ZIA einrichten¶
Diese Anleitung führt Sie durch die Einrichtung der Zscaler Internet Access (ZIA) Anbindung in TCM365. Nach Abschluss kann TCM365 Ihre ZIA-Konfigurationen erfassen, vergleichen und bei Bedarf zurücksetzen.
Voraussetzungen¶
- Zscaler Internet Access Lizenz für Ihren Zscaler-Tenant
- Admin-Account mit API-Zugriff im ZIA Admin Portal
- Mindestens Read-Only Admin für Snapshots, Full Admin für Rollback
Schritt 1: ZIA API Key erstellen¶
Der API Key wird benötigt, damit sich TCM365 gegenüber der ZIA API authentifizieren kann.
- Öffnen Sie das ZIA Admin Portal (z.B.
admin.zscaler.net-- die genaue URL hängt von Ihrer Zscaler Cloud ab) - Navigieren Sie zu Administration > API Key Management
- Klicken Sie auf Add API Key
- Vergeben Sie einen aussagekräftigen Namen, z.B. "TCM365 Integration"
- Kopieren Sie den generierten API Key und bewahren Sie ihn sicher auf
Wichtig
Der API Key wird nur einmal vollständig angezeigt. Speichern Sie ihn sofort in einem Passwort-Manager oder einem sicheren Speicher. Falls Sie den Key verlieren, müssen Sie einen neuen erstellen.
Schritt 2: Erforderliche Admin-Berechtigungen prüfen¶
Stellen Sie sicher, dass der Admin-Account, den Sie für TCM365 verwenden, über die richtigen Berechtigungen verfuegt:
| TCM365-Operation | Mindest-Rolle | Beschreibung |
|---|---|---|
| Snapshots | Read-Only Admin | Alle ZIA-Konfigurationen lesen |
| Drift-Erkennung | Read-Only Admin | Konfigurationsvergleich durchführen |
| Compliance-Check | Read-Only Admin | Baselines gegen aktuelle Konfiguration auswerten |
| Rollback | Full Admin | Konfigurationen zurückschreiben |
Service-Account empfohlen
Verwenden Sie einen dedizierten Service-Account für TCM365, nicht Ihren persönlichen Admin-Account. So behalten Sie die Übersicht über API-Zugriffe und können den Zugang bei Bedarf separat einschränken.
Schritt 3: In TCM365 verbinden¶
- Öffnen Sie in TCM365 die Sidebar > Tenants
- Klicken Sie auf "Neuen Tenant hinzufügen"
- Wählen Sie als Vendor-Typ Zscaler
- Wechseln Sie zum Tab "ZIA"
-
Wählen Sie Ihre Zscaler Cloud aus der Liste:
Cloud URL Region zscaler.net admin.zscaler.net Global zscalerone.net admin.zscalerone.net Global zscalertwo.net admin.zscalertwo.net Global zscalerthree.net admin.zscalerthree.net Global zscloud.net admin.zscloud.net Government zscalerbeta.net admin.zscalerbeta.net Beta -
Geben Sie den API Key aus Schritt 1 ein
- Geben Sie den Admin-Benutzernamen (E-Mail-Adresse) ein
- Geben Sie das Admin-Passwort ein
- Klicken Sie auf "Verbindung testen"
- Bei erfolgreicher Verbindung klicken Sie auf "Speichern"
Verbindungstest
Der Verbindungstest prüft, ob API Key, Benutzername und Passwort korrekt sind und ob der Account API-Zugriff hat. Falls der Test fehlschlägt, prüfen Sie die Zugangsdaten und ob API-Zugriff für den Account aktiviert ist.
Was wird überwacht?¶
TCM365 erfasst 15 ZIA Resource Types in den folgenden Kategorien:
| Kategorie | Resource Type | Severity | Rollback |
|---|---|---|---|
| Web Security | URL Filtering Rules | Kritisch | Ja |
| Web Security | URL Categories | Hoch | Ja |
| Firewall | Firewall Filtering Rules | Kritisch | Ja |
| DLP | DLP Rules | Kritisch | Ja |
| DLP | DLP Dictionaries | Hoch | Ja |
| DLP | DLP Engines | Mittel | Ja |
| SSL | SSL Inspection Rules | Hoch | Ja |
| Security | Security Policy Settings | Mittel | Nein |
| Netzwerk | Locations | Hoch | Nein |
| Netzwerk | GRE Tunnels | Mittel | Nein |
| Traffic | Forwarding Rules | Mittel | Ja |
| Admin | Admin Users | Mittel | Nein |
| Admin | Admin Roles | Niedrig | Nein |
| Auth | Authentication Settings | Niedrig | Nein |
| Bandwidth | Bandwidth Profiles | Niedrig | Nein |
Severity und Drift-Erkennung
Die Severity-Einstufung bestimmt, wie TCM365 Änderungen an diesen Resource Types bewertet. Änderungen an kritischen Ressourcen (z.B. Firewall Rules) erzeugen Warnungen mit hoher Priorität.
Rate Limits¶
ZIA API Rate Limits
ZIA erlaubt maximal 80 Lesezugriffe und 10 Schreibzugriffe pro 10 Sekunden. TCM365 berücksichtigt diese Limits automatisch mit einem integrierten Rate Limiter. Bei grossen Konfigurationen (viele Regeln, Standorte, DLP-Woerterbuecher) kann ein vollständiger Snapshot daher einige Minuten dauern.
Passwort-Sicherheit¶
Verschlüsselung der Zugangsdaten
Das ZIA Admin-Passwort und der API Key werden verschlüsselt in der TCM365-Datenbank gespeichert. Je nach Deployment-Konfiguration kommt AES-256 Verschlüsselung (lokale Instanzen) oder Azure Key Vault (Cloud-Deployment) zum Einsatz. Die Zugangsdaten sind zu keinem Zeitpunkt im Klartext einsehbar.
Fehlerbehebung¶
| Problem | Mögliche Ursache | Lösung |
|---|---|---|
| Verbindungstest schlägt fehl | Falscher API Key oder Passwort | Zugangsdaten prüfen, ggf. neuen API Key erstellen |
| "API Access Disabled" | API-Zugriff nicht aktiviert | Im ZIA Admin Portal unter Administration > API Key Management prüfen |
| Snapshot unvollständig | Account hat nicht alle Leserechte | Read-Only Admin oder höhere Rolle zuweisen |
| Rollback fehlgeschlagen | Account hat keine Schreibrechte | Full Admin Rolle zuweisen |
| Timeout bei Snapshot | Sehr grosse Konfiguration | Ist normal -- TCM365 beachtet Rate Limits und wiederholt bei Bedarf |
Nächste Schritte¶
- ZPA einrichten -- Falls Sie auch Zscaler Private Access überwachen möchten
- Ersten Snapshot erstellen -- ZIA-Konfiguration erfassen
- Drift-Monitor einrichten -- Automatische Überwachung aktivieren