DéfiLes équipes de sécurité et de développement de Datavant ont constaté des lacunes en matière de visibilité dans l’infrastructure et les processus de l’entreprise.
Le cycle de vie du développement logiciel (SDLC) de l’entreprise était trop complexe ; Les équipes individuelles ont utilisé des outils et des processus différents, ce qui a créé des processus de sécurité et de remédiation des risques incohérents.
L’approche décentralisée a entraîné la prolifération des outils de sécurité et a augmenté les défis liés à la collecte d’informations et aux rapports d’équipe.
SolutionDatavant peut désormais voir toutes ses ressources dans son environnement multi-entreprises et multi-cloud, en exploitant le Wiz Security Graph pour représenter les interconnexions et les risques jusqu’au niveau du conteneur.
Datavant a tiré parti des contrôleurs d’admission Wiz couplés à l’analyse des pipelines de l’interface de ligne de commande Wiz et a ajouté des contrôles de sécurité d’intégration et de déploiement, permettant aux développeurs d’identifier, de hiérarchiser et de corriger les risques de manière proactive, améliorant ainsi continuellement la posture de risque de l’entreprise.
L’entreprise utilise désormais Wiz comme plateforme de sécurité d’entreprise unique pour rationaliser les processus et les rapports sur les risques critiques.
Holistic visibility
across six-company infrastructure, enabling teams to remediate risk more efficiently
51% reduction
in vulnerabilities and prevented net-new critical/high vulnerabilities from being introduced to the running environment.
Consolidated 7 security tools to 1
increasing savings by 50%, which will increase as other contracts end
Modernisation de la gestion de la sécurité d’une infrastructure informatique complexe dans un secteur réglementé Datavant, une entreprise de soins de santé qui fournit un écosystème numérique pour l’anonymisation et l’échange sécurisé des données des patients, est utilisée par plus de 70 000 hôpitaux et cliniques, 70 % des 100 plus grands systèmes de santé, des sociétés pharmaceutiques et autres. Datavant anonymise et dépersonnalise les données, en exploitant des technologies telles que les salles blanches de données pour les rendre accessibles aux partenaires. Ces organisations utilisent ensuite ces données pour développer de nouveaux médicaments, thérapies et services qui améliorent les soins et les résultats des patients.
Datavant a réuni six sociétés sœurs sur plusieurs années. La fusion de leur infrastructure a créé un environnement informatique complexe, couvrant AWS, Azure et VMware Flex Cloud Storage, ainsi que de nombreux outils d’exploitation et de développement informatiques, tels que Terraform, Kubernetes, GitHub et GitLab. De plus, Datavant exploite à la fois un environnement informatique commercial pour les entreprises du secteur privé et un environnement FedRAMP® pour ses clients gouvernementaux.
En raison de la structure organisationnelle décentralisée de l’entreprise, les pods/équipes de développement utilisaient leurs propres outils et étaient individuellement responsables de la sécurité de leurs gammes de produits. Cela a conduit à des solutions qui se chevauchaient, à des coûts logiciels élevés et à des politiques de sécurité du code incohérentes. Par conséquent, Datavant ne disposait pas d’une vue centralisée des risques liés à son infrastructure et à ses applications et ne pouvait pas appliquer les meilleures pratiques en matière de sécurité et de gestion des risques.
Nous voulions passer d’un modèle de sécurité fonctionnant comme un jardin clos à un modèle où nos équipes de développement participent de manière proactive à l’évaluation et à la résolution des risques. La sécurité doit être intégrée, et non boulonnée à nos produits
Passer de processus de sécurité décentralisés à des processus de sécurité intégrés « Datavant est une entreprise très autonome, mais notre approche décentralisée signifiait que notre chaîne d’outils de cycle de vie de développement logiciel (SDLC) était éparpillée », explique Nick Waringa, responsable des produits et de l’infrastructure sécurisés chez Datavant. Les équipes se sont appuyées sur 7 outils de sécurité commerciaux et open source indépendants, offrant différentes capacités et vues.
« Nos équipes utilisaient des processus d’analyse et de remédiation incohérents, ce qui signifiait que les risques risquaient de ne pas être traités. Les équipes de développement passaient également du temps à recueillir des informations pour informer les dirigeants qu’elles auraient pu se concentrer sur la remédiation des risques à la place », explique Jonathan Pautz, directeur principal de l’ingénierie, sécurité du cloud, Datavant.
Les responsables de l’équipe des produits et de l’infrastructure sécurisés ont vu une opportunité de moderniser la stratégie de sécurité de notre entreprise : en créant une visibilité holistique sur ses six sociétés et en se déplaçant vers la gauche pour permettre aux développeurs d’identifier, de hiérarchiser et de traiter les risques plus tôt dans le pipeline de développement. L’équipe de sécurité de Datavant a évalué quatre plates-formes en profondeur et a choisi Wiz en raison des innovations continues de Wiz et de sa connaissance approfondie de la plate-forme. « L’aspect complet de la plateforme en a fait un choix facile. Wiz a été le premier outil déployé à l’échelle de l’entreprise dans nos six sociétés sœurs. Cela inclut tous vos outils supposés comme les RH, la finance, le chat et l’identité », explique Waringa.
