Em resumo
- Segurança de aplicações e segurança na nuvem unificadas em uma única plataforma
- Protegidos 139 repositórios, 246 Containers e 66 máquinas virtuais
- Consolidou GitHub Advanced Security, análise de dependências e ferramentas Cloud em um único sistema
- Reduziu a manutenção do fluxo de trabalho de CI em quase 200 repositórios
- Adicionou visibilidade sobre a postura Cloud, riscos de IaC e vulnerabilidades de VM
Desafio
A SGNL AI desenvolve infraestrutura de segurança de identidade e acesso utilizada por ambientes corporativos. À medida que a empresa expandia sua plataforma e organização de engenharia, a cobertura de segurança tornou-se fragmentada em várias ferramentas.
Inicialmente, a SGNL contava com GitHub Advanced Security e Dependabot para detectar vulnerabilidades de dependência, juntamente com varredura de Container em pipelines de CI. Isso fornecia uma cobertura básica de segurança de aplicações, mas a visibilidade em outras áreas, especialmente na infraestrutura Cloud, permaneceu limitada.
“Tínhamos GitHub Advanced Security e Dependabot, o que nos dava uma cobertura razoável. Também tínhamos Trivy rodando na maioria dos nossos pipelines”, diz Brooks Lowe, Engenheiro de Segurança de Produto da SGNL AI. “Mas não tínhamos realmente nada para detecção de malware.”
– Brooks Lowe, Engenheiro de Segurança Principal Sênior, SGNL
À medida que a pegada da infraestrutura crescia, a segurança na nuvem tornou-se uma preocupação maior. A SGNL estava executando cargas de trabalho em Container e máquinas virtuais enquanto gerenciava a infraestrutura como código. Ao mesmo tempo, as ferramentas de segurança nativas da nuvem introduziram complexidade e custo adicionais.
Manter a visibilidade em todo esse ambiente, ao mesmo tempo em que gerenciava fluxos de trabalho de varredura baseados em CI em quase 200 repositórios, estava se tornando difícil para uma equipe pequena.
“Temos quase 200 repositórios. Gerenciar fluxos de trabalho e pipelines personalizados para varredura de segurança é um problema.”
A SGNL precisava de uma forma de simplificar tanto a segurança do desenvolvedor quanto a segurança na nuvem sem adicionar mais uma plataforma para manter.
Uma seleção liderada por desenvolvedores
Quando Brooks Lowe se juntou à SGNL AI, uma de suas primeiras prioridades foi consolidar o stack de segurança da empresa. Ele precisava de uma plataforma que pudesse escalar tanto no desenvolvimento de aplicações quanto na infraestrutura Cloud, mantendo-se fácil de operar.
O Aikido inicialmente chamou sua atenção ao ler sobre um ataque à cadeia de suprimentos envolvendo um pacote de código aberto malicioso.
“Em vez de analisar milhares de SBOMs, foi apenas um clique para ver se realmente tínhamos o pacote envolvido no ataque.”
O Aikido inicialmente se destacou por suas capacidades de segurança de aplicações e da cadeia de suprimentos. Mas durante a avaliação, Lowe percebeu que a plataforma também abordava vários desafios de segurança na nuvem com os quais a equipe vinha lutando.
“Assim que descobrimos que o Aikido tinha recursos de CSPM e varredura de máquinas virtuais também, isso foi uma grande vitória para nós.”
Isso importava porque a SGNL estava operando em múltiplos ambientes Cloud, cada um com suas próprias contas e configurações. Gerenciar a segurança na nuvem nesses ambientes exigia conciliar diferentes ferramentas, dashboards e fluxos de trabalho.
Com o Aikido, essa complexidade desapareceu.
“Não precisávamos mais olhar para 2 a 3 ambientes Cloud separadamente para segurança. É muito mais fácil gerenciar apenas implantando conectores na UI do Aikido.”
Além da visibilidade, a consolidação também reduziu a necessidade de múltiplas soluções de segurança nativas da nuvem.
