Es ist geschafft, der ganze Traffic läuft über Zscaler! Doch beim genaueren Hinschauen fällt auf, da stimmen die lizenzierten Benutzer und meine Benutzer nicht überein. Es werden mehr Zscaler Client Connector (ZCC) Lizenzen verwendet als gekauft, die Anzahl Benutzer im User Management stimmen nicht mit den bestellten Lizenzen überein oder Zscaler sendet einen Hinweis zur Prüfung der Benutzer. Nun stellt sich die Frage, was ist zu tun? Wie kann das geprüft werden? Dieser Blogartikel zeigt einerseits auf, wie die Benutzeranzahl berechnet wird und andererseits gibt er Empfehlungen, um die Benutzerlizenzierung transparent zu gestalten.

Wie wird Traffic bei Zscaler berechnet?

Zscaler berechnet die Benutzeranzahl nach aktiven Benutzern sowie mit einer Mischrechnung über unauthentisierten Traffic. Bei unauthentisiertem Traffic handelt es sich um Traffic, der von Zscaler nicht eindeutig zugewiesen werden kann, da er nicht über eine Anmeldung, Applikation oder Location identifiziert wird.

    • Anmeldung: Authentisierter Traffic durch Benutzer
    • Applikation: Beispielsweise O365 Traffic, welcher über die Microsoft Recommended One Click Configuration gesteuert wird.
    • Locations: Sublocations in Zscaler wie Server, Guest Wifi oder IoT-Traffic

Wie können meine Benutzer überprüft werden?

Zur Prüfung der aktiven Benutzer hat Zscaler einen Report erstellt, welcher ausgeführt werden kann. Dieser kann im Zscaler Internet Access Portal über Analytics | Web Insights (Bild1: Filter einstellen) aufgerufen und über den Exportbutton (Bild 2: Export) exportiert werden. In diesem Report befinden sich dann alle Benutzer, die in den letzten 3 Monaten aktiv waren.

    1. Filter: Timeframe letzte 3 Monate oder gewünschten Zeitraum wählen
    2. Web Insights umstellen von «Overall Traffic» auf «Users»
    3. Apply Filters
    4. Export Benutzer
Zscaler Overusage
Bild 1: Filter einstellen
Zscaler Overusage
Bild 2: Export

Die Menge des unauthentisierten Traffics kann wie folgt geprüft werden.

    1. Unter Administration | Advanced Settings | Enable Policy for Unauthenticated Traffic den Haken aktivieren, speichern und auf der linken Seite über Activation aktivieren.
    2. Unter Analytics | Web Insights | Register Logs die folgenden Filter einstellen:

a. Timeframe
b. Select Filters: User und «noauth» suchen und alle 7 «noauth»-Benutzer auswählen und mit Apply Filters bestätigen.

Zscaler Overusage

Traffic, der keinem Benutzer, Location oder Applikation direkt zugewiesen werden kann, wird über eine Mischrechnung bestimmt. Dafür wird ein Tagesbedarf an Transaktionen pro User definiert, beispielsweise 2000 Transaktionen pro Tag. Die Anzahl unauthentisierter Transkationen pro Tag kann dann durch diesen Wert gerechnet werden, was wiederum eine zusätzliche Useranzahl ergibt.

Wie kann die Benutzeranzahl transparent dargestellt und korrigiert werden?

Empfehlung 1: Benutzer authentisieren

Die erste Empfehlung ist, Benutzer zu authentisieren. Dies kann entweder über eine cookie-based Authentication (Pac File im Browser) oder durch die Verwendung des ZCCs erreicht werden. Weiter empfiehlt es sich, bei der Verwendung der cookie-based Authentication zusätzlich einen GRE- oder IPSec-Tunnel einzurichten, damit die interne IP-Adresse des Clients ebenfalls bei Zscaler ersichtlich wird. Dadurch kann jeglicher Traffic des einzelnen Clients über IP Surrogate ebenfalls identifiziert werden.

 

Empfehlung 2: Benutzer und Zscaler Client Connector Bereinigung

Um einen einfacheren Überblick über die aktiven Benutzer bei Zscaler zu erhalten, wird empfohlen nur die aktiven Benutzer bei Zscaler synchronisiert zu haben. Bei der Verwendung des SCIM-Protokolls in Verbindung mit Azure AD kann dies über eine Gruppe gesteuert werden. Nur Benutzer, die in einer dedizierten Zscaler Gruppe sind, werden nach Zscaler synchronisiert und dürfen über Zscaler ins Internet zugreifen. Bei SAML mit ADFS gibt es ebenfalls Möglichkeiten, die Benutzer dediziert über eine Gruppe zu steuern. Dafür müsste jedoch LDAP Synchronisation verwendet werden, was den Nachteil hat, dass der LDAP Synchronisation Client Zugriff auf eine dedizierte Version der AD Benutzer Zugriff haben müsste. Ebenfalls kann die korrekte Anzahl auch über einen organisatorischen Task erreicht werden, indem beim Austritt der Benutzer, diese aus dem Zscaler Internet Access Portal gelöscht werden.

Bei den ZCC bietet Zscaler die Möglichkeit, im ZCC Webportal nicht aktive Devices nach einer gewünschten Anzahl Tage zu löschen. Auf diese Weise können die Devices im Device Portal ebenfalls unter Kontrolle gehalten werden.

 

Empfehlung 3: Verwendung von Sublocations

Zur Transparenz des eigenen Traffics ist die Empfehlung, dass Server, Guest Wifi oder IoT-Traffic aus Locations über einen GRE- oder IPSec-Tunnel geroutet werden. Auf diese Weise kann im Location-Management der Traffic auf verschiedene Sublocations zugewiesen werden. Dadurch kann ausgewiesen werden, ob es sich um Server, Guest Wifi oder IoT-Traffic handelt.

 

Diese drei Empfehlungen können helfen, den unauthentisierten Traffic transparent zu gestalten und entsprechend zu minimieren.

Links

www.avantec.ch/loesungen/zscaler/