Volpara Health Technologies的网络安全团队需要一个单一的平台，即可用来保护100％的云原生攻击面，包括Azure服务，Docker容器和IoT设备。他们需要跟上DevOps的变化速度，还必须满足严格的ISO13485和ISO27001合规性要求

Volpara Health Technologies是一家致力于早期发现乳腺癌的医疗技术公司。它使用人工智能（AI）来生成一套完整的数字健康服务，为最终旨在预防的预测风险模型提供累积的数据。这些数据的保护是沃尔帕拉公司最关心的问题。

挑战性

首席信息官兼首席信息安全官Gareth Beaumont及其团队需要一个单一的平台来保护组织迅速发展且复杂的仅云基础架构。他们需要解决的挑战包括：

• 保护由Azure服务，Docker容器和IoT设备组成的100％云原生攻击面

  沃尔帕拉（Volpara）在云端运行100％。它的所有信息系统和数据都在Microsoft Azure上运行，没有内部生产系统。“因此，我们在云中展示主动和可靠的安全措施的能力至关重要”，博蒙特说。

  沃尔帕拉（Volpara）最近还推出了IoT产品，其中包括一个硬件设备，该设备由一个Intel NUC，操作系统，Docker容器和一个用于发送要在云中进行分析的数据的应用程序组成。鉴于要上传和分析的医疗数据的敏感性，此物联网设备需要一个自动化的网络风险解决方案来发现Docker容器映像并将安全性集成到DevOps管道中。

  Beaumont说：“对Web以及IoT解决方案进行量化和回归测试需要大量人力，因此需要自动化解决方案。由于人类的参与，错误和疏忽的机会增加了。”

• 确定用于保护所有资产的单一平台

  作为标准化的坚决拥护者，Beaumont和他的团队需要一个平台来保护整个攻击面，而不是为不同资产提供大量单独的工具。

  在瞬息万变的环境中，Volpara需要在非常动态的攻击面上全面了解其容器和Web应用程序的安全性。 

• 与DevOps的变化速度保持同步

  Volpara的网络安全团队需要与DevOps和新的IoT解决方案的快速采用保持同步。团队需要有效地监视代码的频繁更新和不断修订，以作为进行快速自动化开发的一种方法。此外，团队必须确保安全性

  每周都会发现Docker映像的出现，因为新漏洞被发现。

  为了帮助保护容器和其他短寿命资产，团队需要将漏洞评估向左转移到开发过程中。

• 满足ISO13485和ISO27001的合规性要求

  为了确保最高级别的安全性并增强客户信心，沃尔帕拉（Volpara）已通过ISO13485（质量保证）和ISO27001（信息安全）认证。这需要持续的网络风险管理和交钥匙报告来帮助证明合规性。

解

在考虑了几种解决方案之后，Volpara Health Technologies选择Tenable作为其漏洞管理合作伙伴有以下几个原因：

• 专业知识和品牌声誉

  Beaumont说，他之所以选择Tenable，是因为Tenable的品牌声誉和在漏洞管理方面的专业知识。他能够利用Tenable的专业知识来识别不断变化的漏洞和威胁，同时其自动化使他能够节省开销和IT人员资源。

  网络安全团队对其应用程序测试功能进行了三项概念验证（PoC）试验。根据结果以及Tenable.io Container Security轻松集成到CI / CD管道中，团队决定投资Tenable作为其战略漏洞管理合作伙伴。

• 一个用于保护云服务，Web应用程序和Docker容器的平台

  Tenable行业领先的网络曝光平台为Beaumont及其团队提供了有关其网络风险的完整信息。他们对自己的网络曝光具有统一的看法，而不是因对不同资产使用单独的工具而导致的可见性不佳。

• 无缝集成到CI / CD管道

  Tenable.io容器安全性将安全性测试无缝集成到Volpara的DevOps管道中，而不会牺牲速度。该产品可以轻松地与公司的CI / CD工具集成在一起，例如Microsoft DevOps服务和Octopus Deploy，以便在创建新的容器映像构建时对它们进行漏洞风险和恶意软件评估。

• 从开发到运营，全面了解Docker容器的安全性

  博蒙特需要确保公司的容器在投入生产之前和之后的安全性。借助Tenable.io容器安全性，安全性已成为开发过程中至关重要的质量控制测试，并且可以监视运行中的容器的安全状态以检测操作中的问题。

结果

• 对CI / CD管道安全状况的无与伦比的可见性

  可靠的产品为Beaumont及其团队提供了整个攻击面的完整可见性，并将安全性有效地集成到CI / CD管道中，以防止在生产中利用漏洞和恶意软件。

  Beaumont说：“ Tenable经过PoC测试，购买并集成到我们现有的系统和流程中。成功不会变得容易。”

  此外，Tenable的解决方案使组织能够内部测试其LAN，这被证明是无价的，因为它揭示了一些与旧台式PC和个人使用设备有关的漏洞。尽管已经制定了缓解网络上这些设备的计划，但漏洞测试结果提供了可量化的证据，可以加快此过程。 

• 通过自动安全监控提高效率和效力

  自动化漏洞管理功能使Volpara可以执行每周测试而不是季度测试。这极大地提高了员工资源的效率，并且使安全团队知道他们正在有效地监视其所有资产和系统，从而使他们高枕无忧。

• 用户友好，易于使用的报告提高了Docker容器资产报告的效率

  现在，安全团队具有对容器环境（包括图像，策略和存储库）的完全可见性，并具有易于使用的各种格式的报告，包括json和html。除了帮助监控资产外，博蒙特还使用这些报告来更新执行会议中的领导才能。

• 向左移动以DevOps的速度进行操作

  通过将安全性集成到软件开发生命周期（SDLC）中，Volpara现在能够缩小其网络暴露差距。通过向左移动，安全团队将以DevOps的速度运行，并确保对其整个攻击面进行端到端的保护。 

• 有效地满足ISO13485和ISO27001合规性要求

  Beaumont和他的团队现在能够使用Tenable的解决方案有效地执行合规计划。他们能够向客户保证他们达到最高级别的安全标准并有效地管理其网络风险。

结论

凭借Tenable作为其战略漏洞管理合作伙伴，Volpara Health Technologies可以在整个威胁格局（包括云服务，Web应用程序和Docker容器）中拥有完全的可见性。 

创新的网络安全团队向左移动，将安全集成到CI / CD管道中，并以DevOps的速度运行。

“我们选择Tenable具有易用性，自动化能力，专业知识和品牌声誉，” Beaumont说。“一旦创建了每个新容器图像，自动评估每个容器图像并在发现新漏洞时不断保护该图像的能力非常宝贵。现在，我们对CI / CD管道和运行中的容器的安全状态具有无与伦比的可见性，使我们能够专注于最重要的事情：挽救生命。”