Bilfinger
[Tenable Cloud Security] verwertet Rohdaten besser als andere Lösungen. Die Plattform ist ausgesprochen gut darin, Daten zu analysieren und Erkenntnisse zu liefern… Sie stellt uns Informationen zur Verfügung, auf die wir reagieren können. Das war für mich entscheidend.
Tenable Cloud Security
Die handlungsfähige Cloud Security-Plattform
Reduzieren Sie das Risiko, indem Sie schnell dringliche Sicherheitslücken aufdecken und schließen, die durch Fehlkonfigurationen, risikoreiche Berechtigungen und Schwachstellen verursacht werden - mit einer leistungsstarken Plattform zum Schutz cloudnativer Anwendungen (Cloud Native Application Protection Platform CNAPP).
Bilfinger verschafft sich mit Tenable Cloud Security Einblick in Ressourcenrisiken und die entsprechenden Gegenmaßnahmen
Bilfinger ist ein international tätiger Industriedienstleister mit Firmensitz in Mannheim. Das Unternehmen beschäftigt 30.000 Mitarbeitende und deckt die gesamte Wertschöpfungskette von Consulting, Engineering, Fertigung, Montage, Instandhaltung über die Erweiterung und Generalrevision von Anlagen bis hin zu Umwelttechnologien und digitalen Anwendungen ab.Im Jahr 2019 führte Bilfinger eine groß angelegte Migration von seinem zentralen Rechenzentrum zu Microsoft Azure Cloud sowie AWS als Sekundärumgebung durch.Heute ist die IT-Infrastruktur von Bilfinger zu 60 % bis 70 % cloudbasiert und alle wichtigen Anwendungen werden in der Cloud oder über IaaS ausgeführt. „Wir sehen uns als Anbieter einer globalen Plattform, die alle Mitarbeitenden bei Bilfinger – und damit unzählige Geschäftsbereiche – für ihre Cloud-Anwendungen und -Services nutzen können“, erklärt Andreas Pfau, Tribe Lead Business Solutions bei Bilfinger.
Wichtige Geschäftsanforderungen:
Bilfinger erkannte, dass die Absicherung seiner rasant wachsenden Azure- und AWS-Umgebungen einen anderen Ansatz erforderte als die vertrauten On-Prem-Sicherheitsverfahren des Unternehmens. Laut Pfau wollten sie „... die gleichen Fehler wie vor zehn Jahren vermeiden. Wir wollten vom ersten Tag an eine einheitliche Cloud-Sicherheit aufbauen, von Anfang an den richtigen Weg einschlagen.“
Herausforderung
Etwa eineinhalb Jahre nach der groß angelegten Migration wurde Bilfinger klar, dass die Sicherheit rund um Identitäten und Berechtigungen verbessert werden musste. „Unsere Cloud-Infrastruktur wurde immer komplexer und wir wollten uns ein besseres Verständnis unserer Identitäten verschaffen.Aus Zeitdruck erteilten wir übermäßige Berechtigungen und zogen sie dann zu einem späteren Zeitpunkt nicht immer zurück. Uns war bewusst, dass wir überprivilegierte Benutzerkonten hatten, einige davon im Verborgenen“, so Pfau. Das Unternehmen wollte außerdem die wachsende Zahl seiner Azure-Abonnements besser absichern, manuellen Zeitaufwand für bestimmte Prozesse zur Erkennung von Cloud-Risiken vermeiden sowie für mehr Transparenz in seinem globalen Multi-Cloud-Betrieb sorgen.
Ein Hauptziel bestand darin, den Least-Privilege-Zugriff zu automatisieren; Compliance-Anforderungen und insbesondere die DSGVO waren weitere Anliegen.Auf strategischer Ebene wollte Bilfinger Risiken unabhängig betrachten – als Ergänzung zu seinen internen Maßnahmen der Risikobewertung.
