Mikrosegmentierung

Zero Networks realisiert kosteneffiziente Mikrosegmentierung bei Sani Marc

Zero Networks realisiert kosteneffiziente Mikrosegmentierung bei Sani Marc

Kanadischer Chemiehersteller erzielt deutliche Kosteneinsparungen durch Entscheidung für modere Mikrosegmentierungslösung

Sani Marc, ein führendes Chemieunternehmen in Québec hat 16 Niederlassungen in ganz Kanada und eine in Europa, mehrere Rechenzentren sowie mehrere Lagerstandorte, die auf IoT-Geräte angewiesen sind. Das Unternehmen verfügt über Firewalls zum Schutz des Perimeters und EDR (Endpoint Detection and Response) für die Endpunktsicherheit. „Die meisten Bedrohungen kommen jedoch nicht von außen, sondern von einem Benutzer, der jemanden mit einer E-Mail oder einer URL, auf die er klickt, in das Netzwerk einlädt. Wir wollten also etwas im Inneren installieren, um uns vor seitlichen Bewegungen zu schützen, falls jemand eindringt“, erklärt George Henderson, IT-Manager bei Sani Marc.

Das Unternehmen beschäftigt ein kleines sechsköpfiges IT-Team, daher musste die Lösung einfach zu implementieren und relativ wartungsarm sein. Eine weitere Herausforderung bestand darin, dass die Lösung flexibel sein und sich mit dem Unternehmen weiterentwickeln sollte, wenn das Geschäft wächst und sich verändert.

Suche nach einfacher und kostensparender Lösung

Mikrosegmentierung ist der „Goldstandard“ zur Verhinderung von lateraler Ausbreitung von Bedrohungen – und damit der erste Schritt zu Zero Trust. Mikrosegmentierung hat jedoch den Ruf, mit hohen Kosten und einem langen, arbeitsintensiven Bereitstellungsprozess verbunden zu sein, der oft in fehlerhaften Anwendungen endet. Sani Marc suchte daher gezielt nach einer kosteneffizienten Lösung für eine schnelle und problemlose Mikrosegmentierung. Diese sollte einfach zu implementieren und zu verwalten sowie Kosten sparen.

Eine hierbei geprüfte Hardwarelösung fiel aus dem Rennen, weil sich die Bereitstellung über sechs Monate gezogen, die Änderung aller Firewalls sowie viele laufende Wartungsarbeiten und Neukonfigurationen erfordert hätte. Zudem ließ sich damit keine vollständige Mikrosegmentierung erreichen, da Client-zu-Client-Segmentierung nicht unterstützt wurde. Als weitere Option prüfte das Unternehmen eine Netzwerkvirtualisierungs- und Sicherheitsplattform, die zwar VMs, aber keine Clients oder andere Server außerhalb von VMware schützt und aufgrund hoher Wartungskosten nicht in Frage kam.

Zero Networks

Entscheidung für Zero Networks Segment

Im Rahmen der Evaluierung hat sich das Unternehmen schließlich für Zero Networks Segment entschieden. Die automatisierte, agentenlose, MFA-gestützte (Multi-Faktor-Authentifizierung) Mikrosegmentierungslösung soll Angreifer daran hindern, sich im Netzwerk auszubreiten. Sie erstellt eine Firewall-Blase um jedes Asset und wendet Regeln an, die nur den erforderlichen Datenverkehr zulassen, während alles andere blockiert wird. Die Lösung schließt auch privilegierte Ports und öffnet sie vorübergehend nach der MFA-Authentifizierung. Sie unterstützt sowohl IT- als auch OT-Umgebungen und kann über lokale, Cloud- und Hybridnetzwerke hinweg skaliert werden.

Für Sani Marc war entscheidend, dass das Unternehmen innerhalb von 30 Tagen eine vollständige, automatisierte Mikrosegmentierung erreichen konnte, ohne das IT-Personal zu belasten, den normalen Betriebsablauf zu stören oder das Budget zu sprengen. Weitere Aspekte, die für diese Lösung sprachen, war der Schutz von Servern, Clients und OT ohne Agenten, die automatisierte Erstellung von Regeln/Richtlinien sowie die Option zur Anwendung von MFA auf jedem Port, Protokoll und jeder Anwendung.

Tatsächlich dauerte die vollständige Mikrosegmentierung des Netzwerks nur 30 Tage, nahezu ohne Aufsicht durch das IT-Team. „Mit Zero Networks wussten wir, dass wir alle Vorteile einer robusten Mikrosegmentierungslösung nutzen konnten, ohne die Nachteile wie zusätzlichen Aufwand und einen langen Bereitstellungsprozess. Die Ergebnisse sprechen für diese Lösung“, so Henderson.

Hohe Kosteneinsparungen bei der Bereitstellung und im Betrieb

Sani Marc erreichte die vollständige Mikrosegmentierung aller seiner Kunden und Server in nur 30 Tagen, und zwar in einem automatisierten Prozess, der laut Henderson „zu 95 Prozent ohne manuelle Eingriffe“ ablief. Nach 30 Tagen der Überwachung und des Erlernens aller Verbindungen im Sani Marc-Netzwerk erstellte Zero Networks Segment automatisch hochpräzise Regeln, die das gesamte Netzwerk mikrosegmentierten, ohne dass es zu Störungen kam.

Die automatisierte Mikrosegmentierung lief für die Endbenutzer völlig transparent ab. Für alle privilegierten Verbindungen müssen die IT-Administratoren von Sani Marc eine Self-Service-Just-in-Time-MFA verwenden. „Wir wussten, dass die KI gut ist, aber dachten, wir müssten manuell nachjustieren, aber im Grunde gab es nichts zu ändern. Wir haben spezielle Anwendungen, also mussten wir einige Regeln hinzufügen, was zwei bis drei Tage Feinabstimmung in Anspruch nahm. Abgesehen davon läuft die Lösung so gut wie von selbst“, sagt Henderson. Durch die Entscheidung für Zero Networks anstelle der Virtualisierungslösung konnte Sani Marc im Voraus dreimal so viel bei der Bereitstellung und der laufenden Wartung einsparen. Auch nach der Inbetriebnahme gab es einen zusätzlichen Kostenvorteil. Das Unternehmen hatte eine extern gehostete Zero-Trust-Identitätslösung im Einsatz, die nun verzichtbar wurde, wodurch über einen Zeitraum von drei Jahren weitere 150.000 US-Dollar eingespart werden können.

„Im Grunde finanziert sich die Lösung von Zero Networks selbst. Am meisten schätzen wir es, dass eine Regeländerung für einen Server nicht erst nach Minuten oder Stunden von der Firewall übernommen wird. Es geschieht fast sofort“, erklärt Henderson. Sein Fazit: „Zero Networks hat sich als zuverlässig, einfach zu implementieren, überaus kosteneffizient und transparent für Endbenutzer erwiesen.“