Podcast: Identitätsbasierte Proxys, VPNs und Geschäftskontinuität

Informationen

Patrick Sullivan, CTO of Security Strategy bei Akamai, spricht mit Patrick Gray, dem Host von Risky Business, einem sehr empfehlenswerten Podcast für Informationssicherheitsexperten. Sie diskutieren darüber, warum die Bedeutung identitätsbasierter Proxys immer mehr zunimmt, wenn neue externe Nutzern mit mehr internen Anwendungen versorgt werden, und was Akamai in den letzten Wochen in ihrem Netzwerk aufgefallen ist.

Akamai unterstützt Kunden auf der ganzen Welt dabei, ihre Remote-Mitarbeiter zu schützen und zu verwalten.

Transkript

Patrick Gray:
Hallo zusammen und herzlich willkommen zu dieser speziellen Soapbox-Ausgabe des Risky Business-Podcasts. Mein Name ist Patrick Gray. Diese Soapbox-Podcasts, die wir hier bei Risky.biz veranstalten, werden vollständig gesponsert. Jeder, den Sie in einer Soapbox-Ausgabe dieser Show hören, hat also dafür bezahlt, hier zu sein. Aber das ist ganz in Ordnung, weil wir interessante und großartige Sponsoren auswählen, die im Allgemeinen interessante Dinge zu sagen haben.

Diese Ausgabe des Soapbox-Podcasts wird von Akamai bereitgestellt. Ist schon witzig, denn dieser Podcast-Slot wurde bereits im letzten Jahr gebucht. Und nun, Monate später, befinden wir uns alle plötzlich in dieser schrecklichen Krise, und Akamai ist wirklich mittendrin. Zurzeit gibt es natürlich überall riesige Veränderungen. Unmengen von Menschen müssen zu Hause bleiben und bewegen sich stattdessen im Internet. Dementsprechend viel Traffic geht hin und her. Die Röhren bei Akamai werden dabei ganz schön auf die Probe gestellt.

Akamai ist nicht nur Anbieter von CDN (Content Delivery Network; Netzwerk zur Inhaltsbereitstellung) und DDoS-Abwehrmaßnahmen, sondern war auch eines der ersten Unternehmen, das einen identitätsbasierten Proxy angeboten hat. Inzwischen nutzt eine ganze Reihe von Unternehmen identitätsbasierte Proxys, um neue externe Nutzer mit internen Anwendungen zu versorgen. Unternehmen können davon zurzeit gar nicht genug bekommen. In diesem Podcast werden wir uns daher etwas darüber unterhalten. Sicher, es spricht einiges für diesen Ansatz, statt allen einfach VPN-Zugriff bereitzustellen und sie auf Ihr LAN abzuwälzen, wo sich dann alle drängeln. Diese identitätsbasierten Proxys eignen sich hervorragend für alle Inhalte, auf die normalerweise mit einem Browser zugegriffen wird, einschließlich interner Anwendungen.

[00:01:45.29]
Bei nicht-webbasierten Anwendungen wie Thick-Client-Anwendungen wird es schon ein wenig komplizierter. Darüber werden wir auch reden. Eine weitere nette Sache bei diesen Proxys im Vergleich zu einem VPN-Konzentrator –also IhrVPN-Gatewayund IhrVPN-Konzentrator – ist, dass DDoS-Angriffe ganz leicht auszuführen sind. Akamai auszuschalten, ist natürlich ein bisschen schwieriger. Man kann Sie also nicht so leicht gegen Lösegeld offline setzen. Auch das werden wir uns in dem Interview genauer ansehen. Ich vermute mal, dass ein Ausschalten von VPN-Gateways gegen Lösegeld im Verlauf dieser Krise leider immer mehr ansteigen wird. All das und mehr im Interview. Vielleicht sollte ich Ihnen zuerst mal sagen, mit wem ich mich in diesem Podcast unterhalte.

Unser heutiger Gast ist Patrick Sullivan, CTO of Security Strategy bei Akamai. Gleich als wir uns trafen, hat er mir erklärt, was ein identitätsbasierter Proxy eigentlich ist. Hier also Patrick Sullivan.

