Zscaler est un gros pare feu déporté dans le cloud, et facturé en SaaS à ses clients entreprises qui n'ont pas envie de maintenir Proxy+ips+nextGen en interne. C'est particulièrement utilisé par des boîtes avec de nombreux petits sites géographiquement éloignés, qui veulent profiter du cloud pour attendre le serveur Zscaler le plus proche
Tu peux l'utiliser du simple proxy Web déclaré dans les navigateurs, au filtrage complet de tout ton traffic internet au travers de tunnels. Chaque client choisi ce qu'il redirige vers Zscaler, comme il choisirait ce qu'il redirige vers un pare-feu en interne. Comme tout service de sécurité privatif, c'est le client qui choisi le niveau de sécurité qu'il active sur la plate-forme. Concernant l'inspection SSL/TLS, cela est possible car le client injecte volontairement une AC racine privée sur ses postes de travail. Et ce n'est pas Zscaler qui l'auto-injecte par magie, cela est heureusement impossible. C'est bel et bien le client qui le fait volontairement, typiquement via des GPOs sur son parc de machine, comme il le fairait s'il déployait de l'inspection SSL sur un proxy interne. Ça a ses limites, comme par exemple l'utilisation de BYOD sur lequel l'administrateur ne peut pas forcément injecter l'AC racine privee, ou encore l'utilisation d'un navigateur qui utilise son propre magasin de certificats non modifiable par un administrateur entreprise. Cote risques, c'est au client de voir si faire inspecter tout son traffic SSL par un acteur cloud, qui plus est américain, est judicieux ou non. Bonne soirée à tous Le mer. 27 janv. 2021 à 23:41, Benoit FrNOG Plessis via frnog < frnog@frnog.org> a écrit : > On 27/01/2021 21:23, Radu-Adrian Feurdean wrote: > > On Wed, Jan 27, 2021, at 18:57, Benoit FrNOG Plessis via frnog wrote: > >> J'ai récement découvert "Zscaler" qui intercepte n'importe quel site > >> SSL/TLS qu'il soit avec HSTS, DANE ou DNS CAA. Le truc serait pas payant > >> qu'on le prendrait pour un rootkit je pense ... > > Ce n'est pas interception, c'est du proxy. > > Comme disent les anglais potahto potayto > > C'est un proxy qui fonctionne sans l'accord des applications, filtre les > requetes DNS, injecte un certificat AC "caché" (non visible dans l'OS) ... > > On est au dela d'un simple proxy, voir même d'un proxy transparent > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
