23.05.2013, 10:50 Uhr

«Websicherheit für den Preis einer Tasse Kaffee»

Ein Cloud-basierter sicherer Web-Zugriff ist die Spezialität von Zscaler. Computerworld hatte Gelegenheit sich mit dem CEO und Mitgründer der Firma, Jay Chaudhry, über den Lösungsansatz der Kalifornier zu unterhalten.
Jay Chaudhry hat den Start-up Zscaler aus der eigenen Tasche finanzieren können
Die Firma Zscaler bietet einen sicheren Webzugang als Cloud-Service an und hat inzwischen gut 100 Kunden in der Schweiz, darunter Swisscom, Huber + Suhner und ein paar Grossfirmen, die nicht öffentlich genannt werden wollen. Was aber unterscheidet das Zscaler-Angebot von anderen Cloud-Lösungen. Computerworld sprach mit Jay Chaudhry, dem Mitgründer und CEO des Unternehmens mit Sitz im kalifornischen San Jose.
strong>Computerworld: Wie sieht Ihr Cloud-Konzept aus. Was ist beispielsweise der Unterschied zwischen Ihrem Angebot und einem Anbieter von «Managed Security Services»?
Jay Chaudhry: Um Ihre Frage zu beantworten, muss ich ein bisschen historisch ausholen. Zunächst versuchten Firmen, ihre IT-Security-Probleme mit Software zu lösen. Unter anderem wegen der mangelnden Performance ging man dazu über dedizierte Hardware-Appliances anzubieten. Appliances haben ihre Vorteile, ich habe selbst Firmen gegründet, die Appliances hergestellt haben und habe auch viele dieser Geräte verkauft. Das Problem ist, dass mittlerweile zu viele Appliances bei den Firmen installiert sind und man dort ein Management-Problem bekommt. Viele Anwender gingen daraufhin die Hersteller an und fragten sie, ob sie nicht die ganzen Appliances auch verwalten könnten. Das war sozusagen die Geburtsstunde von MSS. Im typischen Geschäftsmodell hat der Kunde die Appliances gekauft und der MSS-Anbieter verwaltet diese entweder bei ihm oder bei sich im Rechenzentrum. In jedem Fall kann die Hardware einem Kunden zugeordnet werden. Nach einer Weile stellte sich bei den Diensteanbietern die Frage, ob sie das Ganze nicht auch konsolidieren und zentralisieren könnten und mit ihrer Hardware jeweils mehrere Kunden zu bedienen. Hier kam Virtualisierung ins Spiel. Auf einer Firewall-Appliance konnte man so fünf virtuelle Firewalls betreiben. Danach kam Cloud-Security oder «Security as a Service». Bei diesen Diensten kauft der Anbieter keine Appliances mehr, sondern investiert in Hardware im grösseren Stil. Ein Cloud-Anbieter wie Salesforce.com hat 130'000 Kunden. Da ist es schlicht unmöglich, jedem von diesen eine bestimmte Hardware zuzuweisen, man muss also mandantenfähig  werden. Alles andere wäre viel zu teuer. Und das nicht einmal von einem reinen Hardware-Standpunkt aus gesehen, sondern hauptsächlich wegen der überbordenden Verwaltungskosten. Wir haben dieses Multitenancy-Konzept von Grund auf in der Zscaler-Architektur verwirklicht.
Was sind nun konkret die architektonischen Unterschiede?
Um die Frage zu beantworten, muss ich erst erklären, wie heutige Unternehmensinformatik-Infrastrukturen entstanden sind. Vor allem bei Firmen mit Niederlassungen im In- und Ausland wurde in einem ersten Schritt jedes dieser Büros mit einer Reihe von Appliances separat abgesichert, bis festgestellt werden musste, dass der Unterhalt dieser Architektur viel zu teuer und aufwändig war. Schliesslich wurde der Netzwerkverkehr dank MPLS (Multiprotocol Label Switching) wieder zentralisiert. Das heisst jeglicher Arbeit mit den Softwareprogrammen der Firma wurden über eine zentrale Infrastruktur am Hauptsitz geschlauft, beispielsweise der Zugriff auf das ERP oder den Mailserver. Danach kam der Mobile-Computing- und BYOD-Trend und viele nutzten das Internet. Um die Firmen-Policies durchzusetzen und auch die Webzugriffe abzusichern, müssen Sie in einer solchen Umgebung, den ganzen Internetverkehr ebenfalls durch ihr zentrales Rechenzentrum leiten. Das Problem dabei: Dadurch, dass der Verkehr immer über eine zentrale Stelle abgewickelt wird, muss sehr viel MPLS-Bandbreite zur Verfügung gestellt werden. Und das ist mit beträchtlichen Kosten verbunden. Dazu gesellen sich Probleme mit der Latenz. Die Gefahr besteht nun, dass die User direkt ins Internet gehen und ihre Security-Infrastruktur umschiffen.
