Best in Cloud 2015 - Zscaler

Georgsmarienhütte stählt ihre IT-Sicherheit

Regina Böckle durchforstet den Markt nach Themen, die für Systemhäuser und Service Provider relevant sind - oder es werden könnten - und entwickelt dazu passende Event-Formate.
Die Security-Infrastruktur des Stahlspezialisten Georgsmarienhütte (GMH) war in die Jahre gekommen. Ein Wechsel war aus Kosten- und Sicherheitsgründen unumgänglich. Der Wechsel auf die Cloud-basierte Internet-Security-Plattform von Zscaler ermöglicht der GMH heute ein flexibleres kostengünstigeres und effizienteres Security-Management.

Die Georgsmarienhütte (GMH) beliefert Unternehmen aus der Automobil-, Bahn- und Schiffsindustrie, der Energiewirtschaft und dem Maschinenbau mit hochwertigen Stahl- und Eisenprodukten. Unter dem Dach der GMH Holding sind 40 Unternehmen, verteilt auf weltweite Standorte, zusammengefasst. Die IT-Infrastruktur der gesamten Gruppe betreut der Dienstleister GMH Systems. Um die Internet-Sicherheit der GMH Holding GmbH langfristig zu gewährleisten, brachte der IT-Dienstleister, ein neues Security-Konzept auf den Weg.

Projekt-Steckbrief

  • Finalist: Zscaler

  • Referenzkunde: GMH Systems GmbH

  • Kategorie: Managed-Cloud-Projekt / SaaS

  • Projekttitel: Eine Cloud-basierte Internet Security-Plattform bietet Web Security, Advanced Threat Protection und NGFW aus einer Hand

  • Eingesetzte Produkte: Zscaler Web Security (Zugriffssteuerung, Schutz vor Sicherheitsbedrohungen), Zscaler Next Generation Firewall (Firewalling auf Basis von Applikationen und Benutzern anstelle von ausschließlich IP-Adressen und Services), Active Directory zur Benutzerauthentifizierung und Verteilung von Einstellungen auf Client-PCs, Router/Firewalls zum Traffic Forwarding in die Cloud (GRE Tunnel), Webserver zur Individualisierung von Blockpages (ASP.NET)

  • Zeitraum des Projekts: Dezember 2014 - April 2015

  • Projekt-Phase: Build & Run

  • Größe des Projektteams: 2 Personen

  • Zusammenfassung: Für ihren Kunden Georgsmarienhütte (GMH) initiierte der IT-Dienstleister GMH Systems ein Sicherheitsprojekt, um die alte, zentral aufgestellte Infrastruktur für Web Security und Next Generation Firewall durch einen dezentralen, Cloud-basierten Ansatz abzulösen. Da die Georgsmarienhütte Standorte in allen Teilen der Welt unterhält, sollte die neue Lösung sowohl die Administration erleichtern, aktuelle Sicherheitsanforderungen erfüllen, die Internetbandbreiten erhöhen und mehr Flexibilität im Hinblick auf unterschiedliche WAN-Designs ermöglichen. Die Einführung der Cloud-basierten Internet Security Plattform von Zscaler erfüllt heute all diese Anforderungen: Den sicheren Internet-Zugang und eine Outbound Firewall für die Georgsmarienhütte Holding GmbH stellt heute der GMH Systems als Managed Security Service bereit. Die IT-Leiter der GMH Gruppe profitieren von umfangreichen Analyse- und Reporting-Möglichkeiten rund um den Internet Traffic ihrer Unternehmen. Das erleichtert es dem Team, Business Policies zu definieren, um die Effektivität der Mitarbeiter zu erhöhen, Sicherheitsrisiken frühzeitig zu erkennen und zu vermeiden. GMH Systems kann außerdem sehr einfach Anpassungen an den Security Policies vornehmen, was zu einer Steigerung der Effizienz und Qualität im Change Management Prozess geführt hat.

