Herausforderungen
Die Verwaltung einzelner Regelsätze für die drei Cloud-Dienstleister in der Umgebung von Bouygues Telecom erhöht die Komplexität und den Verwaltungsaufwand für das Cloud-Team.
Der eingeschränkte Zugriff auf Anwendungen und Projekte für mehrere Teams innerhalb von Bouygues Telecom – einschließlich des Sicherheitsteams – bedeutete, dass sie das Cloud-Team per E-Mail um Unterstützung bitten mussten. Das erhöhte die Belastung für deren Mitglieder.
Eine geplante Einführung von Kubernetes und serverlosen Technologien eröffnete möglicherweise neue Sicherheitsflächen, die die Einführung der neuen Dienste behinderten.
Lösungen
Bouygues Telecom wendet den gleichen Regelsatz auf jeden Workload an, unabhängig von der Cloud, in der er ausgeführt wird, und verwendet native Steuerelemente, die in Wiz enthalten sind.
Bouygues Telecom bietet Sicherheits- und Architekturteams sowie Projektmanagern durch Wiz RBAC Zugriff auf Anwendungen und reduziert so die Arbeitsbelastung des Cloud-Teams für die Behebung von Vorfällen und Schwachstellen.
Bouygues Telecom untersucht das Potenzial von Wiz für die Verwaltung von Kubernetes und serverlosen Umgebungen, die in den nächsten zwei bis drei Jahren voraussichtlich seine Architektur dominieren werden.
Innovation in der Telekommunikation vorantreiben
Konnektivität ist für Menschen und Unternehmen in ganz Frankreich von entscheidender Bedeutung. Und die Öffnung des Telekommunikationsmarktes des Landes für neue Betreiber im Jahr 1998 hat das Angebot und die Qualität der verfügbaren Dienste erhöht. Bouygues Telecom gehörte zu den ersten Betreibern, die in den neuen Wettbewerbsmarkt eintraten und bietet seinen Kunden qualitativ hochwertige Sprach- und Datenverbindungen. Bouygues Telecom ist ein agiles Unternehmen mit fast 8.000 Mitarbeitern und bekannt für Innovation mit Errungenschaften wie der Markteinführung von IPTV.
Sichern einer Multi-Cloud-Umgebung
Als Cloud Expertise Manager bei Bouygues Telecom ist Mael Louvet für die Erstellung und den Betrieb einer Multi-Cloud-Infrastruktur verantwortlich, die AWS, GCP und Azure sowie eine breite Palette von On-Premise-Servern umfasst. Sein Team von 10 Architekten bietet Governance, Anleitung und Sicherheitsarchitektur für alle Cloud-Plattformen. „Wir übernehmen bei den Anwendungs- und Betriebsteams, die auf verschiedenen Cloud-Plattformen arbeiten, viel Beratungsarbeit“, sagt Louvet.
„Wir arbeiten eng mit Cloud-Anbietern wie AWS, GCP und Azure zusammen, um Kunden den Zugang zu neuen Netzwerken, Technologien und sozialen Medien zu erleichtern. Und wir wenden eine Prämie auf Abonnements an, um in die Verbesserung der Qualität unserer Netzwerke zu investieren.“
Damit Bouygues Telecom das volle Potenzial seiner Multi-Cloud-Investition auszuschöpfen, entwickelt es seine Anwendungsarchitektur weiter, um serverlose Technologien zu integrieren und in das Kubernetes Open-Source-Container-Orchestrierungssystem zu migrieren. So ist eine Standardisierung über veraltete und serverlose Anwendungen hinweg möglich. Das Unternehmen stellt auch auf Software-as-a-Service (SaaS) für Anwendungen um, die es aufgrund der Komplexität bei der Verwaltung einer Vielzahl von Mikrodiensten nicht einfach in Kubernetes verwalten kann.
Verwenden von Security-by-Design zum Schutz einer Multi-Cloud-Umgebung
Bouygues Telecom wendet eine Security-by-Design-Methodik an, um seine Multi-Cloud-Umgebung zu schützen. Dieser Ansatz bettet Sicherheit in jede Ebene der Technologiearchitektur ein und stellt sicher, dass jeder Benutzer oder jedes System nur auf jene Systeme und Daten zugreift, die für die Ausführung autorisierter Aufgaben erforderlich sind.
