Apttusは、クラウドで生まれました。私たちは、見積もりから入金、契約管理、デジタル商取引、サプライヤー関係管理の各ソリューションを含む、AIを用いたSaaS商品をお客様向けに提供しています。「オールイン」クラウドのアプローチで、世界中の700以上のお客様に対し、より良いサービスを提供してきました。

主にAzureとAWSの強みを活かしながら、クラウド市場に真っ先に飛び込む決断をしました。しかし、当社のグローバルなオペレーションのために、クラウド インフラとアプリケーションへの安全なアクセスを確保する必要がありました。

ビジネスやセキュリティのどのような課題の解決を目指すか

パロアルトネットワークスのVM-Series仮想化次世代ファイアウォールを展開するまで、当社は主に2つのセキュリティ上の課題に直面していました。

一元的なクラウド アクセス管理の欠如

私たちは、「ポッド」を作成していました。ポッドとは基本的に、サービスを作成し、ソリューションを実行するために必要なクラウド リソースのコレクションです。ジャンプ ホストとして機能し、オペレーション チームにポッドへのアクセスを提供する仮想マシン(VM)を、ポッドそれぞれでスピンアップしました。今日では100以上のポッドがあり、各ポッドを利用するには多大な時間とリソースがかかります。既存のアクセス管理モデルでは、十分な可視性や管理性が得られないだけでなく、リソースが浪費され続けます。膨大な時間が無駄になりました。ビジネスの世界では、「時は金なり」です。

遅くて安全でない、ヘアピン留めされたクラウド アクセス モデル

当社では、クラウド リソースにアクセスする場合、一元的にVPNを利用していました。ユーザーや従業員は、当社の事務所経由で、シングル サインオン(SSO)によって接続が許可されていました。そして事務所からデータセンターへ接続する手順になっていました。当社のチームはグローバルで、ユーザーや支社がインドなどの複数の国に散らばっているため、これによって遅延が発生し、システムへの接続に時間がかかっていました。

パロアルトネットワークスVM-Series: クラウド リソースへの分散型アクセス ゲートウェイ

古いやり方は通用しなくなってきました。そこで、新しいアーキテクチャを開発するイニシアチブを立ち上げました。オペレーション チームが事務所を経由しないでも済むようになることと、各ポッドのジャンプ ホストを不要化することを目指しました。この新しいセキュリティ設計の中核となったのが、パロアルトネットワークスのVM-Seriesです。GlobalProtectサブスクリプションをVM-Series仮想化次世代ファイアウォール上で展開し、アクセス ゲートウェイとして機能させました。また、一元的なセキュリティ マネージャーとしてPanoramaを採用しました。VM-SeriesはAzure ADと直結しており、一元的にユーザーを削除できるため、アクセスを管理して単一のアイデンティティ ソースを用いることが可能になりました。さらに、粒度の細かい可視性や管理性を実現しただけでなく、各ポッドをセグメント分けし、互いに隔離することもできるようになりました。

何はともあれ成果について

パロアルトネットワークスのVM-Seriesをクラウドで展開して以来、お客様の課題をピンポイントで特定し、解説するために必要な時間を大幅に短縮することができました。当社は以下の3つの理由でパロアルトネットワークスを選びました。

1. パロアルトネットワークスのVM-Seriesは、Azure ADとネイティブ統合できます。 Azure AD SSOにより、アクティビティや監査証跡を含めた全ユーザーの新人教育や退職手続きを一元管理することができます。
2. Panoramaを通じてファイアウォールを一元管理できる機能は非常に有用でした。設定状態を維持し、すべてのファイアウォール ソフトウェアを最新の状態に保つために、全ファイアウォールを管理することが不可欠です。
3. VM-Seriesは、コードとしてのインフラストラクチャ(IaC)を通じて展開できます。  VM-Seriesは、他のインフラストラクチャ コンポーネントとともに、クラウド内でプログラムを使って数分以内に切り離したり、展開したりすることができます。あらゆる地域で同じプラクティスを再現可能です。

最後に、いくつかの重要な検討事項と提案を記載します。

1. セキュリティを確保できたら、オペレーション機能をIT機能から分離しましょう。そうしなければ、クラウドが実現するせっかくの俊敏性を利用できない可能性があります。
2. セキュリティはクラウドでも拡張できます。Azure ADのような、拡張できるように設計されているクラウドネイティブなサービスを活用しましょう。ユーザーをクラウド内で容易に認証できます。オンプレミスへの接続は不要です。
3. IaCとして管理できるセキュリティ商品を選びましょう。コードとしてのインフラストラクチャを用いるパロアルトネットワークスのおかげで、大変助かりました。高度なセキュリティと少ない遅延を実現し、より短い時間でお客様をサポートして問題を解決することができるようになりました。

Apttus 根植於雲端。我們為客戶提供 AI 驅動的 SaaS 產品，包括報價到現金、合約管理、數位商務和供應商關係管理等解決方案。全面採用雲端的方法幫助我們為全球 700 多家客戶提供更優質的服務。

