Uma startup dos anos 70 com suas raízes no digital
Quando fundou a FedEx em 1973, Frederick W. Smith já estava se preparando para liderar uma transformação digital. Uma das suas frases famosas é: “As informações sobre o pacote são tão importantes quanto o próprio pacote”. Diz a lenda que a ideia da sua empresa icônica surgiu de um artigo que ele escreveu para uma aula de economia em Yale, descrevendo como o serviço de entrega noturna poderia funcionar na era da computação.
Em 1980, a FedEx estava interligando motoristas e compartilhando informações de rastreamento com clientes por meio de uma rede sem fio nacional conectada ao computador mainframe da empresa. Em 1994, quando sites da Internet eram uma novidade para a maioria das empresas, o FedEx.com já oferecia informações de rastreamento on-line.
Os clientes da FedEx sempre esperaram e receberam um serviço de alto nível com base na mais recente tecnologia digital, mas ao longo dos anos a empresa acumulou uma grande variedade de sistemas legados e aplicativos de mainframe, diz Trey Ray, gerente de segurança cibernética da FedEx. Há vários anos, o CIO Rob Carter iniciou uma iniciativa de renovação de TI para modernizar a infraestrutura da empresa.
Essa jornada levou ao premiado conceito Cloud Dojo da CIO100, uma equipe interorganizacional de especialistas praticando e compartilhando técnicas modernas de desenvolvimento na FedEx. “Usamos novas ferramentas de desenvolvimento, como Spring Boot, Spring Security e Angular”, diz Ray. “Também fizemos um investimento na estrutura do Cloud Foundry.”
Jogando o "acerte a marmota" de identidade
No entanto, os desenvolvedores encontraram obstáculos em relação à segurança. “Passamos 20 anos desenvolvendo as melhores soluções de pontos de gerenciamento de identidade e acesso (IAM)”, diz ele. A empresa executava uma VPN junto com a autenticação multifatorial (MFA) local, federação local e o gerenciamento de acesso à web local.
“Era um jogo do tipo "acerte a marmota", do ponto de vista da segurança”, diz Pat O'Neil, pesquisador de segurança cibernética da FedEx. “Cada uma dessas soluções de IAM separadas foi uma oportunidade de errar na configuração.”
Ray concorda. “Embora tenhamos feito essas coisas funcionarem em conjunto usando remendos, o sistema apresentou muitos atritos para nossos desenvolvedores de software”, diz ele. “Eles tentavam fazer as coisas de uma forma moderna e precisavam combiná-las com esse mundo legado.”
O “diagrama de espaguete” que constituiu a infraestrutura de IAM da FedEx também criou dores de cabeça e complexidade para o resto da equipe da FedEx. “Um vendedor da FedEx poderia ter que digitar sua senha cinco vezes para que a manhã fosse produtiva”, diz Ray.
Além disso, a infraestrutura complexa limitou a empresa a dois repositórios de identidades, retardando as integrações de aquisição. Para uma empresa que tinha como foco expandir seus negócios internacionalmente e adicionar novos serviços, isso era um problema.
A busca por uma solução de IAM
Para resolver a questão do IAM, a equipe de segurança cibernética da FedEx começou a analisar as soluções de identidade como serviço (IDaaS). “Lemos muitos documentos técnicos, assistimos a muitos vídeos no YouTube, conversamos com muitos especialistas e restringimos as opções”, diz Ray.
A equipe lançou uma RFI que ajudou a restringir ainda mais as opções. “A FedEx leva muito a sério sua busca por fornecedores e é conhecida por ser minuciosa — basta perguntar aos nossos engenheiros de vendas da Okta”, diz Ray. A FedEx escolheu a Okta.
Ele lista seis razões para ter escolhido a Okta:
Interoperabilidade com as soluções existentes da FedEx. “A Okta conseguiu se integrar onde precisávamos”, diz Ray. “Por exemplo, o VMware Workspace ONE é uma solução que usamos muito, e há uma forte integração entre o Okta e o Workspace ONE."
Facilidade de implementação. “A capacidade de usar um único console de administração para gerenciar nosso trabalho como profissionais de segurança em vez de navegar em quatro ou cinco sites diferentes era importante para nós”, diz ele.
Disponibilidade de API. “'API em primeiro lugar' é um dos nossos princípios de renovação da TI”, diz Ray. “Muito do que você pode fazer com o console de administração da Okta também pode ser feito com APIs.”
Uma ampla variedade de opções de MFA. Além do Okta Verify with Push, o Okta tem suporte para autenticadores de hardware e autenticadores modernos, como o Universal 2nd Factor da FIDO Alliance (FIDO U2F), Yubikey e WebAuthn.
