Wir haben bereits im Frühjahr 2019 einen Blogartikel zu diesem Thema verfasst, ich möchte die aktuelle Lage nun, 3 Jahre später, in einem neuen Artikel zusammenfassen.
Wichtig zu verstehen ist dabei, dass sich die Situation schnell wieder ändern kann und bereits in wenigen Wochen können die Herausforderungen andere sein.
Aktuelle Situation
Zscaler oder ein Partner von Zscaler betreiben drei Datacenters in China: eines in Beijing, eines in Tianjin und eines in Shanghai. Die beiden DCs Beijing und Tianjin sind an China Unicom angebunden (eher im Norden Chinas), das in Shanghai an China Telecom (eher im Süden Chinas).
Aktuell wird Verkehr zu den Zscaler Knoten Beijing und Tianjin von dem ISP immer wieder gedrosselt und unterbrochen, die Data Loss Rate schwankt ganz extrem. Der Knoten in Shanghai scheint davon nicht betroffen zu sein, aufgrund der schwankenden Performance der beiden anderen Knoten kommt es dort regelmässig zu einer Überlastung der Knotenkapazität, womit sich die Situation an diesem Knoten für den Benutzer nicht wesentlich von den andern beiden unterscheidet.
So ist die Situation entstanden
Zu der Great Firewall of China (GFoC oder GFW) gibt es hinreichend Artikel im Netz, nur in aller Kürze zusammengefasst: Der Internetverkehr in China ist extrem stark reglementiert und die GFoC ist Teil der Umsetzung der Reglementierung. Der Internetverkehr wird mehr oder minder kontinuierlich geprüft, URLs oder IP Adressen sowie Applikationen werden blockiert, weiter unterstützen Schlüsselwortsuche oder DNS Umleitungen diese Massnahmen. Die „Policy“ dieser GFoC kann, ohne vorgängige oder nachgelagerte Kommunikation von Release Notes, ändern. So können beispielsweise lokale Ereignisse einen grossen Einfluss auf die Filterung und so auch auf die Performance durch die GFoC haben.
Die aktuellen Probleme in Tianjin und Beijing scheinen auf ein Problem zwischen dem chinesischen ISP und einer (nicht vorhandenen) ICP Lizenz zurückzuführen zu sein. Eine solche ICP Lizenz wird in China von Content Providern verlangt, damit Inhalte von solchen Content Providern nicht so streng gefiltert oder blockiert werden. Zscaler sieht sich selbst nicht als Content Provider und kann keine solche Lizenz beantragen, da dies entgegen diesem License Agreement wäre. Beispielhaft zur Begründung der Zscaler Haltung kann ein Benutzer ohne Zscaler denselben Content abrufen wie Benutzer via Zscaler. Deshalb sieht sich Zscaler nicht als Content Provider. Weitere spezielle Lizenzen, beispielsweise für die Bereitstellung von VPN Services oder die Bereitstellung von Datacenter- oder Netzwerkservices scheinen aktuell kein Problemfeld zu sein.
Mögliche Behelfe
Eine Timeline zur Lösung der ICP Lizenz Problematik ist mir leider nicht bekannt.
Falls Sie von diesen Problemen betroffen sind, sollten sie auf Zscaler zugehen, die Sie bei der Eingrenzung der Probleme und der Suche nach der passendsten Lösung unterstützen kann.
Folgende Szenarien stehen zur Diskussion, wobei allenfalls rechtliche Vorbehalte bestehen können, die es unbedingt vorgängig zu klären gibt.
VZEN/PZEN
So heissen bei Zscaler private Enforcement Nodes (ZEN), virtuelle (VZEN) oder phyische (PZEN). Diese Knoten lassen sich technisch an eine „normale“ Internetverbindung anschliessen oder an sogenannte „Premium Internet Business“ Leitungen. Die Lösungen und Architekturen unterscheiden sich erheblich, je nach Bandbreitenbedarf und technischen Voraussetzungen vor Ort und müssen technisch, kommerziell und regulatorisch im Detail geprüft werden.
Premium Internet Business
Die Premium Internet Business Leitungen sind für internationale Firmen und ihre Mitarbeiter ausgelegt und bieten auch ohne V/PZEN eine Möglichkeit für den Internet Access. Teilweise sind auch Managed Services Angebote erhältlich.
Bypass einzelner Services
Um beispielsweise das Arbeiten mit M365 Applikationen zu erleichtern, besteht auch die Möglichkeit, entsprechende Policies zu erstellen um den Verkehr zu M365 Applikationen (zumindest zeitweise) nicht via Zscaler, sondern direkt zu den Microsoft Datacenters zu leiten.
Je nach Situation kann auch eine Kombination oder eine Schnittmenge der Vorschläge zum Ziel führen. Eine detaillierte Analyse der individuellen Situation ist zwingend für den Erfolg der Lösung.
Take away
So ist es leider aktuell nicht möglich, eine „One size fits all“ Lösung zu präsentieren oder eine Aussage zu machen, wann sich die Situation ohne eine kundenseitige Anpassung in China wieder normalisieren wird. Zscaler hat Lösungen oder Behelfslösungen zur Hand, welche gemeinsam diskutiert und abgewogen werden müssen.
Markus Graf
Markus Graf ist Co-CEO und COO der AVANTEC. Als studierter Elektroingenieur und mit über 20 Jahren Berufserfahrung in der IT-Security braucht es einiges bis er die Ruhe verliert. Nicht nur Produkte, sondern die dahinterliegenden Technologien faszinieren ihn. Und treiben ihn jeden Tag aufs Neue an, sich mit Bedrohungen und Chancen in der IT-Security zu beschäftigen.