Scratchpay
Scratchpay – Financial services
Kiểm tra và đánh giá môi trường GCP hiện tại đã đáp ứng được các ứng dụng thực tiễn và kiến trúc tốt nhất
Industry
Technology
Scratchpay và cuộc đánh giá toàn diện bảo mật hệ thống
Scratchpay là một dịch vụ tài chính do Scratch Financial, Inc. cung cấp với các khối công việc vận hành trên cơ sở hạ tầng Public Cloud của Google Cloud Platform (GCP). Scratchpay là một công ty khởi nghiệp của Hoa Kỳ, chuyên cung cấp các khoản vay cho tư nhân để chăm sóc y tế (ban đầu từ vật nuôi và bây giờ mở rộng cho người). Công ty được tích hợp hoàn toàn trên GCP cùng với gói hỗ trợ và các dịch vụ từ Google.
LĨNH VỰC:
Dịch vụ Ngân hàng & Tài chính
CÔNG NGHỆ:
Google Cloud
THÁCH THỨC CỦA DOANH NGHIỆP
Scratchpay là một dịch vụ tài chính do Scratch Financial, Inc. cung cấp với các khối công việc vận hành trên cơ sở hạ tầng Public Cloud của Google Cloud Platform (GCP). Scratchpay là một công ty khởi nghiệp của Hoa Kỳ, chuyên cung cấp các khoản vay cho tư nhân để chăm sóc y tế (ban đầu từ vật nuôi và bây giờ mở rộng cho người). Công ty được tích hợp hoàn toàn trên GCP cùng với gói hỗ trợ và các dịch vụ từ Google.
Scratchpay đang lưu trữ và vận hành tất cả các dịch vụ trên GCP Cloud và giải pháp này đã được triển khai và đưa vào sử dụng từ nhiều năm trước. Công ty đang liên tục cải tiến dịch vụ để đáp ứng nhu cầu người dùng với nhiều dịch vụ GCP khác nhau đang được sử dụng cũng như nhiều dịch vụ khác đang được đánh giá.
Scratchpay có đội ngũ kỹ thuật nội bộ để phát triển phần mềm, phân tích dữ liệu và phát triển kinh doanh. Công ty cũng có các thành viên chuyên về bảo mật thông tin, tuy nhiên, không có chuyên gia nào về GCP hoặc điện toán đám mây. Với mục tiêu cải thiện việc sử dụng các dịch vụ GCP theo các ứng dụng thực tiễn hay nhất và tập trung vào bảo mật và tối ưu hóa, Scratchpay đang cần kiểm tra, đánh giá bảo mật do đối tác tư vấn GCP thực hiện.
Renova Cloud, Đối tác GCP tại Việt Nam, đã được Scratchpay chọn để đánh giá môi trường GCP hiện tại và kiến trúc hạ tầng theo các mô hình thực tiễn tốt nhất. Như đã đề cập ở trên, bảo mật là trọng tâm chính trong dự án đánh giá này.
Mục tiêu của dự án là xem xét các dự án GCP trong môi trường hiện tại của Scratchpay, cụ thể là mức độ tuân thủ bảo mật để đảm bảo đáp ứng các dịch vụ tài chính và các tiêu chuẩn bảo vệ dữ liệu. Kết quả của dự án sẽ là một tài liệu tập hợp đánh giá xem xét các phát hiện, phân tích chuyên sâu về các đề xuất cải tiến, với các hướng dẫn thực hiện chi tiết.
GIẢI PHÁP
Cùng với đội ngũ nội bộ Scratchpay, nhóm chuyên gia tư vấn của Renova Cloud đã xác định khối lượng công việc chính cần được đánh giá. GCP Organization đang vận hành trên cơ sở hạ tầng của Scratchpay trên đám mây, phân chia hợp lý thành nhiều dự án GCP, mỗi dự án tập trung vào vai trò cụ thể của dịch vụ và môi trường. Ví dụ, một dự án sẽ được sử dụng để lưu trữ giao diện người dùng web trong môi trường production, trong khi dự án khác sẽ được sử dụng cho cùng một dịch vụ trong môi trường staging. Đây là một trong những phương thức thực hành chuẩn được hãng khuyến nghị về phân chia nhỏ nhu cầu cụ thể.
Đối tượng đánh giá hầu hết là môi trường production. Bên cạnh đó, môi trường staging cũng được lựa chọn để đánh giá để đảm bảo sự tương đồng và có cái nhìn cụ thể về bảo mật trên cả môi trường non-production, ngay cả khi dữ liệu và giao dịch được quản lý ở đó có tính chất ít nhạy cảm hơn.
Đối với mỗi dự án GCP, Renova Cloud đã tiến hành đánh giá theo các chủ đề sau:
-
- Identity Security tập trung vào vai trò, quyền của người dùng IAM và tài khoản dịch vụ
- Network Security bao gồm cách ly mạng, quy tắc tường lửa, kết nối DNS và VPN
- Infrastructure Security tuân thủ các quy chuẩn về điện toán và quy tắc khối công việc lưu trữ, và Kubernetes
- Application Security bảo mật quyền truy cập ứng dụng và cơ sở dữ liệu, thông tin đăng nhập dịch vụ
- Data Security đánh giá khả năng truy cập và bảo vệ dữ liệu cả trong mọi trạng thái.
