Défi
La vaste gamme de produits de Zendesk nécessite une large empreinte cloud pour être maintenue, et l’entreprise a eu du mal à conserver une visibilité sur l’ensemble de son environnement multicloud.
Les équipes de développement avaient la liberté de créer et d’évoluer rapidement, mais ne comprenaient pas l’importance ou l’emplacement des vulnérabilités lorsqu’elles étaient signalées par la sécurité.
Les outils de sécurité déconnectés nécessitaient des spécialistes dédiés pour la maintenance et la surveillance, ce qui prenait du temps et des ressources pour des projets à plus forte valeur ajoutée.
Solution
Zendesk a obtenu une visibilité complète de son environnement cloud et une sécurité centralisée au sein de ses équipes de développement et de sécurité cloud
En s’appuyant sur des recommandations et des informations hiérarchisées dans Wiz, les équipes de développement de Zendesk sont désormais en mesure de s’approprier leurs actifs spécifiques du point de vue de la sécurité et de se concentrer sur les vulnérabilités critiques.
Zendesk sécurise de manière proactive ses images de conteneurs et ses configurations IaC en cours de développement, afin que les ingénieurs puissent consacrer du temps à la création de nouveaux produits et fonctionnalités.
Consolidated visibility
across a complex environment into a single pane of glass
Eliminated 96%
of critical vulnerabilities
Improved collaboration
across security and development teams with 1,200+ Wiz users
Devenir un chef de file multinational de l’industrie
Les co-fondateurs de Zendesk Morten Primdahl, Alexander Aghassipour et Mikkel Svane, ont créé la première version de la solution numérique d’assistance et de service à la clientèle dans un petit appartement de Copenhague en 2007. Au cours de ses premiers mois, elle comptait près de 1 000 clients d’essai, en 2009, elle était financée, et aujourd’hui, c’est une organisation de plusieurs milliards de dollars avec plus de 6 000 employés dans le monde. Sa gamme de produits comprend un large éventail de solutions de service et de vente, chacune avec ses propres outils dédiés.
Pour prendre en charge cet écosystème et donner à ses clients la possibilité d’offrir des expériences client de qualité, l’entreprise a besoin d’un environnement cloud en constante croissance. Cela inclut plusieurs grands fournisseurs de cloud, un stockage conteneurisé, des clusters Kubernetes et plus de 10 000 machines virtuelles (VM), le tout alimentant 800+ services sur la plateforme. Dans un environnement aussi complexe, l’entreprise avait du mal à maintenir une visibilité dans tous les coins et recoins, et ses outils de sécurité nécessitaient l’aide de spécialistes qui ne pouvaient alors pas consacrer leur temps à la conception de nouvelles solutions. Zendesk savait qu’il devait simplifier et automatiser pour faire évoluer la sécurité en même temps que son infrastructure cloud.
En plus de ces défis techniques, Zendesk souhaitait encourager une plus grande collaboration entre les équipes d’ingénierie et de développement. Avec 30 ingénieurs en sécurité produit et près de 2 000 ingénieurs logiciels, il était difficile pour sa petite équipe de sécurité de tout gérer elle-même. « Dans un environnement aussi vaste, personne ne peut tout savoir », déclare Andrew Wagner, directeur de l’ingénierie chez Zendesk. « Afin de résoudre efficacement les problèmes, la sécurité et les développeurs doivent collaborer. Mon équipe devait être en mesure de signaler un problème à la sécurité et de lui demander son avis, et pas seulement d’attendre des instructions. Dans le cadre de cette évolution vers une stratégie de sécurité plus proactive, la vision de Zendesk a été mise à l’épreuve lorsqu’il a fallu découvrir rapidement les vulnérabilités liées à Log4Shell.
Nous étions autrefois une organisation de sécurité très réactive, mais notre objectif aujourd’hui est de créer des produits sécurisés dès la conception pour maintenir et améliorer progressivement ces normes. Wiz nous donne un aperçu de l’emplacement des risques, ce qui nous permet de corriger les erreurs de configuration et de réduire les risques qu’elles se reproduisent
L’entreprise évaluait de nouvelles solutions de sécurité lorsqu’elle a découvert Log4Shell, mais sans un moyen de voir facilement l’ensemble de son environnement cloud, il était impossible de trouver efficacement les expositions potentielles. « Avec Wiz, nous pouvions tout voir dans notre environnement et où nous exécutions Log4Shell », explique Koen Hendrix, directeur de la sécurité des produits chez Zendesk. « Notre confiance dans notre inventaire et notre couverture cloud est passée de 60 % à 100 %. Nous pouvions voir toutes nos lacunes, et nous avons pu commencer à les combler pendant la nuit. Nous savions comment faire bouger les choses en matière de sécurité, et cela a fait de Wiz un choix facile.
Découvrir les angles morts pour étendre la couverture de sécurité
Une fois que Zendesk a décidé de mettre en œuvre Wiz, l’entreprise a pu le déployer rapidement et facilement, car son équipe de sécurité n’avait pas besoin d’installer d’agents dans son cloud. « Wiz nous a donné la possibilité de mettre en œuvre et d’examiner rapidement notre empreinte », explique Wagner. « Nous avons pu découvrir des angles morts dans nos données VM et dans tous nos environnements sans avoir à bricoler une solution à partir de sources disparates. »
Grâce à la visibilité et aux outils regroupés dans un seul écran, Zendesk peut être pleinement conscient des risques et s’orienter vers une approche plus proactive de la sécurité du cloud. « Nous connaissons mieux la technologie utilisée par nos ingénieurs, nous pouvons fournir des mises à jour constantes sur l’état de la conformité et nous avons tout dans une seule destination », explique M. Hendrix. « Grâce à cela, nous pouvons identifier et traiter les risques plus rapidement que jamais et consacrer plus de temps à des projets à plus forte valeur ajoutée. » Depuis la mise en œuvre de Wiz, l’entreprise a réduit de 95 % les vulnérabilités hors SLA et corrigé 96 % de l’ensemble de ses vulnérabilités critiques.
