De un vistazo
- Seguridad de aplicaciones y seguridad en la nube unificadas en una única plataforma
- Protegidos 139 repositorios, 246 contenedores y 66 máquinas virtuales
- Consolidó GitHub Advanced Security, el análisis de dependencias y las herramientas de cloud en un único sistema
- Redujo el mantenimiento de los flujos de trabajo de CI en casi 200 repositorios
- Añadió visibilidad sobre la postura de seguridad en la nube, los riesgos de IaC y las vulnerabilidades de máquinas virtuales
Desafío.
SGNL AI desarrolla infraestructura de seguridad de identidad y acceso utilizada por entornos empresariales. A medida que la empresa escalaba su plataforma y su organización de ingeniería, la cobertura de seguridad se fragmentó en múltiples herramientas.
Inicialmente, SGNL dependía de GitHub Advanced Security y Dependabot para detectar vulnerabilidades de dependencias, junto con el escaneo de contenedores en los pipelines de CI. Esto proporcionaba una cobertura básica de seguridad de aplicaciones, pero la visibilidad en otras áreas, especialmente la infraestructura en la nube, seguía siendo limitada.
«Teníamos GitHub Advanced Security y Dependabot, que ofrecían una cobertura decente. También teníamos Trivy ejecutándose en la mayoría de nuestros pipelines», afirma Brooks Lowe, ingeniero de seguridad de producto en SGNL AI. «Pero realmente no teníamos nada para la detección de malware.»
– Brooks Lowe, Ingeniero de Seguridad Principal Sénior, SGNL
A medida que la huella de la infraestructura crecía, la seguridad en la nube se convirtió en una preocupación mayor. SGNL ejecutaba cargas de trabajo en contenedores y máquinas virtuales mientras gestionaba la infraestructura mediante código. Al mismo tiempo, las herramientas de seguridad nativas de la nube introdujeron complejidad y costes adicionales.
Mantener la visibilidad en ese entorno, mientras se gestionaban los flujos de trabajo de escaneo basados en CI en casi 200 repositorios, se estaba volviendo difícil para un equipo pequeño.
«Tenemos casi 200 repositorios. Gestionar flujos de trabajo y pipelines personalizados para el escaneo de seguridad es un engorro.»
SGNL necesitaba una forma de simplificar tanto la seguridad para desarrolladores como la seguridad en la nube sin añadir otra plataforma más que mantener.
Una selección liderada por desarrolladores
Cuando Brooks Lowe se unió a SGNL AI, una de sus primeras prioridades fue consolidar el stack de seguridad de la empresa. Necesitaba una plataforma que pudiera escalar tanto en el desarrollo de aplicaciones como en la infraestructura en la nube, manteniéndose fácil de operar.
Aikido inicialmente captó su atención mientras leía sobre un ataque a la cadena de suministro que involucraba un paquete de código abierto malicioso.
«En lugar de revisar miles de SBOMs, bastó un solo clic para ver si realmente teníamos el paquete involucrado en el ataque.»
Aikido inicialmente destacó por sus capacidades de seguridad de aplicaciones y de la cadena de suministro. Pero durante la evaluación, Lowe se dio cuenta de que la plataforma también abordaba varios desafíos de seguridad en la nube con los que el equipo había estado lidiando.
«Una vez que descubrimos que Aikido tenía funciones de CSPM y también escaneo de máquinas virtuales, eso fue una gran victoria para nosotros.»
Esto era importante porque SGNL operaba en múltiples entornos de nube, cada uno con sus propias cuentas y configuraciones. Gestionar la seguridad en la nube en esos entornos requería manejar diferentes herramientas, paneles y flujos de trabajo.
Con Aikido, esa complejidad desapareció.
“Ya no teníamos que analizar 2 o 3 entornos cloud por separado para la seguridad. Es mucho más fácil de gestionar simplemente desplegando conectores en la UI de Aikido.”
Más allá de la visibilidad, la consolidación también redujo la necesidad de múltiples soluciones de seguridad cloud-native.
