Kurz und knackig gesagt, ist Source IP Anchoring (SIPA) die Zscaler Antwort auf das Problem, wenn Sie einen Partner haben, der eine Access Liste basierend auf Public Source IP Adressen führt, um Sie auf seine Applikationen zugreifen zu lassen. Falls Sie nun grosse Fragezeichen haben, dann werde ich nun versuchen, diese in diesem Blog aufzulösen und Ihnen aufzeigen, was es mit SIPA genau auf sich hat.
Problem
Nochmals zurück zum Problem. Sie haben eine Applikation A, welche Sie bei einem Partner P lizenziert haben. Ihr Partner P möchte jedoch aus Sicherheitsgründen nicht, dass jeder auf die Applikation A zugreifen darf. Aus diesem Grund hat er nun eine Zugriffsliste auf seiner Firewall definiert, in welcher er sagt, wer (Sie als Firma F) auf die Applikation zugreifen darf. Dieser Zugriff wird normalerweise via IP-Adressen-Freischaltungen definiert. Üblicherweise wird dafür Ihre Public IP Adresse verwendet. So weit, so gut.
Nun haben Sie jedoch beschlossen, mit Zscaler Ihren Internetzugriff zu schützen. Jetzt stehen Sie vor dem Problem, dass die angezeigte Public IP-Adresse beim Partner P nicht mehr Ihre eigene Public IP-Adresse ist, sondern die Public IP-Adresse von Zscaler. Somit haben Sie keinen Zugriff mehr auf die Applikation A bei Ihrem Partner. Weiter wird der Partner aus Sicherheitsgründen auch nicht den IP-Adressenrange von Zscaler freischalten lassen, da er dann jegliche Kunden von Zscaler auf seine Applikation zugreifen lässt. So weit, nicht mehr so gut.
Lösung
Sie fragen sich nun – wie kann das gelöst werden? Der erste und bekannteste Ansatz ist der Bypass vom Proxy. Bei diesem Ansatz wird die URL, der Hostname oder die IP-Adresse der Applikation im Pac-File vom Forwarding zu Zscaler ausgeschlossen. Der Aufruf geht nun via Corporate Firewall und kommt mit Ihrer Public IP-Adresse beim Partner an. Die Clients unterwegs müssen sich via VPN-Lösung ins Firmennetzwerk verbinden und können dann mit dem gleichen Lösungsansatz auf die Applikation des Partners zugreifen (Ansatz 1).
Ein weiterer gleichermassen bekannter Ansatz ist die Verwendung eines internen Proxys, wie beispielsweise ein Squid Proxy. Bei diesem Ansatz wird ebenfalls die URL, der Hostname oder die IP-Adresse der Applikation im Pac-File hinterlegt, jedoch mit dem internen Proxy als Ziel. Dieser leitet dann die Anfrage an die Partner Applikation mit Ihrer Source IP-Adresse weiter (Ansatz 2).
Der dritte Ansatz ist das Source IP Anchoring. Bei diesem Ansatz wird die Applikation nicht von Zscaler gebypasst, sondern an Zscaler gesendet. Zscaler leitet dann die Anfrage via einer Weiterleitung über einen Connector zur Applikation des Partners mit Ihrer Source IP-Adresse (Ansatz 3).
Funktionsweise
Wie funktioniert nun SIPA? Beim SIPA ruft ein Benutzer aus der Firma F die Applikation A des Partners P auf. Der Aufruf wird nun von der Firma zu Zscaler Internet Access (ZIA) geleitet. Dort wird durch eine Forwarding Policy der Request weiter nach Zscaler Private Access (ZPA) geleitet. Dieser wiederum leitet den Request zum eigenen, internen Connector C, welcher dann den Request zur Applikation des Partners mit der Public IP-Adresse Ihrer Firma weiterleitet und beim Partner zugelassen wird.
Vorteil von Source IP Anchoring
Der Vorteil von SIPA liegt darin, dass keine Änderung am Forwarding zu Zscaler vorgenommen werden muss. Die Administration für das Forwarding bleibt bei Zscaler. Es müssen somit keine Ausnahmen wie im Ansatz 1 und 2 im Pac-File hinterlegt werden. Weiter dürfen die Benutzer nicht wie in Ansatz 1 direkt via Firewall auf die Applikation des Partners zugreifen. Im Unterschied zu Ansatz 2 wird die Connector Konfiguration ebenfalls bei Zscaler im Portal vorgenommen und es muss nicht ein separierter Proxy verwaltet werden. Weiter kommt es beim SIPA Ansatz nicht darauf an, wo sich der Benutzer befindet. Er kann immer, von Zuhause aus, unterwegs oder in der Firma auf die Applikation des Partners zugreifen.
Voraussetzungen Source IP Anchoring
Die Voraussetzungen von SIPA sind:
- ZIA Account
- Source IP Anchoring Lizenz
- Application Connector Appliance
- ZPA Account
Fazit
Das SIPA ist eine coole Sache und kann ein doch häufig auftretendes Zugriffsproblem auf eine tolle Weise lösen. Doch muss auch kritisch auf die Lösung geschaut werden. Die Lösung benötigt eine zusätzliche Lizenz, was natürlich mit Kosten verbunden ist. Weiter muss auch diese Lösung installiert, konfiguriert und unterhalten werden. Es ist somit mit einem grösseren Initialaufwand zu rechnen als bei einem der anderen Ansätze. Sobald jedoch das SIPA einmal eingerichtet ist, kann es einfach für weitere Applikationen adaptiert werden. Haben Sie bereits ZIA und ZPA im Einsatz, so ist der Konfigurationsaufwand für das SIPA Einrichten viel weniger aufwändig als ohne ZPA.
Also wie in der Einleitung kurz und knackig gesagt, ist Source IP Anchoring die Lösung von Zscaler, wenn ein Partner den Zugriff auf eine eigene Applikation oder Service via Ihrer Source IP Adresse steuert. So, nun hoffe ich die Fragezeichen haben sich aufgelöst und Source IP Anchoring und SIPA sind auch keine Fremdwörter mehr.
hammy
hammy ist Senior Security Engineer bei AVANTEC. Er hat einen Abschluss in Informationssicherheit und interessiert sich insbesondere für technologische Trends und Ethik. Zu seinen Lieblings-Lösungen gehören Zscaler, SEPPmail und IronPort.