Bilfinger
[Tenable Cloud Security] verwertet Rohdaten besser als andere Lösungen. Die Plattform ist ausgesprochen gut darin, Daten zu analysieren und Erkenntnisse zu liefern… Sie stellt uns Informationen zur Verfügung, auf die wir reagieren können. Das war für mich entscheidend.
Wichtige Geschäftsanforderungen:
Bilfinger wollte ein einheitliches Sicherheitskonzept für seine komplexe und schnell wachsende Multi-Cloud-Infrastruktur (AWS, Azure), um Identitäts- und Berechtigungsrisiken einzudämmen und den manuellen Aufwand für die Verwaltung der Compliance zu reduzieren.
Bei der Suche nach einer Lösung mit Multi-Cloud-Transparenz für alle Stakeholder (IAM, Center of Excellence, IT-Sicherheit), Least-Privilege-Zugriff und automatisierter Compliance entschied sich Bilfinger für Tenable Cloud Security, eine umfassende CNAPP mit marktführendem CIEM.
Eingesetzte Produkte:
Scrollen Sie nach unten, um die gesamte Fallstudie zu lesen.
Bilfinger verschafft sich mit Tenable Cloud Security Einblick in Ressourcenrisiken und die entsprechenden Gegenmaßnahmen
Die Herausforderung
Bilfinger erkannte, dass die Absicherung seiner rasant wachsenden Azure- und AWS-Umgebungen einen anderen Ansatz erforderte als die vertrauten On-Prem-Sicherheitsverfahren des Unternehmens. Laut Andreas Pfau*, Tribe Lead Business Solutions bei Bilfinger, wollte man „...dieselben Fehler wie vor 10 Jahren vermeiden. Wir wollten vom ersten Tag an eine einheitliche Cloud-Sicherheit aufbauen, von Anfang an den richtigen Weg einschlagen.“
Etwa eineinhalb Jahre nach der groß angelegten Migration wurde Bilfinger klar, dass die Sicherheit rund um Identitäten und Berechtigungen verbessert werden musste. „Unsere Cloud-Infrastruktur wurde immer komplexer und wir wollten uns ein besseres Verständnis unserer Identitäten verschaffen. Aus Zeitdruck erteilten wir übermäßige Berechtigungen und zogen sie dann zu einem späteren Zeitpunkt nicht immer zurück. Uns war bewusst, dass wir überprivilegierte Benutzerkonten hatten, einige davon im Verborgenen“, so Pfau. Darüber hinaus wollte das Unternehmen seine immer größere Anzahl von Azure-Abonnements besser absichern, manuellen Aufwand bei bestimmten Prozessen zur Erkennung von Cloud-Risiken vermeiden und Transparenz über seinen globalen Multi-Cloud-Betrieb erzielen.
Ein Hauptziel bestand darin, den Least-Privilege-Zugriff zu automatisieren; Compliance-Anforderungen und insbesondere die DSGVO waren weitere Anliegen. Auf strategischer Ebene wollte Bilfinger Risiken unabhängig betrachten – als Ergänzung zu seinen internen Maßnahmen der Risikobewertung.
