SimpleRose hilft Teams dabei, selbst die komplexesten Planungs- und Terminierungsprobleme schneller und detaillierter zu lösen. Ganz gleich, ob Unternehmen ihre bestehenden Optimierungsmodelle beschleunigen oder ein maßgeschneidertes System zur Entscheidungsunterstützung aufbauen möchten: SimpleRose hilft seinen Kunden, weniger Zeit mit der Vereinfachung und mehr Zeit mit Lösungen zu verbringen.
SimpleRose ist eine Cloud-First-Organisation, deren Infrastruktur hauptsächlich auf AWS basiert. Sie ist durch mehrere Unterkonten strukturiert, die unter einer AWS-Organisation verwaltet werden. Dabei werden bewährte Verfahren zur Trennung von Arbeitslasten und Sicherheit angewendet. SimpleRose setzt Cloud-native Entwicklungspraktiken ein und entwirft seine Applikationen für Skalierbarkeit, Ausfallsicherheit und Überprüfbarkeit. Dazu nutzt das Unternehmen Containerisierung und Infrastructure-as-Code in AWS.
Die Security ist in die breiteren IT- und Operation- Bereiche von SimpleRose eingebettet. Es handelt sich dabei nicht um eine eigenständige Abteilung, sondern um einen funktionsübergreifenden Teamansatz, an dem Sicherheitsbeauftragte aus den Bereichen Technik, Compliance und IT beteiligt sind. Diese werden von den „Rosarians” koordiniert, dem Team für Security, Ops, IT und Compliance bei SimpleRose.
Eine der größten Herausforderungen für SimpleRose war es, in Echtzeit einen zentralen Überblick über die Compliance und die Konfiguration des vielfältigen und schnell wachsenden Tech-Stacks zu erhalten, einschließlich Cloud-Infrastruktur, Endpunkten, SaaS-Plattformen und Entwickler-Tools.
Todd Bradfute, Senior Director of Security & Technology bei SimpleRose, sagt: „Obwohl wir mit Tools wie CrowdStrike und Cloudflare über einen starken Perimeter- und Endpunktschutz verfügten und mit Vanta die Einhaltung grundlegender Workstation Compliances sicherstellen (z. B. Passwortsperre, Verschlüsselung, Virenschutz, Bildschirmsperre [PEAS]), arbeiteten all diese Lösungen in Silos.“
SimpleRose fehlte eine einheitliche Plattform, die tiefe Einblicke in die breitere Compliance-Situation ihrer Systeme bieten konnte, wie z. B.:
„Mit der Skalierung unserer Cloud-nativen Services und der Beschleunigung unserer CI/CD-Pipelines wurden diese Schwachstellen immer dringlicher“, ergänzt Todd. „Wir brauchten eine Möglichkeit, nicht nur Compliance-Anforderungen abzuhaken, sondern den tatsächlichen Zustand der Systeme auf entwicklerfreundliche und erweiterbare Weise zu validieren – und Mondoo hat uns das ermöglicht.“
„Wir brauchten eine Möglichkeit, nicht nur Checkboxes auf Konformität zu überprüfen, sondern auch den aktuellen Zustand der Systeme auf entwicklerfreundliche, erweiterbare Weise zu validieren — und Mondoo hat uns das gegeben.“
Todd Bradfute, Senior Director für Sicherheit und Technologie bei SimpleRose
Als Todd auf den DevOpsDays von Mondoos Policy as Code-Lösung hörte, war sein Interesse sofort geweckt. In Verbindung mit der Benutzerfreundlichkeit von Mondoo war SimpleRose schnell Feuer und Flamme.
Mit Mondoo kann SimpleRose seinen Compliance-Status für verschiedene Arten von Tools und Assets nun an einem Ort einsehen. Obwohl das Unternehmen bereits über andere Tools verfügte, die generelle Einblicke boten, geht Mondoo bei der Verifizierung auf Konfigurationsebene wesentlich weiter und bietet sowohl Breite als auch Tiefe.
Todd sagt: „Wir nutzten bereits Tools wie Vanta, um die grundlegende Konformität von Workstations zu validieren, aber wir mussten über die Kontrollen auf höchster Ebene hinausgehen und uns mit den Besonderheiten befassen - wie der Überprüfung, ob Dateiberechtigungen korrekt angewendet wurden, Patch-Versionen aktuell waren und Docker-Konfigurationen den Best Practices entsprachen.“
Mit Mondoo erhält SimpleRose jetzt:
“Mondoo gibt uns eine messerscharfe Antwort darauf, wie wir identifizierte Probleme angehen können.“
Todd Bradfute, Senior Director für Sicherheit und Technologie bei SimpleRose
„Mondoo war sehr einfach zu implementieren“, sagt Todd. „Ich hatte das Workstation-Scanning buchstäblich innerhalb einer Stunde nach der Mondoo-Präsentation auf den DevOpsDays am Laufen. Auch die Anbindung an unsere
Mit Mondoo hat SimpleRose Folgendes erreicht:
Die Hauptgründe für die Einführung von Mondoo bei SimpleRose waren die Notwendigkeit, Compliance und Konfigurationstransparenz in einem schnell wachsenden Tech-Stack zu vereinheitlichen und zu vertiefen. Doch Mondoo konnte noch mehr leisten.
Durch einen automatisierten, wiederholbaren Behebungsprozess konnte SimpleRose die manuelle Arbeit reduzieren, die Behebung beschleunigen und sicherstellen, dass die kritischsten Schwachstellen schnell behoben werden. Dank „Mondoo Policy as Code“ und der Integration in den SDLC konnte SimpleRose Sicherheit in den Entwicklungsprozess integrieren und Sicherheits-probleme frühzeitig erkennen, ohne dabei Kompromisse bei der Geschwindigkeit einzugehen. Todd sagt: „Mondoo wurde zu unserer Brücke zwischen der technischen Konfiguration und den Richtlinienanforderungen. Das ist entscheidend für die Skalierung sicherer Abläufe ohne Reibungsverluste.“
Er sagt weiter: “Egal, wo Sie sich auf Ihrer Sicherheitsreise befinden, Mondoo unterstützt Sie dabei. Mondoo hatte für jedes Tool, das wir unterstützen mussten, eine Antwort parat. Für Organisationen, die wissen, dass sie viele verschiedene Frameworks unterstützen müssen, ist Mondoo ein großartiger Partner, mit dem man wachsen kann.”
Mondoo verbessert unsere Fähigkeit, Sicherheitsrichtlinien auf all unseren IT-Oberflächen von einer einzigen Plattform aus zu überwachen, zu validieren und durchzusetzen, sodass wir sowohl Transparenz als auch Kontrolle ohne betrieblichen Aufwand haben.“
Todd Bradfute, Senior Director für Sicherheit und Technologie bei SimpleRose