Formal, Salı günü gizli geliştirme aşamasından çıkan bir güvenlik girişimidir. Şirket, güvenlik ekiplerinin hassas verilere erişimini daha kolay bir şekilde sağlamaya yönelik ilginç bir ürün sunmaktadır. Formal, veri depoları ve API’ler için bir ters proxy tasarlamıştır.
Uygulamada, Formal, sanal özel bulutunuzda (VPC) dağıtılan bir proxy’dir. Bu proxy, örneğin müşteri bilgilerini içeren bir veritabanı gibi veri depolarına yapılan her isteği kaydeder ve erişim politikalarını uygular.
Genç Girişimci ve Kuruluş Süreci
Formal, 24 yaşındaki kurucusu Mokhtar Bacha tarafından hayata geçirilmiştir. Bacha, henüz bir gençken ConsenSys‘te yazılım mühendisi olarak kariyerine başlamış ve daha sonra kendi girişimi olma hevesi ile yola çıkmıştır.
Bacha, “17 yaşında Ethereum’un kurucu ortaklarından biri olan Joseph Lubin ile bağlantı kurarak [ConsenSys]’te yazılım mühendisi olarak işe alındım. Bu, Metamask ve diğer cüzdanların arkasında yer alıyor,” dedi. Ancak, işin teknik açıdan ilginç olduğunu düşündüğünü, fakat faydalı bir şey üzerinde çalışmadığını hissettiğini sözlerine ekledi. Sonuç olarak, henüz 19 yaşındayken Y Combinator’a solo bir girişimci olarak başvurdu.
Bir süre sonra girişim fikri Maytana adlı bir nakit yönetim platformuna dönüştü. Ancak sonraki aşamada bu fikri değiştirerek Formal’ı oluşturdu.
Erişim ve Kontrol
Veri erişim yönetimi yeni bir kavram olmasa da, Formal’ın fark yaratan özelliği, yeni veri depoları ve uygulamaları eklerken veya çıkarırken her yeni bileşeni ayrı ayrı güvenlik politikaları ile manuel olarak yapılandırmak zorunda kalmamaktır.
Bacha, “Modern veri yığını ve buluta geçiş ile birlikte, çok fazla farklı türde araç ve uygulama ve verileri tüketen çok fazla kullanıcı vardı,” dedi. Formal, veri akışlarındaki görünürlüğü ve kontrolü sağlayan bir soyutlama katmanı olarak işlev görüyor.
Formal Connector’ı alt yapınıza kurduktan sonra, her uygulamayı proxy kullanacak şekilde güncellediğinizde, her sorgu Formal’ın politika motoru tarafından kontrol edilir. Bu, verileri dinamik olarak maskeleyip filtrelemeyi mümkün kılar.
Geliştirici Deneyimi ve Güvenlik
Bacha, “Eğer ben Amerika’da bir yazılım mühendisi isem, Avrupa müşterilerinin verilerini görmemeliyim. Bu nedenle, proxy Avrupa müşterilerinin verilerini otomatik olarak maskelemeli ve redaktör etmelidir,” dedi. Örneğin, bir Postgres veritabanı için, veritabanına doğrudan erişmek yerine, çalışanlar Formal Postgres proxy ile etkileşimde bulunur. Bu yeni adım, erişim politikalarını uygulamayı kolaylaştırır ve müşterilerin E.U’nın Genel Veri Koruma Yönetmeliği gibi yasalara uymasına yardımcı olabilir.
Ayrıca, geliştirici ekiplerin kendi bilgisayarlarından veri ürettikleri durumlarda, proxy’ye yönlendirilen bir ajanı kolayca dağıtarak trafiklerin otomatik olarak proxy’ye yönlendirilmesini sağlar; bu, mühendislik ekiplerinin bile bunu fark etmesini gerektirmez.
Formal’ın müşterileri arasında Gusto, Notion ve Ramp gibi güvenlik modelini erken benimseyen şirketler bulunmaktadır. Bu şirketler, personel kayıtları ve finansal belgeler gibi hassas verileri işlemesiyle tanınır ve bu da Formal için umut verici bir işarettir.
