Subscribe to receive notifications of new posts:

Cloudflare One und Zscaler Zero Trust Exchange im Vergleich: Welche Lösung bietet das umfassendste Spektrum an Funktionen? Die Antwort wird Sie überraschen

06/24/2022

9 min read
Cloudflare One vs Zscaler Zero Trust Exchange: who is most feature complete? It’s not who you might expect

Die Firma Zscaler baut ihr Angebot im Bereich IT-Sicherheit seit 15 Jahren aus. Cloudflare gibt es seit 13 Jahren und vor vier Jahren haben wir begonnen, Zero Trust-Lösungen anzubieten. Auf den ersten Blick könnte man also meinen, das wir spät dran sind. Doch in diesem Blogbeitrag werden wir darlegen, dass die von Cloudflare One gebotenen Funktionen insgesamt hinsichtlich Zero Trust, SSE, SASE und anderen Bereichen denen der Zero Trust Exchange von Zscaler überlegen sind.

Verglichene Funktionen Cloudflare Zscaler
Internative Netzwerkplattform 100% (5 von 5) 20% (1 von 5)
Cloudnative Service-Plattform 100% (4 von 4) 25% (1 von 4)
Dienste zur SASE-Einführung 83% (5 von 6) 66% (4 von 6)
Dienste zur Ausdehnung von ZT, SSE, SASE und mehr 66% (8 von 12) 58% (7 von 12)
Netzwerk-On-Ramping 90% (9 von 10) 50% (5 von 10)

Diese Ergebnisse können erst einmal überraschend erscheinen. Tatsächlich stellen uns Kunden, denen wir unsere Produkte präsentieren, oft die Frage: Wie ist das möglich? Wie konnte Cloudflare so schnell ein konkurrenzfähiges Angebot entwickeln?

Der Aufbau des größten programmierbaren Anycast-Netzwerks der Welt war dabei unbestreitbar ein großer Vorteil. Dieses bildet das Fundament unserer Anwendungsdienste, mit denen wir Kunden rund um den Globus sichere und leistungsstarke Web- und Applikationserfahrungen bieten können. Dadurch haben wir tiefe Einblicke in Aspekte der IT-Sicherheit und Performance im Internet erhalten. Doch nicht nur unsere Infrastruktur war bereit, um Probleme von Kunden aus der Praxis im erforderlichen Maßstab zu meistern: Unsere serverlose Entwicklerplattform Workers wurde speziell für die Programmierung weltweit verteilter Anwendungen mit integrierter Sicherheit, Zuverlässigkeit und Performance konzipiert. Aufbauend auf unserer Plattform waren wir in der Lage, Zero Trust-Dienste mit unerreichter Geschwindigkeit anzubieten. Wir gehen davon aus, auch in Zukunft ein solches Tempo vorlegen zu können.

Uns ist aber noch ein weiterer Faktor zugute gekommen, mit dem wir die vergleichsweise kurze Zeit unseres Bestehens kompensieren konnten: In den letzten 15 Jahren hat sich im Bereich IT-Sicherheit für Unternehmen unglaublich viel verändert. So ließ sich vor anderthalb Jahrzehnten noch nicht vorhersagen, dass es einmal ein leistungsstarkes weltumspannendes Netzwerk wie das unsere geben würde. Beim Aufbau unseres Zero Trust-Angebots haben wir bei null angefangen, was uns die Chance eröffnete, unbehindert von Altlasten auf absolut moderne Cloudkonzepte zurückgreifen zu können.

Aber wir wissen natürlich, was Sie hierher führt: Sie möchten Beweise sehen. Und damit können wir auch dienen, denn wir haben auf unserer Website einen ausführlichen Vergleich zwischen den Funktionen der Plattformen von Cloudflare und Zscaler veröffentlicht. An dieser Stelle möchten wir Ihnen eine kleine Vorabübersicht zu zwei der fünf verglichenen Kriterien geben: Dienste zur Einführung von SASE und zum Netzwerk-On-Ramping. Zu vielen Kriterien finden Sie in dem PDF Fußnoten (die mit einem * gekennzeichnet sind) für Hintergrundinformationen und Klarstellungen.

