KUNDENGESCHICHTE
Wie die EQ Bank Sicherheit und DevOps mit PKI-Automatisierung optimiert
Interview mit David Yu, VP, Sicherheitsarchitektur, EQ Bank
DIE HERAUSFORDERUNGEN
Überblick über das Unternehmen
EQ Bank ist die digitale Plattform der Equitable Bank mit Sitz in Toronto. Die vor über 50 Jahren gegründete Equitable Bank verwaltet mehr als 40 Mrd. $ an verwaltet mehr als 40 Milliarden Dollar an Vermögenswerten und betreut heute mehr als eine Viertelmillionans. Die 2016 als erste digitale Bank Kanadas gegründete EQ Bank ein schnelles Wachstum, indem sie traditionelle Banken mit einem ein komplett filialloses Erlebnis und intelligentere Banklösungen
Herausforderungen
Unterstützung der neuen Anforderungen an die Identitäts- und Dokumentenprüfung
Als führendes Unternehmen im digitalen Banking und als erste Bank in Kanada, die ihr Kernbankensystem vollständig in der Cloud hostet, bedeuten Sicherheit und Verfügbarkeit für EQ alles. Was aber, wenn ein abgelaufenes Zertifikat die zugrunde liegende Infrastruktur zum Erliegen bringt oder die Produktivität der IT-Teams aufhält? Das ist genau die Herausforderung, die David Yu, VP of Security Architecture, angesichts der schnellen digitalen Transformation und des Geschäftswachstums lösen musste.
"Vor zwei Jahren stellten wir fest, dass wir für die Anwendungen, die wir innerhalb des Unternehmens betreiben, und die Anwendungen, die wir intern entwickeln, viel mehr Zertifikate verwenden", sagt David Yu. "Wir hatten DigiCert für öffentlich vertrauenswürdige Zertifikate, aber wir hatten keine interne Zertifizierungsstelle (CA), und es gab nur Ad-hoc-Prozesse für Anwendungsbesitzer, um Zertifikate anzufordern und bereitzustellen. Die IT- und Infrastrukturteams stellten einfach ihre eigenen Zertifikate in Entwicklungsumgebungen aus und zogen weiter."
Die Ad-hoc-Ausstellung von Zertifikaten erschwerte die umfassende Transparenz und die Erstellung von Berichten für interne Prüfer. Ohne definierte Prozesse konnten sie nicht nachvollziehen, wie andere Teams im Unternehmen Zertifikate ausstellten. Infolgedessen liefen unbekannte und nicht verfolgte Zertifikate ohne ihr Wissen ab, was dazu führte, dass Anwendungen nicht mehr funktionierten und wichtige Ressourcen von ihren täglichen Aufgaben abgezogen wurden, um Ausfälle zu beheben.
In der Vergangenheit war das Sicherheitsteam in der Lage, einige wenige Zertifikate manuell in Tabellenkalkulationen zu verwalten; es versuchte sich auch an Active Directory Certificate Services (ADCS), manchmal auch als Microsoft CA bezeichnet, um Zertifikate für begrenzte interne Anwendungsfälle auszustellen. Inzwischen ist das IT-Team jedoch von 20 auf mehr als 150 Mitarbeiter angewachsen, ein Wachstum, das mit der begrenzten Bereitstellung von Microsoft CA und der manuellen Zertifikatsverwaltung nicht zu bewältigen war.
Ein unabhängiges Audit und eine Lückenanalyse eines langjährigen IT-Partners bestätigten, dass eine Lösung für das Zertifikatsmanagement von entscheidender Bedeutung war, um die Sicherheitslage zu verbessern und weitere Ausfälle zu verhindern - ein Risiko, das durch die weit verbreitete Verwendung von Maschinenidentitäten in der ausgedehnten Azure- und DevOps-Infrastruktur verstärkt wurde. An dieser Stelle wurde die Sicherheitsarchitektur in das Projekt einbezogen.
