fbpx

HashiCorp Vault ㄧ 荷蘭銀行 (ABN AMRO Bank) 與 Vault 打造雲端安全

Hashicorp Vault 成功案例 成功案例 2022 年 1 月 10 日 最後更新時間 : 2024 年 1 月 19 日

一家頂尖的金融機構如何使用 HashiCorp Vault 來自動化機密管理並為其不斷增長的產品組合帶來巨大收益。

公司簡介

荷蘭銀行 (ABN AMRO Bank) 是荷蘭第三大銀行,總部位於阿姆斯特丹。 荷蘭銀行為零售、企業和私人銀行客戶提供全方位的金融產品和解決方案。2008 年,荷蘭銀行與荷蘭富通銀行一起被荷蘭政府國有化,並於 2015 年成為上市公司。 

絕對不會存在超過一天的機密

很少有行業像銀行一樣需要隱私和安全級別,也很少有銀行像荷蘭銀行有這麼高的資安需求。
該銀行為其客戶提供全面的產品和服務。 但是對於公司擁有 400 人的資訊安全團隊 (CISO) 來說,保護這些系統、應用程式和資料是一項艱鉅的任務。

「在我們眾多客戶和後端商業應用程式中執行使用權和身份管理一直很有挑戰性,但可以透過我們現有的安全解決方案進行管理,即使我們增加了數千個新賬戶和用戶,」該銀行產品負責人 Ton van Dijk 説。「但是,我們需要額外的模組和手動監控來管理舊有的系統,包括內部應用程式和基礎架構中的暫存後端機密與金鑰,因此我們決定尋求一個更流暢、自動化的方式來解決這個問題。」

「 Vault 靈活的機密管理和 API 加密功能,再加上其機密導入 (secrets injector) 和安全通訊,讓我們可以像以前一樣輕鬆將應用程式加載到我們的容器平台上,且只需花很少的時間就能做到。」一 Ton van Dijk

避免骨牌效應

儘管金融業以精密的資料驗證技術聞名,而這些技術在早期頗有挑戰性,但荷蘭銀行進行了數位轉型,以實現現代化精神。然而,雖然多重雲端的 IT 環境和容器化開發環境為其不斷增長的產品組合提供效率,但它也為 CISO 團隊帶來了一系列新的複雜性和挑戰。

「機密管理是我們企業很重要的一環,因為如果任何機密外洩,都會對下游產生巨大影響,」Van Dijk 說。「即使是一個外洩的簽署憑證也可能使整個系統離線,也就是可能失去線上應用程式的使用權,或者讓它們處在有人惡意將某些內容注入應用程式的風險之下。這問題實在不容小覷。」

該銀行以前的機密管理解決方案有許多開箱即用的系統連接器,但這些連接器仍需大量程式碼才能設定新應用程式。 更糟糕的是,自我管理的平台沒有與團隊的 Kubernetes 做很好的整合,也就是說團隊的工程師必須為新應用程式或容器建立自定連接器,這可能需要幾天時間才能達到測試準備階段。

另外,荷蘭銀行知道他們需防止機密外洩。 由於許多應用程式和平台都有自己的 secrets engines,需在損害產生前立即撤回機密,因此統一監控十分重要。 當機密分散在眾多解決方案中時,這會變得難以控制。

「這整個過程告訴我們:內部和自我管理的機密系統需要第三方支援才能進行任何的更改,這是一種耗時且低效率的方式,」Van Dijk 解釋。 更廣泛地說,「我們需要一個支援容器化開發及自動化的雲端原生環境,且無需進行冗長又昂貴的平台更新或技術更新。」

挑戰

  • 安全管理暫存機密 (ephemeral secrets)
  • 降低對手動機密管理的依賴
  • 將客戶端應用程式和內部應用程式載入機密伺服器

為何選擇 Vault?

