Als ein großes Öl- und Gasunternehmen in Südosteuropa on-premise Daten und Anwendungen in eine öffentliche Cloud-Infrastruktur migrieren wollte, wandte es sich an Lookout, um die damit verbundenen Sicherheitsherausforderungen zu bewältigen. Die Lösung Lookout Cloud Access Security Broker (CASB) mit fortschrittlicher Data Loss Prevention (DLP) bot die gesamte Bandbreite integrierter Funktionen, die benötigt wurden, um sicherzustellen, dass alle Datensicherheits- und Compliance-Überlegungen erfüllt wurden, während gleichzeitig eine offene Cloud-Dateninteraktion möglich war.
Die Herausforderung
Die Migration von Unternehmen in die Cloud kann ein schwieriger Prozess sein, insbesondere in stark regulierten Branchen. Für dieses große Öl- und Gasunternehmen mit mehr als 11.000 Mitarbeitern wurde die Umstellung auf die Cloud beschleunigt, als SAP Pläne für das Ende des Supports für on-premise installierte Human Capital Management (HCM)-Lösung ankündigte. Stattdessen wurde den Kunden empfohlen, auf die cloudbasierte HCM-Suite SAP SuccessFactors zu migrieren. Da sich das Unternehmen bei allen personalbezogenen Prozessen stark auf SAP verlässt und gleichzeitig strenge Datenschutzbestimmungen für mitarbeiterbezogene Daten einhalten muss, musste sich das IT-Team schnell mit der sicheren Cloud-Migration vertraut machen.
Da es sich um das erste Cloud-Umstellungsprojekt handelte, beauftragte das Team einen professionellen Berater mit der Bewertung aller möglichen Migrationsrisiken. Es wurden vier zentrale Herausforderungen identifiziert:
- Integration mit bestehenden Sicherheitslösungen, einschließlich SAP Identity Authentication Service (IAS) für Single Sign-On (SSO), Titus-Datenklassifizierung und ArcSight für Security Information and Event Management (SIEM)
- Implementierung granularer Kontrollrichtlinien, die nur autorisierten Benutzern den Zugriff auf sensible HR-Daten erlauben
- Angleichung an die Datenschutzgesetze, einschließlich der Allgemeinen Datenschutzverordnung der Europäischen Union (GDPR)
- Schutz sensibler Daten und Verringerung des Risikos, dass Malware wie Ransomware in die Infrastruktur hochgeladen wird
Die Lösung
Das Team erkannte schnell, dass es eine Cloud Access Security Broker (CASB)-Lösung mit fortschrittlicher Data Loss Prevention (DLP) benötigte, um diese unmittelbaren Probleme sowie zukünftige Herausforderungen zu bewältigen, die mit der Migration weiterer Daten und Anwendungen in die Cloud wahrscheinlich auftreten werden. Nach einem gründlichen Anbietervergleich entschied sich das Unternehmen für Lookout CASB mit DLP, um seine HCM-Plattform zuverlässig und sicher in die Cloud zu überführen.
Die wichtigsten Vorteile Lookout
Effiziente Bereitstellung durch Integration von Drittanbietern
Ein wichtiges Auswahlkriterium war die einfache Integration mit bestehenden Sicherheitswerkzeugen, darunter SAP Identity Authentication Service (IAS) für Single Sign-On (SSO), Titus Data Classification und ArcSight für Security Information and Event Management (SIEM). So konnte die Gesamtkomplexität des Projekts reduziert werden, indem unnötige Aktivitäten, Ausgaben und Produkte vermieden wurden.
Definieren und Durchsetzen des Zugangs durch granulare Kontrolle
Der nächste Schritt bestand darin, granulare Sicherheitskontrollen zu implementieren, die auf der Rolle eines Benutzers, der Geräteausstattung, dem Standort und der Art der angeforderten Daten basieren. Die Berechtigungen mussten so eingeschränkt werden, dass kein Mitarbeiter die volle Kontrolle über das System hatte, aber einzelne Benutzer dennoch von jedem Gerät oder Standort aus Zugriff auf die Tools erhalten konnten, die sie für ihre Produktivität benötigten.
Auch die Bewegung von Daten (sowohl Upload als auch Download) musste durch von Titus verwaltete Datenklassifizierungsetiketten kontrolliert werden. Einfach ausgedrückt ist die Datenklassifizierung der Prozess der Kennzeichnung von Daten nach Typ, Sensibilität und Geschäftswert, so dass fundierte Entscheidungen darüber getroffen werden können, wie sie verwaltet, geschützt und gemeinsam genutzt werden, sowohl innerhalb als auch außerhalb des Unternehmens.