[00:02:38.64]
Patrick Sullivan (Akamai):
Das wichtigste Ziel besteht darin, die Nutzer aus einem privilegierten Netzwerksegment herauszunehmen. Das zu verteidigen, hat sich immer wieder als sehr schwierig erwiesen. Statt also –

Patrick Gray:
Im Grunde geht es doch darum, den VPN-Zugriff zu stoppen. Das steckt doch dahinter, oder?

[00:02:55.41]
Patrick Sullivan (Akamai):
Ja, genau. Es ist ein ganz anderes Zugriffsmodell. Statt also den Zugriff hauptsächlich darauf zu basieren, wo in der Netzwerktopologie Sie sich befinden, ist Ihr Standort in der Netzwerktopologie hier irrelevant.

Wichtig sind Ihre Identität, Ihre Fähigkeit für eine starke Authentifizierung, die Sicherheit Ihres Geräts und dann die Rolle mit den geringsten Rechten im Unternehmen. Mir als technischer Nutzer würde beispielsweise indirekter Zugriff gewährt. Der Proxy überprüft alle meine Anfragen und protokolliert sie möglicherweise in einer Software oder Produktivitätssuite, aber ich hätte keinen Zugriff auf sensible HR-Anwendungen innerhalb von Unternehmens- oder Finanzanwendungen, da meine Rolle mir keinen triftigen Zugriffsgrund gewährt.

Wenn Sie also ein typisches VPN verwenden und einen Port-Scan durchführen, sehen Sie viele offene Ports und viele potenziell fehlerhafte IP-Adressen, die eine Verbindung zu Ihrem Netzwerk herstellen, was alles ein Risiko darstellt. Mit dem EAA-Modell führen Sie einen Port-Scan durch und Sie sehen im Grunde die IP-Adresse eines Proxys, der Ihre Identität versteht und Ihnen indirekten Zugriff auf die Anwendungen gewährt, die für Ihre Rolle erforderlich sind.

[00:04:12.11]
Patrick Gray:
Also identitätsbasiert und in gewisser Hinsicht anwendungsbewusst. Die Idee dahinter ist also, dass ich als Nutzer mich über Duo bei meinem Okta-SSO (Single-Sign-On) authentifizieren kann, was dann den identitätsbasierten Proxy von Akamai anweist, mich mit verschiedenen Anwendungen zu verbinden, die sich möglicherweise sogar im LAN befinden, richtig? Das ist also eine Möglichkeit, ältere Anwendungen von innerhalb eines Unternehmens nach außen zu verschieben, ohne dass Sie sofort gehackt werden. So kann man das doch zusammengefasst sagen, oder?

[00:04:42.0]
Patrick Sullivan (Akamai):
Ja, genau. Im Prinzip veröffentlichen Sie Anwendungen durch Installation einer Software, also eines Connectors, der auf einer VM im LAN für das Anwendungs-Hosting ausgeführt wird, ganz gleich, ob es sich um Ihre eigene Colocation oder Ihre Infrastruktur als Serviceprovider handelt – dieser Connector ist eine Diode. Er stellt eine Verbindung nach außen her, sodass in Ihrem Mikronetzwerk keine eingehenden Verbindungen akzeptiert werden müssen.

Sie brauchen diese ausgehende Verbindung nur wiederzuverwenden, und die Endnutzer verbinden sich dann an der Edge des Netzwerks mit dem identitätsbasierten Proxy. Dadurch wird zunächst für eine starke Authentifizierung gesorgt. Dabei kann es sich um eine native oder eine Multi-Faktor-Authentifizierung, also MFA, von Drittanbietern handeln.

Dann wäre auch ersichtlich, wo Identitätsinformationen abgeleitet werden können. Es könnte IDaaS (Identity as a Service) sein oder ein lokales Verzeichnis. Von dort würde ein indirekter Zugriff mit den geringsten Rechten auf diese Anwendungen erzwungen. Bei diesem Modell sind Sie also nicht im Netzwerk. Sie haben keine Berechtigung im Netzwerk. Selbst als authentifizierter Nutzer. Sie wurden sozusagen ausgelagert. Wir bemühen uns wirklich, die Bedrohung durch laterale Bewegungen an den empfindlichen Stellen bei Unternehmensanwendungen zu reduzieren.

