Intr   roducc        ción Zscaler  pr          rovee  acceso a  Internet  d forma  segura  y  basada en  políticas para  c...
Las empreesas redirigenn el trafico web al Nodo de procesamie ento más cercano, el CA sirve la política que gobierna  el  ...
Riesgo dee Web (web  Risk). Adicion   nalmente Zsc caler calcula u                                                        ...
Control de flujo SMTP P Zscaler prov                                   vee capacidad  d para definir                      ...
 Los reportes transaccio  onales, accessibles de formma dinámica a al dar doble c   click en las pa                       ...
Imp  plementación. Zscaler es         s un Servicio dde ultra baja latencia y mu   uy alto desem mpeño que pe  ermite a la...
Aute   entica        ación.  Servidor  LDAP. Zscaler cuenta con la funcionali        idad de pode  er autenticar  vía LDAP...
Próxima SlideShare
Cargando en…5
×

Descripcion zscaler technology

1.437 visualizaciones

Publicado el

Tecnología Zscaler Generalidades, Conozca más acerca de la seguridad en nube.

Publicado en: Tecnología
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
1.437
En SlideShare
0
De insertados
0
Número de insertados
2
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Descripcion zscaler technology

  1. 1. Intr roducc ción Zscaler  pr rovee  acceso a  Internet  d forma  segura  y  basada en  políticas para  cualqu emplead en  o  de  a  s,  uier  do, cualquier  dispositivo yy en cualquier r lugar a través de su arqu uitectura en la nube altam mente escalab ble. Es una  solucción  de  segur ridad  SaaS  (S Security  as  a  Service)  con  el  más  bajo  costo  de  pertenencia  (TC al  CO) integrar sservicios de aanti‐virus, antti‐spyware, A Amenazas Ava anzadas,  Filtrado de URLs s, Control dee Web 2.0, Contrrol de Ancho de Banda, Co ontrol de Flujo o de correo eelectrónico, Antispam y antivirus para c correo electrónicco  y Prevenci ión de Fuga dde Datos (DLP P, Data Loss Prevention). Infraestructur ra La infraes structura glob bal de Zscaler distribuye los componentes de un proxy para cre ear una red g global gigante  q actúa  como  un  proxy único,  de  f que  y  forma  que  cu ualquier  usua ario  puede  e enviar  su  tráf fico  a cualquier ZEN (Nodo de Procesamie ento Zscaler), , para acceso seguro a Inte ernet. Esta infraestructura es stá compuesta a por tres com mponentes cl lave:  Nodo  de  Procesamiento  Zscaler  (ZEN  –  Zscaler  Enforcemment  Node): Alrededor  d 40  datace de  enters distribuidos mundialm mente, altame ente escalable es y Multi‐Ten nant (cualquiera puede atender el tráfi ico de cualquier usuario del c cliente).  Autoridad d Central (CA uthority): Infraestructura  encargada de A – Central Au ez contener la política a aplicar y servirla  al nodo de p procesamient También  encargada de to.  el monitoreo, salud y adm ministración d los  de nodos de procesamien nto o ZENs.  Servidore Nanolog    (NS  –  Nanol Servers): Servidores  e es  log  :  encargados  d guardar  lo registros  d las  de  os  de transaccio ones de los usuarios, así como procesarlos para el r reporteo en tiempo real y análisis. Med diante  encia  de  Nanolog  se  logra una  reducci de  50:1  d tamaño  d los  mismos,  permitiéndla  intelige a  ión  del  de  donos guardar h hasta 6 mesess los registros por defecto. Extendible a a años en caso o de ser necesario.  Gracias  a  la  Tecnologí de  Nanolo Zscaler  da visibilidad  s paralelo,  guardando  la  URL  completa  y  ía  og,  a  sin todos  los registros  re s  eferentes  a  la transaccio as  ones  del  usuario,  incluyendo  la  latencia  al  proces la  sar transaccióón en el proxyy de Zscaler:  "No.  ", ,"Time","Useer","SSL","UR RL","Policy  Action","Ap pplication  C Class","Appliication","Rec ceived Bytes","S Sent  Bytes","Total  Bytes", ","Proxy  Late ency  (milli‐se ec)","Server  T Trans.  Time  (milli‐sec)","C Client Trans. Tim me (milli‐sec) )","URL Class s","URL Super rcategory","U URL Category y","Malware  Class", "Mal lware Category","PageRisk", ","Location"," "Department t","Client  IP","Serve er  IP",  "Requuest", "Respons se","Agent",""URL Categor rization Meth hod"  Confid dencial Zscaler 200 09‐2011. 
