MAN Energy Solutions ottiene lo zero trust

Quando gli approcci tradizionali alla sicurezza falliscono

Durante la sua fase di crescita globale, l'azienda ha assistito a una rapida evoluzione delle tecnologie utilizzate, come l'IoT su motori e sistemi di tutte le dimensioni distribuiti in tutto il mondo, molti dei quali nel settore dei trasporti. Allo stesso tempo, la sua forza lavoro globale, numerosa e distribuita, è diventata sempre più mobile, condizione che ha reso necessaria l'implementazione dell'accesso mobile alle app web e alle applicazioni aziendali personalizzate.

Con i carichi di lavoro che vengono spostati su AWS e Azure e Internet che è diventata la nuova rete aziendale, gli approcci tradizionali alla sicurezza della rete e delle app basati sul modello a castello e fossato non sono in grado di rispondere efficacemente alle esigenze delle moderne distribuzioni cloud, che consentono di raggiungere una scala globale, offrire l'accesso a utenti in tutto il mondo e la possibilità di migliorare il profilo di sicurezza. L'obiettivo è rendere le applicazioni invisibili a Internet e consentire l'accesso solo tra utenti e applicazioni attendibili.

A causa della necessità di accedere alle app attraverso soluzioni VPN aziendali obsolete, MAN Energy Solutions ha notato che la maggiore velocità e agilità ottenuta grazie alle distribuzioni cloud si traduceva in un'esperienza utente scadente, con costi sempre più alti per la rete, l'MPLS, i software e l'hardware. Inoltre, l'azienda desiderava ottenere i vantaggi per la sicurezza derivanti dall'invisibilità delle app alla rete Internet.

"Stavamo fornendo l'accesso alle applicazioni a una forza lavoro mobile e distribuita utilizzando le tradizionali VPN su porte di accesso individuabili. Le prestazioni ne stavano risentendo. I nostri dipendenti non erano soddisfatti della loro esperienza, e il nostro profilo di sicurezza non esprimeva il massimo del suo potenziale. Tutto ciò non era compatibile con quanto potevano offrire le nostre distribuzioni su AWS e Azure", spiega Tony Fergusson, IT Infrastructure Architect presso MAN. "Inoltre, disponevamo di un team operativo relativamente ridotto per la gestione dell'infrastruttura on-premise, mentre il nostro set di dati e il bisogno di effettuare analisi in tempo reale e consentire l'accesso alle app stavano crescendo esponenzialmente. Questo scenario si è complicato ancora di più con la modernizzazione delle nostre applicazioni interne, lo spostamento online di un maggior numero di fonti di dati e la distribuzione di prodotti e tecnologie avanzati a livello globale".

La potenza di Zscaler Zero Trust

Per MAN Energy Solutions (MAN), il passaggio al cloud ha portato con sé dei chiari vantaggi aziendali. "Continuavamo a vedere un numero crescente di aziende adottare con successo il cloud per attività globali; abbiamo quindi identificato degli approcci architetturali adatti ai nostri obiettivi tecnici", spiega Fergusson.

MAN si è rivolta a Zscaler nel 2011 per migliorare l'esperienza utente, ridurre i costi relativi alla larghezza di banda e raggiungere obiettivi di sicurezza sempre più ambiziosi. L'azienda ha iniziato collegando gli utenti mobili distribuiti a livello globale alle proprie applicazioni SaaS utilizzando Zscaler Internet Access (ZIA). Zscaler è stata poi scelta per rispondere alle sfide derivanti dalle minacce avanzate persistenti (APT).

Successivamente, è stata selezionata la soluzione Zscaler Private Access (ZPA) per fornire l'accesso alle applicazioni on-premise alla forza lavoro mobile e ai collaboratori, ovunque e in qualsiasi momento. ZPA è stata introdotta di recente per proteggere l'accesso alle applicazioni su AWS e Azure. L'utilizzo di ZPA ha consentito di migliorare l'esperienza degli utenti mobili e di ridurre i costi di rete.

Accesso zero trust alle applicazioni interne

Zscaler Private Access (ZPA) fornisce un accesso sicuro e basato su policy alle risorse e alle applicazioni private, senza i costi, la complessità o i rischi per la sicurezza di una VPN. Dall'introduzione della rete definita da software (Software Defined Network, SDN), l'idea di rendere invisibili le applicazioni interne agli utenti non autorizzati si è diffusa sempre di più. L'approccio zero trust è in grado di rendere i servizi invisibili, e prima che venga concesso l'accesso agli utenti, questi ultimi e le app devono essere autorizzati con lo standard SAML.