我們選擇全面運用雲端，充分發揮雲端 (主要是 Azure，也包括 AWS) 提供的優勢。不過，在全球運作時，我們需要設法確保對雲端基礎結構和應用程式進行的存取安全無虞。

有哪些需要解決的業務和安全問題？

在部署 Palo Alto Networks VM-Series 虛擬化新世代防火牆之前，我們面臨兩個關鍵的安全挑戰。

缺乏集中的雲端存取管理

我們建立 pod，這是建立服務和執行解決方案所需的雲端資源集合。對於每個 pod，我們部署虛擬機器 (VM) 作為跳轉主機，讓營運團隊能夠存取 pod。如今，我們有超過 100 個 pod，存取每個 pod 需要許多時間和資源。已有的存取管理模型無法提供可視性或控制，而且非常佔用資源。這會浪費大量的時間，對企業而言，浪費時間就是浪費金錢。

緩慢、不安全且非常浪費的雲端存取模型

我們強制集中使用 VPN 存取雲端資源。使用者和員工必須先連線到我們的公司，才能使用單一登入 (SSO)。接著，他們即可從公司連線到數據中心。我們的團隊成員來自全球各地，在印度和其他許多國家/地區都有使用者和分支機構，因此這會導致系統延遲和連線速度緩慢。

Palo Alto Networks VM-Series：雲端資源的分散式存取閘道

舊的做法已毫無作用。因此，我們首先制定開發架構的計劃，在這個架構中，營運團隊不需要透過公司進行數據路由，每個 pod 也不需要跳轉主機。Palo Alto Networks VM-Series 是這個全新安全設計的核心。我們在 VM-Series 虛擬化新世代防火牆部署 GlobalProtect 訂閱作為存取閘道，並使用 Panorama 作為集中的安全管理工具。由於 VM-Series 直接連線到 Azure AD 集中進行使用者終止，因此我們現在能夠管理存取，並使用單一身分來源。此外，我們獲得精細的可視性和控制能力，還能對 pod 進行相互區隔和隔離。

收益有哪些？我們先來談談成果

自從在雲端中部署 Palo Alto Networks VM-Series 以來，我們已經節省大量用來確認和解決客戶問題的時間。我們基於 3 個原因選擇 Palo Alto Networks：

1. Palo Alto Networks VM-Series 能夠與 Azure AD 進行原生整合。 我們能夠使用 Azure AD SSO 集中控制所有使用者的上線/離線，包括活動和稽核記錄。
2. 透過 Panorama 集中管理防火牆的能力也讓我們受益良多。對於保持最新的設定狀態和所有防火牆軟體版本而言，管理所有防火牆極為重要。
3. VM-Series 可透過基礎結構即程式碼 (IaC) 部署。  我們能夠使用程式編輯的方式，在幾分鐘內將 VM-Series 與其他基礎架構元件部署在雲端中。因此，我們可以在所有地區採用同樣的做法。

下面是我的一些主要想法和建議：

1. 建立安全措施，將營運工作與 IT 區分開：如果不這麼做，可能會犧牲雲端提供的敏捷性效益。
2. 您可以在雲端中擴展安全措施。運用 Azure AD 之類的雲端原生服務，很容易就能擴展安全措施。您可以在雲端中輕鬆驗證使用者，完全不需要連線回內部部署。
3. 選擇可以作為 IaC 進行管理的安全產品。使用基礎結構即程式碼的 Palo Alto Networks 產品幫助我們取得極大的成功。我們實現了高度安全性和低延遲，並縮短了為客戶支援提供解決方案的時間。

Apttus는 클라우드를 기반으로 탄생했습니다. 우리 회사는 QTC(Quote-to-Cash), 계약 관리, 디지털 커머스, 공급업체 관계 관리 솔루션을 비롯한 AI 기반의 SaaS 솔루션을 고객에게 제공합니다. 당사의 "올인" 클라우드 접근 방식은 전 세계 700여 곳에 위치한 고객에게 더욱 개선된 서비스를 제공하는 데 도움이 되고 있습니다.

당사는 클라우드를 서둘러 도입하여 Azure(이전의 AWS)에서 제공하는 이점을 활용하기로 선택했습니다. 그러나 글로벌 운영 업무를 위해서는 클라우드 인프라와 애플리케이션에 대한 액세스를 안전하게 보호할 수 있는 방법이 필요했습니다.

우리 회사가 해결해야 했던 비즈니스 및 보안 문제

우리 회사는 Palo Alto Networks의 VM-Series 가상 차세대 방화벽을 구축하기 전까지는 두 가지 중요한 보안 문제에 직면한 상태였습니다.