Thomas Lützel, Service Owner der Identity & Authentication Services bei Bilfinger (dessen LinkedIn-Slogan lautet: „Identity securely holds the cloud together“), erinnert sich: „Ich hatte von [der Lösung] gehört und Andreas Pfau gesagt, dass wir ein PoC durchführen sollten.“ Pfau fügt hinzu: „Sicherheit war für unser IAM-Team von größter Bedeutung. Und das Team war der Ansicht, die Identitäts- und Zugriffsverwaltung mit einem Tool wie Ermetic [inzwischen Tenable Cloud Security] erfolgreicher absichern zu können.“
Pfau ergänzt: „Unser Team nahm eine Bewertung mehrerer Anbieter vor. Wir stießen auf eine Fülle von Marketingmaterial und es war offensichtlich, dass einige Anbieter nicht wussten, was CIEM bedeutet und wie es umgesetzt werden sollte. Zudem ist es nicht einfach, CIEM-Lösungen zu bewerten und zu vergleichen, denn es handelt sich um eine neue Technologie, eine neue Denkweise. Alle konkurrierenden Produkte, einschließlich der nativen Tools von Cloud-Anbietern, verwenden dieselben Rohdaten aus der API, was wiederum gleiche Voraussetzungen schafft. [Tenable Cloud Security] hat unter Beweis gestellt, dass es mehr aus Rohdaten herausholen kann als andere Lösungen. Die Plattform ist ausgesprochen gut darin, Daten zu analysieren und Erkenntnisse zu liefern. Das war für mich entscheidend.“
Die Lösung
Heute nutzen drei verschiedene Teams bei Bilfinger Tenable Cloud Security tagtäglich:
- IAM-Team (verwaltet Identitäten und Zugriff, einschließlich der Cloud)
- Cloud Center of Excellence (ist mit betrieblichen und architektonischen Aspekten von Cloud-Services betraut und steht den Geschäftsbereichen mit Cloud-Kompetenz zur Seite)
- IT-Sicherheitsteam (verantwortlich für Cloud-Sicherheitslage und Compliance im Allgemeinen)
Pfau erklärte; „Aus meiner Sicht stehen diese drei Bilfinger-Teams für die drei Säulen der Cloud-Sicherheit, die die Plattform bietet: IAM-Sicherheit, Cloud-Fachkompetenz als wichtige Bereicherung sowie Sicherheit und Compliance hinsichtlich der Cloud-Aufstellung im Allgemeinen. Tenable Cloud Security] ist ein unabhängiges Tool, das uns übergreifende Transparenz und detaillierte, einheitliche Erkenntnisse zu unserer Cloud-Architektur in Azure und AWS, zu den Benutzerkonten mehrerer Mandanten sowie zu Abonnements und sämtlichen Aspekten ihrer Identitäten bietet.“
„[Tenable Cloud Security] hat unsere gesamte Cloud-Infrastruktur im Blick und erstellt ein Bestandsverzeichnis all unserer Cloud-Assets“, so Pfau. „Darüber hinaus stellten wir fest, dass die Plattform vergleichbaren Produkten in ihrer Entwicklung und hinsichtlich ihrer Nützlichkeit deutlich voraus ist. Die Risikoanalyse-Engine von [Tenable Cloud Security] sammelt nicht einfach nur Daten, sie analysiert Daten und liefert uns Informationen, auf die wir reagieren können.“
„[Tenable Cloud Security] bietet uns einen sehr klaren, unkomplizierten Einblick in die Zugriffsnutzung – nicht nur bezogen auf die Berechtigungsstufe, sondern auch auf die tatsächliche Verwendung. Mithilfe [der Lösung] können wir ohne Weiteres erkennen, wenn eine Berechtigung unverhältnismäßig ist. Möglicherweise gingen wir zum damaligen Zeitpunkt richtigerweise davon aus, dass ein bestimmtes Benutzerkonto oder eine Gruppe diese Berechtigung benötigt. Doch [Tenable Cloud Security] zeigt uns, dass dies jetzt nicht mehr der Fall ist, weil sie beispielsweise seit sechs Monaten nicht mehr verwendet wurde.“
Wie Bilfinger Tenable Cloud Security einsetzt – Anwendungsfälle
- Asset-Management und -Sichtbarkeit in Multi-Cloud-Umgebungen
- Erkenntnisse zu Risiken bei Identitäten und Berechtigungen (einschließlich Drittanbieter)
- Beseitigung von übermäßigen Berechtigungen
- Cloud-Governance-Prozess für Cloud-Identitäten