[00:05:57.27]
Patrick Gray:
Etwas, das mir daran wirklich gefällt, ist der 2020-Ansatz. Es ist ein moderner Ansatz für den Zugriff auf ältere Anwendungen, wobei wir trotzdem nicht auf wunderbare Dinge wie moderne CASB, risikobasierte Authentifizierung und vieles mehr verzichten müssen.

Wenn man das mit diesen Technologien kombiniert, erreicht man wahrscheinlich eine bessere Authentifizierung und mehr Vertrauen in die Nutzer, selbst wenn sie sich von außerhalb des Unternehmens verbinden.

Aber lassen Sie uns noch einmal über das Prinzipielle reden. Denn das Problem bei dieser Art von Technologie war ja schon immer, dass es nicht unbedingt so einfach ist, wie es klingt, dass alles automatisch funktioniert. Dieses Produkt, über das Sie gerade sprechen, ist, glaube ich, bereits seit etwa vier Jahren im Akamai-Portfolio enthalten. In diesem Bereich gibt es jetzt aber viel mehr Mitbewerber. Von Microsoft über CloudFlare bis hin zu F5 – es gibt viele Leute, die das jetzt machen. Welche Argumente gibt es dafür, wie einfach das Ganze ist? In den letzten Wochen haben Sie sicherlich einige Projekte hierzu gestartet. Überzeugen Sie mich.

[00:07:06.84]
Patrick Sullivan (Akamai):
Ja, wir hatten wirklich einiges zu tun. Unternehmen wünschen sich vielfach, das Internet als Unternehmens-WAN zu nutzen und die Sicherheit auf die Anwendungsebene zu verlagern. Ich glaube, dass viele Menschen sich im Jahr 2020 in einer Lage wiederfinden, wo diese Erweiterung des Remotezugriffs der entscheidende Teil dieses Zugriffsmodells ist.

Der Schlüssel für Akamai liegt also darin, dass wir dies auf einer einzigartigen Plattform aufbauen, bei der wir solche Anfragen direkt an der Edge des Netzwerks abfangen können, wo die größte Kapazität vorhanden ist. Wir können unsere gesamte 20-jährige Erfahrung dafür nutzen, diese Transaktionen im Hinblick auf Endnutzer-Performance, Verfügbarkeit, Skalierbarkeit usw. zu beschleunigen. Und dann wäre da die Port- und Protokollunterstützung. Also nicht nur Unterstützung für Webanwendungen und RDP, sondern auch für willkürliche Ports und Protokolle im selben Modell.

[00:08:04.68]
Patrick Gray:
Ja, da wird es interessant, nicht wahr? Und zwar weil jeder irgendwie einen Webproxy zusammenbauen kann, der dann eine Verbindung zu all diesen CASB-Brokern herstellt. Gehört doch alles zum Internet, oder? Genau wie alles, was über das Internet ausgegeben wird – alles im Web, alles kein Problem. Aber wenn es dann um diese seltsamen, veralteten Thick-Client-Unternehmensanwendungen geht, wird das Ganze doch etwas merkwürdig. Und in dem Bereich tritt wahrscheinlich der größte Teil der Probleme auf. Stimmt‘s?

[00:08:31.97]
Patrick Sullivan (Akamai):
Ja. Das ist in der Regel der Fall. Generell befassen wir uns zunächst mit den Webanwendungen oder RDP-Anwendungen, da dies, wie Sie schon sagten, heute recht einfach ist. Wenn es dann aber um 30 oder 40 Jahre alte Thick-Client-Anwendungen mit veralteter Authentifizierung geht, verschieben wir einen Client oft hin zum Endpoint. Dadurch können wir diese merkwürdigen Ports und Protokolle abfangen und intern die richtigen Sprachen in Bezug auf andere Authentifizierungsprotokolle sprechen, während wir dem Client eher ein SAML-Frontend (Security Assertion Markup Language) bereitstellen. Diese Komplexität bleibt also auf der internen Seite des Proxys verborgen. Der Proxy bietet die Möglichkeit, die Sitzung sozusagen in zwei Abschnitte zu unterteilen, sodass beide Seiten des Proxys zufrieden sind.

