Спрос на IT-специалистов неуклонно растет последние пять лет, и чтобы привлечь новых сотрудников, компании стараются удовлетворить все требования кандидатов. Комфортный офис — ок. Привычный технологический стек — ок. Удобная удаленка… вот здесь есть оговорки. Мы как банк постоянно работаем с большими объемами конфиденциальных и личных данных, с тем, что составляет банковскую тайну. Повышенные требования к ИБ, защита от утечек данных, фрода налагают много ограничений на возможности удаленки, которые может предложить финтех. Из-за этого снижается привлекательность компаний для соискателей. В этом посте мы расскажем о проекте Росбанка Happy Developer, благодаря которому наши сотрудники могут получать полный доступ к защищенным сервисам в формате BYOD, то есть с любого устройства, имеющего выход в интернет.
Удаленка в финтехе: удобство vs безопасность
В компаниях с высокими требованиями к безопасности (финтех и некоторые другие отрасли) удаленный режим работы всегда вызывает головную боль у админов и безопасников. С одной стороны, нужно пресечь любую возможность нанести вред инфраструктуре, с другой — не заткнуть ограничениями все преимущества такого режима работы. Человеку в вопросах ИБ не принято доверять в принципе, так что принято решать всё за счет урезания возможностей конечных устройств.
Обычно сотруднику выдается типовой для компании ноутбук на Windows без прав администратора, с настроенным корпоративным VPN и ограничениями доступа в Сеть. Причем само устройство, скорее всего, не хватает звезд с неба, потому что покупают его большими партиями, ориентируясь на минимальные или близкие к таковым требования. Апгрейд невозможен, кастомизация системы тоже, да и с публичными библиотеками и другими полезными ресурсами для разработчиков далеко не все гладко. Это самое простое, но не самое гибкое и экономичное решение, которое дает безопасникам должный уровень уверенности. Контролировать физический доступ к устройству мы не можем.
Виртуализация открывает другой путь — VDI-решения. Удаленщик работает на подконтрольной компании виртуальной машине, к которой имеет доступ через специализированные сервисы доступа с личного устройства. Любой такой сеанс автоматически включает режим повышенной опасности. Аппаратно-программные средства в совокупности с разграничением прав доступа на уровне политик анализируют трафик и обрывают доступ ко всему, что не связано с рабочей средой. Более безопасный вариант, но стоят такие системы столько, что цен обычно даже не найти в открытом доступе.
В итоге вопросы удаленного доступа сводятся к поиску баланса между желанием ИБ обезопасить всех и нежеланием организации тратить на это миллионы долларов. В финтехе цена ошибки очень высока, поэтому обычно в этой борьбе проигрывает кошелек.
Как работает Happy Developer
Happy Developer — проект Росбанка по организации удаленного доступа к сервисам банка для сотрудников и внешних подрядчиков. Как это работает?
У человека есть компьютер. Личный, выданный подрядчиком или интегратором, неважно. Просто любой компьютер, смартфон или планшет под управлением Windows, Mac OS или Linux. На нем пользователь устанавливает бесплатный VPN-клиент Check Point — мы перешли на него после ухода из России Cisco с их AnyConnect.
Пользователь вводит логин и пароль, проходит двухфакторную аутентификацию, и Check Point создает VPN-туннель в инфраструктуру банка. Двухфакторная аутентификация организована через пуш-уведомление на смартфон. Никаких паролей копировать или вводить со скриншота не надо, Check Point удобно интегрируется с мобильными девайсами. При этом никаких дополнительных требований к доступу в интернет и административных ограничений на машине пользователя (BYOD) не предъявляется, устройство пользователя остается неуправляемым и не доверенным для банка.
Доступ к стендам
Описанные выше процессы покрывают не все нужды разработки. Артефакт раскатывается на тестовый контур, тестируется, идет на стенд QA, а уже в финале — на продакшен-стенд. На каждом стенде нужно смотреть, как что работает, иметь возможность перезагрузить сервер, посмотреть базу данных и сделать множество других действий, в принципе невозможных по HTTP.
Стенды в контуре банка интегрированы со всеми банковскими системами, с банковской подсетью. Прямые доступы здесь не дашь, это создает огромные риски ИБ. Наши безопасники согласились давать прямой удаленный доступ только к стендам, которые сконфигурированы как «песочница», то есть изолированы от других систем на сетевом уровне, а также не работают с персональными и банковскими данными.
Спасение для iOS-разработчиков
Мобильная разработка под iOS — это кошмар для службы безопасности в финтехе. Нужные инструменты есть только под Mac OS, а устройства на ней никак не заведешь в основные контуры, ориентированные на Windows. Поэтому первыми пользователями Happy Developer стали именно наши iOS-разработчики.
Раньше весь процесс разработки под iOS был потенциально опасен, потому что многое приходилось делать через костыли. Переносить код на флешке, каждый раз лично договариваться с безопасниками… ни о каких единых политиках не могло идти и речи. Но сейчас с Happy Developer мы не только добились нужного уровня ИБ, но и снизили TTM для группы iOS-разработки.
Подведем итоги
В этом посте мы постарались раскрыть все важные стороны Happy Developer настолько, насколько позволила наша служба безопасности :) Надеемся, что с нашим BYOD мы сможем повлиять на общепринятые представления разработчиков о финтехе как о громоздкой индустрии, работа в которой сопряжена с постоянными неудобствами. Вероятно, у вас появились уточняющие вопросы — пишите в комментариях, постараемся дать необходимую информацию.
