Woven by Toyota, Inc. (formerly Woven Planet Holdings, Inc.) is a carefully curated blend of expertise and resources dedicated to bringing the vision of “Mobility to Love, Safety to Live” to life. With three operating companies focusing on technological advancements in automated driving technologies, Woven sought to standardize its security, compliance and monitoring to ensure consistent organizational-level cloud governance.
Headquartered in Tokyo, Woven turned to NTT DATA’s AWS consulting and managed services team to implement a secure cloud foundation. With built-in security and operational rules for organization-wide standardization, the new infrastructure helps streamline innovation.
Necesidad empresarial
Woven Planet Holdings, Inc. (Woven Planet) representa una mezcla cuidadosamente seleccionada de experiencia y recursos dedicados a dar vida a la visión de "Movilidad para amar, seguridad para vivir". Woven Planet cuenta con tres empresas operativas, Woven Core, Woven Alpha y Woven Capital, enfocadas a impulsar los avances tecnológicos en las tecnologías de conducción automatizada, creando proyectos revolucionarios como Woven City e invirtiendo en empresas innovadoras en fase de crecimiento. El apoyo a estas iniciativas requiere una infraestructura sólida que agilice el proceso de innovación.
Woven Planet confía en Amazon Web Services (AWS) como base tecnológica y en los experimentados equipos de AWS de NTT DATA para ayudar a administrarla y mejorarla continuamente. Con numerosas cuentas de AWS implementadas como parte de una solución interna de autoservicio, toda la organización puede consumir cuentas automatizadas, innovando así a gran velocidad.
Como parte de su esfuerzo continuo por garantizar una postura de seguridad lo más sólida posible, Woven Planet contrató al equipo de NTT DATA para que le ayudara a reforzar sus conductos de infraestructura y su gestión en la nube para lograr un cumplimiento continuo de la seguridad.
Resultados
- Logra un cumplimiento continuo en toda la organización
- Estandariza la seguridad en cientos de cuentas de AWS
- Sostiene la implementación de cuentas de autoservicio para los ingenieros
- Mantiene la capacidad de los ingenieros para innovar a la velocidad del mercado
- Garantiza el cumplimiento de los controles presupuestarios para administrar eficazmente los costos
Solución
Comenzar con una base segura
Con las cuentas de AWS de Woven Planet administradas de forma centralizada, los dos equipos comenzaron el proyecto racionalizando la cuenta de administración e incorporando las mejores prácticas de seguridad. En concreto, los dos equipos reforzaron la seguridad en torno a las funciones de AWS y los usuarios de IAM. Siguiendo el principio de mínimo privilegio, los equipos se aseguraron de que solo se concediera el acceso y los permisos necesarios a la cuenta de administración. Como parte del proceso, también se redujeron en gran medida los permisos escalados.
Además, los equipos desarrollaron una estructura de CI/CD de alta seguridad utilizando AWS CodePipeline para seguir un modelo de amenaza definido y tejido para contrarrestar los posibles riesgos del sistema interno, garantizando que los recursos se entreguen de forma segura a la cuenta de administración.
Redefinición de las unidades organizacionales para una alta seguridad
Además de los enfoques tecnológicos de la seguridad, el equipo de seguridad de Woven Planet propuso e implementó una nueva estructura organizacional para reforzar la segregación entre producción, desarrollo y organización en etapas. Esto proporcionó divisiones lógicas adicionales sobre cómo se dispersan las cuentas de AWS en la organización.
Los equipos implementaron las políticas de control de servicios de AWS (SCP), políticas de organización que ayudan a administrar los permisos, creando una seguridad con un nivel determinado. La nueva estructura organizacional también aprovecha las características de AWS Organizations dentro de servicios como AWS Cloud Trail, AWS Config, AWS CloudFormation StackSets, entre otros.
Estas características funcionan como un catalizador para automatizar y desplegar controles centralizados con menos gastos de desarrollo, ya que proporcionan un marco simple, seguro y eficaz. Esto, a su vez, permite a los ingenieros del equipo conectar los distintos conductos de automatización. Por ejemplo, el equipo puede ahora desplegar conjuntos de apilamientos a toda la organización o a un subconjunto de la unidad organizativa utilizando el servicio de modelo de despliegue administrado de AWS CloudFormation como parte de su conjunto de características de la organización.
Cómo lograr un cumplimiento continuo
Con las prácticas recomendadas establecidas, la siguiente fase del proyecto consistió en definir y desarrollar canalizaciones de CI/CD seguras que incluyeran:
- Canalización de la cuenta de administración para implementar la infraestructura como código (IaC) en la cuenta de administración de AWS.
- Canalizaciones de SCP para implementar los SCP de AWS en la cuenta de administración; el equipo también desarrolló una canalización de SCP para entregar y probar los SCP antes de su implementación mediante una herramienta de simulación proporcionada por AWS llamada Simulador de la política de AWS IAM.