Em vez de combinar ferramentas separadas para segurança de aplicações, segurança de infraestrutura e gerenciamento de postura na nuvem, a SGNL pôde integrar tudo em uma única plataforma.
Solução
A SGNL AI implantou o Aikido em seus ambientes de desenvolvimento e infraestrutura Cloud. Hoje, a plataforma monitora:
- 139 repositórios
- 246 Containers
- 66 máquinas virtuais
O Aikido também simplificou como a SGNL gerencia a segurança na nuvem em todos os ambientes. Em vez de configurar e manter ferramentas separadas por conta Cloud, a equipe pode integrar e monitorar ambientes através de uma única interface usando conectores leves.
Em vez de gerenciar a segurança através de uma coleção de ferramentas de CI e scanners nativos da nuvem, a SGNL agora opera a segurança através de uma plataforma centralizada. O Aikido oferece cobertura tanto para o ciclo de vida de desenvolvimento de software quanto para a infraestrutura Cloud, incluindo:
- Varredura de segurança de aplicações para código proprietário
- Análise de dependências de código aberto e detecção de pacotes maliciosos
- Varredura de vulnerabilidades em contêineres
- Verificações de segurança de Infrastructure-as-Code
- Gerenciamento da postura de segurança na nuvem (CSPM)
- Varredura de vulnerabilidades de VMs
Isso proporciona à SGNL visibilidade em código, contêineres e infraestrutura sem a necessidade de manter múltiplos pipelines de varredura.
Por que a SGNL AI escolheu o Aikido
A SGNL avaliou diversas abordagens para melhorar a visibilidade de segurança em seu ambiente.
Algumas plataformas que a equipe analisou, incluindo a Wiz, focam principalmente na segurança da infraestrutura na nuvem, fornecendo insights detalhados sobre recursos de nuvem e riscos de configuração. Embora fortes nesse domínio, essas ferramentas frequentemente exigem produtos adicionais para cobrir a segurança de aplicações, análise de dependências e fluxos de trabalho de desenvolvedores.
A SGNL precisava de uma plataforma que abordasse ambos os lados do problema.
O Aikido se destacou por unificar segurança de aplicações, segurança da cadeia de suprimentos e gerenciamento da postura na nuvem em um único sistema.
Para a SGNL, isso significava:
- menos ferramentas para gerenciar
- menos pipelines de CI para manter
- maior visibilidade tanto na cadeia de suprimentos de software quanto na infraestrutura na nuvem
Em vez de implantar plataformas separadas para AppSec e segurança na nuvem, a SGNL pôde gerenciar tudo por meio de um único sistema.
Resultados
Com o Aikido implementado, a SGNL obteve visibilidade consistente em suas aplicações, contêineres e infraestrutura na nuvem.
Investigações de segurança que antes exigiam análise manual de dependências agora podem ser concluídas instantaneamente.
“Em vez de vasculhar milhares de dependências, basta um clique para ver se fomos afetados.”
A plataforma também reduziu a sobrecarga operacional de gerenciar fluxos de trabalho de varredura baseados em CI em centenas de repositórios, ao mesmo tempo em que adicionou uma visibilidade mais profunda aos riscos da infraestrutura na nuvem.
Para uma equipe de segurança enxuta que apoia uma organização de engenharia em crescimento, essa combinação de cobertura de AppSec e segurança na nuvem simplificou significativamente as operações diárias.
Olhando para o futuro
Em linha com o crescimento da SGNL, a empresa continua a expandir sua pegada de engenharia e infraestrutura. Com o Aikido implementado, a SGNL possui uma plataforma que protege tanto seu pipeline de desenvolvimento quanto seus ambientes na nuvem a partir de um único local.
Ao consolidar a segurança de aplicações, a visibilidade da cadeia de suprimentos e o gerenciamento da postura na nuvem, a SGNL pode continuar expandindo sua plataforma sem ampliar sua cadeia de ferramentas de segurança.