  2. 2. Las empreesas redirigenn el trafico web al Nodo de procesamie ento más cercano, el CA sirve la política que gobierna  el  acceso  del  usuario  a  Internet  y el  Nodo  d procesam d y  de  miento  la  ap plica.  El  Nod de  do Procesammiento, Zen, eestá construid do sobre un s sistema operaativo y un sta ack TCP/IP pe ersonalizados s para entregar  el  90%  de  las  transaccio l ones  en  menos  de  90  m microsegundo Todos  los  registros  d las  os.  de  ones son guartransaccio rdados en un servidor Nan nolog centrali izado para procesarles en tiempo real.Todos los componente es tienen múltiples niveles s de redundan ncia para aseg gurar la alta d disponibilidad d. Dife erenci iadore es. Seguridad d  Zscaler  in ncrementa  la Seguridad  a  sus  clientes,  al  aplicar  filtrado  en  línea,  de  la definicione de  a  as  es seguridad d (AV, AS, Am menazas Avanzadas, Web A Access Contro ol, File Type C Control, Risk  Index, etc.) a a todo el trafico  web, escaneando de form ma profunda  el trafico (htt tp headers, h http payload, tanto en solicitud como resp puesta) a medida que pasa a por su infraaestructura. Antivirus  y Antispywaare en línea. E El tráfico gen nerado por los usuarios es s escaneado een tiempo rea al por  ciones más aclas definic ctuales y meddidas de seguridad  para prrotegerles de e Virus y Spyw ware. Protecció de  Amenazas  Avanzadas.  Protecció propietaria contra  ame ón  ón  a  enazas  de  sig guiente  gener ración como con ntenido activo o malicioso, b botnets, Cros ss Site Scriptin ng (XSS), Rob bo de Cookies s, anonimizad dores, Phishing y y una nueva ggeneración dee amenazas hhostiles a travvés de web 2.0, gracias al escaneo proffundo de los paq quetes (http h headers, http p payload tantto en solicitud d como en reespuesta).  Zscaler incorpora tamb bién proteccio ones de terceeros (best of bbreed) y de ddía cero al gen nerar protecc ciones en  base  a las  vulnerabilidades  com a  mpartidas  a  t través  de  par rtnerships  co diferentes  proveedores por  on  s, ejemplo M Microsoft en  su programa MAPP, que c comparte las vulnerabilida ades que enc cuentran cada a mes y Zscaler,  para las rela acionadas conn vulnerabilid dades en la navegación, ap plica firmas d de protección n para proteger  automáticam mente a todos s sus clientes s, en cuestión n normalmente de horas d después de r recibir dicha info ormación.  Control  d Acceso  a  la  Web.  Zscaler  permite  e bloqueo  de  browsers/v de  l el  versiones  que el  administ e  trador consideree no seguras uu obsoletas. PPor ejemplo, bloquear Inte ernet Explore er versiones 7 7 hacia abajo,, pero permitir la as versiones 8 8 y 9 al consid derarles más seguras. Ade emás puede e escanear por plug‐ins “caducos” o vulnerables. Control de Tipo de Arcchivos (File Type Control). Zscaler tiene e la capacidad de aplicar f filtrado de tip pos de archivo  e base  a  po en  olíticas  definidas  por  el  a administrador Por  ejemplo  no  permit la  descarg de  r.  tir  ga ejecutablees de categor rías que el administrador c considere de mayor riesgoo (hacking,  vio olence, etc). Confid dencial Zscaler 200 09‐2011. 
