广场金融服务(广场), Block的全资附属公司, 提供一套完整的商业工具和公平的贷款,让每个符合条件的企业都有梦想的融资渠道. Square与各种规模的企业合作——从大到小, 对刚刚起步的卖家进行复杂商业操作的企业规模业务, 还有一些商家开始在Square上销售商品,随着时间的推移,它们的规模越来越大. Square支持从澳大利亚到爱尔兰、加拿大到日本以及美国所有50个州的卖家.
Block云安全团队是支持Block使用云平台的任何业务线的基础单位, 包括广场. 他们负责预防控制, 无功控制, 并且为开发人员和程序员提供默认选项. 他们还创建适合许多不同用例的安全批准模块, 对团队进行行业安全标准培训, 并确保所有云平台的安全使用.
In 2019, Square的生意蒸蒸日上, 他们专注于扩展他们的AWS和GCP云足迹,以适应这种增长. 当他们这样做的时候, 区块安全团队开始面临一些关于安全可扩展性的新挑战.
云安全团队遇到的主要挑战是数量问题:因为云提供了根据需要向上和向下扩展资源的灵活性, Square的开发人员和工程师会在安全团队不知情的情况下定期启动新实例并关闭其他实例.
有了这么多的环境——以及单独的AWS和GCP控制台来查看每个云提供商的资源——安全部门在任何给定的时间都无法一致地了解正在运行的内容, 使得交付关于潜在安全风险的全面报告变得困难.
安全团队不希望他们的协议扼杀创新,但他们也不能接受不安全的配置. 云平台提供了许多解决问题和提高效率的新方法. 软件程序员, 工程师, 建筑师可以按照他们想要的细节或整体来设计无数的路径, 结构, 以及可以利用的模式. Square希望他们的开发人员尝试用新方法解决老问题,并利用任何适合这项工作的云平台. 但他们需要一种方法来保护他们的环境,而不妨碍这种创新.
安全团队也在不断成长和改进. 他们定期收到来自各个部门的安全特性请求,并发现新的, 这是更有价值的安全方法——但他们没有足够的带宽来解决这些问题. 这些请求通常会被搁置或放置在积压中,希望将来能够处理它们. 最终,这种模式阻碍了更现代、技术更先进的安全方法的出现.
当Square开始寻找云安全解决方案时,他们寻找的是一个真正的合作伙伴. 他们想要一个一流的产品, 还包括构建组织所需的安全特性的专业知识和战略指导.
找到一种可以同时跟踪AWS和GCP中的资源并将数据聚合在一个中心位置的产品是没有商量余地的. 他们需要能够看到哪些资源正在运行, 谁在管理他们?, 它们是如何配置的, 以及是否需要做出改变来维护安全.
Rapid7的InsightCloudSec产品——以及Rapid7的支持团队——满足了所有要求. InsightCloudSec为Square的AWS和GCP云环境提供了全面的安全性, 错误配置监控和警报, 以及一个可以根据需要提供功能支持的扩展团队.
InsightCloudSec最大的价值在于其独特的跟踪资源创建时间和不同项目中使用的资源数量的能力,并以统一的视图将这些信息传递给所有云提供商.
这种资产管理功能提供了单个资源及其元数据的统一和规范化视图. Square的安全团队现在可以通过放大来挖掘设置和代码, 然后缩小以获得组织范围内所有资产的更广泛视图. 该团队可以回答以下问题:
这种能力可以看到云中发生的一切, 它是如何建造的, 已经应用的安全规则和配置对于没有每天从事云构建和开发的安全专业人员来说是非常宝贵的.
现在,安全团队已经从一个窗格中获得了所有可用的云环境, 他们可以深入挖掘,以发现可能隐藏在设置中的错误配置和潜在漏洞, code, 或特定工作负载的元数据.
一个单一的, 隐藏的错误配置会造成安全环境和提供攻击途径的环境之间的差异, 因此,对于团队来说,充分了解每个工作量以确保没有遗漏任何细节是非常有价值的. 一旦他们发现问题, InsightCloudSec与Slack的集成, ServiceNow, 和Jira使他们能够向开发人员发送快速信息, 架构师, 或者工程师来解决问题,保证安全无懈可击.
Rapid7的支持团队通过承担构建功能请求的工作提供了额外的价值. 而不是投入宝贵的员工时间来解决这些问题, Square可以将它们卸载到Rapid7,以便与其他项目异步完成. 通过向支持团队发送一条快速的Slack消息,Square获得了一组额外的熟练人员:
之前InsightCloudSec, Square的安全团队对其云足迹的可见性有限,无法一次查看所有云资产. 一旦平台实现, 他们在一个单一的窗格中对所有云环境具有100%的可见性,并且不需要向任何人寻求信息.
有了这个新发现的功能, 不再有关于谁在使用什么的猜谜游戏, 在哪里, 以及他们是如何建造它的. 云安全团队可以从易于访问的仪表板上一目了然地查看所有内容. 安全和开发团队协同工作以保持云的灵活性和安全性.
他们现在还利用InsightCloudSec的自定义洞察包,随时间推移提供每周安全态势报告. 有了这种智慧, Square的云安全团队可以回顾过去几个月甚至几年,看看他们的安全态势是如何成熟的.
最后, 现在,功能请求是与Rapid7一起积极构建的,而不是在Square团队自己冗长的积压中排队. Square安全团队发来一条快速的Slack信息, 一个想法变成了一个功能请求,Rapid7的支持团队就在上面.
关于Square和Rapid7未来的合作关系, Square的安全工程师, 杰森, 他是这么说的:“嗯, 我希望这种合作关系能继续下去. 我们在去年取得了很多成功,你们都非常乐于接受特性请求,以改进自己的产品,并根据我们的需求进行调整.”
Square的金融服务安全负责人补充道, “我认为客户支持对我们也很有吸引力. 这是一次非常好的合作.”