Wiz Defend est là : détection et réponse aux menaces pour le cloud

Priceline se décale vers la gauche pour valider les bonnes pratiques dans le pipeline avant leur déploiement

L’agence de voyages en ligne Priceline s’est associée à Wiz pour prévenir de manière proactive les risques dans son pipeline de développement cloud, plutôt que d’y répondre en production.

Priceline

Industrie

Voyage et transport

Région

Amérique du Nord

Plateformes cloud

GCP
AWS
Prêt à commencer ?
Demander une démo

Défi

  • Dans le cadre de sa migration vers le cloud et avant de disposer d’une solution de gestion de la posture de sécurité dans le cloud, Priceline souhaitait mieux contextualiser la conformité de son infrastructure cloud. 

  • Les équipes de sécurité créaient souvent des tickets pour les développeurs afin de remédier à des problèmes individuels de configuration du cloud plutôt que de s’attaquer à la cause première, ce qui faisait perdre beaucoup de temps et de ressources.

  • Comme les équipes de sécurité passaient du temps à créer des tickets pour les changements de configuration, cela les empêchait de travailler sur des initiatives plus stratégiques.

Solution

  • Priceline a gagné en visibilité sur son environnement cloud rapidement et efficacement, et l’équipe s’assure qu’il respecte les normes du secteur.

  • Priceline tire les leçons des risques dans son environnement d'exécution, procède à un nettoyage ponctuel, puis passe à la gauche en créant des politiques de sécurité que les développeurs doivent respecter dans le pipeline CI/CD. Les développeurs reçoivent un retour d’information immédiat pour résoudre rapidement les problèmes. 

  • Priceline atténue les risques de manière proactive en bloquant automatiquement les déploiements présentant des erreurs de configuration avant qu’ils ne soient mis en production. Désormais, les équipes de sécurité peuvent se concentrer sur des tâches plus stratégiques au lieu de résoudre des problèmes isolés. 

Construire des ponts entre les équipes de sécurité et de développement

Priceline est une agence de voyage en ligne qui aide les clients à trouver des tarifs réduits pour leurs voyages. Dans le cadre de sa migration vers le cloud natif, l’entreprise a progressivement migré la plupart de ses workloads sur site vers Google Cloud et AWS.  

Si une infrastructure axée sur le cloud permet à Priceline d’innover rapidement, elle présente également un nouvel ensemble de défis de sécurité qui doivent être résolus. Andrew McKenna, architecte en sécurité cloud, et son équipe sont responsables de la sécurisation des applications cloud et des pipelines de développement, ainsi que de la sécurisation et de la surveillance des workloads et des environnements cloud de Priceline. « Le cloud permet aux développeurs de mettre rapidement en place des systèmes accessibles au public, mais sans la conception et la mise en œuvre de garde-fous appropriés, cette infrastructure et d’autres infrastructures ne sont pas sécurisées par défaut. »

L’équipe de sécurité a constaté qu’elle consacrait beaucoup de temps et de ressources à l’envoi de tickets pour mettre à jour les configurations dans son environnement, ce qui n’a pas empêché le problème de réapparaître. En conséquence, l’équipe a commencé à repenser les pratiques de sécurité cloud de Priceline et à concentrer ses efforts sur des initiatives stratégiques plutôt que sur la résolution de problèmes isolés.

Comme notre implantation est importante, il n'est pas question de faire du « bricolage » en ce qui concerne les vulnérabilités et les problèmes – nous voulons traiter les problèmes systémiques plutôt que les anomalies, et nous assurer que nous sommes sécurisés par défaut.

McKenna et son équipe ont pris la décision audacieuse de passer à une stratégie de décalage vers la gauche pour gagner du temps et économiser des ressources en s’assurant que toutes les configurations de l’environnement respectaient les bonnes pratiques de sécurité par défaut. Ils ont cherché une solution qui leur permettrait de détecter les écarts par rapport aux normes de l’industrie plus tôt dans le cycle de développement afin de remédier aux problèmes avant qu’ils ne soient mis en production. Dans ce nouveau flux de travail, la sécurité définirait des stratégies spécifiques pour garantir la mise en œuvre des bonne pratiques avant le déploiement, et la sécurité n’aurait pas besoin de demander aux équipes de développement des modifications apportées aux environnements de production après le lancement d’un projet. 

Priceline savait que la transition vers un modèle de sécurité décalé vers la gauche était un objectif ambitieux. Bien souvent, les entreprises n’y parviennent pas parce que les équipes travaillent en silos et utilisent des outils différents et non connectés. Les développeurs disposent d’outils avec des stratégies qui analysent leur pipeline, mais qui sont entièrement isolés de ce que la sécurité voit, ce qui crée une vue fragmentée de la posture de sécurité.

Priceline avait besoin d’une solution qui fournirait un moteur de politique unique et consolidé, géré par la sécurité et facile à utiliser pour les développeurs, sans ajouter de complexité ni générer de travail supplémentaire. L’équipe de sécurité voulait s’assurer qu’elle n’introduisait pas de frictions inutiles dans les flux de travail de développement. 

Avant de pouvoir effectuer un décalage vers la gauche, vous devez mettre de l’ordre, afin de ne pas devenir un obstacle pour les utilisateurs au sein de l’entreprise. Vous faites des changements qui ont un impact sur la façon dont les gens travaillent. Nous voulons donner aux développeurs l’autonomie nécessaire pour créer leurs propres applications et plates-formes et les déployer dans un pipeline qui aboutit à la production. Nous devions déterminer quels garde-fous leur permettraient de se déployer en toute sécurité.