Thomas Lützel, Service Owner of Identity & Authentication Services bei Bilfinger, erinnert sich: „Ich habe von [der Lösung] erfahren und Andreas gesagt, wir sollten einen PoC machen.“ Pfau fügt hinzu: „Sicherheit war für unser IAM-Team von größter Bedeutung. Und das Team war der Ansicht, die Identitäts- und Zugriffsverwaltung mit einem Tool wie Ermetic [inzwischen Tenable Cloud Security] erfolgreicher absichern zu können.“
Pfau ergänzt: „Unser Team nahm eine Bewertung mehrerer Anbieter vor. Wir stießen auf eine Fülle von Marketingmaterial und es war offensichtlich, dass einige Anbieter nicht wussten, was CIEM bedeutet und wie es umgesetzt werden sollte.Zudem ist es nicht einfach, CIEM-Lösungen zu bewerten und zu vergleichen, denn es handelt sich um eine neue Technologie, eine neue Denkweise. Alle konkurrierenden Produkte, einschließlich der nativen Tools von Cloud-Anbietern, verwenden dieselben Rohdaten aus der API, was wiederum gleiche Voraussetzungen schafft. [Tenable] hat unter Beweis gestellt, dass es mehr aus Rohdaten herausholen kann als andere Lösungen. Die Plattform ist ausgesprochen gut darin, Daten zu analysieren und Erkenntnisse zu liefern. Das war für mich entscheidend.“
Lösung
Heute nutzen drei verschiedene Teams bei Bilfinger Tenable Cloud Security tagtäglich:
- IAM-Team (verwaltet Identitäten und Zugriff, einschließlich der Cloud)
- Cloud Center of Excellence (ist mit betrieblichen und architektonischen Aspekten von Cloud-Services betraut und steht den Geschäftsbereichen mit Cloud-Kompetenz zur Seite)
- IT-Sicherheitsteam (verantwortlich für Cloud-Sicherheitslage und Compliance im Allgemeinen)
Pfau erklärte; „Aus meiner Sicht stehen diese drei Bilfinger-Teams für die drei Säulen der Cloud-Sicherheit, die die Plattform bietet: IAM-Sicherheit, Cloud-Fachkompetenz als wichtige Bereicherung sowie Sicherheit und Compliance hinsichtlich der Cloud-Aufstellung im Allgemeinen. Tenable Cloud Security] ist ein unabhängiges Tool, das uns übergreifende Transparenz und detaillierte, einheitliche Erkenntnisse zu unserer Cloud-Architektur in Azure und AWS, zu den Benutzerkonten mehrerer Mandanten sowie zu Abonnements und sämtlichen Aspekten ihrer Identitäten bietet.“
„[Tenable Cloud Security] hat unsere gesamte Cloud-Infrastruktur im Blick und erstellt ein Bestandsverzeichnis all unserer Cloud-Assets“, so Pfau. „Darüber hinaus stellten wir fest, dass die Plattform vergleichbaren Produkten in ihrer Entwicklung und hinsichtlich ihrer Nützlichkeit deutlich voraus ist. Die Risikoanalyse-Engine von [Tenable Cloud Security] sammelt nicht einfach nur Daten, sie analysiert Daten und liefert uns Informationen, auf die wir reagieren können.“
„[Tenable Cloud Security] bietet uns einen sehr klaren, unkomplizierten Einblick in die Zugriffsnutzung – nicht nur bezogen auf die Berechtigungsstufe, sondern auch auf die tatsächliche Verwendung. Mithilfe [der Lösung] können wir ohne Weiteres erkennen, wenn eine Berechtigung unverhältnismäßig ist. Möglicherweise gingen wir zum damaligen Zeitpunkt richtigerweise davon aus, dass ein bestimmtes Benutzerkonto oder eine Gruppe diese Berechtigung benötigt. Doch [Tenable Cloud Security] zeigt uns, dass dies jetzt nicht mehr der Fall ist, weil sie beispielsweise seit sechs Monaten nicht mehr verwendet wurde.“
Wie Bilfinger Tenable Cloud Security einsetzt – Anwendungsfälle
- Asset-Management und Sichtbarkeit in Multi-Cloud-Umgebungen
- Erkenntnisse zu Risiken bei Identitäten und Berechtigungen (einschließlich Drittanbieter)
- Beseitigung von übermäßigen Berechtigungen
- Cloud-Governance-Prozess für Cloud-Identitäten
- Kontinuierliches Monitoring von Netzwerksicherheit, Internet-Exposition und Fehlkonfigurationen
- Berichterstellung and Compliance-Audit
- Durchsetzung des Least-Privilege-Prinzips für Zero Trust (in Kürze)
- Bedrohungserkennung (in Kürze)
Die Cloud-Infrastruktur von Bilfinger
