1. Intr
roducc
ción
Zscaleer provee accceso a Interneet de forma seegura y basadda en política
as, para cualqquier empleaddo, en
cualquier dispositivo y en cualqquier lugar a t
través de su a
arquitectura een la nube alt tamente escaalable.
Es una solución de e seguridad SaaaS (Security as a Service) con el más bbajo costo de pertenencia (TCO)
egrar servicio
al inte os de anti‐viru
us, anti‐spyw
ware, Amenazas Avanzadas s, Filtrado de
e URLs, Contrrol de
Web 2.0, Control de Ancho de Banda, Cont trol de Flujo de correo eleectrónico, An ntispam y ant
tivirus
para ccorreo electróónico y Preve
ención de Fugga de Datos (DLP, Data Los ss Prevention n).
Infraestructur
ra
La inf
fraestructura global de Zs
scaler distrib
buye los componentes de un proxy para crear una red
e
global gigante que actúa como un proxy ú
e o único, de forma que cualquier usuario puede enviar su
o
tráfico
o a cualquier ZEN (Nodo d de Procesamie ento Zscaler), , para acceso seguro a Inte
ernet.
Esta infraestructur
ra está compu s componentes clave:
uesta por tres
Nodo de Procesam
o miento Zscale (ZEN – Zsc
er caler Enforce
ement Node) Alrededor de 40 datace
): enters
distrib
buidos munddialmente, alltamente esccalables y M
Multi‐Tenant (cualquiera puede atend el
der
tráfico
o de cualquie
er usuario del cliente).
Confid
dencial Zscaler 200
09‐2011.
2. Autorridad Central (CA – Cent
tral Authority Infraestru
y): uctura encarg
gada de cont
tener la polít
tica a
aplica y servirla al nodo d procesam
ar a de miento. También encargada del mo onitoreo, sal lud y
adminnistración de los nodos de procesamien nto o ZENs.
Servi
idores Nanoloog (NS – Nan nolog Servers
rs): Servidores
s encargadoss de guardar l
los registros dde las
transa
acciones de lo
os usuarios, a
así como proc
cesarlos para el reporteo e
en tiempo rea
al y análisis.
Media
ante la inteli
igencia de Na
anolog se log una redu
gra ucción de 50:1 del tamañ de los mis
ño smos,
permitiéndonos gu uardar hasta 6 meses los registros por
r defecto. Exttendible a añños en caso d
de ser
sario.
neces
as a la Tecnología de Nanolog, Zscaler da visibilidad
Gracia d sin paraleloo, guardando la URL completa y
todos los registros referentes a las transacciones del us
s s suario, incluy
yendo la laten al procesar la
ncia
transa
acción en el pproxy de Zscaler:
"No. ","Time","U User","SSL","URL","Policy Action","A
y Application CClass","Appliication","Rec
ceived
Bytess","Sent Byt tes","Total Bytes","Prox Latency (milli‐sec)","
xy "Server Traans. Time ( (milli‐
sec)",
,"Client Trans Time (mill
s. li‐sec)","URL Class","URL Supercatego
ory","URL Cattegory","Mal lware
Class" "Malwar
", re Categor ry","PageRiskk","Location"","Departmen nt","Client IP","Server IP",
"Requuest", "Respo onse","Agent t","URL Categgorization Me ethod"
Las em
mpresas redirigen el trafic co web al Nod do de proces samiento más s cercano, el CA sirve la po
olítica
que g
gobierna el acceso del us
suario a Inter
rnet y el Nod de proces
do samiento la a
aplica. El Nod de
do
Proceesamiento, Ze está cons
en, struido sobre un sistema o operativo y u stack TCP/ personalizados
un /IP
para eentregar el 900% de las transacciones en n menos de 9 90 microsegundos. Todos los registros d de las
transaacciones son guardados en n un servidor Nanolog cen ntralizado parra procesarless en tiempo real.
s los componentes tienen múltiples niv
Todos veles de redun
ndancia para asegurar la a
alta disponibil
lidad.
