Desafio
Com sua migração para a nuvem e antes de ter uma solução de Cloud Security Posture Management, a Priceline queria contextualizar melhor a conformidade de sua infraestrutura de nuvem.
As equipes de segurança frequentemente criavam tíquetes para os desenvolvedores corrigirem problemas individuais de configuração da nuvem em vez de abordarem a causa raiz, o que custava tempo e recursos consideráveis para a correção.
Como as equipes de segurança gastavam tempo criando tíquetes para alterações de configuração, isso as afastava do trabalho em iniciativas mais estratégicas.
Solução
A Priceline ganhou visibilidade do seu ambiente de nuvem de forma rápida e eficiente, permitindo que a equipe garanta a aderência às normas do setor.
A Priceline aprende com os riscos em seu ambiente de execução, conclui uma única limpeza e, em seguida, muda para uma abordagem shift-left, criando políticas de segurança para os desenvolvedores aderirem ao pipeline de CI/CD. Os desenvolvedores recebem feedback imediato para resolver problemas rapidamente.
A Priceline reduz proativamente os riscos ao bloquear automaticamente implantações com configurações incorretas antes que elas entrem em produção. Agora, as equipes de segurança podem se concentrar em um trabalho mais estratégico em vez de resolver problemas isolados.
Construindo pontes entre as equipes de segurança e desenvolvimento
A Priceline é uma empresa de viagens online que ajuda os clientes a encontrar tarifas com desconto para as suas viagens. Em sua jornada para se tornar totalmente nativa na nuvem, a empresa tem migrado regularmente a maioria de suas cargas de trabalho locais para o Google Cloud e AWS.
Embora a infraestrutura que prioriza a nuvem ajude a Priceline a inovar rapidamente, ela também apresenta um novo conjunto de desafios de segurança que precisam ser abordados. O arquiteto de segurança em nuvem, Andrew McKenna, e sua equipe são responsáveis por proteger aplicativos e pipelines de desenvolvimento em nuvem, bem como proteger e monitorar as cargas de trabalho e ambientes em nuvem da Priceline. "A nuvem permite que os desenvolvedores criem rapidamente sistemas voltados para o público; no entanto, sem um projeto e implementação de proteções adequadas, essa e outras infraestruturas são inseguras por padrão."
A equipe de segurança descobriu que gastava tempo e recursos consideráveis enviando tíquetes para atualizar as configurações em todo o ambiente, o que não impedia o reaparecimento do problema. Consequentemente, a equipe começou a repensar as práticas de segurança em nuvem da Priceline e como concentrar seus esforços em iniciativas estratégicas em vez de resolver problemas isolados.
Como nossa pegada é grande, não queremos resolver os problemas e vulnerabilidades de maneira aleatória, mas buscamos abordar questões sistêmicas, em vez de anomalias, para garantir que estejamos seguros por padrão.
McKenna e sua equipe tomaram a decisão ousada de adotar uma abordagem shift-left para economizar tempo e recursos para garantir que todas as configurações do ambiente aderissem às práticas recomendadas de segurança por padrão. Eles procuraram uma solução onde pudessem detectar desvios dos padrões da indústria no início do ciclo de desenvolvimento para corrigir problemas antes que entrassem em produção. Nesse novo fluxo de trabalho, a segurança definiria políticas específicas para garantir que as práticas recomendadas fossem implementadas antes da implantação para que a segurança não precisasse solicitar às equipes de desenvolvimento alterações nos ambientes de produção depois que algo fosse iniciado.
A Priceline sabia que a transição para um modelo de segurança shift-left era uma meta ambiciosa. As empresas muitas vezes não conseguem fazer isso com sucesso porque as equipes trabalham em silos e usam ferramentas diferentes e desconectadas. Os desenvolvedores têm ferramentas com políticas que analisam seu pipeline, mas são totalmente isoladas do que a segurança vê, criando uma visão fragmentada da postura de segurança.
A Priceline precisava de uma solução que fornecesse um mecanismo de política único e consolidado que fosse gerenciado pela segurança e fosse fácil de usar para os desenvolvedores, sem adicionar complexidade ou gerar mais trabalho. A equipe de segurança queria garantir que não fossem introduzidos atritos desnecessários nos fluxos de trabalho de desenvolvimento.
Antes de mudar para a abordagem shift-left, é preciso colocar a casa em ordem para que você não seja um obstáculo para os usuários na empresa. Afinal, você está fazendo mudanças que impactam a forma como as pessoas trabalham. Queremos dar aos desenvolvedores autonomia para criar seus próprios aplicativos e plataformas e implantá-los em um pipeline que acaba na produção. Precisávamos determinar quais guardrails permitiriam que eles implantassem com segurança.
