Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Cloudflare One und Zscaler Zero Trust Exchange im Vergleich: Welche Lösung bietet das umfassendste Spektrum an Funktionen? Die Antwort wird Sie überraschen

2022-06-24

Lesezeit: 5 Min.
Dieser Beitrag ist auch auf English, Français, 日本語, 한국어, Español, und 简体中文 verfügbar.

Die Firma Zscaler baut ihr Angebot im Bereich IT-Sicherheit seit 15 Jahren aus. Cloudflare gibt es seit 13 Jahren und vor vier Jahren haben wir begonnen, Zero Trust-Lösungen anzubieten. Auf den ersten Blick könnte man also meinen, das wir spät dran sind. Doch in diesem Blogbeitrag werden wir darlegen, dass die von Cloudflare One gebotenen Funktionen insgesamt hinsichtlich Zero Trust, SSE, SASE und anderen Bereichen denen der Zero Trust Exchange von Zscaler überlegen sind.

Cloudflare One vs Zscaler Zero Trust Exchange: who is most feature complete? It’s not who you might expect

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-onfx{background-color:#afe4fd;color:#3663ae;font-size:18px;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-baqh{text-align:center;vertical-align:top} .tg .tg-c3ow{border-color:inherit;text-align:center;vertical-align:top} .tg .tg-cmei{background-color:#afe4fd;border-color:inherit;color:#3663ae;font-size:18px;font-weight:bold;text-align:left; vertical-align:top} .tg .tg-8d3w{background-color:#FFF;border-color:inherit;color:#222;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-q8v8{background-color:#afe4fd;border-color:inherit;color:#3663ae;font-size:18px;font-weight:bold;text-align:center; vertical-align:top} .tg .tg-0pky{border-color:inherit;text-align:left;vertical-align:top} .tg .tg-gct1{background-color:#FFF;border-color:inherit;color:#222;text-align:center;vertical-align:top} .tg .tg-4ufn{background-color:#FFF;color:#222;font-weight:bold;text-align:center;vertical-align:top}

Functional Criteria Group Cloudflare Zscaler
Internet-native network platform 100% (5 of 5) 20% (1 of 5)
Cloud-native service platform 100% (4 of 4) 25% (1 of 4)
Services to adopt SASE 83% (5 of 6) 66% (4 of 6)
Services to extend ZT, SSE, SASE and beyond 66% (8 of 12) 58% (7 of 12)
Network on-ramps 90% (9 of 10) 50% (5 of 10)

Verglichene Funktionen

Cloudflare

Zscaler

Internative Netzwerkplattform

Network on-ramps Cloudflare Zscaler
Clientless browser-based access YES YES
Device client software YES YES
Application connector software* YES YES
Branch connector software* NO YES
Anycast DNS, GRE, IPsec, QUIC, Wireguard tunnels* YES NO
Private network interconnect for data centers & offices YES NO
Inbound IP transit (BYOIP) YES NO
IPv6-only connection support* YES NO
Recursive DNS resolvers YES YES
Device clients and DNS resolvers freely open to public* YES NO

100% (5 von 5)

20% (1 von 5)

Cloudnative Service-Plattform

100% (4 von 4)

25% (1 von 4)

Dienste zur SASE-Einführung

83% (5 von 6)

66% (4 von 6)

Dienste zur Ausdehnung von ZT, SSE, SASE und mehr

66% (8 von 12)

58% (7 von 12)

Netzwerk-On-Ramping

90% (9 von 10)

50% (5 von 10)

Diese Ergebnisse können erst einmal überraschend erscheinen. Tatsächlich stellen uns Kunden, denen wir unsere Produkte präsentieren, oft die Frage: Wie ist das möglich? Wie konnte Cloudflare so schnell ein konkurrenzfähiges Angebot entwickeln?

Der Aufbau des größten programmierbaren Anycast-Netzwerks der Welt war dabei unbestreitbar ein großer Vorteil. Dieses bildet das Fundament unserer Anwendungsdienste, mit denen wir Kunden rund um den Globus sichere und leistungsstarke Web- und Applikationserfahrungen bieten können. Dadurch haben wir tiefe Einblicke in Aspekte der IT-Sicherheit und Performance im Internet erhalten. Doch nicht nur unsere Infrastruktur war bereit, um Probleme von Kunden aus der Praxis im erforderlichen Maßstab zu meistern: Unsere serverlose Entwicklerplattform Workers wurde speziell für die Programmierung weltweit verteilter Anwendungen mit integrierter Sicherheit, Zuverlässigkeit und Performance konzipiert. Aufbauend auf unserer Plattform waren wir in der Lage, Zero Trust-Dienste mit unerreichter Geschwindigkeit anzubieten. Wir gehen davon aus, auch in Zukunft ein solches Tempo vorlegen zu können.

