Intr   roducc        ción  Zscaleer provee accceso a Interneet de forma seegura y basadda en política                     ...
Autorridad  Central  (CA  –  Cent                                tral  Authority Infraestru                               ...
Dife   erenci        iadore             es.         Seguridad   Zscaler  increment la  Seguridad  a  sus  clie            ...
Funcionalidades d                de Seguridad SMTP (correo                                        o empresaria            ...
Alias y Redirecciónn. Zscaler pro                                ovee la capacidad para reddirigir y/o cop                ...
Los re         eportes transaccionales, ac   ccesibles de f                                                    forma dinám...
Imp  plementación.  Zscale es  un  Serv      er            vicio  de  ultra baja  latencia  y  muy  alto  desempeño que  p...
Proxyy Chaining. Enn proxies ya e existentes en la infraestruc ctura del cliente, en donde se indica a dicho  proxy no  en...
Próxima SlideShare
Cargando en…5
×

Descripcion zscaler v.2

902 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
902
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
16
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Descripcion zscaler v.2

  1. 1. Intr roducc ción  Zscaleer provee accceso a Interneet de forma seegura y basadda en política as, para cualqquier empleaddo, en  cualquier dispositivo y en cualqquier lugar a t través de su a arquitectura een la nube alt tamente escaalable.  Es una solución de e seguridad SaaaS (Security as a Service) con el más bbajo costo de pertenencia (TCO)  egrar servicio al inte os de anti‐viru us, anti‐spyw ware, Amenazas Avanzadas s,  Filtrado de e URLs, Contrrol de  Web  2.0, Control  de Ancho de Banda, Cont trol de Flujo  de correo eleectrónico, An ntispam y ant tivirus  para ccorreo electróónico  y Preve ención de Fugga de Datos (DLP, Data Los ss Prevention n).   Infraestructur ra  La  inf fraestructura  global  de  Zs scaler  distrib buye  los  componentes  de un  proxy  para  crear  una  red  e  global  gigante  que actúa  como un  proxy  ú e  o  único,  de  forma  que  cualquier  usuario puede  enviar  su  o  tráfico o a cualquier ZEN (Nodo d de Procesamie ento Zscaler), , para acceso seguro a Inte ernet.  Esta infraestructur ra está compu s componentes clave:   uesta por tres Nodo de  Procesam o  miento  Zscale (ZEN  –  Zsc er  caler  Enforce ement  Node) Alrededor  de  40  datace ):  enters  distrib buidos  munddialmente,  alltamente  esccalables  y  M Multi‐Tenant  (cualquiera  puede  atend el  der  tráfico o de cualquie er usuario del cliente).   Confid dencial Zscaler 200 09‐2011. 
  2. 2. Autorridad  Central  (CA  –  Cent tral  Authority Infraestru y):  uctura  encarg gada  de  cont tener  la  polít tica  a aplica y  servirla al  nodo  d procesam ar  a  de  miento.  También  encargada  del  mo onitoreo,  sal lud  y adminnistración de los nodos de procesamien nto o ZENs.  Servi idores Nanoloog  (NS – Nan nolog Servers rs): Servidores s encargadoss de guardar l los registros dde las transa acciones de lo os usuarios, a así como proc cesarlos para el reporteo e en tiempo rea al y análisis.   Media ante  la  inteli igencia  de  Na anolog  se  log una  redu gra  ucción  de  50:1  del  tamañ de  los  mis ño  smos, permitiéndonos gu uardar hasta  6 meses los  registros por r defecto. Exttendible a añños en caso d de ser  sario. neces as a la Tecnología de Nanolog, Zscaler  da visibilidadGracia d sin paraleloo, guardando  la URL completa y todos los  registros referentes  a  las  transacciones  del  us s  s  suario,  incluy yendo  la  laten al  procesar  la  ncia transa acción en el pproxy de Zscaler:  "No.  ","Time","U User","SSL","URL","Policy  Action","A y Application  CClass","Appliication","Rec ceived Bytess","Sent  Byt tes","Total  Bytes","Prox Latency  (milli‐sec)"," xy  "Server  Traans.  Time  ( (milli‐sec)", ,"Client  Trans Time  (mill s.  li‐sec)","URL  Class","URL  Supercatego ory","URL  Cattegory","Mal lware Class" "Malwar ",  re  Categor ry","PageRiskk","Location"","Departmen nt","Client  IP","Server  IP", "Requuest", "Respo onse","Agent t","URL Categgorization Me ethod" Las em mpresas redirigen el trafic co web al Nod do de proces samiento más s cercano, el  CA sirve la po olítica que  g gobierna  el  acceso  del  us suario  a  Inter rnet  y  el  Nod de  proces do  samiento  la  a aplica.  El  Nod de  do Proceesamiento,  Ze está  cons en,  struido  sobre  un  sistema  o operativo  y  u stack  TCP/ personalizados  un  /IP para eentregar el 900% de las transacciones en n menos de 9 90 microsegundos. Todos los registros d de las transaacciones son guardados en n un servidor Nanolog cen ntralizado parra procesarless en tiempo real.  s los componentes tienen múltiples nivTodos veles de redun ndancia para asegurar la a alta disponibil lidad.  Confid dencial Zscaler 200 09‐2011. 
