Danske Lunar Way valgte amerikansk cloud: »Alternativet i Danmark var ikke godt«

Danske Lunar Way baserede sig fra starten på cloud computing og fortæller her om erfaringer med compliance og sikkerhed i skyen.

»Alternativet i Danmark var ikke supergodt. Vi skulle købe servere og selv sætte det op eller købe servere i et driftscenter, så der var ikke rigtigt et alternativ,« fortæller Thomas Stig Jacobsen.

Han har været med til at planlægge og definere it-arkitekturen, siden Lunar Way i 2015 startede med sin bank-app, der serviceres af Amazons AWS cloud-services med bagudintegration til bankernes mainframes.

Det var ikke kun de praktiske udfordringer med selv at håndtere og vedligeholde hardware, der gjorde cloud-løsningen tiltrækkende. Teknologiudviklingen i skyen var et ekstra trækplaster.

»Det er også nemmere at tiltrække arbejdskraft – det er mere spændende med de nye teknologier, der udvikles i skyen,« mener Thomas Stig Jacobsen, som Version2 møder under AWS re:Inforce-sikkerhedskonference.

En jungle af 3-bogstavsforkortelser

Lunar Way startede med, hvad Thomas Stig Jacobsen betegner som »en simpel arkitektur«, der senere er blevet udbygget og blandt andet overholder en række compliance-programmer og veldefinerede sikkerhedspolitikker.

»Der er compliance-mæssige programmer som PCI, ISO, CSA som vi skal overholde, ligesom vi skal leve op til Nykredits sikkerhedspolitik,« forklarer Thomas Stig Jacobsen med henvisning til internationale standarder som standarden for betalingskort PCI (Payment Card Industry) og de mange forskellige standarder fra ISO (International Standard Organisation).

Relevant i denne forbindelse kan nævnes sikkerhedsstandarden ISO27001, standarden for cloud-specifikke kontroller ISO 27017 samt standarden for personlig databeskyttelse ISO27018. Og så er der best practices fra CSA (Cloud Security Alliance).

Du kan se en oversigt over, hvordan de forskellige AWS services passer med de forskellige compliance-programmer her.

Da Nykredit Bank er Lunar Ways partnerbank, skal Lunar Way også overholde Nykredit Banks sikkerhedspolitikker.

»Det er kontroller for, hvordan man tester om sikkerhedspolitikker opretholdes, eksempelvis om kryptering er slået til. Det er noget vi og Nykredit synes er vigtigt, og så skal vi finde tilsvarende i AWS' sikkerhedspolitik og mappe dem,« forklarer Thomas Stig Jacobsen.

Udviklere og compliance – et mismatch?

De mange compliance-programmer er måske ikke noget, som udviklere umiddelbart tænder på, men det er en del af virkeligheden for softwarevirksomheder i den finansielle sektor – som Lunar Way, der er reguleret af Finanstilsynet.

»Vi har et stort ansvar for de, kunder vi repræsenterer, og vi er bevidste om det ansvar,« siger Thomas Stig Jacobsen.

Af de omkring 100 ansatte i Lunar Way arbejder omkring 30 i udvikling, og her foregår udviklingen i små teams, hvor der er en backend-udvikler, app-udviklere til iOS og Android samt nogle andre roller.

Det er vigtigt, at hvert enkelt team er bevidst om compliance- og sikkerhedsmæssige krav.

»Der er ikke et enkelt team med sikkerhedshatten på. Vi skal sørge for, at de sikkerhedsmæssige tiltag håndteres ude i de enkelte teams,« siger Thomas Stig Jacobsen og understreger, at det også sikres at eventuelle partnere også lever op til compliancekrav.

»Hvis vi får en ny partner, har vi en process, hvor det compliance-mæssige tjekkes. Hvad gør de med data, hvordan er sikkerheden og så videre. Vi går det hele igennem med direktionen.«

Kontroltårnet og Lunar Way

Lunar Way har været med til at afprøve et af de nye AWS-produkter, AWS Control Tower, via et preview-program, og Thomas Stig Jacobsen er umiddelbart glad for de muligheder, kontroltårnet giver for at implementere regler for sikkerhed og compliance på tværs af AWS-konti.

Det passer godt ind i Lunar Ways organisatoriske setup med distribuerede teams, da Control Tower ved hjælp af såkaldte guardrails kan sikre best practices og forhindre, at der anvendes services og konfigurationer, som strider imod sikkerheds- eller compliance-mæssige krav.

