Woven by Toyota, Inc. (anciennement Woven Planet Holdings, Inc.) est un mélange d’expertise et de ressources soigneusement conçu pour donner vie à la vision de « La mobilité pour aimer, de la sécurité pour vivre ». Avec trois sociétés d'exploitation qui se concentrent sur les avancées technologiques dans le domaine de la conduite automatisée, Woven a cherché à normaliser sa sécurité, sa conformité et sa surveillance afin d'assurer une gouvernance infonuagique cohérente au niveau de l'organisation.
Basée à Tokyo, Woven est tourné vers l'équipe de conseil et de services gérés AWS de NTT DATA pour mettre en œuvre une base infonuagique sécurisée. Avec des règles de sécurité et opérationnelles intégrées pour une normalisation à l’échelle de l’organisation, la nouvelle infrastructure contribue à rationaliser l’innovation.
Besoins commerciaux
Woven by Toyota, Inc. (anciennement Woven Planet Holdings, Inc.) représente un mélange soigneusement sélectionné d'expertise et de ressources dédiées à la concrétisation de la vision « de la mobilité pour aimer, de la sécurité pour vivre ». Testé compte trois sociétés d'exploitation, gratuitement, qui se consacrent à la réalisation d'avancées technologiques dans le domaine de la conduite automatisée, à la création de projets révolutionnaires, tels que gratuitement, tels que gratuitement, tels que Yellow City et à l'investissement dans d'entreprises innovantes en pleine croissante. Soutenir ces initiatives requiert une infrastructure solide qui rationalise le processus d'innovation.
Testé s'appuie sur les services Web d'Amazon (AWS) pour sa base technologique et sur les équipes AWS expérimentées de NTT DATA pour l'aider dans la gestion et l'amélioration des performances. Avec de nombreux comptes AWS déployés dans le cadre d'une solution de libre-service interne, l'ensemble de l'organisation peut utiliser des comptes automatisés, ce qui lui permet d'innover rapidement.
Dans le cadre de ses efforts continus pour assurer la meilleure posture de sécurité possible, Woven s'appuie sur l'équipe de NTT DATA pour l'aider à renforcer ses pipelines d'infrastructure et la gouvernance du cloud, ainsi qu'à assurer une conformité continue en matière de sécurité.
Résultats
- Garantit une conformité continue à l'échelle de l'organisation
- Standardise la sécurité sur des centaines de comptes AWS
- Prend en charge le déploiement de comptes en libre-service pour les ingénieurs
- Maintient la capacité des ingénieurs à innover à la vitesse du marché
- Assure le respect des contrôles budgétaires pour gérer efficacement les coûts
Solution
Commencer par des bases sécuritaires
Les comptes AWS de Woven étant tous gérés de manière centralisée, les deux équipes ont commencé le projet en rationalisant le compte de gestion et en intégrant les meilleures pratiques de sécurité. Plus précisément, ils ont renforcé la sécurité autour des rôles AWS et des utilisateurs de gestion des identités et des accès (IAM). Conformément au principe du moindre privilège, les équipes veillent à ce que le système n'accorde que les accès et autorisations nécessaires au compte de gestion. Ce processus permet également de réduire le nombre de permissions escaladées.
En outre, les équipes ont construit une structure d’intégration continue et de déploiement continu (CI/CD) hautement sécurisée à l’aide d’AWS CodePipelineIl suit un modèle de menace que Woven a identifié et utilise pour contrer les compromissions potentielles du système interne en fournissant en toute sécurité des ressources dans le compte de gestion.
Redéfinir les unités organisationnelles pour une sécurité accrue
En plus des approches technologiques à la sécurité, l'équipe de sécurité de tissé a proposé et mis en place une nouvelle structure organisationnelle qui renforce la séparation entre les environnements de production, de développement et d'attente d'attente de déploiement. Cela fournit des divisions logiques supplémentaires dans la façon dont l’organisation distribue les comptes AWS.
Les équipes ont implémenté des règles de contrôle de service AWS (SCP) : des règles qui aident à gérer les autorisations, créant ainsi une sécurité de niveau limite. La nouvelle structure organisationnelle tire également parti des fonctionnalités d'AWS Organisations à même des services, tels que AWS CloudTrail, AWS Config et AWS Formation StackSets.
Ces fonctionnalités agissent comme un catalyseur pour automatiser et déployer des contrôles centralisés avec des coûts de production moindres puisqu'elles fournissent un cadre simple, sécurisé et efficace. Cela permet ensuite aux ingénieurs de l'équipe de se connecter aux différents pipelines d'automatisation. Par exemple, l'équipe peut désormais déployer des ensembles de paramètres au sein de l'organisation ou à un sous-ensemble de l'unité organisationnelle en utilisant le service de modèle de modèle de déploiement géré d'AWS CloudFormation comme partie intégrante de son ensemble de fonctionnalité entrepreneuriale.
Assurer une conformité continue
Une fois les meilleures pratiques établies, la phase suivante du projet consiste à définir et à développer des pipelines CI/CD sécurisés, notamment :
- Un pipeline de compte de gestion pour le déploiement de l'infrastructure en tant que code (IaC) pour le compte de gestion AWS.
- Les pipelines SCP pour déployer des SCP d'AWS vers le compte de gestion : l'équipe a également développé un pipeline SCP pour la livraison et les tests des SCP avant leur déploiement à l'aide d'un outil de simulation fourni par AWS nommé simulateur de stratégie IAM AWS.
