チャレンジDatavant のセキュリティチームと開発チームは、同社のインフラストラクチャとプロセスに可視性のギャップがあることを経験していました。
同社のソフトウェア開発ライフサイクル (SDLC) は過度に複雑でした。個々のチームが異なるツールとプロセスを使用していたため、セキュリティとリスクの修復プロセスに一貫性がありませんでした。
分散型のアプローチにより、セキュリティツールが急増し、チームの情報収集とレポート作成の課題が増加しました。
解決Datavantは、Wiz Security Graphを活用して、相互接続とリスクをコンテナレベルまで表現し、複数の企業、マルチクラウド環境全体のすべてのリソースを確認できるようになりました。
Datavantは、Wiz Admission ControllersとWiz CLIパイプラインのスキャン機能を組み合わせて活用し、統合とデプロイのセキュリティチェックを追加することで、開発者がリスクを事前に特定し、優先順位を付け、修正できるようにすることで、企業のリスク態勢を継続的に改善しました。
同社は現在、Wizを単一のエンタープライズセキュリティプラットフォームとして使用して、重大なリスクプロセスとレポート作成を効率化しています。
Holistic visibility
across six-company infrastructure, enabling teams to remediate risk more efficiently
51% reduction
in vulnerabilities and prevented net-new critical/high vulnerabilities from being introduced to the running environment.
Consolidated 7 security tools to 1
increasing savings by 50%, which will increase as other contracts end
規制の厳しい業界における複雑なITインフラストラクチャ全体のセキュリティ管理のモダナイゼーション データバントは、患者データを匿名化して安全に交換するためのデジタルエコシステムを提供するヘルスケア企業であり、70,000を超える病院や診療所、上位100の医療システムの70%、製薬会社などで使用されています。 Datavantは、データを匿名化および匿名化し、データクリーンルームなどのテクノロジーを活用して、パートナーがデータにアクセスできるようにします。 これらの組織は、このデータを使用して、患者のケアと転帰を改善する新薬、治療法、サービスを開発します。
Datavant は、数年かけて 6 つの兄弟会社をまとめました。 両社のインフラストラクチャの統合により、AWS、Azure、VMware Flex Cloud Storage にまたがる複雑な IT 環境と、Terraform、Kubernetes、GitHub、GitLab などの多数の IT 運用および開発ツールが作成されました。 さらに、Datavant は、民間企業向けの商用 IT 環境と、政府機関のクライアント向けの FedRAMP® 環境の両方を運用しています。
会社の分散型組織構造により、開発ポッド/チームは独自のツールを使用し、製品ラインのセキュリティに対して個別に説明責任を負っていました。 これにより、ソリューションの重複、高いソフトウェアコスト、一貫性のないコードセキュリティポリシーが発生しました。 その結果、Datavantはインフラストラクチャとアプリケーションのリスクを一元的に把握することができず、セキュリティとリスク管理のベストプラクティスを実施できませんでした。
私たちは、ウォールドガーデンとして運用するセキュリティモデルから、開発チームがリスクの積極的な評価と修復に参加するモデルに移行したいと考えていました。 セキュリティは、製品にボルトで固定するのではなく、組み込まれるべきです
分散型セキュリティプロセスから統合型セキュリティプロセスへの移行 「Datavant は自律性が高い企業ですが、分散型アプローチにより、ソフトウェア開発ライフサイクル (SDLC) ツールチェーンがいたるところに散らばっていました」と、Datavant のセキュア製品およびインフラストラクチャ責任者である Nick Waringa 氏は述べています。 チームは、7つの独立した商用およびオープンソースのセキュリティツールに依存し、さまざまな機能とビューを提供していました。
「私たちのチームは、一貫性のないスキャンと修復プロセスを使用していました。つまり、リスクが未解決のまま放置される可能性があったのです。 また、開発チームは、リーダーに報告するための情報収集にも時間を費やしていましたが、代わりにリスクの修正に集中できたはずだと感じていました」と、Datavant のクラウド セキュリティ担当シニア エンジニアリング マネージャーである Jonathan Pautz 氏は述べています。
セキュア製品およびインフラストラクチャチームのリーダーは、当社のセキュリティ戦略を最新化する機会を見出しました。これにより、6 つの会社全体で包括的な可視性を実現し、開発者が開発パイプラインの早い段階でリスクを特定、優先順位付け、対処できるようにシフトレフトしました。 Datavant のセキュリティ チームは、4 つのプラットフォームを詳細に評価し、Wiz の継続的な機能革新と、チームがプラットフォームに深く精通していることを理由に Wiz を選択しました。 「プラットフォームの丸みを帯びた性質により、簡単に選択できました。 Wiz は、兄弟会社 6 社すべてで全社的に展開された最初のツールでした。 これには、人事、財務、チャット、ID など、想定されるすべてのツールが含まれます」と Waringa 氏は言います。
