©2024 Akamai Technologies
Kundenvertrauen durch den Schutz der Cloudinfrastruktur
Wie viele andere Anbieter von Unternehmenssoftware durchläuft auch Openlink derzeit eine IT‑Transformation: von der On-Premises-Bereitstellung und dem -Support seiner Produkte hin zu einem Public-Cloud-Ansatz. Die Openlink Cloud-Plattform des Unternehmens – die erste ihrer Art in der Branche – wurde mittels Microsoft Azure bereitgestellt.
„Es gab für uns zwei wichtige Gründe für die Umstellung auf die Public Cloud“, erklärt Michael Lamberg, Vice President und Chief Information Security Officer bei Openlink. „Da unsere Software sehr viele Daten verarbeiten muss, konfigurieren unsere Kunden ihre Computing-Umgebung in der Regel für Spitzenkapazitäten. Doch hierfür sind extrem hohe Kapitalausgaben erforderlich. Durch die Umstellung auf die Public Cloud können wir die Anwendung bei Spitzenauslastung automatisch skalieren, damit Kunden nicht für Kapazität bezahlen, die sie gar nicht nutzen.“
„Der zweite Grund ist, dass unsere Kunden in der Regel mehrere Entwicklungs- und Testumgebungen betreiben, um neue Versionen unserer Software und Kunden-Add‑ons zu testen. Durch den Einsatz der Public Cloud können wir deutlich einfacher neue Umgebungen einrichten, wenn Entwickler sie für ihre Tests brauchen, und sie anschließend wieder entfernen, um Kosten zu minimieren.“
Doch natürlich bringt die Umstellung auf die Cloud auch zahlreiche neue Sicherheitsbedenken mit sich. Openlink ist dafür verantwortlich, die vertraulichen und strategischen Daten seiner Kunden – die ein verlockendes Ziel für Cyberkriminelle darstellen können – zu schützen. Da Cybersicherheit in der Public Cloud auf einem gemeinsamen Verantwortungsmodell basiert (in dem der Cloudanbieter eine begrenzte Auswahl von Sicherheitsmaßnahmen bereitstellt, die strengen Audits und Zertifizierungen unterliegen), ist letztlich der Cloudkunde (in diesem Fall Openlink) für den Schutz seiner eigenen Daten und Prozesse verantwortlich.
„Die größten Cloudanbieter haben sich in den letzten fünf Jahren stark weiterentwickelt, wenn es um den Schutz großer Infrastrukturen geht“, so Lamberg. „Sie leisten tatsächlich bessere Arbeit als viele Unternehmen, die ihre eigenen Rechenzentren verwalten. Doch alle arbeiten mit einem gemeinsamen Vertrauensmodell. Azure bietet vielleicht die derzeit höchsten globalen Sicherheitszertifizierungen, doch das Unternehmen schützt uns nicht vor unseren eigenen Implementierungen.“
Openlink hat erkannt, dass es seine Azure-Sicherheitsinfrastruktur durch Drittanbieterlösungen erweitern musste, um genau die Risikominderung bereitzustellen, die das Unternehmen und seine Kunden benötigen. „Wir müssen unseren Kunden nicht nur beweisen, dass Azure hält, was es verspricht. Wir müssen auch zeigen, dass wir die Sicherheit steigern und die Sicherheitskontrollen der Cloud-Daten und -Umgebungen unserer Kunden insgesamt verbessern können.“
Akamai Guardicore Segmentation
Lamberg stieß ungefähr ein Jahr vor dem Openlink-Launch zu Akamai Guardicore Segmentation und erlebte sofort, wie die Lösung die Cloudsicherheitsinfrastruktur des Unternehmens erweitern konnte. Akamai Guardicore Segmentation wurde entwickelt, um einen kritischen blinden Fleck in mehreren Infrastrukturen abzudecken: die laterale Netzwerkbewegung von Eindringlingen, die es durch die Firewalls und Intrusion Prevention Systems geschafft haben. Die Lösung konzentriert sich auf verdächtige Anomalien im East-West-Traffic. Sie bestätigt aktive Angriffe und dämmt sie ein, bevor sie wirklichen Schaden anrichten können.
