Проект

«Росбанк» повысил уровень защиты инфраструктуры приложений с помощью Prisma Cloud

Заказчики: Росбанк

Москва; Финансовые услуги, инвестиции и аудит

Подрядчики: Инфосистемы Джет
Продукт: Palo Alto Networks Prisma Cloud (ранее Twistlock)

Дата проекта: 2019/08 — 2020/01
Количество лицензий: 20
Технология: SaaS - Программное обеспечение как услуга
подрядчики - 1139
проекты - 14480
системы - 1781
вендоры - 1002
Технология: ИБ - Управление информацией и событиями в системе безопасности (SIEM)
подрядчики - 70
проекты - 245
системы - 268
вендоры - 149

2020: Внедрение платформы Prisma Cloud

13 февраля 2020 года Росбанк сообщил о реализации совместно с ИТ-компанией «Инфосистемы Джет» проекта по внедрению платформы Prisma Cloud для защиты инфраструктуры приложений. С помощью нее кредитная организация уже обеспечивает безопасность двух приложений дистанционного банковского обслуживания и планирует масштабировать решение на новые разработки.

Офис Росбанка. Фото: gorod48.ru

Автоматизация функций безопасности позволяет Росбанку повысить качество сервисов с минимальным влиянием на скорость их выпуска — time-to-market. Для сокращения этого параметра в кредитной организации применяется широкий набор средств, которые в совокупности позволяют ускорить процесс разработки и доставки ПО конечным пользователям. Например, программисты активно взаимодействуют со специалистами по ИТ-инфраструктуре и эксплуатации решений. При этом разные команды применяют единые подходы к созданию приложений и одинаковые средства автоматизации разработки и тестирования кода. Еще одной составляющей ускорения time-to-market в Росбанке стал поэтапный переход с монолитной архитектуры приложений на микросервисную: для этого кредитная организация использует контейнерные среды на базе платформы управления контейнерами OpenShift.

Чтобы выстроить надежную защиту инфраструктуры, отвечающую всем требованиям по информационной безопасности и оказывающую минимальное влияние на time-to-market, в банке было принято решение внедрить платформу Prisma Cloud — решение от Palo Alto Networks.

«
«Использование практик и инструментов ускорения процесса разработки ПО открывает большие возможности для развития банковских сервисов. В то же время это ставит перед нами новые вызовы: классические средства не подходят для защиты постоянно меняющейся микросервисной архитектуры, к тому же безопасность не должна замедлять выпуск приложений. В связи с этим было принято решение о старте проекта по внедрению Prisma Cloud для защиты инфраструктуры приложений»,
»

При внедрении перед проектной командой стояла задача защитить архитектуру, на которой в банке велась разработка двух приложений: 80 микросервисов, развернутых на 543 контейнерах. Для этого эксперты «Инфосистемы Джет» разработали собственный фреймворк по формированию комплексной модели защиты среды контейнеризации с учетом всех этапов жизненного цикла контейнера — Jet Container Security Framework (JCSF). Ориентируясь на лучшие практики в области ИБ, специалисты декомпозировали все угрозы и контроли безопасности на три уровня: кластер, оркестратор и контейнеры.

«
«Чтобы безопасность не стала угрозой для time-to-market, ее нужно бесшовно интегрировать во все этапы разработки программного обеспечения по принципам DevSecOps. Именно так мы подошли к проекту по защите микросервисной архитектуры, используемой в Росбанке. Разработанный фреймворк помог нам еще до начала основных работ разобраться, какие узкие места можно было закрыть с помощью внедряемой платформы, какие риски можно было принять, а что требовалось доработать»,
»

Для определения точек встраивания решения и формирования требований к нему специалисты интегратора совместно с представителями Росбанка проанализировали конвейер разработки (pipeline). Выстраивание процессов, в том числе по управлению уязвимостями и compliance, проходило при тесном взаимодействии ИБ-экспертов «Инфосистемы Джет» с командами разработки Росбанка. В результате была выработана схема, при которой информация о наиболее критических уязвимостях в приложении добавляется в JIRA-пространство команды, а постановка задач по их устранению происходит в рамках планирования очередного спринта (sprint). Также специалисты интегратора и кредитной организации совместно прорабатывали целевую архитектуру решения.

«
«При проектировании решения Prisma Cloud необходимо было учитывать особенности кластера OpenShift в банке. Специфика заключалась в выполнении требований международного стандарта безопасности платежных карт PCI DSS в части изоляции определенных типов данных. Это усложняло процесс получения образов и данных об уязвимостях из облака Palo Alto Networks. Решить эту и другие нетривиальные задачи нам удалось благодаря продуктивному взаимодействию со специалистами Росбанка»,

отметила Анастасия Дитенкова, старший инженер-проектировщик Центра информационной безопасности компании «Инфосистемы Джет»
»

Завершающим этапом проекта стала установка решения на мощностях кредитной организации совместными усилиями проектной команды интегратора, ИТ- и ИБ-специалистов Росбанка. Реализованная платформа защищает контейнеры в режиме реального времени и позволяет своевременно выявлять и предотвращать уязвимости на протяжении всего жизненного цикла приложения. По данным на февраль 2020 года с системой могут одновременно работать до 20 пользователей, в ближайших планах Росбанка — масштабировать решение на другие команды разработки.