【安全典範】SUSE助諾華誠信實現DevSecOps自動化 保障數據安全

    成立於 2017 年的諾華誠信(Nova Credit),是多家個人信貸資料服務機構 (MCRA) 模式下的信貸資料服務機構,掌握了大量客戶的個人信貸資料,背後需要遵守的規例及採用的技術方案,最著重保障數據安全。該公司最近選用了 SUSE 提供的一系列雲原生(Cloud Native)解決方案,除了能全天侯自動偵測安全漏洞,助企業降低風險之餘,更在相同人手下提升營運效率,令公司獲得更多的生意機會。

    諾華誠信每日要處理全港 560 萬消費者個人信貸資料,並根據金融機構提供的信貸紀錄,保持資料在最更新狀態,更要按需求在短時間內提供個人信貸報告。

    要跟上行業發展速度,同時符合數據安全標準,單靠原有的虛擬機器(VM)已不足以應付。經評估後,諾華誠信決定選用基於 Rancher Prime 的容器管理平台,建立 DevSecOps 流程,以相同的資源下,提高安全和合規性,全面提升應用程序可用性和可擴展性,加快應用部署時間,實現高質量業務應用交付能力,提升在業界的競爭力。

    縮短開發營運時間

    傳統開發和營運流程就像瀑布一樣線性流動,包括需求分析、設計系統,編寫程式碼、進行滲透測試(Penetration Test)及修正等才能推出,需時起碼幾個月。諾華誠信採用了Rancher Prime 容器管理平台,基於這平台建立了 DevSecOps 流程,幫助縮短開發流程,搶佔行業先機。

    Rancher Prime 提供一個開源多集群管理平台,在業界一直很受歡迎和採用。透過直觀操作介面,以一致的集群操作,包括多用戶統一登入,不停機集群升級,也透過可觀察性和診斷、監控和警報以及集中審計功能,簡化營運操作,輕鬆管理雙活數據中心裡的多個集群,實現全自動化 DevSecOps 流程。

    諾華誠信資訊科技主管林智聰(William)指,他們的團隊開發的商業應用軟件是從單體 (Monolithic)架構轉型到微服務架構(Microservices),令應用更具彈性而滿足業務發展需求,同時亦帶來部署複雜性跟安全威脅的挑戰。採用了Rancher Prime 和 NeuVector之後,William表示「現在開發者可以在編寫程式的同時,從系統的自動化掃瞄得知潛在問題,再馬上進行修正,最快兩星期就可以開發到一個新的應用程式或者功能。」大大簡化開發,營運和安全團隊之間的協作和溝通,同時縮短部署時間,降低部署錯誤的風險之餘,也有效提升應用系統在生產環境運作的安全性。 

    諾華誠信資訊科技主管 William 指,自動化技術可以使多個步驟同時進行,節省做 Penetration Test 的等候時間。

    對於金融科技公司來說,產品上市時間十分重要,將產品推向市場的速度越快,成功的機會便越大。就政府早前提倡「搶人才」為例,諾華誠信與一間國際人力資源公司合作推動人才招聘服務平台,平台從構思到推出,只花了一個多月時間。諾華誠信行政總裁何佳意(Samuel)指,若使用傳統方式,六個星期時間連平台系統、功能介面等基本需求都未能確定,「如果產品開發進度慢,不能夠在指定時間內完成項目,結果可能連一分錢都沒辦法得到。」

    他補充,「以往當有相同 IT 人手的情況下,都未必敢接新生意,但現在當有相同人手加上 SUSE 的幫助下,可放心接更多生意,在成本不變下,用自動化系統換到效率,即使跟三、四個對手競爭,若能搶先推出產品的話,就能得到更大的市場。」

    諾華誠信行政總裁 Samuel 表示,在 SUSE 解決方案協助下,團隊工作效率提升,生意額亦增加。
    滿足行業標準 全面保障數據安全

    William 又指,選擇 Rancher Prime 的另一個主因是它強大的安全功能。諾華誠信關鍵的信貸評估業務,更需保護全港 560 萬消費者個人信貸資料,傳統容器在處理大量數據時,會受限於資源、擴展性、數據持久性、管理和監控以及安全性等方面的困難。

    為滿足大規模數據處理需求,諾華誠信採用 Longhorn 雲原生分布式存儲解决方案,提供簡單易用的界面管理和操作存儲,幫助輕鬆擴展以處理大量數據,並在多個工作節點上複製和分散數據,提供高度可靠性和容錯能力。

    Rancher Prime 集群底層的 Rancher Kubernetes Engine 2(RKE2)更默認提供 CIS (Center for Internet Security)配置選項和 CIS 掃瞄服務,使所有部署符合 CIS Benchmarks 的安全基準。在 Rancher Prime 的操作系統方面,則採用已通過支付卡產業資料安全標準(PCI DSS)認證的 SUSE Linux Enterprise Server(SLES)。

    無間斷風險掃瞄 免受零日威脅

    在容器安全方面,配合 NeuVector 在整個容器生命週期中持續掃瞄,檢測潛在風險及安全漏洞,保護容器環境免受各種威脅和攻擊。NeuVector 更擁有第七層容器防火牆(傳統防火牆主要在第三和四層操作),提供更細緻和精確的保護,使基礎設施免受零日威脅和內部威脅影響。

    NeuVector 提供第 7 層容器防火牆,保護基礎設施。

    對比傳統容器風險掃瞄工具,需手動設定掃瞄,甚至每隔一個月才有一份掃瞄報告,現時 NeuVector 每日每夜全自動掃瞄,發現漏洞時更會即時告知團隊,可以及時修正,確保系統保持在最更新及最安全的狀態。

    在 SUSE 的方案和技術顧問團隊的支持下,諾華誠信成功從 VM 過渡到容器,簡化了開發和營運團隊之間的協作和溝通,縮短部署時間,並提高數據安全上的處理及保護能力,得到行業肯定。諾華誠信更是第一間香港企業先行完成國家互聯網信息辦公室《個人信息出境標準合同辦法》備案有關工作,其「跨境征信報告核驗項目」成為全國首個個人信息出境標準合同備案獲批案例。因應跨境數據傳輸的業務需要,諾華誠信將計劃加強自動化部署、自動化配置、安全審核和軟件管理,幫助 IT 管理團隊降低營運的複雜性,以及自動化系統定期更新,保持高水平的系統安全性。

    透過 SUSE 的 Rancher Prime 方案和技術顧問團隊的支持下,現在諾華誠信的應用發布時間可以大為縮短,也通過自動化支持敏捷開發,利用 NeuVector 全面增強容器平台上的安全性,整體來說,整個應用程序的開發和營運成本都得到明顯下降。

    #DevSecOps #NovaCredit #SUSE

    相關文章