- Kontinuierliches Monitoring von Netzwerksicherheit, Internet-Exposition und Fehlkonfigurationen
- Berichterstellung and Compliance-Audit
- Durchsetzung des Least-Privilege-Prinzips für Zero Trust (in Kürze)
- Bedrohungserkennung (in Kürze)
Die Cloud-Infrastruktur von Bilfinger
- Microsoft Azure (Hunderte von Abonnements) für zentrale Business-Anwendungen und -Services mit Azure Active Directory als IdP
- AWS für virtuelle CAD- und andere Workloads
- Sicherheitsaudit durch das interne Team und einen Drittanbieter
- Internes Team führt Compliance-Audit durch und trägt Ergebnissen/Sicherheitslücken Rechnung
- SIEM
- ServiceNow
ROI und nächste Schritte
„[Tenable Cloud Security] spielt eine wichtige Rolle dabei, uns einen anderen Blickwinkel, eine Außenperspektive zu vermitteln. Die Lösung fungiert als ein unabhängiger Ratgeber, der uns Erkenntnisse zu unseren Aktivitäten bietet“, so Pfau. „Die Plattform passt sich ständig an und informiert uns so über aktuelle Gegebenheiten in der Cloud, Anwendungsfälle und Bedrohungen. Zunächst waren wir darauf fokussiert, unseren Erfordernissen im Hinblick auf Cloud-Identitäten und Identity Governance Rechnung zu tragen. Doch das Cloud Security Posture Management [der Lösung] hat sich als Bonus erwiesen und passt gut zu unserer Zukunftsstrategie.“
„Unser unmittelbares Ziel besteht darin, Sicherheitsscans auf Basis von [Tenable Cloud Security] zu standardisieren und in größerem Umfang auf die Ergebnisse zu reagieren. Wir werden [Tenable Cloud Security] deutlich umfassender in unsere alltäglichen Betriebsprozesse einbinden. Insbesondere werden wir die Empfehlungen zur Korrektur von Richtlinien durch ein umfangreicheres Ticketing in unsere Abläufe integrieren, um [die Lösung] intensiver als Plattform für Veränderungen zu nutzen. Wir möchten Tickets an unterschiedliche Teams, das SOC und andere Stakeholder übermitteln, sodass Beteiligte Sicherheit jeweils in ihrem eigenen Aufgabengebiet verwalten.“
„Außerdem beabsichtigen wir, Erkenntnisse [der Lösung] in einen PDCA-Zyklus zu übertragen (Plan-Do-Check-Act – kontinuierliche Verbesserung, inzwischen eine Voraussetzung nach ISO 27001:2013).Das heißt, wir werden [Tenable Cloud Security] einsetzen, um Zugriffsrechte zu reduzieren und überprivilegiertes Provisioning einzuschränken, und im Anschluss überprüfen, ob dies erfolgt ist.Wenn ein privilegiertes Konto stillgelegt wird oder gar Rollen aufgeteilt werden, weil eine Rolle übermäßig privilegiert ist, bewirkt dies Veränderungen. Diesen vollständigen PDCA-Zyklus werden wir einrichten und [Tenable Cloud Security] zu dessen Umsetzung nutzen.“
Abschließende Überlegungen
„Mein Ratschlag ist, keine Angst zu haben, wenn [Tenable Cloud Security] Fehler findet oder anzeigt, dass etwas nicht gut umgesetzt wurde oder ein hohes Risiko darstellt“, resümiert Pfau. „Ein Tool wie [dieses] kann dazu beitragen, Iterationen zu beschleunigen, sodass man schneller dazulernt und eine andere Perspektive erhält. In der sich rasch verändernden Welt der Cloud-Plattformen braucht man interne und externe Feedback-Schleifen – Spiegel der eigenen Aktivitäten. [Tenable Cloud Security] bietet eine externe Feedback-Schleife mit schnellen Erkenntnissen, die genutzt werden kann, um die Behebung zu beschleunigen und inkrementelle Verbesserungen der Sicherheit vorzunehmen.“
„Letztendlich verschafft uns [Tenable Cloud Security] Transparenz, die uns über unsere Cloud-Infrastruktur und die Risiken für unsere Ressourcen informiert und uns aufzeigt, was wir dagegen unternehmen können. Mit nur zwei Mausklicks haben wir das tatsächliche Geschehen im Blick und können darauf reagieren – und das bietet uns einen beträchtlichen Mehrwert.“
- Active Directory
- Cloud
- Compliance
- Tenable Cloud Security