중앙화된 클라우드 액세스 관리 부족

우리 회사는 Pod를 만드는데, 이는 특히 서비스를 생성하고 솔루션을 실행하는 데 필요한 클라우드 리소스 컬렉션에 해당합니다. 각 Pod를 사용하여 가상 머신(VM)을 스핀업하는데, 이는 점프 호스트 역할을 하고 운영 팀이 Pod에 액세스할 수 있도록 합니다. 오늘날 우리 회사에는 100여 개의 Pod가 있으며, 각각의 Pod에 액세스하는 데는 많은 시간과 노동력이 투입됩니다. 기존의 액세스 관리 모델은 가시성이나 제어 기능을 제공하지 않으며 리소스 호그로 남게 됩니다. 따라서 막대한 시간이 허비되며, 비즈니스에서 시간 낭비란 곧 비용 손실과 직결되는 일입니다.

느리고 안전하지 않은 헤어피닝 방식의 클라우드 액세스 모델

우리 회사는 클라우드 리소스에 액세스할 경우 중앙화된 VPN 사용을 시행합니다. 당사의 사용자와 직원은 본사를 거쳐 Single Sign-On(SSO)을 사용해 연결을 승인받을 수 있습니다. 그런 다음, 이들은 본사에서 데이터센터로 연결됩니다. 우리 회사의 팀이 전 세계에서 운영 중이고 인도 및 여러 나라에 사용자와 지사가 있다는 점을 감안했을 때, 이런 방식은 지연을 야기하고 시스템 연결 속도를 느리게 만들었습니다.

Palo Alto Networks VM-Series: 클라우드 리소스에 대한 탈중앙식 액세스 게이트웨이

간단히 말해, 기존의 방법은 효과가 없었습니다. 따라서 우리 회사는 운영 팀이 본사를 거쳐 라우팅하지 않아도 되고, 모든 Pod에 점프 호스트가 없어도 되는 아키텍처를 개발하는 이니셔티브를 주도하기 시작했습니다. 이러한 새로운 보안 설계의 중심에는 Palo Alto Networks VM-Series를 배치했습니다. 그런 다음 VM-Series 가상 차세대 방화벽에 GlobalProtect 구독을 구축하여 액세스 게이트웨이로서의 역할을 하도록 했으며, Panorama를 중앙 보안 관리자로 사용할 예정입니다. VM-Series는 중앙에서 사용자를 종료하기 위해 Azure AD에 직접 연결되므로, 이제 액세스를 관리하고 단일한 ID 소스를 사용할 수 있습니다. 그뿐만 아니라 세분화된 가시성, 제어 기능, Pod를 세그먼트로 나누고 따로 격리할 수 있는 기능이 제공됩니다.

중요한 성과에 대한 이야기

클라우드에 Palo Alto Networks VM-Series를 구축한 이후로, 우리 회사는 고객의 문제를 정확하게 파악하고 이를 해결하는 데 필요한 시간이 대폭 줄어들었습니다. 우리 회사가 Palo Alto Networks를 선택하게 된 3가지 이유는 다음과 같습니다.

1. Palo Alto Networks VM-Series는 Azure AD와 기본적으로 통합됩니다. 활동 및 감사 내역을 비롯하여, Azure AD SSO를 통해 모든 사용자의 온/오프 보딩을 중앙에서 제어할 수 있습니다.
2. Panorama를 통해 방화벽을 중앙에서 관리할 수 있는 기능은 매우 큰 이점입니다. 구성 및 모든 방화벽 소프트웨어를 최신 상태로 유지하려면 모든 방화벽을 필수적으로 관리해야 합니다.
3. VM-Series는 IaC(Infrastructure as Code)를 통해 구축할 수 있습니다. 인프라 구성 요소의 나머지와 함께, 클라우드에서 몇 분 내에 VM-Series를 프로그래밍 방식으로 분리하고 구축할 수 있습니다. 이로 인해 당사가 소재한 모든 지역에 걸쳐 전사적인 멱등(idempotent) 처리 방식이 수립됩니다.

몇 가지 중요한 의견과 권장 사항을 말씀드리겠습니다.

1. IT 조직에서 보안과 운영을 분리하십시오. 이렇게 하지 않을 경우 클라우드에서 제공하는 민첩성이라는 이점을 누리지 못하게 될 가능성이 큽니다.
2. 클라우드에서 보안을 확장할 수 있습니다. 처음부터 확장할 수 있도록 제작된 Azure AD 같은 클라우드 기반 서비스를 사용하십시오. 온프레미스에 다시 연결하지 않아도 클라우드 내에서 사용자를 쉽게 인증할 수 있습니다.
3. IaC로 관리할 수 있는 보안 솔루션을 선택하십시오. 우리 회사는 IaC를 사용하는 Palo Alto Networks 솔루션으로 큰 성공을 거두었습니다. 높은 보안 수준, 낮은 지연 시간, 고객 지원 팀의 문제 해결 시간 단축이라는 목표를 달성했습니다.

Apttus heeft zijn oorsprong in de cloud. We bieden onze klanten SaaS-oplossingen die zijn gebaseerd op kunstmatige intelligentie, zoals Quote-to-Cash, Contract Management, Digital Commerce en Supplier Relationship Management. Onze aanpak draait helemaal om de cloud en zorgt ervoor dat we onze ruim 700 klanten wereldwijd optimaal van dienst kunnen zijn.