Uns ist aber noch ein weiterer Faktor zugute gekommen, mit dem wir die vergleichsweise kurze Zeit unseres Bestehens kompensieren konnten: In den letzten 15 Jahren hat sich im Bereich IT-Sicherheit für Unternehmen unglaublich viel verändert. So ließ sich vor anderthalb Jahrzehnten noch nicht vorhersagen, dass es einmal ein leistungsstarkes weltumspannendes Netzwerk wie das unsere geben würde. Beim Aufbau unseres Zero Trust-Angebots haben wir bei null angefangen, was uns die Chance eröffnete, unbehindert von Altlasten auf absolut moderne Cloudkonzepte zurückgreifen zu können.

Aber wir wissen natürlich, was Sie hierher führt: Sie möchten Beweise sehen. Und damit können wir auch dienen, denn wir haben auf unserer Website einen ausführlichen Vergleich zwischen den Funktionen der Plattformen von Cloudflare und Zscaler veröffentlicht. An dieser Stelle möchten wir Ihnen eine kleine Vorabübersicht zu zwei der fünf verglichenen Kriterien geben: Dienste zur Einführung von SASE und zum Netzwerk-On-Ramping. Zu vielen Kriterien finden Sie in dem PDF Fußnoten (die mit einem * gekennzeichnet sind) für Hintergrundinformationen und Klarstellungen.

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-ucok{background-color:#afe4fd;border-color:#000000;color:#3663ae;font-size:18px;font-weight:bold;text-align:center; vertical-align:top} .tg .tg-baki{background-color:#fe0000;border-color:#000000;color:#ffffff;text-align:center;vertical-align:middle} .tg .tg-ru72{background-color:#fe0000;border-color:#000000;color:#ffffff;text-align:center;vertical-align:top} .tg .tg-ycfl{background-color:#009901;border-color:#000000;color:#ffffff;font-weight:bold;text-align:center;vertical-align:top} .tg .tg-68aq{background-color:#afe4fd;border-color:#000000;color:#3663ae;font-size:18px;font-weight:bold;text-align:left; vertical-align:top} .tg .tg-73oq{border-color:#000000;text-align:left;vertical-align:top} .tg .tg-dp1c{background-color:#009901;border-color:#000000;color:#ffffff;text-align:center;vertical-align:top}

Dienste zur SASE-Einführung

Cloudflare

Zscaler

Zero-Trust-Netzwerkzugriff (ZTNA)

JA

JA

Cloud Access Security Broker (CASB)

JA

JA

Secure Web Gateway (SWG)

JA

JA

Firewall as a Service (FWaaS)

JA

JA

WAN as a Service mit Traffic-Beschleunigung auf Schicht 3–7*

JA

NEIN

Lokales SD-WAN*

NEIN – Partner

NEIN – Partner

.tg {border-collapse:collapse;border-spacing:0;} .tg td{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{border-color:black;border-style:solid;border-width:1px;font-family:Arial, sans-serif;font-size:14px; font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-baki{background-color:#fe0000;border-color:#000000;color:#ffffff;text-align:center;vertical-align:middle} .tg .tg-ph0s{background-color:#afe4fd;border-color:#000000;color:#3663ae;font-size:18px;font-weight:bold;text-align:center; vertical-align:middle} .tg .tg-tpun{background-color:#009901;color:#ffffff;text-align:center;vertical-align:middle} .tg .tg-68aq{background-color:#afe4fd;border-color:#000000;color:#3663ae;font-size:18px;font-weight:bold;text-align:left; vertical-align:top} .tg .tg-73oq{border-color:#000000;text-align:left;vertical-align:top} .tg .tg-kos1{background-color:#009901;border-color:#000000;color:#ffffff;font-weight:bold;text-align:center;vertical-align:middle} .tg .tg-w7s0{background-color:#009901;border-color:#000000;color:#ffffff;text-align:center;vertical-align:middle} .tg .tg-d6fj{background-color:#fe0000;border-color:#000000;color:#ffffff;font-weight:bold;text-align:center;vertical-align:middle} .tg .tg-0lax{text-align:left;vertical-align:top} .tg .tg-ydhf{background-color:#fe0000;color:#ffffff;text-align:center;vertical-align:middle}

Netzwerk-On-Ramping

Cloudflare

Zscaler

Clientloser, browserbasierter Zugang

JA

JA

Geräteclient-Software

JA

JA

Anwendungskonnektor-Software*

JA

JA

Zweigstellenkonnektor-Software*

NEIN

JA

Anycast DNS-, GRE-, IPsec-, QUIC-, Wireguard-Tunnel*

JA

NEIN

Private Network Interconnections für Rechenzentren und Firmenzweigstellen

JA

NEIN

Weiterleitung von eingehendem IP-Traffic (BYOIP)