[00:09:23.42]
Patrick Gray:
Planen Sie, RDP-Sitzungsfenster bereitzustellen, sodass wie in einem Fenster auf die Anwendung zugegriffen werden kann? Oder müssen Sie die Thick-Clients in Wirklichkeit an die Endpoints außerhalb des Netzwerks übertragen, damit sie dann über Proxy-Tunneling Zugang erhalten? Scheint so, als ob es an diesem Punkt ein bisschen chaotisch wird.

[00:09:47.14]
Patrick Sullivan (Akamai):
Ja, wenn es sich bei diesen Legacy-Anwendungen um einen Thick-Client handelt, soll dieser nach Möglichkeit beibehalten werden. RDP könnte in einem Browserfenster angezeigt werden, wenn dies eine praktikable Alternative für Sie ist. Sie haben eine gewisse Flexibilität bei der Architektur. Das hängt ganz von dem Ansatz ab, den Sie verfolgen möchten.

[00:10:05.76]
Patrick Gray:
Ja. Und welche Art von Ansatz hat man in der Vergangenheit verfolgt, und wie sieht es jetzt aus? Ich könnte mir vorstellen, dass es Projekte gibt, die jetzt gerade in Arbeit sind.

[00:10:16.39]
Patrick Sullivan (Akamai):
Das stimmt, und ich glaube, dass sich aufgrund der zunehmenden Remote-Arbeit immer mehr Leute dieses Modell ansehen. Man muss einfach seine Strategie für den Remotezugriff überdenken. In manchen Fällen ist das ganz einfach eine Beschleunigung der bereits verfolgten Strategie. Und in anderen Fällen ist es so, dass das VPN ergänzt werden soll, um die Kapazitäten für den Remotezugriff zu erweitern, um einige der Engpässe rein in Bezug auf die Kapazität im Rechenzentrum des Unternehmens zu umgehen, ja? Eine ziemlich einfache Methode, von einem Cloudmodell mit nutzungsbasierter Kapazität Gebrauch zu machen. Man braucht nicht zu planen, wie viel Prozent der Nutzer den Remotezugriff verwenden werden. Probleme bei der Kapazitätsplanung sind in diesem Modell relativ unbedeutend.

[00:11:11.88]
Patrick Gray:
Wenn es um DDoS geht, was wir ja schon angerissen haben ... Ich nehme an, dass rein durch die Verbindung zur Akamai Edge und dann zum Kern des Netzwerks möglicherweise von Anfang an ein integrierter DDoS-Schutz vorhanden ist? Um meinen Zugang zu Ihrer Edge zu blockieren, muss ich Sie ausschalten. Und das ist schwierig, weil Akamai so groß ist.

Patrick Sullivan (Akamai):
Ja. Wir sehen wirklich jede Menge Traffic, da die Leute im Homeoffice arbeiten und sich zu Hause aufhalten müssen.

Was den ausgehenden Traffic angeht, haben wir im 1. Quartal des letzten Jahres fast 70 Terabyte pro Sekunde verzeichnet. Im 1. Quartal dieses Jahres waren es fast 160 Terabyte pro Sekunde. Da wir alles auf die ausgehende Seite verlagern, haben wir auf der asymmetrischen eingehenden Seite eine ganze Menge Kapazitäten, um DDoS zu absorbieren.

Und dann können wir Routen auch über das BGP abfangen, falls Sie dort Schutz für eine Remotezugriffslösung benötigen. Wir können also DDoS-Angriffe vom bereinigtem Traffic trennen, und zwar beim eingehenden Traffic für beliebige Remotezugriffssuites. Das haben zurzeit viele sicherlich im Hinterkopf, da der Remotezugriff in diesen Zeiten ein so wichtiger Teil des Geschäfts ist.

Patrick Gray:
Ja. Sie haben Zugriff auf jede Menge Traffic, oder? Sie sehen viel. Akamai sieht viel. Wie sieht es im Moment aus? Ich meine, verzeichnen Sie viele Angriffe? Sehen Sie Veränderungen beim Verhalten von Angreifern? Lässt es etwas nach? Was können Sie uns über die aktuelle Situation erzählen?

