HISTOIRE DU CLIENT
Comment EQ Bank rationalise la sécurité et DevOps avec PKI Automation
Entretien avec David Yu, vice-président de l'architecture de sécurité, EQ Bank
LES DÉFIS
Présentation de l'entreprise
EQ Bank est la plateforme numérique de la banque Equitable, basée à Toronto. Fondée il y a plus de 50 ans, Equitable gère plus de 40 milliards de dollars d'actifs et s'est développée pour servir plus d'un quart de million de Canadiens. d'actifs et s'est développée pour servir plus d'un quart de million de Canadiennes et de Canadiens.millions de Canadiennes et de Canadiens. Lancée en 2016 en tant que première banque numérique au Canada, EQ a alimenté une croissance rapide en défiant les banques traditionnelles avec une expérience sans agence et des services plus intelligents. une expérience sans succursale et des solutions bancaires plus intelligentes.
Défis
Répondre aux nouveaux besoins en matière de vérification de l'identité et des documents
En tant que leader de la banque numérique et première banque au Canada à héberger un système bancaire central dans le nuage, la sécurité et la disponibilité sont primordiales pour EQ. Mais que se passe-t-il si un certificat expiré met à mal l'infrastructure sous-jacente ou interrompt la productivité des équipes informatiques ? C'est exactement le défi que David Yu, vice-président de l'architecture de sécurité, devait relever face à la rapidité de la transformation numérique et à la croissance de l'entreprise.
"Il y a deux ans, nous avons remarqué que nous utilisions beaucoup plus de certificats pour les applications que nous gérons au sein de l'entreprise et pour les applications que nous développons en interne", explique David Yu. "Nous avions DigiCert pour les certificats publics, mais nous n'avions pas d'autorité de certification interne, et il n'existait que des processus ad hoc permettant aux propriétaires d'applications de demander et de fournir des certificats. Les équipes informatiques et d'infrastructure émettaient simplement leurs propres certificats dans les environnements de développement et passaient à autre chose."
L'émission de certificats au coup par coup rendait difficile le maintien d'une visibilité complète et la fourniture de rapports aux auditeurs internes. En l'absence de processus définis, ils ne pouvaient pas suivre la manière dont les autres équipes de l'entreprise fournissaient les certificats. Par conséquent, des certificats inconnus et non suivis arrivaient à expiration sans qu'ils le sachent, ce qui provoquait l'arrêt des applications et éloignait les ressources clés de leurs tâches quotidiennes pour remédier aux pannes.
Historiquement, l'équipe de sécurité était en mesure de gérer manuellement quelques certificats dans des feuilles de calcul ; elle a également essayé les services de certificats Active Directory (ADCS), parfois appelés Microsoft CA, pour émettre des certificats pour des cas d'utilisation interne limités. Cependant, l'équipe informatique est passée de 20 à plus de 150 personnes, un taux de croissance qu'il était impossible de supporter avec le déploiement limité de Microsoft CA et les processus manuels de gestion des certificats.
Un audit indépendant et une analyse des lacunes d'un partenaire informatique de longue date ont confirmé qu'une solution de gestion des certificats était essentielle pour améliorer leur posture de sécurité et prévenir d'autres pannes - un risque amplifié par l'utilisation généralisée des identités de machines dans leur infrastructure Azure et DevOps tentaculaire. C'est là que l'architecture de sécurité s'est impliquée dans le projet.
Solution
Avant tout, l'équipe chargée de l'infrastructure avait besoin d'une solution qui offrirait les capacités d'émission de certificats d'une autorité de certification interne robuste, mais sans la charge de la construire et de la maintenir en interne. Yu a expliqué qu'ils savaient dès le départ que les efforts et les dépenses liés à la mise en place d'une implémentation de PKI représenteraient une charge beaucoup trop importante pour leurs équipes. Il aurait été très difficile de faire fonctionner une autorité de certification répondant à leurs normes de sécurité de l'information en interne.
La solution devait également fournir une visibilité centralisée des certificats publics et privés pour que l'équipe de sécurité puisse superviser et gérer efficacement son parc informatique. Parallèlement, les administrateurs système et les développeurs avaient besoin d'un moyen simple de consommer des certificats et de les intégrer à des outils automatisés dans leur environnement DevOps, notamment Azure Key Vault, Kubernetes et Istio service mesh.
Après avoir évalué plusieurs fournisseurs dans le cadre d'une validation de principe, l'équipe a choisi Keyfactor. La raison principale de leur décision est que Keyfactor était le seul fournisseur qui pouvait offrir une AC entièrement gérée et hébergée ainsi que les capacités d'une solution complète d'automatisation du cycle de vie des certificats dans une plateforme cloud. Keyfactor offrait également l'ensemble le plus robuste d'API et d'intégrations que leur équipe DevOps pouvait commencer à utiliser immédiatement.
Les certificats arrivaient à expiration, mais nous ne le savions pas jusqu'à ce que les systèmes tombent en panne. Depuis le déploiement de Keyfactor, nous avons entièrement éliminé ces incidents.