為企業提供集中、靈活的機密管理

荷蘭銀行 CISO 團隊希望通過從內部開發的應用程式和腳本中消除 hardcoded credentials 來改進其機密管理,並經安全專家的概念驗證後,採用了 HashiCorp Vault。

透過 Vault,CISO 團隊建立了一個統一的機密管理資源庫,並且無需人工將機密政策手動應用於新應用程式和主機。雲端中立 (cloud-agnostic) 平台將許多費時費力的流程自動化,簡化了 shared credentials 和機密管理。

「資料和系統安全是我們在各方面營運的基礎。Vault 賦予我們敏捷性、透明化和世界一流的支援,讓我們建立符合現今和未來需求的解決方案,而不必時常擔心一個管理不善的機密會破壞我們的工作。」一 Ton van Dijk

顛覆您的科技體驗

Van Dijk 説,Vault 對公司來說是個救星,因為 Vault 完成以前解決方案無法做到的整合和部署,使他能專注在更有價值的事物上,例如可能管理從其他內部平台遷移的 SSL 憑證,或規劃未來的加密即服務 (encryption-as-a-service) 產品。
雖然大多企業傾向以最直觀的投資回報 (ROI) 指標來衡量成功與否 —— 這似乎適合金融機構—— 但 Van Dijk 和他的團隊反而將重點放在 Vault 為企業帶來的效益來評估其表現。

「儘管我們還沒把重點放在數量統計上,如導入客戶端應用程式的憑證數量,但我們將在之後幾個月加入多達 25 個新平台,這對我們公司成長很重要,” Van Dijk 說。 “如果沒有像 Vault 這樣的機密管理解決方案來為我們最重要的 workloads 運行 Kubernetes,並立即自動使用新平台,這一切都是不可能的。」

多虧 HashiCorp 的即時支援、廣泛的資源庫以及 HashiCorp Consul 等產品組合,他的團隊快速部署了 Vault,Van Dijk 因此對公司以後執行更大的企劃十分有信心。

成果

  • 消除了昂貴的臨時機密模組 (ephemeral secrets module),降低成本和複雜度
  • 靈活的機密管理讓 20 多個新平台得以啟用
  • 為加密即服務模組 (encryption-as-a-service model) 奠定基礎

相關文章

HashiCorp VaultㄧComcast Xfinity Mobile 用 Vault 和 Spring Cloud Config 擴展安全性

HashiCorp Vault 與 Spring Boot 和 Spring Cloud Config 一起使用,幫助 Xfinity 降低了對啟動器依賴性,給他們一個「vault 啟動器」便能讓整個企業的作業自動連接,資源庫在啟動時能獲取密鑰,鞏固安全性。

14 2 月 2022
HashiCorp VaultㄧASAPP 在 Kubernetes 上使用 Operator 模式實現自動化端到端服務

ASAPP 在 Kubernetes 上使用 Operator 模式運行 Vault,讓客戶能夠與 Vault 整合並管理機密,而無需被任何 SRE 干擾。此篇文章,我們將討論在 VM 到 Kubernetes 上運行 Vault 的歷程,並討論在 Kubernetes 上運行的優勢。

08 3 月 2022
HashiCorp-Vault-Image
HashiCorp Vaultㄧ保護星巴克 100,000 多台邊緣裝置的機密和身份

Starbucks 使用 HashiCorp Vault 為 100,000 多個零售邊緣裝置建構機密和身份管理功能的架構模式,為邊緣環境中的 DevSecOps 帶來極大價值。藉由 Vault 靈活和可擴展的身份驗證方法、機密引擎、眾多彈性且多元的模式實現密碼零困境。

28 1 月 2022
HashiCorp Vault|Elvia 有效整合智能電錶

挪威電力公司 Elvia 使用 HashiCorp Terraform 和 Vault 強化其系統,整合 950,000 個智能電錶,以及跨公用事業雲端和地端營運平台的機密。並建立綠能配電的新未來,實現對雲端和地端系統的高自動化、能見度和控制力。

11 2 月 2022
Vault ㄧ GM Cruise 保護自動駕駛汽車和製造者

GM Cruise 利用 Vault 保護自動駕駛汽車和製造者,主要的安全目標是進行平穩的變更,並實施適當的身份驗證和檢索。藉由自定義應用程式管理政策和配置、端到端測試、大規模運用 SSH 並設定政策,而 SSH EasyPass 也是一個更永續的實踐方式。

23 3 月 2022
510-Vault Webinar-社群講師
《歐立威科技 2023 研討會》5/10 | HashiCorp Vault on AWS & K8s – 雲端地端通吃的私鑰管理平台

本次活動邀請到在金融業服務的社群講師-張哲嘉,他將分享企業如何在雲端與地端部署與應用 HashiCorp Vault。

18 4 月 2023
HashiCorp Vault Image
HashiCorp VaultㄧGithub 在 Vault 的陪伴下成為全球首屈一指的開源社群

