Zscaler: ‘Cloudsecurity biedt veel meer voordelen dan traditionele VPN-verbindingen’

Bedrijven en organisaties brengen IT-diensten steeds meer naar de cloud. Dit betekent ook dat zij steeds meer verwachten van een goede beveiliging van deze diensten en de diverse platformen. Cloudsecurity is daarom een groeimarkt en gespecialiseerde bedrijven als Zscaler spelen hierop in. Techzine sprak met Solutions Architect Nathan Howe van Zscaler over waarom bedrijven steeds meer naar cloudgebaseerde security overstappen en wat dit gaat betekenen voor de toekomst van de nu nog veel gebruikte VPN-verbindingen.

Veel bedrijven en organisaties zijn tegenwoordig bezig -of hebben dit in veel gevallen al gedaan- met het overhevelen van hun IT-diensten naar de cloud. Niet alleen nemen zij steeds meer hun diensten af via een as-a-service-model, maar brengen ook al hun data en workloads onder bij één van de grote cloudplatforms.

De stap naar de cloud heeft ook impact op de beveiliging van al deze diensten, data en workloads. Bedrijven en organisaties bekijken daardoor steeds nadrukkelijker hoe alle verbindingen naar de diverse cloudomgevingen en hun assets worden beveiligd. Hiervoor zijn ze natuurlijk vaak afhankelijk van de desbetreffende dienstverlener en de beveiliging door deze partij te laten plaatsvinden. Als alternatief kunnen zij natuurlijk alle clouddiensten via het eigen datacenter laten lopen en deze beveiligen met onder meer een firewall-toepassingen.

Deze beide alternatieven zijn toch niet vaak de meest efficiënte. Bedrijven -en natuurlijk ook hun medewerkers- werken steeds internationaler. Dit betekent dat overal en op elk gewenst moment toegang tot deze clouddiensten en applicaties mogelijk moet zijn. Dit kan met traditionele ‘hub & spoke’-netwerkarchitecturen leiden tot latency. Hierdoor kunnen de gewenste clouddiensten of applicaties niet altijd goed werken, met alle gevolgen van dien.

Nut van cloudsecurity

Een securitybedrijf als Zscaler speelt hier handig op in, zo schreven we al vorig jaar. Dit soort IT-vendoren bieden diensten waarbij de beveiliging helemaal op clouddiensten en bijbehorende applicaties is gericht; van de toegang tot, het beveiligen van de diensten en applicaties en natuurlijk van ook van de onderliggende data en workflows.

Volgens Zscaler-Solutions Architect Nathan Howe zien steeds meer bedrijven het nut in van cloudsecurity. Volgens hem is de belangrijkste drijfveer hierachter dat bedrijven clouddiensten volledig binnen hun omgevingen willen gebruiken en vooral op een simpele manier. Hierdoor hebben deze diensten op één of andere manier beveiliging nodig. Bedrijven en organisaties kunnen daarbij vertrouwen op cloudsecurity-specialisten die dit ‘as-a-service’ aanbieden.

Naast het beveiligen van de diensten en bijbehorende applicaties, data en workflows gaat het ook om het goed kunnen beveiligen van alle eindgebruikers die de zakelijke clouddiensten gebruiken. Hierbij is het belangrijk dat zij gegarandeerd overal waar zij werken en wanneer zij dat maar willen deze diensten op een veilige manier kunnen gebruiken.

Uitdagingen voor overstap

Bij het overstappen naar de cloud of secure cloud transformation komen bedrijven nog wel uitdagingen tegen. De belangrijkste is volgens Howe dat bedrijven en organisaties in hun transformatieproces nog veel legacy tegenkomen rondom de applicaties die zij gebruiken. Hij geeft aan dat bedrijven en organisaties zich hierop goed moeten voorbereiden en goed checken welke applicaties ze beschikken. Het gaat om operations en niet alleen om migratie bij het overstappen naar cloudomgevingen.

Cloudsecurity van Zscaler

Het leveren van beveiligingsdiensten voor cloudomgevingen, waarbij iedereen overal en altijd veilig toegang heeft en ook veilig verkeer van data en workflows kan garanderen, is precies wat Zscaler levert. In het kort biedt het securitybedrijf hiervoor een tweetal oplossingen; Zscaler Internet Access en Zscaler Private Access (ZPA). Het securityplatform Zscaler Internet Access beschikt over nodes in meer dan 100 datacenters wereldwijd. Via deze nodes zorgt de securityspecialist ervoor dat klanten altijd een snelle beveiligde verbinding hebben met hun eigen datacenter en ook met de diverse clouddiensten van andere aanbieders.

Het hele verkeer is daarbij versleuteld en kan worden voorzien van additionele diensten, zoals firewalls, data loss prevention (DLP), controlemogelijkheden voor bandbreedte, sandbox-functionaliteit en gedragsanalyse.

Loskoppelen van eindgebruikers van applicaties

De mogelijkheden van dit platform komen volgens Howe het beste tot hun recht als het gaat om toegang tot applicaties. Applicaties bevinden zich tegenwoordig steeds minder in fysieke datacenters, maar in de cloud. Om toegang tot deze applicaties te krijgen, moeten medewerkers traditioneel verbinding maken met het bedrijfsnetwerk om ze te kunnen benaderen. Hiervoor wordt dan vaak een VPN-verbinding opgezet. Nadat zij met deze specifieke verbinding met het bedrijfsnetwerk zijn verbonden, kunnen zij de applicatie benaderen die zich vaak in een on-premise datacenter bevindt.

