Cloud-First IT-Infrastruktur

SimpleRose ist eine Cloud-First-Organisation, deren Infrastruktur hauptsächlich auf AWS basiert. Sie ist durch mehrere Unterkonten strukturiert, die unter einer AWS-Organisation verwaltet werden. Dabei werden bewährte Verfahren zur Trennung von Arbeitslasten und Sicherheit angewendet. SimpleRose setzt Cloud-native Entwicklungspraktiken ein und entwirft seine Applikationen für Skalierbarkeit, Ausfallsicherheit und Überprüfbarkeit. Dazu nutzt das Unternehmen Containerisierung und Infrastructure-as-Code in AWS. 

Die Security ist in die breiteren IT- und Operation- Bereiche von SimpleRose eingebettet. Es handelt sich dabei nicht um eine eigenständige Abteilung, sondern um einen funktionsübergreifenden Teamansatz, an dem Sicherheitsbeauftragte aus den Bereichen Technik, Compliance und IT beteiligt sind. Diese werden von den „Rosarians” koordiniert, dem Team für Security, Ops, IT und Compliance bei SimpleRose. 

‍

Security Herausforderungen:

Eine der größten Herausforderungen für SimpleRose war es, in Echtzeit einen zentralen Überblick über die Compliance und die Konfiguration des vielfältigen und schnell wachsenden Tech-Stacks zu erhalten, einschließlich Cloud-Infrastruktur, Endpunkten, SaaS-Plattformen und Entwickler-Tools.

Todd Bradfute, Senior Director of Security & Technology bei SimpleRose, sagt: „Obwohl wir mit Tools wie CrowdStrike und Cloudflare über einen starken Perimeter- und Endpunktschutz verfügten und mit Vanta die Einhaltung grundlegender Workstation Compliances sicherstellen (z. B. Passwortsperre, Verschlüsselung, Virenschutz, Bildschirmsperre [PEAS]), arbeiteten all diese Lösungen in Silos.“

SimpleRose fehlte eine einheitliche Plattform, die tiefe Einblicke in die breitere Compliance-Situation ihrer Systeme bieten konnte, wie z. B.: 

• Patch-Status und Softwareversionen
• Dateiberechtigungen und Systemkonfigurationen
• Konfiguration von Cloud-Diensten und Container-Sicherheit
• Sicherheitsstatus von Web-Assets (z. B. falsch konfigurierte Domains oder Cloud-Dienste)

„Mit der Skalierung unserer Cloud-nativen Services und der Beschleunigung unserer CI/CD-Pipelines wurden diese Schwachstellen immer dringlicher“, ergänzt Todd. „Wir brauchten eine Möglichkeit, nicht nur Compliance-Anforderungen abzuhaken, sondern den tatsächlichen Zustand der Systeme auf entwicklerfreundliche und erweiterbare Weise zu validieren – und Mondoo hat uns das ermöglicht.“

„Wir brauchten eine Möglichkeit, nicht nur Checkboxes auf Konformität zu überprüfen, sondern auch den aktuellen Zustand der Systeme auf entwicklerfreundliche, erweiterbare Weise zu validieren — und Mondoo hat uns das gegeben.“
_{Todd Bradfute, Senior Director für Sicherheit und Technologie bei SimpleRose}

Die Lösung: Mondoo

Als Todd auf den DevOpsDays von Mondoos Policy as Code-Lösung hörte, war sein Interesse sofort geweckt. In Verbindung mit der Benutzerfreundlichkeit von Mondoo war SimpleRose schnell Feuer und Flamme.

Mit Mondoo kann SimpleRose seinen Compliance-Status für verschiedene Arten von Tools und Assets nun an einem Ort einsehen. Obwohl das Unternehmen bereits über andere Tools verfügte, die generelle Einblicke boten, geht Mondoo bei der Verifizierung auf Konfigurationsebene wesentlich weiter und bietet sowohl Breite als auch Tiefe.

Todd sagt: „Wir nutzten bereits Tools wie Vanta, um die grundlegende Konformität von Workstations zu validieren, aber wir mussten über die Kontrollen auf höchster Ebene hinausgehen und uns mit den Besonderheiten befassen - wie der Überprüfung, ob Dateiberechtigungen korrekt angewendet wurden, Patch-Versionen aktuell waren und Docker-Konfigurationen den Best Practices entsprachen.“

Mit Mondoo erhält SimpleRose jetzt:

