Ausgangssituation

Im Rahmen eines großen Strategieprogramms richtete der international tätige Versicherungskonzern mit 40.000 Mitarbeitern sein IT Portfolio neu aus. Ziel war es, die Zusammenarbeit zwischen den einzelnen Konzerngesellschaften zu verbessern und verstärkt globale Services zu nutzen. Diese Services sollten an zentraler Stelle neu entstehen und möglichst sicher betrieben werden. Im ersten Schritt sollte eine globale Authentifizierungsplattform sowohl für Kerberos- als auch Token-based Services entstehen.

Lösungsweg

TEAL unterstützte den Kunden bei der Definition der Architektur und der Implementierung dieser globalen Authentifizierungsplattform in zwei neuen Co-located Datacentern. Die Authentifizierungsplattform besteht aus einer Active Directory Architektur auf Basis von Microsofts Enhanced Security Administrative Environment (ESAE, mehr dazu in unserem Blog) für Kerberos-basierte Dienste und einer ADFS Plattform für Token-basierte Applikationen. Administrative Rechte werden durch eine Privileged Access Management (PAM) Lösung nur temporär gewährt, um das Angriffsrisiko von gestohlen Passwörtern (und deren Auswirkungen) zu minimieren. Durch den Einsatz von nahezu ausschließlich Windows Server 2016 Core wurde die Angriffsfläche weiter reduziert. Zukünftig kann die Überwachung der Verwendung von hohen Privilegien durch die vollständige Integration in ein SIEM System und die Kopplung der Rechtevergabe an Change und Incident Tools weiter verbessert werden.

Ergebnis

Durch die neue Authentifizierungsplattform nach ESAE Vorbild, ist die Grundlage für die globalen Shared Services gelegt. Diese Systeme können nun in einer sicheren Umgebung betrieben und dem Endkunden zur Verfügung gestellt werden.

© 2018 TEAL Technology Consulting GmbH