Desafío
Con su migración a la nube y antes de tener una solución de Getión de Postura de Seguridad en la Nube, Priceline quería contextualizar mejor el cumplimiento de su infraestructura en la nube.
Los equipos de seguridad a menudo estaban creando tickets para que los desarrolladores solucionaran problemas de configuración de la nube individuales en lugar de abordar la causa raíz, lo que generaba costos considerables en cuanto a tiempo y recursos.
En la medida en que los equipos de seguridad pasaban tiempo creando tickets para los cambios de configuración, esto les impedía trabajar en iniciativas más estratégicas.
La solución
Priceline adquirió visibilidad de su entorno de nube de forma rápida y eficiente, y el equipo asegura que se adhiere a los estándares de la industria.
Priceline aprende de los riesgos en su entorno de tiempo de ejecución, completa una limpieza única, y luego se desplaza a la izquierda mediante la creación de políticas de seguridad para que los desarrolladores adhieran a los procesos de CI/CD. Los desarrolladores reciben feedback inmediato para resolver problemas rápidamente.
Priceline mitiga de forma proactiva el riesgo al bloquear automáticamente implementaciones con configuraciones erróneas antes de que estén en producción. Ahora, los equipos de seguridad pueden centrarse en un trabajo más estratégico en lugar de resolver problemas aislados.
Desarrollo de conexiones entre los equipos de seguridad y desarrollo
Priceline es una empresa de viajes en línea que ayuda a los clientes a encontrar tarifas con descuento para sus viajes. En su camino a convertirse en una empresa completamente nativa de la nube, ha migrado de forma constante la mayor parte de sus cargas de trabajo locales a Google Cloud y AWS.
Si bien una infraestructura que prioriza la nube ayuda a Priceline a innovar rápidamente, también presenta un nuevo conjunto de desafíos de seguridad que hay que abordar. El arquitecto de seguridad en la nube Andrew McKenna y su equipo son los responsables de proteger las aplicaciones en la nube y los procesos de desarrollo así como también de proteger y monitorear las cargas de trabajo y los entornos en la nube de Priceline. “La nube permite a los desarrolladores acelerar los sistemas destinados al público; sin embargo si no se diseñan e implementan protecciones apropiadas, esas y otras infraestructuras son inseguras por defecto”.
El equipo de seguridad descubrió que estaban dedicando mucho tiempo y recursos a enviar tickets para actualizar configuraciones en todo su entorno, lo que no impedía que el problema volviera a surgir. Como resultado, el equipo comenzó a reconsiderar las prácticas de seguridad en la nube de Priceline y cómo centrar sus esfuerzos en iniciativas estratégicas en lugar de resolver problemas aislados.
Debido a que nuestra huella es grande, no queremos estar resolviendo asuntos aquí y allá cuando se trata de vulnerabilidades y problemas: queremos abordar problemas sistémicos en lugar de anomalías, y garantizar que estamos protegidos por defecto.
McKenna y su equipo tomaron la decisión audaz de pasar a una estrategia de desplazamiento a la izquierda para ahorrar tiempo y recursos al momento de asegurarse de que todas las configuraciones en todo el entorno se adhirieran a las mejores prácticas de seguridad por defecto. Buscaron una solución en la que pudieran detectar desviaciones de los estándares de la industria antes en el ciclo de desarrollo para resolver los problemas en una etapa previa a la producción. En este nuevo flujo de trabajo, la seguridad establecería políticas específicas para garantizar la aplicación de mejores prácticas antes de la implementación, y el equipo de seguridad no necesitaría pedir a los equipos de desarrollo cambios en los entornos de producción después del lanzamiento de un producto.
Priceline sabía que la transición a un modelo de seguridad de desplazamiento a la izquierda era un objetivo ambicioso. Las empresas a menudo no tienen éxito en estas iniciativas porque los equipos trabajan aislados y utilizan herramientas diferentes y no conectadas. Los desarrolladores tienen herramientas en las políticas que analizan sus procesos pero están completamente aislados de lo que ve el equipo de seguridad, lo que crea una visión fragmentada de la postura de seguridad.
Priceline necesitaba una solución que proporcionara un único generador de políticas consolidado administrado por el equipo de seguridad y fácil de usar para los desarrolladores, sin añadir complejidad ni generar más trabajo. El equipo de seguridad quería asegurarse de que no introdujesen una fricción innecesaria en los flujos de trabajo de desarrollo.
Antes de realizar un desplazamiento a la izquierda, debes poner tu casa en orden para no convertirte en un obstáculo para los usuarios dentro de la empresa. Estás haciendo cambios que impactan la manera en que la gente trabaja. Queremos dar a los desarrolladores la autonomía para crear sus propias aplicaciones y plataformas e implementarlas en los procesos que acaban en producción. Necesitábamos determinar qué protecciones les permitirían implementar de forma segura.
