FedEx toont digitaal leiderschap met Okta als onderdeel van zijn Zero Trust-strategie

Een start-up uit de jaren 70 met digitale wortels

Toen Frederick W. Smith in 1973 FedEx oprichtte, was hij al van plan een digitale transformatie op gang te brengen. Hij staat bekend om zijn uitspraak "De informatie over het pakket is net zo belangrijk als het pakket zelf". Er wordt beweerd dat het idee voor zijn iconische organisatie afkomstig is uit een paper die hij schreef voor een les economie aan Yale University, waarin hij uiteenzette hoe een nachtelijke verzendservice kon werken in het computertijdperk.

Rond 1980 had FedEx de beschikking over een landelijk draadloos netwerk dat was gekoppeld aan de mainframecomputer van de organisatie. Zo konden chauffeurs en klanten met elkaar in contact worden gebracht en trackinginformatie met klanten worden gedeeld. In 1994, toen een website voor de meeste organisaties nog een betrekkelijk nieuw snufje was, bood FedEx.com al online trackinginformatie aan.

De klanten van FedEx verwachten en ontvangen een hoogwaardige service die is gebaseerd op de nieuwste digitale technologie. Maar door de jaren heen heeft de organisatie een grote hoeveelheid legacy systemen en mainframe-applicaties verzameld, zegt Trey Ray, Manager of Cybersecurity bij FedEx. Een paar jaar geleden startte CIO Rob Carter een IT-vernieuwingsinitiatief om de infrastructuur van de organisatie te moderniseren.

Dat initiatief leidde tot het Cloud Dojo-concept, dat werd bekroond met een CIO100-award. Het Cloud Dojo-concept van FedEx bestaat uit een organisatiebreed team van experts dat moderne developmenttechnieken uitprobeert en met anderen deelt. "We gebruiken nieuwe developmenttools, zoals Spring Boot, Spring Security en Angular", vertelt Ray. "En we hebben ook geïnvesteerd in het Cloud Foundry-framework."

Sla-de-mol voor identity

Developers vonden echter wel een aantal security-obstakels op hun weg. "We hadden 20 jaar lang met de nieuwste IAM-pointoplossingen (Identity and Access Management) gewerkt", legt hij uit. De organisatie maakte bijvoorbeeld niet alleen gebruik van een VPN, maar ook van on-prem multi-factor authenticatie, on-prem federation en on-prem web access management.

"Vanuit het perspectief van security deed het denken aan het spelletje Sla-de-mol", aldus Pat O’Neil, Cybersecurity Fellow bij FedEx. "Bij elke afzonderlijke IAM-oplossing stak weer een ander risico op configuratiefouten de kop op",

voegt Ray toe. "Hoewel we er met een houtje-touwtjeconstructie in slaagden alle oplossingen te laten samenwerken, veroorzaakte het systeem veel frictie voor onze softwaredevelopers", vertelt hij verder. "Ze probeerden hun werk volgens moderne inzichten te doen, maar moesten alles weer aan een legacy wereld zien te koppelen."

Het "spaghettidiagram" van de IAM-structuur van FedEx leidde ook tot kopzorgen en complexe problemen bij de rest van het FedEx-team. "Een FedEx-verkoper moest zijn wachtwoord soms wel vijf keer invoeren om 's morgens met zijn werk te kunnen beginnen", zegt Ray.

De complexe infrastructuur was er ook de oorzaak van dat de organisatie met slechts twee identity stores kon werken, waardoor integraties van overgenomen organisaties vertraging opliepen. En dat is uiteraard een serieus probleem voor een organisatie die internationaal wil uitbreiden en nieuwe services wil toevoegen.

De zoektocht naar een IAM-oplossing

Het cybersecurity-team van FedEx zocht naar een oplossing voor het IAM-probleem en begon de aandacht te verleggen naar IDaaS-oplossingen (Identity as a Service). "We lazen veel whitepapers, bekeken veel YouTube-video's en spraken veel met experts. Zo wisten we het aantal opties al enigszins te beperken", vertelt Ray.

Het team stuurde een officieel verzoek om informatie naar leveranciers, waarna er weer een paar mogelijkheden afvielen. "FedEx neemt de zoektocht naar leveranciers bijzonder serieus en staat erom bekend zeer grondig te werk te gaan. Vraag het maar aan de salesengineers van Okta", aldus Ray. FedEx koos voor Okta.

Hij geeft zes redenen voor de keuze voor Okta:

• Interoperabiliteit met bestaande FedEx-oplossingen. "Okta kon integreren waar het nodig was", vertelt Ray. "We doen bijvoorbeeld veel met VMware Workspace ONE, en Okta en Workspace ONE kunnen naadloos integreren."
• Eenvoudige implementatie. "De mogelijkheid om met één admin console ons werk als securityprofessionals te doen in plaats van met vier of vijf verschillende websites was een belangrijk voordeel voor ons", vertelt hij.
• API-beschikbaarheid. "API First" is een van onze IT-vernieuwingsprincipes", zegt Ray. "De meeste taken die je met de admin console van Okta kunt doen, kun je ook met API's doen."
• Een breed scala aan MFA-opties. Naast Okta Verify met Push, ondersteunt Okta ook hardware-authenticators en moderne authenticators, zoals Universal 2nd Factor van FIDO Alliance (FIDO U2F), Yubikey en WebAuthn.
• Universal Directory en de mogelijkheid om identities uit meerdere user stores eenvoudig te aggregeren. "We zijn een grote organisatie. We nemen andere organisaties over en dat betekent dat we veel directory's hebben", vertelt Ray.
• Naadloze compatibiliteit met belangrijke developmentapplicaties, zoals Spring Boot, Spring Security en Cloud Foundry.

