Datavant zentralisiert das Sicherheitsmanagement in einer Cloud-Umgebung mit sechs Unternehmen

In einer stark regulierten Branche erkannte das Produktsicherheitsteam von Daavant die Chance, ein modernes Sicherheitsmodell zu implementieren: Schaffung von Multi-Cloud-Transparenz und Governance, Verlagerung nach links, um Entwicklern die Möglichkeit zu geben, Risiken zu beheben, und Zentralisierung des Managements mit einem einzigen Tool.

Datavant

Industrie

Gesundheit

Region

Nordamerika

Cloud-Plattformen

AWS
Azure
Kubernetes

Entwickler-Plattformen

GitHub
Bereit für den Start?
Demo anfordern

Challenge

  • Die Sicherheits- und Entwicklungsteams von Daavant stellten Transparenzlücken in der Infrastruktur und den Prozessen des Unternehmens fest.  

  • Der Softwareentwicklungslebenszyklus (SDLC) des Unternehmens war übermäßig komplex. Einzelne Teams verwendeten unterschiedliche Tools und Prozesse, was zu inkonsistenten Sicherheits- und Risikobehebungsprozessen führte.  

  • Der dezentrale Ansatz führte zu einer Vielzahl von Sicherheitstools und erhöhte die Herausforderungen bei der Sammlung von Informationen und der Berichterstattung im Team.  

Lösung

  • Datavant kann jetzt alle seine Ressourcen in seiner Multi-Company- und Multi-Cloud-Umgebung anzeigen und nutzt den Wiz Security Graph, um Verbindungen und Risiken bis auf Containerebene abzubilden.

  • Datavant nutzte Wiz Admission Controller in Verbindung mit Wiz CLI-Pipelines-Scans und hat Integrations- und Bereitstellungssicherheitsüberprüfungen hinzugefügt, die es Entwicklern ermöglichen, Risiken proaktiv zu identifizieren, zu priorisieren und zu beheben und so die Risikolage des Unternehmens kontinuierlich zu verbessern.  

  • Das Unternehmen nutzt Wiz jetzt als eine einzige Sicherheitsplattform für Unternehmen, um kritische Risikoprozesse und Berichte zu rationalisieren.  

Holistic visibility icon

Holistic visibility

across six-company infrastructure, enabling teams to remediate risk more efficiently

51% reduction icon

51% reduction

in vulnerabilities and prevented net-new critical/high vulnerabilities from being introduced to the running environment.

Consolidated 7 security tools to 1 icon

Consolidated 7 security tools to 1

increasing savings by 50%, which will increase as other contracts end

Modernisierung des Sicherheitsmanagements in einer komplexen IT-Infrastruktur in einer regulierten Branche  

Datavant, ein Gesundheitsunternehmen, das ein digitales Ökosystem für die Anonymisierung und den sicheren Austausch von Patientendaten bietet, wird von mehr als 70.000 Krankenhäusern und Kliniken, 70 % der 100 größten Gesundheitssysteme, Pharmaunternehmen und anderen genutzt. Datavant anonymisiert und anonymisiert Daten und nutzt Technologien wie Datenreinräume, um sie Partnern zugänglich zu machen. Diese Organisationen nutzen diese Daten dann, um neue Medikamente, Therapien und Dienstleistungen zu entwickeln, die die Patientenversorgung und die Ergebnisse verbessern.  

Datavant brachte über mehrere Jahre hinweg sechs Geschwisterunternehmen zusammen. Durch die Zusammenführung der Infrastruktur entstand eine komplexe IT-Umgebung, die AWS, Azure und VMware Flex Cloud Storage sowie zahlreiche IT-Betriebs- und Entwicklungstools wie Terraform, Kubernetes, GitHub und GitLab umfasst. Darüber hinaus betreibt Datavant sowohl eine kommerzielle IT-Umgebung für Unternehmen des privaten Sektors als auch eine FedRAMP-Umgebung® für seine Regierungskunden.  

Aufgrund der dezentralen Organisationsstruktur des Unternehmens verwendeten die Entwicklungspods/-teams ihre eigenen Tools und waren individuell für die Sicherheit ihrer Produktlinien verantwortlich. Dies führte zu überlappenden Lösungen, hohen Softwarekosten und inkonsistenten Code-Sicherheitsrichtlinien. Infolgedessen fehlte Datavant ein zentralisierter Überblick über seine Infrastruktur- und Anwendungsrisiken und es waren nicht in der Lage, Best Practices für Sicherheit und Risikomanagement durchzusetzen.  