HashiCorp Terraform 幫助 GitHub 開發團隊建立了一個自助服務的商業模式。此外 Vault 取代手動機密管理功能,只要部署應用程式,就會自動導入機密,方便管理憑證和權限,以大幅降低負載平衡配置時間。

08 2 月 2022
HashiCorp Vault Black man
HashiCorp Vault 帶領 Pandora 以音速前進

Pandora 採用了 Consul,利用集中管理的方式大大簡化了服務網路,也簡化了探索、自動化的工作流程。另外 Vault 將整個營運整合到統一的生態系統中,讓部署時間縮短至 15 分鐘。HarshiCorp 讓工作流程標準化,以提供高效和一致的產品

09 2 月 2022
HashiCorp Vault ㄧ eBay 以 HashiStack 的基礎架構即程式碼達成全面容器化平台

eBay 藉由 HashiStack 的基礎架構即程式碼,從地端管理的基礎架構遷移到OpenStack 私有雲的基礎上運作,因此 Terraform 僅負責與所有不同的元件進行溝通,達成全面容器化平台。較少的配置管理和易於部署,提供平台即服務的解決方案。實現可重複性,易於理解的管理。

11 2 月 2022
HashiCorp Vault 機密管理工具 (加密/存取)的最佳選擇|運作流程、核心功能與用例

HashiCorp Vault 是一個基於身份機密和加密管理系統,Vault 給予客戶(用戶、機器、應用程式)機密權限或機敏資料時,會先對身份進行驗證和授權。現代的系統往往需要存取大量機密,這些機密包括資料庫憑證、用於外部服務的 API 金鑰以及服務導向架構通訊憑證等等。Vault 正是為了解決這種煩惱而生。

07 11 月 2022
abn-amro-image
HashiCorp Vault ㄧ荷蘭銀行_一切始於雲端安控

透過 Vault,企業資安團隊建置了一套中央控管的密鑰管理資料庫,消除了人為將密鑰政策應用在新的應用系統和主機中的流程。這個獨立於雲外的架構,透過將許多耗時且費工的程序自動化後,大幅的簡化了分享憑證和密鑰管理的過程。「Vault 的動態密鑰以及 API 加密能力,搭配上他的密鑰植入以及通訊保全的功能,讓我們可以很有信心的把應用系統上到容器系統中,但是卻只用了以前的幾分之一的時間」,Van Dijk 說:「我們現在可以不用加人加成本或加額外的學習曲線之下,在 AWS 和 Azure 中管理臨時性的密鑰」。

06 8 月 2021
HashiCorp Vaultㄧ Banca Popolare di Sondrio 利用 HashiCorp Vault 處理應用程式機密

義大利零售銀行(Banca Popolare di Sondrio)藉由 Vault 處理應用程式機密。透過進入雲端原生架構和 Vault 的兩階段應用,以解決單一身份管理、手動密碼輪換、應用程式憑證的密碼管理、隔離使用權等挑戰。進而將安全策略轉移,並透過憑證連接到其他服務,用於日誌和稽核。

21 1 月 2022
HashiCorp VaultㄧQ2’s Nomad 利用 Consul 和 Vault 動態檢索機密

Q2 的 Nomad 環境利用 Consul 和 Vault 整合動態檢索機密,運用令牌身份驗證方法,以及使用 Vault 的動態憑證。也探討模板化、在堆棧之間重新使用容器映像,並介紹在地端運行 Nomad 的最佳實踐。最後,本文將介紹他們使用現代化方法在傳統 VMware 資料中心環境中管理 VM。

08 3 月 2022
Omni-X-HashiCorp-Vault
《2021 系列研討會 DevOpsDays 》11/24 | HashiCorp Vault x Kubernetes – 如何在零信任環境下提高 Kubernetes 的安全性

本次研討會將介紹 K8s 的基礎面來探討其在安全性層面上的不足之處,並展示如何利用 HashiCorp Vault 解決這類安全性問題等。也將實際 demo 給各位參考。

01 11 月 2021
Vault 成功案例:Anaplan 與 Vault 整合儲存機密

Anaplan 使用 Vault 減少管理機密的時間,機密和配置管理儲存到單一的機密管理平台,提高營運效率,不僅減少手動機密管理和網路服務的時間,也減少了設置、管理和監控第三方儲存系統的必要性,節省多達 30% 的實例成本、資本支出和時間成本。

22 3 月 2022