HashiCorp Vaultㄧ Banca Popolare di Sondrio 利用 HashiCorp Vault 處理應用程式機密
內容目錄
公司簡介
Banca Popolare di Sondrio 是一家位於意大利北部的零售銀行。成立於 1871 年,在意大利北部和羅馬之間擁有 500多家分支機構,300 多名員工。擁有兩個數據中心,超過 2,300 台伺服器,大部分經過平台重建後都已虛擬化。並擁有 60% 的 Linux 和 40% 的 Windows 的作業系統分佈。此公司也擁有數百個 intranet-facing 的服務和應用程式。
使用產品
挑戰
-
單一身份管理
HashiCorp 有一些技術可以解決平台之間沒有整合,且沒有針對用戶、身份驗證和密碼的共同策略問題。例如身份管理、用戶目錄或單一簽入。因此引入數位身份及其生命週期管理讓我們可以更好地處理憑證。
隨著這些技術的引入,我們不需要儲存本地端的用戶,而這十分實用,但只適用於真實用戶,例如自然人用戶。主要問題仍然是應用程式,metadata 的問題,但僅限於應用程式。
這是一種基於應用程式伺服器的應用程式棧(application servers)。這些伺服器仰賴包含基於純文本的配置文件來連接資料庫,佇列管理程式,到任何可以回應我們的 Web 服務或 REST API 語言的服務,以及既有的後端系統。廣泛且多元的應用程式棧在我們管理應用程式憑證的方式上沒有進行標準化。至今,我們有密碼輪換、令牌,但過去無法強制執行這些策略。
-
手動密碼輪換
如何解決我們的手動密碼輪換?我們有時會犯錯,無法避免操作風險可能會引發的事故,而且這種事故會隨著時間的推移而增長。這種技術債務降低了處理密碼管理的信心。
-
應用程式憑證的密碼管理
使用應用程式憑證的密碼管理,對憑證進行定期稽核和強制檢查。如果應用程式的編寫方式已經很糟糕且太晚進行管理,這可能會導致輪換困難。
-
隔離使用權
在 90 年代,限制生產環境中的用戶和操作人員數量會導致在正式環境下故障排除的情況下更加困難。這些定期稽核,還有對單獨的非生產環境的進一步稽核,就像早期的左移測試(shift-left approaches)一樣,仍然是處理密碼和應用程式憑證的錯誤方式。
解決方案
-
進入雲端原生架構
Kubernetes 是雲端原生架構的顛覆者,因為它迫使我們進行去耦合。安全性在 Kubernetes 中的機密被視首要任務。但是,它僅適用於雲端原生應用程式和雲端原生環境。
-
Vault 的應用
Vault 可以輕鬆用於雲端原生應用程式。我們在第一階段利用了原生 Kubernetes 整合。這是一個更快的階段,對於安全性問題 Vault 提供基於 Kubernetes 的應用程式需要使用憑證連接到外部服務的商業解決方案。Vault 為這些新的雲端原生應用程式提供了幫助。但是,我們有些東西還不是原生雲的。因此,我們需要改進我們在採用 Kubernetes 和 Vault 時所理解的這些最佳實踐,例如,常見的應用程式堆棧和後端。在 Banca Popolare di Sondrio 内部,J2EE 應用伺服器或 Oracle 資料庫或 Postgres 資料庫和 Active Directory、後端服務。我們採用 Vault 的第二階段,採用更嚴格的策略能將後端系統與外部服務分離一手動操作自動密碼輪換。
成果
Vault 透過憑證連接到其他服務,用於日誌和稽核,讓我們更好地了解應用程式中發生的事情,用於日誌和稽核。
轉換為 Vault 安全策略將使我們更加遵守公司執行的最佳安全策略。也根據公司內部處理憑證的方式添加外部政策順服(compliance policies)。
Vault 滿足了公司許多需求,在配置文件、純文本甚至原始碼中保留的大量應用程式憑證。從雲端原生的架構的第一階段開始採用 Vault,而那是我們應用程式中最環保的領域,因節省了許多硬體裝置。第二階段採用 Vault 作為進入共通後端。從應用程式伺服器開始,利用 Vault 代理作為去耦合連接到 Vault 的應用程式。我們還有一個很好的方法來解去耦合應用程式如何從 Vault 檢索憑證。
現在, Vault 已在我們公司內部以及我們的 IT 部門中採用,我們正在將安全策略轉移並使用日誌進行稽核,並且可以從我們的安全工程師和 IT 工程師那裡編寫策略改進,以及基於歐洲銀行法規的外部政策,堅持更嚴格的內部企業政策。