Hier hatten wir von Zscaler die Idee, ein weltweites Websecurity-System mit zahlreichen Proxyservern aufzubauen und als Cloud-Service anzubieten. Die Idee ist, dass Sie, wo immer Sie sich auf der Welt befinden, über einen unserer Knoten ins Internet gehen, und zwar versehen mit den Berechtigungen Ihres Unternehmens. Nächste Seite: Mobile Computing als Triebfeder
Sie bieten also Ihren Dienst als Zusatz zur bestehenden Firewall-Infrastruktur der Firma an. Wenn man also etwa mit dem ERP verbunden werden will, geht man immer noch über die MPLS-Verbindung?
Das ist richtig. Nur: In den meisten Fällen macht der klassische Verkehr mit zentralen Diensten des Unternehmens wie ERP und Mail nur 20 Prozent aus. 80 Prozent sind mittlerweile Webanfragen, die nun über unsere Infrastruktur läuft. Und das Verhältnis verändert sich weiter zu unseren Gunsten. Viele sehr grosse Unternehmen verwenden beispielsweise Salesforce, und zunehmend auch Office 365. Dadurch werden noch mehr Ressourcen im Web angezapft. Der Webverkehr nimmt dadurch natürlich rasant zu.
Ist Ihre Lösung vergleichbar mit dem Webcaching von Akamai?
Vom Konzept her sicher, aber wir stehen nicht in Konkurrenz zu Akamai. Denn wir haben mit den Inhalten selbst nichts zu tun. Akamai funktioniert wie folgt: Wenn Sie einen Film herunterladen wollen, schaut Akamai, wo Sie sich befinden, und auf welchem Server in ihrer Nähe eine Version des von Ihnen angeforderten Inhalts zwischengespeichert ist. Wir speichern dagegen keine Inhalte zwischen, bei uns geht es alleine darum, einen Security-Check durchzuführen und die zuvor definierten Firmen-Policies beim Zugriff auf das Web durchzusetzen.
Sie sichern also den Verkehr zwischen ihrem Proxy und dem Web ab. Was passiert aber auf dem Weg zu Ihrem Websecurity-Proxy? Könnte hier nicht eine «Man in the middle»-Attacke stattfinden?
Nehmen Sie einen Zugriff auf Salesforce.com. Hier identifizieren wir den User und verschlüsseln dann alles. Es ist also ziemlich schwierig für einen Hacker, sich hier noch dazwischen zu klemmen. «Man in the Middle»-Angriffe sind abgesehen davon selten. Die meisten Angriffe und das grösste Security-Risiko besteht in Sachen Botnets. Und damit das mobile Gerät des Anwenders zum willigen Erfüllungsgehilfen von Cyberkriminellen wird, reicht ein Klick auf einen verseuchten Link.
Hinzu kommt, dass die Anwender durch ihre zunehmende Mobilität von dieser Art von Bedrohung immer häufiger betroffen sind. Um also die Unternehmensdaten wirklich zu schützen, bedarf es eines Services wie des unsrigen. Da nützen Firewalls im Rechenzentrum der Firma wenig, wenn auch diese für den Schutz der Informationen im Data Center nach wie vor ihre Berechtigung haben.
Nächste Seite: Das Proxy-Netz von Zscaler
Sie haben also solche Proxies und Rechenzentren überall auf der Welt?
Wir betreiben etwa hundert Standorte. Und wir bedienen mittlerweile Millionen von Anwender.
Wie stellen Sie sicher, dass diese User, die sich ja auch weltweit bewegen, sich nicht in die Quere kommen und der Angestellte von Firma x, die Daten von Firma y sieht?
Unsere Architektur basiert auf strikter Multitenancy. Darüber hinaus sichern wir keinerlei Daten, wir schauen uns nur den Datenfluss an und entscheiden, ob dieser ok ist. Da wir keine Daten speichern, können also Unternehmensdaten gar nicht in die falschen Hände geraten.