Lösung
In erster Linie benötigte das Infrastrukturteam eine Lösung, die die Funktionen einer robusten internen Zertifizierungsstelle für die Ausstellung von Zertifikaten bietet, ohne dass diese jedoch intern erstellt und gewartet werden muss. Yu erklärte, dass sie von Anfang an wussten, dass der Aufwand und die Kosten für die Einrichtung einer PKI-Implementierung ihre Teams viel zu sehr belasten würden. Der Betrieb einer CA, die ihren Informationssicherheitsstandards entspricht, wäre intern nur sehr schwer zu bewerkstelligen gewesen.
Die Lösung sollte auch eine zentrale Sichtbarkeit von öffentlichen und privaten Zertifikaten bieten, damit das Sicherheitsteam seine IT-Umgebung effektiv überwachen und verwalten kann. Gleichzeitig benötigten Systemadministratoren und Entwickler eine einfache Möglichkeit zur Nutzung von Zertifikaten und zur Integration mit automatisierten Tools in ihrer DevOps-Umgebung, einschließlich Azure Key Vault, Kubernetes und Istio Service Mesh.
Nach der Evaluierung mehrerer Anbieter im Rahmen eines Proof of Concept entschied sich das Team für Keyfactor. Der Hauptgrund für die Entscheidung war, dass Keyfactor der einzige Anbieter war, der eine vollständig verwaltete und gehostete Zertifizierungsstelle zusammen mit den Funktionen einer kompletten Lösung zur Automatisierung des Zertifikatslebenszyklus in einer Cloud-Plattform anbieten konnte. Keyfactor bot auch die robusteste Reihe von APIs und Integrationen, die das DevOps-Team sofort nutzen konnte.
Die Zertifikate liefen ab, aber wir wussten es nicht, bis die Systeme ausfielen. Seit der Bereitstellung von Keyfactor haben wir diese Vorfälle vollständig beseitigt.
David Yu, VP, Sicherheitsarchitektur, EQ Bank
Auswirkungen auf die Wirtschaft
Verlagerung der PKI in die Cloud
Eines der ersten Ziele von EQ war es, eine neue interne Zertifizierungsstelle einzurichten und in Betrieb zu nehmen. Innerhalb von zwei Monaten migrierte die Bank von ihrer On-Premise-PKI Microsoft CA auf die neue, in der Cloud gehostete PKI. Die Einhaltung von SOC 2 Typ II und eine umfassende Root-Signierungszeremonie machten es der Bank leicht, die für das Projekt erforderlichen Compliance- und Sicherheitsgenehmigungen zu erhalten.
"Da Keyfactor jetzt wichtige Aspekte unserer PKI-Infrastruktur verwaltet, können wir uns auf proaktive Maßnahmen in den Bereichen Sicherheit, software und Infrastruktur konzentrieren", sagt Yu.
Keyfactor unterstützte das EQ-Team auch bei der Einrichtung von Zertifikatsvorlagen, Genehmigungsworkflows und Richtlinien, um die Ausstellung und Bereitstellung von Zertifikaten zu standardisieren.
Jetzt können Entwickler und Techniker selbstsignierte Zertifikate vermeiden und stattdessen Zertifikate von DigiCert oder ihrer Keyfactor gehosteten PKI as a Service (PKIaaS) unter Verwendung der Selbstbedienungsfunktionen in Keyfactor Command beziehen. Dadurch konnte der Zeitaufwand für die Beantragung und Bereitstellung von sicherheitsgenehmigten Zertifikaten von Stunden auf nur wenige Minuten reduziert werden.
Vollständige Transparenz zur Behebung von Risiken
Keyfactor sorgte ebenfalls für eine vollständige Transparenz der Zertifikate, indem es zunächst die CA-Datenbanken in DigiCert CertCentral und die bestehende ADCS-Implementierung vor Ort durchsuchte. Anschließend arbeiteten sie mit dem EQ-Team zusammen, um die Netzwerkerkennung aller internen und externen Zertifikate zu ermöglichen. Dieser Erkennungsprozess lieferte verwertbare Erkenntnisse zur sofortigen Identifizierung und Behebung von Schwachstellen, einschließlich selbst signierter Zertifikate.
