Einbindung und Betrieb eines Cloud-Proxy-Dienstes bei einem Großkonzern
09.01.23 / mit Johannes Heinen sprach Christiane Zweipfennig
aus dem Netzwerk Insider Januar 2023
Der tägliche Zugriff von Mitarbeitern auf Webseiten ist für viele Unternehmen das größte Einfallstor für Cyberangriffe und Malware. Besonders für Konzerne mit vielen europa- oder weltweiten Niederlassungen oder einer großen Anzahl von mobilen Mitarbeitern ist der Einsatz eines Cloud-Proxy-Services eine effektive Gegenmaßnahme.
Johannes Heinen ist seit fast zehn Jahren bei ComConsult tätig. Vorrangig plant er im Competence Center Netze WLAN und Aktivitäten von Netzwerken und hat hier auch Bauabnahmen durchgeführt. Im Detail befasst er sich mit Site Surveys, der Planung, Konfiguration und dem Einbau von Komponenten wie Switches und Router. Seit Anfang des Jahres arbeitet er im Team des ComConsult Competence Centers IT-Sicherheit mit an einem großen Projekt.
Johannes, worum geht es in diesem Projekt?
Ein großer deutscher Konzern wollte ein Sicherheits-Tool einführen, um seinen Internet-Traffic zu regulieren und eine neue, einheitliche Architektur des Internetzugangs für die Benutzer zu schaffen. Das Unternehmen hatte sich für den Cloud-Proxy-Dienst einer der weltweit größten Cloud-Sicherheitsplattformen entschieden.
Was bietet dieser Cloud-Proxy-Dienst?
Auf den Rechnern des Kunden wird ein Client installiert, der automatisch erkennt, ob ein User auf das Internet, eine SaaS-Anwendung oder eine interne Anwendung zugreifen will und der den Traffic entsprechend an das Administrationsportal des Cloud-Proxy-Dienstes weiterleitet.
Das Tool ist sehr groß und bietet vielseitige Monitoring-Möglichkeiten, um den Internet-Traffic auszuwerten. In dem Online-Portal kann man aus den verschiedensten Filterregeln wählen. Es können auch selbstständig neue Filterregeln und automatische Berichterstattungen erstellt werden, die über gewünschte Ereignisse berichten. Es bietet vielfältige Optionen des Live-Monitorings in Form von Graphen, Auswertungen und zudem sehr umfangreiche Möglichkeiten durch in der Vergangenheit protokollierte Ereignisse und Suchanfragen Fehler und Probleme zu identifizieren und zu lösen.
In welchem Umfang kommt der Dienst beim Kunden zum Einsatz?
Der Dienst ist ein riesiges Konstrukt, das in das existierende Netz unseres Kunden integriert ist. In das Tool sind rund 400.000 Geräte für ungefähr 25 Standorte weltweit eingebunden.
Zu welchem Zeitpunkt bist du in das Projekt eingestiegen?
Ich bin seit Anfang des Jahres, also seit über zehn Monaten dabei. Zu diesem Zeitpunkt war das Tool bereits implementiert. Wir sind jetzt in der Phase der Betriebsübergabe. Wir übergeben das Handling des Tools, das Troubleshooting und die täglichen Abläufe grade an das Betriebsteam des Kunden.
Zu deinen Aufgaben zählt die Absprache mit dem Kunden über die Netzwerkumstellungen in den einzelnen Lokationen.
Ja. Ich stehe in direktem Kontakt mit den Mitarbeitern der Betriebsteams an verschiedenen Standorten wie beispielsweise Indien, Belgien oder Spanien. Jeder Standort hat spezielle Ansprüche an sein Routing. Ich beschäftige mich zum Beispiel mit „PAC-Files“. Darunter versteht man Dateien, auf die man im Browser verweisen kann. In dem File sind bestimmte Routing-Kriterien aufgeführt, die von oben nach unten gelesen werden und vorgeben, über welche IP-Adressen geroutet wird. Es wird also ein „White Listing“ erstellt. Ich kümmere mich ebenfalls um neue Proxy-Regeln, damit der Zugang auf bestimmte Webseiten gewährleistet ist. Wir helfen dabei, diese Regeln über den Cloud-Proxy-Dienst zu integrieren. Es gibt jedoch auch Themen, die über die Arbeit mit dem Cloud-Proxy-Dienst hinausgehen. Aktuell habe ich mich beispielsweise beim Standort in Brüssel mit einer Monitoring-Software beschäftigt. Dieses Tool soll gewisse IT-Services analysieren, was in Brüssel nicht funktionierte, weil die Anwendung über einen falschen Port angeschlossen war. Das Monitoring-Tool konnte aus diesem Grund nicht gemeinsam Syslog- und SNMP-Traffic empfangen und protokollieren. Ich habe aus diesem Grund veranlasst, den Port zu ändern und in einem Meeting mit allen involvierten Parteien dafür gesorgt, dass der Change problemlos und ohne Ausfallzeiten durchgeführt wird.
Wie läuft eine solche Umstellung ab?
Bei allen großen Umstellungen ist es wichtig, die Prozesse des Unternehmens einzuhalten. Daran sind unter Umständen mehrere Abteilungen und Managed Service Provider (MSP) beteiligt, die alle notwendigen Informationen brauchen. Die Kommunikation zwischen allen herzustellen ist manchmal eine Herausforderung. Unsere Aufgabe ist es, den Überblick zu behalten.
