DéfiLa croissance rapide de la plate-forme SaaS a nécessité une nouvelle approche de la sécurisation de l’infrastructure cloud de Redis.
Auparavant, Redis ne disposait pas d’une vue ou d’outils de sécurité unifiés sur l’ensemble de son infrastructure multicloud.
En tant qu’organisation axée sur l’ingénierie, l’équipe de sécurité de Redis recherchait des outils de sécurité cloud modernes qui ajouteraient de la valeur et accéléreraient les tâches pour les Cloud Ops et les autres équipes.
SolutionEn déployant Wiz, Redis a pu faire évoluer sa posture de sécurité sans embaucher de personnel supplémentaire.
Wiz offre à Redis une visibilité totale et une vue d’ensemble de chaque système sur l’ensemble de son infrastructure multicloud.
Avec Wiz, Redis a éliminé le travail manuel pour gagner du temps et accélérer le développement.
La croissance rapide crée l’urgence d’adopter une nouvelle approche de la sécurité du cloud Qu’il s’agisse de classements de jeux, de détection des fraudes ou de gestion des stocks en temps réel, Redis rend les applications plus rapides, avec des performances fulgurantes à grande échelle. La société est la force motrice d’Open-Source Redis, la base de données en mémoire la plus appréciée au monde, et est le fournisseur commercial de Redis Enterprise, une plate-forme de données en temps réel qui alimente les services de plus de 8 500 organisations dans le monde.
Bien que Redis ait été cloud-native dès le début, la croissance rapide de ses offres de services gérés a changé la façon dont l’entreprise aborde la sécurité du cloud. Avec une infrastructure très élastique et dynamique, Redis a réalisé qu'elle avait besoin de solutions de sécurité tout aussi flexibles et matures, capables d'offrir la visibilité multi-cloud et la confiance en matière de sécurité dont l'entreprise a besoin pour rester sur la voie du succès.
S'appuyer sur des fonctionnalités de sécurité natives du cloud et sur les connaissances empiriques des employés n'était plus envisageable à grande échelle « Nos développeurs créent un produit phénoménal avec un accès et une récupération de données à faible latence et une haute disponibilité pour certaines des entreprises les plus exigeantes au monde », assure Quincy Castro, directeur de la sécurité des systèmes d’information chez Redis. « L’objectif de l’équipe de sécurité est de soutenir cette mission avec des services qui protègent notre entreprise et nos clients sans ralentir nos ingénieurs. »
Cependant, lorsque Castro a rejoint Redis, l’entreprise ne disposait pas d’outils de sécurité unifiés capables de couvrir les milliers de comptes exécutés par Redis sur Amazon Web Services (AWS), Google Cloud Platform (GCP) et Microsoft Azure. L’entreprise s’appuyait sur plusieurs solutions de sécurité natives des trois fournisseurs de cloud, ainsi que sur des connaissances empiriques et des processus manuels. Il était clair qu’à mesure que l’entreprise poursuivait sa croissance rapide, cette approche initiale de la sécurité du cloud ne serait plus suffisante.
« Si l'on réfléchit à la manière dont les programmes de sécurité traditionnels sont structurés, on ne peut pas réussir dans un monde SaaS B2B en se contentant de développer une fonction de sécurité classique », déclare Castro. On doit s'appuyer sur des outils et des technologies innovants qui peuvent soutenir l’automatisation et la réponse dynamique nécessaires à la protection de son environnement. »
Pour Castro, l’une des premières choses à faire était de trouver une solution qui permettrait à Redis de quantifier sa posture de sécurité sur toutes ses plates-formes cloud en un coup d’œil, tout en étant rapide et facile à déployer et à utiliser, le tout sans perturber les équipes d’ingénierie.
Wiz « allume les lumières » pour Redis Après avoir évalué plusieurs outils de sécurité, Redis a choisi Wiz pour l’évolutivité et la maturité de la plateforme, son ensemble robuste de fonctionnalités et sa facilité d’utilisation. La facilité et la rapidité de déploiement étaient également des éléments indispensables pour la nouvelle solution, et c’est ce que Wiz a réalisé avec son approche sans agent.
« Tout outil qui nécessiterait des agents ou des scripts était rédhibitoire car cela aurait perturbé le développement et notre activité, explique Castro. L’une des raisons pour lesquelles nous avons choisi la solution sans agent de Wiz, c'est sa facilité d’utilisation pour nos équipes de développement et DevOps. Leur expérience positive avec les outils de sécurité que nous choisissons est une priorité absolue.
