De kans is aanwezig dat je nog nooit van Zscaler hebt gehoord. Toch verzorgt het bedrijf beveiligingsdiensten voor menig organisatie wereldwijd, beschikt het over 100 datacenters en de grootste beveiligingscloud ter wereld.
Zscaler is elf jaar geleden opgericht, toen eigenlijk nog niemand van de cloud had gehoord. Salesforce begon als een van de eerste clouddiensten populair te worden, terwijl de naam cloud nog bedacht moest worden. Bij Zscaler voorzagen ze dat uiteindelijk vrijwel alles naar de cloud zou gaan, met de nodige beveiligingsrisico’s tot gevolg. Je kan om de cloud simpelweg geen hek zetten, zoals je met je on-premise datacenter doet. Daar moest een oplossing voor komen en dat werd de missie van Zscaler.
Je kan om de cloud simpelweg geen hek zetten
Bedrijven vandaag de dag migreren alles naar de cloud, maar qua beveiliging doen ze maar heel weinig. Ze zijn vaak alleen afhankelijk van de beveiliging van de cloudprovider. De simpelste oplossing zou kunnen zijn om al je clouddiensten via je eigen datacenter te laten routeren, want dan kan je er een dikke firewall tussen zetten en heb je dat hek in theorie weer terug. Feit is echter dat we steeds mobieler worden en organisaties steeds internationaler opereren. Je wil niet als je in de Verenigde Staten zit, je dataverkeer via Amsterdam routeren, of vice versa. Dat duurt simpelweg veel te lang, een snellere reactietijd is ook belangrijk.
Met 100 datacenters heb je altijd een snelle verbinding
Zscaler biedt dit hek als ware aan, plus een hele hoop meer. Het bedrijf levert dat vanuit meer dan 100 datacenters verspreid over de wereld. Zscaler kiest voor betrouwbare carrier neutral datacenters, zoals bijvoorbeeld Equinix. Het voordeel van 100 datacenters is dat je altijd een razendsnelle verbinding hebt met het datacenter en je clouddiensten. Er is altijd wel een node in de buurt en binnen die Zscaler-nodes zijn weer connecties met alle bekende cloud service providers. Door gebruik te maken van Zscaler is al het internetverkeer versleuteld en wordt het onderworpen aan een aantal beveiligingen. De meest voor de hand liggende is een proxy tussen het webverkeer van de client en de cloud, maar ook nog toepassingen als een firewall, data loss prevention (DLP), bandwidth control, cloud sandbox en ook wordt er gedragsanalyse toegepast op het dataverkeer.
Zscaler werkt enkel met eigen technologie
Zscaler heeft ervoor gekozen om alle technologie voor hun oplossing zelf te ontwikkelen en een security cloudplatform te leveren dat is gebouwd from scratch. Het is dus geen combinatie van allerlei verschillende bekende beveiligingsproducten van andere leveranciers. Zelfs de Next Gen firewall en DLP-product zijn volledig zelf ontwikkeld en zeer geschikt voor enterprise-organisaties.
Hoe werkt ZPA?
Wat Zscaler als het ware doet is tussen elke cliënt of router op kantoor een SSL-tunnel opzetten. Hierdoor is de verbinding tussen de client of de kantoorlocatie en het datacenter van Zscaler altijd versleuteld. Er kan worden gekozen voor een applicatie op de client of het koppelen van een compleet bedrijfsnetwerk of misschien wel een combinatie van beide. Dit zal afhankelijk zijn van het type bedrijf.
Het grote voordeel van Zscaler ten opzichte van een VPN is dat de SSL-tunnels die Zscaler gebruikt op zichzelf staan. Veel VPN-gateways zijn heel duidelijk te herkennen en te achterhalen en dus ook makkelijker te hacken, met alle gevolgen van dien. Als een hacker eenmaal achter de VPN weet te komen zit hij vaak op het gehele bedrijfsnetwerk. Een SSL-tunnel is simpelweg een routering van de verbinding en daardoor onzichtbaar van buitenaf.
Zscaler heeft grootste beveiligingscloud ter wereld
Doordat Zscaler inmiddels meer dan 100 datacenters in gebruik heeft, beschikt het ook over een enorme hoeveelheid aan dataverkeer waarbinnen het malware-patronen kan analyseren. Zscaler is in staat om aanvallen op een bedrijf of een uitbraak van malware zeer vroegtijdig te detecteren. Daarvoor hebben ze ook de cloud sandbox ontwikkeld. Als ze iets vinden wat mogelijk ongewenst is kunnen ze dat in de cloud sandbox plaatsen en gedurende een aantal dagen monitoren om te zien wat het doet. Doordat ze zoveel dataverkeer kunnen analyseren maken ze veel gebruik van gedragsanalyse om mogelijke hackers, malware of DDoS-aanvallen vroegtijdig te detecteren. Deze gedragsanalyse is daarmee ook een defensief middel tegen advanced threat protection (ATP).
Verbinden met clouddiensten
Als een gebruiker is verbonden met Zscaler Private Access (ZPA), dan heeft de gebruiker zich geauthenticeerd en is die verbonden met het dichtstbijzijnde Zscaler-datacenter. Op basis van die authenticatie kan Zscaler of de systeembeheerder bepalen met welke diensten je wel of juist niet mag verbinden. Bijvoorbeeld wel met Office 365, maar niet met Salesforce. Zscaler heeft connectors met veel grote clouddiensten, waardoor er een private verbinding kan worden opgezet tussen Zscaler en de clouddienst voor de specifieke gebruiker. De verbinding tussen de clouddienst en Zscaler wordt dus niet gedeeld met de rest van het bedrijf, wat met VPN vaak wel het geval is.
