DesafioAs equipes de segurança e desenvolvimento da Datavant enfrentaram lacunas de visibilidade na infraestrutura e nos processos da empresa.
O ciclo de vida de desenvolvimento de software (SDLC) da empresa era excessivamente complexo; equipes individuais usavam ferramentas e processos diferentes, o que criava processos inconsistentes de segurança e correção de riscos.
A abordagem descentralizada fez com que as ferramentas de segurança proliferassem e aumentassem os desafios de coleta e relatórios de informações da equipe.
SoluçãoA Datavant agora pode ver todos os seus recursos em seu ambiente multiempresarial e multinuvem, aproveitando o Wiz Security Graph para descrever interconexões e riscos até o nível do contêiner.
A Datavant aproveitou os Wiz Admission Controllers juntamente com a varredura de pipelines da CLI do Wiz e adicionou verificações de segurança de integração e implantação, capacitando os desenvolvedores a identificar, priorizar e corrigir riscos de forma proativa, melhorando continuamente a postura de risco da empresa.
A empresa agora está usando o Wiz como uma única plataforma de segurança corporativa para simplificar os processos e relatórios de riscos críticos.
Holistic visibility
across six-company infrastructure, enabling teams to remediate risk more efficiently
51% reduction
in vulnerabilities and prevented net-new critical/high vulnerabilities from being introduced to the running environment.
Consolidated 7 security tools to 1
increasing savings by 50%, which will increase as other contracts end
Modernizando o gerenciamento de segurança em uma infraestrutura de TI complexa em um setor regulamentado Datavant, uma empresa de saúde que fornece um ecossistema digital para anonimizar e trocar dados de pacientes com segurança, é usada por mais de 70.000 hospitais e clínicas, 70% dos 100 maiores sistemas de saúde, empresas farmacêuticas e outros. A Datavant anonimiza e desidentifica dados, aproveitando tecnologias como salas limpas de dados para torná-las acessíveis aos parceiros. Essas organizações usam esses dados para desenvolver novos medicamentos, terapias e serviços que melhoram o atendimento e os resultados do paciente.
A Datavant reuniu seis empresas irmãs ao longo de vários anos. A fusão de sua infraestrutura criou um ambiente de TI complexo, abrangendo AWS, Azure e VMware Flex Cloud Storage, além de várias operações de TI e ferramentas de desenvolvimento, como Terraform, Kubernetes, GitHub e GitLab. Além disso, a Datavant opera um ambiente comercial de TI para empresas do setor privado e um ambiente FedRAMP® para seus clientes governamentais.
Devido à estrutura organizacional descentralizada da empresa, os pods/equipes de desenvolvimento usavam suas próprias ferramentas e eram individualmente responsáveis pela segurança de suas linhas de produtos. Isso levou a soluções sobrepostas, altos custos de software e políticas de segurança de código inconsistentes. Como resultado, a Datavant não tinha uma visão centralizada de seus riscos de infraestrutura e aplicativos e não conseguia aplicar as melhores práticas de segurança e gerenciamento de riscos.
Queríamos passar de um modelo de segurança de operação como um jardim murado para um em que nossas equipes de desenvolvimento participem da avaliação e correção proativas dos riscos. A segurança deve ser incorporada, não aparafusada aos nossos produtos
Passando de processos de segurança descentralizados para integrados "A Datavant é uma empresa de alta autonomia, mas nossa abordagem descentralizada significava que nossa cadeia de ferramentas de ciclo de vida de desenvolvimento de software (SDLC) estava em todo lugar", diz Nick Waringa, chefe de produto e infraestrutura seguros da Datavant. As equipes contaram com 7 ferramentas de segurança comerciais e de código aberto independentes, fornecendo diferentes recursos e visualizações.
"Nossas equipes estavam usando processos inconsistentes de varredura e correção, o que significa que os riscos tinham chance de não serem resolvidos. As equipes de desenvolvimento também estavam gastando tempo coletando informações para relatar aos líderes que eles poderiam ter se concentrado na correção de riscos", diz Jonathan Pautz, gerente sênior de engenharia de segurança na nuvem da Datavant.
Os líderes da equipe de Produto e Infraestrutura Segura viram uma oportunidade de modernizar a estratégia de segurança de nossa empresa: criando visibilidade holística em suas seis empresas e mudando para a esquerda para capacitar os desenvolvedores a identificar, priorizar e abordar os riscos no início do pipeline de desenvolvimento. A equipe de segurança da Datavant avaliou quatro plataformas em profundidade e selecionou a Wiz por causa das inovações contínuas de capacidade da Wiz e da profunda familiaridade da equipe com a plataforma. "A versatilidade da plataforma tornou a escolha fácil. O Wiz foi a primeira ferramenta implantada em toda a empresa em todas as seis empresas irmãs. Isso inclui todas as suas ferramentas assumidas, como RH, finanças, bate-papo e identidade", diz Waringa.