O Universal Directory e a capacidade de agregar facilmente identidades de vários repositórios de usuários. “Somos uma grande empresa. Compramos empresas, o que significa que temos muitos diretórios”, diz Ray.
Compatibilidade turnkey com os principais aplicativos de desenvolvimento, incluindo Spring Boot, Spring Security e Cloud Foundry.
Indo além das senhas com o Zero Trust
Ao analisar a infraestrutura de IAM da empresa com o objetivo de simplificá-la e modernizá-la, a equipe de segurança cibernética da FedEx também tinha em mente o objetivo mais amplo de implementar um modelo de segurança Zero Trust.
“Senhas comprometidas geralmente são a primeira etapa na cadeia de ataque de violações de dados. É assim que um invasor obtém acesso inicial antes de se mover lateralmente pela rede buscando aumentar os privilégios”, diz Ray. “As senhas sozinhas não são mais imunes a ataques nem adequadas para autenticar as identidades da FedEx e proteger nossos ativos digitais.”
Em vez de “confiar, mas verificar”, a abordagem Zero Trust trata todo o tráfego de rede, interno e externo, como atividade não confiável. Para a FedEx, isso significa verificar usuários e dispositivos, avaliar cada situação de login no contexto e usar os resultados para personalizar a experiência de login de acordo com o nível de confiança atribuído a ela.
Ray conta que o provedor de identidade da empresa é uma grande parte dessa estratégia Zero Trust, e é por isso que escolher o provedor certo era tão importante. “A Okta Identity Cloud com o modelo de identidade como serviço, usando o Okta Universal Directory e o Okta Single Sign-On, foi a solução para a FedEx.”
O suporte da Okta a protocolos de autenticação modernos, como SAML 2.0 e OpenID Connect, significa que ela pode oferecer suporte a apps da FedEx, sejam eles aplicativos SaaS, nativos em nuvem ou legados.
A equipe também está aproveitando a parceria da Okta com a F5 para unir o modelo Zero Trust aos aplicativos locais antigos. “O F5 BIG-IP Access Policy Manager (APM) realiza a transformação de protocolo usando métodos modernos, mas ainda envia os usuários de volta aos aplicativos legados com todos os cabeçalhos ou cookies que cada aplicativo exige”, diz Prashanth Karne, diretor de segurança cibernética da FedEx. Dessa forma, a equipe pode proteger todo o tráfego HTTP de e para aplicativos de back-office sem depender de uma VPN.
A Autenticação Multifatorial Adaptativa da Okta permite que a FedEx adicione requisitos de verificação contextual para os usuários. Atualmente, a equipe está focada no Okta Verify, mas usa tokens rígidos OATH mais antigos para alguns casos de uso e também está testando autenticadores modernos, como FIDO U2F, Yubikey e WebAuthn.
“Quando entro na interface de administração do Okta, consigo usar o Touch ID no meu MacBook, e o atrito é muito baixo”, diz Ray.
O Device Trust é o próximo elemento-chave do Zero Trust para a FedEx, garantindo que cada dispositivo que acessa os apps da empresa demonstre uma boa postura de segurança e conformidade. Ray espera explorar os Okta Platform Services, que incluem a capacidade de incorporar o Okta em todos os dispositivos e oferecer maior visibilidade, decisões de acesso contextual e logins de usuário consistentes e sem senha.
Usando o Okta, a equipe de segurança cibernética da FedEx gerencia o acesso condicional em toda a empresa a partir de um único mecanismo de política de acesso que abrange todos os aplicativos na rede. “Esse é o cérebro da coisa”, diz Ray. “Isso nos ajuda a personalizar a experiência de login, seja somente com senha, sem senha, ou com senha mais MFA. O mecanismo nos ajuda a criar essas políticas e regras e a tomar essas decisões de acesso.”
A análise do comportamento do usuário é o componente final da estratégia Zero Trust da FedEx. A equipe usa o Splunk e técnicas de aprendizado de máquina para explorar os ricos dados de identidade que coletam da Okta, usando-os para identificar comportamentos suspeitos e tomar decisões políticas proativas.
Zero Trust: um estudo de caso
Curiosamente, o Zero Trust geralmente depende de relacionamentos confiáveis entre tecnologias de vários fornecedores e equipes de parceiros trabalhando juntas para fornecer recursos aprimorados de verificação. O relacionamento da FedEx com a VMware, Okta e Workday é um bom exemplo.