Patrick Sullivan (Akamai):
Es ist alles wie gewohnt. Ich glaube, die Angriffe gehen größtenteils weiter. Aber einige der Techniken haben sich anscheinend verändert. Es wird viel darüber geredet, dass die Krise als Köder für die Verbreitung von Malware dient. Wir haben viele Gespräche mit versierten Sicherheitsteams geführt, die sich in Angreifer hineinversetzen können.

Einige Unternehmen, die von Remotezugriff abhängig sind, waren bereits betroffen. Aber die meisten Vorkehrungen sind eher proaktiv. Angesichts der starken Abhängigkeit von Remotezugriff derzeit wollen Unternehmen verstehen, wie ihre Angriffsfläche aussieht. Sie wollen wissen, ob Veränderungen erforderlich sind und welche Tools vorhanden sind, um Bedrohungen zu verhindern oder zu blockieren. Diese Art von Gesprächen haben wir in den letzten Wochen geführt.

Patrick Gray:
Glauben Sie, dass die Krise für die zukünftige Führung von Unternehmen vielleicht sogar positive Aspekte haben wird? Ich glaube, dass die Dinge nach diesem Ereignis in einem Jahr anders aussehen werden und dass das auch so bleiben wird, und manches wird nicht positiv sein. Vieles wird vielleicht schlechter sein, aber manches auch besser. Haben Sie das Gefühl, dass es gewisse positive Auswirkungen auf unsere Arbeitsweise geben wird? Auf die Art und Weise, wie wir Unternehmen führen? Nicht nur bei der Technologie, sondern allgemein gesagt. Es scheint eine Zeit großer Veränderungen zu sein.

Patrick Sullivan (Akamai):
Absolut. Ich denke, dass sich viele Unternehmen im Technologiebereich bisher hin zu einer Art Zero Trust-Zugriff oder etwas Ähnlichem bewegt haben. Manche Sicherheitsentscheidungen, die bereits in der langfristigen Architektur geplant sind, könnten beschleunigt werden. Vielleicht ist das ein positives Ergebnis. Ich glaube, dass unsere Systeme nach der Krise robuster sein werden, da wir die Herausforderungen meistern und Menschen per Remotezugriff ermöglichen, wirklich produktiv zu sein. Das wird der IT kurzfristig etwas Kopfzerbrechen verursachen, aber das könnte später ein potenzieller Vorteil sein.

Patrick Gray:
Zurzeit arbeiten sehr viele Leute von zu Hause aus, die das bisher nicht getan haben. Viele Unternehmen waren zwar in der Lage, neue Hardware zu erwerben und bereitzustellen, sei es durch den Kauf einer ganzen Reihe von Chromebooks oder einfach durch überholte Laptops. Egal, aber Hardware ist zurzeit sehr begehrt. Ich glaube daher, dass viele Leute über ihre eigene Hardware und ihre eigenen Systeme auf Unternehmensressourcen zugreifen. Beobachten Sie diese Entwicklung im Moment, oder hören Sie viel von so etwas?

Patrick Sullivan (Akamai):
Ich glaube, das ist richtig. Wir hören oft den Wunsch, dass beispielsweise per RDP auf den Computer im Büro zugegriffen werden soll. Ich glaube, einer der Schlüssel für den identitätsbasierten Proxy ist die Fähigkeit, eine kontextbezogene Sicherheitsentscheidung treffen zu können.

Dazu gehört also, wie bereits erwähnt, Ihre Identität, die Notwendigkeit, Zugriff auf eine bestimmte Anwendung zu haben. Darüber hinaus können Sie aber auch folgende Entscheidungen treffen:
– „Wie sieht es mit der Sicherheit des Geräts aus, das wir zulassen, entweder passiv oder eher aktiv, wenn die Firewall des Betriebssystems deaktiviert ist?“
– „Sind Sie bereit, möglicherweise Zugang für eine Nachricht von der Personalabteilung zur Richtlinie für das Homeoffice zu gewähren? Aber wenn es sich um eine sensiblere Finanzanwendung handelt, könnten Sie an dieser Stelle daran gehindert werden, diesen Schritt zu tun?“

Patrick Gray:
Sie sagen also: Ja, die Mitarbeiter erhalten Zugriff auf Unternehmensressourcen über BYOD (Bring Your Own Device), und Sie messen irgendwie den Systemzustand dieser Geräte.

