fbpx

HashiCorp Vault ㄧ荷蘭銀行_一切始於雲端安控

Hashicorp Vault 成功案例 成功案例 2021 年 8 月 6 日 最後更新時間 : 2024 年 1 月 19 日

一切始於雲端安控

ABN AMRO Bank

世界一流的金融機構如何使用 HashiCorp Vault 把密鑰管理自動化,並在產品投資組合中獲得巨大利益

// Infrastructure Enables Innovation

有關荷蘭銀行

荷蘭銀行 (ABN AMRO Bank N.V.) 是荷蘭第三大銀行,總部在阿姆斯特丹。荷蘭銀行提供全方位的金融產品及服務給零售業、法金、以及個金客戶,業務焦點主要在西北歐,服務六百萬客戶,雇用 18,000 名員工。2008 年該銀行與富通銀行荷蘭分行同時被荷蘭政府國有化,並在 2015 年成為上市公司。 

ABN AMRO Bank

「Vault 的動態密鑰以及 API 加密能力,搭配上他的密鑰植入以及通訊保全的功能,讓我們可以很有信心的把應用系統上到容器系統中,但是卻只用了以前的幾分之一的時間」-Ton van Dijk, 敏捷產品經理,荷蘭銀行

很多產業需要和銀行一樣的等級的隱私和安控,很多銀行也有和荷蘭銀行一樣強烈的對安控的要求。

該銀行提供完整的金融產品與服務給顧客,但是這些應用系統和資料的安控卻是有著 400 人規模的企業資安辦公室 (CISO) 的噩夢。

「對不同的顧客與終端應用系統執行存取與身分辨識,對我們現行的安控解決方案來說是非常有挑戰性,但是還不至於管理不了,即便我們增加了數以千計的新帳戶與顧客」,Ton Van Dijk,該銀行的敏捷產品經理說:「但是,我們的主機系統需要額外的模組以及人工的監控,才能管理內部應用系統及基礎架構中的暫時性終端密鑰,所以我們決定去尋找更能自動接軌、更自動的方式,來解決我們業務中最重要的成分」。

預防骨牌效應

雖然金融機構一向都是只用可靠的技術,讓新技術的採行變的相當困難,但是荷蘭銀行依然進行了數位轉型,對他的業務進行現代化,接軌未來。對於企業資安辦公室來說,多雲的資訊策略以及容器化的開發環境也許提供了它們在金融產品愈增時最需要的效能提升,但是也帶來了新的複雜度和挑戰。

「密鑰管理是我們工作中最緊要的一塊,因為如果任何的密鑰洩漏了,就會產生連鎖效應」,Van Dijk 說:「即使是單一個洩漏出去的憑證,也會讓整個系統失效,那就意味著無法存取到線上的應用系統,或是把系統暴露在被惡意植入的風險之中,所以基本上沒有犯錯的空間」。

該銀行以往使用的密鑰管理解決方案有許多現成的系統連接元件,需要很多程式來連接到新的應用系統。更糟的是,這個自我管理的平台並沒有整合進這個團隊的 Kubernetes 框架中,所以這個團隊的工程師就必須花好幾天為新的應用系或容器建立客製化的連接元件,才能進入測試階段。

另外,荷蘭銀行了解它們必須預防密鑰散落的問題。每個應用系統和平台都有他們自己的密鑰機制,所以如果有嚴重的密鑰被竊事件發生時,一個集中控管並可迅速吊銷密鑰的機制就很重要了,所以密鑰如果散落各地,管理上會非常困難。

「這整個程序告訴我們,擁有一個地端建置、需要自我管理、又需要第三方的支援才能應付改變的密鑰系統,實在是一個非常耗時又沒有效率的管理工具」,Van Dijk 更進一步說:「所以我們立刻就很清楚的知道我們需要一個雲端原生的環境來支援容器化的開發過程以及自動化,但是不需要一個徹底且昂貴的平台或技術重塑的過程」

挑戰

ABN AMRO BANK CHALLENGE

荷蘭銀行的企業資安團隊渴望能提升它們的密鑰管理,消除已開發的的應用系統與程式中寫死的憑證,因此在軟體開發及安控專家進行了幾輪的 POC 之後,採用了 HashiCorp Vault。