A FedEx realiza gerenciamento de dispositivos móveis com o Workspace ONE e usa o Workday como seu sistema de informações de recursos humanos. Quando a Workday anunciou que estava oferecendo a capacidade de limitar o acesso por autoatendimento com base no tipo de dispositivo, a equipe de segurança cibernética da FedEx trabalhou com a Okta e a VMware para configurar regras de roteamento para aproveitar esse recurso.
O fluxo envolve uma série de redirecionamentos para que o Workspace ONE possa verificar o status do dispositivo e o Okta possa retransmitir essas informações para o Workday. Os usuários com dispositivos gerenciados pela FedEx têm acesso sem senha e de baixo atrito às suas informações do Workday, enquanto aqueles que usam dispositivos não gerenciados têm acesso restrito por meio de nome de usuário, senha e o Okta Verify with Push.
Implantação rápida quando era mais necessária
Em fevereiro de 2020, quando a COVID-19 estava atingindo os Estados Unidos, a equipe da FedEx ainda estava no início do processo de integração de todos os seus aplicativos ao Okta.
“Devido ao aumento do ambiente de trabalho em casa, tivemos que acelerar parte desse trabalho”, diz Ray. Ryan Rudnitsky, gerente sênior de sucesso do cliente da Okta, coordenou as equipes da FedEx e da Okta para o grande projeto e enviou atualizações de hora em hora para a gerência da FedEx durante o andamento dos processos.
“Em um período de 36 horas, transferimos o Workday, o Office 365, o Webex, o ServiceNow, o Salesforce, o Check Point VPN e o Zoom para o Okta”, diz Ray. Ambas as equipes se destacaram de uma forma extraordinária e conseguiram realizar o trabalho.
Ray credita muito do sucesso da sua equipe à boa comunicação. Antes de lançarem o Okta na empresa, eles trabalharam com a equipe de comunicação da FedEx para criar uma marca completa para a solução — o “PurpleID” — junto com um site, e-mails informativos, perguntas frequentes e vídeos promocionais mostrando aos usuários como se inscrever no Okta Verify.
Ao conversar com outros líderes de segurança que estão reunindo iniciativas Zero Trust, ele também recomenda garantir o patrocínio executivo. “Se você não tem a adesão total do CIO até o CISO, é melhor deixá-la de lado e continuar fazendo seu trabalho normalmente”, diz ele.
Ray recomenda dividir o projeto em fases gerenciáveis. Para a FedEx, começaram com apps SaaS, depois nativos na nuvem e, por fim, legados. Trabalhar em estreita colaboração com a Okta também foi importante, e eles utilizaram um integrador terceirizado para ajudar com “algumas das coisas mais complicadas”.
Uma nuvem unificada para apps SaaS, locais e nativos na nuvem
Os resultados valeram muito a pena. A equipe da FedEx está fazendo um bom progresso na desativação de soluções de IAM legadas e na integração de aproximadamente 250 apps SaaS, mais de 500 apps locais e mais de 400 apps nativos na nuvem com sua solução Okta.
“O melhor para nós é poder transformar nossos aplicativos em situações híbridas e de consumo, como colocation ou até mesmo nuvens públicas, para lidar com picos de volume, o que pode ser um desafio em nossos negócios”, diz O'Neil.
“Agora, com esse modelo”, diz ele, “temos um lugar onde podemos validar nossa postura de segurança. As equipes de desenvolvimento agora têm apenas um motivo com que se preocupar. Elas fazem autenticação e autorização de forma consistente, não importa onde estejam implantadas.”
A equipe também está em uma posição quando apresentada à atividade de fusões e aquisições, usando uma abordagem simplificada de agente local para agregar repositórios de identidades no Okta Universal Directory. Essa estratégia os ajuda a integrar novas empresas com muito mais rapidez.
Com uma plataforma nativa na nuvem que abrange apps SaaS, nativos na nuvem e legados — e um diretório unificado para toda a força de trabalho da FedEx — todos podem fazer login e começar a trabalhar com menos atrito e menos confusão. Ao mesmo tempo, a estratégia abrangente de Zero Trust da empresa significa que os dados e aplicativos da FedEx ficam cada vez mais seguros.
Sobre a FedEx
A FedEx Corp. oferece aos clientes e empresas em todo o mundo um amplo portfólio de serviços de transporte, comércio eletrônico e negócios. Com receita anual de 70 bilhões de dólares, a empresa oferece soluções de negócios integradas por meio de empresas operacionais que competem coletivamente e são gerenciadas de forma colaborativa sob a marca FedEx. Consistentemente classificada entre os empregadores mais admirados e confiáveis do mundo, a FedEx inspira seus mais de 475.000 funcionários a permanecerem focados na segurança, nos mais altos padrões éticos e profissionais e nas necessidades dos seus clientes e das suas comunidades.