Wir wollten uns von einem Sicherheitsmodell, das als Walled Garden arbeitet, zu einem Modell entwickeln, bei dem unsere Entwicklungsteams an der proaktiven Bewertung und Behebung von Risiken beteiligt sind. Sicherheit sollte eingebaut und nicht an unsere Produkte angeschraubt werden

Übergang von dezentralen zu integrierten Sicherheitsprozessen 

"Datavant ist ein Unternehmen mit hoher Autonomie, aber unser dezentraler Ansatz bedeutete, dass unsere Software Development Lifecycle (SDLC)-Toolchain überall vorhanden war", sagt Nick Waringa, Head of Secure Product and Infrastructure bei Datavant. Die Teams verließen sich auf 7 unabhängige kommerzielle und Open-Source-Sicherheitstools, die unterschiedliche Funktionen und Ansichten boten.  

"Unsere Teams verwendeten inkonsistente Scan- und Behebungsprozesse, was bedeutete, dass Risiken möglicherweise unberücksichtigt blieben. Die Entwicklungsteams verbrachten auch Zeit damit, Informationen zu sammeln, um den Führungskräften zu berichten, dass sie sich stattdessen auf die Risikobehebung hätten konzentrieren können", sagt Jonathan Pautz, Senior Engineering Manager, Cloud Security, Datavant.   

Die Teamleiter für sichere Produkte und Infrastruktur sahen eine Chance, die Sicherheitsstrategie unseres Unternehmens zu modernisieren: Sie schufen eine ganzheitliche Transparenz über die sechs Unternehmen hinweg und verlagerten sich nach links, um Entwickler in die Lage zu versetzen, Risiken zu einem früheren Zeitpunkt in der Entwicklungspipeline zu erkennen, zu priorisieren und anzugehen. Das Sicherheitsteam von Daavant hat vier Plattformen eingehend evaluiert und sich aufgrund der kontinuierlichen Funktionsinnovationen von Wiz und der tiefen Vertrautheit des Teams mit der Plattform für Wiz entschieden. "Die Rundheit der Plattform machte es zu einer einfachen Wahl. Wiz war das erste Tool, das unternehmensweit in allen sechs Schwesterunternehmen eingesetzt wurde. Dazu gehören alle von Ihnen angenommenen Tools wie Personalwesen, Finanzen, Chat und Identität", sagt Waringa. 

Schnelle Einführung von Datavant Wiz CNAPP Funktionalitäten, beginnend mit Wiz CSPM und Wiz DSPM, die das Unternehmen in seinen AWS- und Azure-Umgebungen eingeführt hat, um persönliche Gesundheitsinformationen einfach zu identifizieren und Fehlkonfigurationen zu erkennen und zu beheben. Das Unternehmen nutzte dann den Wiz Terraform-Anbieter, um Terraform-Pipelines mit Prüfungen zu versehen und bereitzustellen IaC-Scannen um Aufgaben auszuführen und Geheimnisse, Schwachstellen und Fehlkonfigurationen in Terraform-Plänen und Kubernetes-Clustern zu erkennen. Datavant nutzt so viel vom Terraform-Anbieter, dass sie die gesamte Wiz-Instanz (Benutzer, Projekte und Regeln) terraformen. 

Das Unternehmen begann auch, Wiz Kubernetes-Zugangscontroller und Wiz Laufzeit-Sensor um die Echtzeit-Erkennung und Reaktion von Schwachstellen in über 1.700 Kubernetes, Containern und anderen Cloud-Workloads zu ermöglichen, und die Wiz VMware-Konnektor , um die virtuellen Maschinen zu scannen und zu standardisieren. "Unsere Entwickler haben jetzt einen vollständigen Überblick über diese Umgebungen, sie sehen Risiken im Kontext und ergreifen proaktive Schritte, um sie zu reduzieren", sagt Pautz. Das Team hat Containerüberprüfungen mit der Wiz-CLI während des Code-Heraufstufungsprozesses bereitgestellt. "Wir verpacken derzeit die Wiz CLI in Golang, um einen benutzerdefinierten PR-Ansatz bereitzustellen, der umfangreiche Wiz CLI-Daten für unsere Entwicklungsmitarbeiter bereitstellt", sagt Pautz. 

Sicherheits- und Entwicklungsteams verwenden jetzt Geheimes Scannen von Wiz Zum Ausführen automatisierter Scans für Code-Repositorys, Ausführungspipelines, Konfigurationsdateien, Commits und andere Datenquellen, um potenzielle Sicherheitsbedrohungen durch offengelegte Geheimnisse zu verhindern. Um Entwicklungs-Workflows zu optimieren, versieht das Sicherheitsteam Assets und Projekte in den Cloud-Anbietern mit Terraform mit Pod-/Teamnamen. Diese identifizierenden Tags werden dann in Wiz terraformiert, sodass Entwickler Projekte leicht finden können, die mit ihrem Pod/Team verknüpft sind. Das Sicherheitsteam schrieb außerdem eine benutzerdefinierte Regel, die Teams über Infrastrukturcontainer informierte, die sich nicht an die Tagging-Richtlinien hielten, um sicherzustellen, dass die Wiz-Projekt-Dashboards die Schwachstellenlast für die dezentralen Pods/Teams genau widerspiegeln.  

