我们在Raiffeisen国际银行的API安全之旅
本文由Raiffeisen Bank International的集团CISO Peter Gerdenitsch撰写,基于Imvision高管培训计划期间的一次演示,该计划是一系列活动,重点关注企业如何掌控API安全生命周期
启动“敏捷中的安全”计划
Raiffeisen Bank International(RBI)总部位于维也纳,业务遍及中欧和东欧的14个国家,拥有约45000名员工。我们的重点是为客户提供通用银行解决方案,以及为零售和企业市场开发数字银行产品。因此,印度储备银行拥有大量的R&;D部门,为全欧洲的IT和工程专业人士打造了一个非常庞大的社区
早在2019年,我们就开始转向以产品为主导的RBI敏捷设置,引入各种安全角色,为实现我们的战略目标做出贡献并进行协作。作为这一过程的一部分,我们在DevSecOps团队中为我们的每种产品确立了安全冠军的角色。除了我们的核心“安全设计和体系结构”功能外,安全专家开始合作支持产品实现安全解决方案
最重要的是,对其产品的安全方面拥有所有权意味着安全卫士处于有利地位,可以确保在积压工作会议期间,根据产品所有者可接受的风险水平,优先考虑与安全相关的故事
我们还建立了由若干与特定业务线相关的产品组成的部落,以培养共同的社区意识。每个部落都被赋予了另一个角色:“安全部门负责人”
这个角色的任务是在需求、风险评估、设计模式和体系结构方面支持他们部落中的其他安全冠军,这要归功于他们增强的专业技能。这些角色是透明的,因此整个组织都知道每个产品和部落的安全知识载体
最后,我们建立了一个实践社区,其中包括每月召开一次会议,来自所有不同产品的安全冠军可以在会上交流信息,教授案例研究,并通常分享有关他们实践的知识。我们通过周一的公告和本周的最新消息进一步支持了这项社区活动,总体上鼓励了信息、知识和经验的公开交流
了解有关如何管理API安全生命周期的更多信息
安保“武术”培训计划
这个想法是现在仍然是——让安全卫士成为一个完全由志愿者驱动的角色,这一点起初让我们担心,我们无法找到足够多愿意的志愿者。幸运的是,情况正好相反,我们甚至能够为每个职位招聘两名员工,以支付假期和病假。成功的部分原因可能是因为我们没有在背景方面限制这个角色,这意味着我们也看到了来自各种IT和业务职能部门的大量志愿者
为了进一步支持这一角色,我们在2020年初为我们的安全冠军建立了一个基于武术腰带系统的培训项目。它始于一个为期三天的安全基础培训项目,我们称之为黄带培训。它启动了,我们很快就对该项目有了深入了解,从而推出了一款为期两天的更轻薄版黄腰带,面向所有有兴趣了解更多安全知识的人
这个针对每个人的简短、通用的计划旨在通过强调产品生命周期中安全的重要性以及安全冠军计划背后的原理,促进整个组织的协作和意识。security champion计划的额外一天重点是学习更多有关RBI特定工具的知识,尤其是源代码扫描和身份及访问管理工具的使用
随着时间的推移,我们设立了更多更高级的培训课程,以帮助安全卫士更有效地完成他们的工作。例如,我们有API安全课程和云安全课程,以加深我们在这些领域的安全相关知识。我们还鼓励通过外部课程获得专业认证,为我们的安全冠军提供所需的预算和学习时间
负责我们的API安全生命周期
根据支付服务指令(PSD),在过去几年中,银行越来越多地被要求——也被期望——开放其API,以使客户能够轻松访问金融数据,包括通过第三方工具和应用程序
这一规定促进了对已经在形成的原料药使用的有力转向,印度储备银行的原料药姿态和消费量显著增加。在过去几年中,RBI开发了许多API:今天,我们的API市场有100+种外部暴露的API,而在内部,我们统计了约1000种不同的API。API实现和使用的增加带来了安全风险,这促使我们思考解决API安全问题的方法
由于我们的API足迹不仅限于PSD法规要求的API足迹,我们很快发现,我们不一定对部署的所有API都有一致的可见性。与世界上许多其他企业一样,考虑到API的使用量和数量都很高,我们面临着获取API中心视图的挑战,因此我们可以确保适当且充分的安全级别
为了应对其中一些挑战,我们决定建立实时集成卓越中心(RICE),它是RBI的中央管理层,包括连接到各子公司和被收购公司遗留核心银行系统的API
如下图所示,中央API管理层将所有微服务绑定在一起,为API提供业务功能,并在外部连接到各种渠道和用例。这一层对我们来说是双赢的,因为它使我们能够改善客户体验、性能和安全性
从安全角度来看,根据“敏捷中的安全”方法,每个产品团队都包括一名安全冠军。他们与领域专家合作,安全章节负责根据产品所有者指定的风险级别协调安全措施,并与相关业务所有者协商确定优先级
API安全:成功的关键
在强大的协作基础上构建API安全性意味着我们的业务和开发对手能够更好地理解安全性的价值、我们为什么需要这样做,以及保护API的重要性
最重要的是,很明显,API安全是一项集体努力,整个团队在该领域分担责任:
从业务端来看,由于API是企业IT基础架构的关键部分,必须对外公开,因此他们很清楚,恶意参与者会假装成API消费者,试图渗透他们。该项目帮助我们认识到,API安全是产品所有者和IT安全团队之间共享的
从产品端来说,做好充分准备、从经验中学习并实施额外的保护层是保护API的关键要素
此外,人们有一个深刻的共识,即在整个开发过程中,甚至从设计阶段开始,都应该考虑到安全性,没有彻底的渗透测试,任何产品都不应该发布
了解有关如何为API第一代做好安全测试准备的更多信息
管理层的认同和一致性可能是在企业中正确实施API安全性的最重要因素之一。确保他们意识到API安全的重要性是实现这种认可的关键
另一个重要的关键成功因素是在API安全过程中选择使用的检测技术的准确度。你得到的误报越少,你的境况就越好。本质上,对于API来说,这意味着您可以检测到试图操纵逻辑的行为序列,并进行大规模操作
为了确保安全工作,很明显,这个责任不应该只落在一个部门身上,而应该由所有团队共同承担。在与RBI管理委员会的会议上,我们还重点讨论了Imvision解决方案的好处,以及它如何使我们能够关注最主要的漏洞,同时了解功能错误在哪里,从而优先进行补救并节省资源
与你选择的任何合作伙伴一样,合作的水平非常重要。总的来说,人们觉得Imvison的平台不仅提供了强大的安全机制,还提供了丰富的专业知识、积极的驱动力和对我们需求的响应能力