HashiCorp Vault ㄧ Cimpress_量身訂做的企業採用量身訂做的密鑰管理
量身訂做的企業採用量身訂做的密鑰管理
世界領先的品牌化及商業印刷的公司使用 HashiCorp Vault 管理 13 個分支機構的密鑰
// Infrastructure Enables Innovation
有關 Cimpress
Cimpress 長期以來從事於創造以客戶需求為中心、新創級的、大量客製化的生意。大量客製化是一門很有競爭力的生意,目標在用接近大量生產的效率,生產滿足顧客個人需求的產品及服務。Cimpres 著重的業務大約 12 項,均由中央管理且執行共同策略與企業行動計劃的獨立機構所執行。
推動客製化的「安控即服務」
「Vault 獨立於雲架構,而且和全部的終端用戶所仰賴的業務,如 LastPass,整合得很好。所以將它推行出去變得很容易,大家都能一下學會怎麼用」-克里斯多福.湯姆,資安工程師。
幸虧有了 Cimpress 和它的分支機構,全世界許多企業才可以驕傲的將他們的品牌標誌呈現在信紙標題和衣飾上。為知名品牌的母公司如 Vistaprint、BuildASign 以及超過一打的其他公司,在這個激烈競爭的數位世界中,提供創新的、大量客製化的實體品牌及商業印刷產品。
要提供全球客戶幾乎無限制的產品組合,意味著這家公司必須支援大範圍的電子商務、產品設計以及雲端平台。但是這家公司的分支機構所面對的市場,其應用系統以及資料治理法規都是相當複雜多樣的,因此如何保護系統以及機敏性顧客資料就變成一個新的複雜挑戰。
「每一個分支機構都有其服務個別客戶的最佳做法,但是我們必須以單一企業的眼光來管理安控問題」,Cimpress 首席應用系統安全工程師康納‧曼康博士說:「我們想要建立一個通用的企業級安控標準,並為各個分支機構設計他們可以自行管理的安控機制。要達成這個目標,我們必須把我們目前地端建置的密鑰管理工具,代之以更容易擴展的架構,能夠兼容各個分支機構特定的商業及法規需求」。
大小皆宜
在過去,Cimpress 的應用系統安控團隊依靠中央控管的私鑰伺服器安全的儲存全公司的存取憑證,這是一個地端的解決方案,與 AD 整合,只能透過 VPN 或是管理帳號操作。
每一個個別的分支機構都有它自己的技術工具組合,但隨著在雲端發展越來越多的應用系統後,這套解決方案就越來越難跟上腳步,提供足夠安全的存取機制給系統、應用程式、以及資料庫。
隨著時間的腳步,這 13 個分支機構已經發展出成千上萬的安裝節點及虛擬機,他們存取其他系統時通常都透過授權令牌以及密鑰,但是並沒有和其他分支機構的系統做整合。
「我們並沒有標準的更新密鑰或密碼的程序,所以每一次我們改變系統裡的密鑰,我們就必須去密鑰伺服器上變更」,資安工程師克里斯多福.湯姆說:「而且因為我們的工具不能和 GitLab 整合,我們每改一次密鑰伺服器上的密碼,我們就必須手動複製貼上到我們的中央資料庫中以保持同步」。
除了手動維護密鑰所需要時間與精力,曼康認為遺失密鑰以及重要系統地的存取資訊的風險,才真的會讓團隊睡不著覺。瘋狂的步調和巨量的變更搞得整個團隊昏頭轉向,有時候他們甚至隨便找個方法來追蹤—有時候寫在程式裡、設定檔裡,有時候用便利貼黏在某人的桌上—隨時都有可能將敏感資訊落入有心人手中。
「在應用系統的安控領域中,沒辦法好好保護顧客資料或是系統當機根本是罪無可逭的,因為後端系統斷連根本就不該發生」,他說:「你不只可能因為違反了資料管理的法規而面臨罰款的危險,更嚴重的是你的品牌信譽可能在一夕之間就因為系統無法運作就毀掉,而且終端用戶再也不會相信你有能力保護資訊的安全」。
挑戰
「透過 Vault,我們可以創建幾十個完整的命名空間,每天僅用以前零頭的時間,自動產生成千上萬的安控授權令牌給所有的分支機構使用」- 康納.曼康博士 首席應用系統安全工程師
聰明的採購:一站購足式的安控