Was wir allerdings speichern, sind die Log-Daten. Diese werden beim Proxy-Standort generiert und gleich stark komprimiert sowie dann zentral gespeichert. Auf Wunsch kann dies sogar in einem bestimmten Land oder im Firmen-eigenen Rechenzentrum geschehen. Für unsere Schweizer Kunden beispielsweise können wir garantieren, dass die global generierten Logs in einem Schweizer Rechenzentrum gespeichert werden. Oder beim britischen Gesundheitsdienst NHS werden die Logs der 1,6 Millionen Anwender im hauseigenen Rechenzentrum gespeichert, und nur dort.
Nächste Seite: Big Data, nur grösser
Analysieren Sie diese Log-Informationen auch mit Big-Data-Methoden, um etwa unvorhergesehene Bedrohungen zu erkennen?
Sehr wohl. Allerdings verwenden wir eine eigene Technik namens Nanolog, da selbst Big-Data-Techniken wie Hadoop und Cassandra unseren Anforderungen nicht gewachsen waren. Dabei stauchen wir die Log-Daten mit einer Rate von 65 zu 1. Das ist möglich, weil diese Daten sehr strukturiert sind. In einem weiteren Schritt werden sie indexiert. Dadurch lassen sich die Informationen sehr rasch und in grossen Mengen durchsuchen.
Wie gross sind diese Mengen?
Gigantisch. Sie müssen sich folgendes vor Augen halten: Eine typische Webseite, etwa jene der BBC, enthält gut 100 Links. Jeder dieser Links führt zu einem Log-Eintrag, wenn der User sie ansurft. Jeder Anwender generiert 2000 bis 2500 Transaktionen pro Tag. Im Falle des NHS sind das 3,2 Milliarden Transaktionen, die geloggt werden. Jeder Log-Eintrag beträgt 2 Kilobyte. Das ergibt dann 6,4 Terabyte an Daten nur für diesen einen Kunden. Wie wollen Sie das speichern? Das ist nur dadurch möglich, dass wir die Daten um das 65fache komprimieren können, sodass nur noch rund 100 Gigabyte übrigbleiben. Wir haben also sehr grosse Erfahrung in Big Data, mussten aber unsere eigenen Analyseverfahren erstellen. Insgesamt verarbeiten wir 10 Milliarden Transaktionen täglich. Das ist mehr als das Doppelte, was die Suchmaschine von Google zu bewältigen hat. Alle Suchabfragen, die täglich die gesamte Menschheit an Google richtet, machen rund vier Milliarden Transaktionen aus.
Wie analysieren Sie diese Datenmengen?
Wir untersuchen zweierlei. Zunächst wird jeder Link geprüft und mit unserer Risikoskala verglichen. Ist er demzufolge zu riskant, wird er direkt geblockt. Dann gibt es Links, die weder als sicher noch als unsicher gekennzeichnet werden. Diese analysieren wir und machen wiederum Links daraus, die künftig geblockt werden.
Teilen Sie diese Erkenntnisse?
Ja. Wir arbeiten beispielsweise eng mit Google und Microsoft zusammen. Diese informieren uns über Patches, die wir dann vorzeitig in unser System einfliessen lassen können. Umgekehrt stellen wir unsere Analysen zur Verfügung, etwa jene über die Herkunftsländer der meisten Bedrohungen. Klar, dass diese Daten anonymisiert sind, also keinen Rückschluss auf unsere Anwender zulassen.
Nächste Seite: Erstaunlich schlanke Hardware
In Sachen Software sind sie eigene Wege gegangen, wie sieht es mit der Hardware aus?