  3. 3. Dife erenci iadore es.  Seguridad   Zscaler  increment la  Seguridad  a  sus  clie ta  entes,  al  aplic filtrado  e línea,  de  las  definiciones  de  car  en  segurridad (AV, AS,, Amenazas AAvanzadas, W Web Access Control, File T Type Control,  Risk Index, e etc.) a  todo  el trafico web, escaneand do de forma p profunda el trafico (http h headers, http  payload, tannto en  tud como respuesta) a me solicit edida que pasa por su infra aestructura. Antivirus y Antispyware en línea. El tráfico generado po or los usuario os es escaneaado en tiempo o real  por la as definicione es más actuale es y medidas de seguridad d  para proteg gerles de Viru us y Spyware. Proteección  de  Amenazas  Av A vanzadas.  Pr rotección  pr ropietaria  coontra  amena azas  de  sigu uiente  gener ración  como  contenido  ac ctivo  malicios botnets,  C so,  Cross  Site  Scr ripting  (XSS),  Robo  de  Cookies,  anoni imizadores, P Phishing y unaa nueva generación de am menazas hostiles a través d de web 2.0, gracias  al  esc caneo  profun paquetes  (http  headers,  http  payload tanto  en  s ndo  de  los  p d  solicitud  com en  mo  respuuesta).   Zscale incorpora  también  protecciones  d terceros  ( er  de  (best  of  bree y  de  día cero  al  ge ed)  a  enerar  protecciones  en  base  a  las  vulnerabilidade compartida a  través  d partnerships  con  difer b es  as  de  rentes  prove eedores, por e ejemplo Micr rosoft en su pprograma MA APP, que com mparte las vulnerabilidadees que  encueentran cada mmes y Zscaler r, para las rel lacionadas co on vulnerabili idades en la  navegación, a aplica  firmas s de proteccióón para prote eger automát ticamente a todos sus clientes, en cuesstión normalmmente  de ho oras después d de recibir dicha informació ón.   Contr rol de Acceso o a la Web. Zsscaler permitee el bloqueo d de browsers//versiones que el administtrador  consid dere no seguras u obsolet tas. Por ejem mplo, bloqueaar Internet Ex xplorer versio ones 7 hacia a abajo,  pero  permitir las v versiones 8 y  9 al consider rarles más seguras. Ademá ás puede esccanear por plu ug‐ins  ucos” o vulnerables.  “cadu Contr de  Tipo  de  Archivos  ( rol  d (File  Type  Coontrol).  Zscale tiene  la  ca er  apacidad  de  aplicar  filtrad de  do  tipos  de  archivo  en  base  a  po e olíticas  defin nidas  por  el  a administrado Por  ejemp no  permitir  la  or.  plo  descaarga  de  ejecu utables  de  ca ategorías  que el  administrador  considere  de  mayo riesgo  (hacking,   e  or  violen nce, etc).  Riesgo  de  Web  (web  Risk).  Adicionalme ente  Zscaler  calcula  un  índice  de  r riesgo  en  ba ase  a  conoccimiento del  destino (por  ejemplo sitio o de categorí ía de mayor  riesgo, como o hacking, dominio  regist trado  recienteemente,  domminio  con  histtorial  de  albe ergar  código  malicioso)  y  conocimient del  to  conteenido  (por  ejemplo  sitio  que  utiliza  o ofuscación  de código,  im e  mágenes  de  c cero  pixeles,  etc.),  determinando un í índice de ries sgo final de 0 a 100. El adm ministrador coontrola que ra ango de índicces de  o permite.  riesgo Confid dencial Zscaler 200 09‐2011. 