  3. 3. Riesgo dee Web (web  Risk). Adicion nalmente Zsc caler calcula u un índice de  riesgo en base a conocim miento del  destino  (por  ejemmplo  sitio  de  categoría  de  mayor  r riesgo,  como hacking,  dominio  regis o  strado recientem mente, domin nio con histor rial de alberg gar código ma alicioso) y co onocimiento d del contenido o (por ejemplo ssitio que utiliz za ofuscaciónn de código, i imágenes de cero pixeles, , etc.), determ minando un ííndice de riesgo final de 0 a 1 100. El admini istrador contrrola que rang go de índices dde riesgo per rmite. Funcional lidades de Se eguridad SMT TP (correo em mpresarial) Escaneo dde Antivirus y y Antispywar re para SMTPP en línea. Vaalidar que el t tráfico recibid do por los usu uarios de EL CLIE ENTE sea esccaneado en tiiempo real por las definic ciones para pprotegerles de e Virus y Spyware, amenazas de  dia  cer y  phishin intentando la  descarg de  un  ar s  ro  ng  o  ga  rchivo  de  virus  validando  los reportes/ /transacciones.  Filtrado dde correo SPA AM. Zscaler pprovee el filtrado de correeo spam mediante multiple es métodos,  como el filtrado o inicial en base a reputaci ión de conexi iones y poste erior el escaneo de los cor rreos contra f firmas de  detección  de  SPA AM.  Además,  agrega  flexibilidad  para la  aplicació de  diferen a  ón  ntes  umbrale de  es antispam en base al us suario/grupo   Administr ración. Filtrado d de URL. Zscale er filtra con alrededor de 9 90 supercateg gorías/categoorías de URLs s y el cliente p puede recategorrizar los sitios s por url, domminio o keyword en la url en las catego orías predefin nidas o bien, crear categoríass propias.  Además,  agrega flexibilidad para laa aplicación d de la política e en base a loc caciones, iden ntificadas por r la IP homologa ada Fija orige en del trafico  y una locació ón especial, “ “Road Warrio or”, para la identificación d de los usuarios m móviles, así co omo la aplicaación de cuotaas en base a MMB consumid dos o tiempo de navegació ón. Zscaler  puede  reforza la  aplicació del  filtro  safesearch  e los  principales  motore de  búsque y  ar  ón  en  es  eda youtube,  indicando a  dichos sitios  el no mostra ar resultados  de búsquedas de conten nido inapropia ado o que no vaayan acorde aa las políticas de uso acept table de la em mpresa. Control  W 2.0.  Zsca permite  controles  ad Web  aler  dicionales  al  f filtrado  de  co ontenido,  en  sitios  de  we 2.0  eb como  auttorizar/permitir  archivos  a adjuntos  en  w webmail,  pos en  redes  s st  sociales,  uplo oads  en  streaming, envío de a archivos en W WebIM. Control de Ancho de B Banda (Bandw width Contro ol). Zscaler pe ermite “traffic shaping” mmediante límit tes de consumo  de  ancho  de  banda  por  aplicacion WEB  pr nes  redefinidas  (d denominadas “clases”),  como  s streaming redes  soc g,  ciales,  desca arga  de  archivos  grandes  y  mediante  la  crea ación  de  “cl lases” personaliz zables  por  EL CLIENTE  (de L  dominios/urls).  Además  p efinidas  por  d permite  el  co ontrol  de  limi itar  el ancho de banda consumido median nte la aplicación de cuotas s en Bytes/tiempo, por usu uarios o grupo os.  Confid dencial Zscaler 200 09‐2011. 
