Cloud-First-IT-Infrastruktur

SimpleRose ist eine Cloud-First-Organisation mit Infrastruktur, die hauptsächlich auf AWS basiert. Sie ist durch mehrere Unterkonten strukturiert, die unter einer AWS-Organisation verwaltet werden und auf bewährte Methoden für Workload-Trennung und Sicherheit ausgerichtet sind. SimpleRose verwendet Cloud-native Entwicklungspraktiken und konzipiert seine Anwendungen im Hinblick auf Skalierbarkeit, Belastbarkeit und Beobachtbarkeit. Dabei werden Containerisierung und Infrastructure-as-Code innerhalb von AWS genutzt.

Die Sicherheitsfunktion von SimpleRose ist in die breiteren IT- und Betriebsteams eingebettet. Obwohl sie keine eigenständige Abteilung sind, verfolgen sie einen funktionsübergreifenden Teamansatz, an dem Sicherheitsexperten aus Technik, Compliance und IT beteiligt sind und von den Rosarians koordiniert werden — dem Team von SimpleRose für Sicherheit, Betrieb, IT und Compliance.

Sicherheitsherausforderungen:

Eine der größten Herausforderungen von SimpleRose bestand darin, einen zentralen Überblick über die Einhaltung von Vorschriften und Konfigurationen in Echtzeit zu erhalten ihres vielfältigen und schnell wachsenden Tech-Stacks — einschließlich Cloud-Infrastruktur, Endpunkten, SaaS-Plattformen und Entwicklertools.

Todd Bradfute, Senior Director of Security & Technology bei SimpleRose: „Obwohl wir mit Tools wie CrowdStrike und Cloudflare starken Perimeter- und Endpunktschutz hatten und wir Vanta mit der Überprüfung der grundlegenden Workstation-Compliance (z. B. Passwortsperre, Verschlüsselung, Virenschutz, Bildschirmsperre [PEAS]) beauftragen, funktionierten all diese Lösungen isoliert.“

SimpleRose fehlte eine einheitliche Plattform, die tiefe Einblicke in die allgemeine Compliance-Situation ihrer Systeme bieten konnte, wie zum Beispiel:

• Patch-Status und Softwareversionen
• Dateiberechtigungen und Systemkonfigurationen
• Konfiguration von Cloud-Diensten und Container-Sicherheit
• Sicherheitslage von Web-Assets (z. B. falsch konfigurierte Domains oder Cloud-Dienste)

„Als wir Cloud-native Dienste erweitert und CI/CD-Pipelines schneller vorangetrieben haben, wurden diese blinden Flecken immer dringlicher“, fügt Todd hinzu. „Wir brauchten eine Möglichkeit, nicht nur Kästchen zur Einhaltung von Vorschriften anzukreuzen, sondern auch den tatsächlichen Zustand der Systeme auf eine entwicklerfreundliche, erweiterbare Weise zu validieren — und Mondoo hat uns das gegeben.“

„Wir brauchten eine Möglichkeit, nicht nur Kästchen auf Konformität zu überprüfen, sondern auch den aktuellen Zustand der Systeme auf entwicklerfreundliche, erweiterbare Weise zu validieren — und Mondoo hat uns das gegeben.“
_{Todd Bradfute, Senior Director für Sicherheit und Technologie bei SimpleRose}

Lösung: Mondoo

Als Todd von Mondoo's hörte Politik als Code Lösung bei DevOpsDays, sein Interesse war sofort geweckt. Das, gepaart mit der Benutzerfreundlichkeit von Mondoo, hat SimpleRose schnell begeistert.

Mit Mondoo kann SimpleRose jetzt ihren Compliance-Status für verschiedene Arten von Tools und Assets an einem Ort einsehen. Obwohl sie bereits über andere Tools verfügten, die einen umfassenden Einblick gewährten, geht Mondoo viel tiefer in die Verifizierung auf Konfigurationsebene ein und bietet sowohl eine breite als auch eine tiefgründige Lösung.

Todd: „Wir haben bereits Tools wie Vanta verwendet, um grundlegende Workstation-Konformität zu überprüfen, aber wir mussten gehen Sie über hochrangige Kontrollen hinaus und in die Einzelheiten — wie zum Beispiel die Überprüfung, ob die Dateiberechtigungen korrekt angewendet wurden, die Patch-Versionen auf dem neuesten Stand waren und die Docker-Konfigurationen den Best Practices entsprachen.“

Mit Mondoo erhält SimpleRose jetzt:

