Desafio
A plataforma de integração Digibee estava crescendo rapidamente, dobrando os clientes em apenas seis meses. Mas, nesse período de crescimento, a Digibee adotou ferramentas de segurança desconectadas que tornaram a obtenção de visibilidade total um desafio.
A equipe lutou para identificar e remediar todos os riscos no amplo ambiente de nuvem da Digibee, que inclui milhares de máquinas virtuais e clusters Kubernetes.
Enquanto a Digibee crescia, ela precisava manter seus requisitos de certificação de conformidade, especialmente em relação à segurança de dados de cartões de pagamento PCI DSS e SOC Tipo 1 & 2 Validação de controles de segurança cibernética, para atender às expectativas do cliente e do auditor.
Solução
A Digibee unificou sua abordagem de segurança e consolidou a visibilidade multinuvem com a Wiz para proteger seu ambiente em crescimento, apesar de ter uma equipe enxuta.
O Digibee identifica riscos de forma rápida e fácil usando a solução sem agente da Wiz — até mesmo os clusters Kubernetes individuais e máquinas virtuais — para monitorar melhor todo o seu ambiente de nuvem.
A Digibee produz automaticamente relatórios que atendem aos requisitos de certificação de conformidade de clientes e auditores, especialmente em relação à segurança de dados de cartões de pagamento e validação de controles de segurança cibernética.
Digibee de alto crescimento proporciona uma mudança de paradigma na integração de sistemas
Digibee é um provedor de plataforma como serviço (iPaaS) de integração low-code e nascido na nuvem. Criado para desenvolvedores, ele dimensiona integrações, otimiza recursos de desenvolvedores e ajuda os líderes de TI a fornecer produtos e serviços poderosos.
A empresa, fundada em 2017 com sede em Weston, Flórida, reduz drasticamente a complexidade da integração de TI, permitindo que as empresas transformem digitalmente seus sistemas legados até dez vezes mais rápido do que outras soluções.
A necessidade de integrações desencadeia 60% das listas de pendências globais de TI. A Digibee permite que seus clientes eliminem rapidamente essas pendências, adotem uma arquitetura preparada para o futuro e integrem e inovem rapidamente, tudo sem precisar de uma única linha de código ou investimento em novos sistemas.
A Digibee dobrou sua carteira de clientes em apenas seis meses e agora é uma ferramenta de integração crítica para mais de 250 clientes corporativos, incluindo Itaú, Johnson Brothers e Payless. A empresa teve que escalar rapidamente para atender a essa demanda, adotar mais serviços em nuvem e contratar mais funcionários. Essa rápida expansão significava que a Digibee precisava levar sua segurança na nuvem para o próximo nível.
Construindo uma empresa iPaaS líder de mercado no meio do voo
Durante cinco anos de alto crescimento, a segurança em nuvem da Digibee foi gerenciada por várias partes interessadas. Nesse período, a empresa criou um ambiente de nuvem grande e complexo para atender às necessidades de integração de seus clientes. Essa expansão incluiu tecnologias nativas da nuvem, como clusters Kubernetes e máquinas virtuais, mas com um nível crescente de complexidade da nuvem, a empresa precisava de uma abordagem unificada para a segurança.
A Digibee estava usando a Central de Segurança do Google como sua principal ferramenta de segurança, mas ao adotar uma abordagem multinuvem para sua infraestrutura, as equipes não tinham uma visão única de seu ambiente de nuvem completo. Isso significava que era difícil identificar e mitigar todos os riscos que a Digibee enfrentava.
Estávamos crescendo rapidamente, mas não tínhamos a visibilidade em nossos sistemas de TI que precisávamos. Também tivemos clientes nos pedindo certificações de segurança para provar que nossos sistemas eram seguros, confiáveis e tinham os níveis certos de disponibilidade. Estávamos basicamente construindo o avião enquanto ele estava em voo.
À medida que a empresa crescia, mais e mais clientes, investidores e auditores estavam solicitando provas de que o ambiente de nuvem da Digibee atendia aos seus padrões de segurança.
"Tínhamos mais de 1.000 VMs sob gestão, o que é um ambiente muito grande, mas não tínhamos a visibilidade que precisávamos. Isso tornou as verificações de due diligence um grande desafio", explica Tiago Bernardinelli, Head de Engenharia de Nuvem & Operações Globais na Digibee.
Para continuar crescendo, a empresa precisava fornecer certificações de segurança, como segurança de dados de cartão de pagamento PCI DSS e SOC Tipo 1 & 2 Validação de controles de segurança cibernética de forma rápida e fácil. Também precisava conseguir isso sem uma função de segurança em nuvem dedicada, então a empresa iniciou uma busca por um parceiro externo em que pudesse confiar em sua jornada de segurança.
