Lektionen von einem digitalen Giganten: Wie eBay Cyber-Resilienz erreichte – 3.000 Server segmentiert, ohne dass eine App kaputt ging

Vom Support Desk zum Security Lead

Mit 134 Millionen aktiven eBay-Käufern in mehr als 190 Märkten verbirgt sich hinter dieser Größenordnung eine komplexe Infrastruktur, die Tausende von Workloads umfasst. Um widerstandsfähig zu bleiben, brauchte eBay mehr als nur traditionelle Perimeterverteidigung. Das Unternehmen benötigte ein neues Sicherheitsmodell, das für hybride Umgebungen, dynamische Workloads und ständige Veränderungen entwickelt wurde.

Dieses Modell war Zero Trust. Und hier kommt Brian Hansen ins Spiel, der jetzt als leitender Systemadministrator bei dem Online-Händler tätig ist.

"Ich habe angefangen, im Kundenservice Anrufe zu beantworten", erinnert sich Brian. "Dreiundzwanzig Jahre später leite ich eine groß angelegte Illumio-Implementierung, die über 3.000 Server schützt. Nicht, weil ich als Sicherheitsexperte angefangen habe – sondern weil ich ja gesagt habe. Als sein direkter Vorgesetzter den Vorstoß von eBay in Richtung Mikrosegmentierung, einer wichtigen Säule von Zero Trust, anführte, trat Brian ein – obwohl er keinen formalen Hintergrund im Bereich Sicherheit hatte. "Ich hatte null Erfahrung im Sicherheitsbereich. Ich wusste, was eine Firewall ist, aber das war es auch schon", sagt er. "Aber wir hatten das Mandat - und die Werkzeuge -, es richtig zu machen."

Die Herausforderung: Komplexität bei Cloud-Geschwindigkeit

Mit mehr als 3.000 Windows- und Linux-Servern, die rund 250 einzigartige Anwendungen unterstützen – und insgesamt etwa 350 Umgebungen, wenn Entwickler und Qualitätssicherung einbezogen werden – reichten herkömmliche Perimeter-Firewalls nicht mehr aus. Das Team benötigte:

• Einblick in die tatsächliche Kommunikation von Anwendungen
• Kontrolle zur Eindämmung von Gefahren – auch nach einer Sicherheitsverletzung
• Ein Rollout, der nichts kaputt machen würde
• Geschwindigkeit und Skalierbarkeit ohne zusätzliche Komplexität
  

"Früher haben wir versucht, jede Gefahr abzuwehren", sagt Brian. "Wir mussten das Modell umdrehen, um es proaktiv einzudämmen und zu kontrollieren."

Wie eBay die Segmentierung eingeführt hat – sicher, schrittweise und skalierbar

Die Reise begann mit der Sichtbarkeit, wobei Illumio im Beobachtungsmodus betrieben wurde. "In den ersten Monaten haben wir uns auf die Sichtbarkeit konzentriert", erklärt Brian. "Das hat uns geholfen, Selbstvertrauen aufzubauen. Als wir sahen, welcher Verkehr floss – und was nicht sein sollte –, konnten wir ohne Angst handeln."

Ausgestattet mit Echtzeit-Verkehrskarten gingen sie schrittweise zur Durchsetzung der Richtlinien über. Sie gruppierten Server nach Anwendung und Umgebung, erstellten Regeln in kleinen Batches, validierten sie und skalierten sie dann hoch. "Wir haben nicht versucht, den Ozean zum Kochen zu bringen. Wir haben ein solides Regelwerk nach dem anderen erstellt", sagt Brian.‍

Mithilfe von Microsoft Endpoint Manager und PowerShell-Skripts automatisierte das Team die Bereitstellung und dynamische Bezeichnung. Nahezu jede neue Workload wird online gestellt, gekennzeichnet und in voller Durchsetzung. "Wir haben die Etiketten im Voraus erstellt. Sobald also ein Workload online geht und dieses Label erhält, ist die Richtlinie bereits vorhanden", erklärt Brian.

Aber die Automatisierung vereinfachte nicht nur die Bereitstellung, sondern deckte auch versteckte Risiken auf.

"Wir entdeckten, dass alte Zustandsprüfungen von Load Balancern noch ausgeführt wurden, falsch geleitete App-Aufrufe und offene Ports, die niemand verwendete", sagt Brian. "Illumio hat uns geholfen, das alles zu beenden." Sogar App-Besitzer waren überrascht: "Sie sagten: 'Moment, wir verwenden diesen Port immer noch?' Und wir zeigten ihnen die Daten."

Geschäftskritisch zuerst: Schützen Sie, was am wichtigsten ist

‍
Illumio hat nicht nur Gefahren gestoppt. Es wurde unbekannter und unerwünschter Datenverkehr angezeigt.

Das Team begann damit, die wichtigsten Assets – DNS, Domain-Controller, Identitätssysteme – zu sperren und ging dann nach außen. "Wenn diese ausfallen, geht alles andere kaputt", sagt Brian. "Illumio, lass uns zuerst einen widerstandsfähigen Kern aufbauen."

Der Erfolg war nicht nur technischer, sondern auch organisatorischer Natur. "Wir haben mit Netzwerk-, Infrastruktur- und App-Teams zusammengearbeitet. Jeder hat seinen Teil dazu beigetragen. Das hat es so erfolgreich gemacht", erzählt Brian. "Wenn etwas kaputt geht, kommen die App-Teams jetzt zu uns, um zuerst Illumio zu überprüfen. In der Regel können wir das Problem innerhalb von Minuten erkennen."

Für Brian ist Illumio nicht nur ein einmaliges Projekt. Es ist ein lebendiger Teil der Zero Trust Sicherheitsstrategie von eBay. "Wir verfeinern regelmäßig die Richtlinien und überwachen sie auf Anomalien. Wir verbessern uns ständig." Und sein Rat für andere? "Warten Sie nicht, bis Sie alles herausgefunden haben. Alles, was du mit Illumio machst, macht dich sicherer als gestern."

Ergebnisse, auf die es ankommt

• Keine Ausfallzeiten: "Wir haben während des Rollouts keine einzige App kaputt gemacht."
• Schnellere Fehlerbehebung: "Wir können Probleme innerhalb von Minuten und nicht in Stunden lösen."
• Sauberere Umgebungen: "Wir haben Legacy-Flows, veraltete Konfigurationen und lauten Datenverkehr entfernt."

‍