Challenge
Mit seiner Migration in die Wolke und vor einer Lösung für das Cloud-Secure Management Priceline wollte besser Kontextualisierung der Einhaltung seiner Cloud-Infrastruktur.
Sicherheitsteams erstellten oft Tickets für Entwickler, um einzelne Cloud-Konfigurationsprobleme zu beheben, anstatt die Wurzel anzugehen, Die Kosten für die Sanierung beträchtlicher Zeit und Ressourcen.
Da Sicherheitsteams Zeit damit verbrachten, Tickets für Konfigurationsänderungen zu erstellen, zog sie sie von der Arbeit an strategischeren Initiativen weg.
Lösung
Priceline konnte schnell und effizient in seine Wolkenlandschaft eindringen und das Team sorgt dafür, dass es sich an die Industriestandards hält.
Priceline lernt aus den Risiken in ihrer Laufzeitumgebung, vervollständigt eine einmalige Reinigung und verschiebt dann links und erstellt Sicherheitsrichtlinien für Entwickler, die sich an die CI/CD-Pipeline halten. Entwickler erhalten sofortiges Feedback, um Probleme schnell zu lösen.
Priceline mildert das Risiko proaktiv ab, indem sie automatisch Einsätze mit Fehlkonfigurationen blockiert, bevor sie in der Produktion leben. Jetzt können sich Sicherheitsteams auf mehr strategische Arbeit konzentrieren, anstatt isolierte Probleme zu lösen.
Brücken zwischen Sicherheits- und Entwicklungsteams bauen
Priceline ist ein Online-Reiseveranstalter, das den Kunden hilft, ermäßigte Tarife für ihre Reisen zu finden. Auf seiner Reise zur völligen Wolkeneinwanderung hat das Unternehmen die meisten seiner Arbeitsbelastungen vor Ort nach Google Cloud und AWS migriert.
Eine Cloud-First Infrastruktur hilft Priceline dabei, schnell zu innovieren, stellt aber auch eine Reihe neuer Sicherheitsprobleme dar, die angegangen werden müssen. Cloud-Sicherheitsarchitekt Andrew McKenna und sein Team ist für die Sicherung von Cloud-Anwendungen und Entwicklungsleitungen sowie die Sicherung und Überwachung der Cloud-Arbeitsbelastungen und -Umgebungen von Priceline verantwortlich. „Die Cloud ermöglicht es Entwicklern, Systeme schnell zu spinnen, die jedoch öffentlich sind ohne Entwurf und Implementierung geeigneter Schutzhüter ist diese und andere Infrastruktur standardmäßig unsicher.“
Das Sicherheitsteam stellte fest, dass sie beträchtliche Zeit und Ressourcen aufwendeten, Tickets einzureichen, um Konfigurationen in ihrer Umgebung zu aktualisieren , die das Problem nicht wieder auftauchte. Infolgedessen das Team begann, die Cloud-Sicherheitspraktiken von Priceline zu überdenken und ihre Bemühungen auf strategische Initiativen zu konzentrieren, anstatt isolierte Probleme zu lösen.
Weil unser Fußabdruck groß ist wir wollen nicht „whack-a-mole“ tun, wenn es um Schwachstellen und Probleme geht – wir wollen systemische Probleme anstatt Anomalien anpacken, und stellen Sie sicher, dass wir standardmäßig sicher sind.
McKenna und sein Team haben die mutige Entscheidung getroffen, zu einer Links-Verschiebungsstrategie überzugehen, um Zeit und Ressourcen zu sparen, um sicherzustellen, dass alle Konfigurationen in der gesamten Umgebung eingehalten werden, die den Best Practices der Sicherheit als Standard entsprechen. Sie suchten nach einer Lösung, bei der sie bereits im Entwicklungszyklus Abweichungen von den Industriestandards erkennen konnten, um Probleme zu beheben, bevor sie in der Produktion leben. In diesem neuen Workflow würde die Sicherheit spezifische Richtlinien festlegen, um sicherzustellen, dass bewährte Verfahren vor dem Einsatz umgesetzt werden, und Sicherheit müsste die Entwicklerteams nach dem Start nicht nach Änderungen in der Produktionsumgebung fragen.
