Danske Lunar Way valgte amerikansk cloud: »Alternativet i Danmark var ikke godt«

17. juli 2019 kl. 05:116
Danske Lunar Way baserede sig fra starten på cloud computing og fortæller her om erfaringer med compliance og sikkerhed i skyen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

»Alternativet i Danmark var ikke supergodt. Vi skulle købe servere og selv sætte det op eller købe servere i et driftscenter, så der var ikke rigtigt et alternativ,« fortæller Thomas Stig Jacobsen.

Han har været med til at planlægge og definere it-arkitekturen, siden Lunar Way i 2015 startede med sin bank-app, der serviceres af Amazons AWS cloud-services med bagudintegration til bankernes mainframes.

Det var ikke kun de praktiske udfordringer med selv at håndtere og vedligeholde hardware, der gjorde cloud-løsningen tiltrækkende. Teknologiudviklingen i skyen var et ekstra trækplaster.

»Det er også nemmere at tiltrække arbejdskraft – det er mere spændende med de nye teknologier, der udvikles i skyen,« mener Thomas Stig Jacobsen, som Version2 møder under AWS re:Inforce-sikkerhedskonference.

En jungle af 3-bogstavsforkortelser

Lunar Way startede med, hvad Thomas Stig Jacobsen betegner som »en simpel arkitektur«, der senere er blevet udbygget og blandt andet overholder en række compliance-programmer og veldefinerede sikkerhedspolitikker.

Artiklen fortsætter efter annoncen

»Der er compliance-mæssige programmer som PCI, ISO, CSA som vi skal overholde, ligesom vi skal leve op til Nykredits sikkerhedspolitik,« forklarer Thomas Stig Jacobsen med henvisning til internationale standarder som standarden for betalingskort PCI (Payment Card Industry) og de mange forskellige standarder fra ISO (International Standard Organisation).

Relevant i denne forbindelse kan nævnes sikkerhedsstandarden ISO27001, standarden for cloud-specifikke kontroller ISO 27017 samt standarden for personlig databeskyttelse ISO27018. Og så er der best practices fra CSA (Cloud Security Alliance).

Du kan se en oversigt over, hvordan de forskellige AWS services passer med de forskellige compliance-programmer her.

Da Nykredit Bank er Lunar Ways partnerbank, skal Lunar Way også overholde Nykredit Banks sikkerhedspolitikker.

»Det er kontroller for, hvordan man tester om sikkerhedspolitikker opretholdes, eksempelvis om kryptering er slået til. Det er noget vi og Nykredit synes er vigtigt, og så skal vi finde tilsvarende i AWS' sikkerhedspolitik og mappe dem,« forklarer Thomas Stig Jacobsen.

Udviklere og compliance – et mismatch?

De mange compliance-programmer er måske ikke noget, som udviklere umiddelbart tænder på, men det er en del af virkeligheden for softwarevirksomheder i den finansielle sektor – som Lunar Way, der er reguleret af Finanstilsynet.

»Vi har et stort ansvar for de, kunder vi repræsenterer, og vi er bevidste om det ansvar,« siger Thomas Stig Jacobsen.

Af de omkring 100 ansatte i Lunar Way arbejder omkring 30 i udvikling, og her foregår udviklingen i små teams, hvor der er en backend-udvikler, app-udviklere til iOS og Android samt nogle andre roller.

Det er vigtigt, at hvert enkelt team er bevidst om compliance- og sikkerhedsmæssige krav.

»Der er ikke et enkelt team med sikkerhedshatten på. Vi skal sørge for, at de sikkerhedsmæssige tiltag håndteres ude i de enkelte teams,« siger Thomas Stig Jacobsen og understreger, at det også sikres at eventuelle partnere også lever op til compliancekrav.

»Hvis vi får en ny partner, har vi en process, hvor det compliance-mæssige tjekkes. Hvad gør de med data, hvordan er sikkerheden og så videre. Vi går det hele igennem med direktionen.«

Kontroltårnet og Lunar Way

Lunar Way har været med til at afprøve et af de nye AWS-produkter, AWS Control Tower, via et preview-program, og Thomas Stig Jacobsen er umiddelbart glad for de muligheder, kontroltårnet giver for at implementere regler for sikkerhed og compliance på tværs af AWS-konti.

Det passer godt ind i Lunar Ways organisatoriske setup med distribuerede teams, da Control Tower ved hjælp af såkaldte guardrails kan sikre best practices og forhindre, at der anvendes services og konfigurationer, som strider imod sikkerheds- eller compliance-mæssige krav.