Confid
dencial Zscaler 200
09‐2011.
3. Dife
erenci
iadore
es.
Seguridad
Zscaler increment la Seguridad a sus clie
ta entes, al aplic filtrado e línea, de las definiciones de
car en
segurridad (AV, AS,, Amenazas AAvanzadas, W Web Access Control, File T Type Control, Risk Index, e
etc.) a
todo el trafico web, escaneand
do de forma p profunda el trafico (http h headers, http payload, tannto en
tud como respuesta) a me
solicit edida que pasa por su infra aestructura.
Antivirus y Antispyware en línea. El tráfico generado po
or los usuario
os es escaneaado en tiempo o real
por la
as definicione
es más actuale
es y medidas de seguridad
d para proteg
gerles de Viru
us y Spyware.
Proteección de Amenazas Av
A vanzadas. Pr rotección pr
ropietaria coontra amena azas de sigu uiente
gener ración como contenido ac
ctivo malicios botnets, C
so, Cross Site Scr
ripting (XSS), Robo de Cookies,
anoni imizadores, P
Phishing y unaa nueva generación de am menazas hostiles a través d de web 2.0, gracias
al esc
caneo profun paquetes (http headers, http payload tanto en s
ndo de los p d solicitud com en
mo
respuuesta).
Zscale incorpora también protecciones d terceros (
er de (best of bree y de día cero al ge
ed) a enerar
protecciones en base a las vulnerabilidade compartida a través d partnerships con difer
b es as de rentes
prove
eedores, por e ejemplo Micr rosoft en su pprograma MA APP, que com mparte las vulnerabilidadees que
encueentran cada mmes y Zscaler r, para las rel
lacionadas co
on vulnerabili idades en la navegación, a
aplica
firmas
s de proteccióón para prote eger automát ticamente a todos sus clientes, en cuesstión normalmmente
de ho
oras después d de recibir dicha informació ón.
Contr
rol de Acceso o a la Web. Zsscaler permitee el bloqueo d
de browsers//versiones que el administtrador
consid
dere no seguras u obsolet tas. Por ejem
mplo, bloqueaar Internet Ex
xplorer versio
ones 7 hacia a
abajo,
pero permitir las v
versiones 8 y 9 al consider
rarles más seguras. Ademá ás puede esccanear por plu
ug‐ins
ucos” o vulnerables.
“cadu
Contr de Tipo de Archivos (
rol d (File Type Coontrol). Zscale tiene la ca
er apacidad de aplicar filtrad de
do
tipos de archivo en base a po
e olíticas defin
nidas por el a
administrado Por ejemp no permitir la
or. plo
descaarga de ejecu
utables de ca
ategorías que el administrador considere de mayo riesgo (hacking,
e or
violen
nce, etc).
Riesgo de Web (web Risk). Adicionalme ente Zscaler calcula un índice de r riesgo en ba
ase a
conoccimiento del destino (por ejemplo sitio o de categorí ía de mayor riesgo, como o hacking, dominio
regist
trado recienteemente, domminio con histtorial de albe
ergar código malicioso) y conocimient del
to
conteenido (por ejemplo sitio que utiliza o
ofuscación de código, im
e mágenes de c cero pixeles, etc.),
determinando un í índice de ries
sgo final de 0 a 100. El adm ministrador coontrola que ra ango de índicces de
o permite.
riesgo
Confid
dencial Zscaler 200
09‐2011.
4. Funcionalidades d
de Seguridad SMTP (correo
o empresaria
al)
Escan de Antivirus y Antisp
neo pyware para SMTP en lín
nea. Validar que el tráfico recibido po los
o or
usuarrios de EL CLIENTE sea esccaneado en tiempo real po or las definici
iones para pr rotegerles de Virus
y Spywware, amenazas de dia cero y phishing
g intentando l la descarga de un archivo de virus valid dando
los reportes/transaacciones.