• Zentrale und tiefe Sicht: Konsolidiert Einblicke in die Compliance aus verschiedenen Umgebungen (z. B. Laptops, AWS, DockerHub, interne Webservices), mit umfassender Überprüfung auf Konfigurationsebene.
• Individuell anpassbare und skalierbare Richtlinien: SimpleRose kann schreiben und anpassen Richtlinien als Code, was es einfach macht, Schecks an ihre spezifischen internen Standards anzupassen.
• Automatisierte Sicherheitspipeline: Die reibungslose Integration mit ihren CI/CD- und Infrastruktur-Pipelines ermöglicht Security as Code, ohne die Geschwindigkeit der Entwickler zu beeinträchtigen.
• Klare, umsetzbare Lösungswege: Optimierte Behebungsprozesse, die die Lücke zwischen Erkennung und Maßnahmen schließen. Todd: „Mondoo gibt uns eine messerscharfe Antwort darauf, wie wir identifizierte Probleme angehen können.“

“Mondoo gibt uns eine messerscharfe Antwort darauf, wie wir identifizierte Probleme angehen können.“
_{Todd Bradfute, Senior Director für Sicherheit und Technologie bei SimpleRose}

Umsetzung

„Mondoo war sehr einfach einzusetzen“, sagte Todd. „Ich hatte das Scannen meiner Workstations buchstäblich innerhalb einer Stunde, nachdem ich Mondoos Präsentation auf den DevOpsDays gesehen hatte. Die Verbindung zu unseren anderen Umgebungen war ebenfalls ziemlich mühelos.“

Ergebnisse

Mit Mondoo hat SimpleRose Folgendes erreicht:

• Reduzierung der manuellen Arbeit: Was früher aus mehrstufigen, manuellen und isolierten Workflows bestand, sind jetzt klare, umsetzbare Lösungswege mit automatisiertem Patchen der betroffenen Systeme.
• Signifikanter Rückgang der Anzahl der Sicherheitslücken: Nach der vollständigen Implementierung von Mondoo mit automatisierten Richtlinien gibt es jetzt nur noch eine Handvoll Probleme gleichzeitig, statt einem Meer von roten Warnmeldungen ohne klare Richtung.
• Optimierter Aufmerksamkeitsfokus: SimpleRose kann sich jetzt auf das konzentrieren, was tatsächlich behoben werden muss, und die Granularität anwenden, um benutzerdefinierte Richtlinien zu erstellen, die den Geschäftsanforderungen entsprechen.
• Wiederholbarer und automatisierter Sanierungsprozess: SimpleRose profitiert jetzt von einem automatisierten und wiederholbaren Prozess (wie Todd es nennt: „spülen, schäumen und wiederholen“), um Sicherheitslücken und Fehlkonfigurationen im gesamten Tech-Stack zu beheben:

1. Mondoo berichtet über die schlimmsten Straftäter.
2. SimpleRose zielt auf die am besten zu reparierenden Probleme ab.
3. SimpleRose verwendet RMM (für Workstations), IaC (für Workloads) und Terraform (für Cloud-Tools), um Fixes bereitzustellen, und verwendet dabei die Korrekturcodeschnipsel von Mondoo.
4. Mondoo scannt erneut und zeigt, ob sich die Punktzahl verbessert hat.

Fazit

Die wichtigsten Geschäftstreiber für die Einführung von Mondoo durch SimpleRose waren die Notwendigkeit, die Compliance- und Konfigurationstransparenz in einem schnell wachsenden Tech-Stack zu vereinheitlichen und zu vertiefen, aber Mondoo hat weit mehr als das geliefert. Mit einem automatisierten, wiederholbaren Problembehebungsprozess war SimpleRose in der Lage, den manuellen Aufwand zu reduzieren, die Behebung zu beschleunigen und sicherzustellen, dass die kritischsten Risiken schnell behoben werden.

Mondoo Policy as Code und die Integration in den SDLC haben SimpleRose auch dabei geholfen, Sicherheit in ihren Entwicklungsprozess einzuführen und Sicherheitsprobleme frühzeitig zu erkennen, ohne Kompromisse bei der Geschwindigkeit einzugehen. Todd: „Mondoo wurde zu unserer Brücke zwischen technischer Konfiguration und Richtlinienanforderungen, was für die Skalierung sicherer Abläufe ohne Reibungsverluste von entscheidender Bedeutung ist.“

Todd: „Egal, wo Sie sich auf Ihrer Sicherheitsreise befinden, Mondoo trifft Sie dort. Für diejenigen, die bereits über bestehende Tools verfügen, hat Mondoo für jedes Tool, das wir unterstützen mussten, eine Antwort parat. Für Unternehmen, die wissen, dass sie viele verschiedene Frameworks unterstützen müssen, war Mondoo ein großartiger Partner, mit dem sie wachsen konnten.“

‍Mondoo verbessert unsere Fähigkeit, Sicherheitsrichtlinien auf all unseren IT-Oberflächen von einer einzigen Plattform aus zu überwachen, zu validieren und durchzusetzen, sodass wir sowohl Transparenz als auch Kontrolle ohne betrieblichen Aufwand haben.“
_{‍Todd Bradfute, Senior Director für Sicherheit und Technologie bei SimpleRose}