  4. 4. Control de flujo SMTP P Zscaler prov vee capacidad d para definir r reglas de flu ujo de correo o (SMTP) en d donde se  pueden  tomar  acciones  depend diendo  del  remitente,  de estinatario,  ti de  archiv adjuntos, etc.,  ipo  vos  , incluida la a entrega del correo solam mente a través s de un canal encriptado.Alias  y  Reedirección.  Zscaler  provee la  capacida para  redirigir  y/o  copia a  otra  cue Z e  ad  ar  enta  de  corre del   eo usuario, c correos que cumplan la  co ondición espe ecificada de re emitente y de estinatario.  Cumplimi iento. Prevenció de  fuga  de  Datos  (DLP Data  Loss  Prevention). Zscaler  pue escanear  el  trafico  saliente  ón  P,  .  ede WEB y SM MTP, en búsq queda de infoormación sennsitiva (media ante diccionarios) que env vían los usuarios y permite  a administra al  ador  bloqueaarla/reportarlo  si  lo  requ uiere.  El  Adm ministrador  p puede  defini sus  ir propios diccionarios y agruparles en n base a motoores que desp pués puede a aplicar en las reglas.  Zscaler pr rovee diccionnarios predefi inidos, por ej jemplo de de etección de ta arjetas de créédito, númerros de seguro so ocial de USA, e etc. Reporteo y análisis. Gracias a  la tecnología a propietaria  para registro os y reporteo a través de  los servidores Nanolog, Zs scaler  onsolidación y correlaciónlogra la co n de la informmación de los  registros de  la actividad W WEB y SMTP d de los usuarios  alrededor  de mundo  y  en  tiempo  r el  real,  incluyen ndo  todas  las  locaciones  de  la  empresa  e incluyenddo los usuarios móviles de la misma,  ind dicando el esstado de segu rganización.    uridad de la orZscaler prrovee reporte es en base a  aplicaciones,, locaciones,  departament tos, top de us suarios, categ gorías de  URLs,  y  con  múltip filtros  como  mostrarle en  Transacciones,  Bytes consumidos con  periodos  de  ples  e  s  s, “Hoy”, “AAyer”, “Esta S Semana”, “Ultima Semana a”, “Este Mes s”, “Ultimo M Mes”.  El adminisstrador acced de a los reporrtes en tiempo real y de foorma dinámica a través de seleccionar c con el puntero  las  diferentes partes  de  l gráficas,  modifica  de  forma  inmed s  las  diata  la  infor rmación  que  le  es mostrada en otras grá misma pantalla. El administ áficas en la m trador puedee “guardar” a algún reporte/vista que sabe va a estar val lidando continuamente pa ara su facilida ad y ahora sol lo accederlo d desde un link.  El cliente  puede progra amar el envíoo de los reportes salvados por medio d de correo elec ctrónico, en ddonde se enviaráá un correo c con un link, q al ser vis que  sitado, dará eel mismo repporte  dinámic co en  Flash que se puede acc cesar en la UI.  Los report tes gráficos e en la UI, pueden ser tambiéén exportado os a formato P PDF.   Confid dencial Zscaler 200 09‐2011. 
  5. 5.  Los reportes transaccio onales, accessibles de formma dinámica a al dar doble c click en las pa artes de inter rés en la parte gráfica, al igua al que aquello os generados s desde el mo otor de análisis que permit te buscar reggistros específico en  base  a  diferentes  condiciones, pueden  exp os  a ,  portarse  a  u archivo  cs hasta  100,000  un  sv, registros.   Zscaler ess la única solu ución con visi ibilidad inmeddiata en basee a cualquier  usuario, al co ontar con rep portes en  tiempo  real  por  usuario.  Estos reportes  so el  total  de tipos  de  re s  on  e  eporte  que  se cuentan  pa la  e  ara compañía a, pero a nivel de usuario.  Zscaler Prrovee también dentro de l la UI, un motor de Análisis s de los registros de la em mpresa, por de efault de los últi imos seis mes ses de historia al. Extensible e sin problema a a años por u una subscripcción adicional.  Zscaler Cuuenta tambié én con el Reporteo en Bas se a Rol (RBR, Role Based  Reporting) e en donde El cliente puede delegar el acces so a los reportes de acuer rdo a roles. In ndica a que re eportes tienee acceso el us suario admin  en la  UI  depe n  endiendo  de  la  función  (Security,  Ma anage,  Comply)  y  despué asigna  el  rol  al  és administrador,  indican ahora  el  alcance  dent de  la  emp ndo  tro  presa,  si  es  a nivel  compa a  añía,  o  bien  s solo  a algunos ddepartamento os o locacionees. Esta funcioonalidad seráá extendida a Administrac ción en Base a Rol, pudiendo  ahora  deleg también  la  administr gar  ración  de  po olíticas  en  ba a  las  fun ase  nciones  y  alcance (organizacción, departamentos, loca aciones).   Confid dencial Zscaler 200 09‐2011. 
