Zscaler heeft na bijna 15 jaar bouwen een platform dat gebruikers, devices en workloads veilig verbindt met applicaties. Aanvankelijk focuste het bedrijf daarvoor op een Secure Web Gateway (SWG), maar door een flinke expansie spreekt het inmiddels over de Zero Trust Exchange. Zscaler wil daarmee technologie bieden om af te stappen van een oud securitykasteel en over te gaan op een veilig eiland in de cloud waar verificatie, inspectie en policy enforcement centraal staan.

Zscaler heeft in zijn bijna 15-jarig bestaan een goede reputatie opgebouwd binnen de securitymarkt. Zo neemt het de toppositie in de Gartner Magic Quadrant for Security Service Edge in, een relatief nieuw framework waarbinnen netwerksecurity-diensten convergeren. Daar valt veilige toegang tot het internet middels een SWG onder, maar ook toegang tot apps met bijvoorbeeld een cloud access security broker (CASB) en zero trust network access (ZTNA). Daar wil Zscaler zoveel mogelijk in ondersteunen met zijn kernproduct Zero Trust Exchange.

Luister ook eens onze podcast waarin we in gesprek gaan met Zscaler over SSE.

Om een zo goed mogelijk beeld te krijgen van wat Zscaler op dit moment kan bieden, gingen we tijdens het recente evenement Zenith Live in gesprek met meerdere medewerkers van het bedrijf. Ook wat we nog kunnen verwachten namen we in onze gesprekken mee. Dit om een zo accuraat mogelijk beeld van de huidige activiteiten te krijgen.

Zscaler ziet zich als ideale partij voor innovatieve bedrijven

Als we even teruggaan naar de basis die Zscaler wil ondersteunen, dan valt op dat CEO en oprichter Jay Chaudhry veelvuldig spreekt over het mogelijk maken van digitale transformatie. Nou zijn wij zelf niet zo van dat buzzword, wat op zich niets concreets zegt. Chaudhry ziet digitale transformatie echter als kritiek element om als bedrijf competitief te zijn en in de huidige markt te overleven. Hij splitst digitale transformatie zodoende op in drie fases, om het wat overzichtelijker te maken.

In de ogen van Chaudhry begint een transformatieproces bij applicaties. Het gaat hierbij niet alleen om lift-and-shift van kritieke applicaties als ERP en CRM, maar ook om het snel ontwikkelen van software in de cloud. “Maar hoe goed de applicaties ook zijn: als je werknemers, klanten en leveranciers er niet veilig toegang tot kunnen krijgen, dan zal het niet zo effectief zijn”, aldus Chaudhry in zijn keynote. Daarmee raakt hij de beperkingen van wat Zscaler als legacy networking en security ziet. Oude netwerk- en securitybenaderingen zijn gemaakt voor het datacenter. Een oud securitykasteel dat volgens Zscaler niet langer houdbaar is.

“Daarom is het transformeren van het netwerk en de security heel belangrijk voor de digitale transformatie. De laatste 30 jaar, beginnend eind jaren 80 en begin jaren 90, hebben we allemaal een Hub-and-Spoke Network gebouwd waarmee je ieder branch office kan verbinden met ieder datacenter. En je kon naar een branch office gaan voor applicatietoegang, dat was mooi. Toen bouwden we grote Castle-and-Moat Security, waarbij alle applicaties in het datacenter zaten. In de oude wereld was dat logisch”, aldus Chaudhry.

In de huidige situatie, waarin medewerkers, klanten en partners veel cloud gebruiken en mobieler zijn, is de oude situatie volgens Chaudhry niet meer houdbaar. “Het moet getransformeerd worden. Het moet veranderd worden. Dat vereist een nieuwe architectuur”, vertelt Chaudhry over de verandering van bedrijven. Het antwoord is in zijn ogen zero trust. “Zero trust gaat om het veilig verbinden van geautoriseerde gebruikers, devices en workloads, gebruikmakend van policies.”

