Größe: 400+ Mitarbeiter
Industrie: Technologie
Standort: New York, New York
Kunde seit: 2016
Datadog bietet eine Überwachungsplattform, mit der Teams sicherstellen können, dass ihre Cloud-Anwendungen das bestmögliche Benutzererlebnis bieten. Um dies zu erreichen, setzt Datadog auch auf DevOps und arbeitet agil, um ständig Innovationen zu entwickeln und seinen Kunden schnell neue Funktionen und Verbesserungen bereitzustellen.
Dieser DevOps-Ansatz bedeutet, dass die Datadog-Ingenieure häufige Updates an der Infrastruktur vornehmen, was bei dem Sicherheitsteam zu Besorgnis führen kann, wenn die Ingenieure nicht eng mit ihnen zusammenarbeiten. Um Missverständnisse zu vermeiden und sicherzustellen, dass die Releases über integrierte Sicherheit verfügen, bezieht Datadog sein Sicherheitsteam während der Entwicklung mit ein. Tatsächlich steht Datadog an der Spitze eines wachsenden Trends namens DevSecOps.
Im August 2016 übernahm das Unternehmen PagerDuty als integralen Bestandteil seiner digitales Betriebsmanagement. Heute Datadog nutzt PagerDuty nicht nur , um Engineering-Teams bei der Geschäftskontinuität und Notfallwiederherstellung (BC/DR) zu unterstützen, sondern auch, um sein Informationssicherheitsteam über Ereignisse zu benachrichtigen, die eine sofortige Reaktion erfordern.
Einführung eines neuen Ansatzes zur Skalierung der Sicherheit
Datadog ist eine agile, betriebsorientierte Organisation mit Hunderten von Ingenieuren auf der ganzen Welt. In vielen Organisationen sind Informationssicherheitsteams typischerweise von den übrigen Entwicklungsteams isoliert, was aufgrund von Validierungsprozessen während Sicherheitscodeüberprüfungen häufig zu Verzögerungen bei der Produktionsfreigabe führen kann. Aber Datadog wusste, dass dieser Ansatz aufgegeben werden musste. „Sicherheit würde nicht funktionieren, wenn sie außerhalb der Entwicklungsorganisation angesiedelt wäre und man nur versuchen würde, einzuspringen, wenn etwas schief läuft“, erklärte Andrew Becherer, Chief Security Officer von Datadog.
Datadog sieht Sicherheit als einen weiteren Qualitätsaspekt und integriert deshalb seine Sicherheits- und Entwicklungsfunktionen in die gesamte Organisation. „Es ist die Pflicht der Sicherheitsabteilung, dieselben Tools und Methoden zu verwenden und dieselben Technologien einzusetzen, um die Probleme zu lösen, mit denen die restliche Entwicklungsorganisation konfrontiert ist“, so Becherer.
Im weiteren Sinne verfolgt das Sicherheitsteam von Datadog beim Schwachstellenmanagement Probleme auf die gleiche Weise wie seine Entwicklerteams, und Sicherheitswarnungen und -reaktionen folgen einem ähnlichen Workflow wie bei anderen Teams innerhalb von Datadog. „Es ist ungewöhnlich, dass Sicherheitsteams in anderen Unternehmen PagerDuty in dem Umfang verwenden, in dem wir es verwenden“, sagte Becherer.
Validieren von Codeänderungen bei Amazon Web Services (AWS)
Datadog ist vollständig Cloud-basiert und nutzt eine Reihe von AWS-Services zum Ausführen von Code. Mit über 15 AWS-Konten, um alles von der Staging- bis zur Produktion zu verwalten, kann es ziemlich komplex werden, den Überblick über autorisierte Codeänderungen zu behalten. Zur Validierung von Änderungen nutzt Datadog ChatOps und integriert Slack, Duo Security und PagerDuty. Wenn ein Entwickler eine potenziell gefährliche Änderung an AWS vornimmt, sendet das Sicherheitsteam eine Slack-Nachricht an den Entwickler, um die Aktion zu validieren. Der Entwickler bestätigt den Code-Push über Slack und durch eine Zwei-Faktor-Authentifizierung von Duo. Wenn der Entwickler nicht rechtzeitig antwortet oder die Code-Änderung nicht bestätigt, sendet PagerDuty eine Warnung an das Sicherheitsteam, um die Reaktion zu eskalieren. Wenn eine Änderung eine bestimmte Risikoschwelle überschreitet, wird entweder das Sicherheitsteam sofort über PagerDuty benachrichtigt oder die automatisierte AWS-Konfigurationsverwaltungslogik setzt die Änderung in einen vertrauenswürdigen Zustand zurück.
Kurz gesagt: Entwickler nehmen ständig Änderungen an jeder AWS-Instanz vor, aber es liegt am Sicherheitsteam, zu bestimmen, ob Änderungen bei zig Milliarden API-Aufrufen pro Jahr auf AWS autorisiert sind oder nicht.
„Die Sicherheit muss bei der Lösung der Probleme, mit denen die restliche Entwicklungsorganisation konfrontiert ist, dieselben Werkzeuge und Methoden verwenden und dieselben Technologien einsetzen.“
– Andrew Becherer, Leitender Sicherheitsbeauftragter, Datadog
Agile Sicherheit und Entwicklung mit PagerDuty ermöglichen
Wie andere Unternehmen ist auch die Sicherheitsabteilung von Datadog sehr besorgt über die Zeit, die zur Behebung von Sicherheitslücken benötigt wird. Anstatt Auditprotokolle durchforsten zu müssen, um zu verstehen, was passiert ist, verbindet Datadog seine Entwicklerteams so schnell wie möglich mit der Sicherheit. Durch den Einsatz von PagerDuty konnte Datadog die Gesamtzeit, die zur Behebung solcher Probleme benötigt wird, reduzieren.
PagerDuty bietet Entwicklern und Ingenieuren außerdem Einblick in Sicherheitsvorfälle, sodass sie unmittelbares Feedback zu ihren Aktionen erhalten können, wenn das Sicherheitsteam diese als riskant einstuft. „Entwickler versuchen, ein Problem zu lösen, und nehmen eine Änderung vor [um dieses Problem zu beheben]“, erklärte Becherer. „Man möchte in diesem Moment so schnell wie möglich Feedback geben, denn sie werden [gleich nach der Änderung] zu etwas völlig anderem übergehen.“
Bei einem kürzlichen Sicherheitsvorfall beispielsweise hat PagerDuty ein Sicherheitsproblem schnell eskaliert, das auftrat, als ein Vertriebsmitarbeiter von Datadog eine Demo vorführen wollte. „Dank PagerDuty konnten wir innerhalb von Minuten einen Sicherheitsingenieur mit unseren Ingenieuren verbinden“, berichtet Becherer. „Das ist Gold wert. Da müssen wir hin.“