Zscaler ofrece acceso seguro a Internet para empleados desde cualquier dispositivo y lugar a través de su arquitectura en la nube altamente escalable. Su infraestructura global distribuye los componentes de un proxy para crear una red gigante que actúa como un único proxy y proporciona servicios de seguridad como antivirus, antispyware y filtrado de URLs. Los nodos de procesamiento Zscaler aplican las políticas definidas por el cliente para mejorar la seguridad.
Zscaler ofrece seguridad en la nube para cualquier usuario
1. Intr
roducc
ción
Zscaler pr
rovee acceso a Internet d forma segura y basada en políticas para cualqu emplead en
o de a s, uier do,
cualquier dispositivo yy en cualquier r lugar a través de su arqu uitectura en la nube altam mente escalab ble. Es
una solucción de segur
ridad SaaS (S
Security as a Service) con el más bajo costo de pertenencia (TC al
CO)
integrar sservicios de aanti‐virus, antti‐spyware, A Amenazas Ava anzadas, Filtrado de URLs s, Control dee Web
2.0, Contrrol de Ancho de Banda, Co ontrol de Flujo o de correo eelectrónico, Antispam y antivirus para c correo
electrónicco y Prevenci ión de Fuga dde Datos (DLP P, Data Loss Prevention).
Infraestructur
ra
La infraes
structura glob
bal de Zscaler distribuye los componentes de un proxy para cre ear una red g global
gigante q actúa como un proxy único, de f
que y forma que cu
ualquier usua
ario puede e
enviar su tráf
fico a
cualquier ZEN (Nodo de Procesamie ento Zscaler),
, para acceso seguro a Inte
ernet.
Esta infraestructura es
stá compuesta
a por tres com
mponentes cl
lave:
Nodo de Procesamiento Zscaler (ZEN – Zscaler Enforcemment Node): Alrededor d 40 datace
de enters
distribuidos mundialm
mente, altame ente escalable
es y Multi‐Ten
nant (cualquiera puede atender el tráfi
ico de
cualquier usuario del c
cliente).
Autoridad d Central (CA uthority): Infraestructura encargada de
A – Central Au ez contener la política a aplicar
y servirla al nodo de p
procesamient También encargada de
to. el monitoreo, salud y adm
ministración d los
de
nodos de procesamien nto o ZENs.
Servidore Nanolog (NS – Nanol Servers): Servidores e
es log : encargados d guardar lo registros d las
de os de
transaccio ones de los usuarios, así como procesarlos para el r reporteo en tiempo real y análisis. Med
diante
encia de Nanolog se logra una reducci de 50:1 d tamaño d los mismos, permitiénd
la intelige a ión del de donos
guardar h hasta 6 mesess los registros por defecto. Extendible a
a años en caso
o de ser necesario.
Gracias a la Tecnologí de Nanolo Zscaler da visibilidad s paralelo, guardando la URL completa y
ía og, a sin
todos los registros re
s eferentes a la transaccio
as ones del usuario, incluyendo la latencia al proces la
sar
transaccióón en el proxyy de Zscaler:
"No. ", ,"Time","Useer","SSL","UR
RL","Policy Action","Ap pplication C Class","Appliication","Rec ceived
Bytes","S
Sent Bytes","Total Bytes",
","Proxy Late
ency (milli‐se
ec)","Server T
Trans. Time (milli‐sec)","C
Client
Trans. Tim
me (milli‐sec)
)","URL Class
s","URL Super rcategory","U URL Category y","Malware Class", "Mal lware
Category","PageRisk", ","Location","
"Department t","Client IP","Serve
er IP", "Requuest",
"Respons se","Agent",""URL Categor rization Meth
hod"
Confid
dencial Zscaler 200
09‐2011.
