Disaster Recovery Plan mit Zscaler: Ein moderner Ansatz zur Sicherung der Geschäftskontinuität Teil 2

In der heutigen digitalen Welt sind Unternehmen zunehmend auf cloudbasierte Sicherheitslösungen angewiesen, um ihre IT-Infrastruktur zu schützen und den sicheren Zugriff auf unternehmenskritische Anwendungen zu gewährleisten. Zscaler bietet hierbei eine innovative Lösung für die Netzwerksicherheit und Zugriffskontrolle. Doch was geschieht, wenn die Zscaler Cloud plötzlich nicht mehr verfügbar ist?

Im ersten Teil dieses Blogartikels habe ich bereits ausführlich die Grundlagen und Kernelemente eines Disaster Recovery Plans erläutert und beschrieben, wie der Einsatz von Zscaler dabei unterstützen kann. In diesem Teil möchte ich den Fokus darauflegen, welche Auswirkungen es hat, wenn Zscaler im Unternehmen eingesetzt wird, die Zscaler Cloud jedoch nicht mehr zur Verfügung steht und der Zugriff auf unternehmenskritische Anwendungen weiterhin sichergestellt werden muss.

Mit Zscaler DR können Unternehmen den Zugriff auf unternehmenskritische Anwendungen, die im Geschäftskontinuitätsplan des Unternehmens identifiziert wurden, egal ob lokal im Datacenter oder im Internet, schnell wiederherstellen, selbst wenn die Zscaler Cloud nicht verfügbar ist. Der DR-Modus kann gemäss dem Business Continuity Plan eingeleitet werden, um sicherzustellen, dass die aktuellen Benutzer weiterhin auf wichtige Geschäftsanwendungen zugreifen können, Voraussetzung hierfür ist jedoch das die zugrunde liegenden Infrastrukturdienste betriebsbereit sind.

Off: (Normalbetrieb) ZPA Private Service Edge (PSE), App Connectors und Zscaler Client Connector (ZCC) laufen im Cloud-Modus.

ON: (DR-Modus aktiv) Nur aktuell ausgerollte und authentifizierte User können auf geschäftskritische Anwendungen in vordefinierten App-Segmenten zugreifen, hierzu müssen im Vorfeld die App Connectors und PSEs entsprechend konfiguriert werden.

Test: (Testmodus) Wird ausschliesslich zum Testen der Funktionalität des DR-Modus verwendet.

Die zugrunde liegende Annahme für den DR-Modus ist, dass die Zscaler Cloud nicht zur Verfügung steht. Daher verwendet Zscaler DNS als externen Dienst, um den DR-Modus zu initiieren. Daher muss im Vorfeld eine Domain für die Disaster Recovery registriert werden und eine Reihe von DNS-A-Records sowie spezifische TXT-Records erstellt werden.

Zscaler Internet Access (ZIA) verwendet den Zscaler Client Connector (ZCC), um den Traffic der User zu schützen und sicherzustellen, dass Sicherheitsrichtlinien konsequent angewendet werden. Der ZCC lädt alle 24 Stunden die vordefinierte globale Allow-Liste von Zscaler herunter und überprüft regelmässig den DNS-Service, um festzustellen, ob der Disaster Recovery (DR)-Modus aktiviert wurde.

Falls DR aktiviert wird, zeigt ZCC eine „Safe Mode“-Benachrichtigung an und erstellt Protokolleinträge, die den Beginn des Internet Security Safe Mode dokumentieren.

Traffic-Weiterleitungsoptionen:

ZIA DR bietet drei verschiedene Traffic-Weiterleitungsoptionen, die im ZCC-Portal über App-Profile konfiguriert werden können. Empfohlen wird hier den Modus „Traffic erlauben zu vordefinierten Zielen“ zu nutzen, damit die User weiterhin Zugang zu Whitelists und wichtigen Websites haben. Alternativ kann entweder der gesamte Internetverkehr “direct“ weitergeleitet werden oder auch komplett geblockt werden, dies ist abhängig von der Risikotoleranz im Unternehmen.

Es empfiehlt sich, alle expliziten Bypass-Richtlinien und geschäftskritischen Anwendungen anhand der vordefinierten Allow-Liste zu überprüfen. Falls wichtige Ziele fehlen, sollten sie in die Custom PAC-Datei aufgenommen werden, da Nutzer sonst mit aktivem DR-Modus keinen Zugriff auf businessrelevante Anwendungen erhalten.

Zscaler Private Access (ZPA) Disaster Recovery nutzt die bestehende ZPA-Infrastruktur (App Connectors und ZPA Private Service Edges) für den netzwerkbasierten Zugriff auf geschäftskritische Anwendungen. Die Aktivierung und Deaktivierung des DR-Modus erfolgt ebenfalls wie bei ZIA über DNS-Abfragen. Wichtig ist hier im Vorfeld die Auswahl der Anwendungen, da DR auf Application-Segment-Ebene aktiviert wird. Es empfiehlt sich daher, separate Segmente für geschäftskritische Anwendungen zu erstellen, während nicht-kritische Anwendungen ausgeschlossen werden, um die vorhandenen PSEs nicht zu überlasten.

Funktionsweise:

1. ZPA Private Service Edge (PSE) verwaltet die Verbindung zwischen dem Zscaler Client Connector (ZCC) und den App Connectors.
2. Im Normalbetrieb laden PSE und App Connectors regelmässig Konfigurationen aus der ZPA-Cloud herunter und ermöglichen eine sichere Authentifizierung an Unternehmensanwendungen.
3. Die Komponenten überprüfen regelmässig die DNS-TXT-Records, um festzustellen, ob der DR-Modus aktiviert wurde.

1. Verlängerung der SAML-Assertion um 14 Tage, damit die User die DR-Anwendungen nicht verlieren.
2. Neustart der App Connectors und PSEs zur Aktivierung des DR-Modus.
3. ZCC verbindet sich mit der Disaster-Recovery-Domain, basierend auf dem A-Record.
4. ZCC lädt die DR-Anwendungen aus der lokalen PSE-Konfiguration.
5. ZCC leitet mTunnel-Verbindungen für DR-Anwendungen weiter, um Netzwerkzugriff zu ermöglichen.

Während der Aktivierung des DR-Modus kann der Benutzer kurzzeitig die Verbindung zu seinen Anwendungen verlieren. Sobald der DR-Modus vollständig aktiv ist, können Nutzer nur noch auf geschäftskritische Anwendungen zugreifen, die für DR freigegeben wurden.

1. Einrichtung der DNS-Disaster-Recovery-Domain und Konfiguration von DNS TXT-Records.
2. Aktivierung von DR-Funktionen für ZPA und ZIA in den App-Profilen im ZCC-Portal.
3. Konfiguration der Traffic-Weiterleitungsoptionen für ZIA.
4. Aktivierung von DR für kritische Application Segments, App Connectors und PSEs.