  4. 4. Funcionalidades d de Seguridad SMTP (correo o empresaria al) Escan de  Antivirus  y  Antisp neo  pyware  para  SMTP  en  lín nea.  Validar  que  el  tráfico recibido  po los  o  or usuarrios de EL CLIENTE sea esccaneado en tiempo real po or las definici iones para pr rotegerles de  Virus y Spywware, amenazas de dia cero y phishing g intentando l la descarga de un archivo de virus valid dando los reportes/transaacciones.  Filtrad de  correo SPAM.  Zsca provee  e filtrado  de  correo  spam mediante  m do  o  aler  el  m  multiples  mét todos, como el  filtrado  in o  nicial  en  base a  reputació de  conexiones  y  poste e  ón  erior  el  escan de  los  co neo  orreos contra firmas  de  detección  de  SPAM.  Adem agrega  f a  d más,  flexibilidad  para  la  aplicac ción  de  difer rentes umbrales de antisp pam en base al usuario/grupo    Administrac ción. Filtrad do de URL. ZZscaler filtra c con alrededo ercategorías/categorías de URLs y el cliente  or de 90 supe e puede e recategorizar los sitios p por url, dominio o keywor rd en la url e en las categor rías predefini idas o bien, crear categorrías propias.  Adem más, agrega fle exibilidad par ra la aplicació ón de la políti ica en base a locaciones, identificadas por la IP hommologada Fijaa origen del t trafico y una  locación especial, “Road  Warrior”, parra la identific cación de  los usuarios  móviles,  así  co s  omo  la  aplicación  de  cuot en  base  a MB  consum tas  a  midos  o  tiemp de  po naveg gación. Zscale er puede refo orzar la aplica ación del filtr ro safesearchh en los princ res de búsqueda y  cipales motoryoutu ube, indicando o a dichos sittios el no mosstrar resultad dos de búsquedas de contenido inapropiado o que e no vayan aco orde a las pollíticas de uso aceptable dee la empresa.Contr Zscaler permite controles adicionales a rol Web 2.0. Z al filtrado de c contenido, en n sitios de we eb 2.0 como autorizar/p o  permitir  archivos  adjunto en  webm os  mail,  post  en redes  sociales,  upload en  n  ds stream ming, envío d de archivos en n WebIM. Contr rol de Ancho de Banda (Ba andwidth Control). Zscaleer permite “tr raffic shaping” mediante lí ímites de coonsumo de an ncho de  band da por aplicaciones WEB  predefinidas  (denominada as “clases”),  como streamming,  redes  sociales,  de escarga  de  a archivos  gran ndes  y  medi iante  la  crea ación  de  “cllases” persoonalizables po or EL CLIENTE E (definidas p por dominios/ /urls). Ademá ás permite el control de li imitar el  anc de  banda  consumido mediante  la aplicación  d cuotas  en Bytes/tiemp por  usuar cho  o  a  de  n  po,  rios  o grupo os. Contr de  flujo  SMTP  Zscaler provee  capa rol  S r  acidad  para  d definir  reglas de  flujo  de  correo  (SMT en  s  TP) donde se  pueden tomar  acc e  n  ciones  depen ndiendo  del  remitente,  d destinatario,  tipo  de  arcchivos adjun ntos, etc., incluida la entregga del correo o solamente a través de un n canal encripptado.  Confid dencial Zscaler 200 09‐2011. 
