Desafíos
La gestión de conjuntos de reglas individuales para los tres proveedores de servicios en la nube en el entorno de Bouygues Telecom añade complejidad y carga de gestión al equipo de nube.
El acceso restringido a las aplicaciones y proyectos de varios equipos dentro de Bouygues Telecom –incluido el equipo de seguridad- significó que tuvieron que enviar un correo electrónico al equipo de la nube para obtener asistencia, lo que aumentó la carga laboral de sus miembros.
Una adopción planificada de Kubernetes y tecnologías sin servidor potencialmente abrió nuevas áreas de superficie de seguridad que impidieron la adopción de los nuevos servicios.
Soluciones
Bouygues Telecom aplica el mismo conjunto de reglas para cada carga de trabajo, independientemente de la nube que esté ejecutando, utilizando controles nativos incluidos en Wiz.
Bouygues Telecom proporciona acceso a los equipos de seguridad y arquitectura y a los administradores de proyectos, lo que reduce la carga de resolución de incidentes y vulnerabilidades para el equipo de nube, a través de Wiz RBAC.
Bouygues Telecom está explorando el potencial de Wiz para gestionar los entornos de Kubernetes y sin servidores que se espera que dominen su arquitectura en los próximos dos o tres años.
Impulsar la innovación en las telecomunicaciones
La conectividad es crucial para las personas y las empresas de toda Francia, y la apertura del mercado de telecomunicaciones del país a nuevos operadores en 1998 aumentó la gama y la calidad de los servicios disponibles. Bouygues Telecom fue uno de los primeros operadores en entrar en el nuevo mercado competitivo y proporciona conexiones de voz y datos de alta calidad a los clientes. Bouygues Telecom, una empresa ágil con cerca de 8.000 empleados, es conocida por su innovación, con logros como el lanzamiento de la IPTV al mercado.
Protección de un entorno multinube
Como Gerente de Conocimientos Especializados de la Nube de Bouygues Telecom, las responsabilidades de Mael Louvet incluyen construir y ejecutar una infraestructura multinube que incorpora AWS, GCP y Azure, así como una amplia gama de servidores locales. Su equipo de 10 arquitectos proporciona gobernanza, guía y arquitectura de seguridad para todas las plataformas de nube. “Nos encargamos de una gran cantidad de trabajo de asesoramiento con los equipos de aplicaciones y operaciones que trabajan en diferentes plataformas en la nube”, relata Louvet.
“Trabajamos estrechamente con proveedores de nube como AWS, GCP y Azure para ayudar a los clientes a acceder a nuevas redes, tecnologías y a las redes sociales, y aplicamos una prima a las suscripciones para invertir en la mejora de la calidad de nuestras redes”.
Aprovechar todo el potencial de su inversión en el entorno multinube de Bouygues Telecom está evolucionando su arquitectura de aplicaciones para incorporar tecnologías sin servidores y migrar al sistema de orquestación de contenedores de código abierto Kubernetes con el objetivo de ofrecer estandarización de las aplicaciones heredadas y sin servidores. La empresa también está realizando la transición hacia el software como servicio (SaaS) para las aplicaciones que no puede gestionar fácilmente dentro de Kubernetes debido a la complejidad de la gestión de una amplia gama de microservicios.
Bouygues Telecom está aplicando una metodología de seguridad intencional para proteger su entorno multinube. Este enfoque incorpora seguridad en cada capa de su arquitectura tecnológica y garantiza que cada usuario o sistema solo acceda a los sistemas y datos requeridos para realizar tareas autorizadas.
Las medidas que el equipo de Louvet ha implementado para impulsar la seguridad en toda la plataforma de Bouygues Telecom incluyen:
automatizar la creación de la plataforma para mejorar el control sobre las implementaciones;
implementar autonomía para empoderar a equipos e individuos para que administren las aplicaciones que implementan en la plataforma;
trabajar estrechamente con el equipo dedicado de cibergobernanza de Bouygues Telecom en una lista de verificación de seguridad que cada usuario debe revisar antes de acceder al entorno de nube, y;
usar una herramienta de seguridad para automatizar el control del entorno auditado.
Optimización de la seguridad en toda la organización
Después de usar inicialmente un producto de Gestión de Posturas de Seguridad en la Nube (CSPM) de un proveedor diferente que no funcionó, Bouygues Telecom cambió a Wiz. “Esa ha sido una de las grandes mejoras que hemos hecho para garantizar que la seguridad se encuentre en el nivel que queremos”, dice Louvet. “Hemos cambiado porque estamos implementando una solución multinube y tendremos cargas de trabajo diseñadas para AWS, GCP o Azure. Nuestra herramienta de seguridad anterior nos habría obligado a reescribir las reglas para cada nube, de modo que hubiéramos tenido tres conjuntos de reglas específicas que seguir para garantizar la seguridad de los datos y los sistemas en cada uno de ellos”.
Wiz también proporciona contextualización que permite a Bouygues Telecom correlacionar datos sobre un problema con otros eventos, vulnerabilidades, o problemas en su entorno más amplio, facilitando el trabajo de los analistas de seguridad al revisar el perfil de riesgo de la organización. “Esta capacidad era muy interesante para nosotros y era algo que no veíamos en soluciones alternativas”, comenta Louvet.
Queríamos aplicar las mismas reglas a todas las nubes con las que hemos trabajamos y hemos probado muchas soluciones diferentes para lograrlo. Solo Wiz proporcionó esta capacidad incorporada de manera nativa en su solución.