Zero Trust: veel meer dan wachtwoorden

Het FedEx-cybersecurityteam onderzocht of de IAM-infrastructuur van de organisatie kon worden vereenvoudigd en gemoderniseerd. Maar ze speelden ook met het idee om een Zero Trust-securitymodel uit te rollen.

"Een uitgelekt wachtwoord is meestal de eerste stap naar een datalek. Een attacker kan zich via een uitgelekt wachtwoord toegang verschaffen en vervolgens verder in het netwerk doordringen om zijn bevoegdheden uit te breiden", zegt Ray. "Wachtwoorden alleen bieden weinig of geen bescherming en zijn niet langer goed genoeg om FedEx-identities te authenticeren en onze digitale assets te beschermen."

Zero Trust werkt niet volgens het "vertrouwen, maar verifiëren"-principe, maar beschouwt al het netwerkverkeer, zowel intern als extern, als een niet-vertrouwde activiteit. FedEx moet dus gebruikers en devices verifiëren, elke inlogsituatie in context beoordelen, en aan de hand van de resultaten de aanmeldingsexperience aanpassen aan het niveau van vertrouwen dat eraan is toegewezen.

De identity provider van de organisatie speelt een belangrijke rol in die Zero Trust-strategie, zegt Ray. Daarom is het ook zo belangrijk om de juiste provider te kiezen. "De Okta Identity Cloud met het Identity-as-a-Service-model, in combinatie met Okta Universal Directory en Okta Single Sign-On, bleek de ideale oplossing voor FedEx te zijn."

Omdat Okta moderne authenticatieprotocollen ondersteunt, zoals SAML 2.0 en OpenID Connect, kunnen ook FedEx-apps worden ondersteund, of het nu om SaaS-, cloud-native of legacy applicaties gaat.

En dankzij Okta’s samenwerking met F5 kan het team het Zero Trust-model ook aan legacy on-prem applicaties koppelen. "De F5 BIG-IP Access Policy Manager (APM) gebruikt weliswaar moderne methoden om protocollen te transformeren, maar stuurt gebruikers vervolgens gewoon terug naar de legacy applicaties, inclusief alle headers en cookies die de applicatie nodig heeft", vertelt Prashanth Karne, Cybersecurity Principal bij FedEx. Op deze manier kan het team al het HTTP-verkeer van en naar backoffice-applicaties beveiligen zonder dat er een VPN nodig is.

Met Okta Adaptive Multi-Factor Authentication kan FedEx contextafhankelijke verificatievereisten voor gebruikers toevoegen. Het team concentreert zich momenteel op Okta Verify, maar gebruikt voor bepaalde scenario's legacy OATH-hardwaretokens en houdt ook een pilot met moderne authenticators, zoals FIDO U2F, Yubikey en WebAuthn.

"Wanneer ik inlog in Okta's admin-interface kan ik Touch ID op mijn MacBook gebruiken en ervaar ik heel weinig frictie", zegt Ray.

Device Trust is de volgende Zero Trust-bouwsteen voor FedEx. Dit houdt in dat elke device die toegang tot apps van de organisatie wil een goede security- en compliancestatus moet kunnen aantonen. Ray wil ook graag Okta Platform Services verkennen. Deze technologie biedt naast de mogelijkheid om Okta op elke device te integreren ook een betere zichtbaarheid, contextual access-beslissingen en consistent passwordless inloggen van gebruikers.

Het FedEx-cybersecurityteam kan met Okta de voorwaardelijke access voor de hele organisatie beheren op basis van één access policy die op elke applicatie in het netwerk van toepassing is. "Dat is het unieke ervan", zegt Ray. "We kunnen hiermee een aanmeldings-experience op maat maken, dus inloggen met alleen een wachtwoord, helemaal geen wachtwoord of een wachtwoord plus MFA. De engine helpt ons bij het opstellen van de policies en regels en het nemen van de access-beslissingen."

Analyse van het gebruikersgedrag is de laatste bouwsteen van de Zero Trust-strategie van FedEx. Het team gebruikt Splunk en machine learning-technieken om de uitgebreide identity-data die ze van Okta krijgen optimaal te benutten. Op basis van deze data kan bijvoorbeeld verdacht gedrag worden herkend en proactieve policy-beslissingen worden genomen.

Zero Trust: een casestudy

Het is interessant om te weten dat Zero Trust vaak gebruikmaakt van vertrouwde relaties met meerdere leveranciers van technologieën. Ook werken partnerteams samen om betere verificatiemogelijkheden te bieden. De relatie van FedEx met VMware, Okta en Workday is hier een goed voorbeeld van.

