Проектирование, развертывание и сопровождение инфраструктуры с фокусом на DevSecOps и соответствие требованиям PCI DSS
В рамках проекта для Finau команда MiOps занималась проектированием, развертыванием и последующей поддержкой инфраструктуры, а также консультированием команды разработки по вопросам безопасности и DevSecOps-практик. Ключевой задачей было создание инфраструктуры, изначально соответствующей требованиям PCI DSS и другим международным стандартам информационной безопасности, с последующим сопровождением клиента в процессе сертификации.
Проект реализовывался с нуля — от базовых инфраструктурных компонентов и вспомогательных сервисов до production-окружения приложения.
О клиенте
Finau — финтех-проект в сфере криптовалют, ориентированный на безопасный и прозрачный обмен между криптоактивами и рублями. Продукт представляет собой кошелёк с встроенным механизмом обмена без использования P2P-модели, чатов и связанных с ними рисков мошенничества.
Работа с финансовыми и персональными данными, а также требования регуляторов в разных юрисдикциях предъявляют к инфраструктуре Finau повышенные требования по безопасности, контролю доступа, локализации данных и соответствию международным стандартам ИБ.
Описание задачи
На момент начала проекта у клиента отсутствовала готовая инфраструктура. Требовалось спроектировать и развернуть облачную платформу, соответствующую требованиям PCI DSS, с учётом дальнейшего масштабирования продукта, регуляторных ограничений и внедрения DevSecOps-подхода в процессы разработки и эксплуатации.
Основные задачи проекта:
проектирование безопасной инфраструктуры;
внедрение DevSecOps-практик на уровне инфраструктуры и CI/CD;
обеспечение соответствия требованиям PCI DSS и смежных стандартов ИБ;
организация безопасного хранения и управления секретами;
автоматизация проверок безопасности в процессе разработки и релизов;
подготовка инфраструктуры и процессов к прохождению сертификации;
сопровождение и консультации команды разработки.
Наше решение
Команда MiOps взяла на себя комплексную реализацию инфраструктуры и DevSecOps-подхода:
Спроектирована и развернута облачная инфраструктура в Yandex Cloud и DigitalOcean с учётом требований по локализации персональных данных: данные пользователей из РФ размещались в Yandex Cloud, данные пользователей из Европы — в DigitalOcean.
Развернута Kubernetes-инфраструктура как основа для production-окружения приложения.
Внедрена единая система управления секретами на базе HashiCorp Vault, включая:
– динамическую выдачу временных и одноразовых credential’ов для приложений, CI/CD и доступа к базам данных; – строгие ограничения по namespace и времени жизни токенов; – централизованный сбор и хранение audit-логов Vault.
Настроены CI/CD-процессы в GitLab CI/CD с глубокой интеграцией DevSecOps-практик:
– сканирование утечек секретов; – SAST-проверки кода; – SCA-сканирование зависимостей; – DAST-проверки после деплоя; – формирование отчётов по всем проверкам с агрегацией в едином дашборде на базе DefectDojo.
Реализована система криптографической подписи Docker-образов с использованием Cosign (Sigstore):
– подпись образов ключами, хранящимися в Vault; – проверка подписи на уровне инфраструктуры с помощью Kyverno.
Внедрены политики безопасности Kubernetes через Kyverno, включая:
– запрет запуска контейнеров от root-пользователя; – обязательное read-only монтирование файловых систем; – дополнительные политики, основанные на best practices Kubernetes Security.
Реализована защищённая система резервного копирования:
– бэкапы баз данных и Vault; – доступ к базам данных через динамические роли Vault; – шифрование и хранение бэкапов с использованием Restic в S3-хранилище.
Для бутстрапа инфраструктуры использована связка SOPS + age для защиты базовых секретов.
Управление инфраструктурой и Vault реализовано по IaC-подходу с использованием Terraform / OpenTofu с зашифрованным state.
Настроен Renovate Bot для автоматической проверки и обновления зависимостей в Git-репозиториях.
Проведена работа по внедрению безопасных практик в команде разработки:
– криптографическая подпись Git-коммитов; – безопасная передача секретов с использованием специализированных сервисов.
Результат
В результате сотрудничества Finau получила полностью развернутую, безопасную и управляемую инфраструктуру, соответствующую требованиям PCI DSS и другим стандартам информационной безопасности.
Были выстроены прозрачные DevSecOps-процессы, автоматизированы проверки безопасности на всех этапах CI/CD, внедрено централизованное управление секретами и обеспечено соблюдение требований по локализации персональных данных. Инфраструктура и процессы были подготовлены к прохождению сертификации без необходимости архитектурных переработок на поздних этапах развития продукта.