Forescout Case Study - Web Hero

Forescout fait confiance à Chainguard pour accélérer sa conformité FedRAMP High sans ralentir son ingénierie

Le défi

Pour l'équipe DevOps et CloudOps hautement spécialisée de Forescout, la remédiation des CVE était un véritable calvaire quotidien. Cela consommait de précieuses heures d'ingénierie qui auraient été mieux investies dans l'innovation de la plateforme principale, et le défi s'est intensifié avec la poursuite de l'autorisation FedRAMP High. Comme l'a souligné Justin Foster, CTO chez Forescout : « Le secteur fédéral est très important pour Forescout, et comme beaucoup de nos nouveaux produits font partie de notre offre Forescout Cloud SaaS, débloquer une croissance haut de gamme grâce à FedRAMP est essentiel. »

Mais construire et maintenir des images de conteneurs durcies et conformes à la norme FIPS, remédier manuellement aux CVE au niveau du système d'exploitation et suivre les délais de vulnérabilité de FedRAMP aurait nécessité plusieurs ingénieurs à temps plein que Forescout n'avait tout simplement pas.

La solution

Forescout avait besoin d'un partenaire possédant deux atouts : un large catalogue d'images de conteneurs et une expérience avérée dans leur mise à jour. Chainguard possédait les deux, ainsi que l'équipe pour les soutenir.

Après avoir testé quelques images, l'équipe a trouvé la migration simple, a réalisé qu'elle ne demandait pas beaucoup de travail et que s'appuyer sur Chainguard aidait à appliquer les meilleures pratiques de l'industrie de manière plus cohérente à tous les niveaux. La preuve de concept initiale a été bouclée en une semaine, et en quelques semaines, Forescout avait migré l'ensemble de son parc de conteneurs vers Chainguard.

Aujourd'hui, Chainguard est intégré au flux de travail standard de construction et de déploiement de Forescout : les équipes d'application utilisent les images de base de Chainguard comme fondation, tandis que CloudOps et DevOps gèrent l'intégration CI/CD, la promotion des images et l'analyse des vulnérabilités. Les images sont d'abord validées dans le cloud commercial, puis les mêmes artefacts durcis sont promus dans l'environnement FedRAMP.

« Chainguard a été l'entreprise avec laquelle il a été le plus facile de travailler, elle disposait des images les plus récentes pour ce que nous recherchions et a collaboré avec nous pour s'assurer que nos images personnalisées fonctionneraient. »
BRENDAN JOHNSON, DIRECTEUR DE L'ARCHITECTURE, FORESCOUT

Les résultats

Autorisation FedRAMP High en moins de 12 mois

Forescout a obtenu son ATO (Authorization to Operate) FedRAMP High, du lancement du projet à l'autorisation, en moins de 12 mois. Comme l'a expliqué Brendan Johnson, directeur de l'architecture chez Forescout, sans Chainguard, « nous aurions dû continuer à construire et à maintenir nos propres images de conteneurs durcies et conformes à la norme FIPS, à remédier manuellement aux CVE au niveau du système d'exploitation et à dédier plusieurs ingénieurs uniquement pour suivre les délais de vulnérabilité de FedRAMP. »

Une fois ce fardeau levé, les équipes d'ingénierie de Forescout ont pu rester concentrées sur la livraison des produits.

« Obtenir et maintenir la conformité FedRAMP aurait probablement pris beaucoup plus de temps et coûté beaucoup, beaucoup plus cher à l'ensemble du programme pour couvrir ce que Chainguard propose. »
BRENDAN JOHNSON, DIRECTEUR DE L'ARCHITECTURE, FORESCOUT

Les normes de conformité ont favorisé un modèle de livraison évolutif

L'adoption de Chainguard a eu un effet que l'équipe n'avait pas pleinement anticipé : il est devenu le catalyseur de la standardisation dans toute l'organisation d'ingénierie : les mêmes images de base, versions Java et environnements d'exécution pour chaque application. Cette cohérence a transformé FedRAMP d'une exception ponctuelle en une partie intégrante du modèle de livraison normal, sans sacrifier la vitesse ni la fiabilité.

Cela a également créé une meilleure base pour les travaux d'audit en cours. Avec des images durcies et cohérentes dans les environnements commerciaux et fédéraux, les frictions liées aux audits ont diminué. L'expansion vers les marchés fédéraux réglementés est devenue une chose que l'ingénierie pouvait soutenir sans avoir à s'arrêter pour construire une infrastructure parallèle à chaque fois.

« Au lieu de traiter FedRAMP comme une exception ponctuelle qui ralentissait l'ingénierie, nous avons pu intégrer la conformité à notre modèle de livraison habituel tout en maintenant la vélocité et la fiabilité du produit. »
BRENDAN JOHNSON, DIRECTEUR DE L'ARCHITECTURE, FORESCOUT

Une nouvelle relation avec l'open source

Avant Chainguard, les artefacts open source étaient quelque chose que Forescout devait durcir et défendre. Chaque image de base, bibliothèque et environnement d'exécution comportait le risque de CVE non gérées ou d'une cryptographie non conforme à la norme FIPS, des risques que l'équipe devait suivre et corriger elle-même. Désormais, les équipes partent d'une base fiable et bien entretenue, avec une posture défensive déjà en place.

Ce changement s'aligne directement sur la façon dont Forescout est construit : défense en profondeur, paramètres de sécurité par défaut et réduction continue des risques à chaque couche. Chainguard renforce ces trois aspects avant même qu'une application ne soit déployée.

« Chainguard nous a permis d'accélérer notre parcours vers la certification FedRAMP High en éliminant une source majeure de frictions liées à la sécurité et à la conformité. En nous fournissant une base de conteneurs fiable et renforcée, cela permet à nos équipes de se concentrer sur la création de valeur produit plutôt que de reconstruire et de défendre continuellement la même infrastructure de sécurité. »
BRENDAN JOHNSON, DIRECTEUR DE L'ARCHITECTURE, FORESCOUT
Partagez cet article

Forescout fait confiance à Chainguard pour accélérer sa conformité FedRAMP High sans ralentir son ingénierie

Exécuter la commandeInvite du système CG

$ chainguard learn --more

Contactez-nous