- Microsoft Azure (Hunderte von Abonnements) für zentrale Business-Anwendungen und -Services mit Azure Active Directory als IdP
- AWS für virtuelle CAD- und andere Workloads
- Sicherheitsaudit durch das interne Team und einen Drittanbieter
- Internes Team führt Compliance-Audit durch und trägt Ergebnissen/Sicherheitslücken Rechnung
- SIEM
- ServiceNow
ROI und nächste Schritte
„[Tenable Cloud Security] spielt eine wichtige Rolle dabei, uns einen anderen Blickwinkel, eine Außenperspektive zu vermitteln. Die Lösung fungiert als ein unabhängiger Ratgeber, der uns Erkenntnisse zu unseren Aktivitäten bietet“, so Pfau. „Die Plattform passt sich ständig an und informiert uns so über aktuelle Gegebenheiten in der Cloud, Anwendungsfälle und Bedrohungen. Zunächst waren wir darauf fokussiert, unseren Erfordernissen im Hinblick auf Cloud-Identitäten und Identity Governance Rechnung zu tragen. Doch das Cloud Security Posture Management [der Lösung] hat sich als Bonus erwiesen und passt gut zu unserer Zukunftsstrategie.“
„Unser unmittelbares Ziel besteht darin, Sicherheitsscans auf Basis von [Tenable Cloud Security] zu standardisieren und in größerem Umfang auf die Ergebnisse zu reagieren. Wir werden [Tenable Cloud Security] deutlich umfassender in unsere alltäglichen Betriebsprozesse einbinden. Insbesondere werden wir die Empfehlungen zur Korrektur von Richtlinien durch ein umfangreicheres Ticketing in unsere Abläufe integrieren, um [die Lösung] intensiver als Plattform für Veränderungen zu nutzen. Wir möchten Tickets an unterschiedliche Teams, das SOC und andere Stakeholder übermitteln, sodass Beteiligte Sicherheit jeweils in ihrem eigenen Aufgabengebiet verwalten.“
„Außerdem beabsichtigen wir, Erkenntnisse [der Lösung] in einen PDCA-Zyklus zu übertragen (Plan-Do-Check-Act – kontinuierliche Verbesserung, inzwischen eine Voraussetzung nach ISO 27001:2013).Das heißt, wir werden [Tenable Cloud Security] einsetzen, um Zugriffsrechte zu reduzieren und überprivilegiertes Provisioning einzuschränken, und im Anschluss überprüfen, ob dies erfolgt ist.Wenn ein privilegiertes Konto stillgelegt wird oder gar Rollen aufgeteilt werden, weil eine Rolle übermäßig privilegiert ist, bewirkt dies Veränderungen. Diesen vollständigen PDCA-Zyklus werden wir einrichten und [Tenable Cloud Security] zu dessen Umsetzung nutzen.“
Abschließende Überlegungen
„Mein Ratschlag ist, keine Angst zu haben, wenn [Tenable Cloud Security] Fehler findet oder anzeigt, dass etwas nicht gut umgesetzt wurde oder ein hohes Risiko darstellt“, resümiert Pfau. „Ein Tool wie [dieses] kann dazu beitragen, Iterationen zu beschleunigen, sodass man schneller dazulernt und eine andere Perspektive erhält. In der sich rasch verändernden Welt der Cloud-Plattformen braucht man interne und externe Feedback-Schleifen – Spiegel der eigenen Aktivitäten. [Tenable Cloud Security] bietet eine externe Feedback-Schleife mit schnellen Erkenntnissen, die genutzt werden kann, um die Behebung zu beschleunigen und inkrementelle Verbesserungen der Sicherheit vorzunehmen.“
„Letztendlich verschafft uns [Tenable Cloud Security] Transparenz, die uns über unsere Cloud-Infrastruktur und die Risiken für unsere Ressourcen informiert und uns aufzeigt, was wir dagegen unternehmen können. Mit nur zwei Mausklicks haben wir das tatsächliche Geschehen im Blick und können darauf reagieren – und das bietet uns einen beträchtlichen Mehrwert.“
Über Tenable Cloud Security
Tenable Cloud Security ist die handlungsfähige Plattform für Cloud-Sicherheit (CNAPP), mit der Sie die wichtigsten Sicherheitslücken, die durch Fehlkonfigurationen, riskante Berechtigungen und Schwachstellen entstehen, schnell aufdecken und beheben können. Diese Schwächen sind der Ausgangspunkt für Cloud-Risiken. Tenable ist weltweit führend darin, diese Schwachstellen in Infrastruktur, Workloads, Identitäten, Daten und KI-Diensten in großem Umfang zu isolieren und zu beseitigen.
- Active Directory
- Cloud
- Compliance
- Tenable Cloud Security