ChallengeOTTO musste Wege finden, um Compliance-Standards einzuhalten und gleichzeitig Code schnell zu entwickeln und bereitzustellen.
Eine wachsende Multi-Cloud-Umgebung und eine komplexe Ansammlung von verteilten Führungskräften halfen den Teams, schnell voranzukommen, brachten aber auch Risiken mit sich. Das Unternehmen benötigte eine zentrale Plattform für seine Teams, um seine Cloud-Sicherheit zu überwachen und zu vereinheitlichen.
Neben der Anzeige der Sicherheitslage an einem Ort wollte OTTO auch die manuelle Arbeit reduzieren, die erforderlich ist, um sicherheitsrelevante Informationen zu überprüfen und zu verstehen.
LösungDas Unternehmen entschied sich für Wiz als konsolidierte Sicherheitslösung, um den Bedarf an separaten Tools zu reduzieren und eine skalierbare Grundlage für sein wachsendes Cloud-Sicherheitsprogramm zu schaffen.
Mit Wiz verfügt OTTO über eine Single Source of Truth für seine Sicherheitsüberwachung, die einzelnen Teams die Möglichkeit bietet, anzupassen, welche Alarme mit ihnen geteilt werden. Auf diese Weise hat jedes Team Zugriff auf die relevantesten Informationen auf eine Weise, die seinen Bedürfnissen entspricht.
Durch die automatische Priorisierung und den Austausch potenzieller Risiken mit den richtigen Parteien ermöglicht Wiz OTTO, sich auf die Entwicklung zu konzentrieren, anstatt die Sicherheitslage manuell zu überprüfen und zu verfolgen.
Absicherung der Cloud-Infrastruktur des größten deutschen Online-Shops durch Konsolidierung von Security-Tools OTTO GmbH & Co KG (OTTO) ist Anbieter des gleichnamigen größten deutschen Online-Shops. Das Unternehmen startete 1949 als Versandhauskatalog. Aus dem Unternehmen ist es Teil der Otto Group, einem weltweit tätigen Handels- und Dienstleistungskonzern mit rund 41.000 Mitarbeitern in 30 großen Unternehmensgruppen, der seinen Millionen von Kunden das beste E-Commerce-Erlebnis bieten will. Heute ist die Otto Group einer der größten Online-Händler der Welt mit einem Jahresumsatz von mehr als 16 Milliarden US-Dollar (GMV – Gross Merchandise Volume).
In den Jahren seit dem Wechsel vom Versandhandel zum E-Commerce hat das Unternehmen seine Präsenz in der Cloud drastisch ausgebaut. Um ein primäres Online-Unternehmen zu werden, mussten auch immer mehr seiner Technologien ins Internet verlagert werden, aber in diesem Prozess fand das Unternehmen neue Anforderungen, um konform zu bleiben und den Zugriff auf Daten effektiv zu regeln.
Der Schutz sowohl der sukzessive wachsenden Cloud-Infrastruktur als auch der Kundendaten hat oberste Priorität. Um dies zu erreichen, setzt sich OTTO dafür ein, Sicherheit zu einer gemeinsamen Verantwortung im gesamten Unternehmen zu machen. "Für ein Unternehmen unserer Größe ist es uns wichtig, Sicherheitspraktiken in den Arbeitsalltag aller zu integrieren", sagt Ralf Kleinfeld, Informationssicherheitsbeauftragter bei OTTO.
Wir setzen hohe Standards für unsere Sicherheitspraktiken, um unsere Kundendaten zu schützen. Um diese Standards zu erfüllen, müssen wir die Verantwortung für die Sicherheit im gesamten Unternehmen teilen, und wir können Wiz nutzen, um Sicherheitsinformationen einfach mit den richtigen Personen zu teilen.
Vor diesem Hintergrund benötigte OTTO eine Sicherheitslösung, mit der alle Teams auf dem gleichen Stand sind. "Aus organisatorischer Sicht ist die Verteilung der Sicherheitsverantwortung ohne eine zentralisierte Sicherheitslösung eine Herausforderung. Um sicherzustellen, dass alle unsere Sicherheitsstandards einhalten und ihre Arbeit autonom erledigen können, mussten wir die Sicherheit vereinheitlichen", so Kleinfeld. Die bestehende Sicherheitslösung des Unternehmens bot einen gewissen Einblick in Sicherheitsprobleme, erforderte jedoch mehrere manuelle Schritte, um die Probleme zu untersuchen. Dies veranlasste das DevOps-Team von OTTO, nach einer effizienteren, konsolidierten Lösung zu suchen.
Zentralisierung und Demokratisierung des Cloud-Sicherheitsmanagements mit einer CNAPP Der Wunsch, Sicherheit und Geschwindigkeit der Bereitstellung in Einklang zu bringen, trieb OTTO dazu, Cloud-native Plattform zum Schutz von Anwendungen (CNAPP) Lösungen. Das bedeutet, dass die Fähigkeit, die gesamte Sicherheitslage zu sehen, den Softwareentwicklungsprozess mit einer einzigen Richtlinie für alle Teams zu sichern und Compliance-Prüfungen in die Entwicklung mit einem einzigen Tool zu integrieren, kombiniert werden muss. "Wir hatten viele Optionen für Sicherheitslösungen, aber wir haben festgestellt, dass eine CNAPP uns den umfassendsten Blick auf unsere Cloud-Umgebung bietet und wir gleichzeitig unseren Entwicklungsprozess besser absichern können", erklärt Kleinfeld. Das Unternehmen hat sich für Wiz entschieden, um seine unternehmensübergreifenden Sicherheitsziele zu unterstützen.
