Mit über 17.000 Mitarbeitern und einer Präsenz in über 140 Ländern verlässt sich Hapag-Lloyd auf seine unternehmenskritische Plattform Freight Information System (FIS), um den globalen Versand zu unterstützen und weltweit zuverlässig zu arbeiten.

FIS wurde Anfang der 1990er Jahre intern entwickelt und war das erste System in der Seetransportbranche, das alle Geschäftsprozesse vereinheitlichte. Als Hapag-Lloyd FIS von einem monolithischen Mainframe zu einer Cloud-basierten Service-Architektur modernisierte, wurde die Sicherheit und Ausfallsicherheit der Plattform noch kritischer.

Die Herausforderung

Als sich die FIS-Plattform weiterentwickelte, stand das FIS Cloud Platform-Team - verantwortlich für die interne Entwicklerplattform, die den Anwendungsentwicklerteams von Hapag-Lloyd diente und die die FIS-Transformation untermauerte - unter zunehmendem Druck, seine Open-Source-Software-Lieferkette zu sichern.

Das Team arbeitete bereits mit disziplinierten Engineering-Praktiken, behandelte alles als Code und automatisierte die Lieferung über CI/CD-Pipelines. Das Management von Schwachstellen in Open-Source-Container-Images wurde jedoch immer schwieriger. Die Plattform nutzte viele Open-Source-Bilder mit hohen CVE-Zahlen, weit mehr, als das Team intern patchen und warten konnte.

Pascal Nijhof, Senior Manager, Cloud Platform & DevOps, erklärte: „Die CVE-Sanierung ist eine nie endende Belastung. Viele Bilder mit unterschiedlichen Erkenntnissen zu verfolgen, Angriffsvektoren zu verstehen und herauszufinden, wie sie tatsächlich behoben werden können, ist ein Vollzeitjob.“

Diese Herausforderung wurde durch die Einführung eines zentralisierten Sicherheitsreportings verstärkt. CVE-Kennzahlen wurden auf Managementebene sichtbar, und die Beseitigung kritischer und schwerwiegender Schwachstellen wurde zu einer expliziten Erwartung. Das Team erkannte schnell, dass bestehende Ansätze nicht ausreichen würden.

Johannes Witte, Teamleiter IT, FIS Cloud Platform, erklärte: „Selbst wenn wir mit 15 Ingenieuren die richtigen Fähigkeiten in unserem Team hätten, wären wir nicht in der Lage, die eigentliche Plattformarbeit zu erledigen, die von uns im FIS Cloud Platform-Team verlangt wird.“

Die Lösung

Nach der Bewertung ihrer Optionen sah das Hapag-Lloyd-Team, wie Chainguard Container sofortige Auswirkungen erzielen konnten.

Die Akzeptanz war schnell. Nach einem Wertnachweis von vier Bildern tauschte das Team 25 Open-Source-Bilder gegen Chainguard-Container aus und versandte sie in einem zweiwöchigen Sprint an die Produktion.

Hapag-Lloyd ergänzte ihren Chainguard-Rollout durch die Kombination von Chainguard mit einem „Update Champion“ -Protokoll — zwei dedizierte Personen pro Sprint für Updates und Abhängigkeiten — und stärkte damit seinen Ansatz für einen sicheren Plattformbetrieb weiter.

Die Ergebnisse

Sicherheitsverbesserungen ohne Workflow-Unterbrechung

Die Einführung von Chainguard-Containern verbesserte die Sicherheitslage von Hapag-Lloyd, ohne die Arbeitsweise des FIS Cloud Platform-Teams zu stören. Das Team konzentrierte sich weiterhin darauf, interne Entwickler zu unterstützen und die Modernisierung des FIS voranzutreiben, während Chainguard die kontinuierliche Arbeit erledigte, um die Basisbilder sicher und auf dem neuesten Stand zu halten.

Chainguard führte auch einen Standardisierungsgrad ein, der den Betrieb auf der gesamten Plattform vereinfachte. Pascal Shared:

Die Verwendung minimaler Bilder ohne Shells verstärkte die bestehenden Best Practices für die Sicherheit von Hapag-Lloyd, einschließlich der Unterstützung von schreibgeschützten Root-Dateisystemen sowie reibungsloseren Audits und Penetrationstests.

Verringerung der CVEs und der kognitiven Belastung der Ingenieure

Mit Chainguard und aktualisierten internen Praktiken sah das FIS Platform-Team eine sofortige, messbare Verbesserung seiner Sicherheitslage, und das Management sah es auch.

„Wir verwenden rund 60 Chainguard-Containerbilder, aber wenn wir uns unsere Scan-Ergebnisse ansehen, sind Hunderte von CVEs über die Schweregrade hinweg auf Null verschwunden“, teilte Johannes mit.

Ebenso wirkungsvoll war die Reduzierung des operativen und kognitiven Overheads für Ingenieure. Anstatt Schwachstellen zu verfolgen, zu priorisieren und manuell zu beheben, konzentrierte sich das Team auf eine viel einfachere Frage: Wie wollten sie ihre erweiterten Ressourcen nutzen?

Effizienzsteigerungen ohne zusätzliche Mitarbeiterzahl

In Spitzenzeiten führte das Team Hunderte von Sicherheitsupdates pro Woche ohne zusätzliche Mitarbeiterzahl oder Unterbrechung ein. Durch die Eliminierung der Notwendigkeit, eine dedizierte interne Sanierungsfunktion zu beschäftigen oder zu betreiben, bewahrte das Plattformteam seine Fähigkeit, Hunderte von Anwendungsentwicklern, die eigenständige Geschäftsmodule erstellen, zu versenden, zu skalieren und zu unterstützen.

Erhöhung der Sicherheitsgrundlinie im gesamten Unternehmen

Die verbesserte Sicherheitslage veränderte auch die interne Wahrnehmung bei Hapag-Lloyd. Das Management begann, das FIS Cloud Platform-Team als Modell für effektive Sicherheit und Korrektur zu betrachten, während die Anwendungsteams mehr Vertrauen in die Sicherheit der Plattform gewannen, auf die sie sich verließen.

„Mit den Lösungen, die wir gefunden haben, werden sowohl Chainguard als auch unser Update Champions-Prozess vom Management als Best Practices in Bezug auf Sicherheit und Sanierung angesehen“, sagte Johannes und stellte fest, dass dieser Fortschritt mit weitaus weniger Aufwand verbunden war als alternative Ansätze.

Im Laufe der Zeit ging der Erfolg der Initiative über ihren ursprünglichen Rahmen hinaus. Das FIS Platform-Team hat einen Spiegelservice gestartet, um alle seine Chainguard-Container-Images allen IT-Gruppen innerhalb von Hapag-Lloyd zur Verfügung zu stellen, einschließlich der Teams außerhalb von FIS. Was als zielgerichtete Lösung begann, entwickelte sich zu einem unternehmensweiten Service, der die Sicherheit als gemeinsame Grundlage und nicht als lokalisiertes Anliegen stärkte.

Zusammen ermöglichten diese Ergebnisse Hapag-Lloyd, seine Open-Source-Sicherheitsposition zu stärken, ohne dabei Geschwindigkeit, Fokus oder Engineering-Kapazität zu opfern.