Le défi

Asana exploite un environnement AWS conteneurisé de grande envergure, construit sur une pile technologique vieille de deux décennies qui a progressivement migré à partir d'une infrastructure héritée. L'équipe s'appuie fortement sur Amazon Elastic Kubernetes Service (EKS) et sur un large éventail d'images de base publiques tierces, en utilisant AWS Inspector pour analyser les charges de travail EKS à la recherche de vulnérabilités.

Comme ces images de base tierces étaient maintenues à des niveaux de qualité et de fréquence variables, les analyses de vulnérabilité effectuées par AWS Inspector produisaient des résultats extrêmement bruyants, ce qui se traduisait par un mauvais rapport signal/bruit dans l'ensemble de son environnement AWS. Comme l'explique Kyle Ip, ingénieur logiciel en sécurité chez Asana, "les résultats des analyses de l'inspecteur étaient extrêmement bruyants, ce qui rendait difficile la détermination de ce qui était réellement important et de ce qu'il fallait prioriser. Notre équipe de sécurité devait examiner, trier et remédier manuellement à chaque découverte, ce qui entraînait une surcharge opérationnelle importante."

Le volume de résultats a transformé la gestion des vulnérabilités en un goulot d'étranglement pour la conformité. Pour les audits tels que SOC 2, ISO et FedRAMP, l'équipe a dû suivre et rapporter manuellement les vulnérabilités, gérant à un moment donné une feuille de calcul de plus de 100 000 lignes. Ces efforts ont détourné les ingénieurs des travaux de sécurité à plus fort impact et du développement de fonctionnalités, limitant ainsi leur capacité à se concentrer sur la création de systèmes sécurisés par défaut.

Le point d'inflexion s'est produit lorsqu'Asana a commencé à demander l'autorisation FedRAMP pour débloquer de futures affaires avec les agences fédérales. Lorsque l'équipe a calculé le travail nécessaire pour répondre aux normes fédérales en matière de gestion des vulnérabilités et de documentation dans le cadre de son approche existante, elle a déterminé qu'il faudrait embaucher deux ingénieurs à temps plein qui se consacreraient uniquement à cet effort. À cette échelle, la gestion de la vulnérabilité n'était plus seulement un problème de flux de travail, mais un obstacle à FedRAMP et à l'accès au marché fédéral.

La solution

proposée par Asana consistait à recruter des ingénieurs supplémentaires, à faire appel à d'autres fournisseurs d'images renforcées et à choisir Chainguard Containers. Finalement, l'équipe a choisi Chainguard, en s'appuyant sur AWS Marketplace pour rationaliser l'approvisionnement et s'intégrer de manière transparente à leur environnement Amazon EKS. Asana avait confiance dans la large couverture d'images de base de Chainguard et dans l'assurance que de nouvelles images et variantes de conteneurs continueraient d'être prises en charge au fur et à mesure de l'évolution des besoins de l'entreprise.

Une fois que l'intégration avec les pipelines CI/CD automatisés et les outils de construction d'Asana a été établie, ainsi que la synchronisation des images avec Amazon Elastic Container Registry (ECR), le déploiement des images de conteneurs Chainguard s'est considérablement accéléré. L'automatisation CI/CD a pris en charge la validation des images, l'analyse des vulnérabilités et les flux de travail de promotion, garantissant ainsi des constructions cohérentes et conformes aux politiques dans tous les environnements.

En l'espace de six mois, l'environnement fédéral d'Asana est passé de zéro à 99 % de couverture des images de base Chainguard. Cela comprenait l'adoption d'images conformes à la norme FIPS, ce qui a permis de respecter les normes fédérales strictes en matière de sécurité et de conformité. La mise en œuvre d'OpenSSL par Chainguard a permis d'atténuer rapidement les vulnérabilités de sécurité et de garantir une livraison plus rapide des composants corrigés et validés. En conséquence, Asana a été en mesure de fournir de nouvelles images validées FIPS dans les délais, en maintenant la conformité sans compromettre la vitesse de déploiement.

Les résultats

Réduction des vulnérabilités à grande échelle

L'impact le plus immédiat de la mise en œuvre de Chainguard Containers par Asana a été une réduction spectaculaire des vulnérabilités. Après avoir standardisé les images de base Chainguard, le nombre de vulnérabilités dans le tableau de suivi FedRAMP de l'équipe a chuté de 99,8 %. Ce changement a transformé la gestion des vulnérabilités d'un processus manuel écrasant en un processus ciblé et gérable. Avec moins d'images de base vulnérables exécutées dans Amazon EKS, les conclusions de l'inspecteur AWS sont devenues nettement plus exploitables. La préparation des audits pour SOC 2, ISO et FedRAMP est devenue beaucoup plus facile, avec beaucoup moins de temps passé à rassembler des preuves et à trier les résultats d'analyse bruyants.

La réduction du travail des ingénieurs s'est accompagnée d'un réel impact sur le moral des troupes. Au lieu de réagir constamment à des résultats bruyants, les ingénieurs peuvent désormais se concentrer sur la construction de systèmes sécurisés par défaut et sur l'amélioration de la sécurité à long terme.

Mise en œuvre de FedRAMP et expansion du marché

Chainguard a joué un rôle essentiel en rendant FedRAMP réalisable à l'échelle d'Asana. Comme le dit Kyle, "l'accréditation FedRAMP n'aurait pas été possible sans une solution comme Chainguard". L'obtention du FedRAMP positionne Asana pour servir les clients du gouvernement américain et rivaliser dans des environnements hautement réglementés, en élargissant le marché adressable d'Asana et en renforçant son engagement plus large à opérer avec une sécurité de niveau entreprise à l'échelle.

Avec Chainguard, Asana a transformé la gestion des vulnérabilités d'un fardeau de conformité en un avantage de sécurité évolutif.