NOV setzt auf Zero Trust und ZscalerEinsparungen in Millionenhöhe bei gleichzeitiger Erhöhung der Sicherheit

Als Zulieferer der globalen Energiebranche ist der Umsatz von NOV unweigerlich an die schwankenden globalen Rohstoffmärkte geknüpft. Eine lange Phase rückläufiger Ölpreise veranlasste den Chief Information Officer von NOV, Alex Philips, und sein Team, die digitale Transformation in Angriff zu nehmen. Dies war die einzige Möglichkeit, die technischen Schulden und hohen Kosten zu reduzieren und das internationale Unternehmen zugleich agiler und sicherer zu machen.

„Wie bei vielen anderen Unternehmen war unsere alte IT-Umgebung mit einem Sicherheitsmodell nach dem Festung-mit-Burggraben-Prinzip teuer und nicht flexibel genug für unser zunehmend mobiles und dynamisches Geschäftsumfeld“, so Philips. „Wir mussten die Kosten senken, die Sicherheit verbessern und sowohl unseren User als auch unseren IT-Administratoren das Arbeitsleben erleichtern, ohne den Geschäftsbetrieb zu stören.“

„In einer Welt der hybriden Arbeit hat das alte Modell des Netzwerkperimeters ausgedient“, so Chief Information Security Officer John McLeod. „Deshalb haben wir begonnen, wichtige Sicherheitstechnologien in die Cloud zu verlagern und uns schließlich für die Umstellung auf einen identitätsbasierten Sicherheitsperimeter entschieden.“

Statt eines „Cloud-first“-Konzepts verfolgt NOV einen „Cloud-smart“-Ansatz, bei dem die Cloud immer dann zum Einsatz kommt, wenn es sinnvoll ist, und zwar ganz nach den Vorstellungen des Unternehmens. Der erste Schritt bestand darin, Microsoft 365 (M365) und die Cloud-native Zscaler Zero Trust Exchange sowie den Service Zscaler Internet Access (ZIA) einzuführen, um der gesamten Belegschaft sicheren und schnellen Zugriff auf M365, weitere SaaS-Anwendungen und das Internet bereitzustellen.

Mithilfe von ZIA konnte NOV die Einführung von M365 beschleunigen und dank des weltweiten Peerings von Zscaler und Microsoft auch die User Experience deutlich verbessern. Außerdem bot die Lösung entscheidende Security-Stack-Funktionen, beispielsweise eine umfassende Überprüfung von ein- und ausgehenden TLS/SSL-verschlüsselten Daten, URL-Filterung, Sandboxing und Data Loss Prevention. Durch diese zusätzlichen Schutzmaßnahmen konnte NOV Sicherheitsvorfälle um das 35-Fache reduzieren.

Besonders wichtig war die Möglichkeit, verschlüsselten Traffic in einer von der Rechtsabteilung genehmigten Weise zu überprüfen. „Mit unserem vorherigen Secure Web Gateway waren wir nicht in der Lage, die Genehmigung der Rechtsabteilung für die SSL-Entschlüsselung zu erhalten“, so McLeod. „Aber als wir ZIA vorstellten und deutlich machten, dass bei der SSL-Entschlüsselung niemand Zugriff auf die Daten erhält, genehmigte unsere Rechtsabteilung die Lösung innerhalb von fünf Minuten.“

NOV setzt außerdem Zscaler Browser Isolation ganz gezielt ein, um den Bedrohungsschutz weiter zu optimieren. Während der Web-Traffic die Zero Trust Exchange durchläuft, isoliert Browser Isolation ihn in Echtzeit und streamt Webinhalte in Form von Pixeln an die User. Einer der Hauptanwendungsbereiche ist die Isolierung des Traffics zu und von E-Mail-Websites. Mitarbeiter können also auf ihre privaten E-Mails zugreifen, ohne das Unternehmen durch in E-Mails verborgene Phishing-Bedrohungen in Gefahr zu bringen.

