案例研究：银行服务提供商迁移到容器的原因

案例研究：如何建立集装箱化基础设施

作为这个IT迁移项目的先锋，figo的系统架构师ChristianHüning分享了银行服务提供商如何构建集装箱化基础架构以实现速度，可扩展性和安全性的目标。

总部位于德国的figo成立于2012年，是欧洲第一家银行服务提供商。 （2019年3月，figo和柏林的finreach联手，形成了金融产品的欧洲软件即服务API平台。）该公司旨在通过其平台使银行和支付服务更加开放和可访问，使合作伙伴能够开发新的金融科技应用和服务（并扩展到新的行业用例）。

银行业务平台可以读取银行数据，分析财务资源，启动转账，验证账户余额，将交易分类，并将财务资源汇总成单一的客户体验。合作伙伴使用银行平台开发，然后为其客户提供新功能;例如，根据账户数据完成信用检查或提供个性化的财务建议（获得消费者的批准）。

技术密集的银行平台还为合作伙伴提供机器学习功能，以进一步构建和定制自己的解决方案。

挑战

随着银行服务提供商扩展其平台以扩展其平台以满足更多合作伙伴的不同需求，figo遇到了基于VM的环境带来的成本增加和技术限制。为了克服这些障碍，figo决定过渡到基于Kubernetes的容器服务架构。我们的想法是，这样做可以降低复杂性，提供更高的应用程序可靠性，并在整个后端基础架构中实现更灵活的水平可伸缩性。

战略路线图决定，figo的挑战是选择和部署可以支持采用集装箱化环境的可互操作技术。这意味着不仅要寻求能够帮助提高内部运营效率的解决方案，还要提供能够提供风险管理和有效的集装箱安全措施的技术 – 当然，遵守银行和隐私法规合规标准对于集装箱战略来说是不可协商的上班。实现这一目标意味着部署容器防火墙技术，该技术可以为高动态容器环境内部以及外部连接提供内部“东西向”连接的可见性和保护。

解决方案

figo部署了一个裸机容器服务架构，以提供其银行服务所依赖的关键应用程序，与Kubernetes协作，一个用于集群中所有服务之间的mTLS的Linkerd 2服务网络，用于API感知的网络安全过滤的Cilium，以及用于云原生的Kubernetes存储。

为了确定满足其容器安全性和法规遵从性需求的最谨慎的策略，figo对可用技术进行了全面评估。作为此过程的结果，figo选择了NeuVector作为其容器运行时安全解决方案。

传统的防火墙安全技术旨在保护环境免受外部威胁，但对容器环境的攻击通常涉及事件的“杀伤链”。杀戮链涉及利用容器漏洞来增加内部容器流量中的未授权连接和恶意进程的访问权限，然后再造成伤害。在动态容器环境中，每时每刻都会创建和销毁无数容器。

虽然传统防火墙缺乏正确监控内部容器流量的可见性，但figo喜欢NeuVector解决方案可以提供必要的第7层容器网络可见性和自动化，以检测和防止恶意连接发生。这将确保可以阻止杀伤链，保护容器和主机免受攻击。为确保有效的数据保护，figo还利用HashiCorp Vault存储和管理所有机密和敏感数据，并由硬件安全模块提供支持。

ChristianHüning，figo

结果

随着容器策略，编排工具和安全解决方案的到位，figo银行平台的基于容器的基础架构仍然受到保护，免受恶意软件，数据泄露和其他恶意攻击等威胁。该平台还依赖这些技术来满足其在银行和客户隐私法规下的严格合规要求，包括欧洲通用数据保护法规（GDPR），联邦金融监管局法规（BaFin）和修订后的支付服务指令（PSD2）。

介绍Kubernetes容器架构和保护它的强大安全解决方案极大地提高了figo银行平台的灵活性以及它为公司合作伙伴提供的服务。新架构提供稳定性，可扩展性和性能，为我们的平台提供强大的基础，同时安全解决方案合作伙伴确保figo系统和数据的安全性，并完全符合法规保护。

Figo接下来计划与其技术合作伙伴合作 – 其中许多以开源为重点 – 实施新功能，为其银行业平台带来越来越大的灵活性和可靠性，重点是进一步增强能力并支持其银行业的创新和创造力伙伴。