We hebben ons volledig op de cloud gericht om maximaal te kunnen profiteren van de voordelen die worden geboden door AWS en met name Azure. Maar daarbij hadden we behoefte aan veilige toegang tot onze cloudinfrastructuur en -applicaties.

Welke zakelijke behoeften en beveiligingskwesties speelden er?

Voordat we de gevirtualiseerde hypermoderne firewalls van Palo Alto Networks implementeerden, werden we geconfronteerd met twee belangrijke beveiligingskwesties.

Gebrek aan gecentraliseerd beheer van cloudtoegang

Wij maken pods die alle noodzakelijke cloudresources bevatten voor het opzetten van een service en uitvoeren van onze oplossingen. Met elke pod starten we een virtuele machine die functioneert als jump host en onze operationele medewerkers toegang geeft tot de pod. Op dit moment hebben we 100 pods, en de toegang ertoe was tijdrovend en lastig. Ons huidige model voor toegangsbeheer biedt geen zichtbaarheid en controle, en vergt bovendien veel van onze systemen. Daarbij gaat veel tijd verloren en, in de wereld van 'time is money', betekent dat dus ook verlies van inkomsten.

Trage, onveilige en beperkte cloudtoegang

We dwongen het gebruik af van centrale VPN's voor de toegang tot cloudresources. Onze gebruikers en werknemers moesten eerst verbinding maken via ons hoofdkantoor om zich te kunnen aanmelden met behulp van single sign-on (SSO). Pas dan konden ze verbinding maken met het datacenter. Omdat onze werknemers, gebruikers en kantoren zich op allerlei locaties bevinden in India en diverse andere landen, leidde deze werkwijze tot latency en trage verbindingen met het systeem.

De VM-Series van Palo Alto Networks: een decentrale toegangsgateway voor cloudresources

De oude manier werkte eenvoudigweg niet. Daarom begonnen we met het ontwikkelen van een nieuwe architectuur, die ervoor moest zorgen dat de operationele teams niet langer via het hoofdkantoor verbinding hoefden te maken en we niet langer in elke pod een jump host nodig hadden. De basis van dit nieuwe beveiligingsmodel was de VM-Series van Palo Alto Networks. We gebruiken GlobalProtect op onze VM-Series Virtualized Next-Generation Firewalls als toegangsgateway, en beheren de beveiliging centraal met Panorama. Omdat de VM-Series rechtstreeks verbinding maakt met Azure AD, kunnen we de toegang controleren met een enkele bron voor identiteitsbeheer. Daarnaast beschikken we over gedetailleerd inzicht, uitstekende controlemiddelen en de mogelijkheid om pods te segmenteren en isoleren.

Maar laten we het eens over de resultaten hebben!

Sinds de uitrol van de VM-Series hebben we aanzienlijk bespaard op de hoeveelheid tijd die het kost om problemen van klanten te identificeren en op te lossen. We hebben om 3 redenen gekozen voor Palo Alto Networks:

1. De VM-Series van Palo Alto Networks is volledig geïntegreerd met Azure AD.  We kunnen de on- en off-boarding van gebruikers volledig centraliseren met SSO van Azure AD, inclusief activiteit en audittrajecten.
2. De mogelijkheid om de firewalls centraal te beheren met Panorama is uitstekend. Het goed beheren van firewalls is cruciaal voor het behoud van de juiste configuratie en het up-to-date houden van de software.
3. De VM-Series kan worden geïmplementeerd via Infrastructure as Code (IaC).  We kunnen de VM-Series en de rest van de infrastructuurcomponenten in luttele minuten programmatisch loskoppelen en implementeren in de cloud. Het resultaat is een zeer effectieve werkwijze die op alle locaties identiek is.

Ten slotte volgen hier nog een aantal zaken die het overwegen waard zijn.

1. Gebruik beveiliging om de operationele activiteiten te scheiden van de IT. Als u dat niet doet, benut u de flexibiliteit van de cloud mogelijk niet optimaal.
2. U kunt beveiliging schalen in de cloud. Profiteer van echte cloudservices zoals Azure AD, want die zijn geschikt voor activiteiten op grote schaal. U kunt uw gebruikers eenvoudig authenticeren in de cloud, zonder verbinding te hoeven maken met on-premises systemen.
3. Kies beveiligingsoplossingen die u kunt beheren als IaC. Onze implementatie van Palo Alto Networks met Infrastructure as Code is een groot succes. We beschikken nu over krachtige beveiliging, lage latency en snellere support voor onze klanten.

Apttus è nata nel cloud. Ai nostri clienti proponiamo pacchetti SaaS basati su AI, come soluzioni per il quote-to-cash, la gestione contratti, il commercio digitale e la gestione fornitori. La nostra totale adesione al cloud ci ha permesso di servire al meglio 700 e più clienti in ogni parte del mondo.