- Les pipelines StackSets qui déploient IaC des ensembles de paramètres au compte de gestion. L'équipe fournit des solutions internes sécurisées sous forme d'ensembles de paramètres utilisant un pipeline StackSets. StackSets est un service basé sur la structure infonuagique d'AWS qui permet de déployer des ensembles sur plusieurs comptes et unités organisationnelles de front pour certaines régions définies. Par exemple, l'équipe livre un système qui assure que tous les compartiments Amazon Simple Storage Service (Amazon S3) au sein de l'organisation sont protégés à l'aide des paramètres d'accès aux blocs publics Amazon S3. Ce système garantit que les paramètres d'accès aux blocs publics d'Amazon S3 sont conformes à la norme de l'organisation, ce qui réduit la probabilité d'une faille de sécurité des compartiments Amazon S3.
Avec la création de pipelines, les équipes ont porté leur attention sur le maintien de la conformité de sécurité continue avec les SCP et les packs de conformité déployés sous forme de jeux de piles. (Un pack de conformité est un ensemble de règles de configuration AWS et d’actions de correction, déployables en tant qu’entité unique dans un compte ou au sein d’organisations AWS.)
Avec des centaines de comptes AWS, il est important de garantir la sécurité des ressources déployées dans les organisations AWS. Pour ce faire, les équipes définissent les normes de sécurité à l'aide d'AWS Config, ce qui permet à Tissé de définir des règles spécifiques. En fonction de ces règles, les équipes peuvent marquer les ressources comme conformes ou non conformes. En utilisant les lots de conformité AWS Config, NTT DATA aide à déployer plusieurs règles de configuration qui doivent être suivies pour la conformité et dans le but de garantir que les ressources déployées dans les comptes répondent bien bien aux objectifs opérationnels et de sécurité et de Wovende.
Pour s’assurer que Woven dispose d’un cadre pour déployer ces contrôles de conformité de sécurité, l’équipe a conçu un système dans lequel les règles de configuration sont déployées sous forme de packs de conformité. Les packs couvrent la conformité pour divers domaines, y compris le réseau, le cryptage, l’identité et l’accès, et la publication non sécurisée.
Étant donné que la remédiation manuelle des ressources pouvant s'avérer difficile, de nombreuses règles de configuration déployées à l'aide de packs de conformité prennent également en charge la remédiation automatique. L’équipe utilise les fonctions AWS Lambda pour effectuer la correction automatique et envoyer des notifications chaque fois qu’une ressource est identifiée comme non conforme aux règles de configuration déployées. La fonction de remédiation renforce la confiance des ingénieurs dans le système car elle corrige automatiquement de nombreux comportements de non-conformité critiques, ce qui aide à surveiller et à contrôler le taux de non-conformité.
Surveillance et Gestion de la conformité avec CloudTrail AWS
Woven utilise les paramètres AWS CloudTrail standard pour activer un journal de tous les événements sur tous les comptes de l'organisation. De cette façon, lorsqu'un nouveau compte est créé, l'équipe n'a pas besoin d'activer CloudTrail AWS séparément. Chaque fois qu’un nouveau compte de membre est ajouté, l’équipe utilise la fonctionnalité AWS Organizations pour activer automatiquement le suivi de l’organisation. Cela permet de garantir des paramètres CloudTrail AWS cohérents sur tous les comptes. Woven utilise un compartiment Amazon S3 dans un compte d’audit distinct pour gérer de manière centralisée tous les journaux AWS CloudTrail.
Pour garantir, la conformité des accès publics Amazon S3, l'équipe a déployé un verrou d'accès public Amazon S3 strict à l'aide de la structure de livraison CloudFormation AWS StackSet. Désormais, tout compte ajouté par l'organisation inclut également une solution AWS Lambda qui désactive les paramètres d'accès public d'Amazon S3 au niveau du compte. Cela permet de refuser l'accès public aux compartiments Amazon S3, en répondant de manière proactive à une préoccupation majeure de la sécurité.
Les équipes ont également travaillé ensemble pour intégrer un contrôle de conformité budgétaire. La solution permet de suivre les dépenses dans les différentes unités organisationnelles et d'envoyer une alerte lorsque le compte d'un sandbox franchit un certain seuil. Cette capacité permet à Woven de respecter en permanence les contraintes budgétaires établies. Un système de notification intégré envoie une alerte Slack personnalisée aux propriétaires de compte lorsqu’un seuil budgétaire est dépassé. Ces notifications stimulent la sensibilisation et la discipline sans interrompre l'innovation.
Avantages
Woven est désormais convaincu que les comptes AWS sont bien protégés et conformes aux objectifs opérationnels et de sécurité établis. Cette conformité continue aide Woven à assurer la normalisation au sein des organisations AWS et donne à l’entreprise un contrôle centralisé sur les meilleures pratiques de sécurité infonuagique. Woven réalise tout cela tout en responsabilisant les ingénieurs grâce à des fonctionnalités en libre-service qui leur permettent de déployer des comptes au besoin afin qu’ils puissent innover à la vitesse du marché.
À propos de Woven by Toyota, Inc.
Woven by Toyota, Inc. (anciennement Woven Planet Holdings, Inc.) est la filiale de technologie de mobilité de Toyota Motor Corporation. Il aide Toyota à développer des voitures de nouvelle génération et à réaliser une société de mobilité dans laquelle tout le monde peut se déplacer librement, avec bonheur et en toute sécurité.