SASE mit Zscaler, Ubiquiti & Hetzner für KMUs

KMUs brauchen vor allem eines: Einfache, sichere und kosteneffektive Architektur-Ansätze, damit IT und Security nicht zum Spielverdeber sondern Enabler wird. Bei Rheintec liefern wir mit am Markt unvergleichbaren Architekturkonzepten genau das, mit dem Ziel unsere Kunden durch sichere Digitalisierung dabei zu unterstützen, den Wettkampf anzuführen.

Worum es hier geht

• Wir senken klar Kosten, indem wir unnötige und teure Komponenten wie Firewalls und MPLS ablösen
• Wir schaffen eine gesunde und majore Security-Baseline für KMUs, indem wir Zscaler als Marktführer einsetzen
• Wir enablen kleine interne Teams intelligente Architekturen einfach zu betreiben 
• Unser Konzept ist modular erweiterbar 

Warum diese Kombination

Dafür ist ein kurzer Blick auf die Eckdaten und Funktion nötig:

Zscaler:

• Marktführer im SSE (Zero Trust Network Access) Bereich
• Cloud-Nativ Lösung: Sehr geringer Deployment- und Skalierungs-Aufwand (Security as a Service)
• Äusserst mächtige Security Lösung, die Benutzern von überall einfach Zugriff auf interne und externe Ressourcen ermöglicht.

Ubiquiti:

• Extrem einfache aber ausreichend mächtige Lösung um SD-WAN, WiFi und Switching im lokalen Netzwerk an den Standorten abzubilden
• Wenige Seucirty-Funktionen, aber eine funktionale Layer-4 Firewall
• Lizenzkostenfrei: Keine zehntausende Franken für Lizenzen für Firewalls, Switches und Access Points

Hetzner:

• Ist ein bayerischer Cloud Provider, der es zu einem Drittel der Kosten von Azure, AWS und GCP ermöglicht Server, Applikationen und Container zu hosten
• Bietet eine Cloud-Firewall und Backup als einfach aktivierbaren Service
• Hat keine mächtigen Enterprise-Funktionen, die ein KMU aber auch nicht baucht und somit nicht bezahlt

Kontext und Realitäts-Check

Was sofort auffällt: Hetzner und Ubiquiti haben nur begrenzte Security-Funktionen. Tatsächlich ist das aber genau der Grund, wieso wir diese Komponenten für KMUs vorschlagen:

• Unser Konzept degeneriert das lokale Netzwerk nahezu vollständig zum "dummen" Internet Access. Security wird dabei vollständig mit dem Marktführer Zscaler in der Cloud behandelt.

• KMUs brauchen diese Enterprise Funktionen nicht! Den meisten KMUs die wir antreffen, fehlt es bereits an einer existieenden Security-Baseline. Anstatt das Geld in Enterprise-Funktionalitäten zu stecken, die diese KMUs sowieso nicht sinnvoll einsetzen können, schaffen wir eine sichere, Mikrosegmentierte Baseline mit maximalem Kosten-Nutzen Faktor

• Das Konzept ist modular erwweiterbar mit einer WAF (z.B. Cloudflare), einem MDR (z.B. fully managed mit 24/7 Dienst vom Hersteller), einem SIEM (auch von CrowdStrike, da die meisten Daten sowieso aus dem Endpoint kommen), einer PAM für priviligierte Zugriffe (z.B. Keeper), einem Mail-Security-Gateway und Awareness Training von Proofpoint oder Mimecast, ein zusätzliches NAC das mit Ubiquiti integriert werden kann (802.1.x) oder einem erweiterten Backup für mehr Feingranularität wie Acronis und Rubrik

• Für den eingesetzten Franken bekommt man in keiner anderen Architektur mehr Mehrwert

• Die Infrastruktur ist extrem einfach auch für kleine Teams ohne Enterprise-Know-How betreibbar
• Sie schafft spürbaren UX-Mehrwert sowohl bei den Endbenutzern (Gerät aufklappen und überall siche verbunden sein) sowie bei den Admins (die Administration dieser Produkte ist äusserst einfach und effizient möglich)

Architektur Details

Hetzner wird als Cloud Lösung für IaaS und PaaS eingesetzt. Die Ressourcen sind einfach deploybar, liegen in Europa und sind extrem günstig zu beziehen. Wir verwenden die built-in Firewall für East-West-Kommunikation. Server können Applikations-Seitig gruppiert und voneinander segmentiert werden. Im Standard wird ausserdem das eingebaute Backup-Modul aktiviert, mit dem Ressourcen auf Knopfdruck wiederhergestellt werden können.

Zscaler kommt als Zero Trust Network Lösung mittels Agent auf den Clients zum Einsatz, um mikrosegmentierten Zugriff auf die Ressourcen in der Hetzner-Cloud zu erhalten. Dazu werden App-Connectoren deployed. Die Cloud braucht für diesen Ansatz keinen einzelnen Inbound-Port geöffnet und kann komplett von aussen unerreichbar bleiben. Zscaler filtert ausserdem den Zugriff von Benutzern auf Web-Applikationen, da dies einer der grössten Angriffsvektoren ist.

Zu guter Schluss wird Ubiquiti verwendet, um den gesamten lokalen Netzwerkstack an den Standorten bereit zu stellen. Dabei sprechen wir von Layer-2 mit Switching und WiFi sowie  von Layer-3 mit eingebauter Firewall und SD-WAN. Die Gateways können dabei bei Bedarf mittels HA-Cluster redundant ausgelegt werden. Die Standortvernetzung erfolgt über billige FTTH (Fiber) Anbindungen mit optionalem Provider SLA (wir empfehlen zur direkten Terminierung ohne zusätzlichen Provider Router Init7) und 5G Redundanz. Die Standorte müssen letztendlich nur noch einfache Netzzonen wie Guest-WiFi (für das wir ein eigenes Captive-Portal mit SMS-Authentifzierung entwickelt haben, siehe go-online.io), IoT, Server, Interne Clients und OT segmentieren. Sämtliche Security und App-Zugriffe gehen über Zscaler, wobei die Clients nicht mehr als Internet-Zugriff benötigen.