Foto: Zscaler

Das Einsatzszenario

Ziel war es, die alte, zentral aufgestellte Infrastruktur für Web Security und Next Generation Firewall bei der Georgsmarienhütte (GMH) durch einen dezentralen, Cloud-basierten Ansatz abzulösen. Da GMH Standorte in allen Teilen der Welt unterhält, war eine Lösung erforderlich, die sowohl die Administration erleichtert, als auch mit Hilfe von MPLS (Multi-Protocol Label Switching) Kosten zu sparen und aktuelle Sicherheitsanforderungen zu erfüllen. Die Neukonzeption der Security-Architektur sollte außerdem dazu beitragen, die Internetbandbreiten zu erhöhen.

Umfrage zu CRM in der Cloud

Eine weitere Anforderung an die neue Lösung war, mehr Flexibilität im Hinblick auf unterschiedliche WAN-Designs. Nach einer Evaluierungsphase, bei GMH Systems neben Zscaler auch zahlreiche relevante Konkurrenzprodukte unter die Lupe nahm, sowie einer anschließenden Nutzwertanalyse fiel die Entscheidung zugunsten der Internet Security Plattform von Zscaler. Sie konnte die gewünschten Anforderungen alle erfüllen.

Der Live-Pitch vor der Jury.
Der Live-Pitch vor der Jury.
Foto: Foto Vogt GmbH

Die Cloud-Lösung

Den sicheren Internet-Zugang und eine Outbound Firewall für die Georgsmarienhütte Holding GmbH stellt heute der IT-Dienstleister GMH Systems als Managed Security Service bereit. Basis für diese Services liefern die Zscaler-Module "Web Security" und "NGFW" (Next Generation Firewalls). Mit diesen beiden Modulen lässt sich die geforderte dezentrale Absicherung der global verbreiteten Unternehmen erreichen, die zentral durch den Dienstleitungspartner administriert werden kann.

Die Internet Security Plattform von Zscaler fungiert dabei als eine Reihe von Kontrollposten in der Cloud. Nach Eingabe der Sicherheits- und Unternehmensrichtlinien in eine Web-basierte Administrationsoberfläche wird der gesamte Internet-Datenverkehr durch die Sicherheitsfilter in der Cloud geroutet. Jedes Byte des ein- und ausgehenden Internet-Datenverkehrs wird in Echtzeit untersucht und dabei Malware und Cyber-Angriffe blockiert, der Verlust von vertraulichen Informationen verhindert und Geschäftsrichtlinien beim Internetzugriff umgesetzt.

So sieht die neue, auf Zscaler basierende Architektur der Security-Infrastruktur bei der Georgsmarienhütte aus.
So sieht die neue, auf Zscaler basierende Architektur der Security-Infrastruktur bei der Georgsmarienhütte aus.
Foto: Zscaler

Unabhängig vom Standort, von dem aus die Mitarbeiter auf das Internet zugreifen, kommen die Sicherheitsfilter zum Einsatz. Durch diesen neuen Ansatz der lokalen Internet-Breakouts wird das Backhauling des MPLS-Datenverkehrs zu einer Sicherheits-Appliance in der Unternehmenszentrale überflüssig. Die Mitarbeiter profitieren vom schnellen aber sicheren Zugriff auf das Internet und das Unternehmen kann durch den Wegfall von aufwändigem Backhauling die MPLS-Kosten reduzieren. Die Next Generation Firewall sorgt für die Absicherung regionaler Niederlassungen durch eine Outbound Firewall, ohne dass ein Stapel an Appliances angeschafft, installiert und gewartet werden muss.