Filtrad de correo SPAM. Zsca provee e filtrado de correo spam mediante m
do o aler el m multiples mét todos,
como el filtrado in
o nicial en base a reputació de conexiones y poste
e ón erior el escan de los co
neo orreos
contra firmas de detección de SPAM. Adem agrega f
a d más, flexibilidad para la aplicac
ción de difer
rentes
umbrales de antisp pam en base al usuario/grupo
Administrac
ción.
Filtrad
do de URL. ZZscaler filtra c
con alrededo ercategorías/categorías de URLs y el cliente
or de 90 supe e
puede e recategorizar los sitios p
por url, dominio o keywor
rd en la url e
en las categor
rías predefini
idas o
bien, crear categorrías propias.
Adem más, agrega fle
exibilidad par ra la aplicació
ón de la políti
ica en base a locaciones, identificadas por la
IP hommologada Fijaa origen del t trafico y una locación especial, “Road Warrior”, parra la identific
cación
de los usuarios móviles, así co
s omo la aplicación de cuot en base a MB consum
tas a midos o tiemp de
po
naveg gación.
Zscale
er puede refo
orzar la aplica
ación del filtr
ro safesearchh en los princ res de búsqueda y
cipales motor
youtu
ube, indicando
o a dichos sittios el no mosstrar resultad
dos de búsquedas de contenido inapropiado
o que
e no vayan aco
orde a las pollíticas de uso aceptable dee la empresa.
Contr Zscaler permite controles adicionales a
rol Web 2.0. Z al filtrado de c
contenido, en
n sitios de we
eb 2.0
como autorizar/p
o permitir archivos adjunto en webm
os mail, post en redes sociales, upload en
n ds
stream
ming, envío d
de archivos en
n WebIM.
Contr rol de Ancho de Banda (Ba andwidth Control). Zscaleer permite “tr
raffic shaping” mediante lí ímites
de coonsumo de an ncho de band da por aplicaciones WEB predefinidas (denominada as “clases”), como
streamming, redes sociales, de
escarga de a
archivos gran
ndes y medi iante la crea
ación de “cllases”
persoonalizables po
or EL CLIENTE E (definidas p
por dominios/ /urls). Ademá
ás permite el control de li imitar
el anc de banda consumido mediante la aplicación d cuotas en Bytes/tiemp por usuar
cho o a de n po, rios o
grupo os.
Contr de flujo SMTP Zscaler provee capa
rol S r acidad para d
definir reglas de flujo de correo (SMT en
s TP)
donde se pueden tomar acc
e n ciones depen ndiendo del remitente, d destinatario, tipo de arcchivos
adjun
ntos, etc., incluida la entregga del correo
o solamente a través de un n canal encripptado.
Confid
dencial Zscaler 200
09‐2011.
5. Alias y Redirecciónn. Zscaler pro
ovee la capacidad para reddirigir y/o cop
piar a otra cuenta de corre
eo del
usuarrio, correos qu
ue cumplan laa condición e
especificada d
de remitente y destinatario.
Cumplimien
nto.
Preve
ención de fug ga de Datos (DDLP, Data Losss Prevention n). Zscaler puede escanear r el trafico saliente
WEB yy SMTP, en bbúsqueda de i información s
sensitiva (me ediante diccioonarios) que e
envían los usu uarios
y perm
mite al administrador bloquearla/repo ortarlo si lo re
equiere. El Administrador r puede defin nir sus
propio
os diccionario
os y agruparlees en base a m
motores que después puede aplicar en las reglas.
er provee diccionarios pre
Zscale edefinidos, po
or ejemplo de e detección dde tarjetas de
e crédito, núm meros
de seg
guro social dee USA, etc.
Reporteo y a
análisis.
