Auf einen Blick
- Vereinheitlichte Anwendungssicherheit und Cloud-Sicherheit in einer Plattform
- 139 Repositories, 246 Container und 66 virtuelle Maschinen gesichert
- GitHub Advanced Security, Scan von Softwareabhängigkeiten und Cloud-Tools in einem System konsolidiert
- Wartungsaufwand für CI-Workflows bei fast 200 Repositories reduziert
- Erhöhte Transparenz bei Cloud-Posture, IaC-Risiken und VM-Schwachstellen
Herausforderung
SGNL AI entwickelt Identitäts- und Zugriffs-Sicherheitsinfrastruktur, die von Unternehmensumgebungen genutzt wird. Als das Unternehmen seine Plattform und Engineering-Organisation skalierte, fragmentierte sich die Sicherheitsabdeckung über mehrere Tools.
Anfangs verließ sich SGNL auf GitHub Advanced Security und Dependabot, um Abhängigkeitsschwachstellen zu erkennen, zusammen mit Container-Scanning in CI-Pipelines. Dies bot eine grundlegende Anwendungssicherheitsabdeckung, aber die Transparenz in anderen Bereichen, insbesondere der Cloud-Infrastruktur, blieb begrenzt.
„Wir hatten GitHub Advanced Security und Dependabot, was eine gute Abdeckung bot. Wir hatten auch Trivy in den meisten unserer Pipelines laufen“, sagt Brooks Lowe, Product Security Engineer bei SGNL AI. „Aber wir hatten nichts wirklich für die Malware-Erkennung.“
– Brooks Lowe, Sr Principal Security Engineer, SGNL
Mit wachsendem Infrastruktur-Footprint wurde Cloud-Sicherheit zu einem größeren Anliegen. SGNL betrieb containerisierte Workloads und virtuelle Maschinen, während die Infrastruktur über Code verwaltet wurde. Gleichzeitig führten Cloud-native Sicherheitstools zu zusätzlicher Komplexität und Kosten.
Die Aufrechterhaltung der Transparenz in dieser Umgebung, während gleichzeitig CI-basierte Scanning-Workflows über fast 200 Repositories hinweg verwaltet werden mussten, wurde für ein kleines Team zunehmend schwierig.
„Wir haben fast 200 Repositories. Die Verwaltung benutzerdefinierter Workflows und Pipelines für Sicherheitsscans ist mühsam.“
SGNL benötigte eine Möglichkeit zur Vereinfachung sowohl der Entwickelnden-Sicherheit als auch der Cloud-Sicherheit, ohne eine weitere zu wartende Plattform hinzuzufügen.
Eine von Entwickelnden geführte Auswahl
Als Brooks Lowe zu SGNL AI kam, war eine seiner ersten Prioritäten die Konsolidierung des Security Stacks des Unternehmens. Er benötigte eine Plattform, die sowohl über die Anwendungsentwicklung als auch über die Cloud-Infrastruktur skalieren konnte und dabei einfach zu bedienen blieb.
Aikido erregte seine Aufmerksamkeit zunächst, als er über einen Supply-Chain-Angriff im Zusammenhang mit einem schädlichen Open-Source-Paket las.
„Anstatt Tausende von SBOMs durchzugehen, genügte ein Klick, um zu sehen, ob wir das am Angriff beteiligte Paket tatsächlich hatten.“
Aikido zeichnete sich zunächst durch seine Fähigkeiten im Bereich der Anwendungs- und Supply-Chain-Sicherheit aus. Doch während der Evaluierung erkannte Lowe, dass die Plattform auch mehrere Cloud-Sicherheitsherausforderungen adressierte, mit denen das Team zu kämpfen hatte.
„Als wir herausfanden, dass Aikido auch CSPM-Funktionen und VM-Scans bot, war das ein großer Gewinn für uns.“
Das war wichtig, da SGNL in mehreren Cloud-Umgebungen operierte, jede mit eigenen Konten und Konfigurationen. Die Verwaltung der Cloud-Sicherheit in diesen Umgebungen erforderte das Jonglieren mit verschiedenen Tools, Dashboards und Workflows.
Mit Aikido verschwand diese Komplexität.
„Wir mussten nicht mehr 2 bis 3 Cloud-Umgebungen separat auf Sicherheit prüfen. Es ist viel einfacher zu verwalten, indem man einfach Konnektoren in der Aikido UI bereitstellt.“
Über die Transparenz hinaus reduzierte die Konsolidierung auch den Bedarf an mehreren Cloud-nativen Sicherheitslösungen.