Die Funktion dient auch dazu, Mitarbeitern in neu akquirierten Unternehmen sofortigen Zugriff auf das Internet oder auf Webseiten, die nicht als schädlich bekannt, aber auch nicht genehmigt sind, zu gewähren. „Ich bin ein großer Fan von (Cloud) Browser Isolation“, so McLeod. „Ich möchte die Lösung für sämtliche Website-Kategorien bereitstellen, die ein Risiko für NOV darstellen.“

NOV wollte den Traffic im Rechenzentrum reduzieren und den Remotezugriff auf interne Anwendungen absichern. Daher führte das Unternehmen Zscaler Private Access (ZPA) ein und stellte Usern schnellen, direkten und richtlinienbasierten Zugriff auf Anwendungen bereit, ohne diese über das Internet zugänglich machen zu müssen.

Die Einführung von ZPA erwies sich angesichts des Ausbruchs der COVID-19-Pandemie als wahrer Glücksgriff. „Ich konnte meinem Führungsteam mitteilen, dass alle 27.500 User wenn nötig auch remote arbeiten könnten“, erinnert sich Philips. „Sie waren sprachlos. [...] Durch Zscaler konnten wir uns schnell anpassen und unsere Kapazität erhöhen, um allen Anforderungen mehr als gerecht zu werden.“

ZPA funktionierte optimal und wurde von den Usern so gut angenommen, dass NOV schließlich die meisten VPNs im gesamten Unternehmen konsolidierte, um einfacheren und gleichzeitig sichereren Zugriff auf Tausende von benutzerdefinierten, Legacy- und COTS-Anwendungen bereitzustellen.

Zu diesem Zeitpunkt hatte NOV bereits mehrere Millionen Dollar im Bereich Sicherheitshardware eingespart. „Die Einsparungen waren wirklich beachtlich“, bestätigt Philips. „Es gibt kein Auslaufdatum, keine Upgrades und Patches. Zscaler erledigt das alles für uns. Endlich müssen wir uns nicht mehr mit all diesen Appliances herumschlagen und das Team kann sich auf wichtigere Transformationsprojekte konzentrieren.“

Durch den Einsatz der Zscaler Zero Trust Exchange konnte NOV seine mehr als 500 Niederlassungen von einem veralteten Hub-and-Spoke-Netzwerk mit MPLS auf direkte, mit ZIA abgesicherte Internetverbindungen umstellen. „Im Durchschnitt haben wir die Geschwindigkeit um das 10- bis 20-Fache gesteigert, die Latenz für wichtige SaaS-Anwendungen reduziert und die Kosten um mehr als das 4-Fache gesenkt. Das ist wirklich eine Win-win-win-Situation“, meint Philips. Die jährlichen Einsparungen allein durch die Änderungen an den Netzwerkverbindungen belaufen sich bereits auf über 4,5 Millionen US-Dollar, und die Umstellung ist erst zu 75 % abgeschlossen.

NOV spart auch auf andere Weise. Zum Beispiel musste das Unternehmen früher jeden Monat die Systeme von durchschnittlich 100 Rechnern wiederherstellen, da es immer wieder vorkam, dass Malware von den Legacy-Systemen nicht abgewehrt werden konnte – eine enorme Ressourcenverschwendung. Mittlerweile sind solche Reimaging-Prozesse für gewöhnlich nicht mehr nötig. Richtlinienbasierte Kontrollen vereinfachen auch die Sicherheitsverwaltung und das Systemmanagement.

Durch die Implementierung der Zero Trust Exchange mit ZIA und ZPA konnte das IT-Team von NOV die Sicherheit erhöhen, Mitarbeitern und externen Auftragnehmern Optionen zur Remote-Arbeit bieten und schließlich die nächste Phase der digitalen Transformation einleiten: Zero Trust.

