Zscaler introduceert BYOIP voor Zero Trust-architecturen

In dit artikel:

Zscaler maakt het mogelijk voor organisaties om hun eigen IP-adressen mee te nemen naar het Zero Trust Exchange-platform via een Bring Your Own IP‑(BYOIP)-optie. Daardoor kunnen bedrijven hun bestaande netwerkidentiteit behouden terwijl ze overstappen op een Zero Trust‑architectuur — handig omdat veel SaaS‑diensten, partnernetwerken en toezichthouders nog steeds werken met IP‑whitelists.

Technisch gezien kunnen klanten hun IPv4‑prefixes, geregistreerd bij een Regional Internet Registry (zoals ARIN, APNIC of RIPE), aan Zscaler koppelen. Na een validatieproces worden die klant‑eigen ranges beschikbaar gemaakt als Zscaler Managed Dedicated IPs en inzetbaar voor beleid en uitgaand verkeer, naast Zscaler’s eigen toegewezen dedicated IP’s.

De beveiliging draait om twee validatiepijlers: een ROA (Route Origin Authorization) binnen RPKI die een specifiek ASN machtigt de route te origineren, en een door de klant ondertekend BYOIP‑bericht dat het prefix aan de organisatie bindt. Zscaler controleert ROA-/RPKI‑status en gebruikt x.509‑ondertekende attestaties voordat een prefix wordt geadverteerd, zodat route‑oorsprong en verzoekauthenticiteit gewaarborgd zijn.

Door ROA’s te koppelen aan een regio‑specifiek Zscaler‑ASN kunnen organisaties bepalen in welke regio’s hun prefixes zichtbaar zijn — wat relevant is voor data residency‑eisen en prestaties. In de praktijk helpt BYOIP bestaande allowlists en complianceprocessen te behouden en maakt het de transitie naar Zero Trust minder ingrijpend, mits routingcertificaten en administratieve controles goed worden beheerd.