JN Data ist ein dänisches IT-Betriebs- und Technologiezentrum mit Hauptsitz in Silkeborg und Kompetenzzentren in Roskilde und Warschau, das sich auf die Bereitstellung von IT-Betrieb und Infrastruktur für den Finanzsektor konzentriert. Mit rund 850 Mitarbeitern trägt das Unternehmen dazu bei, die technologische Grundlage für Jyske Bank, Nykredit, BEC, SDC, Bankdata und Silkeborg Data zu schaffen und weiterzuentwickeln.
Das Unternehmen ist für die IT-Infrastruktur im Finanzbereich zuständig , die Millionen von Dänen und über 40.000 Mitarbeiter in 200 Banken und Hypothekenkreditinstituten betrifft. Bei allem, was sie tun, geht es um Stabilität und Effizienz für die Kunden, was aufgrund der Systeme, die sie in ihrer Umgebung betreiben, wichtig ist - wo jede Ausfallzeit kostspielig ist. Fast jedes Mal, wenn die Dänen eine Zahlung tätigen oder ihre mobile Banklösung nutzen, hängt die Stabilität und Sicherheit von JN Data ab.
Für diese Fallstudie sprachen wir mit:
Sie verwendeten vSphere, vROps, LogInsight, vRealize Automation und ein Compliance-Tool namens vSphere Configuration Manager. Letzteres hatte das Ende seiner Lebensdauer erreicht und wurde auf vROps umgestellt. Das Unternehmen verfügte über genügend Personal, das sich stark auf die Dokumentation der Compliance konzentrierte, brauchte aber eine neue Automatisierungslösung.
Vor der Einführung von Runecast hat das Unternehmen seine Umgebung immer proaktiv verwaltet, was für stark regulierte Bankdienstleistungen mit sensiblen Daten unerlässlich ist. Proaktiv zu sein, ist für sie als Team ein wichtiger Schwerpunkt.
In der Regel wurden jährlich mehrere Audits durchgeführt, und mit dem Auslaufen des bisherigen Tools musste etwas gefunden werden, das auch weiterhin ein hohes Maß an Sicherheit bietet, dass die Vorschriften eingehalten werden.
Eine der Hauptherausforderungen, die sie zu Runecast führte, war laut Lars "die Notwendigkeit, Schwachstellen für VMware-Produkte und -Hardware zu entdecken und zu verfolgen, um eine kontinuierliche Compliance für unsere Umgebung zu erreichen und aufrechtzuerhalten".
Sie trafen die Runecast Team im Jahr 2019 auf der VMworld US in San Francisco, Kalifornien, sahen Runecast in Aktion und nutzen es seitdem.
Um festzustellen, ob Runecast ihren Anforderungen entsprach, führten sie einen PoC durch und durchliefen die internen Standardverfahren mit dem Unternehmensarchitekten sowie der Rechtsabteilung und der Beschaffungsabteilung Teams.
Für ein Unternehmen dieser Größe war es einer der schnellsten Prozesse, die Runecast je erlebt hat, was beweist, dass JN Data sich wirklich der Effizienz verschrieben hat.
Es war einfach, Runecast einzusetzen und den ersten Scan zu konfigurieren... und dann den ersten Compliance-Bericht zu erhalten. Das Ganze dauerte vielleicht einen Tag, wobei der größte Aspekt war, dass "wir unsere eigenen Compliance-Richtlinien anpassen und einzigartige Filter erstellen wollten", so Lars.
Zunächst scherzten sie, dass sie Runecast wegen des T-Shirts, das sie auf der VMworld bekamen, anderen Lösungen vorgezogen hätten, aber dann stellte Lars klar, dass "es zu dieser Zeit keine anderen Optionen wie Runecast gab, vor allem, weil unsere damalige Anforderung darin bestand, die PCI-Konformität zu überwachen".
Sie haben ihre Umgebung immer stark standardisiert und wo immer möglich automatisiert, so dass sie bei jedem Problem eine "Maschine" hatten, die die Abweichung automatisch beheben konnte. Runecast erfüllte diese Erwartung, ging aber über das hinaus, was sie bisher gewohnt waren .
Runecast half dabei, entdeckte Probleme zu priorisieren, indem es "Sichtbarkeit gegenüber PCI-Standards mit viel weniger Schwierigkeiten bei der Wartung des Tools selbst bietet", so Thomas. Wir sind nicht nur auf Compliance-Audits vorbereitet, sondern auch in der Lage, eine bessere Dokumentation und detaillierte Berichterstattung über unsere Compliance-Situation mit PCI und CIS zu erstellen.
