Спрос на IT-специалистов неуклонно растет последние пять лет, и чтобы привлечь новых сотрудников, компании стараются удовлетворить все требования кандидатов. Комфортный офис — ок. Привычный технологический стек — ок. Удобная удаленка… вот здесь есть оговорки. Мы как банк постоянно работаем с большими объемами конфиденциальных и личных данных, с тем, что составляет банковскую тайну. Повышенные требования к ИБ, защита от утечек данных, фрода налагают много ограничений на возможности удаленки, которые может предложить финтех. Из-за этого снижается привлекательность компаний для соискателей. В этом посте мы расскажем о проекте Росбанка Happy Developer, благодаря которому наши сотрудники могут получать полный доступ к защищенным сервисам в формате BYOD, то есть с любого устройства, имеющего выход в интернет.

Удаленка в финтехе: удобство vs безопасность

В компаниях с высокими требованиями к безопасности (финтех и некоторые другие отрасли) удаленный режим работы всегда вызывает головную боль у админов и безопасников. С одной стороны, нужно пресечь любую возможность нанести вред инфраструктуре, с другой — не заткнуть ограничениями все преимущества такого режима работы. Человеку в вопросах ИБ не принято доверять в принципе, так что принято решать всё за счет урезания возможностей конечных устройств. 

Обычно сотруднику выдается типовой для компании ноутбук на Windows без прав администратора, с настроенным корпоративным VPN и ограничениями доступа в Сеть. Причем само устройство, скорее всего, не хватает звезд с неба, потому что покупают его большими партиями, ориентируясь на минимальные или близкие к таковым требования. Апгрейд невозможен, кастомизация системы тоже, да и с публичными библиотеками и другими полезными ресурсами для разработчиков далеко не все гладко. Это самое простое, но не самое гибкое и экономичное решение, которое дает безопасникам должный уровень уверенности. Контролировать физический доступ к устройству мы не можем.

Виртуализация открывает другой путь — VDI-решения. Удаленщик работает на подконтрольной компании виртуальной машине, к которой имеет доступ через специализированные сервисы доступа с личного устройства. Любой такой сеанс автоматически включает режим повышенной опасности. Аппаратно-программные средства в совокупности с разграничением прав доступа на уровне политик анализируют трафик и обрывают доступ ко всему, что не связано с рабочей средой. Более безопасный вариант, но стоят такие системы столько, что цен обычно даже не найти в открытом доступе.

В итоге вопросы удаленного доступа сводятся к поиску баланса между желанием ИБ обезопасить всех и нежеланием организации тратить на это миллионы долларов. В финтехе цена ошибки очень высока, поэтому обычно в этой борьбе проигрывает кошелек.

Как работает Happy Developer

Happy Developer — проект Росбанка по организации удаленного доступа к сервисам банка для сотрудников и внешних подрядчиков. Как это работает?

У человека есть компьютер. Личный, выданный подрядчиком или интегратором, неважно. Просто любой компьютер, смартфон или планшет под управлением Windows, Mac OS или Linux. На нем пользователь устанавливает бесплатный VPN-клиент Check Point — мы перешли на него после ухода из России Cisco с их AnyConnect.

Пользователь вводит логин и пароль, проходит двухфакторную аутентификацию, и Check Point создает VPN-туннель в инфраструктуру банка. Двухфакторная аутентификация организована через пуш-уведомление на смартфон. Никаких паролей копировать или вводить со скриншота не надо, Check Point удобно интегрируется с мобильными девайсами. При этом никаких дополнительных требований к доступу в интернет и административных ограничений на машине пользователя (BYOD) не предъявляется, устройство пользователя остается неуправляемым и не доверенным для банка.

Доступ к стендам

Описанные выше процессы покрывают не все нужды разработки. Артефакт раскатывается на тестовый контур, тестируется, идет на стенд QA, а уже в финале — на продакшен-стенд. На каждом стенде нужно смотреть, как что работает, иметь возможность перезагрузить сервер, посмотреть базу данных и сделать множество других действий, в принципе невозможных по HTTP.

Стенды в контуре банка интегрированы со всеми банковскими системами, с банковской подсетью. Прямые доступы здесь не дашь, это создает огромные риски ИБ. Наши безопасники согласились давать прямой удаленный доступ только к стендам, которые сконфигурированы как «песочница», то есть изолированы от других систем на сетевом уровне, а также не работают с персональными и банковскими данными.

Спасение для iOS-разработчиков

Мобильная разработка под iOS — это кошмар для службы безопасности в финтехе. Нужные инструменты есть только под Mac OS, а устройства на ней никак не заведешь в основные контуры, ориентированные на Windows. Поэтому первыми пользователями Happy Developer стали именно наши iOS-разработчики.