Dienste zur SASE-Einführung Cloudflare Zscaler
Zero-Trust-Netzwerkzugriff (ZTNA) JA JA
Cloud Access Security Broker (CASB) JA JA
Secure Web Gateway (SWG) JA JA
Firewall as a Service (FWaaS) JA JA
WAN as a Service mit Traffic-Beschleunigung auf Schicht 3–7* JA NEIN
Lokales SD-WAN* NEIN – Partner NEIN – Partner
Netzwerk-On-Ramping Cloudflare Zscaler
Clientloser, browserbasierter Zugang JA JA
Geräteclient-Software JA JA
Anwendungskonnektor-Software* JA JA
Zweigstellenkonnektor-Software* NEIN JA
Anycast DNS-, GRE-, IPsec-, QUIC-, Wireguard-Tunnel* JA NEIN
Private Network Interconnections für Rechenzentren und Firmenzweigstellen JA NEIN
Weiterleitung von eingehendem IP-Traffic (BYOIP) JA NEIN
Unterstützung reiner IPv6-Verbindungen* JA NEIN
Offene DNS-Resolver JA JA
Allgemeine Verfügbarkeit von Geräteclients und DNS-Resolvern* JA NEIN

Der ausführliche Vergleich von 37 funktionsbezogenen Kriterien zeigt, dass wir die Nase vorn haben. Auf unserer Vergleichsseite wird darüber hinaus erklärt, warum unsere Architektur unkomplizierter ist, größeres Vertrauen genießt und sich damit Innovationen schneller umsetzen lassen. Wir sind uns aber auch bewusst, dass ein Produkt mehr ist als die Summe seiner einzelnen Funktionen. Wenn das Zero Trust-Konzept in einem gesamten Unternehmen eingeführt wird, kommt es maßgeblich auf die Nutzererfahrung bei der Verwendung eines Produkts an. In den folgenden drei Schlüsselbereichen ist Cloudflare One der Zero Trust Exchange von Zscaler sowohl aus Sicht von Endnutzern als auch aus Sicht von Administratoren überlegen.

1) Jeder Dienst ist für die unternehmensweite Ausführung an jedem Standort ausgelegt

Behauptung: Zscaler behauptet, die „größte Sicherheitscloud des Planeten“ zu betreiben, doch das Netzwerk des Unternehmens ist laut eigenen Konfigurationsangaben, beispielsweise unter zscalertwo.net und zscalerthree.net, in mindestens acht verschiedene Clouds unterteilt. Unter dem Frontend-Aspekt ist damit für Administratoren keine uneingeschränkte Nutzerfreundlichkeit gewährleistet, weil jedes der Hauptangebote von Zscaler nur über ein gesondertes Portal und Login zugänglich ist. Man interagiert also nicht nur mit einer einzigen „Sicherheitscloud“, sondern mit mehreren Einzelprodukten.

Der Vorteil von Cloudflare One: Was die Größe unseres riesigen, weltumspannenden Anycast-Netzwerks angeht, zeichnen wir uns durch Transparenz aus. So veröffentlichen wir nicht die Zahl der abgedeckten Rechenzentren, sondern der Städte. Der Standort unserer Kunden spielt eine Rolle, ebenso wie ihre Fähigkeit, auf jeden einzigen unserer Dienste zugreifen zu können – unabhängig davon, wo sie sich befinden. Wir sind zurzeit in mehr als 270 Städten mit Rechenzentren vertreten (die sich alle im selben Cloudnetzwerk befinden). Zscaler bringt es dagegen nur auf 55 Städte (und wie bereits erwähnt befinden sich diese nicht alle im selben Cloudnetzwerk). Alle Dienste (sowie die zugehörigen Updates und neuen Funktionen) von Cloudflare One sind darauf ausgelegt, auf jedem Server in jedem Rechenzentrum in jeder Stadt ausgeführt zu werden und stehen damit ausnahmslos jedem unserer Kunden zur Verfügung. Und was das Frontend angeht, kann Cloudflare One mit einem einzigen Dashboard für alle Zero Trust-Produkte – ZTNA, CASB, SWG, RBI, DLP, um nur einige zu nennen – aufwarten. Die Nutzer müssen sich also nicht mit vielen verschiedenen Schnittstellen herumplagen, um unter großem Zeitaufwand Richtlinien und Analysen aus verschiedenen Oberflächen manuell aufeinander abzustimmen oder zusammenzutragen.

2) Höherer Datendurchsatz für eine bessere Endnutzererfahrung

Das beste Sicherheitsangebot nützt nichts, wenn dadurch die Geschwindigkeit oder die Handhabung des Produkts für die Nutzer beeinträchtigt wird. Für eine erfolgreiche Einführung des Zero Trust-Modells kommt es vor allem auf einen naht- und reibungslosen sowie schnellen Zugang an. Sonst sehen sich die User ehe man es sich versieht nach Behelfslösungen um.

Zscaler versichert, man unterstütze „[…] eine maximale Bandbreite von 1 Gbit/s für jeden GRE-[IP]-Tunnel, wenn auf dessen interne IP-Adressen keine Netzwerkadressübersetzung angewandt wird“. Zwar stoßen die meisten Internetanwendungen und -verbindungen irgendwo auf ihrem Weg zum Endnutzer auf eine 1 Gbit/s-Engstelle im Netzwerk, doch einige Applikationen benötigen eine höhere Bandbreite und sind dementsprechend auch darauf ausgelegt, diese zu unterstützen. Nutzer gehen beispielsweise davon aus, dass das Streamen von Videos oder die Übermittlung großer Dateien genauso schnell funktioniert wie alles andere im Internet. Die Vorannahme eines Nadelöhrs schafft eine künstliche Begrenzung des möglichen Maximaldurchsatzes, selbst wenn die Herstellung der Verbindung und deren Geschwindigkeit eigentlich garantiert werden könnten.

