En un coup d'œil
- Sécurité unifiée des applications et du cloud sur une seule plateforme
- 139 dépôts, 246 conteneurs et 66 machines virtuelles sécurisés
- Consolidation de GitHub Advanced Security, de l'analyse des dépendances et des outils cloud en un seul système
- Réduction de la maintenance des workflows CI sur près de 200 dépôts
- Visibilité accrue sur la posture cloud, les risques IaC et les vulnérabilités des machines virtuelles
Enjeu
SGNL AI développe une infrastructure de sécurité des identités et des accès utilisée par les environnements d'entreprise. À mesure que l'entreprise étendait sa plateforme et son organisation d'ingénierie, la couverture de sécurité est devenue fragmentée entre plusieurs outils.
Initialement, SGNL s'appuyait sur GitHub Advanced Security et Dependabot pour détecter les vulnérabilités des dépendances, ainsi que sur l'analyse de conteneurs dans les pipelines CI. Cela offrait une couverture de sécurité applicative de base, mais la visibilité sur d'autres domaines, en particulier l'infrastructure cloud, restait limitée.
« Nous avions GitHub Advanced Security et Dependabot, ce qui offrait une couverture décente. Nous avions également Trivy qui fonctionnait dans la plupart de nos pipelines, » déclare Brooks Lowe, Ingénieur en sécurité produit chez SGNL AI. « Mais nous n'avions rien pour la détection de malwares. »
– Brooks Lowe, Ingénieur Sécurité Principal Senior, SGNL
À mesure que l'empreinte de l'infrastructure augmentait, la sécurité cloud est devenue une préoccupation majeure. SGNL exécutait des charges de travail conteneurisées et des machines virtuelles tout en gérant l'infrastructure par le code. Parallèlement, les outils de sécurité cloud-native ont introduit une complexité et des coûts supplémentaires.
Maintenir la visibilité sur cet environnement, tout en gérant les workflows d'analyse basés sur CI sur près de 200 dépôts, devenait difficile pour une petite équipe.
« Nous avons près de 200 dépôts. Gérer des workflows et des pipelines personnalisés pour l'analyse de sécurité est une corvée. »
SGNL avait besoin d'un moyen de simplifier à la fois la sécurité des développeurs et la sécurité cloud sans ajouter une plateforme supplémentaire à maintenir.
Une sélection menée par les développeurs
Lorsque Brooks Lowe a rejoint SGNL AI, l'une de ses premières priorités a été de consolider la pile de sécurité de l'entreprise. Il lui fallait une plateforme capable de s'adapter à la fois au développement d'applications et à l'infrastructure cloud tout en restant facile à opérer.
Aikido a initialement attiré son attention en lisant un article sur une attaque de la chaîne d'approvisionnement impliquant un package open source malveillant.
« Plutôt que de parcourir des milliers de SBOMs, il suffisait d'un clic pour voir si nous avions réellement le package impliqué dans l'attaque. »
Aikido s'est initialement distingué par ses capacités de sécurité des applications et de la chaîne d'approvisionnement. Mais lors de l'évaluation, Lowe a réalisé que la plateforme répondait également à plusieurs défis de sécurité cloud auxquels l'équipe était confrontée.
« Une fois que nous avons découvert qu'Aikido proposait des fonctionnalités CSPM et également l'analyse de machines virtuelles, cela a été une grande victoire pour nous. »
Cela importait car SGNL opérait sur plusieurs environnements cloud, chacun avec ses propres comptes et configurations. Gérer la sécurité cloud à travers ces environnements nécessitait de jongler avec différents outils, tableaux de bord et workflows.
Avec Aikido, cette complexité a disparu.
« Nous n'avions plus besoin d'examiner 2 à 3 environnements cloud séparément pour la sécurité. C'est beaucoup plus facile à gérer en déployant simplement des connecteurs dans l'interface utilisateur d'Aikido. »
Au-delà de la visibilité, la consolidation a également réduit le besoin de multiples solutions de sécurité cloud-native.