Kontroltårnet opretter blandt andet et centralt log-arkiv ved hjælp af AWS CloudTrail og AWS Config, ligesom det er muligt at lave sikkerheds-audits på tværs af AWS-konti.

»Det er nemmere at lave nye konti, der lever op til specifikke regler og alle sammen leverer de her metrics og logs,« siger Thomas Stig Jacobsen.

Automatisk kontrol af log

Thomas er også blevet interesseret i et andet AWS-produkt, der kan være med til at sikre Lunar Ways cloud-baserede systemer.

Det er GuardDuty, der automatisk analyserer logs fra AWS for at finde mistænkelig adfærd, kompromitteret sikkerhed eller en udvikler, der gør noget usædvanligt.

»Vi vil se nærmere på det i næste kvartal. Vi begynder at få flere og flere udviklere, hvilket giver flere og flere logs, der skal ses igennem. Hvem har adgang, hvem har tilgået data, hvilke services og systemer og så videre. Der kan et automatiseret system nok hjælpe os,« forventer Thomas Stig Jacobsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenn Nielsen

Kontroltårnet opretter blandt andet et centralt log-arkiv ved hjælp af AWS CloudTrail og AWS Config, ligesom det er muligt at lave sikkerheds-audits på tværs af AWS-konti.

Betyder dette at det er "nemt" at opsætte alarmer for om kunderne sender penge til f.eks.
Terrororganisationer
Stram Kurs
Nye Borgerlige
Dansk Folkeparti
Wikileaks
Amnesty International
Greenpeace
Folkekirken
Infowars
Tommy Robinson

Og grunden til jeg spørger er, at mange personer (i USA og UK) er blevet "opsagt" af deres pengeinstitutter, betalingskort-leverandører osv.
Ofte fordi disse er blevet presset til det af deres samarbejdspartnere.

Hvad sker der når Amazon siger: vi kan ikke levere service til LunarWay, hvis ikke i overholder vores (amazon's) etiske retningslinier. (underforstået fjerner kunder som bruger deres penge "socialt forkert")

Jeg er ikke så naiv, at jeg tror på dén slags ikke kommer hér, også.
Vi skal bare have afskaffet kontanterne, for at det "batter noget".

K

  • 6
  • 0
Flemming Riis

Betyder dette at det er "nemt" at opsætte alarmer for om kunderne sender penge til

Mon de klare det fint i deres applikations hvis de ønsker det.

Control Tower er primært til kontrol af AWS resources/adgange

Det er at par gode videoer fra Re:Inforce for et par uger siden , kan anbefales

AWS Control Tower - govern a new secure, multi-account environment
https://aws.amazon.com/controltower/

https://www.youtube.com/watch?v=2t-VkWt0rKk
https://www.youtube.com/watch?v=daLvEb44d5Q

  • 2
  • 0
René Løhde

Er der nogen her, som har prøvet "AWS Control Tower" og kan sige noget om hvorvidt Amazon har løst API access key problematikken ifht fødererede identiteter via fx. Active Directory, med dette produkt?

Jeg tænker specialt på hvis en udvikler stopper og bliver AD disabled - f.eks. gennem en IdM løsning - og dermed mister AWS Consol-adgang, men stadig har AWS API adgang med en "AccessKey" og "Secret" i AWS IAM.

  • 1
  • 0
Tobias Tobiasen

Jeg tænker specialt på hvis en udvikler stopper og bliver AD disabled - f.eks. gennem en IdM løsning - og dermed mister AWS Consol-adgang, men stadig har AWS API adgang med en "AccessKey" og "Secret" i AWS IAM.


Man skal helt lade være med at bruge accesskey og secret. Det bør man slå fra på AWS kontoen.
I stedet skal man bruge kortlevede tokens alle steder.
Så har man heller ikke (så store) problemer hvis en hacker får fat i udviklerens computer.

  • 1
  • 0
Tobias Tobiasen

To måder.
1) Hvis en udvikler har brug for credentials til en fælles konto så bruger hun Cloud9. Der har man udelukkende midlertidige credentials som kommer fra dit console login.
2) Hver udvikler har sin egen AWS konto hvor de kan gøre hvad de vil. Den konto skal så slettes når medarbejderen ikke længere skal have adgang.

  • 1
  • 0
Log ind eller Opret konto for at kommentere