2. Las empreesas redirigenn el trafico web al Nodo de procesamie ento más cercano, el CA sirve la política que
gobierna el acceso del usuario a Internet y el Nodo d procesam
d y de miento la ap
plica. El Nod de
do
Procesammiento, Zen, eestá construid do sobre un s
sistema operaativo y un sta
ack TCP/IP pe
ersonalizados s para
entregar el 90% de las transaccio
l ones en menos de 90 m
microsegundo Todos los registros d las
os. de
ones son guar
transaccio rdados en un servidor Nan nolog centrali
izado para procesarles en tiempo real.
Todos los componente
es tienen múltiples niveles
s de redundan
ncia para aseg
gurar la alta d
disponibilidad
d.
Dife
erenci
iadore
es.
Seguridad
d
Zscaler in
ncrementa la Seguridad a sus clientes, al aplicar filtrado en línea, de la definicione de
a as es
seguridad d (AV, AS, Am
menazas Avanzadas, Web A Access Contro ol, File Type C
Control, Risk Index, etc.) a
a todo
el trafico web, escaneando de form
ma profunda el trafico (htt tp headers, h http payload, tanto en solicitud
como resp puesta) a medida que pasa
a por su infraaestructura.
Antivirus y Antispywaare en línea. E
El tráfico gen
nerado por los usuarios es
s escaneado een tiempo rea
al por
ciones más ac
las definic ctuales y meddidas de seguridad para prrotegerles de
e Virus y Spyw
ware.
Protecció de Amenazas Avanzadas. Protecció propietaria contra ame
ón ón a enazas de sig
guiente gener
ración
como con ntenido activo
o malicioso, b
botnets, Cros
ss Site Scriptin
ng (XSS), Rob
bo de Cookies s, anonimizad
dores,
Phishing y
y una nueva ggeneración dee amenazas hhostiles a travvés de web 2.0, gracias al escaneo proffundo
de los paq
quetes (http h
headers, http
p payload tantto en solicitud
d como en reespuesta).
Zscaler incorpora tamb bién proteccio
ones de terceeros (best of bbreed) y de ddía cero al gen
nerar protecc
ciones
en base a las vulnerabilidades com
a mpartidas a t
través de par
rtnerships co diferentes proveedores por
on s,
ejemplo M Microsoft en su programa MAPP, que c comparte las vulnerabilida ades que enc cuentran cada
a mes
y Zscaler, para las rela
acionadas conn vulnerabilid
dades en la navegación, ap plica firmas d
de protección
n para
proteger automáticam mente a todos s sus clientes
s, en cuestión n normalmente de horas d después de r
recibir
dicha info
ormación.
Control d Acceso a la Web. Zscaler permite e bloqueo de browsers/v
de l el versiones que el administ
e trador
consideree no seguras uu obsoletas. PPor ejemplo, bloquear Inte
ernet Explore
er versiones 7
7 hacia abajo,, pero
permitir la
as versiones 8
8 y 9 al consid
derarles más seguras. Ade
emás puede e escanear por plug‐ins “caducos”
o vulnerables.
Control de Tipo de Arcchivos (File Type Control). Zscaler tiene e la capacidad de aplicar f
filtrado de tip
pos de
archivo e base a po
en olíticas definidas por el a
administrador Por ejemplo no permit la descarg de
r. tir ga
ejecutablees de categor
rías que el administrador c considere de mayor riesgoo (hacking, vio
olence, etc).
Confid
dencial Zscaler 200
09‐2011.
3. Riesgo dee Web (web Risk). Adicion nalmente Zsc caler calcula u
un índice de riesgo en base a conocim miento
del destino (por ejemmplo sitio de categoría de mayor r riesgo, como hacking, dominio regis
o strado
recientem
mente, domin nio con histor rial de alberg
gar código ma alicioso) y co
onocimiento d del contenido
o (por
ejemplo ssitio que utiliz
za ofuscaciónn de código, i imágenes de cero pixeles, , etc.), determ
minando un ííndice
de riesgo final de 0 a 1
100. El admini istrador contrrola que rang
go de índices dde riesgo per rmite.
