Shift5 liefert innovative Lösungen für das US-Verteidigungsministerium

Einführung: Die Schaffung einer sicheren Entwicklungsumgebung

Shift5 ist eine Beobachtungsplattform für die Onboard-Betriebstechnologie (OT), die ihren Kunden intelligentere und schnellere Entscheidungen in den Bereichen Luft- und Raumfahrt, Schiene und Verteidigung ermöglicht. Während jede Unternehmenssoftware Sicherheit priorisieren muss, besteht der Kundenstamm von Shift5 aus Unternehmen in stark regulierten Branchen, weshalb die Schaffung einer sicheren Entwicklungsumgebung von größter Bedeutung ist. Mit Chainguard konnte Shift5 die kontinuierliche Einhaltung kritischer Frameworks wie FedRAMP und CMMC gewährleisten und gleichzeitig ein tiefes Vertrauen bei seinen Kunden aufbauen.

Die Herausforderung: Compliance aufrechtzuerhalten, während man sich mit der Geschwindigkeit eines Startups bewegt

Shift5 ist ein Startup und sein Hauptkunde ist das United States Department of Defense (DoD). Das DoD arbeitet in den am stärksten regulierten Umgebungen – und damit Shift5 dem DoD die bestmöglichen Lösungen liefern konnte, musste es der Sicherheit seiner Plattform Priorität einräumen. Das bedeutet, Common Vulnerabilities and Exposures (CVEs) effektiv zu verwalten und zu beheben.

Das Engineering-Team von Shift5 stand vor zwei großen Herausforderungen: 1) schnelle Entwicklung, Test und Bereitstellung neuer Funktionen zur Verbesserung seiner Plattform und 2) Behebung aller CVEs aus seinen Container-Images, um den staatlichen Standards zu entsprechen. Es ist äußerst schwierig, diese beiden Prioritäten in Einklang zu bringen, und Unternehmen opfern sich oft gegenseitig.

Als kleines Engineering-Team erforderte die kontinuierliche Einhaltung der Vorschriften eine dedizierte Mitarbeiterzahl, um die Container von Shift5 auf dem neuesten Stand zu halten. Dies erforderte bereits begrenzte Ressourcen, um auf der Shift5-Plattform aufzubauen, was die Innovation und das Geschäftswachstum verlangsamte.

“

Shift5 ist ein Startup, und wir verkaufen ein neues Produkt und versuchen, neue Kunden zu gewinnen. Wenn wir also so viel Zeit für die Wartung aufwenden, wird es schwieriger, unserem Produkt einen Mehrwert und Funktionen hinzuzufügen oder den Plattformen, auf denen unser Produkt aufgebaut ist, einen Mehrwert zu verleihen, damit wir ein besseres Produkt schaffen.

Shaun McDonnell, Leiter Plattform-Engineering, Shift5

Die Bundesvorschriften verpflichteten auch die Erstellung von Security Technical Implementation Guides (STIGs) für alle Container-Images von Shift5. STIGs sind ein Infrastruktur-Härtungsstandard, der je nach Anwendungsfall variiert, aber in allen Szenarien erhebliche technische Investitionen erfordert. Dies stellte eine zusätzliche Herausforderung für Shift5 dar, da das Engineering-Team von Grund auf manuell STIGs für jeden seiner Container erstellen und die Genehmigung der Defense Information Systems Agency (DISA) einholen musste, bevor es die Härtungsarbeiten selbst durchführen konnte.

"Da unser Kunde das Verteidigungsministerium ist, mussten wir jedes Mal, wenn wir vor der Bereitstellung waren oder ein Software-Update für den Kunden durchführen wollten, STIGs vorbereiten", sagte Sam Rajachudamani, Senior Director of Products and Partnerships. "Wir müssten Scans der Software sowie der zugrunde liegenden Abhängigkeiten durchführen."

Eine weitere wichtige Compliance-Vorschrift, die Shift5 berücksichtigen musste, waren die Anforderungen von NIST für die Umsetzung und Validierung der Federal Information Processing Standards (FIPS). FIPS ist eine Reihe von Kryptographie-Bibliothek und Algorithmus-Standards, die DoD-Anbieter befolgen müssen, um eine angemessene Sicherheit der Daten innerhalb der Compliance-Grenze zu gewährleisten. Wie bei STIGs erforderte der Bau und die Wartung von FIPS-konformen Containern von Grund auf eine erstaunliche Menge an Zeit und Aufwand für das Engineering-Team von Shift5 – nicht nur mit dem Upfront-Lift, sondern kontinuierlich für die kontinuierliche Einhaltung.

