich ist und so auch keine Schadware hochgeladen werden kann.


ZPA – Isolation und Inspektion – der nächste Schritt?

Nebst der Isolation gibt es für ZPA die Inspektion, welche mit oder ohne Cloud Browser Isolation funktioniert. In Kombination mit der Cloud Browser Isolation haben wir einen doppelten Layer, welcher uns einen gewissen Mehrwert an Sicherheit bieten kann.

Die Inspektion fungiert als Web Application Firewall und prüft übermittelte Daten auf bekannte schadhafte Strings und kann so gewisse Attacken abfangen. Hierzu setzt Zscaler auf die offenen und verbreiteten Standard-Samples von OWASPs.

Bei der Inspektion kann ebenfalls eine sehr granulare Policy mit User-Attributen herangezogen werden, um die Inspektion zu triggern.


Conclusion – ist Cloud Browser Isolation nun die Lösung?

Wie eingangs bemerkt, bietet diese Möglichkeit keinen allumfassenden Schutz und ein mehrstufiges Konzept sollte nicht vernachlässigt werden. Jedoch bieten diese Optionen einen nicht zu vernachlässigen Mehrwert und sollten bei einer Überlegung eines neuen Schutzkonzepts durchaus in Betracht gezogen und abgewogen werden.

Das Aktivieren und Verwalten des Features selbst ist bei Zscaler recht simpel und schnell umgesetzt und bedarf keines enormen Aufwands – kann also bei nahezu jeder Umgebung schnell aktiviert und integriert werden, welche Zscaler bereits im Einsatz hat.

Sollte also nun ein Interesse bestehen, prüft man dies am besten in einem Proof of Value, bei dem es einfach mal integriert und getestet wird.