Bilfinger
[Tenable Cloud Security] gets more out of the raw data than the others can – the platform is very, very good at analyzing, at giving insights… providing information we can act on. For me, that was key.
主要なビジネスニーズ:
Bilfinger sought a unified security approach for their complex and fast growing multi-cloud (AWS, Azure) infrastructure, to curb identities and entitlements risk and to reduce the manual hours spent managing compliance.
After seeking a solution with multi-cloud visibility across stakeholders (IAM, Center of Excellence, IT Security), least privilege and automated compliance, Bilfinger deployed Tenable Cloud Security, a comprehensive CNAPP with market leading CIEM.
使用した商品:
下にスクロールして、ケーススタディの全文をご覧ください。
Bilfinger gains visibility into resource risk and what to do about it using Tenable Cloud Security
課題
Bilfinger understood that securing its rapid growth Azure and AWS environments required an approach different from the on-prem security it was familiar with. According to Bilfinger Tribe Lead Business Solutions Andreas Pfau, they wanted to “...avoid the same mistakes as 10 years ago. 初日から統合クラウドセキュリティを構築し、元からセキュリティを確保したい」との見解を示していました。
大規模な移行から約 1 年半が経過した頃、 Bilfinger はアイデンティティと権限に関するセキュリティを強化する必要があることに気づきました。「当社のクラウドインフラは複雑化する一方だったので、アイデンティティをよりきめ細かく把握したいと考えました。スケジュールが過密であるため、権限を過剰にプロビジョニングしても後で取り消すとは限りませんでした。私たちは、過剰に権限が付与されたアカウントの存在を、隠れたものも含め認識していました」と Pfau 氏は述べます。また、同社は増え続ける Azure サブスクリプションのセキュリティを強化し、特定のクラウドリスク検出プロセスに費やす手作業を回避して、グローバルなマルチクラウド運用の透明性を確保しようと模索していました。
主要目標は最小権限アクセスを自動化することでしたが、コンプライアンス要件 (特に GDPR) も懸念事項でした。Bilfinger は、社内のリスク評価の取り組みを補完するために、戦略レベルでリスクに関する独立した見解を求めていました。
Thomas Lützel, Service Owner of Identity & Authentication Services at Bilfinger [whose LinkedIn motto states: “Identity securely holds the cloud together”], recalls: “I learned of [the solution] and told Andreas we should do a PoC.” Added Pfau: “Security was top of mind for our IAM team - they felt the could secure IAM more successfully with a tool like Ermetic [now Tenable Cloud Security].”
Pfau continued: “Our team evaluated several vendors. さまざまなマーケティング資料に目を通しましたが、ベンダーによっては CIEM の意味やその実施方法を理解していないことが明らかでした。さらに、CIEM ソリューションは新しいテクノロジーであり、新しい考え方であるため、その評価と比較は困難です。All competing products, including cloud provider native tools, are using the same raw data from the API. On the other hand, this levels the playing field native tools, are using the same raw data from the API. [Tenable] showed it gets more out of the raw data than the others can – the platform is very, very good at analyzing, at giving insights. 私にとっては、その点が重要でした」
ソリューション
現在、Bilfinger では異なる 3 つのチームが日常的に Tenable Cloud Security を使用しています。
- IAM team (manages identities and access, including cloud)
- Cloud Center of Excellence (handles cloud services operationally and architecturally, and lends cloud expertise to the business units)
- IT Security (responsible for cloud security posture and compliance overall)
Explained Pfau, “From my perspective, these three Bilfinger teams reflect the three pillars of cloud security that the platform is providing: IAM security, cloud expertise as a main asset, and overall cloud posture security and compliance. [Tenable Cloud Security] is an independent tool giving us overall transparency and deep, unified insight into our cloud architecture across both Azure and AWS, into the accounts of multiple tenants, subscriptions and whatever is in their identities.
