Seit ihren Anfängen hat die One Mount Group den Fokus auf Investitionen in Cloud-Infrastruktur und SaaS-Werkzeuge gelegt. Allerdings nutzte sie weiter ihr lokales VPN, um den Fernzugriff auf die firmeneigenen Ressourcen zu ermöglichen. Doch als das Unternehmen wuchs und sich Remote-Arbeit durchsetzte, sorgte diese Lösung zunehmend für Verdruss, was sich irgendwann nicht mehr ignorieren ließ.
Das VPN zu konfigurieren und dabei auftretende Fehler zu beheben kostete die IT-Abteilung von One Mount viel Zeit. Zudem war es teilweise unzuverlässig und langsam, insbesondere bei eingehendem Traffic von SaaS-Apps. Kontrollen auf bestimmte Apps oder Nutzergruppen anzuwenden war teilweise so mühsam, dass die Administratoren manchmal uneingeschränkten Zugang erteilten, wodurch sich das Unternehmen der Gefahr einer lateralen Bewegung ausgesetzt sah.
Die One Mount Group erkannte, dass sie langfristig keinen so großen Vertrauensvorschuss mehr gewähren konnte und die Zugriffsverweigerung zur Standardpraxis machen musste, um das Arbeiten aus dem Homeoffice zu erleichtern und BYOD (Bring-your-own-device)-Initiativen zu unterstützen.
Die Firma nutzt die Performance-Dienste von Cloudflare seit ihrer Gründung zur Absicherung ihrer externen Websites und sah eine Möglichkeit, diesen Schutz durch die Implementierung der Zero Trust-Plattform von Cloudflare auf ihren internen Betrieb auszuweiten. Konkret umfasst die Plattform namens Cloudflare for Teams eine Zero Trust Network Access-Lösung zum Schutz von Anwendungen in Cloud-, On-Premise- und SaaS-Umgebungen sowie eine Secure Web Gateway-Lösung, die Nutzer vor Bedrohungen aus dem Internet schützt.
Um Code-Anpassungen zu erleichtern, mit der Performance und Sicherheit weiter verbessert werden können, griff One Mount außerdem auf Cloudflare Workers zurück. Die Lösung bietet Entwicklern eine serverlose Ausführungsumgebung, mit der sie völlig neue Anwendungen erstellen oder bestehende mit benutzerdefiniertem Code an der Edge erweitern können, ohne die Infrastruktur konfigurieren oder warten zu müssen.
One Mount begann bei der Einführung von Zero Trust mit dem Schutz interner webbasierter Anwendungen und sicherte nach und nach eine größere Zahl vielfältiger Applikationen ab. In jüngster Zeit wurden unter anderem die Proxy-Server-Funktionen von Cloudflare genutzt, um die Authentifizierung für herkömmliche Ressourcen wie das Filesharing zu optimieren, die zuvor nur „im Netzwerk“ von einem One-Mount-Bürostandort aus zugänglich waren.
One Mount schützt heute Hunderte von Anwendungen für Hunderte von Angestellten, Freiberuflern und Auftragnehmern. Für die nahe Zukunft plant das Unternehmen, seine VPN-Nutzung insgesamt zu reduzieren. Künftig sollen fast alle zum Schutz von Anwendungen erforderlichen Arbeitsabläufe automatisiert werden. Dafür will man einen von Cloudflare unterstützten Infrastructure as Code-Ansatz verfolgen.
„Die Entscheidung für Zero Trust ist uns sehr leicht gefallen. Wir wollen ein rein internetbasiertes Unternehmen sein, alles in der Cloud haben und nicht durch einen firmeneigenen Netzwerkperimeter eingeschränkt werden“, so Cybersecurity-Chef Pham Anh Liêm. „Deshalb passt die Zero Trust-Plattform von Cloudflare so hervorragend zu uns.“
Besonders schätzt One Mount die von Cloudflare gebotene Flexibilität, mehrere Identitätsanbieter (Identity Providers –IdPs) gleichzeitig einzubinden. Cloudflare ermöglicht eine unkomplizierte Erstellung von gruppen- und identitätsbasierten Richtlinien, insbesondere im Vergleich zu der langwierigen und fehleranfälligen Konfiguration eines VPN.
„Cloudflare hat uns eine Menge Zeit erspart“, sagt Liêm. „Wenn wir eine neue Anwendung entwickeln, können wir einfach und problemlos Schutzmaßnahmen auf Grundlage des IdP unserer Wahl hinzuzufügen.“
Die gleiche Flexibilität gilt auch für die Integration mit Software zum Schutz von Endpunkten (Enpoint Protection – EPP). Konkret nutzt das Unternehmen die Integration von Cloudflare mit seinem bevorzugten EPP-Anbieter, um gerätebezogene Zugriffsrichtlinien einzurichten, die geringstmöglichste Rechte einräumen. Durch diese Integration werden Transparenz und Sicherheit verstärkt, was es One Mount ermöglicht, BYOD in vollem Umfang zu nutzen. Die Firma plant, den Geräte-Client von Cloudflare bis Ende 2021 auf allen Endgeräten ihrer Beschäftigten einzuführen.