Mit Wiz können verschiedene Teams eine Sicherheitsplattform nutzen, um eine Cloud-Infrastruktur aufzubauen, zu sichern und zu überwachen. Sie können diese Ausrichtung nutzen, um sicherzustellen, dass Richtlinien und Kontrollen standardisiert sind, sodass Risiken konsistent und während des gesamten Entwicklungsprozesses bewertet werden. "Unsere Sicherheitsteams können das Statusmanagement überprüfen, unsere Entwickler können Sicherheitswarnungen zu Anwendungen sehen, und der Betrieb kann Probleme in allen Teams erkennen", so Kleinfeld. "Jedes Team hat Zugriff auf das, was es braucht, und es kann leicht mit anderen Teams diskutieren, da es die gleichen Informationen erhält." Ein weiterer Teil dieser Abstimmung ergab sich auch aus der Einbeziehung von Stakeholdern aus allen Teams während des Bewertungsprozesses. Da jeder die Rolle von Wiz in seinen Arbeitsabläufen sehen konnte, konnte sich jeder darauf einigen, wie die Lösung die zukünftige Arbeit unterstützen würde.
Wiz CNAPP unterstützt die Sicherheit in unseren Cloud-Umgebungen an einem einzigen Ort. Alle unsere Sicherheitsinformationen befinden sich an einem Ort, und die Lösung ist flexibel genug, dass sich verschiedene Teams auf die Details konzentrieren können, die sie benötigen.
Um sicherzustellen, dass die Teams bei OTTO diesen Sicherheitskontext nutzen, implementierte das Unternehmen Security Champions in den Teams, die Wiz verwenden. Mit ihrer Unterstützung konnte jeder neue Wege erkunden, um Sicherheit in seine Arbeit zu integrieren. "Unsere Entwickler wissen, dass Sicherheit wichtig ist, aber sie verbringen ihre Tage nicht in Wiz", betonte Kleinfeld. "Die Möglichkeit, die Art und Weise, wie sie Benachrichtigungen erhalten, anzupassen, hat die Akzeptanzraten wirklich verbessert, was bedeutet, dass wir Probleme schneller lösen können."
Teams nutzen alles, von In-App-Wiz-Benachrichtigungen bis hin zu Service-Tickets und E-Mail-Benachrichtigungen, um den Überblick über Sicherheitsrisiken zu behalten und Probleme effizient zu beheben. Dies bedeutete, dass das Team Probleme sofort finden und beheben konnte, sobald eine Schwachstelle in die Umgebung eingeführt wurde.
Das Unternehmen hat auch benutzerdefinierte Regeln in Wiz entwickelt, um sie an OTTO-spezifische Anforderungen anzupassen. "Wir haben ein Tagging-System für unsere Cloud-Ressourcen, und jetzt können wir sicherstellen, dass keine Ressourcen bereitgestellt werden, die nicht mit den richtigen Informationen versehen sind", erklärte Kleinfeld.
Verwenden des Kontexts zur Priorisierung und Zusammenarbeit bei der Sicherheit Die Möglichkeit, nicht nur eine Warnung zu sehen, sondern auch zu verstehen, wie kritisch ein Problem ist und warum es wichtig ist, es zu beheben, reduziert die Zeit, die OTTO benötigt, um seine Cloud-Umgebung zu schützen. "Jetzt wissen wir, dass wir uns zuerst die wichtigen Dinge ansehen, und wir können Wiz verwenden, um genau zu messen, wie lange wir brauchen, um ein Problem zu lösen", sagt Kleinfeld. Mit diesen Daten kann der Informationssicherheitsbeauftragte den Wert der Sicherheit klar aufzeigen und darlegen, wie Sicherheit die Arbeit im Unternehmen ermöglicht und nicht verlangsamt.
Da Wiz unsere Risiken automatisch bewertet und priorisiert, konnten wir einen strukturierteren Prozess entwickeln, um Probleme basierend auf den Auswirkungen zu lösen.
Durch die Konsolidierung, Wenn Sie die Auswirkungen der Sicherheit an einem Ort anzeigen und messen, bietet OTTO auch eine einfache Möglichkeit, über die Sicherheitsreise des Unternehmens zu berichten. "Mit dem Wiz Dashboard habe ich einen Live-Überblick über unsere Sicherheitslage an einem Ort", erklärt Kleinfeld. "Dieser einfache Zugang ist etwas, das wir vorher nicht hatten, und es macht mein Leben so viel einfacher."
Das Unternehmen findet weiterhin neue Wege, um Wiz zu nutzen, um seine Cloud-Entwicklung zu sichern. Durch das tiefere Eintauchen in jedes Element, aus dem die komplexe Cloud-Umgebung von OTTO besteht, kann das Unternehmen weiterhin jede Schicht seiner Cloud finden, verwalten und sichern.