Cathay Pacific Security fliegt mit Illumio

Überblick und Herausforderungen

Ihr Name stand auf fast jeder „Who-is-Who“ -Liste der Fluggesellschaften und rangierte unter den Top 10 von der Flugsicherheit bis zum Ticketverkauf.

Diese Auszeichnungen waren für Cathay Pacific so gut wie unvermeidlich, da das Unternehmen sich darauf konzentriert hat, einen erstklassigen Flugbetrieb zu bieten. Als sie jedoch Ziel eines Angriffs wurden, was in der heutigen Cybersicherheitslandschaft eine neue Unvermeidlichkeit ist, konzentrierte sich die in Hongkong ansässige Fluggesellschaft kurzfristig noch einmal verstärkt auf ihr Sicherheitsprogramm.

„Zero Trust und Least Privilege kamen sofort in die Diskussion“, erklärte YC Chan, Head of Infrastructure Engineering bei Cathay. „Wir wussten, dass wir Mikrosegmentierung implementieren mussten, wenn wir unsere kritischsten Anwendungen richtig schützen wollten.“

Wenn das finale Ziel der Mikrosegmentierung darin besteht, seitliche Bewegungen zu verhindern und die wichtigsten Anwendungen zu schützen, müssen Chan und sein Team ihr Netzwerk von Anfang an besser kennen als jeder andere.

Das Team benötigte Einblick in den Application Traffic im gesamten Netzwerk. Darüber hinaus suchte Chan nach einer Lösung, die ihm helfen würde, seine Ziele in Bezug auf Transparenz und Segmentierung so effizient wie möglich zu erreichen.

„Wir verfügten über Erkennungstools, die zwar einen gewissen Überblick und Einblick boten, aber letztlich keine Visualisierung und keinen Policy-Workflow integrierten", so Chan. "Um unsere Ziele bis zum Jahresende zu erreichen, brauchten wir eine Schnittstelle, die uns den Anwendungen- und Workflow-Traffic anzeigt und es uns ermöglicht, schnell und effizient zu handeln, um Datenströme zu blockieren oder zuzulassen.“

Wie Illumio geholfen hat

Chan und sein Team setzten auf Illumio Core und erkannten schnell, dass dies "der einfachste Weg zur Mikrosegmentierung" war.

Mit der Application Dependency Map können sie in Echtzeit alle  Verbindungen zwischen Servern sowie AWS- und Azure-Clouds visualisieren.. Dank dieser Fähigkeit wissen sie, was geschützt werden muss, und können sofort Maßnahmen ergreifen, um Datenströme zu blockieren oder zu genehmigen.

Und mit 600 Anwendungen übertraf das Team die Erwartungen.

Die Möglichkeit, Richtlinien im Testmodus auszuführen, bevor sie durchgesetzt werden, spielte eine wesentliche Rolle für den Erfolg der Bereitstellung bei Cathay. Dies ermöglichte eine kontinuierliche Zusammenarbeit zwischen den Infrastruktur- und Sicherheitsteams und den Anwendungseigentümern.

Wir arbeiten mit den Eigentümern der Anwendungen zusammen, um die Abläufe zu überprüfen und die Policys zu definieren. Man kann von ihnen nicht verlangen, dass sie Firewall-Regeln lesen, aber die App Owner View Map von Illumio und die Beschriftungen in einfacher Sprache machen es ihnen unendlich leichter, die Abläufe zu verstehen und Richtlinien anzuwenden. YC Chan Leiter der Infrastrukturtechnik Cathay Pacific

Das Ergebnis? Ein zuverlässiges, gründliches Verfahren für das Enforcement, das dem Unternehmen half, seinen dringendsten Termin einzuhalten.

„Wir arbeiten mit den Anwendungseigentümern zusammen, um die Abläufe zu überprüfen und bei der Definition von Richtlinien zu helfen", so Chan. "Man kann von ihnen nicht verlangen, dass sie Firewall-Regeln lesen, aber die App Owner View Map von Illumio und die Beschriftungen in einfacher Sprache machen es ihnen unendlich leichter, die Abläufe zu verstehen und Policys anzuwenden. Wir sind sicher, dass unsere Anwendungen mit dem richtigen Maß an Segmentierung geschützt sind - ohne Unterbrechungen beim Enforcement.“

Cathay nutzt Illumio nicht nur zur Verbesserung des internen Schutzes, sondern auch zur Bewältigung einer weiteren Herausforderung:  der Einhaltung der PCI DSS-Vorschriften..

Der Schutz von Karteninhaberdaten ist für Cathay von größter Bedeutung. Mit den Mapping- und Policyerstellungs-Funktionen von Illumio Core kann das Unternehmen viele PCI-Compliance-Anforderungen erfüllen.

Das Team nutzt SecureConnect auch auf über 1.000 Workstations für die sofortige Verschlüsselung von Daten während der Übertragung von Workload zu Workload.

Der alternative Weg für diese Compliance-Initiative bestand in der Installation von Dutzenden von Rechenzentrums-Firewalls zur Absicherung der Callcenter-Büros von Cathay, was geschätzte Kosten in Höhe von 5 Mio. $ ausgemachte hätte. Mit weitaus weniger Aufwand und Ausgaben ist Cathay auf dem besten Weg, PCI-Sorgenfreiheit zu gewährleisten.

Ergebnisse und Vorteile

• Schnelle Amortisierungszeit
  Das Team war schneller als erwartet im Ziel und hatte die  kritischsten und anfälligsten Anwendungen von Cathay vor Erreichen des  angestrebten Termins segmentiert.
• Weniger Risiko, mehr Betriebszeit
  Die Möglichkeit, die Auswirkungen neuer Policys ohne Änderungen am Netzwerk zu testen, gibt den Teams die dringend benötigte Sicherheit, dass das Enforcement der Policys die Anwendungen nicht beeinträchtigen wird.
• Bessere Sichtbarkeit, funktionsübergreifend
  Die Verwendung der Echtzeitkarte zur Einbeziehung von Anwendungseigentümern in den Segmentierungsprozess verbessert die Policy-Genauigkeit und erhöht letztendlich die Sicherheitslage von Cathay.
• Ein klarer Weg zur Konformität
  Das Team spart Millionen an potenziellen Firewall-Kosten für die PCI-Complience und kann auf die Verschlüsselungs-, Visibility- und Segmentierungsfunktionen von Illumio Core zurückgreifen, um die Complience-Vorgaben zu erfüllen.

Immer wenn wir neue Server oder Anwendungen einführen, ist Illumio Teil des Installationsprozesses. Es hat sich als einfach bereitzustellen und zu implementieren erwiesen und hat uns dabei geholfen, anwendungsorientierter zu sein. YC Chan Leiter Infrastrukturtechnik Cathay Pacific