James Hoscheit, Vice President of Field Engineering, beschrieb den Prozess: „Um Shift5-Software im Bundesraum einzusetzen, müssen wir eine Reihe von Standards erfüllen. Das sind nicht nur Dinge wie STIGs, sondern am Anfang beginnt es mit der FIPS-Validierung, und das ist ein ganzer Prozess, den Sie durchlaufen müssen, um zu validieren, dass die Kryptographie-Algorithmen, die Sie in Ihrem Container verwenden, tatsächlich den staatlichen Standards entsprechen."

STIGs, FIPS und die Notwendigkeit, alle CVEs in der Umgebung von Shift5 zu korrigieren, kamen im Rahmen des Bestrebens des Unternehmens zusammen, eine Authority to Operate (ATO) im Umfeld der Bundesregierung zu erreichen. Eine ATO ist erforderlich, damit jeder Softwareanbieter in der Lage ist, Software für Regierungskunden sowohl in klassifizierten als auch in nicht klassifizierten Einstellungen zu betreiben oder zu liefern. Bei Shift5 war die Sicherung einer ATO direkt mit erheblichen Umsatzchancen und dem Gesamterfolg des Unternehmens verbunden.

“

Wir waren in der Lage, das Schwachstellenmanagement für alle Abhängigkeiten und die Basisbilder zu verkürzen, indem wir sagten: "Hier sind die Chainguard-Bilder, die wir verwenden." Und es war ein einmaliges "fertig", ohne dass man durch ein riesiges Hin und Her gehen musste. Das hat uns viel Zeit gespart, als wir diesen ATO-Prozess durchlaufen haben.

Sam Rajachudamani, Senior Director für Produkte und Partnerschaften, Shift5

Shift5 musste das Tempo seiner Produktentwicklung beibehalten und gleichzeitig seine ATO mit begrenzten Ressourcen beibehalten. Die derzeit geltenden manuellen Prozesse waren nicht nachhaltig, und ein besserer Weg nach vorne war notwendig, um das Wachstum des Unternehmens aufrechtzuerhalten.

Die Lösung: Chainguard Container als Basis zur Absicherung kritischer Infrastrukturen

Shift5 suchte nach einer Containerlösung, die es ihm ermöglichen würde, die erforderliche Compliance für seine ATO aufrechtzuerhalten und seinem Engineering-Team Zeit für die Herstellung und den Versand von Produkten zu geben. Diese Anforderungen führten schließlich Shift5 zu Chainguards minimalen, Null-CVE-Container-Images, die FIPS-validierte Kryptographie und STIGs auf OS-Ebene bieten.

Vereinfachung der Compliance

Nach der Implementierung waren Chainguard Container in der Lage, den Schmerz des Schwachstellenmanagements sofort zu lindern. Zuvor beschäftigte sich das Shift5-Engineering-Team mit Tausenden von CVEs in den Container-Images des Unternehmens. Nach der Implementierung von Chainguard Containern ging diese Zahl auf Null zurück.

"Chainguard nimmt den Herzschmerz vom Aufbau und der Pflege von Bildern, weil sie die ganze harte Arbeit für Sie erledigen und Ihnen einfach ein sauberes Produkt liefern", sagte Shaun.

Durch den Wechsel zu Chainguard Containern konnte Shift5 seinen Kunden, von denen viele an kritischen, hochsensiblen Projekten sowohl im Außendienst als auch in der Cloud arbeiten, eine bessere Sicherheit bieten. Mit Chainguard konnte Shift5 unabhängig vom Anwendungsfall einen einheitlichen Bereitstellungsansatz ohne CVEs nutzen, unabhängig davon, ob seine Software in einer Umgebung mit eingeschränkten Ressourcen (wie einem Flugzeug oder einem Schienenfahrzeug) oder in einer unendlich skalierbaren Cloud-Umgebung bereitgestellt wird.

Shift5 verwendete auch die FIPS-Bilder von Chainguard und die sie begleitenden STIGs, um die strengen Kryptographie- und Härtungsvorschriften, die für seine ATO erforderlich sind, sofort einzuhalten. In Kombination mit der geringeren Belastung durch das Schwachstellenmanagement war Shift5 in der Lage, diese Funktionen zu nutzen, um seine Plattform früher in die Hände und Systeme seiner Bundeskunden zu bringen und so den Umsatz zu steigern, der für das weitere Wachstum des Unternehmens von entscheidender Bedeutung war.