Раньше весь процесс разработки под iOS был потенциально опасен, потому что многое приходилось делать через костыли. Переносить код на флешке, каждый раз лично договариваться с безопасниками… ни о каких единых политиках не могло идти и речи. Но сейчас с Happy Developer мы не только добились нужного уровня ИБ, но и снизили TTM для группы iOS-разработки.

Подведем итоги

В этом посте мы постарались раскрыть все важные стороны Happy Developer настолько, насколько позволила наша служба безопасности :) Надеемся, что с нашим BYOD мы сможем повлиять на общепринятые представления разработчиков о финтехе как о громоздкой индустрии, работа в которой сопряжена с постоянными неудобствами. Вероятно, у вас появились уточняющие вопросы — пишите в комментариях, постараемся дать необходимую информацию.

Комментарии (11)


  1. lair
    03.08.2022 15:14
    +1

    То есть у вас совершенно нормально получить доступ к исходному коду с недоверенного устройства?


  1. WondeRu
    03.08.2022 15:18
    +1

    BYOD - это про сокращение затрат на закупку техники. Со своей стороны мы огребли кучу проблем с поддержкой зоопарка пользовательских устройств, поэтому сделали BYOD совсем опциональной штукой, ибо проще купить железку, накатить стандартный образ и жить спокойно, а не разбираться, почему биос не дает запускать драйверы. Безобразно, зато единообразно.


  1. KorP
    03.08.2022 15:19
    +8

    все важные стороны Happy Developer настолько, насколько позволила наша служба безопасности

    А рассказали то что в итоге? Что используете Check Point? :)

    Что тут описано специфичного для финтеха?

    Отдельно про iOS-разработчиков тоже ничего не понятно - облегчили им жизнь, а чем? как? ничего не рассказали по итоге


  1. akhkmed
    03.08.2022 16:34

    Супер. А с Линукс можно? Надо ли ставить DLP?


    1. Shaman_RSHU
      04.08.2022 11:10
      +1

      На личное устройство ставить DLP противозаконно


      1. akhkmed
        04.08.2022 12:38
        +1

        Что неэтично - уверен, а законность и вправду под вопросом. Думаю, что у СБ банка есть конкретный ответ, который они не обязательно заявляют публично: можно же втихую ставить DLP вместе с VPN и не давать запускать VPN без активного DLP.


        1. Shaman_RSHU
          04.08.2022 15:15

          Здесь всё упирается в зону отвтственности. Если компьютер личный (например работает аутсорсер), то на нем может быть коммерческая тайна другова Заказчика, персональные данные самого владельца компьютера или членов семьи (на обработку которых он согласия не давал) и много ещё чего.

          Как бы детально юристы банка не описали всё в трудовом договоре, хранить на личном устройстве информацию, не относящуюся к выполнению рабочих обязанностей они запретить не могут.

          Вот тут вступает в силу закон о защите ПДн, закон о связи, о защите коммерческой тайны и т.д. И если РКН почти никак не реагирует на заявления от физических лиц, то трудовая инспекция почти всегда на стороне работника, а ТК РФ тут тоже можно подтянуть. Да в конце концов репутационные риски - кто захочет работать в организации, где втихую ставят непонятно что.


          1. akhkmed
            06.08.2022 01:45

            Такие организации есть. Хотя в большинстве случаев в них нет BYOD, а на свой ноутбук работодатель может что угодно поставить. Росбанк - первый, у которого я вижу BYOD и хочется получить комментарий про обязанное применение DLP на конечном устройстве.


  1. Stas911
    03.08.2022 23:07

    У нас BYOD только для телефонов работает, ноуты строго только корпоративные


  1. Markscheider
    04.08.2022 00:47
    +1

    Хоть сегодня и не пятница, но не смог удержаться. BYOD изначально расшифровывалось как "bring your own drink(s)" - эту аббревиатуру писали на приглашениях на вечеринку, если не хотели тратиться на спиртное для гостей. Каждый приносил алкоголь по своему вкусу и употреблял его единолично.

    Надеюсь, что в вашем банке разрабам так же весело работать, как на хорошей вечеринке :).


  1. slonoten
    04.08.2022 09:59

    У меня был такой BYOD в одном большоооом банке: intel nuc подключенный к рабочему монитору и клавиатуре, интернет через телефон, дома пара серверов с 64 гб памяти и GPU. Работал с открытыми данными. Код заливал в банковскую репу синхронизируя ее со своей с рабочего ноута.
    В банке для работы выделяли виртуалки с 8 гб памяти.