La implementación de Wiz extiende la responsabilidad de seguridad a otros equipos
A través de la implementación de Wiz, la responsabilidad por la seguridad del proveedor de telecomunicaciones se extiende desde el equipo de nube a otros equipos e individuos dentro de la empresa. Los equipos de seguridad y arquitectura de Bouygues Telecom y sus gestores de proyectos están ganando el acceso y la autonomía para realizar cambios en las aplicaciones que gestionan o mantienen y obtienen directamente los datos de seguridad que necesitan. “Si podemos dar acceso específico a un pequeño subconjunto de la plataforma a través del control de acceso basado en roles (RBAC), es muy fácil llevar autonomía a cada equipo”, afirma Louvet. “Anteriormente, solo podíamos ofrecer una visión global para un pequeño grupo de personas, mientras que otros, que tal vez no tenían acceso, tenían que comprobar con nosotros si había un problema”.
La facilidad de integración de Wiz ha permitido a Bouygues Telecom conectarlo con el sistema ServiceNow utilizado para la gestión de servicios de TI. Cada incidente o vulnerabilidad registrada por Wiz generará un ticket en ServiceNow que se enviará al equipo pertinente para ser abordado. “Porque la gestión sigue KPI directamente a través de un solo panel de vidrio en ServiceNow, Será fácil para nosotros presionar a los equipos que necesitan arreglar sus despliegues o asegurar el cumplimiento a través de ese sistema", explica Louvet. “El complemento de ServiceNow que ofrece Wiz hace que este proceso sea relativamente fácil”.
Como parte de una estrategia de desplazamiento a la izquierda más amplia, el equipo de Bouygues Telecom quería que sus desarrolladores se comprometieran a mantener la seguridad de su servicio. Para lograr este objetivo han aprovechado la herramienta de línea de comandos Wiz-cli para comprobar el código antes de que se implemente, y esperan completar la implementación a principios de 2023. “La implementación es siempre un desafío para cada equipo de IT, y decidimos implementar cada aplicación utilizando integración continua-implementación continua (CI/CD) con infraestructura como código”, dice Louvet. “Limitamos a cada equipo interno a utilizar una herramienta de CI/CD y tienen que describir toda la infraestructura y el código de la aplicación en una base de proyectos de GitLab. Ahora que está en marcha, podemos garantizar mucha más seguridad porque solo hay una forma de implementar activos en la nube”.
Bouygues Telecom ya está probando la seguridad de contenedores de Wiz para detectar e identificar exposiciones a través de redes y contenedores. Una vez en marcha, Wiz comprobaría cada parte de la plataforma de Bouygues Telecom, incluidos pequeños elementos de contenedores en Kubernetes, para detectar alertas de seguridad o incumplimientos de las políticas de seguridad, y escanearía los clústeres de Kubernetes en busca de exposición de la red.
Kubernetes tiene muchos bloques pequeños y cada uno puede representar una nueva violación de la seguridad. Por lo tanto, tenemos que intervenir y usar Wiz a un nivel más reducido para estar seguros de que cada una de las implementaciones seguirá cumpliendo con las reglas de seguridad.
Energizando Bouygues la cultura y prácticas de seguridad de Telecom
Con una solución sin agentes que proporciona una cobertura completa y visibilidad de su entorno, la implementación de Wiz ha energizado la cultura y las prácticas de seguridad en Bouygues Telecom. La empresa mide el éxito de su implementación de Wiz a través de dos importantes KPI: participación y adopción. “La cantidad de personas que quieren que las habiliten en Wiz ha aumentado extremadamente rápido. El año pasado creamos un pequeño equipo de defensores de la seguridad para ofrecer capacitación en temas de seguridad”, comenta Louvet. “Ahora ese número ha aumentado a 50 o 60. Además, organizamos reuniones dedicadas que incluyen a la gerencia sénior de nuestros enormes dominios de desarrollo, y en ellas exponemos el panel de control de Wiz. En combinación, dan como resultado altos niveles de adopción y son un verdadero éxito para nuestro equipo”.
Bouygues Telecom está cosechando los frutos de una mayor visibilidad, más responsabilidad por las vulnerabilidades y la resolución de problemas, y una asignación más eficiente de los recursos. A través del panel de control de Wiz, la empresa puede comprobar fácilmente el estado de vulnerabilidades e incidentes en múltiples nubes, y la herramienta ofrece una visión clara de qué equipos e individuos están trabajando en qué problema. Además, el Gráfico de seguridad de Wiz permite a la empresa identificar las diferentes operaciones que acceden a redes externas, o ver el estado de su red en un momento determinado para la auditoría.
La organización ahora puede clasificar de manera eficaz los problemas y vulnerabilidades en toda su arquitectura para su resolución. “Nuestra máxima prioridad es la exposición externa, y trabajamos en problemas y vulnerabilidades en este ámbito basados en la severidad, la exposición a Internet y el entorno”, explica Louvet. “Nos centramos particularmente en nuestro entorno de producción, en el que se almacenan los datos de los clientes”.
Ahora que el entorno multinube de Bouygues Telecom está protegido y funciona sin problemas, la empresa matriz de la organización, Bouygues Group, está considerando ampliar el alcance de la empresa de telecomunicaciones para proporcionar orientación a equipos de todas sus empresas. Esta función extendida también puede incluir infraestructura y herramientas asociadas, que potencialmente allanan el camino para que Wiz asuma un papel más amplio en la protección de las empresas de Bouygues Group.
La implementación de Wiz fue tan exitosa que la herramienta podría ser utilizada en todos los negocios propiedad de nuestra empresa matriz, Bouygues, incluidos los de construcción, desarrollo de bienes raíces y organizaciones de medios.