「(Tenable Cloud Security が) 当社のクラウドインフラ全体を把握して、すべてのクラウド資産のインベントリを生成します。私たちは、このプラットフォームは、開発と有用性の点で同等の製品よりはるか先を行くことも確認しました。(Tenable Cloud Security の) リスク分析エンジンは、データを収集するだけでなく、データを分析し、行動につながる情報を提供してくれます」と Pfau 氏は述べます。
「(Tenable Cloud Security は) アクセス状況を非常に明確かつわかりやすく、単に権限レベルだけでなく、実際の使用状況も含めて可視化します。このソリューションを使用すると、権限が「過剰」であることがすぐにわかります。特定のアカウントやグループにその権限が必要だと考えた時点では適切だったかもしれませんが、(Tenable Cloud Security では) 権限が 6 か月間使用されていないなどの理由でその権限が不要であると示してくれます」
Bilfinger による Tenable の活用 - ユースケース
- マルチクラウド資産の管理と可視化
- アイデンティティと権限 (サードパーティを含む) に関するリスクのインサイト
- 過剰な権限の修正
- クラウドアイデンティティのためのクラウドガバナンスのプロセス
- ネットワークセキュリティ、インターネットへの露出、設定ミスの継続的な監視
- レポート作成およびコンプライアンス監査
- ゼロトラストの最小権限の適用 (次期)
- 脅威検出 (次期)
Bilfinger のクラウドインフラ
- Microsoft Azure (数百規模のサブスクリプション) を主要なビジネスアプリケーションとサービスのために使用、IdP として Azure Active Directory を使用
- AWS を仮想 CAD ワークロードなどのために使用
- 社内チームとサードパーティベンダーによるセキュリティ監査
- 社内チームがコンプライアンス監査の実施と調査結果/セキュリティギャップへの対処を担当
- SIEM
- ServiceNow
ROI と次のステップ
「(Tenable Cloud Security は) これまでとは違う角度で外側からの視点をもたらし、独立したアドバイザーとして当社の運用や業務についてインサイトを提供してくれる重要な存在です」と Pfau 氏は述べます。「このプラットフォームは絶えず適応しているので、クラウドの現状、ユースケース、脅威について知見が得られます。私たちは当初、クラウドアイデンティティとアイデンティティガバナンスのニーズの解決を重視していましたが、このソリューションのクラウドセキュリティ態勢管理の機能は思いがけないメリットであり、今後どのように前進するかという戦略にうまく適合します」
「当面は、Ermetic (現 Tenable Cloud Security) をセキュリティスキャンの基本とし、その結果に基づいてより的確に対応することを目指しています。当社では Ermetic (現 Tenable Cloud Security) を日常の業務プロセスにさらに緊密に統合していく予定です。具体的には、より多くのチケット発行を通じてポリシー修正に関する推奨事項を統合し、このソリューションを変革のためのプラットフォームとして推進していきます。SOC などさまざまなチームにチケットを送信して、それぞれのチームが担当領域のセキュリティを管理できるようにしたいと考えています」
「また、PDCA サイクル (計画-実行-評価-対策の継続的改善、現在 ISO 27001:2013 の要件) に当ソリューションのインサイトを導入することも目指しています。つまり、Ermetic (現 Tenable Cloud Security) を使用して権限を減らし、過剰に権限が付与されたプロビジョニングを抑制し、完了までを確認するつもりです。特権アカウントを閉鎖したり、あるロールに過剰な権限が付与されているという理由でロールを分割したりすると、変化がもたらされます。この完全な PDCA チェーンを配置し、Ermetic (現 Tenable Cloud Security) を使用して実行する予定です 」
まとめ
Pfau 氏は次のように総括しました。「私からのアドバイスは、Ermetic (現 Tenable Cloud Security) が間違いを見つけたり、何かがうまくできていないことやリスクが高いことを伝えたりしても恐れないようにということです。このようなツールは反復化を加速させるので、素早く学習し、異なる視点を得るのに役立ちます。In the fast-changing cloud platform world you need feedback loops that are internal and external – mirrors reflecting what you’re doing. [Tenable Cloud Security] provides an external feedback loop with fast insight that you can use to accelerate remediation and make incremental security improvements.
「最終的には (Tenable Cloud Security により) 透明性が確保されるため、クラウドインフラとリソースのリスク、そのリスクに対する対処方法について把握できるのです。2 回クリックするだけで実際に何が起きているのかを確認し行動に移せるということが、当社にとって大きな価値をもたらしています」
- Active Directory
- Cloud
- Compliance
- Tenable Cloud Security