Priceline wusste, dass der Übergang zu einem linksgerichteten Sicherheitsmodell ein ehrgeiziges Ziel war. Unternehmen tun dies oft nicht, weil Teams in Silos arbeiten und verschiedene, nicht verbundene Werkzeuge verwenden. Entwickler haben Werkzeuge mit Richtlinien, die ihre Pipeline analysieren, aber vollständig von dem isolieren, was die Sicherheit sieht, was eine fragmentierte Sicht auf die Sicherheitsauffassung erzeugt.
Priceline benötigte eine Lösung, die eine einzige wäre, konsolidierte Policy-Engine, die von der Sicherheit verwaltet wurde und für Entwickler einfach zu verwenden war – ohne Komplexität hinzuzufügen oder mehr Arbeit zu erzeugen. Das Sicherheitsteam wollte sicherstellen, dass keine unnötigen Reibungen in die Entwicklungsworkflows eingeführt wurden.
Bevor Sie nach links wechseln können, müssen Sie Ihr Haus in Ordnung bringen, damit Sie kein Hindernis für die Nutzer innerhalb des Unternehmens sind. Sie're erneut Änderungen vornehmen, die die Funktionsweise von Personen beeinflussen. Wir wollen den Entwicklern die Autonomie geben, ihre eigenen Anwendungen und Plattformen zu erstellen und diese in eine Pipeline zu integrieren, die in der Produktion endet. Wir mussten festlegen, welche Hüter sie in die Lage versetzen würden, sicher einzusetzen.
Nach der Suche nach möglichen Lösungen wählte Priceline Wiz wegen seiner Benutzerfreundlichkeit und Cloud-native Plattform. „Was bei Wiz für mich besonders auffiel, ist, dass es eine sehr intuitive Oberfläche und ein wirklich einfaches Dashboard hat. Die Tatsache, dass es's Cloud native und agenzlos bedeutete, dass wir es in einer Sache von Minuten haben konnten und haben klar handlungsfähige Informationen“, sagt McKenna.
Identifizieren, priorisieren und Kontextualisieren
Als ersten Schritt nutzte Priceline Wiz als CSPM-Lösung, um die Sichtbarkeit der Cloud-Umgebung zu erhöhen Benchmarkieren Sie seine aktuelle Sicherheitslage und beheben Sie Probleme in seiner Laufzeitumgebung. Wiz entdeckte mögliche Konfigurationsprobleme und korrelierte sie mit anderen Risikofaktoren wie Netzwerkexposition oder Cloud-Berechtigungen, um dem Cloud-Sicherheitsteam einen handlungsfähigen Kontext bei der Priorisierung von Problemen zu geben.
Lernen Sie von rechts nach links
Mit einer in der Produktion etablierten Grundlagensicherheitshaltung nahm Priceline die Lehren aus seiner Laufzeitumgebung, um ihm zu helfen, nach links zu wechseln. Wizs Analyse der laufenden Umgebung hat dazu beigetragen, dass das Team die richtigen Richtlinien und Frameworks wählte, um automatisch zu verhindern, dass ähnliche Probleme in der Zukunft eingeführt werden.
Als Priceline einmal wusste, welche Politik man der Entwicklung überlassen wollte, Es hat das CI/CD Scannen in Wiz genutzt, um Prüfungen in den richtigen Bereichen des Prozesses durchzuführen. Das Sicherheitsteam musste dann rückwärts arbeiten, um eine sichere, reibungslose Pipeline zu erstellen.
