Die Digitalisierung und die digitale Vernetzung sind aus keiner Branche mehr wegzudenken. Die Wirtschaft wird immer stärker von diesen Trends geprägt – er betrifft in einem hohen Masse auch die Versicherungsbranche. Die Versicherungsunternehmen selbst arbeiten intensiv an ihren digitalen Strategien: Kunden wünschen sich mehr und mehr digitale Prozesse, vom reinen Versicherungsprodukt bis hin zur Online-Kundenberatung. Das positive Kundenerlebnis – unabhängig von Zeit und Ort – steht dabei im Fokus.
Ausgangslage in der Versicherungsbranche
Dies hat insbesondere auch Auswirkungen auf die IT. 7x24h Verfügbarkeit, flexible, «grenzenlose» Skalierbarkeit, sowie superkurze «time to market»-Zyklen sind (neue) Herausforderungen, welche mit der Digitalisierung einhergehen. Ebenso kaum von der Digitalisierung wegzudenken: die Cloud. Allgegenwärtig verspricht sie in ihren unterschiedlichen Ausprägungen einfache, kosteneffiziente Lösungen für all diese Anforderungen. Gerade für etablierte Unternehmen ist der Weg in eben diese Cloud aber nicht immer einfach. So lassen sich z. B. bestehende Prozesse und Lösungen im Bereich Security, welche die vorhandenen, internen Vorgaben hinsichtlich Risiken und Compliance erfüllen, oft nicht einfach 1:1 in die Cloud übertragen. Im Gegenteil: Die Verlagerung der Applikationen in die Cloud hat – gerade im Bereich Web Access Management – starken Einfluss auf die Architektur der Sicherheitsinfrastruktur. Kurze Entwicklungszyklen, modulare bzw. Micro-Services-basierte Applikationen und DevOps stellen gemeinsam genutzte und zentral vor der Applikationslandschaft angesiedelte Web Application Firewall (WAF) Infrastrukturen vor neue Herausforderungen.
Herausforderungen der Versicherer
Diese Herausforderungen waren auch bei einem grossen, international operierenden Versicherungsunternehmen anzutreffen. Aufgrund der strategischen Verlagerung der Applikationen und der Applikationsentwicklung in die Azure-Cloud, nimmt die Anzahl cloud-basierter Applikationen stetig zu. Gleichzeitig fehlte der cloud-integrierten WAF aber die interne Sicherheitsfreigabe. Somit wurde kurzerhand die USP Secure Entry Server® Infrastruktur, welche lokal und on-premise betrieben wurde, vor die cloud-gehosteten Applikationen geschaltet. Dies führte zu verschiedenen, infrastrukturbedingten Nachteilen: Zum einen brachte das neue Setup einen unerwünschten Overhead in der Netzwerkkommunikation mit sich, da jede Anfrage durch die lokale Infrastruktur des Versicherers geroutet wurde. Zum anderen wurden die Cloud-Applikationen abhängig von einer zentralisierten, gemeinsam genutzten und somit eher statischen Plattform. Es entstanden im Vergleich zur einer reinen Cloud-Lösung Nachteile hinsichtlich Agilität, Unabhängigkeit und dynamischer Skalierung.
Docker-basiertes Deployment als Kundenlösung
Um diesem konkreten Kunden Case mit dem USP Secure Entry Server® (SES) abdecken zu können, entwickelte United Security Providers eine neue Deploymentform für das Produkt. Zusätzlich zu bestehenden Hardware- und Software Appliances wird ein docker-basiertes Deployment bereitgestellt, mit welchem Webapplication-Security, Authentisierungs- und Federationsfunktionen des SES auch auf Container-Plattformen (managed OpenShift) unterstützt werden. Das Verschieben der akkreditierten USP Secure Entry Server® WAF in die Cloud, kombiniert mit einem applikationszentrierten Ansatz, verbesserte die Situation des Kunden massgeblich. Die Web Application Firewall (WAF) als Teil des Applikationsstack erlaubt es dem Kunden nicht nur, die sicherheitsrelevante Zugriffsschicht von der zentralisierten, on-premise Infrastruktur zu entkoppeln. Vielmehr vermag dieser applikationszentrierte Ansatz auch die vollständige Integration des Security-Layers in den Entwicklungs- und Deployment-Lifecycle der Applikation zu gewährleisten. Dadurch kann insbesondere sichergestellt werden, dass das Zusammenspiel von WAF und Applikation bereits während der Entwicklung der Applikationen getestet wird.
Eine Dezentralisierung bringt jedoch nicht bei allen Aspekten der WAM-Infrastruktur Vorteile. Die Bewirtschaftung der Konfigurationen sowie das Log-Management und Reporting der container-basierten WAF-Instanzen wird weiterhin zentral zur Verfügung gestellt, teilweise als SaaS-Lösung, teils als zusätzliche Komponente in der Cloud-Umgebung des Kunden. Damit können bestehende Dashboards, Reporting- und Anomalie-Detection-Funktionalitäten zentral über die digitale Kundenschnittstelle «USP Connect®» genutzt werden.
Benefits für die Versicherungsbranche
Versicherer werden mit zusätzlichen, regulatorischen Anforderungen, steigendem Wettbewerb und enormem Kostendruck konfrontiert. Der Einsatz des USP Secure Entry Server® als «SaaS-Komponente» unterstützt Versicherungsunternehmen bei der Verfolgung Ihrer Wirtschaftlichkeitsziele hinsichtlich Leistungsfähigkeit und Reaktionszeit. Gleichzeitig ist sichergestellt, dass eine firmenweite Sicherheitsrichtlinie durchgesetzt und die Firmen-Guidelines eingehalten werden – auch in Multi-Cloud- und hybriden Umgebungen. Zusätzlich profitiert die Versicherungsbranche von sinkenden Kosten, beispielsweise durch den Wegfall von Anschaffungs- und/oder Investitionskosten in Hard- und Software. Im Rahmen der Nutzung in der Cloud kommt zudem ein «pay as you go»-Modell zum Tragen, welches nur Kosten in Abhängigkeit zur effektiven Nutzung generiert.