Au lieu de combiner des outils distincts pour la sécurité des applications, la sécurité de l'infrastructure et la gestion de la posture de sécurité cloud, SGNL a pu tout regrouper sur une seule plateforme.
Solution
SGNL AI a déployé Aikido sur ses environnements de développement et son infrastructure cloud. Aujourd'hui, la plateforme surveille :
- 139 dépôts
- 246 conteneurs
- 66 machines virtuelles
Aikido a également simplifié la manière dont SGNL gère la sécurité cloud à travers les environnements. Au lieu de configurer et de maintenir des outils distincts par compte cloud, l'équipe peut intégrer et surveiller les environnements via une interface unique à l'aide de connecteurs légers.
Au lieu de gérer la sécurité via une collection d'outils CI et de scanners cloud-native, SGNL opère désormais la sécurité via une plateforme centralisée. Aikido offre une couverture à la fois sur le cycle de vie du développement logiciel et l'infrastructure cloud, incluant :
- Analyse de sécurité des applications pour le code propriétaire
- Analyse des dépendances open source et détection de paquets malveillants
- analyse des vulnérabilités des conteneurs
- Contrôles de sécurité Infrastructure-as-Code
- Gestion de la posture de sécurité cloud (CSPM)
- Analyse des vulnérabilités des VM
Cela offre à SGNL une visibilité sur le code, les conteneurs et l'infrastructure sans avoir à maintenir plusieurs pipelines d'analyse.
Pourquoi SGNL AI a choisi Aikido
SGNL a évalué plusieurs approches pour améliorer la visibilité de la sécurité au sein de son environnement.
Certaines plateformes examinées par l'équipe, y compris Wiz, se concentrent principalement sur la sécurité de l'infrastructure cloud, offrant des informations détaillées sur les ressources cloud et les risques de configuration. Bien que performants dans ce domaine, ces outils nécessitent souvent des produits supplémentaires pour couvrir la sécurité des applications, l'analyse des dépendances et les workflows de développement.
SGNL avait besoin d'une plateforme qui abordait les deux aspects du problème.
Aikido s'est distingué car il unifiait la sécurité des applications, la sécurité de la chaîne d'approvisionnement et la gestion de la posture de sécurité cloud au sein d'un seul système.
Pour SGNL, cela signifiait :
- moins d'outils à gérer
- moins de pipelines CI à maintenir
- une visibilité accrue sur l'ensemble de la chaîne d'approvisionnement logicielle et de l'infrastructure cloud
Au lieu de déployer des plateformes distinctes pour l'AppSec et la sécurité du cloud, SGNL pourrait tout gérer via un système unique.
Résultats
Grâce à Aikido, SGNL a acquis une visibilité cohérente sur l'ensemble de ses applications, conteneurs et infrastructure cloud.
Les investigations de sécurité qui nécessitaient auparavant une analyse manuelle des dépendances peuvent désormais être effectuées instantanément.
« Au lieu de fouiller parmi des milliers de dépendances, il suffit d'un clic pour voir si nous sommes affectés. »
La plateforme a également réduit la surcharge opérationnelle liée à la gestion des workflows de scan basés sur la CI sur des centaines de dépôts, tout en ajoutant une visibilité plus approfondie sur les risques liés à l'infrastructure cloud.
Pour une équipe de sécurité allégée soutenant une organisation d'ingénierie en pleine croissance, cette combinaison de couverture AppSec et sécurité du cloud a considérablement simplifié les opérations quotidiennes.
Perspectives
Conformément à la croissance de SGNL, l'entreprise continue d'étendre son empreinte d'ingénierie et d'infrastructure. Grâce à Aikido, SGNL dispose d'une plateforme qui sécurise à la fois son pipeline de développement et ses environnements cloud à partir d'un point unique.
En consolidant la sécurité des applications, la visibilité de la chaîne d'approvisionnement et la gestion de la posture cloud, SGNL peut continuer à développer sa plateforme sans étendre sa chaîne d'outils de sécurité.
