Desafios
O gerenciamento de conjuntos de regras individuais para os três provedores de serviços de nuvem no ambiente da Bouygues Telecom adiciona complexidade e carga de gerenciamento à equipe de nuvem.
O acesso restrito a aplicativos e projetos para várias equipes dentro da Bouygues Telecom – incluindo a equipe de segurança – significava que eles tinham que enviar um e-mail para a equipe de nuvem para obter assistência, aumentando a carga sobre seus membros.
Uma adoção planejada de Kubernetes e tecnologias sem servidor potencialmente abriu novas áreas de superfície de segurança que impediram a adoção dos novos serviços.
Soluções
A Bouygues Telecom aplica o mesmo conjunto de regras a cada carga de trabalho, independentemente da nuvem em que está em execução, usando controles nativos incluídos no Wiz.
A Bouygues Telecom fornece acesso a aplicativos para as equipes de segurança e arquitetura e para gerentes de projeto, reduzindo a carga de incidentes e de correção de vulnerabilidades na equipe de nuvem com o Wiz RBAC.
A Bouygues Telecom está explorando o potencial da Wiz para gerenciar o Kubernetes e ambientes sem servidor que devem dominar sua arquitetura nos próximos dois a três anos.
Impulsionar a inovação nas telecomunicações
A conectividade é crucial para as pessoas e as empresas em toda a França – e a abertura do mercado de telecomunicações do país a novos operadores em 1998 aumentou a gama e a qualidade dos serviços disponíveis. A Bouygues Telecom foi uma das primeiras operadoras a entrar no mercado recém-competitivo e fornece conexões de voz e dados de alta qualidade aos clientes. Uma empresa ágil com cerca de 8.000 funcionários, a Bouygues Telecom é conhecida pela inovação com conquistas como o lançamento de IPTV no mercado.
Protegendo um ambiente de várias nuvens
Como Cloud Expertise Manager na Bouygues Telecom, as responsabilidades de Mael Louvet incluem a criação e execução de uma infraestrutura de várias nuvens incorporando AWS, GCP e Azure, bem como uma ampla gama de servidores locais. Sua equipe de 10 arquitetos fornece governança, orientação e arquitetura de segurança para todas as plataformas de nuvem. "Realizamos muito trabalho de consultoria com as equipes de aplicativos e operações que trabalham em diferentes plataformas de nuvem", diz Louvet.
"Trabalhamos em estreita colaboração com provedores de nuvem, como AWS, GCP e Azure, para ajudar os clientes a acessar novas redes, tecnologias e mídias sociais, e aplicamos um prêmio às assinaturas para investir na melhoria da qualidade de nossas redes."
Para realizar todo o potencial de seu investimento em várias nuvens, a Bouygues Telecom está evoluindo sua arquitetura de aplicativos para incorporar tecnologias sem servidor e migrando para o sistema de orquestração de contêineres de código aberto Kubernetes para oferecer padronização em aplicativos legados e sem servidor. A empresa também está fazendo a transição para software como serviço (SaaS) para aplicativos que não pode gerenciar facilmente dentro do Kubernetes devido às complexidades no gerenciamento de uma ampla gama de microsserviços.
Usando o Security by Design para proteger um ambiente de várias nuvens
A Bouygues Telecom está aplicando uma metodologia Security by Design para proteger seu ambiente multinuvem. Essa abordagem incorpora segurança em todas as camadas de sua arquitetura de tecnologia e garante que cada usuário ou sistema acesse apenas os sistemas e dados necessários para executar tarefas autorizadas.
As medidas que a equipe de Louvet implementou para impulsionar a segurança em toda a plataforma Bouygues Telecom incluem:
automatizar a criação de plataformas para melhorar o controle sobre as implantações;
implementar autonomia para capacitar equipes e indivíduos a gerenciar os aplicativos que implantam na plataforma;
trabalhar em estreita colaboração com a equipe dedicada de governança cibernética da Bouygues Telecom em uma lista de verificação de segurança que cada usuário deve revisar antes de acessar o ambiente de nuvem, e;
Utilização de ferramenta de segurança para automatizar o controle do ambiente auditado.
Simplificando a segurança em toda a organização
Depois de inicialmente usar um produto CSPM (Cloud Security Posture Management) de um provedor diferente que não conseguiu entregar, a Bouygues Telecom mudou para a Wiz. "Essa foi uma das grandes melhorias que fizemos para garantir que a segurança esteja no nível que queremos", diz Louvet. "Mudamos porque estamos implementando uma solução multinuvem e teremos cargas de trabalho projetadas para AWS, GCP ou Azure. Nossa ferramenta de segurança anterior exigiria que reescrevêssemos as regras para cada nuvem, então teríamos três conjuntos específicos de regras a seguir para garantir que mantivéssemos dados e sistemas em cada um seguros."
A Wiz também fornece contextualização que permite à Bouygues Telecom correlacionar dados sobre um problema a outros eventos, vulnerabilidades ou problemas em seu ambiente mais amplo, facilitando o trabalho dos analistas de segurança ao revisar o perfil de risco da organização. "Essa capacidade era muito interessante para nós e era algo que não víamos em soluções alternativas", diz Louvet.
Queríamos aplicar as mesmas regras a todas as diferentes nuvens com as quais trabalhávamos e tentamos muitas soluções diferentes para conseguir isso. Somente a Wiz forneceu esse recurso incorporado nativamente em sua solução.
