Goed bewaarde geheimen bij ABN Amro

ABN Amro zocht naar een oplossing om zijn gevoelige authenticatie-informatie centraal en geautomatiseerd te beheren. De bank koos voor Vault van HashiCorp en zet deze oplossing in als zogeheten secrets-management-tool voor zowel de cloud-omgeving (AWS/Azure) als interne applicaties.

HashiCorp Vault is een veelzijdige tool voor het beschermen van gevoelige informatie, zoals aanmeldgegevens, certificaten, tokens voor toegangsbeheer en encryptiesleutels voor onder meer het api (application programming interface)-verkeer. De tool is toepasbaar op elke applicatie binnen elke infrastructuur.

In de it-beveiligingswereld spreekt men over secrets als het gaat om dit soort authenticatie-elementen. Het zijn in feite stukjes geheime code, lange getallen met soms ook letters, die aan de lopende band eenmalig worden gegenereerd om cloud-omgevingen en applicaties te beschermen. Bescherming ervan is essentieel; krijgt een onbevoegd iemand zo’n secret in handen, dan heeft die in wezen een sleutel om binnen te komen. 

Uit de lucht

De bancaire sector kent dan ook nog eens stringente eisen als het gaat om privacy en cybersecurity. Zo ook ABN Amro. De bank biedt klanten een grote verscheidenheid aan producten en diensten. Het beveiligen van de systemen, applicaties en data die daaraan ten grondslag liggen is een pittige opgave voor de vierhonderd werknemers van de afdeling Corporate Information Security Office (Ciso).

‘Secrets-management vertegenwoordigt daarbij een bedrijfskritisch onderdeel van ons werk. Als een van de secrets wordt aangetast, heeft dat een enorm negatief domino-effect’, zegt Ton van Dijk, manager identity & access management bij ABN Amro. ‘Eén gehackt ondertekeningscertificaat kan een compleet systeem uit de lucht halen. Hierdoor kan de toegang tot internetapplicaties wegvallen, of bestaat de kans dat iemand er kwaadaardige code in injecteert. Er mogen simpelweg geen fouten gemaakt worden.’

Wildgroei aan secrets

De bestaande secrets management-oplossing van de bank voorzag in een aantal kant-en-klare systeemconnectoren. Toch was er nog altijd flink wat programmeerwerk nodig voor het realiseren van nieuwe applicaties. Erger nog: het bleek lastig om het intern beheerde platform te integreren met de Kubernetes-instance van het Ciso-team. Om deze reden moest een van de technici een connector op maat ontwikkelen voor nieuwe applicaties en containers. Het kon enkele dagen duren voordat die het teststadium bereikten.

De medewerkers van de bank wisten daarnaast wat er nodig was om een wildgroei aan secrets te voorkomen. Aangezien veel applicaties en platforms een eigen secrets engine bieden, is centraal overzicht van cruciaal belang om secrets snel in te trekken als er zich een ernstig beveiligingsincident voordoet. Dit is echter moeilijk te bewerkstelligen als secrets verspreid zijn over een lappendeken van oplossingen.

Cloud-native

‘Het toepassen van identity & access governance binnen al onze klantenapplicaties en backend-bedrijfsapplicaties is dus een uitdaging. Maar tot nu toe was het uitvoerbaar met onze bestaande beveiligingsoplossingen, hoewel we duizenden nieuwe rekeningen en gebruikers hebben toegevoegd’, zegt Van Dijk. ‘Ons legacy-systeem vroeg echter om het gebruik van een aanvullende module en handmatige monitoring voor het beheer van tijdelijke secrets in de backend en de sleutels die we voor onze interne applicaties en infrastructuur gebruiken. Toen was het moment wel daar om op zoek te gaan naar een meer naadloze en geautomatiseerde manier om dit cruciale aspect van onze bedrijfsvoering gestalte te geven.’

Het Ciso-team wilde niet meer een on-premises, intern beheerd secrets-systeem waarvan elke wijziging om ondersteuning door een externe partij vroeg. Te tijdrovend en inefficiënt voor het beheer van een cruciaal aspect van onze bedrijfsvoering, stelt Van Dijk. ‘Wij zochten naar een cloud-native omgeving die ondersteuning biedt voor gecontaineriseerde applicatieontwikkeling. Met een nadruk op automatisering, maar zonder de noodzaak van een kostbare migratie naar een nieuw platform of een ingrijpende technologische modernisering.’

Einde aan hardgecodeerd

Het team koos voor HashiCorp Vault na het uitvoeren van een proof of concept waarbij softwareontwikkelaars en it-beveiligingsspecialisten betrokken waren. Met Vault heeft het team een centrale repository voor secrets-management geïmplementeerd. Medewerkers zijn niet langer gedwongen om handmatig beleidsregels voor secrets toe te passen op nieuwe applicaties en servers. De cloudtool maakt een einde aan het gebruik van hardgecodeerde aanmeldingsgegevens voor zijn intern ontwikkelde applicaties en scripts. Vault zorgt voor een vereenvoudiging van het beheer van aanmeldingsgegevens en secrets door het automatiseren van het grootste gedeelte van de processen rond secrets-management.

‘De mogelijkheden van Vaults dynamische secrets en encryptie van het api-verkeer, in combinatie met zijn secrets-injector en veilige communicatie, stellen ons in staat nieuwe applicaties op een veilige manier aan ons containerplatform Kubernetes toe te voegen. Het zorgt ook voor een aanzienlijke reductie van de onboarding-tijd’, beweert Van Dijk. ‘We zijn nu in staat om tijdelijke secrets in AWS en Azure te beheren op manieren die hiervoor onmogelijk waren geweest, en dat zonder extra personeel, hogere kosten en onnodige lange leercurves. We hoeven ons ook niet voortdurend zorgen te maken dat één verkeerd beheerde secret al ons werk in gevaar brengt.’

Dit artikel staat ook in Computable-magazine #03/21.