Después de explorar las posibles soluciones, Priceline seleccionó a Wiz por su facilidad de uso y su plataforma nativa en la nube. “Lo que se destacó de Wiz para mí fue que tenía una interfaz muy intuitiva y un panel de control muy sencillo. El hecho de que sea nativo de la nube y sin agentes significó que podríamos tenerlo activado y funcionando en cuestión de minutos para obtener información clara y accionable”, comenta McKenna.
Identificar, priorizar y contextualizar
Como primer paso, Priceline utilizó Wiz como su solución CSPM para ganar visibilidad de su entorno en la nube, establecer un punto de referencia en su postura actual de seguridad y solucionar problemas en su entorno de ejecución. Wiz detectó posibles problemas de configuración y los correlacionó con otros factores de riesgo como la exposición a la red o los derechos a la nube para dar al equipo de seguridad en la nube un contexto de acción sobre cuestiones de priorización.
Aprende a la derecha, desplázate a la izquierda
Con una postura de seguridad de base establecida en la producción, Priceline tomó las enseñanzas de su entorno de ejecución para ayudar en el desplazamiento a la izquierda. El análisis de Wiz del entorno en funcionamiento ayudó al equipo a elegir las políticas y marcos adecuados a poner en marcha de forma automática para evitar que problemas similares se introduzcan en el futuro.
Una vez que Priceline supo qué políticas quería desplazar a la izquierda hacia el desarrollo, aprovechó el escaneo de CI/CD de Wiz para aplicar controles en las partes correctas del proceso. Entonces el equipo de seguridad tuvo que trabajar en reversa para crear procesos seguros y sin fricciones.
Trabajamos mucho para arreglar los módulos de desarrollo de manera que fueran coherentes con lo que queríamos. Era lo más ‘a la izquierda’ que podíamos llegar: actualizar los módulos de IAC antes de poner protecciones entre el desarrollo y la infraestructura; pero esto permitió a los desarrolladores seguir haciendo su trabajo.
Combinar el análisis continuo de Wiz de todas las cuentas, usuarios y cargas de trabajo con el producto de infraestructura como código de Terraforme, integrado en el proceso de CI/CD de Priceline, permitió que la empresa identificara y abordara problemas en etapas tempranas del proceso de desarrollo. Cada desarrollo se mide con respecto a las políticas y marcos dentro de Wiz para determinar si existen problemas con el código o el plan. Si los problemas se clasifican como moderados o graves, la implementación se bloquea, lo que proporciona un feedback inmediato para el desarrollador.
“Ahora, los equipos de desarrollo tienen la autonomía para implementar de forma segura, lo que ahorra tiempo a ambos equipos y reduce la necesidad de volver atrás y resolver el problema en el futuro cuando sea más costoso hacerlo”. Solo queremos que esas protecciones sean invisibles”, dice McKenna. “Ahora, los equipos de desarrollo tienen la autonomía para implementar de forma segura, lo que ahorra tiempo a ambos equipos y reduce la necesidad de volver atrás y resolver el problema en el futuro cuando sea más costoso hacerlo”.
Implementar la automatización de las políticas en el proceso
El equipo ahora puede centrarse en un trabajo más estratégico en toda la empresa y obtener un valor adicional de Wiz. Priceline extendió Wiz en las operaciones existentes y las nuevas adquisiciones, incluida una empresa que opera en Google Cloud y otra que se ejecuta en AWS. Wiz se conectó en minutos a través de un único conector y proporcionó cobertura sin interrumpir las operaciones comerciales ni requerir mantenimiento continuo.
En lugar de pasar tiempo creando tickets, Wiz permite al equipo de seguridad dedicar más tiempo al trabajo estratégico, como asegurarse de que las nuevas adquisiciones en AWS cumplan con los estándares de Priceline.
Con Wiz, Priceline se asegura de que todas las adquisiciones cumplan con su marco de seguridad, ya sea que estén en Google Cloud o AWS o en cualquier entorno de Kubernetes. La empresa puede medir la postura de seguridad de las nuevas adquisiciones que se ejecutan en diferentes nubes públicas contra su marco y ver inmediatamente cualquier vulnerabilidad clasificada por su gravedad. El equipo de seguridad prioriza vulnerabilidades o problemas de remediación y adopta un enfoque metódico para trabajar con los equipos relevantes en las acciones requeridas.
Al ganar visibilidad de su infraestructura en la nube, así como la capacidad de evitar que vulnerabilidades conocidas y configuraciones erróneas ingresen a su entorno de ejecución, Priceline obtiene una solución única para minimizar su riesgo en la nube. McKenna también elogia la capacidad de respuesta del equipo Wiz para ayudar a que Priceline maximice el valor del producto y señala la colaboración entre los dos equipos en el desarrollo de herramientas dentro de la plataforma. “El equipo de Wiz ha sido realmente resolutivo. Trabajamos en estrecha colaboración en el desarrollo del escaneo de la IaC y dependimos en gran medida de su apoyo”.