FedEx heeft het mobile device management ondergebracht bij Workspace One en gebruikt Workday als HR-informatiesysteem. Toen Workday liet weten dat het de mogelijkheid bood om selfservice te beperken op basis van devicetype, heeft het cybersecurityteam van FedEx samen met Okta en VMware routingregels opgesteld om die functie te kunnen benutten.

De flow omvat een reeks omleidingen, zodat Workspace ONE de devicestatus kan controleren en Okta die informatie weer aan Workday kan doorgeven. Gebruikers met devices die door FedEx worden beheerd, ervaren weinig frictie en krijgen passwordless access tot hun Workday-informatie. Aan gebruikers met niet-beheerde devices wordt slechts beperkte toegang verleend nadat ze een gebruikersnaam, een wachtwoord en een Okta Verify met Push-code hebben ingevoerd.

Snelle implementatie toen het erop aan kwam

In februari 2020 brak de coronapandemie uit in de Verenigde Staten. Het FedEx-team was toen nog maar net begonnen met de integratie van hun applicaties in Okta.

Ray: "We moesten een deel van het werk sneller uitvoeren omdat veel mensen plotseling thuis gingen werken". Ryan Rudnitsky, Senior Customer Success Manager bij Okta, coördineerde de grote sprong voor de FedEx- en Okta-teams en stuurde elk uur updates naar het FedEx-management.

"In een periode van 36 uur slaagden we erin Workday, Office 365, Webex, ServiceNow, Salesforce, Check Point VPN en Zoom naar Okta te verplaatsen", vertelt Ray. Beide teams zetten echt alles op alles om dit tot een goed einde te brengen. En dat lukte.

Ray schrijft het succes van zijn team grotendeels toe aan de goede communicatie. Voordat ze Okta uitrolden naar de organisatie, bouwden ze al samen met het FedEx-communicatieteam aan een heel nieuw merk ("PurpleID") voor de oplossing, inclusief website, e-mails met informatie, veelgestelde vragen en promovideo's met uitleg over de aanmelding via Okta Verify.

Als Ray met andere securityleiders praat die een Zero Trust-initiatief willen starten, raadt hij hen altijd aan zich van de steun van het management te verzekeren. "Als de CIO en de CISO er niet achter staan, is de kans groot dat het hele initiatief niet van de grond komt", waarschuwt hij.

Ray raadt ook aan om het project in beheersbare fasen op te delen. Voor FedEx betekende dit eerst de SaaS-apps, daarna de cloud-native apps en vervolgens de legacy apps. Ook hierin speelde de nauwe samenwerking met Okta een belangrijke rol. Daarnaast schakelden ze een externe integrator in om te helpen met enkele van de meest weerbarstige onderdelen.

Eén uniforme cloud voor SaaS-apps, on-prem apps en cloud-native apps

De resultaten waren de moeite meer dan waard. Het FedEx-team boekt goede vooruitgang met het ontmantelen van legacy IAM-oplossingen en het integreren van zo'n 250 SaaS-apps, meer dan 500 on-prem apps en meer dan 400 cloud-native apps in hun Okta-oplossing.

"Uiteindelijk willen we onze applicaties uitbreiden naar consumptie- en hybride situaties, zoals co-locatie of zelfs openbare clouds. Dat zou ideaal zijn om pieken in het volume op te vangen, wat in onze organisatie echt een uitdaging kan zijn", zegt O’Neil.

"Met dit model kunnen we onze beveiligingsstatus op één plek valideren. Dat betekent dat de developmentteams nog maar met één token rekening hoeven te houden. En de authenticatie en autorisatie kan op consistente wijze worden uitgevoerd, ongeacht de locatie van de implementatie."

Bij fusies en overnames kan het team eenvoudig een gemakkelijk te gebruiken on-prem agent installeren om identity stores in Okta Universal Directory te aggregeren. Dankzij deze strategie kunnen ze nieuwe organisaties sneller integreren.

Met één cloud-native platform voor SaaS-apps, cloud-native apps en legacy apps (en één uniforme directory voor alle FedEx-werknemers) kan iedereen met minder frictie en minder gedoe inloggen en aan de slag gaan. En de FedEx-data en -applicaties worden dankzij de uitgebreide Zero Trust-strategie steeds veiliger.

Over FedEx

FedEx Corp. biedt klanten en organisaties over de hele wereld een uitgebreide portfolio met transport-, e-commerce- en zakelijke services. De organisatie, die een jaaromzet van 70 miljard dollar realiseert, biedt geïntegreerde zakelijke oplossingen via werkmaatschappijen die als één collectief concurreren en gezamenlijk worden beheerd onder het FedEx-label. FedEx is een van de werkgevers die wereldwijd de meeste bewondering oogsten en het grootste vertrouwen genieten. De organisatie inspireert zijn ruim 475.000 teamleden om veel aandacht te besteden aan veiligheid, de hoogste ethische en professionele standaarden en de behoeften van klanten en community's.