<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=7086586&amp;fmt=gif">
Skip to content
Kostenlose Beratung anfordern

Single Vendor SASE mit Zscaler Zero Trust Branch (ZTB)

SASE ist längst keine Edge-Technologie mehr, sondern steht im Mittelpunkt der Netzwerksicherheitsstrategie vieler Unternehmen. Dies lässt sich auch deutlich am Gartner Hype Cycle erkennen.

Gartner Hype Cycle

Konzeptionell müssen Unternehmen in zwei grundlegenden Bereichen Entscheidungen treffen:

Herstellerstrategie: Single-Vendor-SASE oder Multi-Vendor-SASE

Architekturfokus: Cloudzentrierter Ansatz oder perimeterzentrierter Ansatz

SASE_Upscaled

Von Single- oder Multi-Vendor-SASE spricht man, je nachdem, ob SSE und WAN Edge vom selben Hersteller oder von unterschiedlichen Herstellern stammen. Welche Variante besser geeignet ist, hängt stark von den jeweiligen Anforderungen ab.

Ob eine Lösung eher cloud- oder perimeterzentriert ist, wird meist durch die Produkthistorie des Herstellers bestimmt.

Während Hersteller wie Zscaler, Cloudflare und Netskope cloudnative Plattformen entwickelt haben, stammen Anbieter wie Fortinet, Cato Networks, Check Point und Palo Alto Networks aus der klassischen Perimeterwelt und bauen ihre SASE-Architekturen stärker auf diesem Ansatz auf.

Die verschiedenen Modelle bieten unterschiedliche Vor- und Nachteile, auf die wir in diesem Beitrag nicht näher eingehen.

Im Folgenden konzentrieren wir uns auf den Single-Vendor-SASE-Ansatz des cloudzentrierten Herstellers Zscaler, der sowohl SSE als auch eine WAN-Edge-Komponente aus einer Hand anbietet.

Für welche Unternehmen ist dieser Ansatz gedacht?


Der Single-Vendor-Ansatz von Zscaler ist Zscaler Zero Trust Branch (ZTB)besonders für Unternehmen interessant, die hohe Anforderungen an die Sicherheit sowie an die Granularität und Anpassbarkeit ihrer Konfigurationen stellen.

Zscaler gilt als Pionier des Cloud-Proxy-Ansatzes und ist seit langer Zeit im Markt für SSE-Komponenten aktiv. Diese Erfahrung ist der Technologie deutlich anzumerken.

Der WAN-Edge-Bereich war für das ursprünglich auf SaaS fokussierte Unternehmen Zscaler hingegen lange eine Herausforderung.

Mittlerweile ist das Produkt ausgereift und bietet einen patentierten, entscheidenden Vorteil: eine native, KI-gestützte Mikrosegmentierung, die jeden einzelnen Host im Netzwerk einem sogenannten «Segment of One» zuordnet, ohne hierfür VLANs auf Switches konfigurieren zu müssen.

Die Idee dahinter ist einfach, aber wirkungsvoll: Das Unternehmen baut ein vollständig flaches Netzwerk auf und setzt den ZTB – den Zscaler Zero Trust Branch – als Default Gateway am jeweiligen Standort ein.

Das Gateway kann als Hardware-Appliance oder virtuelle Maschine betrieben und beispielsweise in einem Büro, Rechenzentrum oder Lager eingesetzt werden.

Das Gateway übernimmt dabei auch die lokale DHCP-Funktion. Dadurch können allen Clients mikrosegmentierte Netze zugewiesen werden – aus Sicht der Netzwerktechnik also /32-Netze.

Die Clients können anschliessend auf Layer 2, also innerhalb desselben VLANs, nicht mehr direkt über den Switch miteinander kommunizieren.

Sämtlicher Traffic wird stattdessen über den ZTB geroutet. Der ZTB erkennt und klassifiziert die Geräte automatisch und erstellt mithilfe von KI entsprechende Richtlinienvorschläge.

Tags können zusätzlich manuell angelegt, mit Eigenschaften parametrisiert und zu Gruppen zusammengefasst werden.

Diese Technologie ist auf dem Markt bislang einzigartig. Aktuell kann kein anderer Hersteller dieses Konzept in derselben Form anbieten.

Andere Hersteller arbeiten mit komplexen und aufwendig zu konfigurierenden ACLs – Access Control Lists – auf Switches oder erfordern für jedes Segment ein eigenes VLAN.

Dieser Ansatz ist insbesondere in grösseren Umgebungen nur schwer beherrschbar und führt zu einem hohen Betriebsaufwand und entsprechenden Kosten.