Abbiamo scelto di operare esclusivamente sul cloud per sfruttare i vantaggi offerti in primo luogo da Azure, e quindi da AWS. Ci occorreva tuttavia un sistema per effettuare un accesso sicuro alla nostra infrastruttura e alle applicazioni cloud per le nostre operazioni globali.

Quali problemi di business e sicurezza dovevamo risolvere?

Prima di implementare i firewall virtualizzati di nuova generazione VM-Series di Palo Alto Networks, avevamo due problemi di sicurezza.

La mancanza di una gestione centralizzata degli accessi al cloud

Con il termine "pod" identifichiamo una raccolta di risorse cloud necessarie ad attivare un servizio e a eseguire le nostre soluzioni. Ad ogni pod associamo una macchina virtuale (VM), che funge da jump host e fornisce ai team delle operazioni l'accesso al pod. Oggi abbiamo oltre 100 pod e ogni accesso a un pod richiede tempo e risorse. Il modello esistente di gestione degli accessi non offre visibilità o controllo e assorbe notevoli risorse. Viene sprecato molto tempo; e nel business perdere tempo significa perdere denaro.

Un modello lento, insicuro e fragile di accesso al cloud

Per accedere alle risorse cloud è necessario utilizzare una VPN centralizzata. Per effettuare la connessione con un Single Sign-On (SSO), gli utenti e i dipendenti vengono diretti alla nostra sede centrale. Dall'ufficio centrale hanno la possibilità di connettersi al data center. Poiché il nostro team è globale, con utenti e filiali in India e in diversi altri paesi, questo metodo introduce latenza e lenta connettività.

VM-Series di Palo Alto Networks: un gateway di accesso decentralizzato alle risorse cloud

Il nostro vecchio metodo non era più adeguato. Abbiamo quindi sviluppato un'architettura in cui i team delle operazioni non devono più passare per la sede centrale e che non richiede un jump host per ogni pod. La VM-Series di Palo Alto Networks è al centro di questa nuova architettura di sicurezza. Abbiamo scelto la sottoscrizione GlobalProtect sui nostri firewall virtualizzati di nuova generazione VM-Series in modo che agiscano da gateway di accesso, e utilizziamo Panorama come gestore di sicurezza centralizzato. Poiché la VM-Series si connette direttamente ad Azure AD per la terminazione dell'utente centrale, siamo ora in grado di gestire l'accesso e usare un'unica fonte di identità. Abbiamo inoltre ottenuto visibilità e controllo granulari e la possibilità di segmentare e isolare i pod uno dall'altro.

E allora? Guardiamo i risultati

Da quando abbiamo implementato VM-Series di Palo Alto Networks nel cloud, abbiamo ottenuto risparmi di tempo significativi nell'identificazione e risoluzione dei problemi dei clienti. Abbiamo scelto Palo Alto Networks per 3 ragioni:

1. VM-Series di Palo Alto Networks si integra in modo nativo con Azure AD. Siamo in grado di centralizzare il controllo di ingresso/uscita di tutti gli utenti con l'SSO di Azure AD, che include il tracciamento dell'attività e dell'audit.
2. La possibilità di gestire i firewall centralmente con Panorama è un enorme vantaggio. La gestione di tutti i firewall è fondamentale per provvedere agli aggiornamenti della configurazione e del software.
3. Il deployment di VM-Series è eseguibile con IaC (Infrastructure as Code). In pochi minuti possiamo disaccoppiare e distribuire programmaticamente VM-Series nel cloud, insieme al resto dei componenti dell'infrastruttura. L'operazione è idempotente in tutte le nostre regioni.

Alcune considerazioni e raccomandazioni finali:

1. Con la sicurezza, separa le operazioni dall'IT: se non lo fai, rischi di perdere i vantaggi di agilità offerti dal cloud.
2. Puoi scalare la sicurezza nel cloud: sfrutta i vantaggi dei servizi cloud nativi come Azure AD, progettati per scalare. Puoi autenticare facilmente gli utenti nel cloud, non serve la connessione all'infrastruttura locale.
3. Scegli i prodotti di sicurezza gestibili con tecnologia IaC: l'utilizzo di IaC con Palo Alto Networks è stato un successo. Abbiamo ottenuto alti livelli di sicurezza, bassa latenza e abbreviato i tempi di risoluzione dei problemi nell'assistenza clienti.

Entreprise née dans le cloud, Apttus propose diverses solutions SaaS axées sur l’IA : Quote-to-Cash (Q2C), gestion de contrats, commerce numérique, gestion de la relation fournisseur, etc. Notre approche 100 % cloud nous permet d’offrir un service de qualité à plus de 700 clients dans le monde entier.

Si nous avons opté pour une approche cloud-first, c’est avant tout pour exploiter les avantages des plateformes Azure, d'abord, et AWS ensuite. Cependant, il nous fallait trouver un moyen de garantir la sécurité des accès à notre infrastructure et nos applications cloud à l’échelle mondiale.

