Die internationale Business School INSEAD wurde im Jahr 1957 gegründet. Sie unterhält Campus in Frankreich, Singapur, Abu Dhabi und bald auch in San Francisco. In den Rankings für wirtschaftswissenschaftliche Studiengänge hält die Hochschule mit fast 60.000 Alumni aus 175 Ländern und 166 Nationen eine Spitzenposition.
Vor der Zusammenarbeit mit Cloudflare waren weder die WordPress-Websites von INSEAD noch das Zahlungsportal oder andere externe Applikationen der Hochschule durch eine Web Application Firewall (WAF) geschützt. „Wir hatten zwar eine WAF für lokal gehostete Apps, aber für unsere externen Anwendungen verließen wir uns auf die Sicherheitseinstellungen unseres Providers“ erläutert Ar Kar Oo, Senior Manager für den Bereich Cyber Security. „Wir hatten mit bösartigen Bedrohungen zu kämpfen, die JavaScript-Exploits ausnutzten. Uns wurde klar, dass wir eine WAF brauchten, um uns gegen diese Angriffe zu schützen.“
Handlungsbedarf bestand auch hinsichtlich des Zugriffs auf interne Anwendungen. Er wurde Entwicklern durch eine Kombination aus VPNs und Positivlisten gewährt, doch die Verwaltung dieser Zugriffe war kompliziert und zeitaufwendig. Aus der Sicht von INSEAD war das VPN nicht flexibel genug. Zum Beispiel war es nicht möglich, den Anmeldevorgang mit Single Sign-on (SSO) zu vereinfachen, wenn die Entwickler für verschiedene Umgebungen unterschiedliche Zugangsdaten nutzten.
Anfang 2020 holte INSEAD Cloudflare an Bord und setzte die WAF des Anbieters ein – anfangs nur im kleinen Rahmen, um sich von der Wirksamkeit der Lösung zu überzeugen. Nachdem dieser Test erfolgreich verlaufen war, begann man bei INSEAD damit, die neue WAF für alle Websites und Apps auszurollen.
„Wir verlassen uns weitgehend auf die voreingestellten Regeln der WAF“, so Ar Kar Oo. „Konfiguration und Implementierung verliefen reibungslos. Nur als es darum ging, die Regeln richtig einzustellen und die Protokolle zu prüfen, mussten wir Cloudflare ein paarmal kontaktieren und um Rat fragen. Wenn wir einmal die nötigen Anpassungen für eine bestimmte Website oder App vorgenommen haben, können wir die Konfiguration auch auf andere Ressourcen übertragen – das gefällt uns.“
Die Cloudflare WAF hält nun Monat für Monat rund 100.000 Bedrohungen von den Websites und Anwendungen von INSEAD fern. Außerdem profitiert die Hochschule von den verbesserten Einblicken, die die WAF bietet: „Vorher lagen uns keine detaillierten Informationen zu Cyber-Bedrohungen und zur Höhe des Datenverkehrs vor. Jetzt hingegen können wir genau nachvollziehen, wie Cyber-Kriminelle vorgehen, die versuchen, sich Zugriff auf unsere Websites zu verschaffen“, so Ar Kar Oo. „Wann immer eine WAF-Regel zur Anwendung gekommen ist, erfahren wir das und können weitere Nachforschungen anstellen. Außerdem häufen sich derzeit wieder die DDoS-Angriffe. Dass Cloudflare unsere Websites davor schützt, ist ein zusätzlicher Vorteil.“
Noch während INSEAD die WAF von Cloudflare testete, entschied sich die Hochschule auch für den Einsatz von Cloudflare Access, um den Zugriff auf ihre in der Cloud oder lokal betriebenen Anwendungen auch ohne VPN kontrollieren zu können. „Wir haben sehr viele Apps im Angebot und für sie alle war die höhere Sicherheit und Flexibilität von Vorteil, die Cloudflare Access zu bieten hat“, sagt Alexandre Papadopoulos, Director of Cyber Security bei INSEAD.