Depois de explorar possíveis soluções, a Priceline selecionou o Wiz por sua facilidade de uso e plataforma nativa na nuvem. "Para mim, que se destacou no Wiz foi sua interface muito intuitiva e painel simples. O fato de ser nativo na nuvem e sem agente significava que poderíamos tê-lo funcionando em questão de minutos e ter informações claras e acionáveis", diz McKenna.
Identificar, priorizar e contextualizar
Como um primeiro passo, a Priceline usou o Wiz como uma solução CSPM para obter visibilidade de seu ambiente em nuvem, comparar sua postura de segurança atual com o mercado e corrigir problemas em seu ambiente de execução. O Wiz detectou possíveis problemas de configuração e os correlacionou com outros fatores de risco, como exposição da rede ou direitos à nuvem, para dar à equipe de segurança da nuvem um contexto acionável sobre a priorização de problemas.
Aprenda com o lado direito, mas tenha uma abordagem shift-left
Com uma postura de segurança de basal estabelecida na produção, a Priceline tirou os aprendizados de seu ambiente de execução para ajudá-la a mudar para a esquerda. A análise do Wiz do ambiente de execução ajudou a equipe a escolher as políticas e estruturas certas a serem implementadas para evitar automaticamente que problemas semelhantes sejam introduzidos no futuro.
Uma vez que a Priceline sabia quais políticas queria mudar para uma abordagem shift-left para o desenvolvimento, ela aproveitou a digitalização de CI/CD no Wiz para aplicar verificações nas partes certas do processo. A equipe de segurança, então, trabalhou olhando para trás para criar um pipeline seguro e sem atrito.
Trabalhamos muito para consertar os módulos de desenvolvimento para ficarem consistentes com o que queríamos. Era a coisa mais "shift-left" que poderíamos fazer: atualizar os módulos IAC antes de colocar um guardrail entre o desenvolvimento e a infraestrutura. Isso permitiu que os desenvolvedores continuassem a fazer seu trabalho.
A combinação da contínua análise entre contas, usuários e cargas de trabalho do Wiz por meio do produto de infraestrutura com código Terraform, integrado ao pipeline de CI/CD da Priceline, permitiu que a empresa identificasse e solucionasse problemas no início do processo de desenvolvimento. Cada compilação é medida em relação às políticas e estruturas dentro do Wiz para determinar se existem problemas com o código ou o plano. Se os problemas forem classificados como médios ou maiores, a implantação é bloqueada, e o desenvolvedor recebe feedback imediato.
"Queremos implementar guardrails no pipeline para facilitar a segurança. No entanto, queremos que esses guardrails sejam invisíveis", diz McKenna. "Agora, as equipes de desenvolvimento possuem autonomia para implantar com segurança, economizando tempo de ambas as equipes e reduzindo a necessidade ter que resolver o problema no futuro, quando fica mais caro fazer isso."
Implementação da automação de políticas no pipeline
A equipe agora pode se concentrar em um trabalho mais estratégico em toda a empresa, obtendo valor adicional do Wiz. A Priceline estendeu o Wiz para as operações existentes e novas aquisições, incluindo uma empresa no Google Cloud e outra na AWS. O Wiz se conectou em minutos por meio de um único conector, fornecendo cobertura sem interromper as operações de negócios ou exigir manutenção contínua.
Em vez de gastar tempo criando tíquetes, o Wiz permite que a equipe de segurança gaste mais tempo em trabalhos estratégicos, como garantir que novas aquisições em execução na AWS atendam aos padrões da Priceline.
Com o Wiz, a Priceline garante que todas as aquisições estejam em conformidade com sua estrutura de segurança, seja no Google Cloud ou na AWS e em ambientes Kubernetes. A empresa pode medir a postura de segurança de novas aquisições em execução em diferentes nuvens públicas em relação à sua estrutura e ver imediatamente quaisquer vulnerabilidades classificadas por gravidade. A equipe de segurança prioriza vulnerabilidades ou problemas para correção e adota uma abordagem metódica para trabalhar com as equipes relevantes nas ações necessárias.
Ao obter visibilidade de sua infraestrutura de nuvem, bem como a capacidade de impedir que vulnerabilidades conhecidas e configurações incorretas entrem em seu ambiente de tempo de execução, a Priceline está obtendo uma solução excepcional para minimizar o risco da nuvem. McKenna também elogia a capacidade de resposta da equipe do Wiz em ajudar a Priceline a maximizar o valor obtido com o produto e aponta para a colaboração entre as duas equipes no desenvolvimento de ferramentas na plataforma. "A equipe da Wiz tem sido muito receptiva. Trabalhamos juntos no desenvolvimento do IaC Scanning, e contamos muito com o apoio deles."
