FedEx står för digitalt ledarskap med Okta som en del av sin Zero Trust-strategi

Startat på 70-talet med rötterna i det digitala

När FedEx grundades 1973 var Frederick W. Smith redan besluten att leda den digitala transformationen. Han är känd för att ha sagt, "Informationen om paketet är lika viktigt som själva paketet." Det påstås att idén till sitt ikoniska företag kom från en uppsats han skrev när han läste ekonomi på Yale där han beskrev hur leverans dagen efter kunde fungera med hjälp av datorer.

Redan 1980 kopplade FedEx samman förare och gav kunderna spårningsinformation via landstäckande trådlöst nätverk knutet till företagets stordator. Webbplatser var helt nytt för de flesta företag 1994 men FedEx.com erbjöd då spårning via webben.

FedEx-kunder förväntade sig alltid en förstklassig service baserat på den senaste digitala tekniken, och fick det. Men tiden gick och företaget samlade på sig allt fler äldre system och stordatorprogram, säger Trey Ray, chef för cybersäkerhet på FedEx. För många år sedan påbörjade Rob Carter, CIO, en förnyelse av IT för att modernisera företagets infrastruktur.

Detta ledde till CIO100, ett prisbelönt Cloud Dojo-koncept där expertteam över hela organisationen kunde samarbeta och utveckla modern teknik på FedEx. "Vi använder nya utvecklingsverktyg så som Spring Boot, Spring Security och Angular", säger Ray. "Vi har också investerat i ramverket Cloud Foundry."

Spela "Klubba mullvad" med identiteter

Utvecklarna stötte dock på problem med säkerheten. "Vi hade tillbringat 20 år på att hitta de bästa lösningarna för identitet och åtkomsthantering (IAM)", säger han. Företaget drev ett VPN med lokal multifaktorautentisering (MFA), lokal federation och lokal hantering av webbåtkomst.

"Det var spelet 'Klubba mullvad' ur säkerhetssynpunkt," säger Pat O’Neil, cybersäkerhetsforskare på FedEx. "Alla dessa separata IAM-lösningar riskerade att ge fel i konfigureringen."

Ray håller med. "Trots att vi fick allt att fungera tillsammans med buntband och silvertejp gav systemet stora problem för våra programvaruutvecklare", säger han. "De försökte göra saker på modernt sätt och få det att fungera med denna äldre teknik."

Det "spagetti-diagram" som FedEx IAM-infrastruktur utgjorde skapade dessutom problem för de andra FedEx-teamen. "En FedEx-säljare var kanske tvungen att ange sitt lösenord fem gånger för att komma igång på morgonen", säger Ray.

Dessutom begränsade den komplexa infrastrukturen företaget till två identitetskataloger vilket gjorde allt långsammare. Detta var ett problem för ett företag som är fokuserat på att expandera sin verksamhet internationellt och lägga till nya tjänster.

Sökandet efter en IAM-lösning

För att lösa IAM-problemen började FedEx cybersäkerhetsteam att lägga ut IDaaS-lösningar (identitet som en tjänst). "Vi läste en massa whitepaper, tittade på YouTube-videor, talade med massor av experter och sen visste vi mer precis vad vi behövde", säger Ray.

Teamet lade ut en RFI-förfrågan som preciserade ytterligare. "FedEx ser allvarligt på sin sökning efter leverantörer och är kända för sin noggrannhet, fråga bara en Okta-säljare", säger Ray. FedEx valde Okta.

Han ger sex skäl för valet av Okta:

• Fungerar med befintliga FedEx-lösningar. "Okta kunde integrera det vi behövde", säger Ray. "Vi använder till exempel VMware Workspace ONE, och det finns nära kopplingar mellan Okta och Workspace ONE."
• Enkel implementering. "Det var viktigt för oss att kunna använda en enda konsol för hanteringen av säkerheten istället för att hoppa mellan fyra eller fem olika webbplatser", säger han.
• API-tillgänglighet "API First är en av våra lärdomar om förnyelse av IT", säger Ray. "Mycket av det man kan göra med Oktas administrationskonsol kan man också göra med API:er".
• Stort spektrum av MFA-alternativ. Förutom Okta Verify med Push stöder Okta maskinvarubaserade autentiseringsfaktorer och moderna autentiseringsfaktorer så som FIDO Alliance’s Universal 2nd Factor (FIDO U2F), Yubikey och WebAuthn.
• Universal Directory och möjligheten att enkelt samla identiteter från många kataloger. "Vi är ett stort företag. Vi köper upp företag vilket innebär att vi har många kataloger", säger Ray.
• God kompatibilitet med viktiga utvecklarlösningar så som Spring Boot, Spring Security och Cloud Foundry.

