Nigel Williams-Lucas, Leiter der Informationstechnologie bei DTLR, einem in Maryland ansässigen Schuheinzelhändler, stand vor einer Herausforderung, die die meisten IT-Führungskräfte kennen würden: Das Unternehmen drängte auf eine digitale Transformation, und die IT-Infrastruktur hatte Mühe, damit Schritt zu halten.
Die Filialleiter wünschen sich eine bessere Datenanalyse und Business Intelligence von Back-End-Systemen wie Inventar und Verkauf. Das Unternehmen hofft, dass das IT-System die Kunden dabei unterstützen kann, online zu bestellen und die Waren innerhalb von zwei Stunden in der Filiale abzuholen.
Das Netzwerk muss bandbreitenintensive IP-Sicherheitskameras in Echtzeit sicher unterstützen. Williams-Lucas hofft, die Beacon-Technologie auf den Markt zu bringen, ein Netzwerk, das über Bluetooth oder Wi-Fi Informationen über die Aktivitäten der Kunden in den Geschäften sammelt und Rabatte an die Telefone der Kunden senden kann, je nachdem, wo sie sich im Geschäft befinden und was sie kaufen. Scheint interessiert zu sein.
Ein weiteres Problem, das nur bei DTLR auftritt, stellt die IT-Abteilung vor Herausforderungen. Das Unternehmen, das sich auf Turnschuhe, Bekleidung und Accessoires spezialisiert hat, produziert Originalprogramme auf seinem eigenen Radiosender in Maryland. Der Sender ist auch auf dem Weg dorthin. DTLR Radio, das über die mobile App verfügbar ist, überträgt beispielsweise live von den Grammys. Williams-Lucas musste sicherstellen, dass er die Inhalte sicher an die 250 DTLR-Geschäfte übertragen konnte.
Um den Sicherheitsaspekt seiner Liste von Herausforderungen anzugehen, entschied sich Williams-Lucas für ein Network-as-a-Service (NaaS)-Angebot von Cloudflare, das ihn auf den Weg zu Zero Trust brachte, ohne dass er dafür Investitionen tätigen oder Hardware ersetzen musste. Er sagte, dass NaaS ein etwas vager Begriff ist, der für verschiedene Organisationen unterschiedliche Dinge bedeuten kann, aber für DTLR ist NaaS unser schrittweiser Ansatz für Zero Trust.“
Umstellung von IPSec VPN auf die Cloud
Der IT-Stil von DTLR ist ein vorsichtiges Vorgehen in kleinen Schritten. Williams-Lucas sagte: “Ich muss sehr diszipliniert vorgehen, wenn es um die Einführung des Produkts geht. Ich könnte das Unternehmen schließen, aber das würde niemand tun.
“Wir haben nicht viele Ressourcen; wir haben kein großes Ingenieurteam. Ich möchte, dass das Unternehmen wächst, aber ich muss es auf kontrollierte und intelligente Weise tun. Wir müssen unserem Team einen einzigen Überblick verschaffen, um Änderungen, die in unseren Einzelhandelsgeschäften umgesetzt werden, durchführen zu können, ohne dass wir uns jedes einzelne Geschäft ansehen müssen. Wir wollen in der Lage sein, Dinge zu prüfen, um sicherzustellen, dass sie korrekt sind. Für die Netzwerksicherheit muss ich in der Lage sein, den Datenverkehr zu sehen, der ein- und ausgeht.”
DTLR (ehemals Downtown Locker Room) ist für seine Retro-Sneaker wie den Air Jordan bekannt. Leider war auch die IT-Infrastruktur des Unternehmens ziemlich veraltet, mit alter Hardware, die viel Wartung erforderte und der es an den vom Unternehmen benötigten Merkmalen und Funktionen mangelte. “Wir haben immer noch Überbleibsel der alten Infrastruktur, bei der alles lokal war”, sagte Williams-Lucas.
DTLR wechselt in die Cloud, geht dabei aber methodisch vor und migriert einige Ressourcen von seinen VMware-basierten Rechenzentrumsservern zu einem Colocation-Anbieter und andere Ressourcen direkt zu Microsoft Azure.
Bis vor kurzem verließ sich das Unternehmen vollständig auf Standardsoftware - es verwendet Aptos für zentrale Einzelhandelssysteme wie Lagerhaltung und Verkaufsstellen. Vor kurzem hat DTLR jedoch seine eigenen Entwickler eingestellt und möchte zu einer Cloud-first-Entwicklungsumgebung übergehen. Derzeit läuft die Kubernetes-Entwicklungsumgebung des Unternehmens jedoch lokal.