Der Vorteil von Cloudflare One: Wir haben viel Zeit mit dem Testen verbracht und die Ergebnisse aus Endnutzerperspektive sind eindeutig: Cloudflare One bietet eine herausragende Performance, die der von Zscaler überlegen ist. Wir haben den Datendurchsatz zwischen zwei Geräten getestet. Diese haben jeweils eine Anwendung ausgeführt, die eine hohe Bandbreite erfordert. Sie befanden sich in diesem Fall in verschiedenen Virtual Private Clouds (VPCs) innerhalb des Netzwerks einer Public Cloud, könnten jedoch genauso gut in verschiedenen Subnetzen innerhalb eines lokalen privaten Netzwerks angesiedelt sein. Jede VPC war auf die Verwendung des Anycast-IP-Tunnels von Cloudflare als Zugang zum Cloudflare-Netzwerk konfiguriert. So konnten sich beide Geräte sicher über Cloudflare One verbinden. Der in beide Richtungen verzeichnete Datendurchsatz lag bei 6 Gbit/s und damit deutlich über der von Zscaler und anderen Anbietern festgelegten Kapazitätsobergrenze. Unternehmen müssen also nicht befürchten, dass eine neue Anwendung mit hohem Bandbreitenbedarf durch die genutzte Zero Trust-Plattform in ihrer Funktionsweise beeinträchtigt wird.

3) Bessere Anbindung an den Rest des Internets

Zscaler nimmt für sich in Anspruch, die „schnellste Anbindung an das Internet“ zu sein. Doch dabei handelt es sich Augenwischerei: Die Anbindung ist nur ein Teilaspekt, denn die Daten müssen das Netzwerk ja auch passieren und wieder verlassen, wenn sie ihr Ziel erreichen. Zscaler ist ohne schnelle und effektive Datenübermittlung jenseits der Verbindungsherstellung lediglich eine SSE-Plattform und erstreckt sich nicht auf SASE. Jenseits der Akronyme bedeutet dies, dass Zscaler dem Netzwerkaspekt der Plattform nicht genug Aufmerksamkeit geschenkt hat.

Der Vorteil von Cloudflare One: Wir verfügen über 10.500 Interconnection-Peers und damit das Zehnfache. Wir lassen die Kunden nicht wie Zscaler an der Edge allein. Das virtuelle Backbone von Cloudflare kann zur Weiterleitung der Daten durch das Netzwerk genutzt werden. Das Cloudflare-Netzwerk leitet mehr als 3 Milliarden Anfragen am Tag weiter. Das verschafft Argo Smart Routing eine einmalige Perspektive hinsichtlich der Erkennung von Überlastungen in Echtzeit und der Weiterleitung von IP-Paketen über die schnellsten und zuverlässigsten Netzwerkpfade.

Nun wollen wir zu dem Thema zurückkehren, mit dem wir diesen Beitrag begonnen haben: der Bedeutung einzelner Funktionen. Das Peering und die hier dargelegten Vorteile fallen weniger stark ins Gewicht, wenn man die angebotenen Dienste außer Acht lässt. Zscaler behauptet, durch Dienste wie SWG und ZTNA lokale Direct Connect-Zentren überflüssig zu machen. Dabei wird jedoch nicht berücksichtigt, dass Unternehmen für ihre in der Cloud oder auf lokalen Servern angesiedelten Applikationen einen Ende-zu-Ende-Schutz benötigen. Das umfasst auch eingehenden Traffic, wenn sie mit dem Internet verbunden sind. Dafür können Web Application Firewalls, Lastverteilung und DDoS-Schutz genutzt werden, also genau die Bereiche, mit denen wir bei Cloudflare unsere Aktivitäten begonnen haben und in denen wir inzwischen führend sind.

Was die Vollständigkeit des Angebots angeht, haben wir Zscaler innerhalb von vier Jahren überholt. Das gilt sowohl für die Einfachheit der Implementierung, als auch die Widerstandskraft des Netzwerks und die Innovationsgeschwindigkeit. Sie können die Einzelheiten dazu hier nachlesen und uns in den nächsten vier Jahren und darüber hinaus auf unserem Weg begleiten.

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Cloudflare One Week (DE)Cloudflare One (DE)Cloudflare Zero Trust (DE)Zero Trust (DE)SASE (DE)Deutsch

Follow on X

Ben Munroe|@munrolo
Cloudflare|@cloudflare

Related posts