透過 Vault,企業資安團隊建置了一套中央控管的密鑰管理資料庫,消除了人為將密鑰政策應用在新的應用系統和主機中的流程。這個獨立於雲外的架構,透過將許多耗時且費工的程序自動化後,大幅的簡化了分享憑證和密鑰管理的過程。

「Vault 的動態密鑰以及 API 加密能力,搭配上他的密鑰植入以及通訊保全的功能,讓我們可以很有信心的把應用系統上到容器系統中,但是卻只用了以前的幾分之一的時間」,Van Dijk 說:「我們現在可以不用加人加成本或加額外的學習曲線之下,在 AWS 和 Azure 中管理臨時性的密鑰」。

中央控管及動態的密鑰管理才能應對快速成長的企業

荷蘭銀行的企業資安團隊渴望能提升它們的密鑰管理,消除已開發的的應用系統與程式中寫死的憑證,因此在軟體開發及安控專家進行了幾輪的 POC 之後,採用了 HashiCorp Vault。

透過 Vault,企業資安團隊建置了一套中央控管的密鑰管理資料庫,消除了人為將密鑰政策應用在新的應用系統和主機中的流程。這個獨立於雲外的架構,透過將許多耗時且費工的程序自動化後,大幅的簡化了分享憑證和密鑰管理的過程。

「Vault 的動態密鑰以及 API 加密能力,搭配上他的密鑰植入以及通訊保全的功能,讓我們可以很有信心的把應用系統上到容器系統中,但是卻只用了以前的幾分之一的時間」,Van Dijk 說:「我們現在可以不用加人加成本或加額外的學習曲線之下,在 AWS 和 Azure 中管理臨時性的密鑰」。

成果

amro-bank-result

荷蘭銀行刻正使用 HashiCorp Vault 建立中央控管的密鑰管理系統,橫跨 AWS、Azure 以及其他的內部應用系統,將密鑰的植入與 API 加密予以自動化,提升了效能也減少了嚴重的密鑰問題。

有關 Ton van Dijk

技術產品組合

  1. Infrastructure: Microsoft Azure, IBM and Cisco clouds on-premises, mainframe
  2. Platform: Windows server, Linux, Z-OS
  3. Load balancers: Windows
  4. API gateway: Apigee, APIM
  5. CA: CGI managed service (internal certs) plus a few commercial cert providers
  6. IAM: Sailpoint, Ping Identity (customers IAM), Ping Federate (SSO)
  7. APM (Application Performance Mgt): Splunk, Tivoli (on-premises), Log analytics (Azure)
  8. Provisioning: ServiceNow, Azure devops
  9. Security management: HashiCorp Vault

相關文章

HashiCorp Vault Image
HashiCorp Vault – 零信任,每件事都要驗證身分與授權

HashiCorp 的以身分辨識為基礎的安控及存取機制,為企業安全地將基礎設施、應用系統、以及資料轉移到雲環境中,打下了堅實的基礎。

20 8 月 2021
HashiCorp VaultㄧQ2’s Nomad 利用 Consul 和 Vault 動態檢索機密

Q2 的 Nomad 環境利用 Consul 和 Vault 整合動態檢索機密,運用令牌身份驗證方法,以及使用 Vault 的動態憑證。也探討模板化、在堆棧之間重新使用容器映像,並介紹在地端運行 Nomad 的最佳實踐。最後,本文將介紹他們使用現代化方法在傳統 VMware 資料中心環境中管理 VM。

08 3 月 2022
Elastic Security: Limitless XDR 單一平台解決方案

Limitless XDR 整合 SIEM 及 Endpoint 安全功能,預防、檢測和響應威脅,使用 SIEM 和安全分析進行大規模防禦,並用於跨環境分析的通用資料收集、遠端主機檢查和分佈式響應來擴展端點安全性。此外,新增 Cloud Security 的 CSPM 功能提升安全性並確保符合組織策略。

12 4 月 2022
510-Vault Webinar-社群講師
《歐立威科技 2023 研討會》5/10 | HashiCorp Vault on AWS & K8s – 雲端地端通吃的私鑰管理平台

本次活動邀請到在金融業服務的社群講師-張哲嘉,他將分享企業如何在雲端與地端部署與應用 HashiCorp Vault。

18 4 月 2023
HashiCorp Vault Image
HashiCorp VaultㄧGithub 在 Vault 的陪伴下成為全球首屈一指的開源社群