"Durch die Zentralisierung der Transparenz, die Automatisierung von Scans und die Aktivierung von Tagging hat Wiz es unseren funktionsübergreifenden Teams erleichtert, Risiken zu identifizieren und zu priorisieren", sagt Waringa. "Wir haben auch Regeln verwendet, um Best Practices für die Sicherheit durchzusetzen, einschließlich falsch konfigurierter Container." 

Wir haben Wiz bereits bei zwei anderen Unternehmen eingesetzt. Was uns dazu bewogen hat, uns wieder dafür zu entscheiden, sind all die Technologieentscheidungen, die Wiz immer wieder trifft, und die Geschwindigkeit, mit der sie neue Funktionen bereitstellen. Die Entscheidungen, die sie im Backend treffen, verbessern den Schutz der Umwelt im Frontend erheblich.

Proaktives Beheben von Schwachstellen, um Risiken und Kosten zu reduzieren  

Mit Transparenz über die Infrastruktur von sechs Unternehmen und automatisierten Risikoprozessen ist Datavant nun in der Lage, die Risikobehebung früher in den Entwicklungszyklus zu verlagern. "Durch die Zusammenarbeit unserer Sicherheits- und Entwicklungsteams haben unsere Sicherheits- und Entwicklungsteams die Anzahl der Container-Schwachstellen um 51 % reduziert", sagt Pautz. Dies ermöglicht es den Teams, sich auf die kontinuierliche Verbesserung zu konzentrieren, sich auf mittlere und niedrige Risiken zu konzentrieren und die Risikolage des Unternehmens zu verbessern. Heute verhindert Datavant, dass alle neuen kritischen und hohen Schwachstellen außerhalb von SLA in seine laufende Umgebung eingeführt werden. 

"Durch das Blockieren von Schwachstellen, sobald sie auftreten, können Entwickler Probleme beheben, wenn sie am einfachsten und billigsten zu beheben sind, bevor ihr Code in der Produktion läuft und Hooks, Integrationen oder andere Probleme aufweist, die eine Zusammenarbeit mehrerer Teams erfordern könnten", sagt Waringa.  

Die Möglichkeit, unsere gesamte Infrastruktur und ihre Funktionsweise zu sehen und zu verstehen, hat unsere Sicherheits- und Entwicklungsteams effizienter gemacht. Wir verwenden Wiz wie Google: Wenn wir wissen müssen, was in unserer Umgebung vor sich geht, öffnen wir sie einfach und verwenden den Wiz Security Graph, um diese Ressourcen abzufragen.

Partnerschaften zur Verbesserung der Sicherheitsfunktionen für den Markt  

Datavant pflegt eine enge Beziehung zu Wiz, bietet neue Funktionen an und testet neue Funktionen in der Beta-Phase. Das Unternehmen setzte die Admission Controller in der ersten Woche ihrer Veröffentlichung ein und führte eine eintägige Bereitstellung seines Federal Tenant durch, wobei es seine Strategie nutzte, um kurz nach der Leistung von Wiz "Terraform to tool" zu implementieren FedRAMP® Moderate Autorisierung.

"Als Kunde kann man sich nichts sehnlicher wünschen, als mit einem Partner sprechen zu können, der unsere Sicht auf die Zukunft der Sicherheit teilt, der den Business Case versteht, den wir erreichen wollen, und der hinter den Kulissen Berge versetzen kann", sagt Waringa. "Ich habe noch nie ein aufgeschlossenes Produktteam gesehen, das so gut zuhört wie das Wiz-Team."   

Eine personalisierte Demo anfordern

Bist du bereit, Wiz in Aktion zu sehen?

“Die beste Benutzererfahrung, die ich je gesehen habe, bietet vollständige Transparenz für Cloud-Workloads.”
David EstlickCISO
“Wiz bietet eine zentrale Oberfläche, um zu sehen, was in unseren Cloud-Umgebungen vor sich geht.”
Adam FletcherSicherheitsbeauftragter
“Wir wissen, dass, wenn Wiz etwas als kritisch identifiziert, es auch tatsächlich ist.”
Greg PoniatowskiLeiterin Bedrohungs- und Schwachstellenmanagement