Mit einem vollständigen Inventar müssen sich Sicherheitstechniker nicht mehr um unbekannte, abgelaufene oder schwache Zertifikate kümmern, die die Verfügbarkeit und Sicherheit von Anwendungen gefährden könnten. Außerdem können sie mit Hilfe von geplanten Berichten über den Status und das Auslaufen von Zertifikaten viel schneller auf Anfragen von internen Prüfern reagieren.
Eliminierte Ausfälle durch Automatisierung
Seitdem die EQ Bank Keyfactor Command einsetzt, gab es keinen einzigen Ausfall von Zertifikaten mehr. Durch eine Kombination aus Ablaufwarnungen und automatisierten Verlängerungsworkflows konnte das Team Ausfälle effektiv vermeiden und die Zahl der menschlichen Fehler deutlich reduzieren.
Yu erklärte, dass die IT-Organisation zwei Vollzeitäquivalente (FTE) einsparen konnte, die zuvor für manuelle Aufgaben im Zusammenhang mit Zertifikaten verschwendet worden wären, einschließlich der Fehlerbehebung und der Behebung häufiger Ausfälle.
Eines der ersten Ziele des Teams war die Automatisierung der Arbeitsabläufe für die Bereitstellung und Erneuerung von Azure Key Vault unter Verwendung von Zertifikaten, die von der neuen, in der Cloud gehosteten PKI bereitgestellt wurden. In nur wenigen Tagen arbeitete Keyfactor mit dem EQ-Team zusammen, um einen Keyfactor Orchestrator zu installieren und die Out-of-the-Box-Integration für die Azure Key Vault-Umgebung zu konfigurieren. Wenn nun ein Zertifikat abläuft, automatisiert Keyfactor den Erneuerungsprozess und ersetzt das ablaufende Zertifikat automatisch durch ein Zertifikat der neuen PKI.
Integrierte Zertifikatsbereitstellung mit DevOps-Workflows
Für Cloud-first-Unternehmen wie die EQ Bank ist Vertrauen alles. Jeder Rechner muss mit zertifikatsbasierten Identitäten authentifiziert und verifiziert werden, um sicherzustellen, dass die Verbindungen vertrauenswürdig und sicher sind. Um dies zu erreichen, nutzt das DevOps-Team die umfassende Keyfactor API und Referenztools zur Integration in ihre Toolsets und Infrastruktur.
Das DevOps-Team hat bereits Keyfactor verwendet, um die Ausstellung und Rotation von Zertifikaten für die HTTPS-Verschlüsselung und Ingress-Punkte in ihren Docker-Containern, Azure Kubernetes Service (AKS) und Istio Service Mesh-Bereitstellungen zu automatisieren.
"Wir sehen dies als einen transformativen Schritt. Unser DevOps-Team muss nicht mehr durch Reifen springen, um Dinge zu erledigen. Jetzt können sie schneller arbeiten und die Zertifikate häufiger wechseln, ohne dass es zu Ausfallzeiten kommt", sagt Yu.
Und das ist erst der Anfang. Die EQ Bank arbeitet daran, die Automatisierung auszuweiten und die Plattform Keyfactor Command weiter in ihre DevOps-Prozesse zu integrieren. Yu schloss mit den Worten: "Keyfactor hat uns bei jedem Schritt vom Start bis zur Produktion unterstützt und war äußerst proaktiv. Ihr Fachwissen und ihre Unterstützung haben einen unermesslichen Unterschied für den Erfolg unserer Teams gemacht."
Machen Sie den
nächsten Schritt
Erfahren Sie, wie wir Ihnen helfen können, digitales
Vertrauen mit einer hoch skalierbaren, zuverlässigen PKI-Lösung