Funcional
lidades de Se
eguridad SMT
TP (correo em
mpresarial)
Escaneo dde Antivirus y
y Antispywar
re para SMTPP en línea. Vaalidar que el t
tráfico recibid
do por los usu
uarios
de EL CLIE
ENTE sea esccaneado en tiiempo real por las definic
ciones para pprotegerles de e Virus y Spyware,
amenazas de dia cer y phishin intentando la descarg de un ar
s ro ng o ga rchivo de virus validando los
reportes/
/transacciones.
Filtrado dde correo SPA AM. Zscaler pprovee el filtrado de correeo spam mediante multiple es métodos, como
el filtrado
o inicial en base a reputaci
ión de conexi iones y poste
erior el escaneo de los cor
rreos contra f
firmas
de detección de SPA AM. Además, agrega flexibilidad para la aplicació de diferen
a ón ntes umbrale de
es
antispam en base al us suario/grupo
Administr
ración.
Filtrado d
de URL. Zscale er filtra con alrededor de 9
90 supercateg
gorías/categoorías de URLs
s y el cliente p
puede
recategorrizar los sitios
s por url, domminio o keyword en la url en las catego
orías predefin
nidas o bien, crear
categoríass propias.
Además, agrega flexibilidad para laa aplicación d
de la política e
en base a loc
caciones, iden ntificadas por
r la IP
homologa ada Fija orige
en del trafico y una locació
ón especial, “
“Road Warrio or”, para la identificación d
de los
usuarios m
móviles, así co
omo la aplicaación de cuotaas en base a MMB consumid dos o tiempo de navegació ón.
Zscaler puede reforza la aplicació del filtro safesearch e los principales motore de búsque y
ar ón en es eda
youtube, indicando a dichos sitios el no mostra
ar resultados de búsquedas de conten nido inapropia
ado o
que no vaayan acorde aa las políticas de uso acept
table de la em
mpresa.
Control W 2.0. Zsca permite controles ad
Web aler dicionales al f
filtrado de co
ontenido, en sitios de we 2.0
eb
como auttorizar/permitir archivos a
adjuntos en w
webmail, pos en redes s
st sociales, uplo
oads en streaming,
envío de a
archivos en W
WebIM.
Control de Ancho de B Banda (Bandw width Contro ol). Zscaler pe
ermite “traffic shaping” mmediante límit tes de
consumo de ancho de banda por aplicacion WEB pr
nes redefinidas (d
denominadas “clases”), como
s
streaming redes soc
g, ciales, desca
arga de archivos grandes y mediante la crea ación de “cl lases”
personaliz
zables por EL CLIENTE (de
L dominios/urls). Además p
efinidas por d permite el co
ontrol de limi
itar el
ancho de banda consumido median nte la aplicación de cuotas s en Bytes/tiempo, por usu uarios o grupo os.
Confid
dencial Zscaler 200
09‐2011.
4. Control de flujo SMTP P Zscaler prov
vee capacidad d para definir
r reglas de flu
ujo de correo
o (SMTP) en d
donde
se pueden tomar acciones depend diendo del remitente, de
estinatario, ti de archiv adjuntos, etc.,
ipo vos ,
incluida la
a entrega del correo solam
mente a través s de un canal encriptado.
Alias y Reedirección. Zscaler provee la capacida para redirigir y/o copia a otra cue
Z e ad ar enta de corre del
eo
usuario, c correos que cumplan la co ondición espe ecificada de re
emitente y de estinatario.
Cumplimi
iento.
Prevenció de fuga de Datos (DLP Data Loss Prevention). Zscaler pue escanear el trafico saliente
ón P, . ede
WEB y SM MTP, en búsq queda de infoormación sennsitiva (media ante diccionarios) que env vían los usuarios y
permite a administra
al ador bloqueaarla/reportarlo si lo requ
uiere. El Adm
ministrador p puede defini sus
ir
propios diccionarios y agruparles en
n base a motoores que desp pués puede a aplicar en las reglas.
Zscaler pr
rovee diccionnarios predefi
inidos, por ej
jemplo de de etección de ta arjetas de créédito, númerros de
seguro so
ocial de USA, e
etc.