Après avoir exploré les solutions potentielles, Priceline a choisi Wiz en raison de sa facilité d’utilisation et de sa plate-forme cloud native. « Ce qui m’a le plus impressionné chez Wiz, c’est son interface très intuitive et son tableau de bord très simple. So' cloud natif et sans agent signifiait que nous pouvions l'avoir et l'exploiter en quelques minutes mais aussi que nous pouvions avoir des informations claires et activables," affirme McKenna. 

Identifier, hiérarchiser et contextualiser  

Dans un premier temps, Priceline a utilisé Wiz comme solution CSPM pour gagner en visibilité sur son environnement cloud, évaluer sa posture de sécurité actuelle et remédier aux problèmes de son environnement d’exécution. Wiz a détecté les problèmes de configuration potentiels et les a corrélés avec d’autres facteurs de risque tels que l’exposition du réseau ou les droits d’accès au cloud pour donner à l’équipe de sécurité du cloud un contexte exploitable sur la hiérarchisation des problèmes. 

Apprendre à partir de la droite, décaler vers la gauche

Avec une posture de sécurité de base établie en production, Priceline a tiré les enseignements de son environnement d’exécution pour l’aider à se décaler vers la gauche. L'analyse de l'environnement de travail par Wiz a aidé l'équipe à choisir les bonnes politiques et les bons cadres à mettre en place pour prévenir automatiquement l'apparition de problèmes similaires à l'avenir. 

Une fois que Priceline a su quelles politiques transférer au développement, elle a utilisé l'analyse CI/CD dans Wiz pour appliquer des contrôles dans les parties appropriées du processus. L’équipe de sécurité a ensuite dû travailler à rebours pour créer un pipeline sécurisé et sans friction. 

Nous avons beaucoup travaillé pour corriger les modules de développement afin qu'ils soient conformes à ce que nous voulions. C'était la chose la plus « à gauche » que nous pouvions faire : mettre à jour les modules IAC avant de créer un garde-fou entre le développement et l'infrastructure, mais cela a permis aux développeurs de continuer à faire leur travail.

En combinant l'analyse continue de Wiz sur tous les comptes, utilisateurs et workloads avec le produit d'infrastructure en tant que code Terraform – intégré dans le pipeline CI/CD de Priceline – l'entreprise a pu identifier et traiter les problèmes dès le début du processus de développement. Chaque version est évaluée par rapport aux politiques et aux cadres de Wiz afin de déterminer s'il existe des problèmes avec le code ou le plan. Si les problèmes sont classés comme moyens ou supérieurs, le déploiement est bloqué, ce qui fournit un retour d’information immédiat au développeur. 

« Nous voulons mettre en place des garde-fous à l’intérieur de ce pipeline pour faciliter la sécurité. Nous voulons simplement que ces garde-fous soient invisibles, explique McKenna. Désormais, les équipes de développement disposent de l’autonomie nécessaire pour déployer en toute sécurité, ce qui leur fait gagner du temps et réduit le besoin de revenir en arrière et de résoudre le problème à l’avenir, lorsqu’il est plus coûteux de le faire. » 

Mise en œuvre de l’automatisation des politiques dans le pipeline

L’équipe peut désormais se concentrer sur des tâches plus stratégiques dans l’ensemble de l’entreprise et tirer parti de la valeur ajoutée de Wiz. Priceline a étendu Wiz à ses opérations et à de nouvelles acquisitions, y compris une entreprise fonctionnant dans Google Cloud et une autre fonctionnant dans AWS. Wiz s’est connecté en quelques minutes via un seul connecteur et a fourni une couverture sans perturber les opérations de l’entreprise ni nécessiter de maintenance continue.  

Plutôt que de passer du temps à créer des tickets, Wiz permet à l’équipe de sécurité de consacrer plus de temps à des tâches stratégiques, comme s’assurer que les nouvelles acquisitions exécutées dans AWS répondent aux normes de Priceline.

Avec Wiz, Priceline s’assure que toutes les acquisitions sont conformes à son cadre de sécurité, que ce soit dans Google Cloud ou AWS et dans les environnements Kubernetes. L’entreprise peut mesurer le niveau de sécurité des nouvelles acquisitions exécutées dans différents clouds publics par rapport à son cadre et voir immédiatement toutes les vulnérabilités classées par gravité. L’équipe de sécurité hiérarchise les vulnérabilités ou les problèmes à corriger et adopte une approche méthodique pour travailler avec les équipes concernées sur les actions requises.

En gagnant en visibilité sur son infrastructure cloud ainsi qu’en empêchant les vulnérabilités connues et les erreurs de configuration d’entrer dans son environnement d’exécution, Priceline obtient une solution unique pour minimiser ses risques cloud. McKenna salue également la réactivité de l’équipe de Wiz pour aider Priceline à maximiser la valeur du produit et souligne la collaboration entre les deux équipes sur le développement d’outils au sein de la plateforme. « L’équipe de Wiz a été très réactive. Nous avons travaillé en étroite collaboration sur le développement d’IaC Scanning et leur soutien nous a beaucoup aidés. » 

Obtenez une démo personnalisée

Prêt(e) à voir Wiz en action ?

“La meilleure expérience utilisateur que j’ai jamais vue, offre une visibilité totale sur les workloads cloud.”
David EstlickRSSI
“Wiz fournit une interface unique pour voir ce qui se passe dans nos environnements cloud.”
Adam FletcherChef du service de sécurité
“Nous savons que si Wiz identifie quelque chose comme critique, c’est qu’il l’est réellement.”
Greg PoniatowskiResponsable de la gestion des menaces et des vulnérabilités