Fallstudie

MAN Energy Solutions setzt Zero Trust erfolgreich ummithife von Zscaler Private Access

Anwendungszugriff mit Zero Trust Zuverlässiger Schutz vor Cyberangriffen Hervorragende digitale Anwendererfahrungen

Profil

  • Unternehmen: MAN Energy Solutions
  • Industrie: Herstellung
  • HQ: Augsburg
  • Größe: 12.000 User an über 100 Standorten in 70 Ländern

Hintergrund

MAN Energy Solutions ist der weltweit führende Anbieter von Großdiesel- und Gasmotoren und Turbomaschinen für maritime und stationäre Anwendungen. Das Produktportfolio umfasst Zwei- und Viertaktmotoren aus eigener und lizenzierter Fertigung. Außerdem hat sich das Unternehmen auf die Entwicklung und Produktion von Gas- und Dampfturbinen spezialisiert.

Herausforderung

Der Einsatz von herkömmlichem VPN, um einer über zahlreiche Standorte verteilten Belegschaft Zugriff auf Anwendungen zu ermöglichen, führte zu Beeinträchtigungen der Performance und Sicherheit.

Ergebnisse

  • Bessere Anwendererfahrung für Enduser

  • Reduzierte Angriffsfläche durch Anwendungszugriff ohne Netzwerkzugang

  • Weltweite Durchsetzung starker Authentifizierung und granularer Zugriffskontrollen für Anwendungen

  • Bereitstellung, sicherer Zugriff auf und Verwaltung von VPCs

  • Bessere Performance durch optimale Verbindungspfade zwischen Usern und Anwendungen

  • Transparente Einblicke in Anwendungen und User-Aktivitäten

See More Information

Kundenvideo

MAN Energy Solutions setzt Zero Trust mithilfe von ZPA um

Abspielen

Mehr über diesen Kunden

Mehr über diesen Kunden

Wenn herkömmliche Sicherheitsansätze versagen

Mit dem globalen Unternehmenswachstum gehen rapide technologische Entwicklungen im Transportwesen einher, beispielsweise der Einsatz von IoT-Geräten für Motoren und Systeme aller Größenordnungen. Als weitere Herausforderung erweist sich die zunehmende Mobilität der großen, über zahlreiche Standorte verteilten Belegschaften und die dadurch bedingte Notwendigkeit, Remotezugriff auf Webapplikationen und unternehmensspezifische Geschäftsanwendungen bereitzustellen.

Mit der Verlagerung von Workloads in öffentliche Cloud-Umgebungen wie AWS und Azure wurde das Internet zum neuen Unternehmensnetzwerk. Zukunftsorientierte Organisationen erschlossen sich damit neue Möglichkeiten zur globalen Skalierung und Zugriffssicherung bei gleichzeitiger Optimierung ihres Sicherheitsstatus. Herkömmliche Sicherheitsarchitekturen, die nach dem Prinzip einer mittelalterlichen Festung mit Burggraben aufgebaut sind, eignen sich nicht zum Schutz dieser Cloud-Deployments. Als sehr viel effektivere Alternative empfiehlt sich eine Lösung, die unternehmenseigene Anwendungen im Internet unsichtbar macht und Verbindungen nur zwischen vertrauenswürdigen Usern und vertrauenswürdigen Anwendungen auf der Basis einer vorherigen Authentifizierung herstellt.

Bei MAN Energy Solutions musste man feststellen, dass der Wechsel in die Cloud zwar deutliche Verbesserungen im Hinblick auf Geschwindigkeit und Agilität ermöglicht, dem aber die suboptimale User Experience aufgrund des Anwendungszugriffs über Legacy-VPN-Lösungen gegenüberstand. Zugleich stiegen die Kosten für Appliances, Software und MPLS-Leitungen. Als weiterer Faktor kam der ausdrückliche Wunsch hinzu, sich die Sicherheitsvorteile öffentlich nicht sichtbarer Anwendungen zunutze zu machen.

