Challenge
Die Integrationsplattform Digibee wuchs schnell und verdoppelte die Kundenzahl in nur sechs Monaten. Aber in dieser Wachstumsphase führte Digibee getrennte Sicherheitstools ein, die das Erreichen vollständiger Transparenz zu einer Herausforderung machten.
Das Team hatte Mühe, alle Risiken in der weitläufigen Cloud-Umgebung von Digibee zu identifizieren und zu beheben, die Tausende von virtuellen Maschinen und Kubernetes-Clustern umfasst.
Während Digibee wuchs, musste das Unternehmen seine Anforderungen an die Compliance-Zertifizierung aufrechterhalten, insbesondere in Bezug auf PCI DSS-Zahlungskartendatensicherheit und SOC Typ 1 & 2 Validierung von Cybersicherheitskontrollen, um die Erwartungen von Kunden und Prüfern zu erfüllen.
Lösung
Digibee hat seinen Sicherheitsansatz und seine konsolidierte Multi-Cloud-Transparenz mit Wiz vereinheitlicht, um seine wachsende Umgebung trotz eines schlanken Teams zu schützen.
Digibee identifiziert schnell und einfach Risiken mit der agentenlosen Lösung von Wiz – auch einzelne Kubernetes-Cluster und virtuelle Maschinen –, um die gesamte Cloud-Umgebung besser zu überwachen.
Digibee erstellt automatisch Berichte, die die Anforderungen von Kunden und Prüfern an die Compliance-Zertifizierung erfüllen, insbesondere in Bezug auf die Sicherheit von Zahlungskartendaten und die Validierung von Cybersicherheitskontrollen.
Wachstumsstarkes Digibee sorgt für Paradigmenwechsel in der Systemintegration
Digibee ist ein in der Cloud geborener Low-Code-Anbieter von Integrationsplattform-as-a-Service (iPaaS). Es wurde für Entwickler entwickelt, skaliert Integrationen, optimiert Entwicklerressourcen und unterstützt IT-Führungskräfte bei der Bereitstellung leistungsstarker Produkte und Services.
Das 2017 gegründete Unternehmen mit Hauptsitz in Weston, Florida, reduziert die Komplexität der IT-Integration drastisch und ermöglicht es Unternehmen, ihre Legacy-Systeme bis zu zehnmal schneller digital zu transformieren als andere Lösungen.
Der Bedarf an Integrationen löst rund um 60 % der weltweiten IT-Backlogs. Digibee ermöglicht es seinen Kunden, diese Rückstände schnell abzubauen, eine zukunftssichere Architektur einzuführen und schnell zu integrieren und zu innovieren, ohne eine einzige Zeile Code oder Investitionen in neue Systeme zu benötigen.
Digibee verdoppelte sein Kundenportfolio in nur sechs Monaten und ist heute ein wichtiges Integrationstool für mehr als 250 Unternehmenskunden, darunter Itau, Johnson Brothers und Payless. Das Unternehmen musste schnell skalieren, um dieser Nachfrage gerecht zu werden, mehr Cloud-Dienste einführen und mehr Mitarbeiter einstellen. Diese schnelle Expansion bedeutete, dass Digibee seine Cloud-Sicherheit auf die nächste Stufe heben musste.
Aufbau eines marktführenden iPaaS-Unternehmens während des Fluges
In den fünf Jahren des starken Wachstums wurde die Cloud-Sicherheit von Digibee von mehreren Stakeholdern verwaltet. In dieser Zeit schuf das Unternehmen eine große und komplexe Cloud-Umgebung, um die Integrationsanforderungen seiner Kunden zu erfüllen. Diese Erweiterung umfasste Cloud-native Technologien wie Kubernetes-Cluster und virtuelle Maschinen, aber mit zunehmender Cloud-Komplexität benötigte das Unternehmen einen einheitlichen Sicherheitsansatz.