JA

NEIN

Unterstützung reiner IPv6-Verbindungen*

JA

NEIN

Offene DNS-Resolver

JA

JA

Allgemeine Verfügbarkeit von Geräteclients und DNS-Resolvern*

JA

NEIN

Der ausführliche Vergleich von 37 funktionsbezogenen Kriterien zeigt, dass wir die Nase vorn haben. Auf unserer Vergleichsseite wird darüber hinaus erklärt, warum unsere Architektur unkomplizierter ist, größeres Vertrauen genießt und sich damit Innovationen schneller umsetzen lassen. Wir sind uns aber auch bewusst, dass ein Produkt mehr ist als die Summe seiner einzelnen Funktionen. Wenn das Zero Trust-Konzept in einem gesamten Unternehmen eingeführt wird, kommt es maßgeblich auf die Nutzererfahrung bei der Verwendung eines Produkts an. In den folgenden drei Schlüsselbereichen ist Cloudflare One der Zero Trust Exchange von Zscaler sowohl aus Sicht von Endnutzern als auch aus Sicht von Administratoren überlegen.

1) Jeder Dienst ist für die unternehmensweite Ausführung an jedem Standort ausgelegt

Behauptung: Zscaler behauptet, die „größte Sicherheitscloud des Planeten“ zu betreiben, doch das Netzwerk des Unternehmens ist laut eigenen Konfigurationsangaben, beispielsweise unter zscalertwo.net und zscalerthree.net, in mindestens acht verschiedene Clouds unterteilt. Unter dem Frontend-Aspekt ist damit für Administratoren keine uneingeschränkte Nutzerfreundlichkeit gewährleistet, weil jedes der Hauptangebote von Zscaler nur über ein gesondertes Portal und Login zugänglich ist. Man interagiert also nicht nur mit einer einzigen „Sicherheitscloud“, sondern mit mehreren Einzelprodukten.

Der Vorteil von Cloudflare One: Was die Größe unseres riesigen, weltumspannenden Anycast-Netzwerks angeht, zeichnen wir uns durch Transparenz aus. So veröffentlichen wir nicht die Zahl der abgedeckten Rechenzentren, sondern der Städte. Der Standort unserer Kunden spielt eine Rolle, ebenso wie ihre Fähigkeit, auf jeden einzigen unserer Dienste zugreifen zu können – unabhängig davon, wo sie sich befinden. Wir sind zurzeit in mehr als 270 Städten mit Rechenzentren vertreten (die sich alle im selben Cloudnetzwerk befinden). Zscaler bringt es dagegen nur auf 55 Städte (und wie bereits erwähnt befinden sich diese nicht alle im selben Cloudnetzwerk). Alle Dienste (sowie die zugehörigen Updates und neuen Funktionen) von Cloudflare One sind darauf ausgelegt, auf jedem Server in jedem Rechenzentrum in jeder Stadt ausgeführt zu werden und stehen damit ausnahmslos jedem unserer Kunden zur Verfügung. Und was das Frontend angeht, kann Cloudflare One mit einem einzigen Dashboard für alle Zero Trust-Produkte – ZTNA, CASB, SWG, RBI, DLP, um nur einige zu nennen – aufwarten. Die Nutzer müssen sich also nicht mit vielen verschiedenen Schnittstellen herumplagen, um unter großem Zeitaufwand Richtlinien und Analysen aus verschiedenen Oberflächen manuell aufeinander abzustimmen oder zusammenzutragen.

2) Höherer Datendurchsatz für eine bessere Endnutzererfahrung

Das beste Sicherheitsangebot nützt nichts, wenn dadurch die Geschwindigkeit oder die Handhabung des Produkts für die Nutzer beeinträchtigt wird. Für eine erfolgreiche Einführung des Zero Trust-Modells kommt es vor allem auf einen naht- und reibungslosen sowie schnellen Zugang an. Sonst sehen sich die User ehe man es sich versieht nach Behelfslösungen um.

Zscaler versichert, man unterstütze „[…] eine maximale Bandbreite von 1 Gbit/s für jeden GRE-[IP]-Tunnel, wenn auf dessen interne IP-Adressen keine Netzwerkadressübersetzung angewandt wird“. Zwar stoßen die meisten Internetanwendungen und -verbindungen irgendwo auf ihrem Weg zum Endnutzer auf eine 1 Gbit/s-Engstelle im Netzwerk, doch einige Applikationen benötigen eine höhere Bandbreite und sind dementsprechend auch darauf ausgelegt, diese zu unterstützen. Nutzer gehen beispielsweise davon aus, dass das Streamen von Videos oder die Übermittlung großer Dateien genauso schnell funktioniert wie alles andere im Internet. Die Vorannahme eines Nadelöhrs schafft eine künstliche Begrenzung des möglichen Maximaldurchsatzes, selbst wenn die Herstellung der Verbindung und deren Geschwindigkeit eigentlich garantiert werden könnten.