A Datavant adotou rapidamente Wiz CNAPP funcionalidades, começando com Wiz CSPM e Wiz DSPM, que foi implementada em seus ambientes AWS e Azure para identificar facilmente informações pessoais de saúde e detectar e corrigir configurações incorretas. A empresa então aproveitou o provedor Wiz Terraform para adicionar verificações aos pipelines do Terraform e implantou Varredura de IaC para executar tarefas e detectar segredos, vulnerabilidades e configurações incorretas em planos do Terraform e clusters do Kubernetes. A Datavant aproveita tanto o provedor Terraform que eles Terraformam toda a instância Wiz (usuários, projetos e regras).
A empresa também começou a usar Controladores de admissão do Wiz Kubernetes e Sensor de tempo de execução Wiz para permitir a detecção e resposta em tempo real de vulnerabilidades em mais de 1.700 Kubernetes, contêineres e outras cargas de trabalho na nuvem, e o Conector Wiz VMware para verificar e corrigir suas máquinas virtuais. "Nossos desenvolvedores agora têm visibilidade completa desses ambientes, veem os riscos dentro do contexto e tomam medidas proativas para reduzi-los", diz Pautz. A equipe implantou verificações de contêiner com a CLI do Wiz durante o processo de promoção do código. "Atualmente, envolvemos a CLI do Wiz em Golang para fornecer uma abordagem de relações públicas personalizada que fornece dados avançados da CLI do Wiz para nossa equipe de desenvolvimento", diz Pautz.
As equipes de segurança e desenvolvimento agora usam Varredura Wiz Secret para executar verificações automatizadas em repositórios de código, pipelines de execução, arquivos de configuração, confirmações e outras fontes de dados para evitar possíveis ameaças à segurança representadas por segredos expostos. Para simplificar os fluxos de trabalho de desenvolvimento, a equipe de segurança marca ativos e projetos com nomes de pod/equipe nos provedores de nuvem com o Terraform. Essas tags de identificação são então transformadas no Wiz, para que seja fácil para os desenvolvedores encontrarem projetos associados ao seu pod/equipe. A equipe de segurança escreveu ainda uma regra personalizada que notificou as equipes sobre contêineres de infraestrutura que não aderem às políticas de marcação, garantindo que os painéis do projeto Wiz reflitam com precisão a carga de vulnerabilidade para os pods/equipes descentralizados.
"Ao centralizar a visibilidade, automatizar as varreduras e habilitar a marcação, a Wiz tornou mais fácil para nossas equipes multifuncionais identificar e priorizar riscos", diz Waringa. "Também usamos regras para aplicar as melhores práticas de segurança, incluindo contêineres mal configurados."
Usamos o Wiz em duas outras empresas. O que nos fez escolhê-lo novamente são todas as escolhas de tecnologia que a Wiz continua fazendo e a taxa com que eles implantam novos recursos. As escolhas que eles fazem no back-end realmente melhoram a proteção do ambiente no front-end.
Abordar vulnerabilidades de forma proativa para reduzir riscos e custos Com visibilidade da infraestrutura de seis empresas e processos de risco automatizados, a Datavant agora tem a capacidade de mover a correção de risco para o início do ciclo de vida do desenvolvimento. "Trabalhando juntas, nossas equipes de segurança e desenvolvimento reduziram a contagem de vulnerabilidades de contêineres em 51%", diz Pautz. Isso permite que as equipes se concentrem na melhoria contínua, com foco em riscos médios e baixos e melhorando a postura de risco da empresa. Hoje, o Datavant impede que todas as novas vulnerabilidades críticas e altas fora do SLA sejam introduzidas em seu ambiente de execução.
"Ao bloquear vulnerabilidades à medida que ocorrem, os desenvolvedores podem corrigir problemas quando forem mais fáceis e baratos de corrigir, antes que seu código seja executado em produção e tenha ganchos, integrações ou outros problemas que possam exigir uma colaboração de várias equipes para serem resolvidos", diz Waringa.
Ser capaz de ver e entender toda a nossa infraestrutura e como ela funciona tornou nossas equipes de segurança e desenvolvimento mais eficientes. Usamos o Wiz como o Google: se precisarmos saber o que está acontecendo em nosso ambiente, basta abri-lo e usar o Wiz Security Graph para consultar esses recursos.
Parceria para melhorar os recursos de segurança para o mercado A Datavant mantém um relacionamento próximo com a Wiz, propondo novas funcionalidades e testando novos recursos em beta. A empresa implantou controladores de admissão na primeira semana em que foram liberados e fez uma implantação de um dia de seu locatário federal, aproveitando sua estratégia de "Terraform to tool" logo após o Wiz alcançar Autorização do FedRAMP® Moderate.
"Como cliente, você não pode pedir nada mais do que poder conversar com um parceiro que compartilha nossa perspectiva sobre como será o futuro da segurança, entende o caso de negócios que estamos tentando alcançar e pode mover montanhas nos bastidores", diz Waringa. "Nunca vi uma equipe de produto receptiva que ouve tão bem quanto a equipe da Wiz."