  5. 5. Alias y Redirecciónn. Zscaler pro ovee la capacidad para reddirigir y/o cop piar a otra cuenta de corre eo del  usuarrio, correos qu ue cumplan laa  condición e especificada d de remitente y destinatario.   Cumplimien nto. Preve ención de fug ga de Datos (DDLP, Data Losss Prevention n). Zscaler puede escanear r el trafico saliente WEB yy SMTP, en bbúsqueda de i información s sensitiva (me ediante diccioonarios) que e envían los usu uarios y perm mite al administrador bloquearla/repo ortarlo si lo re equiere. El Administrador r puede defin nir sus propio os diccionario os y agruparlees en base a m motores que después puede aplicar en las reglas.   er provee diccionarios preZscale edefinidos, po or ejemplo de e detección dde tarjetas de e crédito, núm meros de seg guro social dee USA, etc.  Reporteo y a análisis. Gracia a  la  tecno as  ología  propietaria  para  re egistros  y  rep porteo  a  trav de  los  se vés  ervidores  Nannolog, Zscale er logra la consolidación yy correlación  de la informa ación de los  registros de l la actividad W WEB y SMTPP de los usuar rios alrededo or del mundo o y en tiempo o real, incluye endo todas laas locaciones  de la empresa  e  incluye endo  los  usuaarios  móviles de  la  misma,    indicando el  estado  d seguridad de  la  s  o  de  nización.   organZscale provee  re er  eportes  en  b base  a  aplica aciones,  locaaciones,  departamentos,  top  de  usu uarios, categorías de URLs s, y con múltiples filtros coomo mostrar rle en Transac cciones, Bytes consumidos s, con period dos de “Hoy” ”, “Ayer”, “Es sta Semana”, “Ultima Sem mana”, “Este MMes”, “Ultim mo Mes”.  El adm ministrador aaccede a los r reportes en t tiempo real y y de forma dinámica a trav vés de selecccionar con el puntero las diferentes pa artes de las g gráficas, modifica de forma a inmediata la información que le  es  mostrada  en otras  gráfic en  la  mi n  cas  isma  pantalla El  adminis a.  strador  puede “guardar”  algún  e repor rte/vista que  sabe va a esttar validandoo continuamente para su f facilidad y ahora solo acceederlo desde e un link.  El  clie ente  puede  programar  el  envío  de  los  reportes  salvados  por  medio  de  correo  electrónic en  p co, donde e se enviará u un correo conn un link, que e al ser visitad do, dará el miismo reporte dinámico en Flash que se e puede acceesar en la UI.  Los re eportes gráfic cos en la UI, p pueden ser también export tados a formaato PDF.    Confid dencial Zscaler 200 09‐2011. 
  6. 6. Los re eportes transaccionales, ac ccesibles de f forma dinámi ica al dar dob ble click en las partes de innterés  en la  parte gráfica a, al igual quee aquellos geenerados desde el motor  de análisis que permite b buscar  regist tros  específicos  en  base  a diferentes  c a  condiciones,  pueden  expo ortarse  a  un  archivo  csv,  hasta  100,0000 registros.     Zscale es  la  única solución  co visibilidad inmediata  e base  a  cu er  a  on  d  en  ualquier  usuaario,  al  conta con  ar  reporrtes en tiempo real por us suario. Estos r reportes son  el total de tipos de repor rte que se cue entan  para lla compañía, pero a nivel d de usuario.    Zscale Provee  tam er  mbién  dentro de  la  UI,  un motor  de  A o  n  Análisis  de  lo registros  de  la  empresa por  os  a,  defauult de los últim mos seis mes ses de historial. Extensible e sin problem ma a años por una subscri ipción  adicio onal.    Zscale Cuenta  tam er  mbién  con  el Reporteo  en  Base  a  Rol (RBR,  Role  Based  Repor l  l  rting)  en  don El  nde  cliente puede dele egar el acceso o a los reporte es de acuerdoo a roles. Indica a que rep portes tiene acceso  uario admin e el usu en la UI depen ndiendo de la a función (Sec curity, Manag ge, Comply) y y después asig gna el  rol al administradoor, indicando ahora el alca ance dentro d de la empresa a, si es a nivel compañía, o o bien  solo aa algunos dep partamentos  o locaciones. Esta funcion nalidad será e extendida a A Administració ón en  Base  a Rol, pudienndo ahora delegar también la administración de políticas en base a las funcio ones y  alcancce (organizacción, departam mentos, locac ciones).           Confid dencial Zscaler 200 09‐2011. 