James drückte es einfach so aus: „Für Shift5-Kunden ist das Größte, was ihnen aufgefallen ist, nicht unbedingt, dass wir Chainguard-Container verwenden, sondern dass wir viel reaktionsschneller und schneller alle ihre Anforderungen erfüllen können, was ihnen das Leben erleichtert, weil wir schneller vorankommen können.“

Freischalten von Engineering-Ressourcen

Mit Chainguard Containers verlagerte Shift5 seine begrenzten technischen Ressourcen vom Schwachstellenmanagement und ermöglichte seinen Entwicklern, die Plattform aufzubauen und zu erweitern, um die Bedürfnisse seiner Kunden besser zu erfüllen.

“

Chainguard hat es unserem Team ermöglicht, sich auf die Bereitstellung von Funktionen und Produktfunktionen zu konzentrieren, die für unsere Produktstärke, die wir benötigen, um aus der Tür zu kommen, von zentraler Bedeutung sind, und dies auf sichere Weise.

Sam Rajachudamani, Senior Director für Produkte und Partnerschaften, Shift5

Shift5 schätzte, dass die Einführung von Chainguard Containers dem Engineering-Team über zweieinhalb Monate an Arbeitsstunden pro Person für die Behebung von CVEs und die Einhaltung anderer wichtiger Compliance-Standards erspart hat. Für ein Startup mit begrenzten Ressourcen ermöglichte diese enorme Zeitersparnis den Ingenieuren von Shift5, wieder das zu tun, was sie gerne tun: Software entwickeln.

Ein unerwarteter Zusatznutzen

Wie Shaun auf X betonte, führte diese Zeitersparnis nicht nur zu einer gesteigerten Produktivität, sondern auch zu einem unerwarteten Vorteil: einer stressfreien Verabredung mit seiner Frau.

A tweet from Shaun McDonnell that reads, "Guys. Chainguard is worth every penny. I got to go on a date with my wife last night because I didn't have to remove CVEs from my container images."

Fazit: Zeitersparnis und Sicherheit, die hält

Die Verwendung von Chainguard-Containern durch Shift5 steht im Einklang mit der Kernaufgabe des Unternehmens, eine intelligentere, sicherere und sicherere Welt aufzubauen. Die Sicherstellung, dass die Software, die in kritischen Infrastrukturen bereitgestellt wird, CVE-frei ist, hilft Shift5, seinen Kunden Sicherheit zu geben und ermöglicht es ihm, Compliance- und Produktziele schneller zu erreichen.

Chainguard-Container ermöglichen es Shift5, weiter zu wachsen und seine Plattform zu verbessern, indem sie eine optimierte, ressourcenfreundliche Basis nutzen, um für die Zukunft sicher zu sein.

Diesen Artikel teilen

Fallstudie herunterladen

Um

Shift5 ist die abonnementbasierte Beobachtungsplattform für Onboard-Betriebstechnologie (OT) mit doppeltem Verwendungszweck, die intelligentere, schnellere Entscheidungen durch Echtzeit-Datenzugriff, kontextbezogene Einblicke und umsetzbare Analysen am Rande von Luft- und Raumfahrt, Schiene, Schifffahrt und Verteidigung ermöglicht. Shift5 wurde von Offizieren geschaffen, die das US Army Cyber Command aufgestellt und Pionierarbeit bei der Bewertung moderner Waffensysteme geleistet haben, und verteidigt kommerzielle und militärische Flotten sowie Waffensysteme gegen Betriebsausfälle und OT-Cybersicherheitsrisiken. Bekannte Luftfahrtunternehmen, US-Eisenbahnen und Flotten innerhalb des US-Militärs verlassen sich auf Shift5, um die Sicherheit, Verfügbarkeit, Sicherheit, Belastbarkeit und Zuverlässigkeit der heutigen Flotten und der Vermögenswerte der nächsten Generation von morgen zu gewährleisten.

Industrie

Cybersecurity & Defense

Mitarbeiter

51-200

Produkte

Chainguard Containers

Shift5 liefert innovative Lösungen für das US-Verteidigungsministerium

Befehl ausführenCG-Systemaufforderung

$ chainguard learn --more

Kontaktieren Sie uns