Hier basiert unsere Lösung auf Intel-Servern. Wir wissen, dass Intel sehr viele Forschungsgelder für die Weiterentwicklung ihrer Systeme aufwendet. Davon wollen wir profitieren. Was wir allerdings gemacht haben: Wir haben auf der Software-Seite sehr viel investiert, um den Durchsatz massiv zu erhöhen. Dafür mussten wir eine eigene Architektur entwickeln, welche die klassischen Aufgaben einer Appliance verteilt. Bei uns gibt es eine zentrale Stelle, die alle Policies verwaltet und diese an mehrere Stellen weltweit, den sogenannten Zscaler Enforcement Nodes (ZEN), verteilt.  Wenn also ein Anwender mit seinem Laptop unterwegs ist und - sagen wir - heute in Paris über unsere Cloud auf das Web zugreifen will, wird er zunächst identifiziert. Dann merkt das System, dass es lokal noch keine Policy-Konfiguration für diesen Anwender gibt und fordert diese von unserer zentralen Policy-Verwaltungsstelle an. Das dauert beim ersten Mal vielleicht 100 bis 150 Millisekunden. Danach sind die Policy-Regeln aber für eine bestimmte Zeit am lokalen Knoten in Paris gespeichert und beim nächsten Mal geht die Prozedur schneller. Reist der Benutzer nun nach Singapur weiter, ist der Ablauf dort erneut derselbe. Bei alldem bleiben die Log-Daten übrigens getrennt. Diese werden lokal innerhalb von wenigen Sekunden an einen von der Firma des Anwenders bestimmten Ort, etwa das Unternehmens-eigene Rechenzentrum oder ein Data Center in der Schweiz, geschickt. Für die Hardware bedeutet dies, dass die Proxies sehr viel Verkehr zu bewältigen haben. Und hier kommt nun unsere Entwicklungsarbeit zum Tragen. So haben wir unsere eigenen Netzwerktreiber geschrieben, weil die verfügbaren Treiber zu langsam sind. Darüber hinaus haben wir unser eigenes TCP-Stack geschrieben, weil jenes, das mit Unix geliefert wird, zu langsam ist. Wir haben also unsere Proxy von Grund auf neu entwickelt. So erreichen wir einen Durchsatz von 3 Gigabit pro Sekunde. Zum Vergleich: eine Proxy-Appliance der Konkurrenz schafft gut 250 Megabit pro Sekunde und ist zudem grösser. Während wir in unseren Knoten eine Geräteeinheit beanspruchen, sind die Proxies der Konkurrenz vier Mal so gross. Das heisst konkret, sie müssen mehr als einen Serverschrank mit Hardware füllen, um den gleichen Durchsatz verarbeiten zu können, den wir mit einer Geräteeinheit erhalten. Und deshalb staunen auch unsere Kunden, wenn sie unsere Installation in den Rechenzentren sehen. Dort sitzen in einem Serverschrank, der Platz bietet für 42 Geräte, zwei Switches sowie eine unserer Boxen sowie eine zweite als Failover-Installation. Unsere Racks sind also gähnend leer, und dies nur, weil wir alles so stark optimiert haben. Nächste Seite: Das Sparpotenzial
Was kann also eine Firma sparen, wenn Sie Ihre Infrastruktur nutzt vs. der traditionellen Methode der zentralen Sicherung im eigenen Rechenzentrum und der Leitung des Datenstroms über MPLS-Verbindungen?
Ich kann Ihnen ein Beispiel geben eines US-Finanzinstituts mit 30 Anwendern. Dieses hat genau eine solche zentralisierte Sicherheitsarchitektur, bei der der ganze Datenverkehr, also auch alle Webanfragen von Aussendienstmitarbeitern, über das eigene Rechenzentrum geschlauft wurde. Nachdem die Firma unser Kunde geworden war, brauchte sie nur noch 20 Prozent ihrer MPLS-Bandbreite und konnte dadurch monatlich 1,6 Millionen Dollar sparen. Hier sind nicht einmal die Kosten eingerechnet, die diese Firma spart, weil sie weniger Appliances warten und managen muss oder durch das Plus an Verfügbarkeit, das dadurch entsteht, dass die firmeneigene IT weniger beansprucht wird.
Was kostet dann Ihre Lösung diese Firma?
Das kommt natürlich auf den Mix an Modulen an, die eine solche Firma beansprucht. Grundsätzlich kostet unser Dienst etwa soviel, wie ein Kaffee pro Mitarbeiter und Monat. Sie haben dann noch die Wahl, ob Sie diesen Kaffee bei McDonald’s oder bei Starbucks beziehen. Konkret: Grossfirmen bezahlen 1 bis 2 Dollar pro Monat und Mitarbeiter, bei mittelgrossen Unternehmen sind etwa 2 bis 3 Dollar fällig. Diese Preise können wir nur anbieten, weil unsere Betriebskosten dank unserer Optimierungen sehr gering sind.
! KASTEN !



Das könnte Sie auch interessieren