Kontroltårnet opretter blandt andet et centralt log-arkiv ved hjælp af AWS CloudTrail og AWS Config, ligesom det er muligt at lave sikkerheds-audits på tværs af AWS-konti.

»Det er nemmere at lave nye konti, der lever op til specifikke regler og alle sammen leverer de her metrics og logs,« siger Thomas Stig Jacobsen.

Automatisk kontrol af log

Thomas er også blevet interesseret i et andet AWS-produkt, der kan være med til at sikre Lunar Ways cloud-baserede systemer.

Det er GuardDuty, der automatisk analyserer logs fra AWS for at finde mistænkelig adfærd, kompromitteret sikkerhed eller en udvikler, der gør noget usædvanligt.

»Vi vil se nærmere på det i næste kvartal. Vi begynder at få flere og flere udviklere, hvilket giver flere og flere logs, der skal ses igennem. Hvem har adgang, hvem har tilgået data, hvilke services og systemer og så videre. Der kan et automatiseret system nok hjælpe os,« forventer Thomas Stig Jacobsen.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
17. juli 2019 kl. 17:02

To måder.

  1. Hvis en udvikler har brug for credentials til en fælles konto så bruger hun Cloud9. Der har man udelukkende midlertidige credentials som kommer fra dit console login.
  2. Hver udvikler har sin egen AWS konto hvor de kan gøre hvad de vil. Den konto skal så slettes når medarbejderen ikke længere skal have adgang.
5
17. juli 2019 kl. 15:15

Enig - hvad bruger du til udstedelse af tokens?

Jeg spørger under den assumption, at en udvikler stadigt skal være i IAM ved token udstedelse, og at IAM er fødereret med dit identitetssystem fx. AD

4
17. juli 2019 kl. 14:56

Jeg tænker specialt på hvis en udvikler stopper og bliver AD disabled - f.eks. gennem en IdM løsning - og dermed mister AWS Consol-adgang, men stadig har AWS API adgang med en "AccessKey" og "Secret" i AWS IAM.

Man skal helt lade være med at bruge accesskey og secret. Det bør man slå fra på AWS kontoen. I stedet skal man bruge kortlevede tokens alle steder. Så har man heller ikke (så store) problemer hvis en hacker får fat i udviklerens computer.

3
17. juli 2019 kl. 13:46

Er der nogen her, som har prøvet "AWS Control Tower" og kan sige noget om hvorvidt Amazon har løst API access key problematikken ifht fødererede identiteter via fx. Active Directory, med dette produkt?

Jeg tænker specialt på hvis en udvikler stopper og bliver AD disabled - f.eks. gennem en IdM løsning - og dermed mister AWS Consol-adgang, men stadig har AWS API adgang med en "AccessKey" og "Secret" i AWS IAM.

2
17. juli 2019 kl. 12:36

Betyder dette at det er "nemt" at opsætte alarmer for om kunderne sender penge til

Mon de klare det fint i deres applikations hvis de ønsker det.

Control Tower er primært til kontrol af AWS resources/adgange

Det er at par gode videoer fra Re:Inforce for et par uger siden , kan anbefales

AWS Control Tower - govern a new secure, multi-account environmenthttps://aws.amazon.com/controltower/

https://www.youtube.com/watch?v=2t-VkWt0rKkhttps://www.youtube.com/watch?v=daLvEb44d5Q

1
17. juli 2019 kl. 11:54

Kontroltårnet opretter blandt andet et centralt log-arkiv ved hjælp af AWS CloudTrail og AWS Config, ligesom det er muligt at lave sikkerheds-audits på tværs af AWS-konti.

Betyder dette at det er "nemt" at opsætte alarmer for om kunderne sender penge til f.eks. Terrororganisationer Stram Kurs Nye Borgerlige Dansk Folkeparti Wikileaks Amnesty International Greenpeace Folkekirken Infowars Tommy Robinson

Og grunden til jeg spørger er, at mange personer (i USA og UK) er blevet "opsagt" af deres pengeinstitutter, betalingskort-leverandører osv. Ofte fordi disse er blevet presset til det af deres samarbejdspartnere.

Hvad sker der når Amazon siger: vi kan ikke levere service til LunarWay, hvis ikke i overholder vores (amazon's) etiske retningslinier. (underforstået fjerner kunder som bruger deres penge "socialt forkert")

Jeg er ikke så naiv, at jeg tror på dén slags ikke kommer hér, også. Vi skal bare have afskaffet kontanterne, for at det "batter noget".

K