チャレンジ
クラウドへの移行に伴い、クラウドセキュリティポスチャー管理ソリューションを導入する前は、クラウドインフラストラクチャのコンプライアンスをより適切にコンテキスト化したいと考えていました。
セキュリティチームは、根本原因に対処するのではなく、開発者が個々のクラウド構成の問題を修正するためのチケットを作成することが多く、修復にかなりの時間とリソースを費やしていました。
セキュリティチームは、構成変更のチケット作成に時間を費やしたため、より戦略的な取り組みから遠ざかってしまいました。
解決
Pricelineはクラウド環境を迅速かつ効率的に可視化し、チームは業界標準に準拠していることを確認しました。
Priceline は、ランタイム環境のリスクから学習し、1 回限りのクリーンアップを完了してからシフトレフトし、開発者が CI/CD パイプラインで遵守するセキュリティ ポリシーを作成します。 開発者は、問題を迅速に解決するためのフィードバックを即座に得ることができます。
Pricelineは、本番環境に移行する前に、設定ミスのあるデプロイを自動的にブロックすることで、リスクをプロアクティブに軽減します。 これにより、セキュリティチームは、孤立した問題を解決するのではなく、より戦略的な作業に集中できます。
セキュリティチームと開発チームをつなぐ架け橋となる
Pricelineは、顧客が旅行の割引料金を見つけるのを支援するオンライン旅行会社です。 完全なクラウドネイティブ化への道のりにおいて、同社はオンプレミスのワークロードのほとんどを着実にGoogle CloudとAWSに移行してきました。
クラウドファーストのインフラストラクチャは、Pricelineの迅速なイノベーションに役立ちますが、対処すべき新たなセキュリティ上の課題も抱えています。 クラウドセキュリティアーキテクトのAndrew McKenna氏と彼のチームは、クラウドアプリケーションと開発パイプラインの保護、およびPricelineのクラウドワークロードと環境の保護と監視を担当しています。 「クラウドにより、開発者は公開されているシステムを迅速に立ち上げることができますが、適切なガードレールの設計と実装がなければ、そのシステムやその他のインフラストラクチャはデフォルトで安全ではありません。」
セキュリティチームは、環境全体の構成を更新するためのチケットの送信にかなりの時間とリソースを費やしていることに気付きましたが、それでも問題の再発を防ぐことはできませんでした。 その結果、チームはPricelineのクラウドセキュリティプラクティスを再考し、孤立した問題を解決するのではなく、戦略的なイニシアチブに力を注ぐ方法を再考し始めました。
私たちのフットプリントは大きいため、脆弱性や問題に関して「モグラたたき」をしたくはなく、例外ではなく体系的な問題に対処し、デフォルトで安全を確保したいと考えています。
McKenna 氏と彼のチームは、環境全体のすべての構成がデフォルトでセキュリティのベスト プラクティスに準拠していることを確認するための時間とリソースを節約するために、シフト レフト戦略に移行するという大胆な決定を下しました。 彼らは、開発サイクルの早い段階で業界標準からの逸脱を検出し、本番環境で稼働する前に問題を修復できるソリューションを探していました。 この新しいワークフローでは、セキュリティはデプロイ前にベスト プラクティスが確実に実装されるように特定のポリシーを設定し、セキュリティは何かがリリースされた後に開発チームに運用環境への変更を求める必要がなくなります。
Pricelineは、シフトレフトのセキュリティモデルへの移行が野心的な目標であることを認識していました。 企業がこれをうまく行えないのは、チームがサイロ状態で作業し、接続されていない異なるツールを使用しているためです。 開発者は、パイプラインを分析するポリシーを持つツールを持っていますが、セキュリティが認識するものから完全に分離されているため、セキュリティ体制の断片的なビューが作成されます。
Pricelineは、複雑さを増したり、より多くの作業を生成したりすることなく、セキュリティによって管理され、開発者が使いやすい単一の統合ポリシーエンジンを提供するソリューションを必要としていました。 セキュリティチームは、開発ワークフローに不必要な摩擦を生じさせないようにしたいと考えていました。
シフトレフトする前に、社内のユーザーの邪魔にならないように、整理整頓する必要があります。 あなたが'人々の働き方に影響を与える変更を行う。 私たちは、開発者が独自のアプリケーションやプラットフォームを作成し、それらをパイプラインにデプロイして本番環境に行き着く自律性を提供したいと考えています。 私たちは、どのようなガードレールがあれば安全にデプロイできるかを判断する必要がありました。
