Что предлагаем
Стоимость
Результат
Контакты
С чем работаем
+7 (929) 667-15-50
Оставить заявку
Ru
En
← назад
Проекты Devops (Девопс), кейсы

Finau

Проектирование, развертывание и сопровождение инфраструктуры с фокусом на DevSecOps и соответствие требованиям PCI DSS
В рамках проекта для Finau команда MiOps занималась проектированием, развертыванием и последующей поддержкой инфраструктуры, а также консультированием команды разработки по вопросам безопасности и DevSecOps-практик. Ключевой задачей было создание инфраструктуры, изначально соответствующей требованиям PCI DSS и другим международным стандартам информационной безопасности, с последующим сопровождением клиента в процессе сертификации.
Проект реализовывался с нуля — от базовых инфраструктурных компонентов и вспомогательных сервисов до production-окружения приложения.

О клиенте

Finau — финтех-проект в сфере криптовалют, ориентированный на безопасный и прозрачный обмен между криптоактивами и рублями. Продукт представляет собой кошелёк с встроенным механизмом обмена без использования P2P-модели, чатов и связанных с ними рисков мошенничества.
Работа с финансовыми и персональными данными, а также требования регуляторов в разных юрисдикциях предъявляют к инфраструктуре Finau повышенные требования по безопасности, контролю доступа, локализации данных и соответствию международным стандартам ИБ.

Описание задачи

На момент начала проекта у клиента отсутствовала готовая инфраструктура. Требовалось спроектировать и развернуть облачную платформу, соответствующую требованиям PCI DSS, с учётом дальнейшего масштабирования продукта, регуляторных ограничений и внедрения DevSecOps-подхода в процессы разработки и эксплуатации.

Основные задачи проекта:

  • проектирование безопасной инфраструктуры;
  • внедрение DevSecOps-практик на уровне инфраструктуры и CI/CD;
  • обеспечение соответствия требованиям PCI DSS и смежных стандартов ИБ;
  • организация безопасного хранения и управления секретами;
  • автоматизация проверок безопасности в процессе разработки и релизов;
  • подготовка инфраструктуры и процессов к прохождению сертификации;
  • сопровождение и консультации команды разработки.

Наше решение

Команда MiOps взяла на себя комплексную реализацию инфраструктуры и DevSecOps-подхода:
  • Спроектирована и развернута облачная инфраструктура в Yandex Cloud и DigitalOcean с учётом требований по локализации персональных данных: данные пользователей из РФ размещались в Yandex Cloud, данные пользователей из Европы — в DigitalOcean.
  • Развернута Kubernetes-инфраструктура как основа для production-окружения приложения.
  • Внедрена единая система управления секретами на базе HashiCorp Vault, включая:
– динамическую выдачу временных и одноразовых credential’ов для приложений, CI/CD и доступа к базам данных;
– строгие ограничения по namespace и времени жизни токенов;
– централизованный сбор и хранение audit-логов Vault.
  • Настроены CI/CD-процессы в GitLab CI/CD с глубокой интеграцией DevSecOps-практик:
– сканирование утечек секретов;
– SAST-проверки кода;
– SCA-сканирование зависимостей;
– DAST-проверки после деплоя;
– формирование отчётов по всем проверкам с агрегацией в едином дашборде на базе DefectDojo.
  • Реализована система криптографической подписи Docker-образов с использованием Cosign (Sigstore):
– подпись образов ключами, хранящимися в Vault;
– проверка подписи на уровне инфраструктуры с помощью Kyverno.
  • Внедрены политики безопасности Kubernetes через Kyverno, включая:
– запрет запуска контейнеров от root-пользователя;
– обязательное read-only монтирование файловых систем;
– дополнительные политики, основанные на best practices Kubernetes Security.
  • Реализована защищённая система резервного копирования:
– бэкапы баз данных и Vault;
– доступ к базам данных через динамические роли Vault;
– шифрование и хранение бэкапов с использованием Restic в S3-хранилище.
  • Для бутстрапа инфраструктуры использована связка SOPS + age для защиты базовых секретов.
  • Управление инфраструктурой и Vault реализовано по IaC-подходу с использованием Terraform / OpenTofu с зашифрованным state.
  • Настроен Renovate Bot для автоматической проверки и обновления зависимостей в Git-репозиториях.
  • Проведена работа по внедрению безопасных практик в команде разработки:
– криптографическая подпись Git-коммитов;
– безопасная передача секретов с использованием специализированных сервисов.

Результат

В результате сотрудничества Finau получила полностью развернутую, безопасную и управляемую инфраструктуру, соответствующую требованиям PCI DSS и другим стандартам информационной безопасности.
Были выстроены прозрачные DevSecOps-процессы, автоматизированы проверки безопасности на всех этапах CI/CD, внедрено централизованное управление секретами и обеспечено соблюдение требований по локализации персональных данных. Инфраструктура и процессы были подготовлены к прохождению сертификации без необходимости архитектурных переработок на поздних этапах развития продукта.

Технологический стек

Yandex Cloud, DigitalOcean, Kubernetes, GitLab CI/CD, HashiCorp Vault, Kyverno, Prometheus Stack, DefectDojo, Terraform, OpenTofu, PostgreSQL, Valkey, S3, Restic, SOPS, age, Cosign, Renovate Bot.