[00:16:29.45] Wie gehen Sie vor, wenn Sie keinen Client auf diesen Systemen ausführen? Duo macht das so, dass Browser-Agent-Strings erfasst und als Proxy für den allgemeinen Systemzustand betrachtet werden. Aber was ist der Ansatz von Akamai hierbei? Sieht er ähnlich aus?

[00:16:42.83]
Patrick Sullivan (Akamai):
Ja, das ist er. Es wäre also ein passiver Vorgang, wenn kein Client vorhanden ist. Und natürlich können diese Dinge imitiert werden. Wenn ein Client vorhanden ist, können Sie ein viel gründlicheres Verständnis über mehr Variablen erlangen. Das Vorhandensein eines Clients ermöglicht es Ihnen also, detailliertere Erkenntnisse zu gewinnen. Aber wenn das nicht der Fall ist, arbeiten Sie mit den passiven Elementen, die in der Sitzung auftreten.

[00:17:08.3]
Patrick Gray:
Haben Sie also Kunden, die die Clients von Akamai per Push auf der Hardware von Mitarbeitern installieren? Passiert so etwas im Augenblick?

Patrick Sullivan (Akamai):
Ich glaube, das ist eine Entscheidung, die ein Unternehmen treffen muss – ob es bereit ist, dies über Mobile Device Management (MDM) vorzunehmen. In größerem Umfang ist mir das noch nicht begegnet. An diesem Punkt haben wir nach wie vor die herkömmlichen verwalteten und die nicht verwalteten Systeme.

Patrick Gray:
Doch bevor dies per Push über MDM erfolgt, muss MDM selbst auf das persönliche Gerät eines Nutzers übertragen werden. Ich als Mitarbeiter könnte mir vorstellen, einen Akamai-Client auf meiner eigenen Hardware zu installieren. Aber MDM auf keinen Fall.

Patrick Sullivan (Akamai):
Ja. Wie gesagt, in größerem Umfang beobachten wir das nicht. Abgesehen von den vielen Unternehmen, die bereits Mobilgeräte nutzen. Aber ich sehe noch keinen großen Umschwung von der persönlichen Workstation zu Geräten, die über MDM gemanagt werden.

[00:18:04.66]
Patrick Gray:
Und sehen Sie im Moment Erfolge? Kennen Sie Fallstudien, an denen Sie beteiligt waren, bei denen Unternehmen sehr schnell auf Homeoffice umstellen mussten und das mit diesen Technologien erreicht haben? Wie schnell ging das denn im besten Fall vor sich?

[00:18:18.86]
Patrick Sullivan (Akamai):
Ja. Ich glaube, bei Webanwendungen. Die werden in der Regel als Erstes angenommen. Das ist also das Erste, was zu tun ist. Und dabei kann man ziemlich schnell vorgehen. Bei Thick-Client-Anwendungen dauert das etwas länger.

[00:18:31.92] In der Regel handelt es sich dabei um Phase zwei eines Projekts, die gleich nach den schnellen Vorteilen beginnen würde, die mit den transparenteren Webanwendungen und RDP-Anwendungen erzielt werden können.

[00:18:43.73]
Patrick Gray:
Wo liegen die Problempunkte bei den Thick-Client-Anwendungen? Es gibt verschiedene Ansätze. Bei einem setzen Sie die Thick-Client-Software auf den Endpoint und stellen dem Endpoint dann sozusagen Zugriff auf die Netzwerkressource bereit. Vom Endpoint geht es dann direkt ins Zentrum des Unternehmens, mit Zugriff auf alles, was die Thick-Client-Anwendung benötigt. Das ist eine Möglichkeit. Eine andere Methode, die mir lieber ist und über die Sie gesprochen haben, besteht darin, eine Art RDP-Gateway einzurichten, bei dem sich der Client authentifiziert und von dem aus dann die Authentifizierung für die Thick-Client-Anwendung erfolgt.

