CASE STUDY scratchpay

Scratchpay là một dịch vụ tài chính do Scratch Financial, Inc. cung cấp, workloads của họ được host trên cơ sở hạ tầng Public Cloud của Google Cloud Platform (GCP). Scratchpay là một công ty khởi nghiệp của Hoa Kỳ cung cấp các khoản vay cho tư nhân để chăm sóc y tế (ban đầu từ vật nuôi và bây giờ mở rộng cho người). Công ty được tích hợp hoàn toàn trên GCP cùng với gói hỗ trợ và các dịch vụ từ Google.

SCRATCHPAY

LĨNH VỰC:

Dịch vụ Ngân hàng & Tài chính

CÔNG NGHỆ:

Google Cloud

THÁCH THỨC CỦA DOANH NGHIỆP

Scratchpay là một dịch vụ tài chính do Scratch Financial, Inc. cung cấp, workloads của họ được host trên cơ sở hạ tầng Public Cloud của Google Cloud Platform (GCP). Là một công ty khởi nghiệp của Hoa Kỳ cung cấp các khoản vay cho tư nhân để chăm sóc y tế (ban đầu từ vật nuôi và bây giờ mở rộng cho người). Công ty được tích hợp hoàn toàn trên GCP cùng với gói hỗ trợ và các dịch vụ từ Google.

Scratchpay đang host tất cả các dịch vụ trên GCP Cloud và giải pháp này đã được triển khai sử dụng từ nhiều năm. Công ty đang liên tục cải tiến dịch vụ để đáp ứng nhu cầu người dùng. Nhiều dịch vụ GCP khác nhau đang được sử dụng cũng như nhiều dịch vụ khác đang được đánh giá.

Scratchpay có đội ngũ kỹ thuật nội bộ để phát triển phần mềm, phân tích dữ liệu và phát triển kinh doanh. Công ty cũng có các thành viên chuyên về bảo mật thông tin, tuy nhiên, không có chuyên gia nào về GCP hoặc điện toán đám mây. Với mục tiêu cải thiện việc sử dụng các dịch vụ GCP theo các ứng dụng thực tiễn hay nhất và tập trung vào bảo mật và tối ưu hóa, Scratchpay đang cần Security Assessment do đối tác tư vấn GCP thực hiện. 

Renova Cloud, Đối tác GCP tại Việt Nam, đã được Scratchpay chọn để đánh giá môi trường GCP hiện tại và kiến trúc hạ tầng theo các mô hình thực tiễn tốt nhất. Bảo mật là trọng tâm chính trong dự án đánh giá này. 

Mục tiêu của dự án là xem xét các dự án GCP trong môi trường hiện tại của Scratchpay . Cụ thể là tuân thủ đầy đủ bảo mật để đảm bảo đáp ứng các dịch vụ tài chính và các tiêu chuẩn bảo vệ dữ liệu. Kết quả của dự án sẽ là một tài liệu tập hợp đánh giá xem xét các phát hiện, phân tích chuyên sâu về các đề xuất cải tiến, với các hướng dẫn thực hiện chi tiết.

GIẢI PHÁP

Cùng với nhóm Scratchpay, nhóm chuyên gia tư vấn của Renova Cloud đã xác định khối lượng công việc chính cần được đánh giá. Nhiều dự án đám mây trên Google đã được chọn cho cuộc đánh giá này. GCP Organization đang host cơ sở hạ tầng của Scratchpay trên đám mây, phân chia hợp lý thành nhiều dự án GCP, mỗi dự án tập trung vào vai trò cụ thể của dịch vụ và môi trường. Ví dụ: một dự án sẽ được sử dụng để lưu trữ giao diện người dùng web trong môi trường production, trong khi dự án khác sẽ được sử dụng cho cùng một dịch vụ trong môi trường staging. Đây là một best practice về phân chia nhỏ nhu cầu cụ thể.

Đối tượng đánh giá hầu hết là môi trường production. Bên cạnh đó, môi trường staging cũng được lựa chọn để đánh giá, để đảm bảo sự tương đồng và có cái nhìn cụ thể về bảo mật trên cả môi trường non-production, ngay cả khi dữ liệu và giao dịch được quản lý ở đó có tính chất ít nhạy cảm hơn.

Đối với mỗi dự án GCP, Renova Cloud đã tiến hành đánh giá theo các chủ đề sau:

    • Identity Security tập trung vào vai trò, quyền của người dùng IAM và tài khoản dịch vụ
    • Network Security bao gồm cách ly mạng, quy tắc tường lửa, kết nối DNS và VPN
    • Infrastructure Security tuân thủ compute và storage workloads policies, và Kubernetes
    • Application Security bảo mật quyền truy cập ứng dụng và cơ sở dữ liệu, thông tin đăng nhập dịch vụ
    • Data Security đánh giá khả năng truy cập và bảo vệ dữ liệu cả trong mọi trạng thái.
    • Vulnerability Scan để xác minh trạng thái của bất kỳ lỗ hổng thông thường nào trong workloads
    • Web Application Firewall Analysis đánh giá mức độ sẵn sàng chống lại các cuộc tấn công phổ biến
    • Logging and Monitoring Configuration ghi nhật ký, giám sát tất cả cơ sở hạ tầng và báo cáo lỗi
    • Đánh giá tổng thể và tổng quan

Sau khi thực hiện, một tài liệu đánh giá đã được hoàn chỉnh để chia sẻ với khách hàng.