Nach der Klassifizierung kann das System sicherstellen, dass Daten, die nichts mit der Personalabteilung zu tun haben, wie Finanz-, Forschungs- und Entwicklungsdaten, nicht in SuccessFactors hochgeladen werden können. Das Team musste auch sicherstellen, dass sensible Daten, die bereits in SuccessFactors gespeichert sind, nicht auf nicht vertrauenswürdige Geräte oder an nicht genehmigte Orte heruntergeladen werden können.
Durch den Einsatz von Lookout im "Reverse-Proxy-Modus" kann der Kunde schließlich DLP-Richtlinien durchsetzen, die den Zugriff auf sensible Personaldaten sowohl von vertrauenswürdigen als auch von nicht vertrauenswürdigen Geräten aus blockieren, einschränken oder erlauben. Wenn DLP in Verbindung mit Titus eingesetzt wird, kann eine Null-Toleranz-Richtlinie implementiert werden, um das Herunterladen aller als sensibel identifizierten Daten zu blockieren. "Wenn ein Benutzer versucht, sensible Daten herunterzuladen, müssen diese standardmäßig mit unseren Sicherheitsrichtlinien verweigert werden", erklärt der IT-Sicherheitsarchitekt.
Einhaltung von Datenschutzgesetzen
Die multinationale Präsenz stellte auch eine Herausforderung für den Datenschutz dar - vor allem, wenn die Bewerber im Rahmen des Bewerbungsverfahrens sensible Daten übermitteln. "Wir haben eine Menge sensibler Daten", sagte der Leiter des Rechenzentrums, "darunter nationale Identifikationsnummern, medizinische Informationen und andere personenbezogene Daten, die geschützt werden müssen. Diese Daten gehen direkt in SuccessFactors ein.
Um die zahlreichen nationalen Datenschutzgesetze zu erfüllen, mussten die in SuccessFactors gespeicherten personenbezogenen Daten verschlüsselt werden, was die Frage nach der Schlüsselverwaltung aufwarf. Die Verwaltung von Verschlüsselungsschlüsseln ist die Verwaltung von Richtlinien und Verfahren zum Schutz, zur Speicherung, Organisation und Verteilung von Verschlüsselungsschlüsseln. In diesem Fall wollte der Kunde die Kontrolle über die Verschlüsselungsschlüssel behalten, einschließlich der Möglichkeit, sie vor Ort zu speichern.
Lookout war in der Lage, die Verschlüsselung sensibler Daten in Angriff zu nehmen und dem Kunden über das Lookout Key Management System (KMS) eine Vor-Ort-Verwahrung der Verschlüsselungsschlüssel zu bieten. Das Lookout KMS stellt sicher, dass nur autorisierte Mitarbeiter auf sensible PII-Daten zugreifen können.
Verhindern, dass Malware in SuccessFactors hochgeladen wird
Cloud-basierte Anwendungen wie SuccessFactors unterstützen das Hochladen von Dateien, die eine Reihe von Sicherheitslücken aufweisen. So können beispielsweise Bewerber, die sich für eine Stelle bewerben, einen Lebenslauf als Teil der Bewerbung hochladen. Alle hochgeladenen Dokumente müssen auf Schadsoftware überprüft werden, die es böswilligen Akteuren ermöglicht, Hintertüren zu öffnen, die Authentifizierung für interne Systeme zu übernehmen, Daten zu stehlen oder ganz allgemein das Unternehmen zu stören. "Wir lassen nicht zu, dass Dokumente in SuccessFactors hochgeladen werden, die nicht von Lookout überprüft und gescanntwurden", so der Leiter von Data Center Ops.
Weiter auf dem Weg in die Cloud mit Lookout
Nach der sicheren Migration des HCM-Systems setzt Lookout die Zusammenarbeit mit diesem Kunden fort, um einen Cloud-Migrationsplan für weitere Anwendungen zu erstellen, einschließlich Cloud-basierter Plattformen für Zusammenarbeit und Kommunikation.
Laut dem Head of Data Center Ops "werden wir, wenn wir unsere Nutzung von SuccessFactors mit zusätzlichen Modulen erweitern und weiterhin Daten in die Cloud verlagern, sicherlich Lookout CASB nutzen, um unsere Daten sicher zu halten."
In diesem Video erfahren Sie mehr darüber, wie die Lookout CASB speziell für die Sicherheit von SAP SuccessFactors entwickelt wurde.