HashiCorp Terraform 幫助 GitHub 開發團隊建立了一個自助服務的商業模式。此外 Vault 取代手動機密管理功能,只要部署應用程式,就會自動導入機密,方便管理憑證和權限,以大幅降低負載平衡配置時間。

08 2 月 2022
Vault 成功案例:Anaplan 與 Vault 整合儲存機密

Anaplan 使用 Vault 減少管理機密的時間,機密和配置管理儲存到單一的機密管理平台,提高營運效率,不僅減少手動機密管理和網路服務的時間,也減少了設置、管理和監控第三方儲存系統的必要性,節省多達 30% 的實例成本、資本支出和時間成本。

22 3 月 2022
HashiCorp Vault Black man
HashiCorp Vault 帶領 Pandora 以音速前進

Pandora 採用了 Consul,利用集中管理的方式大大簡化了服務網路,也簡化了探索、自動化的工作流程。另外 Vault 將整個營運整合到統一的生態系統中,讓部署時間縮短至 15 分鐘。HarshiCorp 讓工作流程標準化,以提供高效和一致的產品

09 2 月 2022
Omni-X-HashiCorp-Vault
《2021 系列研討會 DevOpsDays 》11/24 | HashiCorp Vault x Kubernetes – 如何在零信任環境下提高 Kubernetes 的安全性

本次研討會將介紹 K8s 的基礎面來探討其在安全性層面上的不足之處,並展示如何利用 HashiCorp Vault 解決這類安全性問題等。也將實際 demo 給各位參考。

01 11 月 2021
Elastic Security: 雲端安全 – Cloud Security

Elastic Cloud 服務致力於資料安全和隱私保護,仔細審查第三方供應商的同時確保強大的實體安全性控制,藉由內建邏輯安全控制,實施存取控制和日誌紀錄、提供資料可用性,並且遵循 GDPR 和 SOC 2 的營運規則進行全方位漏洞管理,保護您的帳戶。

13 4 月 2022
10 分鐘了解 Elastic Security 四大功能,端點、雲端安全的全面防護!

Elastic Security 的四大功能(Limitless XDR、SIEM、Endpoint、Cloud)在面對資訊安全的威脅,藉預防和響應提升安全性、準確的洞察力、持續監控,實現了安全營運現代化,並支援跨資料分析、自動化關鍵流程以及原生端點安全性,以提供更專業的整合性的服務。

20 4 月 2022
Elastic Webinar
《歐立威科技 2022 研討會》9/29 | Elastic Security : 監測 x 告警,揪出潛在威脅!

歐立威科技攜手 Elastic 參展 2022 台灣資安大會,特別舉辦本場資安研討會,更全面地介紹 Elastic 最新的資安解決方案,歡迎報名本場活動 。

18 9 月 2022
Elastic Microsoft Azure Image
Microsoft Azure 中的 Elastic 加強了搜索以提升資料洞察

透過 Elastic 和 Microsoft Azure 能消除資料孤島,並在 Microsoft Azure 和企業內部環境中加深洞察力。Elasticsearch 由 Elastic 的專業人員運作、修復、維護和支援,因此您能專注在您的作業上

03 1 月 2022
517 Elastic Security
《歐立威科技 2023 研討會》5/17 | Elastic Security- 檢測、調查和應對多變的威脅

本次研討會特地邀請 Elastic 原廠講師 Elena ,分享 Elastic Security 解決方案,不論是在資安攤位上聽不過癮,還是錯過資安大會的人,都歡迎參加本次活動!

20 4 月 2023
HashiCorp VaultㄧComcast Xfinity Mobile 用 Vault 和 Spring Cloud Config 擴展安全性

HashiCorp Vault 與 Spring Boot 和 Spring Cloud Config 一起使用,幫助 Xfinity 降低了對啟動器依賴性,給他們一個「vault 啟動器」便能讓整個企業的作業自動連接,資源庫在啟動時能獲取密鑰,鞏固安全性。

14 2 月 2022
HashiCorp Vaultㄧ Banca Popolare di Sondrio 利用 HashiCorp Vault 處理應用程式機密

義大利零售銀行(Banca Popolare di Sondrio)藉由 Vault 處理應用程式機密。透過進入雲端原生架構和 Vault 的兩階段應用,以解決單一身份管理、手動密碼輪換、應用程式憑證的密碼管理、隔離使用權等挑戰。進而將安全策略轉移,並透過憑證連接到其他服務,用於日誌和稽核。

21 1 月 2022