Een modern bedrijf moet in zijn optiek naast applicatietransformatie dus vol voor netwerk- en security-transformatie gaan. Alleen dan wordt op een veilige manier verandering en een competitief voordeel gerealiseerd. Het zorgt er eigenlijk voor dat Zscaler alleen een match ziet met bedrijven die openstaan voor die digitale transformatie.

Hoe ziet een moderne architectuur eruit?

Zscaler vindt het gezien het huidige dreigingslandschap hoogtijd dat bedrijven zich ervan verzekeren dat ze over goede en moderne security beschikken. Hackers liggen immers voortdurend op de loer om data te stelen. Het antwoord van Zscaler is de zero trust-architectuur. Dat begrip an sich wordt in de securitywereld vandaag de dag veel gebruikt, waardoor er wat verwarring bestaat. Zscaler praat nagenoeg nog uitsluitend over zero trust, wat het een echte zero trust-speler maakt. Zo is de startpagina van de website volledig gefocust op de term en het kernproduct heeft zero trust in zijn naam.

Zscaler ziet zero trust als een methode waarbij applicaties de bestemming zijn en gebruikers, apparaten en workloads in de basis niet worden vertrouwd. Er bevindt zich als het ware een schakelbord (exchange) tussen de gebruiker en applicatie. De exchange begint met het verifiëren wie de gebruiker is, welk device hij gebruikt en welke bestemming de gebruiker heeft. De volgende stap is het evalueren van het beveiligingsrisico. Dat kan door te inspecteren of er aanwijzingen zijn van malafide onderdelen in het verkeer, maar ook door te controleren op potentieel dataverlies. Vervolgens is er nog een stuk policy enforcement, als laatste stap om de juiste gebruiker met de juiste applicatie te verbinden.

Een zero trust-architectuur beschikt in de ogen van Zscaler dus over drie kerncomponenten: verificatie, inspectie en policy enforcement. Die drie componenten zijn weer onder te verdelen in zeven stappen, zoals de onderstaande afbeelding laat zien.

Gebruikers beschermen

Op zich biedt Zscaler hiermee een duidelijk overzicht, maar de details van de technologie ontbreken nog. Het merendeel van de bedrijven dat Zscaler gebruikt, zal met name Zscaler gebruiken voor ‘User + Device’ (onderaan de afbeelding), wat het het belangrijkste stukje maakt om toe te lichten. Hier valt Zscaler Internet Access (ZIA) onder, de benaming voor wat we als SWG kunnen zien. Deze dienst geeft de gebruiker veilige toegang tot het internet en SaaS-applicaties. Dit door het verkeer te inspecteren op ransomware, phishing en andere malware. Door de inspectie kan ZIA kwaadaardige hackpogingen stoppen. Zscaler vertrouwt hiervoor op threat intelligence uit 300 biljoen transacties die de Zero Trust Exchange dagelijks verwerkt. Deze enorme bak met data zorgt ervoor dat heel veel pogingen te herkennen zijn, door bestaande patronen te herkennen of AI de malware te laten herkennen.

Tip: Zscaler heeft grootste beveiligingscloud ter wereld

Een ander veelgebruikt onderdeel om gebruikers te beschermen is Zscaler Private Access (ZPA), het ZTNA-product van de securityleverancier. Hiermee regelt Zscaler veilige toegang tot private apps. De veilige toegang is mogelijk doordat ZPA applicaties onzichtbaar voor het internet en ongeautoriseerde gebruikers maakt. Inside-out connecties zorgen ervoor dat IP’s nooit worden blootgesteld. Toegang wordt bepaald op basis van identiteit en context en er vindt applicatiesegmentatie plaats om de toegang te beperken.