Zu den Maßnahmen, die das Team von Louvet für eine erhöhte Sicherheit auf der gesamten Plattform von Bouygues Telecom ergriffen hat, gehören:
Automatisierung der Plattformerstellung, um die Kontrolle über Bereitstellungen zu verbessern;
Implementierung von Autonomie, um Teams und Einzelpersonen zu ermächtigen, die Anwendungen zu verwalten, die sie auf der Plattform bereitstellen;
Enge Zusammenarbeit mit dem dedizierten Cyber-Governance-Team von Bouygues Telecom an einer Sicherheitscheckliste, die jeder Benutzer vor dem Zugriff auf die Cloud-Umgebung überprüfen muss, und;
Verwenden eines Sicherheitstools zur Automatisierung der Steuerung der überwachten Umgebung.
Optimierung der Sicherheit im gesamten Unternehmen
Nachdem Bouygues Telecom zunächst ein Produkt für Cloud Security Posture Management (CSPM) eines anderen Anbieters genutzt hatte, das nicht funktionierte, wechselte das Unternehmen zu Wiz. „Das war eine der enormen Verbesserungen, die wir vorgenommen haben, um sicherzustellen, dass die Sicherheit auf dem von uns gewünschten Niveau ist“, sagt Louvet. „Wir sind umgestiegen, weil wir eine Multi-Cloud-Lösung implementieren und Workloads für AWS, GCP oder Azure haben werden. Bei unserem vorherigen Sicherheitstool hätten wir die Regeln für jede Cloud neu schreiben müssen. Das hätte bedeutet, dass wir drei spezifische Regelwerke hätten befolgen müssen, um zu gewährleisten, dass wir Daten und Systeme in jeder Cloud sicher halten.“
Wiz bietet auch Kontextualisierungen, die es Bouygues Telecom ermöglichen, Daten über ein Problem mit anderen Ereignissen, Schwachstellen oder Problemen in seiner breiteren Umgebung zu korrelieren. Das erleichtert die Arbeit von Sicherheitsanalysten bei der Überprüfung des Risikoprofils des Unternehmens. „Diese Kapazität war für uns sehr interessant und etwas, das wir bei alternativen Lösungen nicht gesehen haben“, sagt Louvet.
Wir wollten die gleichen Regeln auf alle verschiedenen Clouds anwenden, mit denen wir arbeiteten, und haben viele verschiedene Lösungen ausprobiert, um dies zu erreichen. Nur Wiz stellte diese Funktion nativ in seine Lösung eingebettet zur Verfügung.
Die Implementierung von Wiz weitet die Sicherheitsverantwortung auf andere Teams aus
Durch die Implementierung von Wiz wird die Sicherheitsverantwortung beim Telekommunikationsanbieter vom Cloud-Team auf andere Teams und Einzelpersonen innerhalb des Unternehmens ausgeweitet. Die Sicherheits- und Architekturteams von Bouygues Telecom und seine Projektmanager erhalten den Zugang und die Autonomie, um Änderungen an den von ihnen verwalteten oder gewarteten Anwendungen vorzunehmen und die benötigten Sicherheitsdaten direkt zu erhalten. „Wenn wir durch rollenbasierte Zugriffskontrolle (RBAC) spezifischen Zugriff auf einen kleinen Teil der Plattform gewähren können, ist es sehr einfach, jedem Team Autonomie zu verleihen“, sagt Louvet. „Früher konnten wir nur einer kleinen Gruppe von Personen einen globalen Überblick bieten, während andere, die möglicherweise keinen Zugang hatten, sich bei uns erkundigen mussten, ob es ein Problem gab.“
Die einfache Integration von Wiz hat es Bouygues Telecom ermöglicht, Wiz mit dem ServiceNow-System zu verbinden, das für das IT-Servicemanagement verwendet wird. Jeder Vorfall oder jede Schwachstelle, die von Wiz registriert wird, löst ein Ticket in ServiceNow aus, das an das entsprechende Team zur Behebung gesendet wird. „Da das Management die KPIs direkt über eine einzige Oberfläche in ServiceNow verfolgt, wird es für uns ein Leichtes sein, Druck auf Teams auszuüben, die ihre Bereitstellungen patchen oder die Compliance über dieses System sicherstellen müssen“, erklärt Louvet. „Das von Wiz angebotene ServiceNow-Plugin macht dies zu einem vergleichsweise einfachen Prozess.“
Im Rahmen einer breiteren Shift-Left-Strategiewollte das Team von Bouygues Telecom, dass sich seine Entwickler um die Sicherheit ihres Dienstes kümmern. Zur Erreichung dieses Ziel nutzten sie das Wiz-cli-Kommandozeilentool, um den Code vor der Bereitstellung zu überprüfen. Und sie erwarten, dass die Implementierung Anfang 2023 abgeschlossen sein wird. „Die Bereitstellung ist immer eine Herausforderung für jedes IT-Team. Wir haben uns zudem entschieden, jede Anwendung mithilfe von CI/CD (Continuous integration/continuous deployment) mit Infrastructure-as-Code bereitzustellen“, sagt Louvet. „Wir zwingen jedes interne Team, ein CI/CD-Tool zu verwenden, und sie müssen den gesamten Infrastruktur- und Anwendungscode in einer GitLab-Projektbasis beschreiben. Jetzt, wo das eingerichtet ist, können wir viel mehr Sicherheit gewährleisten, da es nur eine Möglichkeit gibt, Assets in der Cloud bereitzustellen.“
Buges Telecom testet jetzt Wiz’ Container-Sicherheit um Expositionen über Netzwerke und Container hinweg zu erkennen und zu identifizieren. Nach der Einrichtung überprüfte Wiz jeden Teil der Plattform von Bouygues Telecom, einschließlich kleiner Elemente von Containern in Kubernetes, auf Sicherheitsalarme oder die Nichteinhaltung von Sicherheitsrichtlinien und scannt Kubernetes-Cluster auf Netzwerkexpositionen.
