Greenlight Guru 透過 Lacework 最佳化 AWS 上的法規合規性

Greenlight Guru 在 Amazon Web Services (AWS) 基礎上進行建置，為醫療器械公司提供優質管理軟體即服務 (SaaS)。為了維持客戶資料的高安全標準，並跟上醫療器械產業不斷變化的法規，Greenlight Guru 與 AWS 合作夥伴 Lacework 開展合作，這是一個雲端優先的資料驅動型安全平台，可大規模自動化安全性。

Greenlight Guru 擁有一支精小的團隊、新一輪種子資金，以及快速擴張的客戶群，因此需要確保其內部資訊安全系統以最佳方式運作。在評估其現有網絡/安全監控和管理系統之後，該公司決定目前是尋找更好解決方案的有利時機。這些系統主要包括網路監視器，日誌監控程式和一些外部合作夥伴的支援，雖然很有效，但它們可能會變得越來越低效，並且難以維護和監控。

Greenlight Guru 是一間在醫療器械產業內運作的公司，對於跟上標準機構和監管機構不斷湧現的新要求方面出現了額外的擔憂，因此，Greenlight Guru 決定與 AWS 合作夥伴 Lacework 開展合作。

在不需要任何組態設定的順暢部署之後，Greenlight Guru 成功地用單一平台取代其多點安全解決方案，實現跨帳戶、工作負載、容器和 AWS 環境的雲端安全性與合規性。Greenlight Guru 能夠更好地管理漏洞和錯誤設定的風險，同時持續監控雲端帳戶活動和工作負載行為。這項強大的監控功能從建置延伸到執行時間，可加速事件回應、遏制和調查。藉助 Lacework，Greenlight Guru 可獲得切實可行的威脅情報，以識別惡意活動並降低引入其環境時的風險。

Greenlight Guru 安全主管 David Odmark 闡述了在 AWS 上過渡到 Lacework 服務和解決方案的過程，「我們向 Lacework 的過渡非常順暢。Lacework 承諾無需組態設定，我們發現情況就是這樣。若我們遇到任何異常情況，對於發生的問題以及如何適當解決問題，我們獲得了即時的意見回饋。」

Lacework 對於 Greenlight Guru 為客戶保障運營和效能至關重要。該公司還使用 Amazon EventBridge 和基礎設施做為其管道中的程式碼服務。

Lacework on AWS 為 Greenlight Guru 提供了一種安全與合規管理方法，不僅高效、可擴展，更可無縫整合至現有 DevSecOps 工作流程。

由於其產業的性質，Greenlight Guru 面臨頻繁的現場稽核，並且必須滿足客戶資料安全和保護的最高標準。憑藉其全面的資料安全性和漏洞防禦方法，Lacework 向 Greenlight Guru 團隊及其相關客戶提供了安心的支援。使用 Lacework，Greenlight Guru 可輕鬆顯示其客戶的證據追蹤，讓他們能夠快速放鬆顧慮，並有效地證明針對所有客戶資產採取了積極的監管措施和安全協定。

Lacework 輕鬆提供 Greenlight Guru 環境的全面檢視，並將特定控制 (ISO 27001) 映射至受 Lacework 監控的雲端安全控制，從而協助進行稽核。Greenlight Guru 團隊可隨時在不同時段執行報告，以檢閱針對其環境的合規性。這會通知其合規漂移團隊需要進行檢閱、調查和補救。Greenlight Guru 可透過單一平台的綜合檢視來預防問題，並減少稽核發生之前的證據收集時間。此外，AWS CloudTrail 還支援增強 Greenlight Guru 的可視性。

Odmark 闡述說：「Lacework 的設定考慮到了監管環境，這是一個資料驅動程度很高的解決方案。我們能夠即時向客戶展示我們對環境中事件的回應。這是我們資料安全工具組中非常重要的一部分。」

Lacework 在整個 Greenlight Guru 環境中提供持續監控，從建置時間到執行時間，都能偵測並解決業務風險。這有助於 Greenlight Guru 團隊對異常活動保持警覺，並快速回應事件，而無需過度的手動調查。「我們的安全計畫需要依據眾多合規系統、自願性標準和產業基準進行衡量。Lacework 可協助我們在中央位置管理這些指標，以便在發生變更時提醒我們。」Odmark 解釋說。

Greenlight Guru 採用分層的安全方法，能夠在一開始就識別攻擊，並在某些情況不符合內容擴充建議時，向相應的團隊成員發出提醒以有效地進行補救。

透過將 Greenlight Guru 環境中的事件分類為高、中或低提醒，Lacework 的 Polygraph® 資料平台可最佳化安全管理程序，從而在整個組織實現更高效和更有效率的工作流程。該平台建立對 Greenlight Guru 獨特環境的基準理解，以確定任何指定時間的正常行為，從而在沒有預設規則清單的情況下偵測偏差，並且可將提醒傳送給團隊。這些提醒讓 Greenlight Guru 能夠大規模查看和了解雲端變更情況。Greenlight Guru 針對這些提醒實作內部政策和自動化，這也有助於標準化團隊安全協定和回應。

Greenlight Guru 三人團隊可成功地執行其安全操作，同時承擔其他責任。

「Lacework 平台負責所有繁重工作。這意味著，我們的團隊可專注於我們公司的其他重要活動，以及安全的其他方面。這是非常有價值的。」Odmark 說道。