Im vergangenen Jahr wurden schwerwiegende Schwachstellen von namhaften VPN-Anbietern bekannt. Hacker nutzen diese kritischen Schwachstellen aus, um zum Beispiel via Remote-Code-Ausführung die vollständige Kontrolle über Geräte zu erlangen, und gefährden so Ihre Unternehmensdaten oder schränken Ihr tägliches Geschäft ein.
DNSDumpster.com ist ein kostenloses Domain-Recherche-Tool, mit dem Hosts im Zusammenhang mit einer Domain ermittelt werden können. Dies ermöglicht das Auffinden von sichtbaren Hosts, und eben auch VPN-Gateways, aus der Sicht des Angreifers.
Für Angreifer ist es so sehr einfach herauszufinden, wie ein Unternehmen gegen aussen exponiert ist, um so diese gravierenden Schwachstellen auszunutzen.
Finden Sie heraus, wie Ihr Unternehmen von aussen sichtbar und angreifbar ist: https://dnsdumpster.com/
In diesem Blogbeitrag möchte ich eine Alternative mittels der Zscaler Private Access ZTNA-Architektur für sichere Kommunikation aufzeigen.
Es ist Zeit für eine Zero-Trust-Architektur
Wenn Sie sich für die Zscaler-Plattform entscheiden, um Ihre Remote-Access-Lösung auf die nächste Stufe zu bringen, erhalten Sie nicht nur eine Client-to-Site-ZTNA-Lösung. Sie erhalten eine Plattform, mit der Sie alle Use Cases abdecken können, um Benutzer-, IoT-, OT-, Business-to-Business- und Anwendungskommunikation zu sichern.
Zscaler-Connector-Typen
Für das Umsetzen aller ZTNA Use Cases benötigt man die richtigen Zscaler Connectors.
Alle Z-Connectors bauen pro Verbindung auf private Applikationen jeweils einen ausgehenden TLS-Micro-Tunnel zu der von Zscaler global in der Cloud bereitgestellten Service Edge auf und bieten somit null Angriffsfläche, da keine IP-Adressen von aussen sichtbar sind.
Dadurch, dass jeweils ein Micro-Tunnel pro Verbindung aufgebaut wird, wird ein User, Workload, Gerät oder Applikation jeweils zu einem anderen User, Workload, Gerät oder Applikation verbunden und nicht wie bei einem klassischen VPN mit einem Netzwerk. Dies unterbindet Lateral Movement.
Zscaler Client Connector
Der leichtgewichtige Zscaler Client Connector ist ein All-in-One-Agent und kann auf folgenden Systemen installiert werden:
- iOS 9 oder höher
- Android 5 oder höher
- Windows 7 oder höher
- Mac OSX 10.10 oder höher
- CentOS 8
- Ubuntu 20.04
Zscaler Application Connector
Um eine Verbindung zur Applikation aufzubauen, benötigt man zusätzlich einen Application Connector. Dieser fungiert als «Proxy» und kann als VM On-Prem oder in der Cloud (Autoscaling) bereitgestellt werden.
Application Connectors sollten sich möglichst nahe bei den Anwendungen befinden, auf welche die Mitarbeitende zugreifen müssen. Mithilfe von Zugriffsrichtlinien kann festgelegt werden, mit welchem Application Connector sich ein Benutzer verbinden muss. Andernfalls wird automatisch der beste Application Connector ausgewählt. Benutzer werden immer mit dem nächstgelegenen Service Edge verbunden, der von Zscaler global in der Cloud bereitgestellt wird.
Das heisst, wenn Sie Workloads in der Cloud hosten, sollten Sie den Application Connector auch dort bereitstellen, um dem Benutzer einen direkten Zugriff auf die Anwendung zu ermöglichen, was die Performance und Benutzerfreundlichkeit verbessert.
Zscaler Cloud Connector
Der Zscaler Cloud Connector bietet die gleiche Funktion wie der Zscaler Client Connector, jedoch für Workloads in der Cloud. Auch der Cloud Connector kann als Autoscaling Deployment aufgebaut werden. Zusätzlich kann der Cloud Connector auch On-Prem als VM bereitgestellt werden (Private Cloud).
Zscaler Branch Connector
Der Zscaler Branch Connector vereint die Funktionen des Application Connectors und des Cloud Connectors. Er ist gedacht für On-Prem Datacenters, Branch Offices, etc.
Der Branch Connector ist als VM oder als Hardware-Variante erhältlich. Dadurch, dass der Application Connector immer möglichst nahe an der Applikation sein sollte, ist meine Empfehlung bei einem Datacenter, bei welchem eine Virtualisierungsplattform zur Verfügung steht (Private Cloud), dedizierte Application Connectors zu deployen und den Cloud Connector für die ausgehenden Verbindungen zu anderen Workloads oder Applikationen zu verwenden.
