Zscaler entwickelt sich in den letzten Jahren immer mehr und mehr zum SASE bzw. Zentralen «Zero Trust Exchange (ZTE)».
Ein Rückblick – von ZIA zum ZTE
Historisch begann das Ganze im Jahr 2008 mit Zscaler Internet Access (ZIA). Damals wurden Clients noch über explizite Proxys, PAC-Files oder eine Kombination aus Layer-3-Routing sowie Tunneln (IPSec, später auch GRE) zum damaligen „Zscaler Enforcement Node (ZEN)“ weitergeleitet, der heute als Service Edge bezeichnet wird.
In der zweiten „Evolutionsstufe“ rückte dann die Absicherung der benutzerbasierten Systeme (Windows, MacOS, mobile Geräte) mit dem Zscaler Agent, welcher später durch den Zscaler Client Connector (ZCC) abgelöst wurde, in den Fokus. Ziel war es, die Endanwender performant, benutzerfreundlich und nahtlos zum Service Edge zu leiten, egal wo und wann dieser in der Welt aktiv war.
Kurz nach dem ZCC, etwa im Jahr 2016, rückte der private Zugriff zunehmend in den Fokus und Zscaler legte mit dem Produkt Zscaler Private Access (ZPA) den Grundstein für seine ZTNA-Strategie.
Im Jahr 2020 folgten mit Zscaler Cloud Protection und Zscaler Digital Experience (ZDX) weitere Lösungen, die um den Client Connector herum entwickelt wurden und die SASE-Strategie zunehmend abrundeten.
In den letzten zwei Jahren lag der Fokus auf Data Loss Prevention (DLP) und der Absicherung der Workloads – Letzteres mit dem „Branch Connector“ oder „Cloud Connector“ – welcher aktuell eines der Top-Themen bei Zscaler ist. Diese Connectoren zielen darauf ab, alle nicht benutzerbasierten Systeme mit dem Zero Trust Exchange zu verbinden und abzusichern. Bei den Systemen handelt es sich um Workloads, ein Sammelbegriff für Server, IoT-Geräte (z. B. Sensoren, Motoren, Handscanner), Drucker, Scanner oder OT-Geräte wie Maschinensteuerungen, die sich an definierten Standorten in der Cloud oder an physischen Standorten befinden.
Heute – Zero Trust Cellular Connectivity
Nun, im Jahr 2024, setzt Zscaler mit der Zero Trust Cellular Connectivity oder Zero Trust SIM den Fokus speziell auf standalone IoT/OT-Geräte, die sich weltweit befinden und über den Zero Trust Exchange angebunden werden sollen. Dabei können alle Systeme, die ein SIM- oder eSIM-Modul besitzen, integriert werden.
Der Einsatz und das Deployment sind dabei denkbar einfach: SIM-Karte einlegen – fertig.
Technologisch baut Zscaler hierfür pro Kunde einen eigenen Cell Edge auf, der sich mit einem „Branch Connector“ oder „Cloud Connector“ vergleichen lässt. Dieser Cell Edge wird dann an den bestehenden ZIA-, ZPA- und ZDX-Account angebunden und erscheint dort als eigenständige Lokation. Mit diesen Lokationen können dedizierte Regeln erstellt werden.
Es können bestehende SIM-Karten verwendet werden, die so umgeschrieben werden können, dass der Traffic an den Zscaler Cellular Edge weitergeleitet wird. Alternativ kann direkt eine SIM-Karte von Zscaler bezogen werden.
Die Verwendung der von Zscaler bereitgestellten SIM-Karte hat den Vorteil, dass mehrere Geräteinformationen, wie z. B. die IMEI, durchgereicht werden. Bei der Verwendung von SIM-Karten von Drittanbietern (also nicht der von Zscaler bereitgestellten SIM) wird diese Kennung normalerweise vom Provider nicht an das Backend weitergeleitet. Diese Information kann jedoch von Vorteil sein, um Zugriffsregeln zu definieren, die sicherstellen, dass die SIM-Karte nicht einfach in ein anderes Gerät eingelegt werden kann.
Zero Trust SIM – Use Cases und Benefits
Doch was ist nun der wirkliche Vorteil und die Use Cases des Ganzen?
Zum einen kann so natürlich der Zugriff ins Internet über ZIA abgesichert werden. Sei es im Web-Modul, bei dem man gewisse Kategorien und Muster blockiert, oder im Firewall-Modul, wo Restriktionen definiert werden.
Auch der ZTNA-Zugriff auf private Applikationen über ZPA kann so ermöglicht werden. Ein Handscanner oder Temperatursensor kann seine Daten schnell und einfach auf einem gesicherten Weg in die selbst gehostete Datenbank schreiben, unabhängig davon, wo sich der Handscanner befindet, und ohne komplexe Transportnetze (z. B. mit IPSec-Tunneln) aufbauen zu müssen.
Auch der gesicherte Zugriff auf das Gerät selbst über ZPA mit dem „Client-to-Client“-Zugriff ist möglich. Das bedeutet, dass Sie sich von einem Notebook, auf dem der ZCC läuft, auf das Gerät, das die SIM-Karte verwendet, über das ZPA-Modul einloggen können.
Stellen Sie sich also vor, Sie haben eine alte Maschinensteuerung zu warten. Sie haben so sichergestellt, dass diese nur zu definierten Zielen ins Internet gelangt und dass Updates, auch wenn sie nicht TLS-verschlüsselt sind, gültig sind. Darüber hinaus können Sie über Client-to-Client ganz einfach den Fernzugriff ermöglichen.
Haben Sie Messfühler, die zentral Ihre Daten loggen? Einfach SIM-Karte einlegen, Zugriffsregeln in ZPA schreiben, und die IoT-Geräte können sicher ihre Daten in die Datenbank schreiben.
Zero Trust SIM – In der Praxis
Im Testbetrieb hat Zscaler seine Zero Trust SIM bereits an Maschinensteuerungen oder Handscannern erfolgreich erprobt. So konnten bei Referenzkunden ganze Warenhäuser quasi in „No-Time“ angebunden werden, indem die SIM-Karte einfach in die Handscanner eingelegt wurde.
Auch wir konnten die SIM-Karte von Zscaler bereits etwas testen – leider nur mit einer SIM-Karte, die über einen von Zscaler verwalteten Account angebunden war. Entsprechend konnten wir nur einige limitierte Tests mit ZIA und ZPA durchführen, die jedoch sehr erfolgreich und vielversprechend waren. Für eine detailliertere Analyse müssten wir allerdings noch auf den eigenen Cellular Edge warten.
Weiterführende Links
The_Ari3s
The_Ari3s ist Security Engineer bei AVANTEC. Er interessiert sich insbesondere für technologische Trends im Netzwerk und Sicherheitsbereich – speziell für die Cloud. Ebenfalls hat er ein besonderen Faible für Linux, IoT und OpenSource-Lösungen.