- Vulnerability Scan để xác minh trạng thái của bất kỳ lỗ hổng thông thường nào trong workloads
- Web Application Firewall Analysis đánh giá mức độ sẵn sàng chống lại các cuộc tấn công phổ biến
- Logging and Monitoring Configuration ghi nhật ký, giám sát tất cả cơ sở hạ tầng và báo cáo lỗi
- Đánh giá tổng thể và tổng quan
Sau khi thực hiện, một tài liệu đánh giá đã được hoàn chỉnh để chia sẻ với khách hàng.
Renova Cloud đã áp dụng cách tiếp cận toàn diện với tiêu chuẩn phù hợp cho ngành, đặc biệt là tiêu chuẩn CIS – Center for Internet Security được đánh giá cao cho GCP và GKE / Kubernetes để đánh giá tình trạng tuân thủ của các hệ thống đã được đánh giá. Các điểm chuẩn này được phân theo cấu trúc để bao gồm từng chủ đề bảo mật đã nói ở trên.
Bản chất workloads của Scratchpay và các dịch vụ GCP được sử dụng là cloud-native. Các giải pháp giao diện người dùng chủ yếu dựa trên các cụm Kubernetes chạy nhiều dịch vụ nhỏ với relational database backends. Và nhiều loại các dịch vụ hỗ trợ như dịch vụ lưu trữ và tìm kiếm tệp. Ngoài ra, còn có một số chức năng phi máy chủ hỗ trợ workloads đột xuất và mở rộng quy mô nhanh chóng. Là một nhà cung cấp dịch vụ tài chính, Scratchpay đặc biệt chú trọng đến việc quản lý các khoản thanh toán và xử lý các khoản thanh toán này trong các dự án biệt lập riêng biệt mà chỉ chia sẻ dịch vụ với các dự án khác khi cần thiết. Scratchpay cũng chạy quy trình phân tích và báo cáo nâng cao được quản lý trong một dự án riêng biệt, tổng hợp dữ liệu từ các dự án khác để tận dụng BigQuery.
Sau khi phân tích kho lưu trữ, hệ thống kinh doanh và kỹ thuật, Renova Cloud đã tóm tắt được như sau:
Tuân theo các nguyên tắc về giao ít quyền nhất, Renova Cloud đã tiến hành đánh giá với tư cách là người dùng chỉ đọc, và sử dụng vai trò của Security Auditor. Ngoài ra, một số dịch vụ của bên thứ 3 có liên quan đã được đưa vào, cụ thể là CloudFlare và các công cụ quét đánh giá lỗ hổng mã nguồn mở đã được Scratchpay sử dụng.
LỢI ÍCH MANG LẠI
Sau khi hoàn thành việc xem xét theo điểm chuẩn của CIS và quy trình riêng của Renova Cloud, nhóm có thể tự tin tuyên bố kết quả: không tìm thấy vấn đề bảo mật nghiêm trọng nào trong hệ thống của Scratchpay. Phương pháp áp dụng bảo mật đám mây do Scratchpay thực hiện đã thành công.
Đồng thời, kết quả cũng tiết lộ một số lĩnh vực có thể cải thiện và cung cấp cho Scratchpay những thông tin hữu ích về cách đạt được mức độ bảo mật cao hơn nữa cho workloads của họ. Một số điểm nổi bật của báo cáo bao gồm
- Việc thu thập số liệu giám sát cần được mở rộng và thực hiện một cách chi tiết hơn
- Việc vá lỗi phải được tự động hóa cho tất cả các VM để tránh bất kỳ rủi ro bảo mật nào
- Ghi nhật ký của tất cả các cấp độ truy cập và các điểm bất thường cần được cải thiện
- Các chính sách chính phải được lập thành văn bản và sắp xếp hợp lý theo các phương pháp hay nhất
- Ranh giới đối với public Internet cần được hạn chế để giảm thiểu mối đe dọa tiềm ẩn
- Mọi công cụ của bên thứ 3 được sử dụng để quét lỗ hổng bảo mật cần được kiểm tra thường xuyên
Renova Cloud đã trình bày báo cáo cuối cùng cho Scratchpay bao gồm các thông tin chi tiết có thể thực hiên được để cải thiện hơn nữa tính bảo mật của họ. Scratchpay đã nhanh chóng thực hiện và hiện đang tuân theo các phương pháp hay nhất theo các tiêu chuẩn của CIS.
Tất cả các mục được đề cập ở trên là những vấn đề phổ biến mà nhiều công ty phải đối mặt và cần giải quyết trong tư thế bảo mật đám mây của họ. Tự động hóa, tăng khả năng hiển thị bằng cách tuân theo các phương pháp chuẩn nhất về giám sát và ghi nhật ký cũng như giảm thiểu mối đe dọa tiềm ẩn là nhiệm vụ đối với mỗi và mọi tổ chức lưu trữ workload trên đám mây. Đánh giá bảo mật được thực hiện bởi một công ty Đối tác GCP có kinh nghiệm như Renova Cloud là một cách hiệu quả để khắc phục vấn đề này.