  6. 6. Imp plementación. Zscaler es s un Servicio dde ultra baja latencia y mu uy alto desem mpeño que pe ermite a las empresas redu ucir el Costo  Tot de  Propie tal  edad  (TCO)  al aplicar  la  Po l  olítica  de  Uso Aceptable  (AUP)  y  filtra amenazas  en  el  o  ar trafico de e navegación  de los usuar rios, no importa lo distribu uida de su infraestructura a, e incluyend do los usuarios e en dispositivo os móviles.   El  Admini istrador  de  la empresa  de a  efine  la  políti a  aplicar  a  través  de  u interfaz  e Web,  y  es es  ica  una  en  sta aplicada inmediatamente a todo del tráfico. El  administrado or no tiene que preocuparse de admin nistrar  actualizacioneequipos, a es, etc., solo por definir la política a aplicar.  Redirecció ón Trafico W Web  Zscaler  ppermite  la  immplementación  mediante diferentes  métodos  d redirecció soportand la  e  de  ón,  do redireccióón de todo el tráfico de  E El cliente. Zscaler  puede e escanear tant to el  tráfico h http como https al realizar in ntercepción del trafico cifra ado.  Túneles G GRE y PBR par ra re‐direccio onar el tráficoo Web (puerto o 80 y 443) a través de dichos túneles.  Archivos  pac.  Archivo de  auto  c os  configuración en  donde  e administra n  el  ador  indica  a browser  d los  al  de usuarios aa que proxy e enviar el tráfic co Web (HTTP P, HTTPS), en este caso al sservicio de Zsscaler.  Proxy  Cha aining.  En  pr roxies  ya  exis stentes  en  la  infraestructu del  client en  donde se  indica  a  dicho  ura  te,  e proxy no e enviar el tráfiico directo a internet, sinoo que hay un proxy ascend dente (el servi icio de Zscale er).  Port Forw warding. Para lograr la redirección del t tráfico con pu uerto 80 reescribiendo la d dirección dest tino a  ón de los nodos de acceso.  la direcció        Confid dencial Zscaler 200 09‐2011. 
  7. 7. Aute entica ación.  Servidor  LDAP. Zscaler cuenta con la funcionali idad de pode er autenticar  vía LDAP seg guro a servicios de Directorio (AD  entre  ellos).  Esto  p o  e permite  al  addministrador  el  aprovecha los  grupos creados  ya  en  el  ar  s Directorioo para el establecimiento d de las políticaas.  IP/Locació Zscaler  puede  autent ón.  p ticar  en  base a  la  IP  orig del  tráfic Mediante  el  envío  de  la  IP  e  gen  co. original en túneles GRE, se pueden n establecer s sublocaciones s en base a este direccionamiento “interno” y de igual forma que en las locacion nes, establece er política en base a éstas. .  DB  de  Ussuarios  hoste eada  en  Zscaaler.  En  caso de  no  cont con  LDAP Zscaler  pue autentica los  o  tar  P,  ede  ar usuarios  al  hostear  la base  de  d a  datos  de  usu uarios/contraseña,  grupos y  departam s  mentos  a  los que  s pertenece e, que tambié én utiliza para a poder dar la a funcionalida ad de política en base a usuario/grupos s.  Es import tante mencionar que solo  la primera tr ransacción de e navegación  del usuario e es autenticadda y al ser exitossa la autentica ación, Zscaler r utilizara coo okies persiste entes para coontinuar auten nticando de f forma transpareente el tráfico o del browser de los usuari ios.  Autentica ación  Transpa arente  a  trav de  SAML También,  mediante  la  implementac vés  L.  ción  de  SAM por  ML parte  de  El  cliente,  Zs scaler  puede  autenticar  d forma  tran de  nsparente  est primera  tr ta  ransacción.  N NOTA: Aunque s se utilice SAM ML para el proceso de aut tenticación, a aun es necesa aria la integración con LDDAP, o bien, el usso de la DB de usuarios pa ara conocer lo os usuarios/grupos/depart tamentos y dar la funciona alidad de reportes y política p por usuarios/ /grupos/departamentos.  Token/Pa assword  de  un  solo  uso. Existen  otros  métodos  para  autenticar  la  prime transacció del  u .  er  ón usuario final como el e envío de un c correo con un n link que el  usuario visita a (One Time T Token) y de f forma automátic ca es autenticado, o el en nvío de un co orreo con una a contraseña  de uso de una única vez  (One Time  Pass sword).  NOTA Aunque  se utilice  estos  para  el  pro A:  e  oceso  de  aute enticación,  aún  es  necesa la  aria integracióón  con  LD DAP,  o  bien,  el  uso  de  la  DB  de  u usuarios  para  conocer los  r usuarios/g grupos/departamentos  y  dar  la funcionalidad  de  reportes  y  política  por  a usuarios/g grupos/departamentos.  Confid dencial Zscaler 200 09‐2011. 

×