Anstatt separate Tools für Anwendungssicherheit, Infrastruktursicherheit und Cloud Posture Management zu kombinieren, konnte SGNL alles auf einer einzigen Plattform zusammenführen.
Lösung
SGNL AI implementierte Aikido in seinen Entwicklungsumgebungen und seiner Cloud-Infrastruktur. Heute überwacht die Plattform:
- 139 Repositories
- 246 Container
- 66 virtuelle Maschinen
Aikido vereinfachte auch die Verwaltung der Cloud-Sicherheit durch SGNL über verschiedene Umgebungen hinweg. Anstatt separate Tools pro Cloud-Konto zu konfigurieren und zu warten, kann das Team Umgebungen über eine einzige Schnittstelle mittels leichter Konnektoren integrieren und überwachen.
Anstatt die Sicherheit über eine Sammlung von CI-Tools und Cloud-nativen Scannern zu verwalten, betreibt SGNL die Sicherheit nun über eine zentralisierte Plattform. Aikido bietet Abdeckung über den gesamten Software Development Lifecycle und die Cloud-Infrastruktur, einschließlich:
- Anwendungssicherheitsscans für proprietären Code
- Open-Source-Abhängigkeitsanalyse und Erkennung von schädlichen Software-Paketen
- Container-Schwachstellenscan
- Infrastructure-as-Code-Sicherheitsprüfungen
- Cloud Security Posture Management (CSPM)
- VM-Schwachstellenscan
Dies verschafft SGNL Sichtbarkeit über Code, Container und Infrastruktur hinweg, ohne mehrere Scanning-Pipelines pflegen zu müssen.
Warum sich SGNL AI für Aikido entschied
SGNL evaluierte verschiedene Ansätze zur Verbesserung der Sicherheitstransparenz in seiner Umgebung.
Einige der vom Team untersuchten Plattformen, darunter Wiz, konzentrieren sich hauptsächlich auf die Cloud-Infrastruktur-Sicherheit und bieten detaillierte Einblicke in Cloud-Ressourcen und Konfigurationsrisiken. Obwohl diese Tools in diesem Bereich stark sind, erfordern sie oft zusätzliche Produkte, um Anwendungssicherheit, Scan von Softwareabhängigkeiten und Entwickelnden-Workflows abzudecken.
SGNL benötigte eine Plattform, die beide Seiten des Problems adressierte.
Aikido stach hervor, weil es Anwendungssicherheit, Supply-Chain-Sicherheit und Cloud-Posture-Management in einem System vereinte.
Für SGNL bedeutete dies:
- weniger Tools zu verwalten
- weniger CI-Pipelines zu pflegen
- klarere Sichtbarkeit über die Software-Supply-Chain und die Cloud-Infrastruktur hinweg
Anstatt separate Plattformen für AppSec und Cloud-Sicherheit bereitzustellen, konnte SGNL alles über ein einziges System verwalten.
Ergebnisse
Mit Aikido erhielt SGNL eine konsistente Sichtbarkeit über seine Anwendungen, Container und Cloud-Infrastruktur hinweg.
Sicherheitsuntersuchungen, die zuvor eine manuelle Abhängigkeitsanalyse erforderten, können nun sofort abgeschlossen werden.
„Anstatt Tausende von Abhängigkeiten zu durchforsten, genügt ein Klick, um zu sehen, ob wir betroffen sind.“
Die Plattform reduzierte zudem den operativen Overhead bei der Verwaltung CI-basierter Scanning-Workflows über Hunderte von Repositories hinweg und erhöhte gleichzeitig die Sichtbarkeit von Risiken in der Cloud-Infrastruktur.
Für ein schlankes Sicherheitsteam, das eine wachsende Engineering-Organisation unterstützt, vereinfachte diese Kombination aus AppSec- und Cloud-Sicherheitsabdeckung die täglichen Abläufe erheblich.
Ausblick
Im Einklang mit dem Wachstum von SGNL baut das Unternehmen seinen Engineering- und Infrastruktur-Footprint weiter aus. Mit Aikido verfügt SGNL über eine Plattform, die sowohl seine Entwicklungspipeline als auch seine Cloud-Umgebungen von einem einzigen Ort aus sichert.
Durch die Konsolidierung von Anwendungssicherheit, Supply-Chain-Sichtbarkeit und Cloud-Posture-Management kann SGNL seine Plattform weiter ausbauen, ohne seine Security-Toolchain zu erweitern.