Datavantが迅速に採用 ウィズCNAPP 機能、で始まる ウィズCSPM そして ウィズDSPMこれは、AWS と Azure の環境に展開され、個人の医療情報を簡単に特定し、設定ミスを検出して修正できるようにしました。 その後、同社はWiz Terraformプロバイダを活用してTerraformパイプラインにチェックを追加し、デプロイしました IaCスキャン タスクを実行し、Terraform プランと Kubernetes クラスターのシークレット、脆弱性、および構成ミスを検出します。 Datavant は Terraform プロバイダーを非常に多く活用しているため、Wiz インスタンス全体 (ユーザー、プロジェクト、ルール) を Terraform しています。
同社はまた、 Wiz Kubernetesアドミッションコントローラー そして Wizランタイムセンサー 1,700を超えるKubernetes、コンテナ、その他のクラウドワークロードの脆弱性をリアルタイムで検出して対応できるようにするため、 Wiz VMware コネクタ をクリックして、仮想マシンをスキャンして修復します。 「当社の開発者は、これらの環境全体を完全に可視化できるようになり、コンテキスト内でリスクを認識し、リスクを軽減するための積極的な措置を講じています」と Pautz 氏は述べています。 チームは、コード昇格プロセス中に Wiz CLI を使用してコンテナチェックをデプロイしました。 「現在、Wiz CLIをGolangでラップして、開発スタッフ向けの豊富なWiz CLIデータを提供するカスタムPRアプローチを提供しています」とPautz氏は言います。
セキュリティチームと開発チームは、現在、 Wiz Secretスキャン コードリポジトリ、実行パイプライン、設定ファイル、コミット、その他のデータソースに対して自動スキャンを実行し、公開されたシークレットによる潜在的なセキュリティ脅威を防止します。 開発ワークフローを効率化するために、セキュリティチームは、Terraformを使用してクラウドプロバイダーのアセットとプロジェクトにポッド/チーム名をタグ付けします。 これらの識別タグは Terraformed で Wiz に取り込まれるため、開発者はポッド/チームに関連付けられたプロジェクトを簡単に見つけることができます。 さらに、セキュリティチームは、タグ付けポリシーに準拠していないインフラストラクチャコンテナのチームに通知するカスタムルールを作成し、Wizプロジェクトのダッシュボードが分散したポッド/チームの脆弱性負荷を正確に反映するようにしました。
「可視性を一元化し、スキャンを自動化し、タグ付けを可能にすることで、Wiz は部門横断的なチームがリスクを特定し、優先順位を付けることを容易にするようになりました」と Waringa 氏は言います。 「また、ルールを使用して、コンテナの設定ミスなど、セキュリティのベストプラクティスを適用しています。」
Wizは他の2社で使用しています。 私たちが再びそれを選んだのは、Wizが繰り返し行っているすべてのテクノロジーの選択肢と、新機能のデプロイ率です。 彼らがバックエンドで行う選択は、フロントエンドの環境の保護を本当に改善します。
脆弱性に積極的に対処してリスクとコストを削減します Datavantは、6社のインフラストラクチャを可視化し、リスクプロセスを自動化することで、リスクの修正を開発ライフサイクルの早い段階に移行できるようになりました。 「当社のセキュリティチームと開発チームが協力することで、コンテナの脆弱性の数を51%削減することができました」とPautz氏は述べています。 これにより、チームは継続的な改善に集中し、中リスクと低リスクに焦点を当て、会社のリスク態勢を改善することができます。 現在、Datavantは、SLA以外のまったく新しいCriticalおよびHighの脆弱性が実行環境に導入されるのを防ぎます。
「脆弱性が発生したときにブロックすることで、開発者は、コードが本番環境で実行され、フック、統合、または複数チームのコラボレーションが必要なその他の問題が発生する前に、最も簡単かつ安価に修正できる問題を修正できます」とWaringa氏は言います。
すべてのインフラストラクチャとその仕組みを確認して理解できるようになったことで、セキュリティチームと開発チームの効率が向上しました。 私たちは Wiz を Google のように使用しています: 環境で何が起こっているかを知る必要がある場合は、環境を開いて Wiz Security Graph を使用してそれらのリソースをクエリします。
市場向けのセキュリティ機能を向上させるためのパートナーシップ DatavantはWizと緊密な関係を維持しており、新機能を提案し、新機能のベータテストを行っています。 同社は、リリースされた最初の週にアドミッションコントローラーをデプロイし、Wizが達成した直後に「テラフォームからツールへ」という戦略を活用して、連邦テナントの1日デプロイを行いました FedRAMP® Moderate 認証.
「お客様にとって、セキュリティの未来がどのようなものになるかについての私たちの視点を共有し、私たちが達成しようとしているビジネスケースを理解し、舞台裏で山を動かすことができるパートナーと話すことができること以上のものを求めることはできません」とWaringa氏は言います。 「Wiz チームほど、耳を傾けてくれる受容的な製品チームは見たことがありません」