  7. 7. Imp plementación.  Zscale es  un  Serv er  vicio  de  ultra baja  latencia  y  muy  alto  desempeño que  permite  a  las  emp a  o  presas  reduc el  Costo  Total  de  Prop cir  T piedad  (TCO) al  aplicar  la Política  de  Uso  Aceptable  (AUP)  y  filtrar  )  a  amen nazas  en  el  trafico  de  navegación  de  los  usu uarios,  no  immporta  lo  ddistribuida  d su  de  infrae estructura, e i incluyendo lo os usuarios en n dispositivos móviles.         ministrador d El Adm de la empresaa define la poolítica a aplica ar a través de e una interfaz en Web, y esta es  aplica ada  inmediattamente  a  ttodo  del  tráfico.  El  admministrador  n tiene  que preocupars de  no  e  se  admin os, actualizaciones, etc., so nistrar equipo olo por definiir la política a aplicar.    Redirección Trafico Web b    Zscale permite  la implementación  mediante  diferente métodos  de  redirecció soportan er  a  es  ón,  ndo  la  ección de todo el tráfico de redire e El cliente. Z Zscaler puede e escanear tan nto el tráfico http como ht ttps al  realizar intercepció ón del trafico o cifrado.    Túnel les GRE y PBR R para re‐direeccionar el trááfico Web (pu uerto 80 y 443 3) a través dee dichos túneles.     Archiv pac.  Archivos  de  auto configuraci en  donde el  administ vos  o  ión  e  trador  indica  al  browser  d los  de  usuarrios a que pro oxy enviar el t tráfico Web (H HTTP, HTTPS)), en este casoo al servicio d de Zscaler.    Confid dencial Zscaler 200 09‐2011. 
  8. 8. Proxyy Chaining. Enn proxies ya e existentes en la infraestruc ctura del cliente, en donde se indica a dicho  proxy no  enviar  el  tráfico  dire y  e ecto  a  intern net,  sino  que hay  un  pro ascenden (el  servic de  e  oxy  nte  cio  Zscale er).    Port  Forwarding.  Para  lograr  la  redirecció del  tráfico con  puerto  80  reescribi ón  o  iendo  la  dire ección  destin no a la direcci ión de los nod dos de acceso o.  Aute entica ación.   Serviddor LDAP. Zscaler cuenta  con la funcio onalidad de p poder autenticar vía LDAP  seguro a ser rvicios  de Dirrectorio (AD entre ellos). E Esto permite  al administra ador el aprov vechar los gru upos creados  ya en  el Dire ectorio para e el establecimiento de las ppolíticas.    IP/Locación. Zscaler puede aut tenticar en ba ase a la IP orrigen del tráffico. Mediante el envío de e la IP  origin en  túnele GRE,  se  p nal  es  pueden  estab blecer  subloccaciones  en  base  a  este  direccionam miento  “interrno” y de iguaal forma que en las locacio ones, establec cer política enn base a éstas s.    DB de e Usuarios ho osteada en Z Zscaler. En caaso de no con ntar con LDAP, Zscaler puede autenticar los  usuarrios  al  hostea la  base  de datos  de  usuarios/contr ar  e  raseña,  grupo y  departamentos  a  los  que  os  pertenece, que tam mbién utiliza para poder d dar la funciona alidad de polí ítica en base a usuario/gru upos.    Es importante men ncionar que ssolo la primera transacció ón de navegac ción del usua ario es autentticada  y al ser exitosa la  autenticación, Zscaler uti ilizara cookie es persistente es para contin nuar autenticcando  de forrma transparente el tráfico o del browser de los usuar rios.    Auten nticación Transparente a t través de SAML. También n, mediante la a implementa ación de SAMML por  parte de El cliente, , Zscaler pued de autenticar r de forma tra ansparente esta primera transacción. N NOTA:  Aunque se utilice S SAML para el l proceso de  autenticaciónn, aun es nec cesaria la inteegración con  LDAP,  o  bien,  el  uso  de la  DB  de  u e  usuarios  para conocer  los usuarios/gr a  s  rupos/depart tamentos  y  d la  dar  funcioonalidad de re eportes y política por usuaarios/grupos/ /departamentos.    Token n/Password  de  un  solo  u d uso.  Existen  o otros  método para  auten os  nticar  la  primer  transacció del  ón  usuar final  como el  envío  de un  correo  c un  link  que  el  usuario visita  (One  Time  Token) y  de  rio  o  e  con  o  )  forma a automática  es autenticado, o el envío o de un corre eo con una contraseña de e uso de una  única  vez (O One Time Pas ssword). NOT TA: Aunque s se utilice esto os para el pro oceso de autenticación, aún es  necessaria  la  integgración  con  LDAP,  o  bi ien,  el  uso  de  la  DB  d usuarios  para  conoce los  de  er  usuarrios/grupos/d departamento os  y  dar  la  funcion nalidad  de  reportes  y  política  por  usuarrios/grupos/d departamento os.  Confid dencial Zscaler 200 09‐2011. 

×