„Wir haben uns entschieden, voll und ganz auf Zscaler und Zero Trust zu setzen“, merkt McLeod an. „Ein großes Unternehmen mit einem hybriden Netzwerk benötigt moderne Technologien, um es abzusichern. Die Zero-Trust-Architektur von Zscaler eignet sich optimal, um ein SSE-Ökosystem [Security Service Edge] aufzubauen.“

Da kein Anbieter allein alle Zero-Trust-Anforderungen erfüllen kann, sind nahtlose Integrationen von zentraler Bedeutung – bei NOV die Integration mit Okta und SentinelOne. „Zscaler, Okta und SentinelOne sind allesamt entscheidende Komponenten in unserem Security-Stack, durch die wir unseren allgemeinen Sicherheitsstatus erhöhen und unsere Zero-Trust-Strategie vorantreiben können“, erläutert McLeod.

NOV hat die Zero Trust Exchange mit Okta integriert, um User zu authentifizieren, und plant, den Zscaler Identity Proxy und Okta für bedingten Zugriff auf NOV-Ressourcen einzusetzen. Die entsprechende Richtlinien-Engine ist eine Schlüsselkomponente auf dem Weg zu Zero Trust.

Das Unternehmen hat die Zero Trust Exchange mit SentinelOne DataSet-Protokollmanagement und -Analysefunktionen implementiert, um die Transparenz zu erhöhen und Bedrohungen in Netzwerken und auf Endgeräten zu erkennen. NOV plant außerdem, im Rahmen der Analyse des Gerätezustands mithilfe von ZPA zu prüfen, ob der Agent Singularity XDR vorhanden ist.

Nach dem erfolgreichen Einsatz von ZIA und ZPA entschied sich NOV, auch die zusätzlichen Services der Zero Trust Exchange zu nutzen. Mit nur einem Klick aktivierte das Unternehmen Zscaler Digital Experience (ZDX), um Probleme beim User-Zugriff proaktiv zu erkennen und schnell zu lösen. Mit ZDX kann ein NOV-Supportmitarbeiter beispielsweise sofort erkennen, ob das Verbindungsproblem eines Users durch eine lokale WLAN-Verbindung, eine regionale ISP-Störung oder ein Problem mit der Anwendung selbst verursacht wird, und den Fehler somit schnell beheben. 

Dank ZDX war NOV in der Lage, Performanceprobleme bei einigen der wichtigsten SaaS-Anwendungen schnell zu erkennen. Die von ZDX bereitgestellten Daten halfen dem Unternehmen sogar dabei, die Einhaltung der SLAs ihrer SaaS-Anbieter stärker durchzusetzen.

Das Unternehmen setzte auch Zscaler für Workloads ein, eine Lösung, die Posture Control und Zscaler Workload Communications beinhaltet und somit Cloud Security Posture Management (CSPM), sicheren App-to-App-Zugriff zwischen Clouds und identitätsbasierte Mikrosegmentierung bietet. „Mit Zscaler für Workloads erhalten wir Einblick in unsere Multicloud-Umgebungen“, so McLeod. „Die Lösung findet Sicherheitslücken und gibt uns Empfehlungen, durch die wir effizientere Prioritäten bei der Fehlerbehebung setzen können.“

„Unsere sichere digitale Transformation hat die Agilität von NOV gesteigert, Millionen von Dollar eingespart und unser Cyberrisiko reduziert“, meint Philips. „Ich kann mit Stolz behaupten, dass wir unsere Zero-Trust-Ziele nicht nur erreichen, sondern sogar übertreffen.“

NOV schreitet in seiner Zero-Trust-Transformation stetig voran und nutzt mittlerweile die Zero Trust Exchange zur Anonymisierung weiterer Anwendungen. Zudem implementiert das Unternehmen Zscaler Branch Connectivity, um den direkten Zero-Trust-Anwendungszugriff von ZPA von einzelnen Usern auf ganze Büros auszuweiten.

„Wir sind sehr zufrieden mit unserem bisherigen Fortschritt und blicken gespannt auf die Zukunft unserer Zero-Trust-Umstellung“, resümiert McLeod. „Zscaler spielt bei dieser Transformation eine entscheidende Rolle.“