Bei dem eben erwähnten Vorhaben, den Port in Brüssel zu ändern, habe ich ein Meeting mit dem IT-Verantwortlichen in Brüssel, einem Mitarbeiter des MSP (Managed Service Provider) und mir vereinbart. Zum Zeitpunkt der Umstellung musste der verantwortliche Mitarbeiter in Brüssel im Serverraum sitzen, um das Kabel in Abstimmung mit dem Mitarbeiter des MSP umzustecken, welcher für die Änderung der Konfiguration auf der Firewall zuständig war. In diesem Fall ein Schwenk von Port A auf Port B. Meine Aufgabe war es, diesen Ablauf zu planen, zu koordinieren, zu überwachen, zu dokumentieren und danach das Betriebsteam zu informieren, damit es weiß, was geändert wurde.
Was waren typische Probleme, die bei der täglichen Arbeit mit dem Dienst aufgetreten sind?
Am Standort in Indien hatten einige User Probleme, mit Microsoft 365 zu kommunizieren. Wir haben mithilfe des Cloud-Proxy-Dienstes einen Schedule-Report konfiguriert, der zu bestimmten Zeiten rausgeschickt wurde. Wir konnten darüber bestimmte Clients überwachen und haben über die so gewonnenen Daten feststellen können, wo das Problem lag. Dann haben wir auf dieser Grundlage mit den Support-Teams in Indien und am deutschen Hauptsitz eine Lösung erarbeitet.
Ein anderes Problem tauchte bei dem eingangs erwähnten Softwareagent auf, der auf jedem Rechner installiert ist. Er ist für verschiedene Betriebssysteme wie Mac, Linux und Windows versioniert. In einer Version gab es eine Bug, die leider noch bei vielen Usern ausgerollt war. Ich habe aus unserer Datenbank im Administrationsdashboard herausgefiltert, bei welchen Usern das Problem auftauchte, eine Liste der betroffenen Rechnernamen erstellt und diese an unseren Kunden geschickt. Anhand dieser Liste konnte das Support-Team des Kunden die fehlerhaften Versionen auf den aufgeführten Rechnern manuell updaten, was aufgrund des Bugs automatisch nicht möglich war.
Du beschäftigst dich auch mit globalen Filterlisten.
Ja. Globale Filterlisten sollen verhindern, dass User auf bestimmte Webseiten zugreifen können. In Indien ist zum Beispiel der Zugriff auf Seiten mit pornographischem Inhalt verboten. Für das Troubleshooting der globalen Filter eignen sich diese Seiten sehr gut, denn wenn diese Seiten nicht geöffnet werden können, wissen wir, dass alles funktioniert. Je nach Standort gibt es unterschiedliche Einschränkungen, die wir unter allen Lokationen abstimmen müssen. Wenn beispielsweise ein indischer Mitarbeiter an einem deutschen Standort arbeitet, bei dem andere Rechte als in Indien gelten, muss mit dem Kunden abgesprochen werden, ob ein Sonderfall vorliegt und welche Zugriffsrechte für ihn gelten.
Du bist für die Aktualisierung und Modernisierung von Betriebsdokumentationen zuständig. Was beinhaltet das?
Uns stehen Netzwerkzeichnungen und -pläne der jeweiligen Lokationen zur Verfügung. Dort können wir sehen, wie das Netzwerk aufgebaut und in welche VLANs es unterteilt ist, welche IP-Adressen die Router haben und so weiter. Meine Aufgabe ist es, diese Pläne zu vereinheitlichen und in ein neues Schema zu überführen, um sie konzernübergreifend anzugleichen. Ich bearbeite die Betriebshandbücher, in denen detailliert beschrieben ist, wie der Cloud-Proxy-Dienst funktioniert, welche Regeln vorliegen, welche IP-Adressen es gibt und vieles mehr.
Wie sieht dein Arbeitstag beim Kunden aus?
Bei unserem Netzwerkteam kommen ständig neue Aufgaben an. Zum größten Teil sind das Support-Tätigkeiten und ich erhalte Anfragen wie „Wir haben hier fünf Mitarbeiter, die nicht ins Internet kommen“ und Ähnliches. Ich habe heute erst wieder ein neues Ticket eröffnet, mein Kollege drei oder vier und meine Kollegin hatte heute schon mehrere Meetings. Und wenn mal keine Arbeit akut ansteht, suche ich mir eine Aufgabe. Ich habe ja eben davon erzählt, dass uns aufgefallen war, dass es noch alte Versionen der Clients auf den Rechnern gab, die sich nicht automatisch aktualisierten. Da ist es in unserer Verantwortung, uns diese Arbeiten zu suchen und beim Projektmanager des Kunden auf das Problem hinzuweisen und abzusprechen, ob wir uns darum kümmern sollen. Die Initiative liegt also bei uns, solche Fehler aufzudecken und sie zu beseitigen.
Was steht heute noch auf deiner To-do-Liste?
Wir hatten vor Kurzem einen Change in Brüssel. Heute werde ich noch die Netzwerkzeichnung fertig machen und an den Kunden übergeben. In das Betriebshandbuch werde ich eine Rückmeldung einarbeiten, die ich gestern erhalten habe und danach die finale Version an den Kunden zur Abnahme schicken. Damit ist in Brüssel alles erledigt. Für uns heißt es dann abschließend: „Wir übergeben die Lokation an den Betrieb.“ Von diesem Zeitpunkt an sind wir nicht mehr für diesen Standort zuständig, sondern das verantwortliche Betriebsteam des Kunden. Ziel ist es, dass bis zum Ende des Jahres der Betrieb des Cloud-Proxy-Dienstes an allen Standorten an den Kunden übergeben ist.