Die Herausforderung

Asana betreibt eine große, containerisierte AWS-Umgebung, die auf einem zwei Jahrzehnte alten Technologie-Stack basiert, der schrittweise von einer Legacy-Infrastruktur migriert wurde. Das Team verlässt sich stark auf den Amazon Elastic Kubernetes Service (EKS) und eine breite Palette an öffentlichen Basis-Images von Drittanbietern und nutzt AWS Inspector, um EKS-Workloads auf Schwachstellen zu scannen.

Da diese Basis-Images von Drittanbietern mit unterschiedlicher Qualität und Häufigkeit gewartet wurden, erzeugten die Schwachstellen-Scans von AWS Inspector extrem verrauschte Ergebnisse, was zu einem schlechten Signal-Rausch-Verhältnis in der gesamten AWS-Umgebung führte. Wie Kyle Ip, Security Software Engineer bei Asana, es ausdrückte: „Die Scan-Ergebnisse von Inspector waren extrem verrauscht, was es schwierig machte, zu bestimmen, was wirklich wichtig war und was priorisiert werden musste. Unser Sicherheitsteam musste jeden Befund manuell überprüfen, triagieren und beheben, was einen erheblichen operativen Aufwand verursachte.“

Das Volumen der Befunde machte das Schwachstellenmanagement zu einem Compliance-Engpass. Für Audits wie SOC 2, ISO und FedRAMP musste das Team Schwachstellen manuell nachverfolgen und darüber berichten, wobei zeitweise eine Tabellenkalkulation mit über 100.000 Zeilen verwaltet wurde. Dieser Aufwand hielt die Ingenieure von wirkungsvolleren Sicherheitsaufgaben und der Feature-Entwicklung ab und schränkte ihre Fähigkeit ein, sich auf den Aufbau von Systemen zu konzentrieren, die standardmäßig sicher sind.

Der Wendepunkt kam, als Asana begann, die FedRAMP-Zertifizierung anzustreben, um künftige Geschäfte mit Bundesbehörden zu ermöglichen. Als das Team den Arbeitsaufwand berechnete, der erforderlich war, um die bundesweiten Standards für Schwachstellenmanagement und Dokumentation mit ihrem bestehenden Ansatz zu erfüllen, stellten sie fest, dass die Einstellung von zwei Vollzeit-Ingenieuren erforderlich wäre, die sich ausschließlich dieser Aufgabe widmen. In diesem Ausmaß war das Schwachstellenmanagement nicht mehr nur ein Workflow-Problem; es war ein Hindernis für FedRAMP und den Zugang zum Markt für Bundesbehörden.

Als Lösung

prüfte Asana die Einstellung zusätzlicher Ingenieure, alternative Anbieter von gehärteten Images sowie Chainguard-Container. Letztendlich entschied sich das Team für Chainguard und nutzte den AWS Marketplace, um die Beschaffung zu rationalisieren und eine nahtlose Integration in ihre Amazon-EKS-Umgebung zu ermöglichen. Asana vertraute auf die breite Abdeckung der Basis-Images von Chainguard und die Gewissheit, dass neue Container-Images und Varianten auch bei der Weiterentwicklung der Unternehmensanforderungen weiterhin unterstützt würden.

Sobald die Integration in die automatisierten CI/CD-Pipelines und Build-Tools von Asana sowie die Image-Synchronisierung mit der Amazon Elastic Container Registry (ECR) etabliert war, beschleunigte sich der Rollout der Chainguard-Container-Images erheblich. Die CI/CD-Automatisierung übernahm die Image-Validierung, das Scannen auf Schwachstellen und die Promotion-Workflows, wodurch konsistente und richtlinienkonforme Builds über alle Umgebungen hinweg sichergestellt wurden.

Innerhalb von sechs Monaten stieg die Abdeckung mit Chainguard-Basis-Images in der Bundesumgebung von Asana von null auf 99 %. Dies beinhaltete die Einführung von FIPS-konformen Images, was dazu beitrug, die strengen Sicherheits- und Compliance-Standards des Bundes zu erfüllen. Die OpenSSL-Implementierung von Chainguard ermöglichte eine schnelle Behebung von Sicherheitslücken und gewährleistete eine schnellere Bereitstellung von gepatchten und validierten Komponenten. Infolgedessen war Asana in der Lage, neue FIPS-validierte Images termingerecht bereitzustellen und die Compliance aufrechtzuerhalten, ohne die Bereitstellungsgeschwindigkeit zu beeinträchtigen.

Die Ergebnisse

Reduzierung von Schwachstellen in großem Umfang

Die unmittelbarste Auswirkung der Implementierung von Chainguard Containers bei Asana war eine drastische Reduzierung der Schwachstellen. Nach der Standardisierung auf Chainguard-Basis-Images sank die Anzahl der Schwachstellen in der FedRAMP-Tracking-Tabelle des Teams um 99,8 %. Dieser Wandel verwandelte das Schwachstellenmanagement von einem überwältigenden, manuellen Prozess in einen fokussierten, handhabbaren Prozess. Da weniger anfällige Basis-Images in Amazon EKS ausgeführt wurden, wurden die Ergebnisse von AWS Inspector deutlich aussagekräftiger. Die Audit-Vorbereitung für SOC 2, ISO und FedRAMP wurde erheblich einfacher, da weit weniger Zeit für das Sammeln von Nachweisen und das Triagieren von irrelevanten Scan-Ergebnissen aufgewendet werden musste.

Und mit der Reduzierung des mühsamen Engineering-Aufwands ging eine spürbare Auswirkung auf die Arbeitsmoral einher. Anstatt ständig auf irrelevante Befunde zu reagieren, können sich die Ingenieure nun auf den Aufbau von standardmäßig sicheren Systemen konzentrieren und langfristige Sicherheitsverbesserungen vorantreiben.

FedRAMP-Ermöglichung und Marktexpansion

Chainguard spielte eine entscheidende Rolle dabei, FedRAMP in der Größenordnung von Asana realisierbar zu machen. Wie Kyle mitteilte: „Die FedRAMP-Akkreditierung wäre ohne eine Lösung wie Chainguard nicht möglich gewesen.“ Die Erlangung der FedRAMP-Zertifizierung versetzt Asana in die Lage, US-Regierungskunden zu bedienen und in hochregulierten Umgebungen wettbewerbsfähig zu sein, wodurch der adressierbare Markt von Asana erweitert und sein umfassenderes Engagement für Sicherheit auf Enterprise-Niveau in großem Maßstab bekräftigt wird.

Mit Chainguard hat Asana das Schwachstellenmanagement von einer Compliance-Last in einen skalierbaren Sicherheitsvorteil verwandelt.