• Zentrale und und anpassbare Transparenz: : Konsolidiert Einblicke in die Compliance aus verschiedenen Umgebungen (z. B. Laptops, AWS, DockerHub, interne Webservices), mit umfassender Überprüfung auf Konfigurationsebene.
• Individuell anpassbare und skalierbare Richtlinien: SimpleRose kann schreiben und anpassen Richtlinien als Code, was es einfach macht, Schecks an ihre spezifischen internen Standards anzupassen.
• Automatisierte Security Pipeline: Die reibungslose Integration mit ihren CI/CD- und Infrastruktur-Pipelines ermöglicht Security as Code, ohne die Geschwindigkeit der Entwickler zu beeinträchtigen.
• Klare, umsetzbare Lösungswege: Optimierte Behebungsprozesse, die die Lücke zwischen Erkennung und Maßnahmen schließen. Todd: „Mondoo gibt uns eine messerscharfe Antwort darauf, wie wir identifizierte Probleme angehen können.“

“Mondoo gibt uns eine messerscharfe Antwort darauf, wie wir identifizierte Probleme angehen können.“
_{Todd Bradfute, Senior Director für Sicherheit und Technologie bei SimpleRose}

Umsetzung

„Mondoo war sehr einfach zu implementieren“, sagt Todd. „Ich hatte das Workstation-Scanning buchstäblich innerhalb einer Stunde nach der Mondoo-Präsentation auf den DevOpsDays am Laufen. Auch die Anbindung an unsere 

Ergebnisse

Mit Mondoo hat SimpleRose Folgendes erreicht:

• Reduzierung der manuellen Arbeit: Was früher aus mehrstufigen, manuellen und isolierten Workflows bestand, sind jetzt klare, umsetzbare Lösungswege mit automatisiertem Patchen der betroffenen Systeme.
• Signifikanter Rückgang der Anzahl der Sicherheitslücken: Nach der vollständigen Implementierung von Mondoo mit automatisierten Richtlinien gibt es jetzt nur noch eine Handvoll Probleme gleichzeitig, statt einem Meer von roten Warnmeldungen ohne klare Richtung.
• Optimierter Aufmerksamkeitsfokus: SimpleRose kann sich jetzt auf das konzentrieren, was tatsächlich behoben werden muss, und die Granularität anwenden, um benutzerdefinierte Richtlinien zu erstellen, die den Geschäftsanforderungen entsprechen.
• Wiederholbarer und automatisierter Behebungsprozess: SimpleRose profitiert jetzt von einem automatisierten und wiederholbaren Prozess (wie Todd es nennt: „spülen, schäumen und wiederholen“), um Sicherheitslücken und Fehlkonfigurationen im gesamten Tech-Stack zu beheben:

1. Mondoo zeigt die gravierendsten Schachstellen auf.
2. SimpleRose wählt die wichtigsten aus, um sie zu beheben.
3. SimpleRose verwendet RMM (für Workstations), IaC (für Workloads) und Terraform (für Cloud-Tools), um Fixes bereitzustellen, um Korrekturen mit Hilfe von Mondoo Code-Snippets bereitzustellen
4. Mondoo scannt erneut und zeigt, ob sich der Score verbessert hat.

Fazit

Die Hauptgründe für die Einführung von Mondoo bei SimpleRose waren die Notwendigkeit, Compliance und Konfigurationstransparenz in einem schnell wachsenden Tech-Stack zu vereinheitlichen und zu vertiefen. Doch Mondoo konnte noch mehr leisten.

Durch einen automatisierten, wiederholbaren Behebungsprozess konnte SimpleRose die manuelle Arbeit reduzieren, die Behebung beschleunigen und sicherstellen, dass die kritischsten Schwachstellen schnell behoben werden. Dank „Mondoo Policy as Code“ und der Integration in den SDLC konnte SimpleRose Sicherheit in den Entwicklungsprozess integrieren und Sicherheits-probleme frühzeitig erkennen, ohne dabei Kompromisse bei der Geschwindigkeit einzugehen. Todd sagt: „Mondoo wurde zu unserer Brücke zwischen der technischen Konfiguration und den Richtlinienanforderungen. Das ist entscheidend für die Skalierung sicherer Abläufe ohne Reibungsverluste.“ 

Er sagt weiter: “Egal, wo Sie sich auf Ihrer Sicherheitsreise befinden, Mondoo unterstützt Sie dabei. Mondoo hatte für jedes Tool, das wir unterstützen mussten, eine Antwort parat. Für Organisationen, die wissen, dass sie viele verschiedene Frameworks unterstützen müssen, ist Mondoo ein großartiger Partner, mit dem man wachsen kann.”

‍

‍Mondoo verbessert unsere Fähigkeit, Sicherheitsrichtlinien auf all unseren IT-Oberflächen von einer einzigen Plattform aus zu überwachen, zu validieren und durchzusetzen, sodass wir sowohl Transparenz als auch Kontrolle ohne betrieblichen Aufwand haben.“
_{‍Todd Bradfute, Senior Director für Sicherheit und Technologie bei SimpleRose}