Bilfinger
[Tenable Cloud Security] gets more out of the raw data than the others can – the platform is very, very good at analyzing, at giving insights… providing information we can act on. For me, that was key.
關鍵業務需求:
Bilfinger sought a unified security approach for their complex and fast growing multi-cloud (AWS, Azure) infrastructure, to curb identities and entitlements risk and to reduce the manual hours spent managing compliance.
After seeking a solution with multi-cloud visibility across stakeholders (IAM, Center of Excellence, IT Security), least privilege and automated compliance, Bilfinger deployed Tenable Cloud Security, a comprehensive CNAPP with market leading CIEM.
使用的產品:
往下捲以閱讀完整案例研究。
Bilfinger gains visibility into resource risk and what to do about it using Tenable Cloud Security
挑戰
Bilfinger understood that securing its rapid growth Azure and AWS environments required an approach different from the on-prem security it was familiar with. According to Bilfinger Tribe Lead Business Solutions Andreas Pfau, they wanted to “...avoid the same mistakes as 10 years ago. 我们希望从零开始构建统一的云安全,从源头开始就做好这件事。”
在大规模迁移大约一年半后,Bilfinger 意识到其需要在身份和授权方面改善安全措施。Pfau 表示:“我们的云基础设施正变得越来越复杂,因此我们想更好地了解我们的身份。由于时间紧张,我们过去经常过度设置权限,但在过后往往又没有撤销这些权限;我们知道我们有一些帐户特权过高,有些帐户非常隐蔽。”该企业还希望更好地保护其日益增长的 Azure 订阅安全,避免在某些云风险检测流程上耗费人工时间,并实现其全球多云运营的透明度。
其中一个关键目标在于实现最低特权访问的自动化;另一个关键问题是合规性要求(尤其是 GDPR)。在战略层面,Bilfinger 希望获得一个独立的风险视图,作为其内部风险评估工作的补充。
Thomas Lützel, Service Owner of Identity & Authentication Services at Bilfinger [whose LinkedIn motto states: “Identity securely holds the cloud together”], recalls: “I learned of [the solution] and told Andreas we should do a PoC.” Added Pfau: “Security was top of mind for our IAM team - they felt the could secure IAM more successfully with a tool like Ermetic [now Tenable Cloud Security].”
Pfau continued: “Our team evaluated several vendors. 我们阅读了一系列营销材料,很明显,一些供应商根本不知道 CIEM 是什么意思,也不知道应该如何做到。此外,CIEM 解决方案的评估和比较也很困难,因为这是一种新技术,一种全新的思维方式。All competing products, including cloud provider native tools, are using the same raw data from the API. On the other hand, this levels the playing field native tools, are using the same raw data from the API. [Tenable] showed it gets more out of the raw data than the others can – the platform is very, very good at analyzing, at giving insights. 對我而言這是關鍵要素。」
解決方案
如今,Bilfinger 有三个不同团队每天都在使用 Tenable Cloud Security:
- IAM team (manages identities and access, including cloud)
- Cloud Center of Excellence (handles cloud services operationally and architecturally, and lends cloud expertise to the business units)
- IT Security (responsible for cloud security posture and compliance overall)
Explained Pfau, “From my perspective, these three Bilfinger teams reflect the three pillars of cloud security that the platform is providing: IAM security, cloud expertise as a main asset, and overall cloud posture security and compliance. [Tenable Cloud Security] is an independent tool giving us overall transparency and deep, unified insight into our cloud architecture across both Azure and AWS, into the accounts of multiple tenants, subscriptions and whatever is in their identities.
Pfau 表示:“[Tenable Cloud Security] 可以查看完整的云基础设施,并生成所有云资产的清单。我们还发现,该平台在开发和实用性方面远超同类产品。[Tenable Cloud Security] 风险分析引擎不仅仅会收集数据;还会分析数据,并为我们提供可供采取行动的信息。”
“[Tenable Cloud Security] 提供了一个非常清晰、直观的访问权限使用情况视图,不仅包括权限层面的信息,还包括实际使用方面的信息。通过 [该解决方案],我们可以轻松地看到权限何时属于‘过高’,也许我们在设置该权限的当时认为某个帐户或组需要该权限是正确的,但 [Tenable Cloud Security] 认为该权限已不再有必要,例如,因为该权限已经六个月没有使用了。”
Bilfinger 如何使用 Tenable - 用例
- 多云资产管理和可见性
- 身份和权限(包括第三方)风险洞察
- 修复过度特权
- 云身份云治理流程
- 持续监控网络安全、互联网风险暴露、错误配置
- 报告和合规性审查
- 强制执行零信任最低特权(即将上线)
- 威胁检测(即将上线)
Bilfinger 的云基础设施
- Microsoft Azure(数百种订阅),用于主要业务应用程序和服务,Azure Active Directory 作为 IdP
- AWS 用于虚拟 CAD 工作负载等
- 内部团队和第三方供应商进行安全审查
- 内部团队执行合规性审查并解决发现的问题/安全漏洞
- SIEM
- ServiceNow
ROI 和后续步骤
Pfau 表示:“[Tenable Cloud Security] 对我们来说非常重要,它为我们提供了一个全新的角度,一个外部的视角,作为一个独立的顾问,为我们提供系统中各种风险的洞察。该平台不断适应我们的业务发展,告诉我们云中的最新情况、用例和威胁。我们最初只是为了解决我们的云身份和身份治理需求,但 [该解决方案] 的云安全态势管理也给我们带来了很多惊喜,非常符合我们的发展战略。”
“我们的直接目标是根据 [Tenable Cloud Security] 进行标准化的安全扫描,并根据其发现的问题采取更多行动。我们将把 [Tenable Cloud Security] 集成到更多的日常运营流程中。具体来说,我们将通过更多的工单整合其策略修复建议,以推动 [该解决方案] 成为变革的平台。我们想把工单发给不同的团队、SOC 等,使其都能管理各自领域的安全。”
“我们还希望将 [该解决方案] 的洞察在 PDCA 循环(计划-执行-检查-处理持续改进,现已成为 ISO 27001:2013 中的一项要求)中实施。也就是说,我们将使用 [Tenable Cloud Security] 来减少特权,控制预配过高的特权,并检查特权是否已经使用完毕。如果关闭了特权帐户,甚至因为一个角色的特权过高而拆分角色,就已经实现了变革。我们将建立完整的 PDCA 链,并使用 [Tenable Cloud Security] 执行。”
总结思考
Pfau 总结道,“我的建议是,即使 [Tenable Cloud Security] 发现了错误或提示某件事做得不好或风险很高,也不要害怕。[这样的] 工具可以帮助加快迭代速度,从而更快地进行学习并获得不同的视角。In the fast-changing cloud platform world you need feedback loops that are internal and external – mirrors reflecting what you’re doing. [Tenable Cloud Security] provides an external feedback loop with fast insight that you can use to accelerate remediation and make incremental security improvements.
“归根结底,[Tenable Cloud Security] 为我们提供了透明度,让我们了解我们的云基础设施和资源面临的风险,以及如何应对这些风险。我们只需点击几下鼠标,就可以看到真实情况并采取行动,这也为我们创造了很多价值。”
- Active Directory
- Cloud
- Compliance
- Tenable Cloud Security