Der Cloud-basierte Service von Zscaler ermöglicht es GMH außerdem, die Internet-Nutzung gemäß der Unternehmensrichtlinien (Compliance-Anforderungen) über alle Geräte und Benutzer hinweg zu definieren und umzusetzen. Damit lassen sich jetzt Policy-Änderungen über eine zentrale Administrationsoberfläche in Echtzeit realisieren. Zum Einsatz kommen folgende Technologien:

  • Zscaler Web Security (Zugriffssteuerung, Schutz vor Sicherheitsbedrohungen)

  • Zscaler Next Generation Firewall (Firewalling auf Basis von Applikationen und Benutzern anstelle von ausschließlich IP-Adressen und Services)

  • Active Directory zur Benutzerauthentifizierung und Verteilung von Einstellungen auf Client-PCs, Router/Firewalls zum Traffic Forwarding in die Cloud (GRE Tunnel)

  • Webserver zur Individualisierung von Blockpages (ASP.NET)

Die Best in Cloud Facts zum Projekt.
Die Best in Cloud Facts zum Projekt.
Foto: Zscaler

Die Hürden bei der Einführung der neuen Lösung bestanden im Wesentlichen in Vorurteilen gegenüber Cloud-Lösungen (NSA-Affäre etc.). Durch die Offenlegung von Fakten und entsprechende Nachweise zur Wahrung des Datenschutzes (ADV, Zertifizierungen von Rechenzentren, weitere Erläuterungen zur Handhabung des Datenschutzes durch Zscaler) ließen sich diese Hürden überwinden. So erhält Zscaler beispielsweise von GMH nur Datenströme, die ohnehin ins Internet gehen. Mittels ADFS-Authentifizierung wird sichergestellt, dass Zscaler keine Passwörter von Usern erhält. Die Infrastruktur selbst ist ISO 27001 zertifiziert und wird jährlich von einem externen Datenschutzbeauftragten auditiert. Der Auditreport wird der GMH Systems zur Verfügung gestellt. Darüber hinaus besteht ein Vertrag zur Auftragsdatenverarbeitung nach deutschem Recht mit Zscaler. Widerstand regte sich außerdem seitens des Service Providers, der die Managed Security-Lösung hostet, mit Verweis auf bestehende vertragliche Restriktionen; GMH Systems konnte sich jedoch mit dem Provider über eine Lösung einigen. Größere Herausforderungen ergaben sich in der Umsetzung des Projektes nicht.

Technische Herausforderungen bestanden im Wesentlichen in teils veralteten Active Directory Domaincontrollern, die für eine Kerberos Authentication mit Zscaler nicht verwendet werden konnten. Da diese ohnehin aktualisiert werden sollten, ließ sich das Problem beheben, in dem die Updates priorisiert eingespielt wurden. Ansonsten traten nur noch kleinere Probleme auf einzelnen Clients auf, bedingt durch Fehler am Client oder in der ADDomain des Clients.

Der Business-Nutzen

Durch die Einführung der neuen Sicherheits-Infrastruktur auf Basis von Zscaler profitieren die IT-Leiter der GMH Gruppe heute von umfangreichen Analyse- und Reporting-Möglichkeiten rund um den Internet Traffic ihrer Unternehmen, die bei der bisherigen Lösung nicht bestanden. Das erleichtert es dem Team, Business Policies zu definieren, um die Effektivität der Mitarbeiter zu erhöhen, Sicherheitsrisiken frühzeitig zu erkennen und zu vermeiden. GMH Systems kann außerdem sehr einfach Anpassungen an den Security Policies vornehmen, was zu einer Steigerung der Effizienz und Qualität im Change Management Prozess geführt hat.

Durch den Cloud-Betrieb entstehen inzwischen weniger Probleme, und im Fall des Falles kann der Hersteller im Problemfall schnell reagieren. Er Aufwand für das Management von Störungen und Problemen hat sich dadurch stark verringert. GMH Systems verfügt nun über eine standardisierte Security-Lösung, die sie den Unternehmen der GMH-Gruppe unabhängig von WAN-Konstrukten wie dem MPLS anbieten und somit flexibel und ohne größeren Aufwand weltweit an beliebigen Orten einsetzen kann.