Автоматизация функций безопасности позволяет Росбанку повысить качество сервисов с минимальным влиянием на скорость их выпуска — time-to-market. Для сокращения этого параметра в кредитной организации применяется широкий набор средств, которые в совокупности позволяют ускорить процесс разработки и доставки ПО конечным пользователям. Например, программисты активно взаимодействуют со специалистами по ИТ-инфраструктуре и эксплуатации решений. При этом разные команды применяют единые подходы к созданию приложений и одинаковые средства автоматизации разработки и тестирования кода. Еще одной составляющей ускорения time-to-market в Росбанке стал поэтапный переход с монолитной архитектуры приложений на микросервисную: для этого кредитная организация использует контейнерные среды на базе платформы управления контейнерами OpenShift.
Чтобы выстроить надежную защиту новой инфраструктуры, отвечающую всем требованиям по информационной безопасности и оказывающую минимальное влияние на time-to-market, в банке было принято решение внедрить платформу Prisma Cloud — решение от Palo Alto Networks, ранее представленное на рынке под брендом Twistlock.
«Использование практик и инструментов ускорения процесса разработки ПО открывает большие возможности для развития банковских сервисов. В то же время это ставит перед нами новые вызовы: классические средства не подходят для защиты постоянно меняющейся микросервисной архитектуры, к тому же безопасность не должна замедлять выпуск приложений. В связи с этим было принято решение о старте проекта по внедрению Prisma Cloud для защиты новой инфраструктуры приложений, который мы реализовали совместно со специалистами компании “Инфосистемы Джет”, одного из ведущих игроков на российском рынке системной интеграции в области ИБ», — отметил Михаил Иванов, директор департамента информационной безопасности Росбанка.
При внедрении перед проектной командой стояла задача защитить архитектуру, на которой в банке велась разработка двух приложений: 80 микросервисов, развернутых на 543 контейнерах. Для этого эксперты «Инфосистемы Джет» разработали собственный фреймворк по формированию комплексной модели защиты среды контейнеризации с учетом всех этапов жизненного цикла контейнера — Jet Container Security Framework (JCSF). Ориентируясь на лучшие практики в области ИБ, специалисты декомпозировали все угрозы и контроли безопасности на три уровня: кластер, оркестратор и контейнеры.
«Чтобы безопасность не стала угрозой для time-to-market, ее нужно бесшовно интегрировать во все этапы разработки программного обеспечения по принципам DevSecOps . Именно так мы подошли к проекту по защите микросервисной архитектуры, используемой в Росбанке. Разработанный фреймворк помог нам еще до начала основных работ разобраться, какие узкие места можно было закрыть с помощью внедряемой платформы, какие риски можно было принять, а что требовалось доработать», — рассказал Дмитрий Ключников, руководитель направления DevSecOps Центра информационной безопасности компании «Инфосистемы Джет».
Для определения точек встраивания решения и формирования требований к нему специалисты интегратора совместно с представителями Росбанка проанализировали конвейер разработки (pipeline). Выстраивание процессов, в том числе по управлению уязвимостями и compliance, проходило при тесном взаимодействии ИБ-экспертов «Инфосистемы Джет» с командами разработки Росбанка. В результате была выработана схема, при которой информация о наиболее критических уязвимостях в приложении добавляется в JIRA-пространство команды, а постановка задач по их устранению происходит в рамках планирования очередного спринта (sprint). Также специалисты интегратора и кредитной организации совместно прорабатывали целевую архитектуру решения.
«При проектировании решения Prisma Cloud необходимо было учитывать особенности кластера OpenShift в банке. Специфика заключалась в выполнении требований международного стандарта безопасности платежных карт PCI DSS в части изоляции определенных типов данных. Это усложняло процесс получения образов и данных об уязвимостях из облака Palo Alto Networks. Решить эту и другие нетривиальные задачи нам удалось благодаря продуктивному взаимодействию со специалистами Росбанка», — прокомментировала Анастасия Дитенкова, старший инженер-проектировщик Центра информационной безопасности компании «Инфосистемы Джет».
Завершающим этапом проекта стала установка решения на мощностях кредитной организации совместными усилиями проектной команды интегратора, ИТ- и ИБ-специалистов Росбанка. Реализованная платформа защищает контейнеры в режиме реального времени и позволяет своевременно выявлять и предотвращать уязвимости на протяжении всего жизненного цикла приложения. Сейчас с системой могут одновременно работать до 20 пользователей, в ближайших планах Росбанка — масштабировать решение на другие команды разработки.