„Wir überlegen gerade auch, wie wir die Einsatzmöglichkeiten unserer Umgebung besser ausnutzen können“, ergänzt Ar Kaar Oo. „Mithilfe von Access wollen wir der Tatsache gerecht werden, dass die meisten Nutzer Mobilgeräte einsetzen.“
Papadopoulos ist sich mit Ar Kar Oo einig, dass sich die WAF und das CDN von Cloudflare relativ einfach implementieren ließen. Befürchtungen aus dem Team, dass die Performance für Nutzer in China in Mitleidenschaft gezogen werden könnte, bestätigten sich nicht. „Weil unsere Websites sehr komplex sind, lassen wir bei der Einführung neuer Lösungen große Vorsicht walten“, erklärt Papadopoulos. Access hat auch die interne Effizienz verbessert. Vor der Implementierung der Lösung waren die Admins von INSEAD viel mit standortbasierten Positivlisten beschäftigt. Wann immer sie an einer App etwas ändern wollten, mussten sie Freigaben anfordern, was zu Verzögerungen führte. „Mit Access können wir maßgeschneiderte Richtlinien erstellen und es ist uns gelungen, unsere Abhängigkeit von VPNs und IP-Positivlisten für Entwicklungsumgebungen zu reduzieren. Zudem haben unsere Entwickler und Tester die Möglichkeit, sich standortunabhängig einzuloggen, und wir konnten eine SSO-Lösung einführen, die den Login-Prozess vereinfacht“, erinnert sich Papadopoulos.
„Access lässt sich einfacher verwalten als VPNs und andere Fernzugriffslösungen, was unseren IT-Teams eine große Last von den Schultern genommen hat“, so Papadopoulos weiter. „Sie können sich jetzt auf ihre internen Projekte konzentrieren und müssen ihre Zeit nicht mehr in die Verwaltung von Fernzugriffen investieren.“
INSEAD setzt nicht nur auf Access und die Cloudflare WAF, sondern ist derzeit auch dabei, das Cloudflare CDN zu implementieren. Aktuell stellt die Hochschule rund 1,5 Terabyte an Daten über das CDN bereit.
„Ich kann meinen Kollegen Cloudflare auf jeden Fall empfehlen“, betont Ar Kar Oo. „Ich hatte Cloudflare ja schon vorher benutzt, aber Access kannte ich noch nicht und die Lösung gefällt mir ganz gut.“
„Alles hat gut funktioniert“, betont Papadopoulos. „Cloudflare bietet benutzerfreundliche Lösungen, die einfach implementiert werden können und sich sofort bezahlt machen. Es ist nicht immer leicht, Entwickler von einem Sicherheitsprodukt zu überzeugen. Sie betrachten solche Lösungen oft als etwas, das ihnen Mehrarbeit beschert. Doch gegen Cloudflare hat sich niemand gewehrt und Beschwerden gab es auch nicht. Access und die Cloudflare WAF haben den Entwicklern die Arbeit sogar erleichtert.“
Die WAF von Cloudflare hält monatlich 100.000 Bedrohungen von den Websites und Apps von INSEAD fern.
Dank Cloudflare Access verfügt INSEAD nun über eine SSO-Lösung und ist deutlich weniger auf VPNs und Positivlisten angewiesen.
Mit dem CDN von Cloudflare werden bei INSEAD monatlich rund 1,5 Terabyte an Daten bewegt.
“Cloudflare bietet benutzerfreundliche Lösungen, die einfach implementiert werden können und sich sofort bezahlt machen. Es ist nicht immer leicht, Entwickler von einem Sicherheitsprodukt zu überzeugen. Sie betrachten solche Lösungen oft als etwas, das ihnen Mehrarbeit beschert. Doch gegen Cloudflare hat sich niemand gewehrt und Beschwerden gab es auch nicht. Access und die Cloudflare WAF haben den Entwicklern die Arbeit sogar erleichtert.”
Alexandre Papadopoulos
Director of Cyber Security