[00:19:21.23]
Wie lange dauert das? Gibt es einen einheitlichen Ansatz, damit das funktioniert und auch schnell funktioniert? Oder geht es rein von Fall zu Fall, ist ziemlich knifflig und erfordert eine gewisse Entwicklungsarbeit? Oder ist es ganz einfach, eine RDP-Translationsebene zu verwenden, wenn Sie sich dafür entscheiden? Aber die Einrichtung dauert bestimmt einige Zeit?

[00:19:44.63]
Patrick Sullivan (Akamai):
Es gibt natürlich viele Unterschiede zwischen den Unternehmen, aber ich denke, dass der Client in vielen Fällen per Push auf die verwalteten Geräte übertragen wird. Das ist die häufigste Strategie, die uns begegnet.

[00:19:56.66]
Patrick Gray:
Nun, das bringt Sie wohl am schnellsten ans Ziel, oder?

Patrick Sullivan (Akamai):
Ja, ich glaube schon. Zumindest für verwaltete Geräte.

[00:20:01.64]
Patrick Gray:
Vorhin haben Sie gesagt, dass im Vergleich zum letzten Jahr ein gewaltiger Anstieg des Traffics im gesamten Netzwerk von Akamai verzeichnet wurde.

[00:20:11.21] Wie ging das vor sich? Ich kann mir vorstellen, dass viele zusätzliche Kapazitäten eingerichtet werden mussten, oder? Und Sie sind nicht die Art von Unternehmen, die mal eben so ein paar Cloudressourcen aus dem Ärmel schüttelt, nur weil es das kann. Ihr Unternehmen betreibt immerhin eigene Hardware. Wie sah das aus Sicht von Akamai aus, mitten in einer Krise alle diese zusätzlichen Ressourcen aufzustellen?

[00:20:35.09]
Patrick Sullivan (Akamai):
Ja. Die gute Nachricht war, dass wir uns gerade sowieso in einer Erweiterungsphase befanden. In diesem Jahr kamen viele neue OTT-Videoservices auf den Markt. Das führt zu mehr Traffic als alles andere. Und dann sollte dies aufgrund der Präsidentschaftswahlen und der Olympischen Spiele ein Spitzenjahr für uns sein. All diese Faktoren treiben Traffic enorm in die Höhe. Wir haben also schon seit einiger Zeit daran gearbeitet, diese Ziele zu erreichen. Das ist Teil unseres Geschäfts: skalieren zu können, wenn Traffic für OTT-Releases ansteht, für Gaming-Veröffentlichungen und Ähnliches.

[00:21:18.89]
Patrick Gray:
Sie waren also ohnehin im Begriff, zusätzliche Kapazitäten bereitzustellen. Vielleicht wird die zusätzliche Kapazitätsplanung aber nun vorverlegt, da Sie wahrscheinlich jetzt weniger Spielraum für DDoS-Angriffe haben, oder?

[00:21:31.67]
Patrick Sullivan (Akamai):
Nun, Traffic ist symmetrisch, beispielsweise, wenn Leute ihren Kontostand abrufen, E‑Commerce aufrufen, einen OTT-Service nutzen, all das ist vorwiegend ausgehender Traffic. Der eingehende Traffic ist erheblich niedriger. Wenn Sie also eine symmetrische Plattform wie unsere haben, ist der eingehende Traffic irgendwie ein Bonus, nicht wahr? Auf der Ausgangsseite planen wir also für Spitzenwerte, was uns beim Eingang Raum verschafft, um Angriffe zu absorbieren. Aber wir sind ständig im Aufbau begriffen, versuchen immer, einen Schritt voraus zu sein, nicht nur bei DDoS-Bedrohungen, sondern auch bei Spitzentraffic, also in der Regel Events und Veranstaltungen.

[00:22:15.02] Patrick Gray: Akamai ist wahrscheinlich am besten als Vorreiter für eine CDN-Lösung, für die DDoS-Abwehr und Ähnliches bekannt.

[00:22:22.49]
Aber Akamai gibt es schon lange. Ich glaube, Sie haben früher einmal Facebook oder Facebook-Bilder gehostet. Ich weiß nicht, ob das immer noch der Fall ist, aber das ist Teil der Unternehmensgeschichte von Akamai. Aber es scheint, als würden Sie jetzt viel mehr tun. Was ist Ihrer Meinung nach das Kerngeschäft von Akamai? Man hat das Gefühl, dass Akamai sich um mindestens ein Dutzend Dinge kümmert. Was ist am wichtigsten? Was sind Ihrer Meinung nach die drei oder vier wichtigsten Bereiche?