Renova Cloud đã áp dụng cách tiếp cận toàn diện với tiêu chuẩn phù hợp cho ngành, đặc biệt là tiêu chuẩn CIS – Center for Internet Security được đánh giá cao cho GCP và GKE / Kubernetes để đánh giá tình trạng tuân thủ của các hệ thống đã được đánh giá. Các điểm chuẩn này được phân theo cấu trúc để bao gồm từng chủ đề bảo mật đã nói ở trên.

Bản chất workloads của Scratchpay và các dịch vụ GCP được sử dụng là cloud-native. Các giải pháp giao diện người dùng chủ yếu dựa trên các cụm Kubernetes chạy nhiều dịch vụ nhỏ với relational database backends. Và nhiều loại các dịch vụ hỗ trợ như dịch vụ lưu trữ và tìm kiếm tệp. Ngoài ra còn có một số chức năng serverless hỗ trợ workloads đột xuất và mở rộng quy mô nhanh chóng. Là một nhà cung cấp dịch vụ tài chính, Scratchpay đặc biệt chú trọng đến việc quản lý các khoản thanh toán và xử lý các khoản thanh toán này trong các dự án biệt lập riêng biệt mà chỉ chia sẻ dịch vụ với các dự án khác khi cần thiết. Scratchpay cũng chạy quy trình phân tích và báo cáo nâng cao được quản lý trong một dự án riêng biệt, tổng hợp dữ liệu từ các dự án khác để tận dụng BigQuery.

Sau khi phân tích kho lưu trữ, hệ thống kinh doanh và kỹ thuật, Renova Cloud đã tóm tắt được như sau:

Tuân theo các nguyên tắc về giao ít quyền nhất, Renova Cloud đã tiến hành đánh giá với tư cách là người dùng chỉ đọc, và sử dụng vai trò của Security Auditor. Ngoài ra, một số dịch vụ của bên thứ 3 có liên quan đã được đưa vào, cụ thể là CloudFlare và các công cụ quét đánh giá lỗ hổng mã nguồn mở đã được Scratchpay sử dụng.

LỢI ÍCH MANG LẠI

Sau khi hoàn thành việc xem xét theo điểm chuẩn của CIS và quy trình riêng của Renova Cloud, nhóm có thể tự tin tuyên bố kết quả: không tìm thấy vấn đề bảo mật nghiêm trọng nào trong hệ thống của Scratchpay. Phương pháp áp dụng bảo mật đám mây do Scratchpay thực hiện đã thành công.

Đồng thời, kết quả cũng tiết lộ một số lĩnh vực có thể cải thiện và cung cấp cho Scratchpay những thông tin hữu ích về cách đạt được mức độ bảo mật cao hơn nữa cho workloads của họ. Một số điểm nổi bật của báo cáo cần bảo mật như:

  • Việc thu thập số liệu giám sát cần được mở rộng và thực hiện một cách chi tiết hơn
  • Việc vá lỗi phải được tự động hóa cho tất cả các VM để tránh bất kỳ rủi ro bảo mật nào
  • Ghi nhật ký của tất cả các cấp độ truy cập và các điểm bất thường cần được cải thiện
  • Các chính sách chính phải được lập thành văn bản và sắp xếp hợp lý theo các phương pháp hay nhất
  • Ranh giới đối với public Internet cần được hạn chế để giảm thiểu mối đe dọa tiềm ẩn
  • Mọi công cụ của bên thứ 3 được sử dụng để quét lỗ hổng bảo mật cần được kiểm tra thường xuyên

Renova Cloud đã trình bày báo cáo cuối cùng cho Scratchpay bao gồm các thông tin chi tiết có thể thực hiên được để cải thiện hơn nữa tính bảo mật của họ. Scratchpay đã nhanh chóng thực hiện và hiện đang tuân theo các phương pháp hay nhất theo các tiêu chuẩn của CIS.

Tất cả các mục được đề cập ở trên là những vấn đề phổ biến mà nhiều công ty phải đối mặt và cần giải quyết trong tư thế bảo mật đám mây của họ. Tự động hóa, tăng khả năng hiển thị bằng cách tuân theo các phương pháp hay nhất về giám sát và ghi nhật ký cũng như giảm thiểu mối đe dọa tiềm ẩn là nhiệm vụ đối với mỗi và mọi tổ chức lưu trữ workload trên đám mây. Đánh giá bảo mật được thực hiện bởi một công ty Đối tác GCP có kinh nghiệm như Renova Cloud là một cách hiệu quả để khắc phục vấn đề này.