Gracia a la tecno
as ología propietaria para re
egistros y rep
porteo a trav de los se
vés ervidores Nannolog,
Zscale
er logra la consolidación yy correlación de la informa ación de los registros de l
la actividad W
WEB y
SMTPP de los usuar rios alrededo
or del mundo o y en tiempo o real, incluye
endo todas laas locaciones de la
empresa e incluye
endo los usuaarios móviles de la misma, indicando el estado d seguridad de la
s o de
nización.
organ
Zscale provee re
er eportes en b
base a aplica aciones, locaaciones, departamentos, top de usu uarios,
categorías de URLs s, y con múltiples filtros coomo mostrar rle en Transac
cciones, Bytes consumidos s, con
period dos de “Hoy” ”, “Ayer”, “Es
sta Semana”, “Ultima Sem mana”, “Este MMes”, “Ultim mo Mes”.
El adm ministrador aaccede a los r reportes en t tiempo real y y de forma dinámica a trav vés de selecccionar
con el puntero las diferentes pa artes de las g
gráficas, modifica de forma a inmediata la información que
le es mostrada en otras gráfic en la mi
n cas isma pantalla El adminis
a. strador puede “guardar” algún
e
repor rte/vista que sabe va a esttar validandoo continuamente para su f facilidad y ahora solo acceederlo
desde e un link.
El clie
ente puede programar el envío de los reportes salvados por medio de correo electrónic en
p co,
donde e se enviará u
un correo conn un link, que e al ser visitad
do, dará el miismo reporte dinámico en Flash
que se e puede acceesar en la UI.
Los re eportes gráfic
cos en la UI, p
pueden ser también export tados a formaato PDF.
Confid
dencial Zscaler 200
09‐2011.
6. Los re
eportes transaccionales, ac ccesibles de f
forma dinámi ica al dar dob ble click en las partes de innterés
en la parte gráfica
a, al igual quee aquellos geenerados desde el motor de análisis que permite b buscar
regist
tros específicos en base a diferentes c
a condiciones, pueden expo ortarse a un archivo csv, hasta
100,0000 registros.
Zscale es la única solución co visibilidad inmediata e base a cu
er a on d en ualquier usuaario, al conta con
ar
reporrtes en tiempo real por us suario. Estos r
reportes son el total de tipos de repor rte que se cue entan
para lla compañía, pero a nivel d de usuario.
Zscale Provee tam
er mbién dentro de la UI, un motor de A
o n Análisis de lo registros de la empresa por
os a,
defauult de los últim
mos seis mes ses de historial. Extensible
e sin problem ma a años por una subscri ipción
adicio
onal.
Zscale Cuenta tam
er mbién con el Reporteo en Base a Rol (RBR, Role Based Repor
l l rting) en don El
nde
cliente puede dele egar el acceso o a los reporte
es de acuerdoo a roles. Indica a que rep portes tiene acceso
uario admin e
el usu en la UI depen ndiendo de la a función (Sec
curity, Manag ge, Comply) y y después asig gna el
rol al administradoor, indicando ahora el alca ance dentro d de la empresa a, si es a nivel compañía, o o bien
solo aa algunos dep partamentos o locaciones. Esta funcion nalidad será e extendida a A Administració ón en
Base a Rol, pudienndo ahora delegar también la administración de políticas en base a las funcio ones y
alcancce (organizacción, departam mentos, locac ciones).
Confid
dencial Zscaler 200
09‐2011.
7. Imp
plementación.
Zscale es un Serv
er vicio de ultra baja latencia y muy alto desempeño que permite a las emp
a o presas
reduc el Costo Total de Prop
cir T piedad (TCO) al aplicar la Política de Uso Aceptable (AUP) y filtrar
) a
amen nazas en el trafico de navegación de los usu uarios, no immporta lo ddistribuida d su
de
infrae
estructura, e i
incluyendo lo os usuarios en
n dispositivos móviles.
ministrador d
El Adm de la empresaa define la poolítica a aplica
ar a través de e una interfaz en Web, y esta es
aplica
ada inmediattamente a ttodo del tráfico. El admministrador n tiene que preocupars de
no e se
admin os, actualizaciones, etc., so
nistrar equipo olo por definiir la política a aplicar.