Reporteo y análisis.
Gracias a la tecnología
a propietaria para registro
os y reporteo a través de los servidores Nanolog, Zs scaler
onsolidación y correlación
logra la co n de la informmación de los registros de la actividad W
WEB y SMTP d de los
usuarios alrededor de mundo y en tiempo r
el real, incluyen
ndo todas las locaciones de la empresa e
incluyenddo los usuarios móviles de la misma, ind dicando el esstado de segu rganización.
uridad de la or
Zscaler prrovee reporte es en base a aplicaciones,, locaciones, departament tos, top de us suarios, categ
gorías
de URLs, y con múltip filtros como mostrarle en Transacciones, Bytes consumidos con periodos de
ples e s s,
“Hoy”, “AAyer”, “Esta S Semana”, “Ultima Semana a”, “Este Mes s”, “Ultimo M
Mes”.
El adminisstrador acced de a los reporrtes en tiempo real y de foorma dinámica a través de seleccionar c con el
puntero las diferentes partes de l gráficas, modifica de forma inmed
s las diata la infor
rmación que le es
mostrada en otras grá misma pantalla. El administ
áficas en la m trador puedee “guardar” a algún reporte/vista
que sabe va a estar val lidando continuamente pa ara su facilida
ad y ahora sol
lo accederlo d desde un link.
El cliente puede progra amar el envíoo de los reportes salvados por medio d de correo elec ctrónico, en ddonde
se enviaráá un correo c con un link, q al ser vis
que sitado, dará eel mismo repporte dinámic co en Flash que se
puede acc cesar en la UI.
Los report tes gráficos e
en la UI, pueden ser tambiéén exportado os a formato P
PDF.
Confid
dencial Zscaler 200
09‐2011.
5.
Los reportes transaccio onales, accessibles de formma dinámica a al dar doble c click en las pa
artes de inter rés en
la parte gráfica, al igua
al que aquello os generados s desde el mo otor de análisis que permit te buscar reggistros
específico en base a diferentes condiciones, pueden exp
os a , portarse a u archivo cs hasta 100,000
un sv,
registros.
Zscaler ess la única solu
ución con visi ibilidad inmeddiata en basee a cualquier usuario, al co ontar con rep portes
en tiempo real por usuario. Estos reportes so el total de tipos de re
s on e eporte que se cuentan pa la
e ara
compañía a, pero a nivel de usuario.
Zscaler Prrovee también dentro de l la UI, un motor de Análisis s de los registros de la em mpresa, por de efault
de los últi
imos seis mes ses de historia
al. Extensible
e sin problema a a años por u una subscripcción adicional.
Zscaler Cuuenta tambié én con el Reporteo en Bas se a Rol (RBR, Role Based Reporting) e en donde El cliente
puede delegar el acces so a los reportes de acuer rdo a roles. In
ndica a que re eportes tienee acceso el us suario
admin en la UI depe
n endiendo de la función (Security, Ma anage, Comply) y despué asigna el rol al
és
administrador, indican ahora el alcance dent de la emp
ndo tro presa, si es a nivel compa
a añía, o bien s
solo a
algunos ddepartamento os o locacionees. Esta funcioonalidad seráá extendida a Administrac ción en Base a Rol,
pudiendo ahora deleg también la administr
gar ración de po
olíticas en ba a las fun
ase nciones y alcance
(organizacción, departamentos, loca aciones).
Confid
dencial Zscaler 200
09‐2011.
6. Imp
plementación.
Zscaler es
s un Servicio dde ultra baja latencia y mu uy alto desem mpeño que pe ermite a las empresas redu ucir el
Costo Tot de Propie
tal edad (TCO) al aplicar la Po
l olítica de Uso Aceptable (AUP) y filtra amenazas en el
o ar
trafico de
e navegación de los usuar rios, no importa lo distribu uida de su infraestructura a, e incluyend
do los
usuarios e
en dispositivo os móviles.