„Wir setzten auf Verbindungen mit herkömmlichem VPN zu öffentlich sichtbaren Ports, um einer über zahlreiche Standorte verteilten, mobilen Belegschaft Zugriff auf Anwendungen zu ermöglichen. Darunter litt die Performance, die Zufriedenheit der Mitarbeiter und der Sicherheitsstatus insgesamt. Dies blieb weit hinter dem Potenzial unserer AWS- und Azure-Deployments zurück“, erinnert sich Tony Fergusson, IT Infrastructure Architect bei MAN. „Außerdem haben wir ein relativ kleines Betriebsteam, das die Infrastruktur vor Ort verwaltet und vor einem rapide zunehmenden Datenvolumen und einem wachsenden Bedarf an Echtzeitanalytik und Anwendungszugriff stand. Als wir unsere internen Anwendungen modernisierten, mehr Datenquellen online stellten und weltweit fortschrittliche Produkte und Technologien einsetzten, wurde es immer schwieriger, dies alles zu bewältigen.“

Zscaler Zero Trust als Erfolgsfaktor

Für MAN Energy Solutions (MAN) bot der Wechsel zur Cloud klare Vorteile bei der Bewältigung geschäftlicher Herausforderungen. „Wir sahen immer mehr Unternehmen, die Anwendungsfälle mit globalem Umfang erfolgreich in der Cloud implementierten, und wir haben Architekturansätze gefunden, die unseren technischen Zielen entsprechen“, sagt Fergusson.

MAN wandte sich 2011 an Zscaler, um die Nutzererfahrung zu verbessern, die Bandbreitenkosten zu senken und den steigenden Sicherheitsansprüchen gerecht zu werden. MAN begann damit, weltweit verteilte Benutzer mithilfe von Zscaler Internet Access (ZIA) mit den SaaS-Anwendungen des Unternehmens zu verbinden. Später wurde Zscaler damit beauftragt, das Problem von Advanced Persistent Threats (APT) anzugehen.

Im nächsten Schritt wurde Zscaler Private Access (ZPA) implementiert, um mobilen Mitarbeitern und externen Auftragnehmern jederzeit zuverlässigen Remotezugriff auf lokal bereitgestellte Anwendungen zu gewährleisten. Inzwischen kommt ZPA auch zur Zugriffssicherung für Anwendungen in AWS und Azure zum Einsatz. Dadurch konnte das Unternehmen die Anwendererfahrung für mobile User erheblich verbessern und gleichzeitig die Kosten für den Betrieb des Netzwerks senken.

Darunter litt die Performance, die Zufriedenheit der Mitarbeiter und der Sicherheitsstatus insgesamt.

Tony Fergusson, IT Infrastructure Architect, MAN Energy Solutions

Zero-Trust-Zugang zu internen Anwendungen

Zscaler Private Access (ZPA) gewährleistet richtlinienbasierten sicheren Zugriff auf interne Anwendungen und IT-Assets ohne die Kosten, Komplexität und Sicherheitsrisiken eines VPN. Seit der Einführung softwaredefinierter Netzwerke (SDN) setzt sich das Konzept, interne Anwendungen für unbefugte User unsichtbar zu machen, zunehmend durch. Das Zero-Trust-Modell verhindert, dass Ihre Services öffentlich sichtbar bzw. zugänglich sind. Zugriffsanforderungen werden erst nach erfolgreicher Autorisierung des betreffenden Users und der Anwendung genehmigt.

„Wir haben erfolgreich auf ein Zero-Trust-Modell umgestellt – ich bezeichne es als Blackcloud (SDP)“, so Fergusson. „Wir wollten unsere Angriffsfläche reduzieren und haben deshalb diese zukunftsfähige und sichere Cloud-native Lösung anstelle unserer bisherigen herkömmlichen Ansätze implementiert. Dadurch haben wir jetzt granulare Kontrolle über User-Berechtigungen, sodass alle Mitarbeiter und Auftragnehmer nur auf die jeweils erforderlichen IT-Ressourcen zugreifen können.“ Mit ZPA wird der Zugriff für Auftragnehmer nicht nach Netzwerken, sondern nach Anwendungen segmentiert.

Dieser Ansatz verhindert auch die laterale Bewegung schädlicher Software. Es wird sichergestellt, dass der Zugang nur von einem Client zu einem Server initiiert wird und niemals umgekehrt. Die Kombination dieser beiden Paradigmen verhindert schädliche laterale Bewegung, indem alle Sitzungen vor der Zugangsgewährung validiert werden. Mithilfe eines Zero-Trust-Modells und der Durchsetzung von Richtlinien, die auf Authentifizierung von Benutzern, Autorisierung sowie bekannten und unbekannten Anwendungen basieren, wird somit eine höhere Sicherheit erzielt.