[00:22:47.09]
Patrick Sullivan (Akamai):
Nun, wir teilen unser Unternehmen in drei Geschäftsbereiche auf. Der erste ist CDN. Und der zweite wäre dann die Beschleunigung dynamischer Webanwendungen.

[00:22:58.79] Und das dritte Thema wäre Sicherheit. Also der Schutz von Webanwendungen, vor DDoS, API-Schutz sowie das identitätsbasierte Proxy-Modell, das wir schon erwähnt haben. Jeder Bereich beläuft sich auf etwa eine Milliarde Dollar, wobei die Sicherheit am schnellsten anwächst. Wenn dieser Wachstumstrend anhält, wird Sicherheit bald unser größter Geschäftsbereich sein.

[00:23:29.03] Die Antwort ist somit, dass wir uns in erster Linie als Sicherheitsunternehmen einstufen.

[00:23:34.94] Nun, Sie gehören bereits zu den größten Sicherheitsunternehmen der Welt. Ich frage mich aber, was noch kommen wird, wenn Sie bereits eine Milliarde Dollar im Sicherheitssektor einnehmen. Für ein Unternehmen im Bereich Informationssicherheit ist das doch schon ein Spitzenwert. Welche anderen Services planen Sie? Vielleicht E‑Mail-Zustellung und Nachrichtensicherheit – was können wir sonst noch erwarten?

[00:23:59.6]
Patrick Sullivan (Akamai):
Ja, das stimmt. Wir konzentrieren uns sehr auf Webanwendungen. Ich glaube, dafür ist Akamai wahrscheinlich am besten bekannt.

[00:24:07.33] Daher erweitern wir auch weiterhin unsere Möglichkeiten zum Schutz von Webanwendungen. Eine Veränderung, die wir dabei sehen, besteht darin, dass wir den Client so einrichten, dass er vor die Weblieferkette gestellt werden kann. Also eine moderne Webanwendung. Es gibt sicherlich einige Aufrufe, die an Ihr Rechenzentrum zurückgehen. Die Hälfte der Aufrufe könnte jedoch an Ihre Drittanbieter-Widgets geleitet werden – und dort findet jede Menge Formjacking statt. Dies ist ein neuerer Service für 2020, der das Verhalten von JavaScripts aus Perspektive der Laufzeit auf dem Client überwacht. Also diese weitere Reihe von Bedrohungen zu bewältigen, die von der Weblieferkette ausgehen. Das ist ein wirklich interessanter Bereich, auf den wir uns 2020 konzentrieren werden.

[00:24:59.02]
Patrick Gray:
Verstehe. Patrick Sullivan, vielen Dank, dass Sie sich inmitten der Krise im Soapbox-Podcast zu Risky Business mit uns unterhalten haben. Ich bin froh, dass diese neuen Services und Plattformen zu einer Zeit kommen, in der wir sie wirklich brauchen.

[00:25:16.63] Ich freue mich schon darauf, in einem Jahr von Ihnen zu erfahren, wie das Jahr 2020 gelaufen ist, wenn wir dies alles hinter uns haben. Es wird interessant sein, nach dem Ende der Krise Bilanz zu ziehen, wo wir dann stehen. Nochmals vielen Dank für das Interview. Und wir hoffen, Sie bald wieder bei uns zu sehen.

Patrick Sullivan (Akamai):
Vielen Dank, Patrick.

Patrick Gray:
Das war Patrick Sullivan von Akamai. Vielen Dank an ihn. Und vielen Dank an Akamai, dass Sie diese Ausgabe des Soapbox-Podcasts von Risky.biz. gesponsert haben. Ich hoffe, es hat Ihnen gefallen. Das wäre es von mir für diese Woche. Nächste Woche bin ich wieder mit mehr risky biz dabei. Bis dahin tschüss, Ihr Patrick Gray. Vielen Dank fürs Zuhören.