HashiCorp Vault 帶給 Cimpress 團隊極大的便利—曼康和資訊安全工程師米蓋·費南德茲,以及湯姆和他的資深資訊安全工程師帕布羅·德拉·康賽布遜一同建立了整個企業的基礎密鑰管理策略,用以引導設置資料安全相關參數,滿足每一個分支機構的獨特需求。
「Vault 獨立於雲架構,而且和全部的終端用戶所仰賴的業務,如 LastPass,整合得很好。所以將它推行出去變得很容易,大家都能一下學會怎麼用」,湯姆說:「更重要的是,它具有擴展性,而且它的自動化機制在每一個層面都大幅的減少了許多耗時的場景」。
這個解決方案讓這個小而精實的團隊得以建立一個完整的「安控即服務」的模型,來服務整個企業中幾千人同時存取的需求,改善了整體的安控態勢。而它又採用了 HashiCorp Packer 及 Terraform,得以快速配置硬體設配及基礎設施,因此 Vault 讓曼康的團隊得以集中精力在集群的安控上面,在新的集群加入時可以保持密鑰參數的更新,不用像以前一樣必須要為每一個分支機構發展新的密鑰管理解決方案。
每一個分支機構都配置了自己的命名空間,集中儲存並分送如授權令牌、密碼、憑證、或是加密序號等密鑰。然後曼康的團隊為每一個命名空間設定壁壘,確保不同的團隊會被區隔開來,只能存取他們自己的密鑰。他們也持續支援和記錄各分支機構不斷提出的需求—這是一個降低不同單位不同法規下的問題的好安排。
這個方法避免把資源和密鑰分享給各團隊或分支機構以外的人,同時讓曼康的團隊能監督安控,擁有更完整的災難復原能力。
「Vault能和GitLab及AWS整合,對我們來說有很大的好處,因為它自動產生憑證,包含臨時憑證,簡化了我們每天都要面對的繁難程序」,曼康說:「更重要的是,它減輕了工程和開發部門沉重的負擔,讓他們可以更聚焦於如何創造能讓顧客資料更安全的商業解決方案,所以這個解決方案真的是如我們這麼小規模的團隊想要管理像我們這麼大企業的密鑰的唯一解方」。
給需要即選即得的世界一個即選即得的安控
曼康和湯姆都同意 Vault 與其它的併同支援的 HashiCorp 解決方案能夠充分的支援 Cimpress 公司多樣性品牌的業務以及資料安全。由於這個團隊選擇的是企業級多租戶共用的安控軟體,該團隊就必須要再母公司這裡創建一個「安控即服務」的模型,讓母公司旗下的各分支機構都能管理他們自己的密鑰和安控政策。
這個解決方案給了團隊大量的設定與整合的選項,讓 Cimpress 的工程師可以縮短學習曲線,花更少的固定成本就能建立更安全的解決方案。
曼康表示,用 Vault 可以更容易的管理安控政策規則,自動汲取 AWS EC2 伺服器的資料,並能每天自動產生 12 萬個授權令牌以及 AWS 憑證。同時,該團隊善用命名空間來區隔不同的分支機構到不同的區間當中,在 30 秒內就可以完成各區間的參數與限制式的設定。
「有了 Vault,我們每天就可以花以前零頭的時間,透過幾十個完整的命名空間,自動產生成千上萬個安控授權令牌」,他說:「以往手動將密碼及密鑰複製貼上到另一個系統的做法,對管理全企業的密鑰來說,實在是曠日廢時。透過Vault,我們終於可以高枕無憂了。」
成果
解決方案
Cimpress 刻正使用 HashiCorp Vault 建立幾十個命名空間,讓企業內的分支機構可以在 Vault 企業版中建立獨立區隔的環境,可以根據各機構的需求和環境來定義不同的安控策略和授權方法,並透過密鑰引擎和授權令牌保護應用程式和系統中的密鑰。
Cimpress 合作夥伴
技術產品組合
- Infrastructure: AWS EC2, ALB
- Workload type: Linux
- CI/CD: GitLab
- Storage: HashiCorp Consul
- Version Control: GitLab
- Provisioning: HashiCorp Terraform, HashiCorp Packer
- Security management: HashiCorp Vault