Williams-Lucas arbeitet auch an einem Sicherheitsrahmen aus den 90er Jahren, der IPSec-VPNs umfasst, die die Filialen mit zentralen Standorten verbinden. Dies führte zu einem Single Point of Failure und bot seinem Team nicht die notwendige Transparenz und Kontrolle über den Netzwerkverkehr. ’Aus der IT-Perspektive fehlte es an jeglicher Kontrolle“, sagte er.
Eine sich entwickelnde Beziehung mit Cloudflare
Die Beziehung zwischen DTLR und Cloudflare geht auf das Jahr 2017 zurück, als Williams-Lucas sich für den sicheren DNS-Dienst des Unternehmens anmeldete. Durch die Aggregation aller DNS-Anfragen über Cloudflare kann DTLR bis zu einem gewissen Grad sicherstellen, dass Mitarbeiter keine Verbindungen zu bekannten bösen Seiten herstellen, es erhält Schutz vor DDoS-Angriffen und erhält außerdem einen gewissen Einblick in das, was Mitarbeiter im Netzwerk tun.
Williams-Lucas betrachtet seine Beziehung zu Cloudflare als symbiotisch, da die Bedürfnisse und Anforderungen von DTLR mit dem schnell wachsenden Produktportfolio von Cloudflare übereinstimmen. Er erzählte Cloudflare, dass DTLR die Sicherheit am Rande des Netzwerks verbessern wollte, aber auch nicht über die Investitionsmittel verfügte, um seine Randgeräte zu ersetzen.
Die Antwort ist der Einsatz von Cloudflare Tunnel, einem Netzwerkdienst, der eine sichere, verschlüsselte Verbindung zu Cloudflare bereitstellt, ohne eine routingfähige IP-Adresse preiszugeben. Cloudflare Tunneling ist eine Möglichkeit, Anwendungen in einem Null-Vertrauensmodell bereitzustellen, indem sichergestellt wird, dass alle Ressourcenanforderungen die Sicherheitsfilter von Cloudflare passieren. Williams-Lucas musste seine Firewall nicht ersetzen; er installierte lediglich einen Software-Agenten, der ausschließlich ausgehende Verbindungen zur Cloudflare-Kontrollebene herstellt.
Einer der ersten Vorteile ist die Möglichkeit, den Endpunktverkehr zu verstehen. Er merkte an, dass die Endpunkte des 35 Jahre alten Unternehmens vor dem Service von Cloudflare nie richtig überprüft worden waren. Er entdeckte veraltete Endpunkte, die nicht mehr in Gebrauch waren, und konnte sie abschalten.
Der nächste Schritt ist die Implementierung der Zero-Trust-Zugangskontrolle. Der Cloudflare-Dienst nutzt DTLR Active Directory, das in der Azure-Cloud ausgeführt wird, und setzt eine Zero-Trust-Richtlinie auf der Grundlage von identitätsbasierten Active Directory-Regeln durch.
So müssen beispielsweise Einzelhandelsgeschäfte und Unternehmenszentralen unterschiedlich behandelt werden. In den Geschäften können strenge Zugangskontrollrichtlinien eingeführt werden, aber “wir wollen die Leute in der Unternehmenszentrale nicht unterbieten”, so Williams-Lucas.
Im Zuge der Bereitstellung von Cloudflare NaaS hat sein Entwicklungsteam eine bahnbrechende interne Anwendung fertiggestellt, die sich als “entscheidend für unser Geschäft” erwiesen hat.”
Die Anwendung sammelt und korreliert interne Metriken und stellt diese Daten den Filialleitern zur Verfügung. Zuvor mussten die Filialleiter mehrere Portale aufrufen, um auf Daten zu Kunden, Umsatz, Bestand und mehr zuzugreifen. Jetzt können Filialleiter diese Daten in einer einzigen Ansicht einsehen.
“Die Filialleiter sehen die Zahlen, die für sie wichtig sind, jetzt in Echtzeit”, so Williams Lucas. Die neue App hilft dem Unternehmen, einen zweistündigen Abholservice anzubieten.
Der Vorteil von Cloudflare NaaS besteht darin, dass alle Mitarbeiter, egal welche Art von Gerät sie verwenden oder wo sie sich befinden, über einen sicheren Tunnel auf neue Anwendungen zugreifen können. “Sie alle halten sich an unsere Authentifizierungsregeln, und das alles geschieht in Millisekunden; man klickt einfach und es läuft.”