En lugar de combinar herramientas separadas para la seguridad de las aplicaciones, la seguridad de la infraestructura y la gestión de la postura de seguridad en la nube, SGNL pudo integrar todo en una única plataforma.
Solución
SGNL AI desplegó Aikido en sus entornos de desarrollo e infraestructura cloud. Actualmente, la plataforma monitoriza:
- 139 repositorios
- 246 contenedores
- 66 máquinas virtuales
Aikido también simplificó la forma en que SGNL gestiona la seguridad en la nube en todos los entornos. En lugar de configurar y mantener herramientas separadas por cuenta cloud, el equipo puede incorporar y monitorizar entornos a través de una única interfaz utilizando conectores ligeros.
En lugar de gestionar la seguridad a través de una colección de herramientas de CI y escáneres cloud-native, SGNL ahora opera la seguridad a través de una plataforma centralizada. Aikido proporciona cobertura tanto para el ciclo de vida del desarrollo de software como para la infraestructura cloud, incluyendo:
- Escaneo de seguridad de aplicaciones para código propietario
- Análisis de dependencias de código abierto y detección de paquetes maliciosos
- escaneo de vulnerabilidades en contenedores
- Comprobaciones de seguridad de Infraestructura como Código
- Gestión de la postura de seguridad en la nube (CSPM)
- Escaneo de vulnerabilidades de VM
Esto proporciona a SGNL visibilidad en código, contenedores e infraestructura sin necesidad de mantener múltiples pipelines de escaneo.
Por qué SGNL AI eligió Aikido
SGNL evaluó varios enfoques para mejorar la visibilidad de la seguridad en su entorno.
Algunas plataformas que el equipo consideró, incluyendo Wiz, se centran principalmente en la seguridad de la infraestructura cloud, proporcionando información detallada sobre los recursos cloud y los riesgos de configuración. Aunque potentes en ese ámbito, esas herramientas a menudo requieren productos adicionales para cubrir la seguridad de las aplicaciones, el análisis de dependencias y los flujos de trabajo de los desarrolladores.
SGNL necesitaba una plataforma que abordara ambos lados del problema.
Aikido destacó porque unificó la seguridad de las aplicaciones, la seguridad de la cadena de suministro y la gestión de la postura de seguridad en la nube en un solo sistema.
Para SGNL, esto significó:
- menos herramientas que gestionar
- menos pipelines de CI que mantener
- mayor visibilidad tanto en la cadena de suministro de software como en la infraestructura cloud
En lugar de desplegar plataformas separadas para AppSec y seguridad en la nube, SGNL pudo gestionar todo a través de un único sistema.
Resultados
Con Aikido implementado, SGNL obtuvo una visibilidad consistente en sus aplicaciones, contenedores e infraestructura cloud.
Las investigaciones de seguridad que antes requerían un análisis manual de dependencias ahora pueden completarse al instante.
«En lugar de revisar miles de dependencias, basta un clic para ver si estamos afectados».
La plataforma también redujo la sobrecarga operativa de gestionar flujos de trabajo de escaneo basados en CI en cientos de repositorios, a la vez que añadió una visibilidad más profunda de los riesgos de la infraestructura cloud.
Para un equipo de seguridad reducido que apoya a una organización de ingeniería en crecimiento, esta combinación de cobertura de AppSec y seguridad en la nube simplificó significativamente las operaciones diarias.
Mirando hacia el futuro
En línea con el crecimiento de SGNL, la empresa sigue escalando su huella de ingeniería e infraestructura. Con Aikido implementado, SGNL dispone de una plataforma que protege tanto su pipeline de desarrollo como sus entornos cloud desde un único lugar.
Al consolidar la seguridad de las aplicaciones, la visibilidad de la cadena de suministro y la gestión de la postura de seguridad en la nube, SGNL puede seguir haciendo crecer su plataforma sin expandir su conjunto de herramientas de seguridad.