Wir beobachteten immer häufiger, dass Unternehmen Anwendungsfälle von globalem Ausmaß erfolgreich in der Cloud implementierten.

Tony Fergusson, IT Infrastructure Architect, MAN Energy Solutions

Ein zukunftsfähiger Ansatz zur globalen Zugriffssicherung

Es gab eine Reihe von Geschäftsfaktoren, die eine schnellere, sicherere Art der Verbindungsherstellung zwischen Benutzern und ihren Applikationen erforderten, darunter die Migration von internen Geschäftsanwendungen und Entwicklungsprojekten in die Cloud, die verstärkte Einführung von Cloud-Diensten sowie die Notwendigkeit, einer wachsenden Anzahl von weltweit verteilten Mitarbeitern und Partnern Zugang zu gewähren. Dies erhöht zwar die Geschäftsflexibilität und -agilität, würde bei Weiterverwendung traditioneller VPN-Ansätze aber auch zu einer größeren Belastung von IT- und Netzwerkressourcen führen.

Die Zscaler-Cloud bietet eine elegante und leistungsstarke Alternative. Sie macht herkömmliche Hardware- und Software-Security-Stacks für den Remote-Access sowie die Verwendung eines VPN-Client und Remote-Access-Heuristik überflüssig und stellt einen alternativen Pfad für den Traffic bereit. Dies reduziert den Bedarf an MPLS-Tunneln für Internet-basierte Konnektivität.

Wir können jetzt in Minutenschnelle neue VPCs einsetzen und neue Namespaces erstellen.

Tony Fergusson, IT Infrastructure Architect, MAN Energy Solutions

Erzielen von Geschwindigkeit, Agilität und Leistung

MAN Energy Solutions konnte die Anwendererfahrung für Enduser verbessern und gleichzeitig Kosten und Komplexität reduzieren. Mitarbeiter und Auftragnehmer des Unternehmens profitieren jetzt beim Zugriff auf interne Anwendungen von einer vollkommen nahtlosen User Experience auf Cloud-Niveau – unabhängig davon, ob die jeweilige Anwendung tatsächlich in der Cloud ausgeführt wird oder im Rechenzentrum. Der Anwendungszugriff erfolgt über Direktverbindungen, die über die globale Zscaler Cloud unter Vermeidung der Engpässe hergestellt werden, die bei herkömmlichen Ansätzen für den Remotezugriff entstehen.

Dies sorgt für absolute Flexibilität in Bezug auf den Ort, an dem Anwendungen gehostet werden, und schützt sensible Daten mittels einer TLS-basierten verschlüsselten Mikrotunnelverbindung. Benutzer erhalten niemals Zugang zum Netzwerk, Anwendungen werden niemals für nicht autorisierte Benutzer freigegeben und die Cloud reduziert die bei herkömmlichen Lösungen übliche Komplexität.

Durch den Wegfall von VPN-Infrastruktur und Softwarelizenzierung konnten Kostensenkungen im zweistelligen Prozentbereich erzielt werden. Darüber hinaus wurde die Netzwerkleistung gesteigert, indem Bandbreitenkontrollen zur Priorisierung von geschäftskritischem Traffic gegenüber weniger wichtigem Traffic wie Web-Browsen eingesetzt wurden.

Einer der wichtigsten technischen Vorteile besteht darin, dass das Team die Angriffsfläche reduzieren und die gesamte Verwaltung sicher zu AWS und Azure verlagern konnte. MAN verwendet das in ZPA inbegriffene Protokollierungs- und Analytik-Cluster, um Logs zum eigenen SIEM zu streamen und so einen besseren Einblick in Zugriffe und Aktivitäten der User zu erhalten.

„Wir können jetzt innerhalb von Minuten neue VPCs einsetzen und neue Namensbereiche erstellen. Die Verwendung von Namensbereich-Routing ist ein großer Vorteil für uns, da wir den Traffic nun auf Basis von Namensbereich statt IP kontrollieren können. Dies ermöglicht es uns, aussagekräftige Richtlinien festzulegen. Wir können Kosten und Komplexität des Netzwerks senken. Unser beratender Onboarding-Prozess ist viel schneller. Wir können nun innerhalb von Stunden statt Wochen einstellen“, ergänzte Fergusson.