HISTORIA DE UN CLIENTE
Cómo EQ Bank agiliza la seguridad y DevOps con la automatización de PKI
Entrevista con David Yu, Vicepresidente de Arquitectura de Seguridad de EQ Bank
LOS DESAFÍOS
Presentación de la empresa
EQ Bank es la plataforma digital de Equitable Bank, con sede en Toronto. Fundado hace más de 50 años, Equitable gestiona más de 40.000 millones de dólares en activos y ha crecido hasta prestar servicio a más de un cuarto de millón de canadienses. y ha crecido hasta dar servicio a más de un cuarto de millón de canadienses.ans. Lanzado en 2016 como el primer banco digital de Canadá, EQ Bank ha impulsado un rápido crecimiento desafiando a los bancos tradicionales con una experiencia sin sucursales y soluciones bancarias más inteligentes.
Desafíos
Apoyo a las nuevas necesidades de verificación de identidades y documentos
Como líder en banca digital y primer banco de Canadá en alojar completamente un sistema bancario central en la nube, la seguridad y la disponibilidad lo son todo para EQ. Pero, ¿y si un certificado caducado hace caer la infraestructura subyacente o detiene la productividad de los equipos de TI? Ese es exactamente el reto que David Yu, Vicepresidente de Arquitectura de Seguridad, necesitaba resolver ante la rápida transformación digital y el crecimiento empresarial.
"Hace dos años, nos dimos cuenta de que estábamos utilizando muchos más certificados para las aplicaciones que ejecutamos dentro de la empresa y las aplicaciones que desarrollamos internamente", dice David Yu. "Teníamos DigiCert para certificados de confianza pública, pero no teníamos una autoridad de certificación (CA) interna, y sólo había procesos ad hoc para que los propietarios de las aplicaciones solicitaran y aprovisionaran certificados. Los equipos de TI e infraestructura simplemente emitían sus propios certificados en entornos de desarrollo y seguían adelante."
La emisión de certificados ad hoc les dificultaba mantener una visibilidad completa y proporcionar informes a los auditores internos. Sin procesos definidos, no podían hacer un seguimiento de cómo otros equipos de la empresa aprovisionaban los certificados. Como resultado, los certificados desconocidos y sin seguimiento caducaban sin su conocimiento, lo que provocaba que las aplicaciones dejaran de funcionar y alejaba a los recursos clave de sus tareas cotidianas para remediar las interrupciones.
Históricamente, el equipo de seguridad podía gestionar manualmente unos cuantos certificados en hojas de cálculo; también incursionaron en Active Directory Certificate Services (ADCS), a veces conocido como Microsoft CA, para emitir certificados para casos de uso interno limitados. Sin embargo, desde entonces el equipo de TI ha pasado de 20 a más de 150, un ritmo de crecimiento imposible de soportar con su limitada implantación de Microsoft CA y sus procesos manuales de gestión de certificados.
Una auditoría independiente y un análisis de carencias de un socio de TI de larga data confirmaron que una solución de gestión de certificados era fundamental para mejorar su postura de seguridad y evitar nuevas interrupciones, un riesgo amplificado por el uso generalizado de identidades de máquina en su infraestructura Azure y DevOps en expansión. Ahí es donde la arquitectura de seguridad se involucró en el proyecto.
Solución
Ante todo, el equipo de infraestructura necesitaba una solución que ofreciera las capacidades de emisión de certificados de una CA interna sólida, pero sin la carga de tener que crearla y mantenerla internamente. Yu explicó que sabían desde el principio que el esfuerzo y el gasto que supondría la implantación de una PKI sería demasiado para sus equipos. Gestionar una CA que cumpliera sus normas de seguridad de la información habría sido muy difícil de conseguir internamente.
La solución también tendría que proporcionar una visibilidad centralizada de los certificados públicos y privados para que el equipo de seguridad pudiera supervisar y gestionar eficazmente su parque informático. Al mismo tiempo, los administradores de sistemas y los desarrolladores necesitaban una forma sencilla de consumir certificados e integrarlos con herramientas automatizadas en su entorno DevOps, como Azure Key Vault, Kubernetes y la malla de servicios Istio.
Tras evaluar a varios proveedores en una prueba de concepto, el equipo eligió Keyfactor. La razón clave de su decisión es que Keyfactor era el único proveedor que podía ofrecer una CA totalmente gestionada y alojada junto con las capacidades de una solución completa de automatización del ciclo de vida de los certificados en una plataforma en la nube. Keyfactor también ofrecía el conjunto más sólido de API e integraciones que su equipo de DevOps podía empezar a utilizar de inmediato.
Los certificados caducaban, pero no lo sabíamos hasta que los sistemas dejaban de funcionar. Desde que implantamos Keyfactor, hemos eliminado por completo estos incidentes.
