HashiCorp Vault ㄧ荷蘭銀行_一切始於雲端安控
一切始於雲端安控
世界一流的金融機構如何使用 HashiCorp Vault 把密鑰管理自動化,並在產品投資組合中獲得巨大利益
// Infrastructure Enables Innovation
有關荷蘭銀行
荷蘭銀行 (ABN AMRO Bank N.V.) 是荷蘭第三大銀行,總部在阿姆斯特丹。荷蘭銀行提供全方位的金融產品及服務給零售業、法金、以及個金客戶,業務焦點主要在西北歐,服務六百萬客戶,雇用 18,000 名員工。2008 年該銀行與富通銀行荷蘭分行同時被荷蘭政府國有化,並在 2015 年成為上市公司。
「Vault 的動態密鑰以及 API 加密能力,搭配上他的密鑰植入以及通訊保全的功能,讓我們可以很有信心的把應用系統上到容器系統中,但是卻只用了以前的幾分之一的時間」-Ton van Dijk, 敏捷產品經理,荷蘭銀行
很多產業需要和銀行一樣的等級的隱私和安控,很多銀行也有和荷蘭銀行一樣強烈的對安控的要求。
該銀行提供完整的金融產品與服務給顧客,但是這些應用系統和資料的安控卻是有著 400 人規模的企業資安辦公室 (CISO) 的噩夢。
「對不同的顧客與終端應用系統執行存取與身分辨識,對我們現行的安控解決方案來說是非常有挑戰性,但是還不至於管理不了,即便我們增加了數以千計的新帳戶與顧客」,Ton Van Dijk,該銀行的敏捷產品經理說:「但是,我們的主機系統需要額外的模組以及人工的監控,才能管理內部應用系統及基礎架構中的暫時性終端密鑰,所以我們決定去尋找更能自動接軌、更自動的方式,來解決我們業務中最重要的成分」。
預防骨牌效應
雖然金融機構一向都是只用可靠的技術,讓新技術的採行變的相當困難,但是荷蘭銀行依然進行了數位轉型,對他的業務進行現代化,接軌未來。對於企業資安辦公室來說,多雲的資訊策略以及容器化的開發環境也許提供了它們在金融產品愈增時最需要的效能提升,但是也帶來了新的複雜度和挑戰。
「密鑰管理是我們工作中最緊要的一塊,因為如果任何的密鑰洩漏了,就會產生連鎖效應」,Van Dijk 說:「即使是單一個洩漏出去的憑證,也會讓整個系統失效,那就意味著無法存取到線上的應用系統,或是把系統暴露在被惡意植入的風險之中,所以基本上沒有犯錯的空間」。
該銀行以往使用的密鑰管理解決方案有許多現成的系統連接元件,需要很多程式來連接到新的應用系統。更糟的是,這個自我管理的平台並沒有整合進這個團隊的 Kubernetes 框架中,所以這個團隊的工程師就必須花好幾天為新的應用系或容器建立客製化的連接元件,才能進入測試階段。
另外,荷蘭銀行了解它們必須預防密鑰散落的問題。每個應用系統和平台都有他們自己的密鑰機制,所以如果有嚴重的密鑰被竊事件發生時,一個集中控管並可迅速吊銷密鑰的機制就很重要了,所以密鑰如果散落各地,管理上會非常困難。
「這整個程序告訴我們,擁有一個地端建置、需要自我管理、又需要第三方的支援才能應付改變的密鑰系統,實在是一個非常耗時又沒有效率的管理工具」,Van Dijk 更進一步說:「所以我們立刻就很清楚的知道我們需要一個雲端原生的環境來支援容器化的開發過程以及自動化,但是不需要一個徹底且昂貴的平台或技術重塑的過程」
挑戰
荷蘭銀行的企業資安團隊渴望能提升它們的密鑰管理,消除已開發的的應用系統與程式中寫死的憑證,因此在軟體開發及安控專家進行了幾輪的 POC 之後,採用了 HashiCorp Vault。
透過 Vault,企業資安團隊建置了一套中央控管的密鑰管理資料庫,消除了人為將密鑰政策應用在新的應用系統和主機中的流程。這個獨立於雲外的架構,透過將許多耗時且費工的程序自動化後,大幅的簡化了分享憑證和密鑰管理的過程。
「Vault 的動態密鑰以及 API 加密能力,搭配上他的密鑰植入以及通訊保全的功能,讓我們可以很有信心的把應用系統上到容器系統中,但是卻只用了以前的幾分之一的時間」,Van Dijk 說:「我們現在可以不用加人加成本或加額外的學習曲線之下,在 AWS 和 Azure 中管理臨時性的密鑰」。
中央控管及動態的密鑰管理才能應對快速成長的企業
荷蘭銀行的企業資安團隊渴望能提升它們的密鑰管理,消除已開發的的應用系統與程式中寫死的憑證,因此在軟體開發及安控專家進行了幾輪的 POC 之後,採用了 HashiCorp Vault。
透過 Vault,企業資安團隊建置了一套中央控管的密鑰管理資料庫,消除了人為將密鑰政策應用在新的應用系統和主機中的流程。這個獨立於雲外的架構,透過將許多耗時且費工的程序自動化後,大幅的簡化了分享憑證和密鑰管理的過程。
「Vault 的動態密鑰以及 API 加密能力,搭配上他的密鑰植入以及通訊保全的功能,讓我們可以很有信心的把應用系統上到容器系統中,但是卻只用了以前的幾分之一的時間」,Van Dijk 說:「我們現在可以不用加人加成本或加額外的學習曲線之下,在 AWS 和 Azure 中管理臨時性的密鑰」。
成果
荷蘭銀行刻正使用 HashiCorp Vault 建立中央控管的密鑰管理系統,橫跨 AWS、Azure 以及其他的內部應用系統,將密鑰的植入與 API 加密予以自動化,提升了效能也減少了嚴重的密鑰問題。
有關 Ton van Dijk
技術產品組合
- Infrastructure: Microsoft Azure, IBM and Cisco clouds on-premises, mainframe
- Platform: Windows server, Linux, Z-OS
- Load balancers: Windows
- API gateway: Apigee, APIM
- CA: CGI managed service (internal certs) plus a few commercial cert providers
- IAM: Sailpoint, Ping Identity (customers IAM), Ping Federate (SSO)
- APM (Application Performance Mgt): Splunk, Tivoli (on-premises), Log analytics (Azure)
- Provisioning: ServiceNow, Azure devops
- Security management: HashiCorp Vault