Startseite > Security > Zero-Trust für Cloud-Workloads

Zscaler erweitert Portfolio

Zero-Trust für Cloud-Workloads

10. Dezember 2021, 7:00 Uhr |

Die Zero-Trust-Technik der Zscaler-Angebote ZIA und ZPA (Zscaler Internet Access, Zscaler Private Access) dient bislang dazu, Endanwender zu schützen. Nun dehnt der US-amerikanische Security-Spezialist die Services seiner „Zero Trust Exchange“-Plattform auf Cloud-Workloads aus. Dies soll es Unternehmen erlauben, die gesamte Workload-Kommunikation über jegliches Netzwerk hinweg abzusichern. Des Weiteren eigne sich Zscalers Digital Experience Monitoring nun auch für die Überwachung von Teams- und Zoom-Konferenzen.

Zscaler bietet nach eigenem Bekunden nun die branchenweit erste Zero-Trust-Lösung für Cloud-Workloads, die den Cloud-to-Internet-, Cloud-to-Cloud-, Cloud-to-Datacenter- und Intra-Cloud-Datenverkehr absichert. Die Zscaler-Plattform fungiere dabei als Schaltzentrale und vermittle Verbindungen anhand von Richtlinien auf der Grundlage von Identität und Kontext. Dank des neuen Cloud-Connectors kann die Zero Trust Exchange laut Zscaler dabei Workloads direkt mit anderen Workloads verbinden, ohne auf das Netzwerk des Anwenderunternehmens zuzugreifen. Dieser Ansatz eliminiere die Angriffsfläche, indem Workloads für das Internet unsichtbar bleiben. Zugleich beseitige dies Netzwerkengpässe zugunsten höherer Anwendungsperformance.

Ein Problem bei Cloud-Workloads liege darin, dass IT- und DevOps-Teams die benötigten Cloud-Umgebungen bislang weitgehend manuell anlegen, sagte Nils Ullmann, Solutions Archictect bei Zscaler, gegenüber LANline. Dies berge das Risiko von Wildwuchs und lasse viel Raum für Fehler – beispielsweise für S3-Buckets, die per Internet öffentlich einsehbar sind. Um diese Lücke zu schließen, sichere die hauseigene Zero-Trust-Technik nun neben dem Nord-Süd- auch den Ost-West-Verkehr der Cloud-Anwendungen ab.

Der neu eingeführte Cloud Connector ist eine VM, die laut Ullmann als Routing-Instanz in einer eigenen VPC (Virtual Private Cloud) dient. Das Policy-Enforcement erfolge dann am Zscaler-Knoten. Man könne dazu Regeln im Zscaler-System erstellen oder dorthin exportieren, bislang allerdings nur manuell. Falls man aber Zscalers Zero Trust Exchange schon im Einsatz habe, erhalte man so eine einheitliche Ansicht (Single Pane of Glass) für die Steuerung der Richtlinien. Damit könne man die gesamte Umgebung zentral verwalten und überprüfen. Da die Cloud-Dienste durch Zscaler Private Access nicht im Internet auftauchen, verringere sich die Angriffsfläche erheblich.

Integriert sind laut Ullmanns Angaben auch Cloud-Entitlement-Management- und Cloud-Posture-Management-Services. Über APIs könne man damit zum Beispiel die erwähnten offenen S3-Buckets aufspüren und das Risiko beheben.

Zugleich sorge die Lösung für die Mikrosegmentierung der Workloads, sofern nicht schon vorhanden. Per Machine Learning (ML) erkenne sie die erforderliche Kommunikation. Diese Kommunikation erlaube die Software, alles andere werde verboten – also praktisch ein Application Whitelisting. Das könne auch Cloud-übergreifend erfolgen. Zur Überwachung und Auswertung gibt es laut Ullmann rollenbasierte Interfaces, sodass ein IT-Team die Sicherheitsaufgaben den Fachleuten überlassen könne.