Forescout Case Study - Web Hero

Forescout vertraut auf Chainguard, um die FedRAMP High-Compliance zu beschleunigen, ohne die Entwicklung auszubremsen

Die Herausforderung

Für das hochspezialisierte DevOps- und CloudOps-Team von Forescout war die CVE-Behebung ein Kampf gegen Windmühlen. Es verschlang wertvolle Entwicklungszeit, die besser in die Innovation der Kernplattform hätte investiert werden können, und die Herausforderung verschärfte sich durch das Streben nach der FedRAMP High-Autorisierung nur noch weiter. Wie Justin Foster, CTO bei Forescout, es ausdrückte: „Der Bundessektor ist für Forescout sehr wichtig, und da viele unserer neuen Produkte in unserer Forescout Cloud SaaS angesiedelt sind, ist die Erschließung von weiterem Spitzenwachstum durch FedRAMP unerlässlich.“

Doch das Erstellen und Warten gehärteter, FIPS-konformer Container-Images, die manuelle Behebung von CVEs auf Betriebssystemebene und das Einhalten der FedRAMP-Zeitpläne für Schwachstellen hätten mehrere Vollzeit-Ingenieure erfordert, die Forescout schlichtweg nicht hatte.

Die Lösung

Forescout benötigte einen Partner mit zwei Dingen: einem breiten Katalog an Container-Images und einer nachgewiesenen Erfolgsbilanz bei deren Aktualisierung. Chainguard hatte beides – und das Team, um dies zu unterstützen.

Nach dem Testen einiger Images stellte das Team fest, dass die Migration unkompliziert war, nicht viel Arbeit bedeutete und dass das Aufbauen auf Chainguard dazu beitrug, bewährte Branchenpraktiken konsistenter anzuwenden. Der erste Proof of Concept war in einer Woche abgeschlossen, und innerhalb weniger Wochen hatte Forescout seine gesamte Container-Flotte auf Chainguard migriert.

Heute ist Chainguard fest in den Standard-Build- und Deployment-Workflow von Forescout integriert: Anwendungsteams nutzen Chainguard-Basis-Images als Grundlage, während CloudOps und DevOps für die CI/CD-Integration, die Image-Promotion und das Schwachstellen-Scanning verantwortlich sind. Images werden zuerst in der kommerziellen Cloud validiert, dann werden dieselben gehärteten Artefakte in die FedRAMP-Umgebung befördert.

„Chainguard war am einfachsten in der Zusammenarbeit, hatte die aktuellsten Images für das, wonach wir suchten, und hat mit uns zusammengearbeitet, um sicherzustellen, dass unsere benutzerdefinierten Images funktionieren.“
BRENDAN JOHNSON, DIREKTOR FÜR ARCHITEKTUR, FORESCOUT

Die Ergebnisse

FedRAMP High-Autorisierung in unter 12 Monaten

Forescout schloss seine FedRAMP High ATO vom Projektstart bis zur Autorisierung in unter 12 Monaten ab. Wie Brendan Johnson, Director of Architecture bei Forescout, erklärte, hätten wir ohne Chainguard „weiterhin unsere eigenen gehärteten, FIPS-konformen Container-Images bauen und warten, CVEs auf Betriebssystemebene manuell beheben und mehrere Ingenieure abstellen müssen, nur um mit den FedRAMP-Zeitplänen für Schwachstellen Schritt zu halten.“

Nachdem diese Last genommen war, konnten sich die Entwicklungsteams von Forescout wieder auf die Bereitstellung von Produkten konzentrieren.

„Das Erreichen und Aufrechterhalten von FedRAMP hätte wahrscheinlich viel länger gedauert und das Gesamtprogramm weitaus mehr gekostet, um das zu erreichen, was Chainguard bietet.“
BRENDAN JOHNSON, DIREKTOR FÜR ARCHITEKTUR, FORESCOUT

Compliance-Standards förderten ein skalierbares Bereitstellungsmodell

Die Einführung von Chainguard hatte einen Effekt, den das Team nicht vollständig vorhergesehen hatte: Es wurde zum Katalysator für die Standardisierung im gesamten Unternehmen: dieselben Basis-Images, Java-Versionen und Laufzeitumgebungen für jede Anwendung. Diese Konsistenz machte FedRAMP von einer einmaligen Ausnahme zu einem Teil des normalen Bereitstellungsmodells, ohne dabei an Geschwindigkeit oder Zuverlässigkeit einzubüßen.

Es schuf auch eine bessere Grundlage für laufende Audit-Arbeiten. Mit gehärteten, konsistenten Images in kommerziellen und föderalen Umgebungen verringerte sich der Reibungsaufwand bei Audits. Die Skalierung in regulierte Bundesmärkte wurde zu etwas, das die Technik unterstützen konnte, ohne jedes Mal die Arbeit unterbrechen zu müssen, um parallele Infrastrukturen aufzubauen.

„Anstatt FedRAMP als einmalige Ausnahme zu behandeln, die die Entwicklung verlangsamte, konnten wir Compliance zu einem Teil unseres normalen Bereitstellungsmodells machen und dabei gleichzeitig die Produktgeschwindigkeit und Zuverlässigkeit beibehalten.“
BRENDAN JOHNSON, DIREKTOR FÜR ARCHITEKTUR, FORESCOUT

Eine neue Beziehung zu Open Source

Vor Chainguard waren Open-Source-Artefakte etwas, das Forescout härten und verteidigen musste. Jedes Basis-Image, jede Bibliothek und jede Laufzeitumgebung barg das Risiko von nicht verwalteten CVEs oder nicht FIPS-konformer Kryptografie – Risiken, die das Team selbst verfolgen und beheben musste. Jetzt starten die Teams von einer vertrauenswürdigen, gut gewarteten Grundlage aus, bei der eine defensive Haltung bereits integriert ist.

Dieser Wandel steht im direkten Einklang mit der Art und Weise, wie Forescout aufgebaut ist: Defense-in-Depth, sichere Standardeinstellungen und kontinuierliche Risikoreduzierung auf jeder Ebene. Chainguard stärkt alle drei Aspekte, noch bevor eine Anwendung jemals bereitgestellt wird.

„Chainguard hat es uns ermöglicht, unseren Weg zur FedRAMP High-Zertifizierung zu beschleunigen, indem eine wesentliche Quelle für Reibungsverluste bei Sicherheit und Compliance beseitigt wurde. Durch die Bereitstellung einer vertrauenswürdigen, gehärteten Container-Grundlage können sich unsere Teams auf die Bereitstellung von Produktmehrwert konzentrieren, anstatt kontinuierlich dieselbe Sicherheitsinfrastruktur neu aufzubauen und zu verteidigen.“
BRENDAN JOHNSON, DIREKTOR FÜR ARCHITEKTUR, FORESCOUT
Diesen Artikel teilen

Forescout vertraut auf Chainguard, um die FedRAMP High-Compliance zu beschleunigen, ohne die Entwicklung auszubremsen

Befehl ausführenCG-Systemaufforderung

$ chainguard learn --more

Kontaktieren Sie uns