Met de ZPA-dienst verandert dit. Hierbij wordt de eindgebruiker eigenlijk van de applicatie ‘losgekoppeld’. Wanneer medewerkers een bepaalde applicatie willen benaderen, doen zij dit niet met een beveiligde VPN-verbinding, maar krijgen zij direct toegang tot de applicaties en de diensten die deze applicaties leveren. Dit maakt het mogelijk om deze applicaties overal te plaatsen, of dit nu op fysieke hardware is, in het on-premise datacenter of in public cloudomgevingen als AWS en Azure. Ook kunnen dit natuurlijk de cloudplatforms zijn van bekende applicaties als Oracle, Salesforce en SAP.

Een groot voordeel hiervan is volgens Howe dat het niet meer uitmaakt waar de applicaties zich bevinden. Voor IT-beheerders is dit heel handig omdat zij dan de applicaties naar wens kunnen beheren en orkestreren, zonder dat zij zich daarbij hoeven af te vragen hoe de uiteindelijke eindgebruikers hiertoe toegang blijven hebben. Ook is ZPA helemaal softwaregebaseerd, zodat bedrijven en organisaties niet in additionele appliances hoeven te investeren.

Hoe werkt ZPA?

ZPA werkt met een speciale applicatie op een device van een eindgebruiker. Deze API zoekt een outbound-toegang tot de dichtstbijzijnde in de cloud gehoste Zscaler Enforcement Node in de Zscaler Cloud. Deze node werkt als een ‘tussenpersoon of broker’ voor de applicatie op de devices van de eindgebruikers en de App Connector die het securitbedrijf plaatst voor de toegang tot de desbetreffende applicaties in de cloud of in datacenters. De App Connector zet uit deze omgeving vervolgens alleen een outboud-verbinding op met de eindgebruiker.

Al het verkeer, van vraag tot toegang tot de terugkerende outbound-verbinding, verloopt via SSL-microtunnels. Deze App Connector kijkt daarbij alleen naar verzoeken tot bepaalde apps en niet naar inkomende verbindingen. De microtunnels blijven alleen bestaan wanneer de applicaties moeten ‘praten’ met de eindgebruikers. Wanneer ze niet ‘praten’ verdwijnen ze.

Alternatief voor traditionele VPN

De cloudsecurity-oplossingen van Zscaler zijn dus een goed alternatief voor de nu nog vaak gebruikte VPN-verbindingen, vindt Howe. Met een VPN-verbinding zien gebruikers nog altijd vaak het hele netwerk. Dit maakt het natuurlijk kwetsbaar. Bij de oplossing van Zscaler, met aan twee kanten uitgaande microtunnels, zien gebruikers niets anders dan alleen de applicaties waar zij toegang tot willen of mogen hebben. Dat is het enige wat zij op dat moment nodig hebben. Hierdoor zijn cloudsecurity-oplossingen als ZPA volgens de Solutions Architect veel veiliger.

Toekomst van VPN

Of VPN in de nabije toekomst het onderspit gaat delven, hangt volgens Howe nog af van hoe VPN wordt ingezet. In de eerste plaats gebruiken bedrijven en organisaties VPN-clients om hun eindgebruikers toegang tot applicaties of diensten te geven. Dit wordt ook wel ‘client to site’ VPN genoemd. Howe verwacht dat dit gaat verdwijnen omdat met de opkomst van veilige toegang tot applicaties, zoals die van Zscaler, deze clients niet meer nodig zijn. Hierdoor verandert het beveiligingsmodel dat bedrijven en organisaties hanteren van een netwerkgericht beveiligingsmodel naar een beveiligingsmodel dat zich richt op het veilig toegang geven tot applicaties.

Daarnaast gebruiken bedrijven en organisaties VPN om bijvoorbeeld datacenters voor onderling verkeer met elkaar te verbinden. Hierbij kan overigens het VPN-verkeer voor medewerkers op meeliften. Dit soort VPN-verbindingen worden ook wel ‘site to site’-verbindingen genoemd.

Bij dit type verbindingen, zo geeft de Solutions Architect aan, zal voor VPN nog wel een rol zijn weggelegd. Zeker als hierbij het VPN-verkeer voor medewerkers wordt vervangen door secure application access als ZPA, dat blijft alleen zogezegd ‘machine to machine flow’ over, zoals voor onder andere data-synchronisatie tussen databases. VPN is daar heel geschikt voor volgens Howe.

Verbindingen met derde partijen

Verder zijn er nog de verbindingen die bedrijven met derde partijen leggen. Om dit veilig te kunnen doen, is een VPN-verbinding een goed startpunt. Toch ziet Howe dat in de nabije toekomst hiervoor VPN-verbindingen eigenlijk niet meer nodig zijn.

Dit hangt vooral af welke architectuur bedrijven gaan toepassen voor deze laatste soort verbindingen. Dus of dit een netwerkgericht beveiligingsmodel wordt of een model dat zich richt op veilige toegang tot applicaties.

Veilige toegang tot applicaties meest belangrijk

Het belangrijkste is dat eindgebruikers gewoon veilig toegang tot applicaties moeten hebben. De manier waarop dit gebeurt, moet simpel zijn. Eindgebruikers moeten hier niet over hoeven na te denken. We zijn dus benieuwd met welke oplossingen Zscaler in de nabije toekomst komt om de veilige toegang tot applicaties te bewerkstelligen.