HashiCorp Vault 成功案例:UBISOFT 利用 Vault 打造安全的遊戲天堂

HashiCorp Vault 成功案例:Comcast Xfinity Mobile 用 Vault 和 Spring Cloud Config 擴展安全性
2022-02-14
Observability 有效的管理與監控
2022-02-15

線上遊戲的先驅 UBISOFT 使用 HashiCorp Vault 來增強其全球性遊戲平台的安全、可用性和性能。

ubisoft-vault

公司介紹

Ubisoft 成立於 1986 年,總部位於巴黎,擁有 20,000 名團隊成員,分佈在全球 30 多個地點,他們都肩負著共同使命,即打造原創和難忘的遊戲體驗豐富玩家的生活。該公司是許多著名電玩系列的發行商,例如《刺客教條》、《彩虹六號》、《極地戰嚎》、《看門狗》、《雷射超人系列》和《Just Dance》。

 

遊戲走向全球

近 40 年來,Ubisoft 一直走在電玩遊戲開發的最前端,設計和推出了一些很經典的遊戲系列。電玩遊戲從以前以 CD 光碟為主的單一平台發展成線上遊戲,提供更加身歷其境、引人入勝的視覺體驗之外,確保遊戲處在最佳性能所需的 IT 基礎架構支援也在發展當中。對 Ubisoft  來說,這意味著需運行多達六個自己的資料中心,才能提供最佳的線上體驗。從裸機伺服器開始,然後是虛擬化環境和 OpenStack 私有雲,該公司廣泛的 IT 足跡現已作為平台即服務 (PaaS) 部署在多個地區,其上千個應用程式和工作負載也遍佈多個公有雲供應商。在分散和異質的基礎架構中有這種增長量,卻帶來了許多機密管理挑戰和機密曝光的風險。

「我們一直都喜歡將每個團隊視為工作室,讓他們自主工作,因為這讓他們更靈活,對客戶和市場需求會做出更好的回應,無需仰賴中央工程團隊的指揮,」Ubisoft 副總監 Donald Havas 説。「但是,當團隊有自己的方法來管理機密和安全時,也會帶來一些特殊和令人擔憂的挑戰,因為可能會限制可見性,且彈性的欠缺會導致服務中斷或降級。」

 

「HashiCorp Vault 擁有我們所需的所有特性、功能和安全設定,可以推動整個公司作業的標準化,同時也確保每個團隊的自主性和個別的工作風格。」

 

用於非標準化開發的標準化祕技

在過去,各個 Ubisoft 團隊皆管理自己的機密和 tokens —— 管理從 MongoDB 或其他資料庫到 API 密鑰、軟體開發工具包 (SDK) 及由 Kubernetes 驅動的 CI/CD 管道的所有權限。由於使用這種零散的方法,即團隊使用內部和第三方工具(例如 Centrify 和 Passwork)來管理他們的機密,導致很少有最佳實踐且營運透明度有限。在現今市場上,遊戲開發者不僅要根據遊戲設計和玩法來評估,還要根據他們的可用性、性能和安全性來評估,將機密管理工作留給各個團隊似乎一定會給開發者和品牌引來問題。

Ubisoft IT —— 工程和平台產品負責人 Shuichi Sekino 表示:「我們曾發生過一些事件,像是機密已過期,我們無法查看或追蹤它們,引起一些意外停機問題。」「即使是由於認證過期或有人更改某個網站的密碼而導致的一天停機,也會顯著影響整個遊戲體驗,無論是新玩家註冊還是玩遊戲本身的體驗。」

Havas 表示,「Ubisoft 的 IT 和資安團隊開始依照標準化和自動化機密管理建立概念驗證,以提高彈性、可用性和安全性,且不會干擾團隊的遊戲開發進度。」這些團隊優先考慮的案例包括對不同機密類型、用戶界面、應用程式介面 (API)、以角色為基礎的訪問控制 (RBAC)、日誌記錄、稽核以及 metadata 的支援。

Vault 的開源版本非常符合 Ubisoft 對客製化開源技術的偏好。更重要的是,該工具豐富的自動化功能使 Ubisoft 能幾乎跨任何環境或平台來大規模管理機密。

「我們的對戰配對機制可能在 Azure 中,遙測可能在 AWS 中,其他功能可能在這個複雜的生態系統中的 Google 上運行。在所有這些平台上手動管理機密和輪換憑證,以確保它們的安全實際上是不可能的,」Havas 解釋說。「Vault 會以相同的方式在每個公有雲和私有雲中自動輪換對 tokens、密碼、認證和密鑰的權限,因此我們的開發人員不必浪費時間自己動手。」

 

挑戰

  • 在不影響單個團隊工作流程的情況下標準化機密管理,已達到最佳實踐
  • 降低資料外洩、意外服務停機和性能下降的風險
  • 用自動化解決方案代替手動機密和 token 管理

 

更高的可用性、更低的風險,以及卓越的遊戲體驗

儘管其他解決方案也提供了一些自動化功能,但沒有一個能比得上 Vault 的多平台互操作性和直觀的用戶界面。Vault 是滿足 Ubisoft 需求的理想解決方案。

「Vault 不需要很長的學習時間特殊培訓即可啟動和運行,因此能立即開始我們的集中化機密管理操作,並在所有團隊中達到最佳實踐,且管理該工具的資源顯著減少,」Sekino 說。「那些沒有以正確方式使用 Vault 或根本沒有使用它的團隊,現在可以為他們的工作室自動發布、停用或輪換機密,以大幅降低外洩或設定錯誤造成遊戲離線的風險。」

Havas 表示,除了公司廣泛使用 HashiCorp Terraform 來提供各種服務所需的基礎架構外,採用 Vault open source 和 Vault Enterprise 對於幫助維持其全球用戶所期盼的品質、性能和進階的遊戲體驗非常重要。

「HashiCorp 解決方案藉由消除手動機密管理和基礎架構編排經常導致的中斷和延遲,幫助我們提高了服務品質,並將我們的服務水平拉高至標準以上,」他說。「這一切都解決了,我們有信心再尋求更進階的方式擴展我們的平台,如 API 和 service mesh,這將幫助我們繼續為未來的玩家訂定線上遊戲的標準。」

 

成果

  • 將服務水準目標推向 99.9% 的正常運行時間,超過一般水準
  • 啟用跨多個雲平台的自動機密輪換,並降低手動管理機密的成本
  • 消除了由過期認證或錯誤設定機密所引起的意外服務中斷