"Siamo riusciti a implementare un modello zero trust, o quello che io definisco Blackcloud (SDP)", ha dichiarato Fergusson. "Abbiamo implementato la nostra soluzione in modo da ridurre la superficie di attacco, e abbiamo sostituito gli approcci tradizionali con questo modello moderno, sicuro e cloud-first. Disponiamo inoltre di un controllo granulare sulle autorizzazioni degli utenti, in modo che ogni dipendente e collaboratore possa accedere solo a ciò di cui ha bisogno". Con ZPA, l'accesso dei collaboratori è segmentato in base all'applicazione, non alla rete.

Questo approccio impedisce inoltre al software dannoso di muoversi lateralmente e garantisce che l'accesso sia avviato solo da un client a un server, e mai il contrario. La combinazione di questi due paradigmi impedisce il movimento laterale dannoso convalidando tutte le sessioni prima di concedere l'accesso. Adottando un modello zero trust ed eseguendo le policy in base all'autenticazione degli utenti, all'autorizzazione e al fatto che le applicazioni siano note o sconosciute, si ottiene un maggiore livello di sicurezza.

Un approccio moderno per connettere gli utenti su scala globale

Sono diversi i fattori che hanno reso evidente la necessità di ricorrere a un modo più rapido e sicuro per connettere gli utenti finali alle loro app, come la migrazione delle app aziendali interne e dei progetti di sviluppo sul cloud, l'intensificazione dell'adozione dei servizi cloud e la necessità di poter consentire l'accesso a un numero crescente di dipendenti e partner distribuiti a livello globale. Questo fornisce maggiore flessibilità e agilità alle aziende, ma se queste ultime dovessero continuare a utilizzare gli approcci VPN tradizionali, il carico sulle risorse IT e di rete aumenterebbe.

Il cloud di Zscaler offre un'alternativa sofisticata e potente. Rimuove il bisogno di ricorrere ai tradizionali stack di soluzioni di sicurezza hardware e software per l'accesso remoto, elimina la necessità per gli utenti finali di utilizzare un client VPN e l'euristica per l'accesso remoto quando sono in viaggio e fornisce un percorso alternativo per il traffico. Ciò riduce la necessità di ricorrere a tunnel MPLS per la connettività Internet.

Ottenere velocità, agilità e prestazioni

MAN Energy Solutions ha migliorato l'esperienza degli utenti finali riducendo la complessità e i costi. Quando accedono alle applicazioni interne, gli utenti finali possono finalmente godere di un'esperienza totalmente fluida e simile a quella sul cloud, indipendentemente dal fatto che le applicazioni siano nel data center o sul cloud. Gli utenti vengono indirizzati direttamente alle applicazioni tramite il cloud globale di Zscaler, bypassando completamente i tradizionali colli di bottiglia dell'accesso remoto legacy.

In questo modo, le applicazioni possono essere ospitate ovunque con la massima flessibilità, e i dati sensibili vengono protetti sfruttando una connessione basata su microtunnel criptati con il protocollo TLS. Gli utenti non vengono mai collocati sulla rete, le applicazioni non vengono mai esposte agli utenti non autorizzati e il cloud riduce la complessità tipicamente associata alle soluzioni tradizionali.

Eliminando l'infrastruttura VPN e le licenze software, i costi sono stati abbattuti in modo radicale. Inoltre, le prestazioni della rete sono migliorate grazie all'utilizzo di controlli della larghezza di banda, per assegnare la priorità al traffico critico rispetto a quello a bassa priorità, come la navigazione web.

Uno dei principali vantaggi tecnici è che il team è riuscito a ridurre la superficie di attacco e a proteggere tutta l'amministrazione su AWS e Azure. MAN utilizza il cluster di logging e analisi di ZPA per lo streaming dei log verso il proprio sistema SIEM, ottenendo così una maggiore visibilità sugli accessi e sulle attività degli utenti.

"Siamo in grado di distribuire nuovi VPC e creare nuovi spazi dei nomi in pochi minuti. Il grande vantaggio per noi è l'utilizzo del routing dello spazio dei nomi, in modo da poter controllare il traffico in base a questi ultimi, e non all'IP. Questo ci permette di creare policy più rilevanti; inoltre possiamo ridurre i costi e la complessità della rete. Il nostro processo di onboarding dei consulenti è molto più rapido, e ora può essere completato in poche ore anziché settimane", spiega Fergusson.