David Yu, Vicepresidente de Arquitectura de Seguridad, EQ Bank
Impacto empresarial
Traslado de PKI a la nube
Uno de los primeros objetivos de EQ fue poner en marcha una nueva CA interna. En dos meses, el banco migró de su Microsoft CA local a la nueva PKI alojada en la nube. La conformidad con SOC 2 Tipo II y una exhaustiva ceremonia de firma raíz les facilitaron la obtención de las aprobaciones de conformidad y seguridad que necesitaban para el proyecto.
"Ahora que Keyfactor gestiona aspectos clave de nuestra infraestructura PKI, podemos centrarnos en ser proactivos en nuestros ámbitos de seguridad, entrega de software e infraestructura", afirma Yu.
Keyfactor también ayudó al equipo de EQ a establecer plantillas de certificados, flujos de trabajo de aprobación y políticas para ayudar a estandarizar los procesos de emisión y provisión.
Ahora, los desarrolladores e ingenieros pueden evitar los certificados autofirmados y, en su lugar, obtener certificados de DigiCert o de su PKI como servicio (PKIaaS) alojado en Keyfactor utilizando las funciones de autoservicio de Keyfactor Command . Como resultado, el tiempo dedicado a solicitar y aprovisionar certificados aprobados por seguridad se redujo de horas a solo minutos.
Obtención de una visibilidad completa para remediar los riesgos
Keyfactor también proporcionó una visibilidad completa de los certificados escaneando primero las bases de datos CA en DigiCert CertCentral y su implementación ADCS on-prem existente. A continuación, trabajaron con el equipo de EQ para permitir la detección en red de todos los certificados internos y externos. Este proceso de descubrimiento proporcionó información procesable para identificar y corregir inmediatamente las vulnerabilidades, incluidos los certificados autofirmados.
Con un inventario completo, los ingenieros de seguridad ya no tienen que preocuparse por certificados desconocidos, caducados o débiles que podrían amenazar la disponibilidad y seguridad de las aplicaciones. También pueden responder mucho más rápido a las solicitudes de los auditores internos mediante informes programados sobre el estado y la caducidad de los certificados.
Interrupciones eliminadas gracias a la automatización
Desde que funciona con Keyfactor Command , el EQ Bank no ha experimentado ni una sola interrupción relacionada con los certificados. Gracias a una combinación de alertas de caducidad y flujos de trabajo de renovación automatizados, el equipo ha eliminado eficazmente las interrupciones y ha reducido significativamente la tasa de errores humanos.
Yu explicó que su organización de TI ha ahorrado dos equivalentes a tiempo completo (ETC) que antes se habrían malgastado en tareas manuales relacionadas con los certificados, entre ellas la resolución de problemas y la corrección de las frecuentes interrupciones.
Uno de los primeros objetivos del equipo era automatizar los flujos de trabajo de aprovisionamiento y renovación para Azure Key Vault utilizando certificados aprovisionados desde su nueva PKI alojada en la nube. En tan solo unos días, Keyfactor trabajó con el equipo de EQ para instalar Keyfactor Orchestrator y configurar la integración inmediata para que funcionara con su entorno Azure Key Vault. Ahora, cada vez que un certificado está a punto de caducar, Keyfactor automatiza el proceso de renovación y sustituye automáticamente el certificado que caduca por un certificado de su nueva PKI.
Aprovisionamiento de certificados integrado con flujos de trabajo DevOps
Para las entidades que dan prioridad a la nube, como el Banco EQ, la confianza lo es todo. Cada máquina debe autenticarse y verificarse con identidades basadas en certificados para garantizar que las conexiones sean fiables y seguras. Para lograrlo, el equipo de DevOps aprovecha la completa API de Keyfactor y las herramientas de referencia para integrarse con sus conjuntos de herramientas e infraestructuras.
El equipo de DevOps ya ha utilizado Keyfactor para automatizar la emisión y rotación de certificados para cifrado HTTPS y puntos de entrada en sus contenedores Docker, Azure Kubernetes Service (AKS) y despliegues de malla de servicios Istio.
"Consideramos que se trata de un paso transformador. Nuestro equipo de DevOps ya no necesita pasar por el aro para hacer las cosas. Ahora pueden moverse más rápido y rotar certificados con más frecuencia sin tiempo de inactividad", afirma Yu.
Y esto es solo el principio. EQ Bank está trabajando para ampliar la automatización e integrar aún más la plataforma Keyfactor Command en sus procesos DevOps. Yu concluyó que "Keyfactor trabajó con nosotros en cada paso del camino, desde el inicio hasta la producción, y fueron extremadamente proactivos. Su experiencia y apoyo marcaron una diferencia inconmensurable en el éxito de nuestros equipos."
Dar el
siguiente paso
Descubra cómo podemos ayudarle a establecer
digital con una solución PKI fiable y altamente escalable.