Problématiques métiers et de sécurité

Avant de déployer les pare-feu virtuels de nouvelle génération Palo Alto Networks VM-Series, nous faisions face à deux grands problèmes de sécurité.

Gestion décentralisée des accès au cloud

Nous créons ce que l’on appelle des « pods ». Concrètement, il s’agit d’un ensemble de ressources cloud qui nous servent à lancer des services et déployer nos solutions. Pour chaque pod, nous devions démarrer une machine virtuelle (VM) agissant comme un « jump host » pour donner l’accès aux équipes opérationnelles. Mais comme nous gérons plus de 100 pods, chaque accès mobilisait énormément de temps et de ressources. Malgré cela, le modèle en place ne fournissait ni la visibilité ni le contrôle nécessaires. Résultat, nous perdions beaucoup de temps. Et comme vous le savez, dans le business, le temps c’est de l’argent.

Modèle d’accès « hairpin » lent et peu sûr

Tout accès aux ressources cloud devait passer par une liaison VPN vers le siège. Là, nos salariés et utilisateurs s’y connectaient via un processus d’authentification unique (Single Sign On, SSO), avant d’être redirigés vers le data center. Or, avec des équipes et bureaux répartis dans le monde entier, y compris en Inde, les connexions au système étaient excessivement lentes et les temps de latence élevés.

Palo Alto Networks VM-Series : une passerelle décentralisée d’accès aux ressources cloud

Les vieilles méthodes avaient tout simplement atteint leurs limites. C’est pourquoi nous avons décidé de développer une architecture éliminant à la fois le passage par le siège et l’utilisation d’un jump host pour chaque pod. Au cœur de cette nouvelle architecture de sécurité se trouvent les pare-feu virtuels de nouvelle génération VM-Series de Palo Alto Networks, sur lesquels nous avons déployé le service GlobalProtect. Ces pare-feu font office de passerelle d’accès, tandis que la console Panorama nous sert à centraliser la gestion de la sécurité. Parce que les VM-Series se connectent directement à l’Azure Active Directory (AD) pour supprimer les comptes utilisateurs en central, nous sommes désormais en mesure d’utiliser une source IDM unique pour gérer les accès. Côté administration, nous bénéficions d’une visibilité et d’un contrôle granulaires, avec la possibilité de segmenter et isoler les pods les uns des autres.

Mais parlons plutôt des résultats

Depuis que nous avons déployé les pare-feu Palo Alto Networks VM-Series dans le cloud, nous avons considérablement réduit les temps d’identification et de résolution des problèmes clients. Si nous avons choisi Palo Alto Networks, c’est d’abord pour trois raisons :

1. Intégration native des pare-feu Palo Alto Networks VM-Series à Azure AD. Le système d’authentification unique d’Azure AD nous permet de centraliser l’ouverture et la fermeture de comptes utilisateurs, avec traçabilité des activités et pistes d’audit.
2. Gestion centralisée des pare-feu via Panorama. Une gestion centrale de tous les pare-feu est essentielle pour maintenir les configurations et logiciels à jour.
3. Déploiement des VM-Series via une infrastructure IaC (Infrastructure as Code). Nous pouvons découpler et déployer programmatiquement les VM-Series et tous les autres composants de l’infrastructure en quelques minutes dans le cloud. Ceci nous permet de mettre en place une procédure idempotente sur l’ensemble de nos régions.

Pour finir, voici quelques recommandations et points à retenir :

1. Pour une meilleure sécurité, séparez les fonctions opérationnelles et informatiques. À défaut, vous risquez de devoir renoncer à l’agilité que vous offre le cloud.
2. Profitez de l’énorme évolutivité du cloud pour votre sécurité. Azure AD et les services cloud du même type ont été conçus dans une optique d’évolutivité. Vous pouvez y authentifier facilement vos utilisateurs, sans passer par le système IAM du siège.
3. Optez pour une sécurité qui peut être gérée sous forme d’infrastructure IaC. Appliqué aux solutions Palo Alto Networks, ce modèle a été une grande réussite pour nous : renforcement de la sécurité, réduction des temps de latence, accélération des délais de résolution, etc.

Apttus nació en la nube. Proporcionamos a nuestros clientes ofertas SaaS basadas en inteligencia artificial, incluyendo soluciones para Quote-to-Cash, gestión de contratos, comercio electrónico y gestión de la relación con los proveedores. Nuestro modelo de nube «todo incluido» nos ha ayudado a prestar un mejor servicio a nuestros más de 700 clientes de todo el mundo.

Elegimos la nube desde el principio para aprovechar las ventajas que ofrecían Azure, principalmente, y AWS. Pero necesitábamos una forma de proteger el acceso a la infraestructura y las aplicaciones en la nube para nuestras operaciones globales.

¿Qué escollos empresariales y de seguridad pretendíamos resolver?

Antes de implementar los cortafuegos de nueva generación virtualizados VM-Series de Palo Alto Networks, nos enfrentábamos a dos problemas de seguridad clave.