En moins de 30 minutes, Redis a déployé Wiz et a commencé à en voir la valeur immédiate. « Wiz nous a donné une visibilité totale, explique Castro. C’était comme allumer les lumières. Nos partenaires de l'entreprise ont été impressionnés lorsqu'ils ont réalisé que nous avions mis en place un outil qui nous permettait d'avoir une vue d'ensemble de chaque système dans tous nos environnements cloud. »
Wiz donne à une start-up à forte croissance comme Redis une capacité très mature prête à l’emploi qui serait très, très coûteuse et exigeante en main-d’œuvre à créer.
Après le déploiement initial de Wiz pour l’analyse des logiciels malveillants, Redis a rapidement étendu son utilisation et s’appuie désormais sur Wiz pour évaluer sa posture de sécurité à partir d’une vue globale basée sur les risques avec contexte, hiérarchiser les problèmes de sécurité à traiter en premier et prendre en charge les rapports de conformité et la certification.
Redis renforce l’agilité tout en gagnant en confiance dans sa posture de sécurité Pour Castro, l’un des principaux avantages de Wiz est la façon dont cela permet aux personnes non responsables de la sécurité de comprendre le contexte des problèmes de sécurité, comment ils peuvent être résolus et quelle est la priorité pour les résoudre, tout en apportant de la valeur au DevOps qui favorise l’adoption et génère un large soutien. « Wiz identifie et contextualise les risques réels plutôt que de se contenter de cracher une liste de problèmes isolés, dit-il. Cela renforce notre agilité, car les DevOps obtiennent le contexte dont ils ont besoin pour corriger les problèmes et intervenir plus rapidement. Comme nous utilisons maintenant Wiz comme outil DevOps dans l'ensemble de l'entreprise, il est important d'avoir ce contexte pour les personnes qui ne sont pas des experts en sécurité. »
La mise en place de Wiz permet à Redis d’économiser du temps et des ressources qu’il peut utiliser pour d’autres tâches de sécurité importantes. « Avec Wiz, nous pouvons faire évoluer notre approche de la sécurité cloud sans ajouter de personnel, en supprimant une grande partie des tâches manuelles fastidieuses qui étaient nécessaires auparavant », explique Castro.
Wiz rationalise également considérablement les efforts de conformité pour Redis. « Au fur et à mesure que nous passons en revue les certifications PCI et autres, le fait d’avoir les contrôles de conformité intégrés dans Wiz nous permet d’obtenir très facilement les données que nous devons fournir, explique Castro. « Cela a été très utile du point de vue de la conformité. »
Castro apprécie particulièrement la confiance que Wiz lui donne pour « parler honnêtement et en toute confiance » aux clients et aux partenaires de la posture de sécurité de Redis. « La visibilité et les informations que nous obtenons de Wiz nous aident à garder la confiance de nos clients, explique-t-il. Nous pouvons évaluer notre posture de sécurité par rapport à une vulnérabilité qui fait la une des journaux et déterminer instantanément si nous sommes touchés ou non. »
Une grande partie de la valeur que nous tirons de Wiz est la certitude que les choses font ce qu'elles sont censées faire et que nos technologies et notre plateforme sont configurées correctement.
L’intégration de Wiz donnera à Redis un « système immunitaire » pour la sécurité Les prochaines priorités de Castro sont l’intégration de Wiz avec le fournisseur de centre d’opérations de sécurité (SOC) de Redis et les plateformes DevSecOps et les outils d’automatisation pour automatiser les processus d’alerte, de confinement et de remédiation. « L’idée est de transformer une source d’information en déclencheur, explique-t-il. L’intégration de Wiz à d’autres capacités nous aide à développer une base de défense dynamique et à créer un « système immunitaire » capable d’agir sur des choses qui dépassent notre tolérance au risque. »
Alors que Redis continue de passer d’opérations manuelles à une approche multicloud évolutive, Castro considère Wiz comme un élément essentiel pour assurer le succès de l’entreprise. « Wiz nous permet d’avoir confiance dans la posture de sécurité de nos produits et service, explique-t-il. Cela permet à nos équipes DevOps et à nos ingénieurs d’agir rapidement, et cela nous permet d’offrir la meilleure expérience possible à nos clients. Nous n’avons pas à nous soucier de l’état de l’environnement ou de savoir s’il y a un problème de sécurité qui se cache et que nous ne connaissons pas. »