„Doch bei der Umstellung auf die Public Cloud gibt es auch ein böses Erwachen: Denn alles, was man zuvor über Netzwerke und Infrastruktur wusste, kann man im Grunde zum Fenster rauswerfen“, erklärt Lamberg. „Hier gilt dieses Wissen nicht mehr – und zwar aus zwei Gründen: Einerseits fehlt in der Cloud die Kontrolle über bzw. der Zugriff auf niedrigere Ebenen des Infrastruktur-Stacks, der von Azure virtualisiert wurde. Und andererseits müssen wir nun andere Tools einsetzen, um zu analysieren, wie eine Infrastruktur arbeitet. Damit muss man sich erst einmal zurechtfinden. Die klassischen Fähigkeiten und die Erfahrung rund um Netzwerke sind nicht mehr so hilfreich, wie man es gewohnt ist. Es ist einfach alles anders.“
Aus diesem Grund hat sich Akamai Guardicore Segmentation laut Lamberg zu einer der wichtigsten Sicherheitstechnologien von Openlink entwickelt: „Die Lösung bietet uns die Gewissheit, dass wir die Umgebung richtig abriegeln, und verifiziert außerdem, dass Azure seine Aufgabe effizient und effektiv erfüllt.“
Mehr Transparenz und bessere Diagnosen
Durch die Umstellung auf eine virtualisierte cloudbasierte Infrastruktur stand das Sicherheitsteam von Openlink vor der Herausforderung, detaillierte Einblicke in die Anwendungsaktivität gewinnen zu müssen. Eine wichtige Funktion der Plattform ist die Fähigkeit, sämtliche Workloads, Flows und Prozesse in einer Computing-Umgebung zu visualisieren.
„Wir arbeiten zwar in der Public Cloud, aber ohne Mehrmandantenfähigkeit“, erläutert Lamberg. „Wir erstellen eine Ein-Mandaten-Umgebung für jeden unserer Kunden. Dementsprechend muss ich genau wissen, was innerhalb der Infrastrukturebene jedes einzelnen Kunden vor sich geht.“
Lamberg nennt zwei wichtige Anwendungsfälle, bei denen Akamai Guardicore Segmentation zum Einsatz kommt. Der erste umfasst DevTest, das Kunden eine Testumgebung bereitstellt, mit der sie schnell und einfach virtuelle Maschinen einrichten können. So lässt sich die Openlink-Anwendung in verschiedenen Konfigurationen testen, bevor das Entwicklungsteam sie in die Produktion verschiebt. Tritt eine Anomalie auf, kann Lambergs Team dank Akamai Guardicore Segmentation schnell und übersichtlich die Situation analysieren – und zwar aus verschiedensten Perspektiven, da Einblicke in sämtliche Flows und Prozesse bereitgestellt werden.
„Es muss sich nicht zwangsweise um ein Sicherheitsproblem handeln“, so Lamberg. „Es kann auch ein Design- oder Konfigurationsfehler sein. Oder vielleicht hat der Kunde versehentlich Malware geladen und plötzlich tritt eine Command-and-Control-Verbindung auf, die versucht, nach draußen zu senden. Mit der Lösung kann ich diese Anomalie sofort isolieren und sie mit unvergleichlicher Klarheit untersuchen.“
Der zweite Anwendungsfall, für den Openlink Akamai Guardicore Segmentation einsetzt, ist die Verwaltung unterstützter Produktionsumgebungen von Kunden. „Unsere Anwendung ist zwar äußerst komplex, aber auch sehr deterministisch“, so Lamberg. „Ich kenne also alle Flows und Prozesse, die auf jedem einzelnen der Server ausgeführt werden sollen, die den jeweiligen Kunden unterstützen. So können wir eine Baseline seiner Umgebung generieren. Und wenn Akamai Guardicore Segmentation erkennt, dass ein Prozess oder Flow von dieser Baseline abweicht, werde ich umgehend benachrichtigt.“
Diese Fähigkeit, Probleme schnell zu selektieren und zu diagnostizieren, ist laut Lamberg ein wichtiger Vorteile von Akamai Guardicore Segmentation. Ein unbekannter Prozess oder Flow – der sich ohne ein Tool wie Akamai Guardicore Segmentation nur äußerst schwierig eingrenzen ließe (wenn überhaupt) – kann auf ein einfaches Problem mit der Software oder auf etwas deutlich Schlimmeres hinweisen. „Es ist äußerst unwahrscheinlich, dass jemand in unsere Umgebung eindringt. Doch ich brauche die Gewissheit, dass wir einen proaktiven Mechanismus eingerichtet haben, der mit solchen Situationen umgehen könnte. Akamai Guardicore Segmentation bietet mir genau das.“
Auch die Mikrosegmentierung von Akamai Guardicore Segmentation erregte Lambergs Aufmerksamkeit. Hiermit können Sicherheitsbetreiber Richtlinien für einzelne oder mehrere Anwendungen und Prozesse einrichten. „Bei Angriffen kommen heutzutage oft laterale Netzwerkverschiebungen zum Einsatz“, erklärt Lamberg. „Angreifer versuchen sich Zugang zu einer Maschine zu verschaffen und dann von dort aus auf andere zu springen. Die richtigen Kontrollen auf allen Maschinen und die Überwachung sämtlicher Interaktionen zwischen diesen Maschinen ist die einzige Möglichkeit, dieses Problem in den Griff zu bekommen.“ Sollte sich Openlink künftig dazu entscheiden, Mikrosegmentierung zu implementieren, geht Lamberg davon aus, dass die Plattformfunktionen das Unternehmen hierbei unterstützen würden.
