【安全典範】SUSE助諾華誠信實現DevSecOps自動化　保障數據安全

成立於 2017 年的諾華誠信（Nova Credit），是多家個人信貸資料服務機構 (MCRA) 模式下的信貸資料服務機構，掌握了大量客戶的個人信貸資料，背後需要遵守的規例及採用的技術方案，最著重保障數據安全。該公司最近選用了 SUSE 提供的一系列雲原生（Cloud Native）解決方案，除了能全天侯自動偵測安全漏洞，助企業降低風險之餘，更在相同人手下提升營運效率，令公司獲得更多的生意機會。

諾華誠信每日要處理全港 560 萬消費者個人信貸資料，並根據金融機構提供的信貸紀錄，保持資料在最更新狀態，更要按需求在短時間內提供個人信貸報告。

要跟上行業發展速度，同時符合數據安全標準，單靠原有的虛擬機器（VM）已不足以應付。經評估後，諾華誠信決定選用基於 Rancher Prime 的容器管理平台，建立 DevSecOps 流程，以相同的資源下，提高安全和合規性，全面提升應用程序可用性和可擴展性，加快應用部署時間，實現高質量業務應用交付能力，提升在業界的競爭力。

縮短開發營運時間

傳統開發和營運流程就像瀑布一樣線性流動，包括需求分析、設計系統，編寫程式碼、進行滲透測試（Penetration Test）及修正等才能推出，需時起碼幾個月。諾華誠信採用了Rancher Prime 容器管理平台，基於這平台建立了 DevSecOps 流程，幫助縮短開發流程，搶佔行業先機。

Rancher Prime 提供一個開源多集群管理平台，在業界一直很受歡迎和採用。透過直觀操作介面，以一致的集群操作，包括多用戶統一登入，不停機集群升級，也透過可觀察性和診斷、監控和警報以及集中審計功能，簡化營運操作，輕鬆管理雙活數據中心裡的多個集群，實現全自動化 DevSecOps 流程。

諾華誠信資訊科技主管林智聰（William）指，他們的團隊開發的商業應用軟件是從單體 （Monolithic）架構轉型到微服務架構（Microservices），令應用更具彈性而滿足業務發展需求，同時亦帶來部署複雜性跟安全威脅的挑戰。採用了Rancher Prime 和 NeuVector之後，William表示「現在開發者可以在編寫程式的同時，從系統的自動化掃瞄得知潛在問題，再馬上進行修正，最快兩星期就可以開發到一個新的應用程式或者功能。」大大簡化開發，營運和安全團隊之間的協作和溝通，同時縮短部署時間，降低部署錯誤的風險之餘，也有效提升應用系統在生產環境運作的安全性。 

對於金融科技公司來說，產品上市時間十分重要，將產品推向市場的速度越快，成功的機會便越大。就政府早前提倡「搶人才」為例，諾華誠信與一間國際人力資源公司合作推動人才招聘服務平台，平台從構思到推出，只花了一個多月時間。諾華誠信行政總裁何佳意（Samuel）指，若使用傳統方式，六個星期時間連平台系統、功能介面等基本需求都未能確定，「如果產品開發進度慢，不能夠在指定時間內完成項目，結果可能連一分錢都沒辦法得到。」

他補充，「以往當有相同 IT 人手的情況下，都未必敢接新生意，但現在當有相同人手加上 SUSE 的幫助下，可放心接更多生意，在成本不變下，用自動化系統換到效率，即使跟三、四個對手競爭，若能搶先推出產品的話，就能得到更大的市場。」

滿足行業標準　全面保障數據安全

William 又指，選擇 Rancher Prime 的另一個主因是它強大的安全功能。諾華誠信關鍵的信貸評估業務，更需保護全港 560 萬消費者個人信貸資料，傳統容器在處理大量數據時，會受限於資源、擴展性、數據持久性、管理和監控以及安全性等方面的困難。

為滿足大規模數據處理需求，諾華誠信採用 Longhorn 雲原生分布式存儲解决方案，提供簡單易用的界面管理和操作存儲，幫助輕鬆擴展以處理大量數據，並在多個工作節點上複製和分散數據，提供高度可靠性和容錯能力。

Rancher Prime 集群底層的 Rancher Kubernetes Engine 2（RKE2）更默認提供 CIS （Center for Internet Security）配置選項和 CIS 掃瞄服務，使所有部署符合 CIS Benchmarks 的安全基準。在 Rancher Prime 的操作系統方面，則採用已通過支付卡產業資料安全標準（PCI DSS）認證的 SUSE Linux Enterprise Server（SLES）。

無間斷風險掃瞄　免受零日威脅

在容器安全方面，配合 NeuVector 在整個容器生命週期中持續掃瞄，檢測潛在風險及安全漏洞，保護容器環境免受各種威脅和攻擊。NeuVector 更擁有第七層容器防火牆（傳統防火牆主要在第三和四層操作），提供更細緻和精確的保護，使基礎設施免受零日威脅和內部威脅影響。

對比傳統容器風險掃瞄工具，需手動設定掃瞄，甚至每隔一個月才有一份掃瞄報告，現時 NeuVector 每日每夜全自動掃瞄，發現漏洞時更會即時告知團隊，可以及時修正，確保系統保持在最更新及最安全的狀態。

在 SUSE 的方案和技術顧問團隊的支持下，諾華誠信成功從 VM 過渡到容器，簡化了開發和營運團隊之間的協作和溝通，縮短部署時間，並提高數據安全上的處理及保護能力，得到行業肯定。諾華誠信更是第一間香港企業先行完成國家互聯網信息辦公室《個人信息出境標準合同辦法》備案有關工作，其「跨境征信報告核驗項目」成為全國首個個人信息出境標準合同備案獲批案例。因應跨境數據傳輸的業務需要，諾華誠信將計劃加強自動化部署、自動化配置、安全審核和軟件管理，幫助 IT 管理團隊降低營運的複雜性，以及自動化系統定期更新，保持高水平的系統安全性。

透過 SUSE 的 Rancher Prime 方案和技術顧問團隊的支持下，現在諾華誠信的應用發布時間可以大為縮短，也通過自動化支持敏捷開發，利用 NeuVector 全面增強容器平台上的安全性，整體來說，整個應用程序的開發和營運成本都得到明顯下降。