Lorsque Log4Shell a eu lieu, nous testions Wiz, et l’équipe a travaillé en étroite collaboration avec nous pour nous aider à examiner l’ensemble de notre cloud à la recherche de vulnérabilités. Après avoir vu le graphique de sécurité, j’ai su que c’était la bonne solution. Wiz est le seul outil que j’ai personnellement fortement préconisé chez Zendesk, car je savais qu’il résoudrait notre problème.
Étant donné que Zendesk dispose d’un plus grand nombre de contextes en un seul endroit, les équipes de sécurité et d’ingénierie peuvent également prendre des décisions plus éclairées sur la manière et l’endroit où passer du temps et sur les problèmes les plus importants à corriger. Les équipes peuvent facilement référencer les balises, les métadonnées et les recommandations de hiérarchisation intégrées de Wiz pour avoir une compréhension complète des nuances de problèmes spécifiques. Cela signifie que les ingénieurs qui possèdent des actifs et des projets spécifiques peuvent apporter leurs connaissances et s’aligner sur la sécurité sur la meilleure façon de résoudre un problème. « Disons que notre équipe d’ingénieurs a le temps de faire 10 tâches en une semaine. Avant, nous leur aurions peut-être simplement donné 50 problèmes, et ils ne sauraient pas par où commencer », partage Hendrix. « Maintenant, nous pouvons partager deux ou trois questions spécifiques et expliquer pourquoi elles sont importantes. »
Intégrer la sécurité dans chaque couche de chaque produit
Plus de la moitié des 2 000 membres de l’équipe d’ingénierie de Zendesk utilisent désormais Wiz, et comme de plus en plus de membres lui font confiance en tant que source de vérité, les équipes de sécurité et d’ingénierie sont en mesure de mieux collaborer en utilisant un langage commun. « Mon équipe'est d’améliorer la posture de sécurité de la pile de produits Zendesk à chaque couche du produit », explique Hendrix. « Cela signifie qu’à partir du moment où un ingénieur a une idée, jusqu’à l’écriture du code et le déploiement en production, c’est sûr. Comme nos ingénieurs utilisent désormais Wiz, ils peuvent également revenir vers nous avec leurs propres découvertes, ce qui a rapproché nos équipes.
Avec Wiz CLI, l’équipe a mis en œuvre l’analyse des vulnérabilités pour les images de conteneur et analyse et génère des drapeaux pendant le développement local. Zendesk avertit les ingénieurs des erreurs de configuration avant qu’elles ne commencent, afin qu’ils puissent s’adapter facilement et continuer à créer. Cela permet également de s’assurer que les vulnérabilités potentielles sont détectées lorsqu’elles pénètrent dans des environnements de transit et ne mettent pas en danger la production. « Nous savons que nous ne pouvons pas empêcher complètement les gens de se construire une image vulnérable, mais si nous pouvons signaler un problème, nous n’aurons pas à nous soucier d’un nouveau SLA à l’avenir », déclare Wagner.
Wiz nous offre un langage commun entre la sécurité et l’ingénierie. Il'est un outil auquel tout le monde a accès, il est très intuitif et facile à exploiter, car le contexte dont nous avons besoin pour travailler ensemble et faire notre travail est au même endroit.
Cette approche collaborative de la surveillance de la sécurité a permis à Zendesk de modifier progressivement son approche de la sécurité gauche et du code sécurisé plus tôt dans le processus de développement. « Notre groupe de sécurité et mes ingénieurs peuvent désormais co-posséder et co-gérer la sécurité de nos solutions car nous disposons d’un outil unifié », explique Wagner.
L’équipe peut également surveiller et protéger son environnement afin d’améliorer sa conformité à ses partenariats fédéraux en utilisant Capteur d’autonomie Wiz. « Avec Wiz Sensor, nous pouvons évaluer en permanence nos cadres de conformité et montrer facilement à nos partenaires que nous répondons à nos exigences FedRAMP, SOC II, PCI et autres, car nous pouvons tout voir en temps réel », explique Wagner. « C’est inestimable, car nous pouvons suivre les normes à mesure qu’elles changent et maintenir ces précieux partenariats. »
Mise en œuvre de nouvelles mesures de protection pour une infrastructure cloud en pleine croissance
Alors que Zendesk continue de faire évoluer son approche de la sécurité du cloud, l’entreprise envisage d’utiliser Wiz Défendre pour améliorer la sécurité de son exécution et surveiller les vulnérabilités avec un niveau de signal plus élevé. « Disposer d’une visibilité en temps réel va changer la donne, car nous pouvons réduire le temps nécessaire à la détection, à l’investigation et à la limitation des attaques dans le cloud », déclare M. Hendrix.
L’équipe considère également Wiz comme un élément clé de sa stratégie continue de se déplacer plus à gauche. « Nous voulons être en mesure de détecter de plus en plus tôt les erreurs de configuration et les problèmes de balise dès le tout début de notre processus », ajoute Hendrix. « Wiz est un élément essentiel de la maturation de notre approche de la sécurité. »