Bortom lösenord med Zero Trust

När cybersäkerhetsteamet på FedEx gjorde en översyn av företagets IAM-infrastruktur med syfte att förenkla och modernisera den så hade de också i bakhuvudet det bredare syftet att få fram en Zero Trust-säkerhetsmodell.

"Läckta lösenord är vanligtvis det första steget i kedjan att förhindra dataläckage. Det är så inkräktare får initial tillgång innan de kan röra sig genom nätverket och leta efter vägar att utöka sin behörighet", säger Ray. "Enbart lösenord är inte längre försvarbart eller tillräckligt för autentisering av FedEx-identiteter och skydd av våra digitala tillgångar."

I stället för att använda "tillit men verifiering" behandlar Zero Trust all nätverkstrafik, både intern och extern, som otillförlitlig aktivitet. För FedEx innebär detta att användare och enheter verifieras och varje inloggning utvärderas i sitt sammanhang. Resultatet används sedan för att anpassa inloggningsupplevelsen efter behörighetsnivå.

Företagets identitetsleverantörer är en stor del av Zero Trust-strategin, säger Ray, vilket gjorde det väldigt viktigt att välja rätt leverantör. "Okta Identity Cloud med IDaaS-modellen som använder Okta Universal Directory och Okta Single Sign-On blev lösningen för FedEx."

Oktas support för moderna autentiseringsprotokoll så som SAML 2.0 och OpenID Connect innebär att den kan stöda FedEx-appar oavsett om de är SaaS, molnbaserade eller äldre program.

Teamet drar också nytta av Oktas partnerskap med F5 för att överbrygga Zero Trust-modellen till äldre lokalt installerade program. "F5 BIG-IP Access Policy Manager (APM) transformerar protokoll med moderna metoder men skickar trots det tillbaka användaren till äldre program med alla headers eller cookies som varje program kräver", säger Prashanth Karne, chef för cybersäkerhet på FedEx. På detta sätt kan teamet säkra all HTTP-trafik till och från back-office-program utan att förlita sig på ett VPN.

Okta Adaptive Multi-Factor Authentication gör att FedEx kan lägga till krav på kontextbaserad verifiering av användare. Teamet är nu fokuserat på Okta Verify men använder äldre OATH hard tokens i vissa fall och provar också ut moderna autentiseringsfaktorer, t.ex. FIDO U2F, Yubikey och WebAuthn.

"När jag loggar in på Oktas administratörs-gränssnitt kan jag använda Touch ID på min MacBook och det är väldigt enkelt", säger Ray.

Device Trust är nästa byggblock av Zero Trust för FedEx. Det kontrollerar att varje enhet som använder företagets appar har en hög säkerhet och uppfyller alla regler. Ray ser fram mot att utforska Okta Platform Services som kan bädda in Okta i varje enhet och ge bättre översikt, kontextbaserade åtkomstbeslut och enhetliga lösenordsfria inloggningar för användare.

Med Okta hanterar cybersäkerhetsteamet på FedEx villkorsbaserad åtkomst för hela företaget från en enda motor för åtkomstpolicy som täcker alla appar i nätverket. "Detta är hjärnan i systemet", säger Ray. "Den hjälper oss att skräddarsy inloggningar oavsett om det är genom endast lösenord, inga lösenord alls eller lösenord med MFA. Motorn hjälper oss att bygga upp de principer och regler som ligger till grund för åtkomstbesluten."

Beteendeanalys av användare är det slutliga byggblocket av FedEx Zero Trust-strategi. Teamet använder Splunk och maskininlärningsteknik för att analysera alla identitetsdata som samlats in från Okta och använder dessa för att identifiera misstänkta beteenden och fatta proaktiva policybeslut.

Zero Trust: En fallstudie

Zero Trust förlitar sig intressant nog ofta på tillförlitliga relationer mellan teknik från olika leverantörer och partnerteam som samarbetar med att förbättra verifieringsfunktionerna. FedEx relation till VMware, Okta och Workday är ett bra exempel.

