Betterment logo


# Automatische Skalierung der Sicherheit von Produktionsanwendungen in der CI/CD-Pipeline von Betterment
Betterment verlässt sich bei der automatischen Skalierung der Sicherheit von Produktionsanwendungen in der CI/CD-Pipeline auf die Fastly Next-Gen WAF.

## Herausforderung


Betterment suchte nach einer Lösung zum Schutz der personenbezogenen Daten und Vermögenswerte seiner Kunden. Sie sollte sich automatisch skalieren lassen und Angriffe abwehren können, ohne eine laufende Anpassung der Signaturen zu erfordern oder die Performance zu beeinträchtigen.


Betterment ist ein Online-Finanzberater mit einem verwalteten Vermögen von mehr als 14 Milliarden US-Dollar. Das Unternehmen unterstützt eine Nutzerbasis von über 380.000 Kunden, die auf seine Online-Plattform zugreifen. Hierfür fährt es täglich zahlreiche Webserver über seine kontinuierliche Integrations- und Bereitstellungspipeline (CI/CD) hoch.
Zu wissen, ob, wann und wie Nutzer-Accounts angegriffen werden könnten, ist der Schlüssel zu deren Sicherheit. Vor der Implementierung von Signal Sciences stellte das Signal-Rausch-Verhältnis (aufgrund von früheren Erfahrungen mit herkömmlichen WAFs) die größte Sorge der Entwickler- und Sicherheitsteams von Betterment dar. Entscheidend war, dass sich eine WAF automatisch skalieren ließ und Angriffe präzise abwehren konnte. Außerdem sollte das Anrufvolumen beim Support nicht erhöht werden oder zusätzliche Arbeit für Dev und Sec verursachen.


## Lösung


Seit der Einführung von Signal Sciences konnte das Sicherheitsteam von Betterment seinen Arbeitsaufwand durch die Automatisierung von Bereitstellung und Updates sowie den schnellen Zugriff auf fundierte Erkenntnisse ohne Performance-Einbußen verringern.


### Automatisch skalierbare Webverteidigung


Für die Bereitstellung von Signal Sciences hat das Operations-Team von Betterment ein einfaches Ansible Playbook geschrieben. So installiert jede neue Anwendungsinstanz automatisch die Modules und Agents von Signal Sciences als Teil der CI/CD-Pipeline. „Wir hatten weder Installations- noch Aktualisierungsaufwand“, so Anson Gomes, Lead Security Engineer bei Betterment. Als ehemaliger Sicherheitsberater hatte Gomes zuvor herkömmliche WAFs getestet, die sich nicht nativ skalieren ließen und für jeden App-Server eine neue WAF-Instanz bereitstellen mussten. Das trieb die Kosten und die Komplexität in die Höhe, wofür das Unternehmen keine Zeit hatte.


### Besserer Schutz bei gleichzeitiger Einhaltung der Website SLAs


Das Team von Betterment war beeindruckt von dem robusten Schutz vor bösartigen Anfragen, den Signal Sciences ganz ohne Konfigurationsaufwand bot. Ein weiterer Vorteil: Signal Sciences beeinträchtigt weder die Performance und Verfügbarkeit der
Anwendung, noch vergrößert es die Angriffsfläche von Betterment. Mit nutzerfreundlichen, transparenten Dashboards werden entdeckte Schwachstellen an das jeweilige Team gemeldet. So können sie schnell behoben werden.


Signal Sciences hat auch die Transparenz für das Operations-Team erhöht. Die Dashboards zeigten die Ergebnisse eines Standardscans. Dieser deckte einige unbekannte Services und Fehlkonfigurationen auf, die zur Optimierung des Warnsystems und zur Korrektur des Anwendungsverhaltens genutzt wurden.


### Konfigurierbare Power Rules sorgen für Sicherheit und Compliance


Zusätzlich zu den schlüsselfertigen Erkennungsfunktionen, die bösartigen Traffic automatisch blockieren,
nutzt Betterment Power Rules, um Angriffe auf seine einzigartige
Anwendungslogik zu verhindern und Finanzdaten zu schützen. So kann das Unternehmen beispielsweise
den Missbrauch seiner APIs definieren, überwachen und blockieren, indem es den Zugriff
je nach Ursprung einschränkt. Power Rules zum Schutz vor Account-Übernahmen
können mit nutzerfreundlichen Dropdown-Menüs im Dashboard konfiguriert werden.
Auch sie wurden eingesetzt, um Nutzer-Accounts zu schützen.


„Das hohe Signal-Rausch-Verhältnis war ausschlaggebend dafür, dass wir uns für Signal Sciences entschieden haben. Mithilfe dieser Technologie kann unser Security-Team bösartige Aktivitäten, die es auf unsere Anwendungen abgesehen haben, verstehen und verfolgen und so unsere Kunden schützen. Seit der Bereitstellung und Einrichtung unserer Next-Gen WAF gab es bei uns keinen einzigen Fehlalarm mehr. Dadurch hat sich unser Security-Aufwand deutlich verringert und die Nutzerfreundlichkeit stark erhöht. Außerdem kann das Team Regeln für neue Angriffsvektoren und Payloads in einer sich ständig weiterentwickelnden Bedrohungslandschaft konfigurieren und ändern, um das Geschäftsrisiko zu mindern.“

Anson Gomes


Lead Security Engineer













„Die WAF ist sofort einsatzbereit, lässt sich automatisch skalieren und liefert hervorragende Transparenz sowie zuverlässigen Schutz.“

Anson Gomes


Lead Security Engineer

Sie möchten loslegen?

Setzen Sie sich mit uns in Verbindung oder erstellen Sie einen Account.