RELATED STORIES

Smartpay

Smartpay – Rehost và Replatform khi dịch chuyển lên AWS

SmartPay đang ngày càng phát triển với các nhà cung cấp, đối tác và người dùng mới. Và là một đối thủ quan trọng trong bối cảnh bùng nổ ứng dụng thanh toán Việt Nam.Đọc thêm>

Pepsi Co Myanmar

Accelerate SAP S/4HANA Transformation With AWS

Pepsi Co Myanmar mong muốn hiện đại hóa hạ tầng hiện có và khởi chạy nền tảng mới cho người dùng và ứng dụng bằng các giải pháp công nghệ mới nhất cùng với SAP S/4HANA trên AWS. Đọc thêm>

N Group

AWS Immersion Day (N Group)

Mục tiêu của buổi chia sẻ là giúp đội ngũ IT và ban lãnh đạo của N Group tự tin sử dụng nền tảng AWS và mở ra các cơ hội kinh doanh mới. Đọc thêm>

Tadiran

Serverless application implementation on AWS

Tadiran là công ty sản xuất thiết bị điện hàng đầu trên toàn thế giới. Một số dòng sản phẩm nổi tiếng của công ty như pin và máy điều hòa không khí. Đọc thêm>

Scratchpay

Scratchpay - Financial services

Scratchpay là một dịch vụ tài chính do Scratch Financial, Inc. cung cấp, workloads của họ được host trên cơ sở hạ tầng Public Cloud của Google Cloud Platform (GCP). Đọc thêm>

UAB - Connect. Create. Change.

UAB BANK CLOUD NATIVE APPS

Là một phần trong chiến lược hiện đại hóa và số hóa, UAB đang mở rộng các dịch vụ của mình để xây dựng các ứng dụng di động cho mục đích thanh toán và Ví điện tử để phục vụ thị trường ngân hàng tiêu dùng Myanmar đang phát triển Đọc thêm>

Yoma

YOMA STRATEGIC HOLDINGS

Nhu cầu ngày càng tăng đối với các ứng dụng và hoạt động kinh doanh của Yoma trên các lĩnh vực khác nhau đòi hỏi phải có một kế hoạch chuyển đổi kỹ thuật số thật sự hiệu quả. Đọc thêm>

AQUA

DỊCH CHUYỂN & CI/CD

AQUA có thể cải thiện hoạt động do quá trình di chuyển và CI / CD trên AWS cũng như có thể phát hành các tính năng mới nhanh hơn với thời gian tối thiểu và sự gián đoạn cho người dùng cuối. Đọc thêm>

SOVIGAZ

SOVIGAZ HÀNH TRÌNH DỊCH CHUYỂN SANG AWS

Sự linh hoạt của cơ sở hạ tầng mới giúp Sovigaz giảm bớt gánh nặng quản lý cơ sở hạ tầng như trước đây. Đồng thời loại bỏ hạn chế và tăng khả năng tiếp cận các dịch vụ tiên tiến được cung cấp trên nền tảng AWS. Đọc thêm>

Kymdan

Kymdan- Hành trình dịch chuyển Microsoft workloads lên AWS

Tự động hóa quy trình trên AWS và tạo môi trường để thử nghiệm các tính năng mới nhằm hỗ trợ Developer & QA, những người không có kinh nghiệm và kỹ năng chuyên sâu trên AWS, vẫn có thể rút ngắn thời gian phát triển.Đọc thêm>

KAOPIZ

KAOPIZ SOFTWARE TỰ ĐỘNG HÓA & CI/CD

Tự động hóa quy trình trên AWS và tạo môi trường để thử nghiệm các tính năng mới nhằm hỗ trợ nhóm Developer & QA thực hiện công việc nhanh hơn và có thể tự động hóa dù không có kinh nghiệm và kỹ năng chuyên sâu trên AWS. Đọc thêm>

NAVIGOS

NAVIGOS GROUP VỚI HÀNH TRÌNH DỊCH CHUYỂN & SAO LƯU

Đảm bảo an toàn trong quy trình khắc phục hậu quả là một phần trong cam kết của công ty với khách hàng của mình. Do đó, ứng dụng của Navigos yêu cầu phải có kế hoạch nhanh và hiệu quả trong mọi tình huống khắc phục thảm họa. Đọc thêm>

SABECO

SABECO - DỊCH CHUYỂN VÀ TỐI ƯU HÓA KIẾN TRÚC HẠ TẦNG

Sau khi chuyển sang AWS, Sabeco có khả năng đáp ứng nhanh chóng hơn trong trường hợp tăng lưu lượng truy cập và việc sử dụng dịch vụ khi cần thiết, giúp việc chạy các chiến dịch tiếp thị và tung ra các tính năng mới ít rủi ro hơn. Đọc thêm>

NKID’S

Nkid – Hành trình dịch chuyển lên Cloud

Nkid Group đang vận hành Microsoft workloads trên nhiều môi trường khác nhau như on-premises, local data center tại Vietnam, Microsoft Azure và AWS.Đọc thêm>