cnt
Web Security aus der Cloud
Quelle: Vogel.de

Web Security aus der Cloud

Die Energie Thun AG hat ihre mit hohem Aufwand verbundenen Web Security Gateways durch eine Service-Lösung von Zscaler ersetzt.

Artikel erschienen in Swiss IT Magazine 2010/01

     

E-Mails bergen längst nicht mehr das grösste Risiko für eine Malware-Infizierung. Computer-Nutzer holen sich heute den Schadcode vorwiegend beim Surfen im Web auf ihre Rechner. Angreifer nutzen dabei Sicherheitslücken in Webauftritten aus, um den Schadcode zu verteilen. Wenn auch der Browser oder ein entsprechendes Plug-in über eine Sicherheitslücke verfügen, reicht das blosse Ansurfen der Webseite, um den Rechner zu infizieren.


Das Potential für diese Angriffe steigt seit Monaten kontinuierlich an. Letzten Juli hat Messagelabs täglich mehr als 3600 neue Malware-infizierte Webseiten entdeckt. Die Mehrheit dieser Seiten waren zudem seriöser Natur, aber zumindest temporär nicht gefeit vor einem entsprechenden Angriff.


Sicherheitsbewusste Firmen setzen zum Schutz vor solchen Szenarien schon seit längerem Web Security Gateways ein, die in der DMZ (demilitarisierten Zone) stehen und den eingehenden Webverkehr auf Schadcode prüfen. Zusätzlich bieten diese Gateways die Möglichkeit den Zugriff auf gewisse Webseiten oder ganze Kategorien an Webinhalten mittels URL-Filter zu blockieren.



Neue Lösung gesucht

Die Energie Thun AG versorgt auf dem Stadtgebiet rund 43’000 Einwohner mit Strom, Erdgas und Wasser. Auf zwei IT-Verantwortliche kommen zirka 120 Mitarbeiter, 80 Client-Arbeitsplätze und 14 Server an zwei verschiedenen Standorten. Für die zuverlässige Versorgung der Thunerinnen und Thuner ist natürlich eine sichere IT Voraussetzung. Deshalb setzte Energie Thun bis vor kurzem, neben anderen Security-Lösungen, natürlich auch auf eine eigene Gateway-Lösung mit Malware-Schutz und URL-Filter für den Webverkehr. Markus Moog, IT-Leiter von Energie Thun, war mit dieser Lösung jedoch unglücklich: «Sie brachte hohen Aufwand mit sich, sowohl durch die Komplexität der Lösung an sich, als auch durch häufig auftretende Probleme, zum Beispiel im Zusammenhang mit der Performanz.» Für den Betrieb und die Administration mussten immer wieder Spezialisten hinzugezogen werden. Deshalb schaute sich Moog nach einer alternativen Lösung um. Der langjährige Security-Partner von Energie Thun, Avantec, kam schliesslich mit der Idee eines Web-Security-Services.


Bei einem Web-Security-Service übernimmt ein Service Provider mittels zugehöriger Cloud-Infrastruktur die Aufgabe des Security Gateways. Webanfragen werden über die Infrastruktur des Providers geleitet und gefiltert (mehr zur Funktionsweise in der Grafik auf der folgenden Seite). Der Kunde erhält lediglich die sauberen Webinhalte zurück.


Web-Security-Services sind, wie Service-Angebote ganz allgemein, mittlerweile zu einer attraktiven Alternative herangewachsen, insbesondere dort wo IT-Ressourcen knapp sind. Weiter sind mit einer Servicelösung die In-vestitions- und Betriebskosten geringer. Der Dienst ist rasch eingerichtet, benötigt in der Regel weniger Administrationsaufwand und soll jederzeit flexibel erweitert werden können – für eine höhere Anzahl Benutzer beispielsweise oder um zusätzliche Funktionen.


Ein weiterer Vorteil eines Web-Security-Services liegt in der Verfügbarkeit. Die Schutzfunktionen und Blocklisten stehen an allen Firmen-Standorten, Heimarbeitsplätzen und den mobilen Mitarbeitern zur Verfügung – überall und jederzeit. Mit herkömmlichen Lösungen müssen dazu mehrere Gateways an verschiedenen Standorten installiert werden, wobei man mobilen Mitarbeitern damit keinen vollständigen Schutz bieten kann.


Tests beseitigten jegliche Bedenken

Avantec konnte Energie Thun überzeugen: Mitte September 2009 fiel der Startschuss für eine vierwöchige, kostenlose Testphase eines Web-Security-Services, Zscaler. Zscaler bietet einen Service, der sich weder an spezielle Kundensegmente noch an bestimmte Unternehmensgrössen richtet, also sowohl an kleinere Unternehmen mit limitierten IT-Ressourcen, als auch an Grossfirmen mit verteilten Standorten und mobiler Belegschaft. Er passte also auch für Energie Thun.