Der Vorteil von Cloudflare One: Wir haben viel Zeit mit dem Testen verbracht und die Ergebnisse aus Endnutzerperspektive sind eindeutig: Cloudflare One bietet eine herausragende Performance, die der von Zscaler überlegen ist. Wir haben den Datendurchsatz zwischen zwei Geräten getestet. Diese haben jeweils eine Anwendung ausgeführt, die eine hohe Bandbreite erfordert. Sie befanden sich in diesem Fall in verschiedenen Virtual Private Clouds (VPCs) innerhalb des Netzwerks einer Public Cloud, könnten jedoch genauso gut in verschiedenen Subnetzen innerhalb eines lokalen privaten Netzwerks angesiedelt sein. Jede VPC war auf die Verwendung des Anycast-IP-Tunnels von Cloudflare als Zugang zum Cloudflare-Netzwerk konfiguriert. So konnten sich beide Geräte sicher über Cloudflare One verbinden. Der in beide Richtungen verzeichnete Datendurchsatz lag bei 6 Gbit/s und damit deutlich über der von Zscaler und anderen Anbietern festgelegten Kapazitätsobergrenze. Unternehmen müssen also nicht befürchten, dass eine neue Anwendung mit hohem Bandbreitenbedarf durch die genutzte Zero Trust-Plattform in ihrer Funktionsweise beeinträchtigt wird.

3) Bessere Anbindung an den Rest des Internets

Zscaler nimmt für sich in Anspruch, die „schnellste Anbindung an das Internet“ zu sein. Doch dabei handelt es sich Augenwischerei: Die Anbindung ist nur ein Teilaspekt, denn die Daten müssen das Netzwerk ja auch passieren und wieder verlassen, wenn sie ihr Ziel erreichen. Zscaler ist ohne schnelle und effektive Datenübermittlung jenseits der Verbindungsherstellung lediglich eine SSE-Plattform und erstreckt sich nicht auf SASE. Jenseits der Akronyme bedeutet dies, dass Zscaler dem Netzwerkaspekt der Plattform nicht genug Aufmerksamkeit geschenkt hat.

Der Vorteil von Cloudflare One: Wir verfügen über 10.500 Interconnection-Peers und damit das Zehnfache. Wir lassen die Kunden nicht wie Zscaler an der Edge allein. Das virtuelle Backbone von Cloudflare kann zur Weiterleitung der Daten durch das Netzwerk genutzt werden. Das Cloudflare-Netzwerk leitet mehr als 3 Milliarden Anfragen am Tag weiter. Das verschafft Argo Smart Routing eine einmalige Perspektive hinsichtlich der Erkennung von Überlastungen in Echtzeit und der Weiterleitung von IP-Paketen über die schnellsten und zuverlässigsten Netzwerkpfade.

Nun wollen wir zu dem Thema zurückkehren, mit dem wir diesen Beitrag begonnen haben: der Bedeutung einzelner Funktionen. Das Peering und die hier dargelegten Vorteile fallen weniger stark ins Gewicht, wenn man die angebotenen Dienste außer Acht lässt. Zscaler behauptet, durch Dienste wie SWG und ZTNA lokale Direct Connect-Zentren überflüssig zu machen. Dabei wird jedoch nicht berücksichtigt, dass Unternehmen für ihre in der Cloud oder auf lokalen Servern angesiedelten Applikationen einen Ende-zu-Ende-Schutz benötigen. Das umfasst auch eingehenden Traffic, wenn sie mit dem Internet verbunden sind. Dafür können Web Application Firewalls, Lastverteilung und DDoS-Schutz genutzt werden, also genau die Bereiche, mit denen wir bei Cloudflare unsere Aktivitäten begonnen haben und in denen wir inzwischen führend sind.

Was die Vollständigkeit des Angebots angeht, haben wir Zscaler innerhalb von vier Jahren überholt. Das gilt sowohl für die Einfachheit der Implementierung, als auch die Widerstandskraft des Netzwerks und die Innovationsgeschwindigkeit. Sie können die Einzelheiten dazu hier nachlesen und uns in den nächsten vier Jahren und darüber hinaus auf unserem Weg begleiten.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Cloudflare One WeekCloudflare OneCloudflare Zero TrustZero TrustSASE

Folgen auf X

Ben Munroe|@munrolo
Cloudflare|@cloudflare

Verwandte Beiträge

23. Oktober 2024 um 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

15. Oktober 2024 um 13:00

Protect against identity-based attacks by sharing Cloudflare user risk scores with Okta

Uphold Zero Trust principles and protect against identity-based attacks by sharing Cloudflare user risk scores with Okta. Learn how this new integration allows your organization to mitigate risk in real time, make informed access decisions, and free up security resources with automation....