Partner in Sachen Schutz
Openlink profitiert schon heute von der Technologie von Akamai Guardicore Segmentation. Doch Lamberg erhofft sich künftig noch weitere Vorteile aus der anhaltenden Zusammenarbeit mit dem Team hinter der Lösung: „Ich arbeite nur mit Unternehmen, die an einer Partnerschaft interessiert sind“, erklärt er. „Ich kaufe einfach keine Massenware. Und Akamai war bisher ein ganz hervorragender Partner. Das Team hört auf unser Feedback und unsere Anforderungen und hat die Lösung anhand dieser Informationen kontinuierlich optimiert.“
Da Public Clouds von Natur aus dynamisch sind, verlässt sich Openlink auf Akamai Guardicore Segmentation, um seine Umgebungen zu optimieren, während sich die Cloudinfrastruktur des Unternehmens weiterentwickelt. „Das Team weiß, dass es auch eng mit dem Cloudanbieter zusammenarbeiten muss, um Probleme zu lösen. Durch die ständige Kommunikation mit Azure stellen die Experten sicher, dass sie über sämtliche Änderungen informiert sind, die sich auf die Funktionsweise ihrer Produkte auswirken könnten.“
Dementsprechend spielen das Unternehmen und seine Lösung heute eine entscheidende Rolle für die Mission von Openlink: den Schutz kritischer Kunden-Assets in der Public Cloud. „Ich will niemals in die Situation kommen, einen Anbieter wegen eines Problems anzurufen und zu hören: ‚Das Problem liegt bei einem anderen Anbieter. Wenden Sie sich an den.‘ So eine Antwort habe ich von diesem Team noch nie erhalten. Sie wissen, dass gemeinsame Verantwortung erforderlich ist, um die kritischsten Assets unserer Kunden zu schützen.“
Über Openlink
Openlink, ein Unternehmen der ION Investment Group, stellt sich den Herausforderungen, die mit unserer hypervernetzten Welt einhergehen, wo Big Data und Informationen sich ständig weiterentwickeln und wachsen. In einer Zeit, in der Unternehmen immer häufiger über Ländergrenzen, Disziplinen, Sektoren und Prozesse hinweg arbeiten, kann Openlink Terabytes an Daten aus sämtlichen Ecken der Welt erfassen und sie alle korrelieren. Und noch wichtiger: Das Unternehmen kann sie in Echtzeit in echte Erkenntnisse umwandeln.
ION bietet Finanzinstituten, Zentralbanken, Regierungen und Unternehmen missionskritische Softwarelösungen für Trading- und Workflow-Automatisierung. Weitere Informationen erhalten Sie unter www.iongroup.com.
Über Akamai
Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Mithilfe der am meisten verteilten Computing-Plattform – von der Cloud bis zur Edge – ermöglichen wir es unseren Kunden, Anwendungen zu entwickeln und auszuführen. So bleiben die Erlebnisse nahe beim Nutzer und Bedrohungen werden ferngehalten. Erfahren Sie mehr über die Sicherheits-, Computing- und Bereitstellungslösungen von Akamai unter akamai.com/de und akamai.com/de/blogoder folgen Sie Akamai Technologies auf Twitter und LinkedIn.