Digibee nutzte Google Security Center als wichtigstes Sicherheitstool, aber da es einen Multi-Cloud-Ansatz für seine Infrastruktur verfolgte, fehlte den Teams eine einheitliche Ansicht ihrer gesamten Cloud-Umgebung. Dies bedeutete, dass es schwierig war, alle Risiken, mit denen Digibee konfrontiert war, zu identifizieren und zu mindern.
Wir wuchsen schnell, hatten aber nicht die Transparenz über unsere IT-Systeme hinweg, die wir brauchten. Wir hatten auch Kunden, die uns um Sicherheitszertifizierungen baten, um zu beweisen, dass unsere Systeme sicher und zuverlässig waren und die richtige Verfügbarkeit aufwiesen. Wir haben das Flugzeug im Grunde während des Fluges gebaut.
Als das Unternehmen wuchs, verlangten immer mehr Kunden, Investoren und Wirtschaftsprüfer Nachweise, dass die Cloud-Umgebung von Digibee ihre Sicherheitsstandards erfüllte.
"Wir hatten über 1.000 VMs unter Verwaltung, was eine ziemlich große Umgebung ist, aber wir hatten nicht die Transparenz, die wir brauchten. Das machte die Due-Diligence-Prüfungen zu einer großen Herausforderung", erklärt Tiago Bernardinelli, Head of Cloud Engineering & Globale Aktivitäten bei Digibee.
Um weiter wachsen zu können, musste das Unternehmen Sicherheitszertifizierungen bereitstellen, wie z. B. PCI DSS, Zahlungskartendatensicherheit und SOC Typ 1 & 2 Validierung von Cybersicherheitskontrollen – schnell und einfach. Dies musste auch ohne eine dedizierte Cloud-Sicherheitsfunktion erreicht werden, also machte sich das Unternehmen auf die Suche nach einem externen Partner, dem es auf seinem Weg zur Sicherheit vertrauen konnte.
Digibee beschleunigt seinen Weg zur Cloud-Sicherheit
Digibee wollte einen vollständigen Einblick in seine Cloud-Umgebungen, der von einer einheitlichen, optimierten Cloud-Sicherheitsplattform bereitgestellt wird. Das Unternehmen entschied sich für Wiz, um vollständige Cloud-Transparenz in einem Dashboard zu erreichen und Fehlkonfigurationen schnell zu erkennen und zu beheben.
Die Konsolidierung der Cloud-Sicherheit hilft Teams auch dabei, personenbezogene Daten (PII) in der Cloud-Umgebung von Digibee zu finden und sicherzustellen, dass sie auf der Grundlage der Anforderungen ihrer Kunden und Prüfer vollständig konform sind. Es kann auch effizienter Compliance-Berichte erstellen, die problemlos mit internen und externen Stakeholdern geteilt werden können.
Das Unternehmen war auch in der Lage, Sicherheitslücken zu minimieren, indem es den gesamten neuen Softwarecode scannte, der die CI/CD-Pipeline (Continuous Integration and Continuous Deployment) von Digibee durchläuft. Durch die ständige Überwachung von neuem Code ist das Unternehmen sicherer und kann Betriebskosten sparen, indem es ungenutzte Cloud-Ressourcen, die während des Scannens aufgedeckt werden, identifiziert und abschaltet.
Durch die Erfüllung dieser Anforderungen erhielt Digibee ein besseres Verständnis dafür, wie seine Ressourcen miteinander verbunden sind, und schuf eine einzige Quelle der Wahrheit für alle seine Sicherheitsinformationen.
Das erste, was mich an Wiz beeindruckt hat, war die Art und Weise, wie es ein Inventar unserer Cloud-Umgebung erstellt hat. Auf sehr einfache Weise hat es mir gezeigt, wie unsere Anwendungen miteinander verbunden sind, wie sie miteinander interagieren und wie offen sie für die Welt sind.
Digibee war auch auf der Suche nach einer einfach zu implementierenden Lösung, die seine Cloud-Umgebung scannen und inventarisieren konnte, ohne dass aufdringliche Software oder teure Datenanrufe erforderlich waren, und so die Kosten zu kontrollieren, während das Unternehmen seinen hohen Wachstumskurs fortsetzte.