Falta de un sistema de gestión de accesos a la nube centralizado

Creamos pods, es decir, una colección de recursos en la nube necesarios para desarrollar un servicio dado y disfrutar de nuestras soluciones. Para cada pod, necesitábamos una máquina virtual (MV) que actuase como host de salto y diese a los equipos de operaciones acceso al pod en cuestión. Hoy en día, contamos con más de 100 pods y el acceso a cada uno de ellos implica una fuerte inversión de tiempo y de recursos. El modelo de gestión de accesos actual no satisface los niveles de visibilidad o control que necesitamos. Además, es un devorador de recursos que exige demasiado tiempo y, en los negocios, perder el tiempo es sinónimo de perder dinero.

Modelo de acceso a la nube lento, inseguro y con demasiadas idas y venidas

Para acceder a los recursos que tenemos en la nube es necesario utilizar una VPN centralizada. Nuestros usuarios y empleados tendrían que pasar por nuestra sede corporativa para poder conectarse mediante el inicio de sesión único (SSO). A continuación, se conectarían al centro de datos desde la sede corporativa. Dado que nuestro equipo está repartido por toda la geografía mundial, con usuarios y sucursales en la India, entre otros países, este método introdujo periodos de latencia y ralentizó las conexiones en el sistema.

Serie VM-Series de Palo Alto Networks: una puerta de enlace descentralizada a los recursos en la nube

El modelo antiguo no nos estaba funcionando. Así que pusimos en marcha una iniciativa para desarrollar una arquitectura que eximiera a los equipos de operaciones de tener que pasar por la sede corporativa, por un lado, y que nos permitiera prescindir de la necesidad de contar con un host de salto en cada pod, por el otro. Este nuevo diseño de seguridad se basaba en la serie VM-Series de Palo Alto Networks. Implementamos la suscripción a GlobalProtect en nuestros cortafuegos de nueva generación virtualizados VM-Series para que hicieran las veces de puerta de enlace de acceso, y estamos utilizando Panorama como gestor de seguridad centralizado. La serie VM-Series se conecta directamente a Azure AD para centralizar la eliminación de cuentas de usuarios, así que ahora podemos gestionar el acceso y utilizar una sola plataforma de identidad. Además, disfrutamos de mayores niveles de visibilidad y control, y podemos segmentar y separar unos pods de otros.

¿Y a mí qué más me da? Hablemos de los resultados

Desde que implementamos la serie VM-Series de Palo Alto Networks en la nube, hemos ahorrado cantidades significativas de tiempo en la identificación y respuesta a los problemas de nuestros clientes. Elegimos Palo Alto Networks por tres motivos:

1. La serie VM-Series de Palo Alto Networks se integra de forma nativa con Azure AD. Podemos centralizar el control de las altas y las bajas de todos los usuarios con el sistema SSO de Azure AD, incluidos los registros de actividad y auditoría.
2. La posibilidad de gestionar los cortafuegos de forma centralizada con Panorama se ha revelado increíblemente beneficiosa. Gestionar todos los cortafuegos es fundamental para preservar la configuración y mantener actualizado todo el software de los cortafuegos.
3. La serie VM-Series se puede implementar a través de una infraestructura como código (IaC). En cuestión de minutos, podemos desacoplar e implementar programáticamente la serie VM-Series y del resto de los componentes de la infraestructura en la nube. Instaura una práctica idempotente en todas nuestras regiones.

Me gustaría concluir con unas cuantas reflexiones y consejos:

1. En cuestión de seguridad, más vale separar las operaciones de las TI. De lo contrario, perderá las ganancias en agilidad que ofrece la nube.
2. La nube le permite escalar la seguridad. Aproveche los servicios creados para la nube, como Azure AD, que están pensados para adaptarse a las necesidades de crecimiento de su empresa. En la nube, los usuarios pueden autenticarse fácilmente sin necesidad de conectarse localmente.
3. Elija una oferta de seguridad que pueda gestionarse como IaC. Para nosotros ha sido un gran acierto elegir la infraestructura como código que ofrece Palo Alto Networks. Hemos alcanzado altos niveles de seguridad, la latencia se mantiene a raya y ahorramos tiempo a la hora de solucionar los problemas de los clientes.

Aptuss wurde in der Cloud gegründet. Wir stellen unseren Kunden KI-gestützte SaaS-Angebote bereit, unter anderem für die globale Auftragsabwicklung vom Angebot bis zur Zahlung (Quote-to-Cash), das Vertragsmanagement, den E-Commerce und das Management der Beziehungen mit Zulieferern. Unser „alles inklusive“-Ansatz hat uns geholfen, unseren über 700 Kunden in aller Welt einen besseren Service zu bieten.

Wir haben uns entschieden, von Anfang an alles in der Cloud zu tun und die Vorteile zu nutzen, die insbesondere Azure und AWS bieten. Dazu brauchten wir jedoch sicheren Zugang zu unserer Cloud-Infrastruktur und zu den Anwendungen für unseren weltweiten Geschäftsbetrieb

Welche Herausforderungen waren in puncto Geschäft und Sicherheit zu bewältigen?