„Bei einer so großen Zahl von Remote-Mitarbeitenden kann man nicht jedem Gerät trauen. Deshalb müssen wir sicherstellen, dass jede Anfrage an unsere Systeme anhand der richtigen Faktoren überprüft wird, bevor wir Zugriff gewähren“, erläutert Liêm.
Dieser Zero Trust-Ansatz wird auch auf das Surfen im Internet ausgeweitet, indem das Unternehmen Filter anwendet und die Transparenz auf die ausgehenden Verbindungen seiner Nutzer ausdehnt. Vor dem Einsatz von Cloudflare waren die Nutzer nur dann vor Malware und riskanten Internet-Zielen geschützt, wenn sie an einem Bürostandort von One Mount arbeiteten.
„Wir wollen, dass unsere Beschäftigten im Internet jederzeit und überall sicher sind – nicht nur, wenn sie sich im Firmennetzwerk befinden“, erklärt Liêm.
Das Unternehmen freut sich darauf, im Zuge seines Wachstums seinen cloudbasierten Zero Trust-Ansatz mit Cloudflare zu skalieren.
„Wir zählen zu den ersten Unternehmen in Vietnam, die vollständig in der öffentlichen Cloud gehostete Finanzdienstleistungen anbieten“, sagt Liêm. „Und wenn es darum geht, unsere Ziele in Sachen Zero Trust zu erreichen, ist Cloudflare ein wichtiger Partner für uns.“
Die Serverless-Plattform Cloudflare Workers wird von One Mount für eine Vielzahl von Anwendungsfällen genutzt, darunter das Auslagern von Backend-Verarbeitung, die Bearbeitung seltener, aber umfangreicher Aufgaben und die Entwicklung von Perimeter-Sicherheitslösungen für dynamische Zugangskontrolle, dynamische IP-Zulassungslisten und Betrugserkennung. Fast alle diese Anwendungsfälle sind für den internen Betrieb des Unternehmens entscheidend.
„Workers bietet uns die Kernelemente, die wir zur Bewältigung unserer schwierigsten Anwendungsfälle benötigen“, erklärt Phạm Anh Liêm. „Für unsere Anforderungen an Serverless-Lösungen ist es eine großartige Wahl.“
One Mount hat Workers mit der WAF und DDoS-Abwehr von Cloudflare integriert, um Betrug bei Sonderaktionen zu verhindern. So veranstaltet One Mount beispielsweise virtuelle Werbeaktionen, bei denen Millionen von Nutzern in kurzer Zeit um Aktionsgutscheine oder Produkte in limitierter Auflage konkurrieren. Durch die Verwendung von Workers zur Integration von benutzerdefiniertem Code in die WAF und den DDoS-Schutz verhindert One Mount, dass Angreifer die Gutscheine oder Produkte mithilfe automatisierter Skripte ergattern und legitime Kunden am Ende mit leeren Händen dastehen.
Mit Cloudflare Workers kann One Mount zur Ausführung der Befehle ganz leicht die Rechenleistung an dem Punkt nutzen, der den Endnutzern am nächsten ist, und dann mithilfe der Cloudflare-WAF missbräuchliche Aktivitäten blockieren – ohne sich dabei Gedanken über die Skalierung der zugrunde liegenden Infrastruktur machen zu müssen. Ohne Workers wäre es für das Unternehmen äußerst schwierig, diese Schutzmaßnahmen zu entwickeln, zu implementieren und automatisch im Backend zu skalieren, ohne die Benutzerfreundlichkeit zu beeinträchtigen.
„Mit Workers können unsere Entwickler Code schreiben und sofort Ergebnisse sehen“, stellt Phạm Anh Liêm fest. „Dadurch sind unsere Entwicklungs- und Betriebskosten enorm gesunken und die Art und Weise, wie wir unsere Produkte herstellen, hat sich stark verändert.“
Beschäftigte von One Mount können jetzt sicher auf Hunderte interne Anwendungen zugreifen.
Sie werden vor Bedrohungen aus dem Internet geschützt – wie auch immer diese aussehen mögen.
Mit Cloudflare Workers kann One Mount nicht nur komplexe Probleme lösen, sondern auch die Entwicklungs- und Betriebskosten enorm senken.
“Die Entscheidung für Zero Trust ist uns sehr leicht gefallen. Wir wollen ein rein internetbasiertes Unternehmen sein, alles in der Cloud haben und nicht durch einen firmeneigenen Netzwerkperimeter eingeschränkt werden. Deshalb passt die Zero Trust-Plattform von Cloudflare so hervorragend zu uns.”
Phạm Anh Liêm
Director of Cyber Security
“Wir zählen zu den ersten Unternehmen in Vietnam, die vollständig in der Cloud gehostete digitale Finanzdienstleistungen anbieten. Wenn es darum geht, unsere Ziele in Sachen Zero Trust zu erreichen, ist Cloudflare ein wichtiger Partner für uns.”
Phạm Anh Liêm
Director of Cyber Security