Nieuwer in het verhaal van gebruikersbescherming is Zscaler Digital Experience (ZDX). Deze monitoringsoplossing is enkele jaren geleden geïntroduceerd om de digitale ervaring te meten en verbeteren. Door inzicht te krijgen in prestaties van software kunnen beheerders met ZDX problemen vinden en oplossen voordat de gebruiker het merkt.

Uitbreiding naar workloads

Het beschermen van gebruikers is eigenlijk altijd wel de kern van Zscaler geweest. Momenteel zit het bedrijf echter in een periode dat het daar een schepje bovenop doet. Het gaat sinds kort ook voor workloadbescherming met de tool Zscaler Workload Communications. “Workloads praten met andere workloads, dus speelt zero trust een belangrijke rol. We hebben onze core ZIA- en ZPA-functionaliteit gepakt en toegepast op workloads”, legt Chaudhry uit. Door de stap maakt Zscaler app-to-app verbindingen mogelijk tussen cloud en on-premises omgevingen.

Zscaler gaat een schepje bovenop de workloadbescherming doen door Posture Control te lanceren. Chaudhry noemt dit het tweede stukje van het beveiligen van workloads. “Ze moeten veilig communiceren en daarbovenop, wanneer je de workloads lanceert, je ervan verzekeren dat ze juist geconfigureerd zijn. Er zijn honderden configuraties rond workloads. En je moet zeker weten dat de juiste mensen toegang en permissies hebben. Daarnaast moet je zeker weten dat het aanvalsoppervlak geminimaliseerd is en er geen kwetsbaarheden zijn. Al die zaken zijn samengebracht in één geïntegreerd aanbod”, aldus Chaudhry over de introductie.

Over Posture Control schreven we ook een los artikel, waarin je meer over de functionaliteit kunt lezen. Het idee is dat de combinatie met Workload Communications uiteindelijk leidt tot een ‘end-to-end experience van build time to run time’, oftewel de volledige levenscyclus van een workload.

Naast IT ook OT

Het laatste onderdeel waar Zscaler op gaat zitten is het beveiligen van IoT en OT. Deze stap werd eigenlijk in gang gezet door vraag onder klanten, begrepen we van Zscaler. Zij beschikken over fabriekslocaties met een traditionele netwerk-setup. Vanuit veiligheidsperspectief niet ideaal, want zodra een hacker zich op het netwerk bevindt kan die zich vrij bewegen en veel schade aanrichten aan kritieke infrastructuur.

Zscaler zag het vanuit die optiek als een logische stap om de Zero Trust Exchange-technologie naar fabrieksomgevingen te brengen. Daardoor is het voor deze bedrijven mogelijk om veilig een remote connectie op te zetten zonder VPN te gebruiken. Zscaler biedt de mogelijkheid om zijn technologie in de omgeving te gebruiken of telemetrie van IoT- en OT-devices te sturen naar een data lake in AWS of Azure. Daarnaast werkt Zscaler voor deze benadering nauw samen met Siemens, een partij met flinke aanwezigheid in OT-omgevingen, om samen te integreren en innoveren.

Van SWG naar zero trust

Alles bij elkaar biedt Zscaler nu een platform om een flink deel van het zero trust-vraagstuk in te vullen. Het zorgt ervoor dat gebruikers, workloads en devices veilig communiceren met apps. Vanuit de SWG-achtergrond is het verder gaan bouwen aan wat uitgegroeid is tot de Zero Trust Exchange. Hier kunnen ook weer andere securitytechnologieën aan gekoppeld worden. Denk bijvoorbeeld aan Okta voor identiteitsbeheer of Splunk voor security operations. Uiteindelijk kan Zscaler een hoop zero trust-zaken dekken, maar kan het daar niet in zijn geheel in voorzien. Het kiest echter wel een zeer agressieve marktbenadering door volledig op de zero trust-trein te springen en het te zien als iets dat veel meer is dan een hype.

Tip: Zscaler breidt Zero Trust uit van cloud naar on-prem