Was ist mit dem Benutzer-Traffic?

Diese Frage ist einfacher zu beantworten: Zscaler löst dies mit seinen Komponenten ZIA – Zscaler Internet Access – und ZPA – Zscaler Private Access.

Technologisch handelt es sich dabei um Zero Trust Internet Access und Zero Trust Network Access.

Beide Lösungen sind cloudnativ und bieten ein sehr hohes Sicherheitsniveau sowie umfassende Konfigurationsmöglichkeiten.

Dazu gehören unter anderem:

  • Cloud Access Security Broker – CASB
  • Data Loss Prevention – DLP
  • Malware Protection
  • Advanced Threat Protection – ATP
  • Browser Isolation
  • Browser Access

Auch der Gerätezustand – die sogenannte Device Posture – wird kontinuierlich ausgewertet und bei der Zugriffsentscheidung berücksichtigt.

Was ist mit dem Server-Traffic?

Der Zugriff auf Server erfolgt unabhängig von deren Standort über Zero Trust Network Access, einschliesslich einer cloudbasierten Segmentierung. Server, die mit dem Internet kommunizieren, werden ebenfalls agentenlos über ZIA gefiltert.

In unserem Szenario übernimmt der ZTB die Rolle des Perimeters und leitet den Traffic zur Filterung in die Zscaler Cloud weiter. Alternativ lässt sich dieses Forwarding auch über beliebige Drittanbieter-Gateways mittels GRE, VPN und Policy-based Routing realisieren.

Wie ermögliche ich externen Mitarbeitenden ohne Agenten den Zugriff auf interne Systeme?
Zscaler ZPA Overview

Ganz einfach: über Browser Access.

Zscaler erlaubt die Einbindung beliebiger Identity Provider, einschliesslich der IdPs von Partnerunternehmen.

Externe Benutzer melden sich an einem Portal an und können von dort sicher auf die für sie freigegebenen Systeme zugreifen (HTTP, RDP, VNC, SSH).

Optional lassen sich zusätzliche Sicherheitsfunktionen konfigurieren, beispielsweise:

  • Einschränkungen für Kopieren und Einfügen
  • Cedential-Injection für SSH und RDP
  • Druckbeschränkungen
  • Sandbox-Prüfungen für Datei-Uploads
  • Etc.

Brauche ich noch eine Firewall oder andere Komponenten?

Die klare Antwort lautet: Nein.

Der ZTB filtert auch den East-West-Traffic innerhalb eines Rechenzentrums, leitet Webverkehr zur Filterung in die Cloud weiter und stellt Anwendungen am Standort automatisch für Remote-Benutzer bereit.

Auch klassische Site-to-Site-VPNs zu Partnerunternehmen können angebunden werden. Diese terminieren in der Zscaler Cloud beziehungsweise an Zscaler-Rechenzentren und können anschliessend bidirektional gefilterten Traffic transportieren.

Fazit

Derzeit gibt es aus unserer Sicht keine technologisch ausgereiftere, sicherere oder leistungsfähigere Infrastruktur.

Insbesondere die Fähigkeit von Zscaler, mit Zero Trust Branch eine Mikrosegmentierung ohne VLANs oder ACLs umzusetzen, macht die Plattform aus unserer Sicht zu einer der umfassendsten und besten derzeit verfügbaren Lösungen (Stand: Juli 2026)

Neben den leistungsstarken, automatisierten und funktionsreichen Zero-Trust-Komponenten ZIA und ZPA – beispielsweise Browser Access und VPN-Terminierung – bietet Zscaler ein überzeugendes Gesamtbild hinsichtlich Sicherheit, Automatisierung und Skalierbarkeit.

Da nicht jedes Unternehmen an seinen Standorten dieses Sicherheitsniveau benötigt oder finanzieren möchte, bietet sich neben Zscaler als vollständiger Single-Vendor-SASE-Lösung auch eine kombinierte Architektur an.

Zscaler übernimmt dabei die Funktion der Zero-Trust- beziehungsweise SSE-Komponente, während Ubiquiti als WAN Edge eingesetzt wird.

Auf diese Weise entsteht eine erstklassige Zero-Trust-Infrastruktur, deren Architektur die Sicherheit weitgehend unabhängig von der Komplexität einzelner Bürostandorte macht.

Mit Ubiquiti als WAN Edge erhält das Unternehmen zusätzlich eine intuitive und kostengünstige Netzwerkplattform, die WLAN und Switching mit Firewalling und SD-WAN verbindet und sich optimal mit Zscaler integrieren lässt.