"Die Fähigkeit, Probleme zu finden, ohne Agenten oder andere aufdringliche Software in unserer Umgebung zu verwenden, war von entscheidender Bedeutung, nicht zuletzt, weil Agenten die Leistung beeinträchtigen", sagt Bernardinelli. "Es gibt auch Auswirkungen auf die Kosten, wenn man in der Cloud skaliert. Es war wichtig, eine Lösung wie Wiz zu finden, die nicht aufdringlich ist, aber in der Lage ist, die benötigten Informationen zu sammeln."
Identifizierung historischer Schwachstellen und Erreichen einer "Zero Criticals"-Pipeline
Sobald das Engineering-Team von Digibee damit begann, die Kubernetes-Cluster des Unternehmens zu scannen, identifizierten sie kritische Cloud-Sicherheitslücken. So wurde beispielsweise mindestens eine redundante elastische Suche entdeckt, zusammen mit anderer alter Software. Digibee entdeckte auch kritische PCI-Datenspeicherprobleme, die die Compliance gefährdeten. Mit Wiz wurden diese und viele andere Schwachstellen sofort behoben.
Allen Zugang zu einer einzigen Quelle der Wahrheit zu geben, erwies sich als wichtiger Wendepunkt auf dem Weg zur Cloud-Sicherheit von Digibee. Mit dem universellen Zugriff haben Digibee-Ingenieure Zugriff auf eine priorisierte Risikosicht, sodass sie Risiken leicht erkennen, verstehen und selbst beheben können. Digibee operationalisierte diese eine Sicht der Wahrheit in einem zweiwöchigen Entwicklungszyklus. Die Ingenieure treffen sich alle zwei Wochen, um die von Wiz entdeckten Risiken zu besprechen und dann auf der Grundlage dieser Erkenntnisse Ziele und Schlüsselergebnisse zu erstellen.
Durch die Implementierung dieses neuen Betriebsmodells zur effektiven Behebung von Risiken und zur Beseitigung von Sicherheitslücken in einem frühen Stadium des Softwareentwicklungszyklus erreichte Digibee erfolgreich den Status "Null-kritisch".
Wiz ist wie mein rechter Arm. Es stellt die Daten in einen Kontext und hilft unseren Ingenieuren, Prioritäten zu setzen und zu verstehen, was sie tun müssen.
Auch der Compliance-Prozess wurde gestrafft, da Digibee Wiz nutzt, um wichtige Compliance-Zertifizierungen effizient zu erneuern.
Das Unternehmen hat seine Cloud-Sicherheitslage auf breiter Front verbessert. Vollständige Transparenz hat es Digibee ermöglicht, ein OKR-Regime (Objectives and Key Results) zu etablieren, das Teams dabei hilft, wichtige Schwachstellen zu priorisieren und die Cloud-Sicherheitsnadel in diesem Prozess erheblich zu verschieben.
"Wir haben jetzt das Ziel, jede kritische Schwachstelle in fünf Tagen und hohe Schwachstellen in 13 Tagen zu beheben", sagt Bernardinelli. "Unsere Techniker können jetzt die Probleme verstehen, Probleme priorisieren und sie kennen die Sanierungsübung. Der Schlüssel ist, dass jeder in meinem Team Zugang zu Wiz hat, und wenn er einen schnellen Erfolg sieht, muss er nicht einmal fragen, sondern spricht ihn einfach an."
Neue Märkte sicher und nachhaltig erschließen
Digibee wächst weiter und gewinnt neue Kunden und mehr Mitarbeiter im Sicherheitsbereich in den USA hinzu – einem hart umkämpften und stärker regulierten Markt, als es bisher der Fall war. Um zu wachsen, plant das Unternehmen, sein Cloud-Sicherheitsprogramm weiter auszubauen und Kunden und Prüfern die Sicherheit seiner Umgebung zu demonstrieren.