Dort wo keine Virtualisierungsplattform zur Verfügung steht, kann der Hardware Branch Connector verwendet werden.
Use Cases
ZTNA für Mitarbeiter
Für Ihre Mitarbeiter kann der Client Connector verwendet werden, um einen sicheren Zugang zu Ihren Anwendungen zu ermöglichen.
Via Zscaler Client Connector ist eine Kommunikation von einem Client zu einem anderen Client ebenfalls möglich.
ZTNA für Businesspartner
Der ZTNA-Zugang für Businesspartner kann über einen Webbrowser erfolgen. Die Protokolle HTTPS, RDP, SSH und VNC werden unterstützt. Es sind drei Optionen verfügbar. Für normale Benutzer entweder mit oder ohne Browser-Isolation und für privilegierte Benutzer die PRA-Lösung von Zscaler, welche zusätzlich Session-Aufzeichnung und einen Approval-Prozess bietet.
ZTNA On-Prem
Sogar ZTNA-Zugriff On-Prem ist über die Private Service Edge möglich. Diese wird in Ihren Firmennetz platziert und die Zugriffe erfolgen analog zu den beiden obigen Use Cases. Die Private Service Edge hat die gleichen Funktionen wie die von Zscaler global in der Cloud bereitgestellten Service Edges. Die Konfiguration erfolgt über dasselbe Admin Portal.
Der Vorteil bzw. die Idee ist, dass lokale Benutzer nicht über das Internet auf lokale Ressourcen zugreifen müssen. Dies erhöht die Performance und die Benutzerfreundlichkeit.
Cloud-Migration
Cloud-Migration leicht gemacht. Mit dem Zscaler Application und Cloud Connector können Benutzer, Anwendungen usw. direkt auf Workloads in der Cloud zugreifen. Cloud-Workloads können auch mit anderen Workloads in Multi-Cloud-Umgebungen kommunizieren. Lift and Shift in die Cloud ist für den Benutzer transparent. Er merkt nicht, dass eine Anwendung von On-Prem in die Cloud verlagert wurde. Der Zugriff auf die Anwendung bleibt für ihn gleich.
SD-WAN / MPLS Ersatz
Mittels den Branch-, Application- und Cloud Connectors können Sie Ihr bestehendes SD-WAN oder MPLS-Netzwerk mittels einer Zero-Trust-SD-WAN-Architektur ablösen.
Verbindungen können von beiden Seiten mit Cloud-/ Branch-Connectors initiiert werden. Auch ZTNA für IoT und OT lässt sich mit diesem Ansatz realisieren.
Im Vergleich zu den hohen Kosten für ein MPLS ist die Zscaler-Lösung günstiger und bietet eine bessere Performance, da die MPLS-Leitungen teuer und daher oft sparsam dimensioniert werden. Zscaler Zero Trust SD-WAN ist eine echte Alternative.
Desaster Recovery
Mit einer Desaster Recovery Private Service Edge können Sie Ihre Geschäftskontinuität im Falle eines Desaster-Szenarios gewährleisten, welches die globale Zscaler Cloud-Infrastruktur beeinträchtigt.
Die Private Service Edge wird in Ihrem Firmennetz platziert und die Notfallkonfiguration wird vorgängig über das Admin-Portal vorgenommen.
Im Falle einer Katastrophe muss die Firewall so konfiguriert werden, dass die Clients von aussen auf die Service-Edge zugreifen können. Es wird empfohlen, dass nur kritische Anwendungen für dieses Szenario bereitgestellt werden.
Fazit
Mit all diesen sogenannten Z-Connectors lassen sich alle denkbaren Anwendungsfälle für eine sichere Kommunikation für Nutzer, IoT, OT, Workloads und Anwendungen realisieren. Alles gesteuert über eine zentrale Policy. Diese Architektur erhöht Ihre Sicherheit gegen Angriffe auf Ihre Remote Access, SD-WAN sowie MPLS-Umgebung drastisch, da sie keine Angriffsfläche bietet.
Ausblick zum zweiten Teil
Im zweiten Teil dieses Blogbeitrages zeige ich anhand eines Grobkonzepts auf, wie eine mögliche Ablösung von VPNs, MPLS oder SD-WAN aussehen kann, wo welche Z-Connectors zum Einsatz kommen und wie ein HA-Setup von Hardware-Branch-Connectors realisiert werden kann, welche Funktionen diese bieten und was an nicht mehr benötigtem Security Equipment abgelöst werden kann. Des Weiteren gehe ich darauf ein, was zu beachten ist bezüglich dem Sizing der Z-Connectors und wie die Lizenzierung aussieht.
Weiterführende Links
Peter Hämmerli
Peter Hämmerli ist Senior Presales bei AVANTEC. Sein Lieblingsthema ist Managed Security Services. Am Wochenende geht er oft schwimmen oder wandern. Als Ausgleich zum Arbeitstag fährt er nach Feierabend gerne Velo.