潜在的なソリューションを検討した結果、Pricelineは使いやすさとクラウドネイティブなプラットフォームを理由にWizを選択しました。 「私にとってWizで際立っていたのは、とても直感的なインターフェースと非常にシンプルなダッシュボードを備えていることでした。 'クラウドネイティブでエージェントレスであったため、数分で稼働し、明確で実用的な情報を得ることができました」とMcKenna氏は述べています。
特定、優先順位付け、コンテキスト化
最初のステップとして、Pricelineはクラウド環境を可視化し、現在のセキュリティ体制をベンチマークし、ランタイム環境の問題を修正するために、CSPMソリューションとしてWizを使用しました。 Wizは、潜在的な構成の問題を検出し、ネットワークの露出やクラウドのエンタイトルメントなどの他のリスク要因と関連付けて、クラウドセキュリティチームに問題の優先順位付けに関する実用的なコンテキストを提供しました。
道理から学び、シフトレフトする
本番環境でベースラインのセキュリティ体制を確立したPricelineは、ランタイム環境から学んだことを活かして、シフトレフトに役立てました。 Wizは実行環境を分析し、チームが適切なポリシーとフレームワークを選択し、今後同様の問題が発生するのを自動的に防ぐことができました。
Pricelineは、どのポリシーを開発にシフトレフトしたいかが決まると、WizのCI/CDスキャンを活用して、プロセスの適切な部分にチェックを適用しました。 その後、セキュリティチームは逆算して、安全で摩擦のないパイプラインを作成する必要がありました。
開発モジュールを修正して、私たちが望むものと一致するようにするために多くの作業を行いました。 これは、開発とインフラストラクチャの間にガードレールを置く前に IAC モジュールを更新するという、私たちができる最も「レフトな」ことでしたが、開発者は作業を続けることができました。
アカウント、ユーザー、ワークロードにわたるWizの継続的な分析と、PricelineのCI/CDパイプラインに統合されたTerraformのInfrastructure-as-Code製品を組み合わせることで、同社は開発プロセスの早い段階で問題を特定して対処することができました。 すべてのビルドは、Wiz内のポリシーとフレームワークに照らして測定され、コードまたは計画に問題が存在するかどうかが判断されます。 問題が中程度以上に分類されている場合、デプロイはブロックされ、開発者にすぐにフィードバックが提供されます。
「私たちは、セキュリティを促進するために、そのパイプライン内にガードレールを実装したいと考えています。 私たちは、これらのガードレールを目に見えないようにしたいのです」とマッケナは言います。 「今では、開発チームは安全にデプロイするための自律性を持つようになり、両方のチームの時間が節約され、将来、よりコストがかかるときに戻って問題を解決する必要性が減りました。」
パイプラインでのポリシーの自動化の実装
チームは、会社全体でより戦略的な作業に集中し、Wizから付加価値を引き出すことができるようになりました。 Priceline は、Google Cloud で運営している企業と AWS で運営している企業を含む、既存の事業と新規買収企業に Wiz を拡張しました。 Wizは、1つのコネクターを介して数分で接続し、業務を中断したり、継続的なメンテナンスを必要とせずにカバレッジを提供しました。
Wizを使用することで、セキュリティチームはチケットの作成に時間を費やすのではなく、AWSで実行される新規買収企業がPricelineの基準を満たしていることを確認するなど、戦略的な作業により多くの時間を費やすことができます。
Priceline は Wiz を使用して、Google Cloud や AWS のいずれにおいても、Kubernetes 環境全体で、すべての買収企業がセキュリティ フレームワークに準拠していることを保証しています。 同社は、さまざまなパブリッククラウドで実行されている新しい買収企業のセキュリティ体制をフレームワークに照らして測定し、重大度でランク付けされた脆弱性をすぐに確認できます。 セキュリティ チームは、修復のための脆弱性または問題に優先順位を付け、必要なアクションについて関連するチームと協力するための体系的なアプローチを取ります。
クラウドインフラストラクチャを可視化し、既知の脆弱性や設定ミスがランタイム環境に侵入するのを防ぐ機能を得ることで、Pricelineはクラウドリスクを最小限に抑えるための唯一のソリューションを手に入れました。 また、McKenna氏は、Pricelineが製品の価値を最大化するのに役立ったWizチームの対応力を称賛し、プラットフォーム内のツール開発における2つのチームのコラボレーションを指摘しています。 「Wizチームは本当に反応が良かったです。 私たちはIaCスキャンの開発で緊密に協力し、彼らのサポートに大きく頼りましたた。」