David Yu, vice-président, architecture de sécurité, EQ Bank
Impact sur les entreprises
Le site PKI a été transféré dans le nuage
L'un des premiers objectifs d'EQ était de mettre en place une nouvelle autorité de certification interne. En l'espace de deux mois, la banque a migré de son site Microsoft CA vers le nouveau site PKI hébergé dans le nuage. La conformité SOC 2 Type II et une cérémonie complète de signature de la racine ont facilité l'obtention des approbations de conformité et de sécurité dont ils avaient besoin pour le projet.
"Avec Keyfactor qui gère désormais des aspects clés de notre infrastructure PKI , nous pouvons nous concentrer sur la proactivité dans les domaines de la sécurité, de la livraison software et de l'infrastructure", déclare M. Yu.
Keyfactor a également aidé l'équipe QE à mettre en place des modèles de certificats, des flux de travail d'approbation et des politiques pour aider à normaliser les processus de délivrance et d'approvisionnement.
Désormais, les développeurs et les ingénieurs peuvent éviter les certificats auto-signés et obtenir des certificats auprès de DigiCert ou de leur Keyfactor- hébergé PKI as a Service (PKIaaS) - en utilisant les fonctionnalités en libre-service de Keyfactor Command . En conséquence, le temps consacré à la demande et à l'approvisionnement de certificats approuvés par la sécurité est passé de plusieurs heures à quelques minutes seulement.
Visibilité complète pour remédier aux risques
Keyfactor a également fourni une visibilité complète des certificats en analysant tout d'abord les bases de données des autorités de certification dans DigiCert CertCentral et leur implémentation ADCS existante sur site. Ensuite, ils ont travaillé avec l'équipe EQ pour permettre la découverte du réseau de tous les certificats internes et externes. Ce processus de découverte a fourni des informations exploitables permettant d'identifier immédiatement les vulnérabilités et d'y remédier, y compris les certificats auto-signés.
Avec un inventaire complet, les ingénieurs en sécurité n'ont plus à se préoccuper des certificats inconnus, expirés ou faibles qui pourraient menacer la disponibilité et la sécurité des applications. Ils peuvent également répondre beaucoup plus rapidement aux demandes des auditeurs internes en utilisant des rapports planifiés sur l'état et l'expiration des certificats.
Élimination des pannes grâce à l'automatisation
Depuis qu'elle utilise Keyfactor Command , EQ Bank n'a pas connu une seule panne de certificat. En utilisant une combinaison d'alertes d'expiration et de flux de travail de renouvellement automatisé, l'équipe a effectivement éliminé les pannes et réduit de manière significative le taux d'erreur humaine.
M. Yu a expliqué que son service informatique a économisé deux équivalents temps plein (ETP) qui auraient auparavant été gaspillés pour des tâches manuelles liées aux certificats, notamment la résolution de problèmes et la résolution de pannes fréquentes.
L'un des premiers objectifs de l'équipe était d'automatiser les flux de travail de provisionnement et de renouvellement pour Azure Key Vault en utilisant des certificats provisionnés à partir de leur nouveau site hébergé dans le nuage PKI. En quelques jours seulement, Keyfactor a travaillé avec l'équipe EQ pour installer Keyfactor Orchestrator et configurer l'intégration prête à l'emploi pour qu'elle fonctionne avec leur environnement Azure Key Vault. Désormais, lorsqu'un certificat arrive à expiration, Keyfactor automatise le processus de renouvellement et remplace automatiquement le certificat expiré par un certificat provenant de leur nouveau site PKI.
Approvisionnement en certificats intégré aux flux de travail DevOps
Pour les entités " cloud-first " comme EQ Bank, la confiance est primordiale. Chaque machine doit être authentifiée et vérifiée avec des identités basées sur des certificats pour garantir que les connexions sont fiables et sécurisées. Pour ce faire, l'équipe DevOps exploite l'API Keyfactor complète et les outils de référence pour s'intégrer à leurs ensembles d'outils et à leur infrastructure.
L'équipe DevOps a déjà utilisé Keyfactor pour automatiser l'émission et la rotation des certificats pour le chiffrement HTTPS et les points d'entrée dans leurs conteneurs Docker, Azure Kubernetes Service (AKS) et les déploiements de maillage de services Istio.
"Nous considérons qu'il s'agit d'une évolution transformationnelle. Notre équipe DevOps n'a plus besoin de faire des pieds et des mains pour faire avancer les choses. Désormais, elle peut aller plus vite et faire tourner les certificats plus fréquemment sans aucun temps d'arrêt", déclare Yu.
Et ce n'est qu'un début. EQ Bank s'efforce d'étendre l'automatisation et d'intégrer davantage la plateforme Keyfactor Command dans ses processus DevOps. Yu a conclu que "Keyfactor a travaillé avec nous à chaque étape du processus, du lancement à la production, et ils ont été extrêmement proactifs. Leur expertise et leur soutien ont fait une différence incommensurable dans le succès de nos équipes."
Passez à l'étape
étape suivante
Découvrez comment nous pouvons vous aider à établir la confiance
confiance numérique avec une solution PKI hautement évolutive et fiable.