Wir haben viel daran gearbeitet, die Entwicklungsmodule so zu reparieren, dass sie mit dem übereinstimmen, was wir wollten. Es war das „übrigste“ was wir tun konnten – die Aktualisierung der IAC-Module, bevor wir einen Wächter zwischen Entwicklung und Infrastruktur setzen – aber es erlaubte den Entwicklern, ihre Arbeit fortzusetzen.
Kombiniere die kontinuierliche Analyse von Wizs über Konten, Benutzer, und Arbeitsbelastung mit dem in die CI/CD-Pipeline von Priceline integrierten Produkt Terraform Infrastructure as Code – ermöglichte es dem Unternehmen, Probleme frühzeitig im Entwicklungsprozess zu erkennen und anzugehen. Jedes Build wird an den Richtlinien und Frameworks innerhalb von Wiz gemessen, um festzustellen, ob irgendwelche Probleme mit dem Code oder dem Plan bestehen. Wenn die Probleme als mittelgroß oder höher eingestuft werden, wird der Einsatz blockiert, was sofortiges Feedback für den Entwickler liefert.
„Wir wollen Schutzmaßnahmen innerhalb dieser Pipeline implementieren, um die Sicherheit zu erleichtern. Wir wollen nur, dass diese Wächter unsichtbar sind“, sagt McKenna. „Jetzt haben Entwicklungsteams die Autonomie, um sie sicher einsetzen zu können beide Teams Zeit sparen und die Notwendigkeit reduzieren, zurückzukehren und das Problem in Zukunft zu lösen, wenn es kostspieliger ist.“
Implementierung der Automatisierung von Richtlinien in der Pipeline
Das Team ist nun in der Lage, sich auf strategischere Arbeit im gesamten Unternehmen zu konzentrieren und zusätzlichen Wert von Wiz zu erhalten. Priceline weitete Wiz auf bestehende Betriebe und neue Akquisitionen aus, darunter ein Unternehmen, das in Google Cloud läuft, und ein anderes, das in AWS läuft. Wiz stellte innerhalb von Minuten über einen einzigen Konnektor eine Verbindung her und lieferte eine Abdeckung, ohne den Geschäftsbetrieb zu unterbrechen oder laufende Wartungsarbeiten zu erfordern.
Anstatt Zeit mit der Erstellung von Tickets zu verbringen, ermöglicht Wiz dem Sicherheitsteam, mehr Zeit für strategische Arbeit aufzuwenden, z. B. um sicherzustellen, dass neue Akquisitionen, die in AWS ausgeführt werden, den Standards von Priceline entsprechen.
Mit Wiz stellt Priceline sicher, dass alle Akquisitionen dem Sicherheits-Framework entsprechen, sei es in Google Cloud oder AWS und in Kubernetes-Umgebungen. Das Unternehmen kann den Sicherheitsstatus neuer Akquisitionen, die in verschiedenen Public Clouds ausgeführt werden, anhand seines Frameworks messen und sofort alle Schwachstellen nach Schweregrad einstufen. Das Sicherheitsteam priorisiert Schwachstellen oder Probleme für die Behebung und verfolgt einen methodischen Ansatz, um mit den relevanten Teams an den erforderlichen Maßnahmen zu arbeiten.
Durch die Einsicht in die Cloud-Infrastruktur sowie die Möglichkeit, zu verhindern, dass bekannte Schwachstellen und Fehlkonfigurationen in die Laufzeitumgebung gelangen, erhält Priceline eine einzigartige Lösung zur Minimierung seines Cloud-Risikos. McKenna lobt auch die Reaktionsfähigkeit des Wiz-Teams, das Priceline dabei geholfen hat, den Wert des Produkts zu maximieren, und verweist auf die Zusammenarbeit zwischen den beiden Teams bei der Entwicklung von Tools innerhalb der Plattform. "Das Wiz-Team war sehr reaktionsschnell. Wir haben bei der Entwicklung von IaC Scanning eng zusammengearbeitet und uns stark auf ihre Unterstützung verlassen."