- Canalizaciones StackSets que implementan IaC como conjuntos de apilamiento en la cuenta de administración. El equipo entrega soluciones internas seguras como conjuntos de apilamiento utilizando una canalización StackSets. StackSets es un servicio basado en AWS CloudFormation que permite desplegar apilamientos en cuentas y unidades organizativas a regiones seleccionadas en conjunto. Por ejemplo, el equipo entregó un sistema que garantiza que todos los paquetes de Amazon Simple Storage Service (Amazon S3) dentro de la organización estén protegidos mediante la configuración del Acceso de bloqueo público de Amazon S3. Este sistema garantiza que la configuración del Acceso de bloqueo público de Amazon S3 sea coherente con el estándar de la organización, lo que reduce la probabilidad de que se produzca una violación a la seguridad de los datos de los paquetes de Amazon S3.
Una vez construidas las canalizaciones, los equipos se dedicaron a mantener el cumplimiento de la seguridad continua con SCP y paquetes de cumplimiento desplegados como StackSets. (Un paquete de cumplimiento es una colección de reglas de configuración de AWS y acciones de corrección, que se pueden implementar como una entidad única en una cuenta o en todas las organizaciones de AWS.)
Con cientos de cuentas de AWS, es importante garantizar que los recursos implementados en las organizaciones de AWS sean seguros. Para ello, los equipos definieron normas de seguridad utilizando AWS Config, que ayuda a Woven Planet a definir reglas específicas; en función de estas reglas, los equipos pueden marcar los recursos como en cumplimiento o no. Mediante el uso de paquetes de cumplimiento de AWS Config, NTT DATA ayudó a implementar múltiples reglas de configuración, que deben seguirse para lograr el cumplimiento, a fin de garantizar que los recursos implementados en las cuentas cumplan con los objetivos operacionales y de seguridad de Woven Planet.
Para asegurarse de que Woven Planet cuente con un marco para la implementación de estas verificaciones de cumplimiento de seguridad, el equipo creó un diseño de implementación de paquetes de cumplimiento en el que las reglas de configuración se implementan como paquetes de cumplimiento. Los paquetes incluyen el cumplimiento de varios dominios, como la red, la encriptación, la identidad y el acceso, así como la publicación insegura.
Aunque es difícil remediar los recursos manualmente, muchas de las reglas de configuración implementadas mediante paquetes de cumplimiento también admiten la corrección automática. El equipo escribió funciones de AWS Lambda para lograr la corrección automática y enviar notificaciones cada vez que un recurso se identifica como que no cumple con las reglas de configuración implementadas. La función de corrección actúa como un refuerzo de la confianza entre los ingenieros, ya que muchos comportamientos críticos de no cumplimiento son corregidos automáticamente por el sistema, lo que ayuda a supervisar y controlar la tasa de no cumplimiento.
Supervisión y administración del cumplimiento con AWS CloudTrail
Se habilita un registro con todos los eventos de todas las cuentas de la organización en la cuenta de administración que despliega la configuración estándar de AWS CloudTrail. De este modo, cuando se crea una cuenta nueva, el equipo no tiene que habilitar AWS CloudTrail por separado. Además, el equipo utiliza la función AWS Organizations para asegurarse de que el rastro de la organización se habilita automáticamente cada vez que se agrega una nueva cuenta de usuario. Esto ayuda a garantizar la coherencia de la configuración de AWS CloudTrail en todas las cuentas. Todos los registros de AWS CloudTrail se administran de forma centralizada en un paquete de Amazon S3 en una cuenta de auditoría independiente.
Para garantizar el cumplimiento con el acceso público de Amazon S3, el equipo implementó un estricto bloqueo de acceso público de Amazon S3 utilizando el marco de entrega de AWS CloudFormation StackSet. Ahora, cualquier cuenta que se agregue a la organización tiene una solución AWS Lambda implementada en ella que desactiva la configuración de acceso público de Amazon S3 a nivel de cuenta. Esto sirve para no permitir el acceso público a los paquetes de Amazon S3, abordando de forma proactiva un área de gran preocupación para la seguridad.
Por último, los equipos trabajaron juntos para incorporar una verificación del cumplimiento del presupuesto. La solución hace un seguimiento de los gastos en todas las unidades de la organización y alertará cuando una cuenta de la zona de pruebas supere un determinado límite, lo que ayudará a Woven Planet a garantizar el cumplimiento continuo de las restricciones presupuestarias. Los equipos también crearon un sistema de notificación que envía una alerta personalizada de Slack a los propietarios de las cuentas cuando se supera un límite presupuestario. Esto proporciona una sensación de conciencia y disciplina al tiempo que asegura que la innovación no se interrumpe.
Beneficios
Woven Planet ahora puede realizar entregas seguras a cada una de sus cuentas de AWS, sabiendo que están bien protegidas y son coherentes con los objetivos operativos y de seguridad de Woven Planet. Además, el cumplimiento continuo ayuda a Woven Planet a garantizar la estandarización en todas las organizaciones de AWS, dando a la empresa un control centralizado sobre las mejores prácticas de seguridad en la nube. Woven Planet puede lograr todo esto a la vez que potencia el autoservicio de los ingenieros que les permite desplegar las cuentas según sus necesidades, permitiéndoles innovar a la velocidad del mercado.
About Woven by Toyota, Inc.
Woven Planet refuerza la seguridad en una infraestructura de AWS mediante la creación de una base estandarizada y segura en la nube.