Außerdem, so Thomas, "ist es schön, einen Runecast-Bericht herauszuziehen und die Einhaltung verschiedener Audits zu überprüfen, wenn sie stattfinden." Das Unternehmen hat nun einen guten Überblick über alle Schwachstellen und KEVs. "Runecast hilft uns, genau zu sehen, was wir tun müssen, um Lücken in der Konformität zu schließen, und es gibt uns Einblicke in Dinge, die wir besser machen und auf unsere gesamte Umgebung übertragen können."
Auf die Frage, welche Aspekte von Runecast sie bei der ersten Einführung am meisten überrascht haben, antwortete Lars: "Runecast ist nahezu wartungsfrei."
Zu den laufenden Vorteilen, die JN Data Team aus Runecast zieht, gehört, dass sie ihre Lizenz zunächst für die PCI DSS-Compliance erworben haben und später auch CIS Benchmark-Audits hinzufügen konnten. Sie nutzen Runecast auch intensiv für IT operations management (ITOM).
Auf die Frage nach dem Hauptnutzen, den Runecast für das Unternehmen bietet, antwortete Thomas: "Die Möglichkeit, den Stand der Einhaltung von Vorschriften kontinuierlich zu überwachen und dies einfach zu dokumentieren und zu beweisen."
Runecast hilft ihnen dabei, Konfigurationsabweichungen zu erkennen, die sie mit Hilfe integrierter Abhilfeskripte beheben können. Außerdem hilft es ihnen, laufende Probleme im Zusammenhang mit VMware KB-Artikeln, Firmware und Schwachstellen proaktiv zu erkennen.
"Ich habe ein bisschen Angst vor der Zeit, die wir brauchen würden, wenn wir Runecast nicht hätten", sagt Thomas.
Auf die Frage, welche Aspekte von Runecast sie weiterhin überraschen, nachdem sie über die Jahre regelmäßig damit gearbeitet haben, antwortete Lars: "Eskommen ständig neue Funktionen hinzu, was bedeutet, dass auch andere Teams beginnen, Runecast zu nutzen, zum Beispiel nutzt unsere Vulnerability Team es jetzt."
Lars fügte hinzu: "Und der Support von Runecast Team ist ausgezeichnet - wann immer wir ein Support-Ticket aufgeben, erhalten wir fast sofort eine Antwort, und wenn wir etwas ändern müssen, scheint es ziemlich einfach zu sein, dies zu tun. Wir haben CIS-Compliance-Prüfungen angefordert, und innerhalb von drei Monaten wurde es zu Runecast hinzugefügt."
Für andere Organisationen, die Runecast in Erwägung ziehen, sagte JN Data Team , dass ihr Beschaffungswesen Team ihrem Urteil über die Fähigkeiten von Runecast vertraut. "Wir haben dem Entscheidungsgremium einige Übersichten gezeigt, ein paar Folien, und sie sagten schnell 'Weiter so'. Es war eine Anforderung an uns, konform zu sein, was natürlich eine großartige Lösung für eine solche garantierte", sagte Lars.
Auf die Frage nach Tipps und Tricks, die sie ihren Kollegen bei der Arbeit mit Runecast mit auf den Weg geben würden, antwortete Lars:Es ist einfach zu implementieren, zu konfigurieren und zu warten.
Thomas fügte hinzu: "Einer der großen Vorteile ist, dass wir, obwohl wir viele Cluster und vCenter haben und nur eine Teilmenge davon auf PCI-Compliance überwacht werden muss, aufgrund der einfachen Konfiguration von Runecast PCI-Compliance-Checks auf die gesamte Umgebung anwenden können. Auch wenn dies nicht erforderlich ist, hilft es uns, die Dinge einfach zu halten und in unserer gesamten Umgebung zu standardisieren, was für unsere Organisation ein wichtiger Schwerpunkt ist."
"Wir sind jetzt in der Lage, mehr Dokumentationen und detaillierte Berichte über die Einhaltung der PCI- und CIS-Standards zu erstellen [...] Runecast hilft uns, genau zu sehen, was wir tun müssen, um Lücken in der Compliance zu schließen, und es gibt uns Einblicke in Dinge, die wir besser machen und auf unsere gesamte Umgebung übertragen können."
Thomas Hallenberg (Compliance)
Lassen Sie es laufen... Sie werden über die Ergebnisse erstaunt sein. Wir denken immer, dass viele Anwendungen von Natur aus sicher sind und wie sie entworfen wurden, aber nach dem Einsatz von Runecast verstehen Sie wirklich die Lücken, die Sie in Ihrer Umgebung haben könnten, und es ist definitiv ein Augenöffner.
Vizepräsident - Infrastruktur und Sicherheit an den omanischen Flughäfen