A implementação da Wiz estende a responsabilidade de segurança a outras equipes
Por meio da implementação da Wiz, a responsabilidade pela segurança no provedor de telecomunicações está se estendendo da equipe de nuvem para outras equipes e indivíduos dentro da empresa. As equipes de segurança e arquitetura da Bouygues Telecom e seus gerentes de projeto estão ganhando acesso e autonomia para fazer alterações nos aplicativos que estão gerenciando ou mantendo e obter os dados de segurança de que precisam diretamente. "Quando podemos dar acesso específico a um pequeno subconjunto da plataforma por meio do controle de acesso baseado em funções (RBAC), é muito fácil trazer autonomia para cada equipe", diz Louvet. "Anteriormente, só podíamos fornecer uma visão geral global para um pequeno conjunto de pessoas, enquanto outras, que podem não ter acesso, tinham que verificar conosco se havia um problema."
A facilidade de integração da Wiz permitiu que a Bouygues Telecom conectasse a Wiz ao sistema ServiceNow usado para gerenciamento de serviços de TI. Cada incidente ou vulnerabilidade registrada pela Wiz gerará um ticket no ServiceNow que será enviado à equipe relevante para ser abordado. "Como a gestão segue os KPIs diretamente por meio de um único painel no ServiceNow, será fácil para nós pressionar as equipes que precisam corrigir suas implantações ou garantir a conformidade por meio desse sistema", explica Louvet. "O plugin ServiceNow oferecido pela Wiz torna este um processo relativamente fácil."
Como parte de um Estratégia de deslocamento para a esquerda, a equipe da Bouygues Telecom queria que seus desenvolvedores se engajassem em manter a segurança de seu serviço. Para atingir esse objetivo, eles aproveitaram a ferramenta de linha de comando Wiz-cli para verificar o código antes de ser implantado e esperam concluir a implementação no início de 2023. "A implantação é sempre um desafio para cada equipe de TI, e decidimos implantar cada aplicativo usando integração contínua-implantação contínua (CI/CD) com infraestrutura como código", diz Louvet. "Restringimos cada equipe interna a usar uma ferramenta de CI/CD e eles têm que descrever toda a infraestrutura e código de aplicativo em uma base de projeto do GitLab. Agora que isso está em vigor, podemos garantir muito mais segurança, porque só há uma maneira de implantar ativos na nuvem."
Bouygues Telecom agora está testando Segurança de contêineres da Wiz para detectar e identificar exposições em redes e contêineres. Uma vez no lugar, a Wiz verificaria todas as partes da plataforma Bouygues Telecom, incluindo pequenos elementos de contêineres no Kubernetes, em busca de alertas de segurança ou não conformidade com as políticas de segurança, e verificaria os clusters do Kubernetes em busca de exposições de rede.
O Kubernetes vem com muitos blocos pequenos e em cada um deles pode haver uma nova violação de segurança. Então, temos que intervir e usar o Wiz em um nível menor, para ter certeza de que cada uma das implantações ainda estará em conformidade com as regras de segurança.
Energizando a cultura e as práticas de segurança da Bouygues Telecom
Com uma solução sem agente que fornece cobertura total e visibilidade de seu ambiente, a implantação da Wiz energizou a cultura e as práticas de segurança dentro da Bouygues Telecom. A empresa mede o sucesso de sua implantação do Wiz por meio de dois KPIs principais: engajamento e adoção. “O número de pessoas que querem ser capacitadas no Wiz cresceu muito rápido. No ano passado, criamos uma pequena equipe de promotores de segurança para treinamento sobre temas de segurança”, afirma Louvet. “Agora esse número cresceu para 50 ou 60. Além disso, fazemos reuniões dedicadas que incluem a gerência sênior para nossos enormes domínios de desenvolvimento, e exibimos os painéis do Wiz. Combinados, eles estão proporcionando grande adoção e sucesso genuíno para nossa equipe.”
A Bouygues Telecom está colhendo os frutos de uma maior visibilidade e responsabilidade para a correção de vulnerabilidades e problemas, além de uma alocação mais eficiente de recursos. Por meio do painel do Wiz, a empresa pode verificar facilmente o status de vulnerabilidades e incidentes em várias nuvens, e a ferramenta oferece uma visão clara sobre quais equipes e indivíduos estão trabalhando em qual problema. Além disso, o Gráfico de Segurança do Wiz permite que a empresa identifique as diferentes operações que estão acessando redes externas ou visualize o estado de sua rede em um determinado momento para fins de auditoria.
A organização agora pode classificar com eficácia problemas e vulnerabilidades em toda a sua arquitetura para resolução. “Nossa principal prioridade é a exposição externa, e trabalhamos em problemas e vulnerabilidades de acordo com a gravidade, exposição à internet e ambiente”, explica Louvet. “Estamos particularmente focados em nosso ambiente de produção, no qual os dados dos clientes são armazenados.”
Com o ambiente multinuvem da Bouygues Telecom agora seguro e operando sem problemas, a matriz da organização, Bouygues Group, está considerando estender as atribuições da empresa de telecomunicações para fornecer orientação às equipes em todos os seus negócios. Essa função estendida também pode incluir infraestrutura e ferramentas associadas – potencialmente abrindo caminho para que o Wiz assuma um papel mais amplo na proteção das empresas do grupo Bouygues.
A implantação do Wiz foi tão bem-sucedida que a ferramenta pode ser usada em todos os negócios de propriedade da nossa controladora, Bouygues, incluindo construção, desenvolvimento imobiliário e organizações de mídia.