A Digibee acelera sua jornada de segurança na nuvem
A Digibee queria visibilidade completa de seus ambientes de nuvem fornecida por uma plataforma de segurança em nuvem unificada e simplificada. Ele escolheu a Wiz para alcançar visibilidade total da nuvem em um painel e detectar e corrigir rapidamente configurações incorretas.
A consolidação de sua segurança na nuvem também ajuda as equipes a localizar informações de identificação pessoal (PII) dentro do ambiente de nuvem da Digibee e garantir que ela esteja totalmente em conformidade com base nas necessidades de seus clientes e auditores. Também pode gerar relatórios de conformidade de forma mais eficiente que podem ser facilmente compartilhados com partes interessadas internas e externas.
A empresa também foi capaz de minimizar as vulnerabilidades de segurança ao escanear todo o novo código de software que passa pelo pipeline de integração contínua e implantação contínua (CI/CD) da Digibee. Ao monitorar constantemente o novo código, a empresa fica mais segura e pode economizar nos custos de operações ao identificar e desativar recursos de nuvem não utilizados descobertos durante a digitalização.
Satisfazer esses requisitos deu à Digibee uma melhor compreensão de como seus recursos se conectam, criando uma única fonte de verdade para todas as suas informações de segurança.
A primeira coisa que me impressionou na Wiz foi a forma como ela gerou um inventário do nosso ambiente de nuvem. De uma forma muito fácil, mostrou-me como as nossas aplicações se conectam, como interagem umas com as outras e como estão abertas ao mundo.
A Digibee também estava procurando uma solução fácil de implantar que pudesse escanear e inventariar seu ambiente de nuvem sem a necessidade de software intrusivo ou chamadas de dados caras, controlando os custos à medida que a empresa continuava sua trajetória de alto crescimento.
"A capacidade de encontrar problemas sem usar agentes ou outros softwares intrusivos dentro do nosso ambiente foi crucial, até porque os agentes afetam o desempenho", diz Bernardinelli. "Também há implicações de custo quando você escala na nuvem. Encontrar uma solução como a Wiz, que não seja intrusiva, mas capaz de reunir as informações de que precisávamos, foi essencial."
Identificar vulnerabilidades históricas e alcançar um pipeline de "zero críticos"
Assim que a equipe de engenharia da Digibee começou a escanear os clusters Kubernetes da empresa, eles identificaram vulnerabilidades críticas de segurança na nuvem. Por exemplo, pelo menos uma pesquisa elástica redundante foi descoberta, juntamente com outros softwares antigos. A Digibee também descobriu problemas críticos de armazenamento de dados PCI que ameaçavam a conformidade. Usando o Wiz, essas vulnerabilidades, e muitas outras como elas, foram imediatamente resolvidas.
Dar a todos acesso a uma única fonte da verdade provou ser um grande ponto de virada na jornada de segurança em nuvem da Digibee. Com o acesso universal, os engenheiros da Digibee têm acesso a uma visão priorizada do risco, para que possam facilmente ver, entender e remediar o risco. A Digibee operacionalizou essa visão única da verdade usando um ciclo de desenvolvimento de duas semanas. Os engenheiros se reúnem uma vez por quinzena para discutir os riscos descobertos pela Wiz e, em seguida, criar objetivos e resultados-chave com base nessas descobertas.
Como resultado da implementação deste novo modelo operacional para remediar efetivamente o risco e erradicar as vulnerabilidades de segurança no início do ciclo de desenvolvimento de software, a Digibee alcançou com sucesso o status de "zero críticos".
Wiz é como meu braço direito. Ele contextualiza os dados e ajuda nossos engenheiros a priorizar e entender o que precisam fazer.
O processo de conformidade também foi simplificado, com a Digibee usando a Wiz para renovar com eficiência as certificações de conformidade importantes.
A empresa melhorou sua postura de segurança na nuvem em toda a linha. A visibilidade total permitiu que a Digibee estabelecesse um regime de objetivos e resultados-chave (OKR), ajudando as equipes a priorizar as principais vulnerabilidades e mudar significativamente a agulha de segurança da nuvem no processo.
"Agora temos a meta de corrigir todas as vulnerabilidades críticas em cinco dias e as vulnerabilidades altas em 13 dias", diz Bernardinelli. "Nossos engenheiros agora podem entender os problemas, priorizar problemas e conhecer o exercício de remediação. A chave é que todos na minha equipe têm acesso à Wiz e, se virem uma vitória rápida, nem precisam perguntar, apenas resolvê-la."
Conquistar novos mercados de forma segura e sustentável
A Digibee continua a crescer, adicionando novos clientes e mais funcionários de segurança nos EUA – um mercado altamente competitivo e mais rigidamente regulamentado do que navegou anteriormente. Para crescer, a empresa planeja continuar desenvolvendo seu programa de segurança em nuvem e demonstrando a segurança de seu ambiente para clientes e auditores.