Redirección Trafico Web
b
Zscale permite la implementación mediante diferente métodos de redirecció soportan
er a es ón, ndo la
ección de todo el tráfico de
redire e El cliente. Z
Zscaler puede
e escanear tan nto el tráfico http como ht ttps al
realizar intercepció
ón del trafico
o cifrado.
Túnel les GRE y PBR
R para re‐direeccionar el trááfico Web (pu
uerto 80 y 443 3) a través dee dichos túneles.
Archiv pac. Archivos de auto configuraci en donde el administ
vos o ión e trador indica al browser d los
de
usuarrios a que pro
oxy enviar el t
tráfico Web (H HTTP, HTTPS)), en este casoo al servicio d
de Zscaler.
Confid
dencial Zscaler 200
09‐2011.
8. Proxyy Chaining. Enn proxies ya e existentes en la infraestruc ctura del cliente, en donde se indica a dicho
proxy no enviar el tráfico dire
y e ecto a intern
net, sino que hay un pro ascenden (el servic de
e oxy nte cio
Zscale
er).
Port Forwarding. Para lograr la redirecció del tráfico con puerto 80 reescribi
ón o iendo la dire
ección
destin
no a la direcci
ión de los nod dos de acceso o.
Aute
entica
ación.
Serviddor LDAP. Zscaler cuenta con la funcio onalidad de p poder autenticar vía LDAP seguro a ser rvicios
de Dirrectorio (AD entre ellos). E Esto permite al administra ador el aprov vechar los gru upos creados ya en
el Dire
ectorio para e el establecimiento de las ppolíticas.
IP/Locación. Zscaler puede aut tenticar en ba ase a la IP orrigen del tráffico. Mediante el envío de e la IP
origin en túnele GRE, se p
nal es pueden estab blecer subloccaciones en base a este direccionam miento
“interrno” y de iguaal forma que en las locacio ones, establec cer política enn base a éstas s.
DB de e Usuarios ho osteada en Z Zscaler. En caaso de no con ntar con LDAP, Zscaler puede autenticar los
usuarrios al hostea la base de datos de usuarios/contr
ar e raseña, grupo y departamentos a los que
os
pertenece, que tam mbién utiliza para poder d dar la funciona alidad de polí ítica en base a usuario/gru upos.
Es importante men ncionar que ssolo la primera transacció ón de navegac ción del usua ario es autentticada
y al ser exitosa la autenticación, Zscaler uti ilizara cookie
es persistente es para contin nuar autenticcando
de forrma transparente el tráfico o del browser de los usuar rios.
Auten nticación Transparente a t través de SAML. También n, mediante la a implementa ación de SAMML por
parte de El cliente, , Zscaler pued
de autenticar r de forma tra ansparente esta primera transacción. N NOTA:
Aunque se utilice S SAML para el l proceso de autenticaciónn, aun es nec cesaria la inteegración con LDAP,
o bien, el uso de la DB de u
e usuarios para conocer los usuarios/gr
a s rupos/depart tamentos y d la
dar
funcioonalidad de re eportes y política por usuaarios/grupos/ /departamentos.
Token n/Password de un solo u
d uso. Existen o
otros método para auten
os nticar la primer transacció del
ón
usuar final como el envío de un correo c un link que el usuario visita (One Time Token) y de
rio o e con o )
forma a automática es autenticado, o el envío o de un corre eo con una contraseña de e uso de una única
vez (O
One Time Pas ssword). NOT TA: Aunque s se utilice esto
os para el pro oceso de autenticación, aún es
necessaria la integgración con LDAP, o bi ien, el uso de la DB d usuarios para conoce los
de er
usuarrios/grupos/d departamento os y dar la funcion nalidad de reportes y política por
usuarrios/grupos/d departamento os.
Confid
dencial Zscaler 200
09‐2011.