El Admini
istrador de la empresa de
a efine la políti a aplicar a través de u interfaz e Web, y es es
ica una en sta
aplicada inmediatamente a todo del tráfico. El administrado or no tiene que preocuparse de admin nistrar
actualizacione
equipos, a es, etc., solo por definir la política a aplicar.
Redirecció
ón Trafico W
Web
Zscaler ppermite la immplementación mediante diferentes métodos d redirecció soportand la
e de ón, do
redireccióón de todo el tráfico de E El cliente. Zscaler puede e escanear tant to el tráfico h
http como https al
realizar in
ntercepción del trafico cifra ado.
Túneles G GRE y PBR par ra re‐direccio
onar el tráficoo Web (puerto o 80 y 443) a través de dichos túneles.
Archivos pac. Archivo de auto c
os configuración en donde e administra
n el ador indica a browser d los
al de
usuarios aa que proxy e enviar el tráfic
co Web (HTTP P, HTTPS), en este caso al sservicio de Zsscaler.
Proxy Cha aining. En pr
roxies ya exis
stentes en la infraestructu del client en donde se indica a dicho
ura te, e
proxy no e enviar el tráfiico directo a internet, sinoo que hay un proxy ascend dente (el servi icio de Zscale
er).
Port Forw warding. Para lograr la redirección del t tráfico con pu
uerto 80 reescribiendo la d dirección dest tino a
ón de los nodos de acceso.
la direcció
Confid
dencial Zscaler 200
09‐2011.
7. Aute
entica
ación.
Servidor LDAP. Zscaler cuenta con la funcionali idad de pode er autenticar vía LDAP seg guro a servicios de
Directorio (AD entre ellos). Esto p
o e permite al addministrador el aprovecha los grupos creados ya en el
ar s
Directorioo para el establecimiento d de las políticaas.
IP/Locació Zscaler puede autent
ón. p ticar en base a la IP orig del tráfic Mediante el envío de la IP
e gen co.
original en túneles GRE, se pueden n establecer s sublocaciones s en base a este direccionamiento “interno”
y de igual forma que en las locacion nes, establece er política en base a éstas. .
DB de Ussuarios hoste eada en Zscaaler. En caso de no cont con LDAP Zscaler pue autentica los
o tar P, ede ar
usuarios al hostear la base de d
a datos de usu uarios/contraseña, grupos y departam
s mentos a los que
s
pertenece e, que tambié én utiliza para
a poder dar la a funcionalida ad de política en base a usuario/grupos s.
Es import tante mencionar que solo la primera tr ransacción de e navegación del usuario e es autenticadda y al
ser exitossa la autentica ación, Zscaler r utilizara coo
okies persiste entes para coontinuar auten nticando de f forma
transpareente el tráfico o del browser de los usuari ios.
Autentica ación Transpa arente a trav de SAML También, mediante la implementac
vés L. ción de SAM por
ML
parte de El cliente, Zs
scaler puede autenticar d forma tran
de nsparente est primera tr
ta ransacción. N
NOTA:
Aunque s se utilice SAM ML para el proceso de aut tenticación, a aun es necesa aria la integración con LDDAP, o
bien, el usso de la DB de usuarios pa ara conocer lo os usuarios/grupos/depart tamentos y dar la funciona alidad
de reportes y política p por usuarios/ /grupos/departamentos.
Token/Pa assword de un solo uso. Existen otros métodos para autenticar la prime transacció del
u . er ón
usuario final como el e envío de un c correo con un n link que el usuario visita
a (One Time T Token) y de f forma
automátic ca es autenticado, o el en nvío de un co orreo con una a contraseña de uso de una única vez (One
Time Pass sword). NOTA Aunque se utilice estos para el pro
A: e oceso de aute
enticación, aún es necesa la
aria
integracióón con LD DAP, o bien, el uso de la DB de u usuarios para conocer los
r
usuarios/g grupos/departamentos y dar la funcionalidad de reportes y política por
a
usuarios/g grupos/departamentos.
Confid
dencial Zscaler 200
09‐2011.