Kubernetes kommt mit vielen kleinen Blöcken und in jedem kann eine neue Sicherheitsverletzung enthalten sein. Wir müssen also eingreifen und Wiz auf einer kleineren Ebene verwenden, um sicherzustellen, dass jede der Bereitstellungen weiterhin mit den Sicherheitsregeln konform ist.
Stärkung der Sicherheitskultur und -praktiken von Bouygues Telecom
Mit einer agentenlosen Lösung, die eine vollständige Abdeckung und Sichtbarkeit der Umgebung bietet, hat der Einsatz von Wiz die Sicherheitskultur und -praktiken bei Bouygues Telecom gestärkt. Das Unternehmen misst den Erfolg seiner Wiz-Implementierung anhand von zwei wichtigen KPIs: Engagement und Akzeptanz. „Die Anzahl der Personen, die auf Wiz freigeschaltet werden wollen, ist extrem schnell gewachsen. Letztes Jahr haben wir ein kleines Team von Security Champions für die Schulung zu Sicherheitsthemen zusammengestellt“, sagt Louvet. „Jetzt ist diese Zahl auf 50 oder 60 angewachsen. Zudem veranstalten wir spezielle Meetings, an denen die Führungsebene für unsere riesigen Entwicklungsdomänen teilnimmt, und wir zeigen bei diesen Wiz-Dashboards. Zusammen sorgen diese Faktoren für eine große Akzeptanz in und einen echten Erfolg für unser Team.“
Bouygues Telecom profitiert von einer erhöhten Sichtbarkeit, mehr Verantwortung für Schwachstellen und Problembehebung sowie einer effizienteren Ressourcenzuweisung. Über das Wiz-Dashboard kann das Unternehmen ganz einfach den Status von Schwachstellen und Vorfällen über mehrere Clouds hinweg überprüfen. Und das Tool bietet einen klaren Überblick darüber, welche Teams und Einzelpersonen an welchem Problem arbeiten. Zudem ermöglicht der Wiz Security Graph dem Unternehmen, die verschiedenen Vorgänge zu identifizieren, die auf externe Netzwerke zugreifen, oder den Status seines Netzwerks zu einem bestimmten Zeitpunkt für Audits anzuzeigen.
Das Unternehmen kann nun Probleme und Schwachstellen in seiner gesamten Architektur effektiv einstufen, um sie zu beheben. „Unsere oberste Priorität hat die externe Exposition, und wir arbeiten hier an Problemen und Schwachstellen basierend auf Schweregrad, Internetexposition und Umgebung”, erklärt Louvet. „Wir konzentrieren uns besonders auf unsere Produktionsumgebung, in der Kundendaten gespeichert werden.“
Da die Multi-Cloud-Umgebung von Bouygues Telecom nun sicher ist und reibungslos funktioniert, erwägt dessen Muttergesellschaft, die Bouygues Group, den Aufgabenbereich des Telekommunikationsunternehmens zu erweitern, um Teams in allen seinen Unternehmen zu beraten. Diese erweiterte Rolle kann auch die Infrastruktur und die damit verbundenen Tools umfassen, was möglicherweise den Weg für Wiz ebnet, eine größere Rolle bei der Sicherung von Unternehmen der Bouygues-Gruppe zu übernehmen.
Die Wiz-Implementierung war so erfolgreich, dass das Tool in allen Unternehmen unserer Muttergesellschaft Bouygues eingesetzt werden kann, einschließlich Bauwesen, Immobilienentwicklung und Medienunternehmen.