FedEx hanterar mobila enheter med Workspace ONE och använder Workday som system för HR-information. När Workday meddelade om möjligheten att begränsa självserviceåtkomst baserat på enhetstyp arbetade cybersäkerhetsteamet på FedEx tillsammans med Okta och VMware för att sätta upp ett regelverk som använde denna funktion.

Flödet involverade en serie av omdirigeringar så att Workspace ONE kunde kontrollera enhetsstatus och Okta kunde skicka den informationen till Workday. Användare med hanterade FedEx-enheter fick enkel lösenordsfri tillgång till sin information på Workday medan de som använde ohanterade enheter fick begränsad åtkomst via användarnamn, lösenord och Okta Verify med Push.

Snabb utplacering när det var som mest viktigt

I februari 2020 när covid-19 började påverka USA var FedEx-teamet fortfarande på ett tidigt stadium i processen med att integrera alla sina appar i Okta.

"På grund av den ökande mängden distansarbete blev vi tvungna att accelerera delar av det arbetet", säger Ray. Oktas seniora kundchef Ryan Rudnitsky koordinerade teamen från FedEx och Okta för det stora jobbet och uppdaterade FedEx-ledningen varje timme om hur arbetet gick.

"Under en 36-timmarsperiod flyttade vi Workday, Office 365, Webex, ServiceNow, Salesforce, Check Point VPN och Zoom till Okta", säger Ray. Båda teamen jobbade exceptionellt hårt och fick jobbet gjort.

Ray menar att mycket av teamens framgång berodde på en bra kommunikation. Innan de började använda Okta i företaget samarbetade de med FedEx kommunikationsteam för att skapa ett helt koncept för lösningen, "PurpleID", med en webbplats, e-post med information, frågor och svar samt reklamvideor som visar användare hur de går med i Okta Verify.

När han talade med andra säkerhetschefer som sätter samman Zero Trust-initiativ rekommenderade han också att säkra exekutiv sponsring. "Om du inte kommer fram hela vägen upp till CIO och CISO kan du lika gärna packa ihop och stanna i bilen", säger han.

Ray rekommenderar att projektet delas upp i hanterbara faser. För FedEx var det SaaS-appar, sedan molnbaserade appar och därefter äldre appar. Att ha ett nära samarbete med Okta var också viktigt och de använde en integrator från tredje part för att hjälpa till med "vissa knöligare saker."

Ett enhetligt moln för SaaS, lokalt installerade och molnbaserade appar

Resultaten gjorde det värt besväret. FedEx-teamet arbetar framgångsrikt med avskaffandet av äldre IAM-lösningar och att integrera sina 250 SaaS-appar, över 500 lokalt installerade appar och över 400 molnbaserade appar med sin Okta-lösning.

"Himmelriket för oss vore att kunna sprida våra appar till konsumtionsledet och hybridsituationer som samlokalisering eller till och med allmänna moln för att kunna hantera toppar i trafikvolymer som kan vara ett problem för vår verksamhet", säger O’Neil.

"Nu med den här modellen", säger han, "har vi ett ställe där vi kan utvärdera vårt säkerhetsläge. Utvecklingsteamen har bara en sak att oroa sig för. De gör autentisering och behörighetskontroll på ett enhetligt sätt oberoende var de är placerade".

Teamet är dessutom i en position när det får M&A-aktivitet att de kan använda en enkel, lokalt installerad agent för att samla identitetskataloger i Okta Universal Directory. Den strategin hjälper dem att integrera nya företag mycket snabbare.

Med en molnbaserad plattform som täcker SaaS-appar, molnbaserade appar och äldre appar, samt en enhetlig katalog för FedEx hela personal så kan alla logga in och arbeta med mindre friktion och mindre trassel. Samtidigt innebär företagets heltäckande Zero Trust-strategi att FedEx data och appar blir säkrare hela tiden.

Om FedEx

FedEx Corp. ger kunder och företag runt om i världen en bred portfölj av transporter, e-handel och företagstjänster. Företaget har en årlig omsättning av 70 miljarder USD och erbjuder integrerade affärslösningar genom att driva företag i kollektiv konkurrens som alla hanteras under gemensamma namnet FedEx. FedEx är kontinuerligt rankat bland världens mest beundrade och pålitliga arbetsgivare och inspirerar sina över 475 000 teammedlemmar att vara fokuserade på säkerhet, högsta etiska och professionella standarder samt behoven hos kunder och samhälle.