Vor der Installation der virtualisierten Next-Generation Firewalls der Palo Alto Networks VM-Series hatten wir bezüglich der Sicherheit mit zwei großen Herausforderungen zu kämpfen.

Keine zentralisierte Verwaltung des Cloud-Zugriffs

Wir erstellen Pods. So nennen wir die Sammlungen von Cloud-Ressourcen, die zur Bereitstellung unserer Services bzw. zur Ausführung unserer Lösungen erforderlich sind. Für jeden Pod mussten wir eine virtuelle Maschine (VM) starten, die dann als Jump Host agierte und den Betriebsteams den Zugang zu dem Pod ermöglichte. Wir haben über 100 Pods und jeder Zugriff war zeit- und ressourcenintensiv. Trotz des großen Ressourcenverbrauchs hatten wir mit dem alten Modell für das Zugriffsmanagement weder einen guten Überblick noch umfassende Kontrolle. Das hat uns viel Zeit gekostet und im Geschäftsleben ist verschwendete Zeit natürlich verlorenes Geld.

Langsames, unsicheres Zugangsmodell mit langen Umwegen

Früher war der Zugriff auf Cloud-Ressourcen nur über ein zentrales VPN möglich. Unsere Nutzer und Mitarbeiter mussten eine Verbindung zu unserem Hauptsitz herstellen, sich mit Single-Sign-on (SSO) anmelden und dann von dort aus eine Verbindung zum Rechenzentrum herstellen. Für unser weltweit verteiltes Team mit Nutzern und Zweigstellen in Indien und mehreren anderen Ländern bedeutete das zusätzliche Latenz und langsame Verbindungen.

Palo Alto Networks VM-Series: Ein dezentralisiertes Access Gateway zu unseren Cloud-Ressourcen

Diese Arbeitsweise war einfach nicht gut genug. Deshalb haben wir eine Initiative zur Entwicklung einer Architektur gestartet, in der nicht mehr jede Verbindung über unseren Hauptsitz geroutet wurde. Außerdem sollte nicht mehr für jeden Pod ein Jump Host erforderlich sein. Das Kernstück des neuen Designs war die VM-Series von Palo Alto Networks. Wir haben unser Abonnement von GlobalProtect auf der virtualisierten Next-Generation Firewall der VM-Series installiert, wo es als Access Gateway fungiert. Außerdem nutzen wir Panorama für ein zentralisiertes Sicherheitsmanagement. Da die Produkte der VM-Series für die Abmeldung ausscheidender Nutzer eine direkte Verbindung zu Azure AD herstellen, können wir nun eine zentrale Quelle für das Identitäts- und Zugriffsmanagement nutzen. Außerdem haben wir nun eine viel detailliertere Übersicht, nuanciertere Kontrolle und können Pods segmentieren und voneinander isolieren.

Was bringt das? Das Ergebnis

Seit wir die Palo Alto Networks VM-Series in der Cloud nutzen, können wir die Ursachen von Kundenproblemen erheblich schneller finden und beheben. Wir haben uns aus 3 Gründen für Palo Alto Networks entschieden:

1. Native Integration mit Azure AD  Wir können das Einstellen/Ausscheiden von Mitarbeitern zentral über Azure AD SSO verwalten, einschließlich ihrer Aktivitäts- und Auditprotokolle.
2. Zentralisiertes Firewall-Management mit Panorama Die zentralisierte Verwaltung aller Firewalls ist ein riesiger Vorteil. Es ist nun viel einfacher, die Konfiguration und Software sämtlicher Firewalls auf dem neuesten Stand zu halten.
3. Bereitstellung der VM-Series als Infrastructure-as-Code (IaC)  Wir können die VM-Series – ebenso wie die anderen Infrastrukturkomponenten – innerhalb weniger Minuten programmatisch voneinander trennen und einsetzen. Dadurch werden idempotente Prozesse in allen Regionen möglich.

Abschließend möchte ich Ihnen noch einige wichtige Empfehlungen mit auf den Weg geben:

1. Trennen Sie den Sicherheits- vom IT-Betrieb. Wenn Sie das nicht tun, verlieren Sie vermutlich die Flexibilität, die Sie durch die Cloud gewonnen haben.
2. Sie können den Sicherheitsbetrieb in der Cloud skalieren. Nutzen Sie cloudnative Services wie Azure AD, die von Haus aus skalierbar sind. So können Sie Ihre Nutzer einfach in der Cloud authentifizieren, ohne eine Verbindung zu Ihrem Rechenzentrum aufzubauen.
3. Entscheiden Sie sich für Sicherheitslösungen, die als IaC verwaltet werden können. Für uns war die Lösung von Palo Alto Networks im IaC-Modell ein großer Erfolg. Wir haben nun eine sehr sichere Umgebung mit niedriger Latenz und können zudem Kundenprobleme schneller beheben.