HashiCorp Vault ㄧ 荷蘭銀行 (ABN AMRO Bank) 與 Vault 打造雲端安全
一家頂尖的金融機構如何使用 HashiCorp Vault 來自動化機密管理並為其不斷增長的產品組合帶來巨大收益。
公司簡介
荷蘭銀行 (ABN AMRO Bank) 是荷蘭第三大銀行,總部位於阿姆斯特丹。 荷蘭銀行為零售、企業和私人銀行客戶提供全方位的金融產品和解決方案。2008 年,荷蘭銀行與荷蘭富通銀行一起被荷蘭政府國有化,並於 2015 年成為上市公司。
絕對不會存在超過一天的機密
很少有行業像銀行一樣需要隱私和安全級別,也很少有銀行像荷蘭銀行有這麼高的資安需求。
該銀行為其客戶提供全面的產品和服務。 但是對於公司擁有 400 人的資訊安全團隊 (CISO) 來說,保護這些系統、應用程式和資料是一項艱鉅的任務。
「在我們眾多客戶和後端商業應用程式中執行使用權和身份管理一直很有挑戰性,但可以透過我們現有的安全解決方案進行管理,即使我們增加了數千個新賬戶和用戶,」該銀行產品負責人 Ton van Dijk 説。「但是,我們需要額外的模組和手動監控來管理舊有的系統,包括內部應用程式和基礎架構中的暫存後端機密與金鑰,因此我們決定尋求一個更流暢、自動化的方式來解決這個問題。」
「 Vault 靈活的機密管理和 API 加密功能,再加上其機密導入 (secrets injector) 和安全通訊,讓我們可以像以前一樣輕鬆將應用程式加載到我們的容器平台上,且只需花很少的時間就能做到。」一 Ton van Dijk
避免骨牌效應
儘管金融業以精密的資料驗證技術聞名,而這些技術在早期頗有挑戰性,但荷蘭銀行進行了數位轉型,以實現現代化精神。然而,雖然多重雲端的 IT 環境和容器化開發環境為其不斷增長的產品組合提供效率,但它也為 CISO 團隊帶來了一系列新的複雜性和挑戰。
「機密管理是我們企業很重要的一環,因為如果任何機密外洩,都會對下游產生巨大影響,」Van Dijk 說。「即使是一個外洩的簽署憑證也可能使整個系統離線,也就是可能失去線上應用程式的使用權,或者讓它們處在有人惡意將某些內容注入應用程式的風險之下。這問題實在不容小覷。」
該銀行以前的機密管理解決方案有許多開箱即用的系統連接器,但這些連接器仍需大量程式碼才能設定新應用程式。 更糟糕的是,自我管理的平台沒有與團隊的 Kubernetes 做很好的整合,也就是說團隊的工程師必須為新應用程式或容器建立自定連接器,這可能需要幾天時間才能達到測試準備階段。
另外,荷蘭銀行知道他們需防止機密外洩。 由於許多應用程式和平台都有自己的 secrets engines,需在損害產生前立即撤回機密,因此統一監控十分重要。 當機密分散在眾多解決方案中時,這會變得難以控制。
「這整個過程告訴我們:內部和自我管理的機密系統需要第三方支援才能進行任何的更改,這是一種耗時且低效率的方式,」Van Dijk 解釋。 更廣泛地說,「我們需要一個支援容器化開發及自動化的雲端原生環境,且無需進行冗長又昂貴的平台更新或技術更新。」
挑戰
- 安全管理暫存機密 (ephemeral secrets)
- 降低對手動機密管理的依賴
- 將客戶端應用程式和內部應用程式載入機密伺服器
為何選擇 Vault?
為企業提供集中、靈活的機密管理
荷蘭銀行 CISO 團隊希望通過從內部開發的應用程式和腳本中消除 hardcoded credentials 來改進其機密管理,並經安全專家的概念驗證後,採用了 HashiCorp Vault。
透過 Vault,CISO 團隊建立了一個統一的機密管理資源庫,並且無需人工將機密政策手動應用於新應用程式和主機。雲端中立 (cloud-agnostic) 平台將許多費時費力的流程自動化,簡化了 shared credentials 和機密管理。
「資料和系統安全是我們在各方面營運的基礎。Vault 賦予我們敏捷性、透明化和世界一流的支援,讓我們建立符合現今和未來需求的解決方案,而不必時常擔心一個管理不善的機密會破壞我們的工作。」一 Ton van Dijk
顛覆您的科技體驗
Van Dijk 説,Vault 對公司來說是個救星,因為 Vault 完成以前解決方案無法做到的整合和部署,使他能專注在更有價值的事物上,例如可能管理從其他內部平台遷移的 SSL 憑證,或規劃未來的加密即服務 (encryption-as-a-service) 產品。
雖然大多企業傾向以最直觀的投資回報 (ROI) 指標來衡量成功與否 —— 這似乎適合金融機構—— 但 Van Dijk 和他的團隊反而將重點放在 Vault 為企業帶來的效益來評估其表現。
「儘管我們還沒把重點放在數量統計上,如導入客戶端應用程式的憑證數量,但我們將在之後幾個月加入多達 25 個新平台,這對我們公司成長很重要,” Van Dijk 說。 “如果沒有像 Vault 這樣的機密管理解決方案來為我們最重要的 workloads 運行 Kubernetes,並立即自動使用新平台,這一切都是不可能的。」
多虧 HashiCorp 的即時支援、廣泛的資源庫以及 HashiCorp Consul 等產品組合,他的團隊快速部署了 Vault,Van Dijk 因此對公司以後執行更大的企劃十分有信心。
成果
- 消除了昂貴的臨時機密模組 (ephemeral secrets module),降低成本和複雜度
- 靈活的機密管理讓 20 多個新平台得以啟用
- 為加密即服務模組 (encryption-as-a-service model) 奠定基礎