Zscaler verspricht einiges: Die Service Level Agreements (SLA) garantieren eine 100-prozentige Verfügbarkeit, eine maximale mittlere Latenz von 99 Mikrosekunden und einen 100-prozentigen Schutz vor bekannten Viren. Für die Erkennung dieser Malware setzt die Lösung neben einer Online-Antiviren-Engine auf eine Vielzahl weiterer Offline-AV-Lösungen. Informationen zu offline erkanntem Schadcode fliessen nach der Erkennung wieder direkt in die Cloud zurück. Wer mehr technische Hintergrundinfos zu Zscaler haben möchte, hat im März an zwei Workshops in Bern und Zürich die Gelegenheit dazu (siehe Agenda auf Seite 66).



Sicher mit weniger Aufwand

Zscaler wurde zu Beginn durch die beiden IT-Verantwortlichen von Energie Thun intensiv getestet. Danach wurden schrittweise weitere Mitarbeiter aufgeschaltet.


Nach den ersten Tests gab es für IT-Leiter Markus Moog eigentlich nur positive Erkenntnisse: Die Inbetriebnahme und Admi-nistration des Dienstes ist wie versprochen einfach. Für die Einrichtung benötigten die beiden IT-Verantwortlichen lediglich einen halben Tag. «Einstellungen und Regeln können einfach per sicherem Web-Interface definiert werden», so Moog. Zudem würden sich darüber auch flexible und detaillierte Echtzeit-Reports zusammenstellen und abrufen lassen. Weiter schätzt Moog das Wegfallen der Hardware und der damit verbundenen Wartung enorm.


Der Cloud-Lösung stand also nichts mehr im Weg. Oder? Gab es keine Bedenken gegenüber einer Servicelösung? «Nein. Dank der positiven Ergebnisse aus der Testphase und der guten Betreuung durch Security-Partner Avantec und Hersteller Zscaler konnten wir die ausschliessen», erklärt IT-Leiter Markus Moog.


Auch was die Sicherheit betrifft, war Energie Thun überzeugt vom Schutzumfang, der ihnen durch Zscaler zur Verfügung steht. Zum einen können via Zscaler neu auch die mobilen Nutzer und Heimarbeitsplätze vor Webgefahren geschützt werden. Zum anderen stehen neben den Standardmodulen Anti-Virus/Anti-Spyware und URL-Filter nun zusätzliche Schutzmechanismen zur Verfügung. Sogenannte Advanced Security Threats wie Cross Site Scripting (CSS), bösartige ActiveX-Controls oder Phishing-Seiten werden dank dynamischer Inspizierung des gesamten Web-Contents aufgefunden und blockiert. Darunter fallen auch Zero-Day-Schwachstellen. Ausserdem kann natürlich auch der ausgehende Webverkehr überwacht werden.



Bandbreitenkontrolle als Option

Mitte Oktober 2009 hat Energie Thun Zscaler ganz offiziell in Betrieb genommen und sich vorerst für ein Standard-Bundle und eine Laufzeit von drei Jahren entschieden. Das Fazit nach den ersten Monaten: «Der Dienst läuft problemlos und schützt unsere Mitarbeiter wie gewünscht vor aktuellen Gefahren», erklärt Markus Moog. Seit der Inbetriebnahme habe man noch keine Änderung vornehmen müssen, der Administrationsaufwand sei damit bisher praktisch null. Nicht zu vernachlässigen sei auch das Einsparungspotential: Neben den niedrigeren internen Aufwänden, seien die Investitionskosten für Hardware und Software komplett weggefallen. Die verbleibenden Servicegebühren sind laut Moog etwa gleich hoch wie die ursprünglich wiederkehrenden Lizenzkosten.


Was Energie Thun an Zscaler weiter schätzt, ist die hohe Performanz. «Sowohl in der Testphase, als auch im produktiven Betrieb haben wir keine Latenzzeiten feststellen können», berichtet Markus Moog. Der Dienst sei trotz sorgfältiger Prüfung aller Webinhalte sehr schnell.


So weit zur Vergangenheit und Gegenwart, bei Energie Thun blickt man natürlich auch bereits in die Zukunft. Die IT-Verantwortlichen haben unter anderem Interesse am Zscaler-Zusatz-Modul zur Bandbreitenoptimierung. Damit könnten sie für wichtige Web-Anwendungen und Nutzungszwecke Bandbreitenanteile garantieren und gleichzeitig privat-orientierte Angebote wie Facebook, Youtube und dergleichen beliebig limitieren. Für ein Unternehmen wie Energie Thun besteht damit die Möglichkeit, die stetig steigenden Bandbreitenanforderungen besser unter Kontrolle zu halten.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER