Lições de um gigante digital: como o eBay alcançou a resiliência cibernética — segmentando 3.000 servidores e nunca quebrando um aplicativo

Da central de suporte ao líder de segurança

Com 134 milhões de compradores ativos do eBay em mais de 190 mercados, por trás dessa escala está uma infraestrutura complexa que abrange milhares de cargas de trabalho. Para manter a resiliente, o eBay precisava de mais do que apenas as defesas de perímetro tradicionais. A empresa precisava de um novo modelo de segurança desenvolvido para ambientes híbridos, cargas de trabalho dinâmicas e mudanças constantes.

Esse modelo era de confiança zero. E é aí que entra Brian Hansen — agora administrador sênior de sistemas na varejista on-line.

“Comecei atendendo telefones no atendimento ao cliente”, lembra Brian. “Vinte e três anos depois, estou liderando uma implantação do Illumio em grande escala, protegendo mais de 3.000 servidores. Não porque eu tenha começado como um especialista em segurança, mas porque eu disse sim." Quando seu gerente direto liderou o impulso do eBay para a microsegmentação, um dos principais pilares da confiança zero, Brian assumiu o comando, apesar de não ter experiência formal em segurança. "Eu não tinha nenhuma experiência em segurança. Eu sabia o que era um firewall, mas só isso”, diz ele. “Mas tínhamos o mandato — e as ferramentas — para fazer isso da maneira certa.”

O desafio: complexidade na velocidade da nuvem

Com mais de 3.000 servidores Windows e Linux suportando cerca de 250 aplicativos exclusivos — e cerca de 350 ambientes no total, incluindo desenvolvimento e controle de qualidade — os firewalls de perímetro tradicionais não eram mais suficientes. A equipe precisava de:

• Visibilidade de como os aplicativos realmente se comunicam
• Controle para conter ameaças — mesmo após a violação de dados
• Um lançamento que não quebraria nada
• Velocidade e escala sem aumentar a complexidade
  

"Costumávamos brincar de pega-pega tentando bloquear todas as ameaças", diz Brian. “Tivemos que inverter o modelo para conter e controlar proativamente. "

Como o eBay implementou a segmentação - com segurança, gradualmente e em escala

A jornada começou com visibilidade, operando o Illumio no modo de observação. “Nos primeiros meses, nos concentramos na visibilidade”, explica Brian. “Isso nos ajudou a criar confiança. Quando vimos o tráfego que estava fluindo - e o que não deveria estar - pudemos agir sem medo."

Munidos de mapas de tráfego em tempo real, eles passaram a aplicar a política em etapas. Agrupando servidores por aplicativo e ambiente, eles criaram regras em pequenos lotes, as validaram e depois aumentaram a escala. “Não tentamos ferver o oceano. Criamos um conjunto sólido de regras por vez”, diz Brian.․

Usando scripts do Microsoft Endpoint Manager e do PowerShell, a equipe automatizou a implantação e a rotulagem dinâmica. Quase todas as novas cargas de trabalho são fornecidas on-line, rotuladas e totalmente aplicadas. “Nós construímos as etiquetas com antecedência. Então, assim que uma carga de trabalho fica on-line e recebe esse rótulo, a política já existe”, explica Brian.

Mas a automação não apenas simplificou a implantação, mas também revelou riscos ocultos.

“Descobrimos que antigas verificações de integridade do balanceador de carga ainda estão em execução, chamadas de aplicativos mal roteadas e portas abertas que ninguém estava usando”, diz Brian. “A Illumio nos ajudou a acabar com tudo isso.” Até mesmo os proprietários de aplicativos ficaram surpresos: “Eles diriam: 'Espere, ainda estamos usando essa porta? ' E mostraríamos a eles os dados.”

Missão essencial em primeiro lugar: proteger o que é mais importante

‍
A Illumio não parou apenas com as ameaças. Ele trouxe à tona tráfego desconhecido e indesejado.

A equipe começou bloqueando os ativos mais importantes - DNS, controladores de domínio, sistemas de identidade - e depois partiu para o exterior. “Se eles caírem, todo o resto cai”, diz Brian. "Illumio, vamos construir um núcleo resiliente primeiro."

‍Osucesso não foi apenas técnico - foi organizacional. “Trabalhamos com equipes de rede, infraestrutura e aplicativos. Todos desempenharam um papel. Foi isso que o tornou bem-sucedido”, compartilha Brian. “Quando algo falha, as equipes de aplicativos agora vêm até nós para verificar o Illumio primeiro. Normalmente, podemos identificar o problema em minutos. "

Para Brian, o Illumio não é apenas um projeto único. É uma parte viva da estratégia de segurança de confiança zero do eBay. “Refinamos regularmente as políticas e monitoramos anomalias. Estamos sempre melhorando.” E seus conselhos para outras pessoas? “Não espere até que você tenha tudo resolvido. Qualquer coisa que você fizer com o Illumio o deixará mais seguro do que estava ontem.”

Resultados que importam

• Tempo de inatividade zero: “Não quebramos um único aplicativo durante o lançamento”.
• Solução de problemas mais rápida: “Podemos resolver problemas em minutos, não em horas”.
• Ambientes mais limpos: "Removemos fluxos antigos, configurações desatualizadas e tráfego ruidoso."

‍