Datavant rapidement adopté Wiz CNAPP fonctionnalités, commençant par Wiz CSPM et Wiz DSPM, qu’il a déployé dans ses environnements AWS et Azure pour identifier facilement les informations personnelles sur les soins de santé et détecter et corriger les erreurs de configuration. L’entreprise a ensuite tiré parti du fournisseur Wiz Terraform pour ajouter des vérifications aux pipelines Terraform et a déployé Balayage IaC pour exécuter des tâches et détecter les secrets, les vulnérabilités et les erreurs de configuration dans les plans Terraform et les clusters Kubernetes. Datavant exploite tellement le fournisseur Terraform qu’il Terraform l’ensemble de l’instance Wiz (utilisateurs, projets et règles).
L’entreprise a également commencé à utiliser Contrôleurs d’admission Wiz Kubernetes et Capteur d’autonomie Wiz pour permettre la détection et la réponse en temps réel des vulnérabilités dans plus de 1 700 Kubernetes, conteneurs et autres charges de travail cloud, ainsi que le Connecteur Wiz VMware pour analyser et corriger ses machines virtuelles. « Nos développeurs disposent désormais d’une visibilité complète sur ces environnements, ils voient les risques dans leur contexte et prennent des mesures proactives pour les réduire », explique M. Pautz. L’équipe a déployé des vérifications de conteneur avec l’interface de ligne de commande Wiz pendant le processus de promotion du code. « Nous encapsulons actuellement l’interface de ligne de commande Wiz dans Golang pour fournir une approche de relations publiques personnalisée qui fournit des données riches de l’interface de ligne de commande Wiz destinées à notre équipe de développement », explique M. Pautz.
Les équipes de sécurité et de développement utilisent désormais Scan Wiz Secret Exécuter des analyses automatiques sur les référentiels de code, les pipelines d’exécution, les fichiers de configuration, les validations et d’autres sources de données afin de prévenir les menaces de sécurité potentielles posées par les secrets exposés. Pour rationaliser les flux de travail de développement, l’équipe de sécurité balise les ressources et les projets avec des noms d’espace/d’équipe dans les fournisseurs de cloud avec Terraform. Ces balises d’identification sont ensuite terraformées en Wiz, de sorte qu’il est facile pour les développeurs de trouver des projets associés à leur pod/équipe. L’équipe de sécurité a en outre rédigé une règle personnalisée qui informe les équipes des conteneurs d’infrastructure qui ne respectent pas les politiques de balisage, garantissant ainsi que les tableaux de bord du projet Wiz reflètent avec précision la charge de vulnérabilité pour les pods/équipes décentralisés.
« En centralisant la visibilité, en automatisant les analyses et en activant le balisage, Wiz a permis à nos équipes interfonctionnelles d’identifier et de hiérarchiser plus facilement les risques », explique M. Waringa. « Nous avons également utilisé des règles pour appliquer les meilleures pratiques de sécurité, y compris les conteneurs mal configurés. »
Nous avons utilisé Wiz dans deux autres sociétés. Ce qui nous a fait le choisir à nouveau, ce sont tous les choix technologiques que Wiz continue de faire et la vitesse à laquelle ils déploient de nouvelles fonctionnalités. Les choix qu’ils font en backend améliorent vraiment la protection de l’environnement en frontend.
Traiter de manière proactive les vulnérabilités pour réduire les risques et les coûts Grâce à une visibilité sur l’infrastructure de six entreprises et à des processus de gestion automatisés des risques, Datavant a désormais la possibilité d’intégrer la correction des risques plus tôt dans le cycle de vie du développement. « En travaillant ensemble, nos équipes de sécurité et de développement ont réduit de 51 % le nombre de vulnérabilités des conteneurs », déclare M. Pautz. Cela permet aux équipes de se concentrer sur l’amélioration continue, en se concentrant sur les risques moyens et faibles et en améliorant la posture de risque de l’entreprise. Aujourd’hui, Datavant empêche l’introduction dans son environnement d’exécution de toutes les nouvelles vulnérabilités Critical et High en dehors des SLA.
« En bloquant les vulnérabilités au moment où elles se produisent, les développeurs peuvent résoudre les problèmes au moment où ils sont les plus faciles et les moins coûteux à résoudre, avant que leur code ne s’exécute en production et ne présente des crochets, des intégrations ou d’autres problèmes qui pourraient nécessiter une collaboration multi-équipes », explique M. Waringa.
Le fait de pouvoir voir et comprendre l’ensemble de notre infrastructure et son fonctionnement a rendu nos équipes de sécurité et de développement plus efficaces. Nous utilisons Wiz comme Google : si nous avons besoin de savoir ce qui se passe dans notre environnement, il nous suffit de l’ouvrir et d’utiliser le Wiz Security Graph pour interroger ces ressources.
Partenariat pour améliorer les capacités de sécurité du marché Datavant entretient une relation étroite avec Wiz, proposant de nouvelles fonctionnalités et testant de nouvelles fonctionnalités en version bêta. L’entreprise a déployé des contrôleurs d’admission la première semaine de leur lancement et a effectué un déploiement d’une journée de son locataire fédéral, en tirant parti de sa stratégie pour « Terraform to tool » peu de temps après que Wiz ait atteint Autorisation FedRAMP® Moderate.
« En tant que client, vous ne pouvez rien demander de plus que de pouvoir parler à un partenaire qui partage notre point de vue sur ce à quoi ressemble l’avenir de la sécurité, qui comprend l’analyse de rentabilité que nous essayons de réaliser et qui peut déplacer des montagnes dans les coulisses », déclare M. Waringa. « Je n’ai jamais vu une équipe produit réceptive qui écoute aussi bien que l’équipe Wiz. »