Zscaler kan geen data zien
Zscaler heeft weliswaar diverse beveiligingsmechanismes, maar ze kijken alleen naar patronen en metadata. Ze kunnen bijvoorbeeld zien dat er een Word-document wordt verzonden met de naam “financiële resultaten Q1.docx”, dat het document is aangemaakt op 10 juni 2018, van welk IP-adres het komt en naar welk IP-adres het gaat. De inhoud van het bestand kan Zscaler niet zien. Dat heeft voor- en nadelen.
Het voordeel is dat het hiermee voldoet aan de privacy-eisen van vrijwel alle enterprise-organisaties. Het nadeel is dat Zscaler alleen bestanden kan tegenhouden die direct of binnen een aantal dagen verdacht gedrag laten zien. Als malware wordt verspreid maar is geprogrammeerd om zich de eerste weken rustig te houden, wordt het mogelijk niet gedetecteerd als gevaarlijk wanneer het het netwerk binnenkomt. Echter, vanwege de integratie met detectiemechanismen, kan Zscaler verkeer blokkeren dat nadien naar verdachte sites gaat. Een goede endpoint beveiligingsoplossing is dus zeker aan te raden in combinatie met Zscaler.
Als er iets wordt gedetecteerd dat gevaarlijk is, of mogelijk gevaarlijk is, wordt dit automatisch gedetecteerd via gedragsanalyse. Er volgt automatisch actie, door het bestand in quarantaine te plaatsen of in de sandbox. Het kan ook zijn dat de verbinding gewoon wordt geblokkeerd. De IT-beheerder van het bedrijf of degene die hiervoor is toegewezen kan vervolgens bepalen wat voor actie er moet worden ondernomen. Vanuit Zscaler komen er geen mensen aan te pas, want mensen zijn een mogelijk zwakke schakel en dat wil het bedrijf niet riskeren. Alles gebeurt op basis van AI.
Encryptie belangrijk, maar lang niet bij elk bedrijf
Inmiddels beschermt Zscaler zo’n 60 miljoen gebruikers in 185 landen met zijn diensten, in totaal zo’n 2800 bedrijven. Het bedrijf biedt SSL-scanning, wat voor ongeveer de helft van de bedrijven in Europa nog een zwakke plek is, omdat ze geen SSL-detectie gebruiken. Bedrijven maken in bijna 50 procent van de gevallen nog gebruik van onbeveiligde verbindingen.
Dat aantal is nog steeds een stuk groter dan je zou verwachten. Zeker door de opkomst van SSL leek het de afgelopen jaren heel goed te gaan, maar malware-scans van encrypted verkeer wordt nog lang niet bij alle bedrijven gedaan. De voornaamste reden hiervoor is de mogelijke kosten. SSL-decryptie voor een malware-scan kost veel meer rekenkracht en dat brengt kosten met zich mee.
Snelheidswinst
Het gebruik van Zscaler kan in sommige landen ook een forse snelheidswinst opleveren. Stel dat je als bedrijf gebruikmaakt van Office 365 en het datacenter van Microsoft 1000 kilometer verderop staat, dan kan een Zscaler-datacenter van 100 kilometer verderop over het algemeen een snellere verbinding realiseren. Dit is mogelijk doordat Zscaler directe verbindingen heeft met enorm veel cloudpartners.
Inzicht in wat werknemers doen
Als klanten ervoor kiezen om dataverkeer te delen met Zscaler, is het ook mogelijk om hier analytics op los te laten. Bijvoorbeeld welke websites er worden bezocht, hoe vaak en waar de beveiligingsfeatures tegen aan zijn gelopen in het dataverkeer. Op die manier kan bijvoorbeeld worden achterhaald dat een salesmedewerker binnendienst 40 procent van zijn tijd op YouTube zit, 35 procent van zijn tijd doorbrengt op Facebook en slechts 25 procent van zijn tijd spendeert aan zaken als e-mail en een CRM-oplossing. Op basis van die analytics kan je stellen dat de medewerker zijn werk flink kan verbeteren en het tijd is voor een goed gesprek.
Privacy
Natuurlijk is privacy ook belangrijk. Daarom bepaalt het bedrijf zelf welk dataverkeer het deelt met Zscaler en welke analytics daarop los worden gelaten. Ook als een gebruiker de wereld over reist en bijvoorbeeld in Los Angeles is. De gebruiker zal dan inloggen op het Zscaler-datacenter in Los Angeles. Zodra dat gebeurt wordt het profiel geladen vanuit het datacenter in het land van herkomst, bijvoorbeeld Amsterdam. Dat profiel wordt gebruikt om de details te verifiëren. De dataverkeerslogs worden tijdelijk in het geheugen opgeslagen, niet op schijf. Dat gebeurt alleen in het land van herkomst.
Volgens Zscaler gaat VPN het op de lange termijn afleggen en zullen bedrijven eerder kiezen voor de Zscaler-oplossing of iets competitiefs. Beveiliging is belangrijk en door de hele keten te managen en te analyseren kunnen problemen worden voorkomen.