De Zwitserse federale spoorwegen (SBB) zijn een van de top drie punctuele spoorwegen ter wereld. SBB, opgericht in 1902, richt zich in haar kernactiviteiten op passagiersdiensten, vastgoed, vrachtdiensten en infrastructuur. Met een gemiddeld personeelsbestand van bijna 34.000 is het ook een van de grootste werkgevers in Zwitserland. Elke dag verbindt SBB bijna een miljoen mensen door ervoor te zorgen dat ze veilig, betrouwbaar en op tijd reizen en aankomen. SBB doorkruist heel Zwitserland en verbindt het land met Europa via de Gotthard-Basistunnel in de Alpen - de langste en diepste treintunnel ter wereld.
Het spoorwegnetwerk van SBB is verreikend, populair en punctueel. Het netwerk huisvest elke dag 11.260 treinen. Elke trein arriveert en vertrekt binnen drie minuten van het schema, 91,9% van de tijd. Om deze indrukwekkende prestatie te behouden, een flexibelere consumentenervaring te ondersteunen en de koolstofuitstoot te verminderen, onderneemt SBB een digitale transformatiereis op basis van haar strategie 2030 - een vierdelig plan voor het verbeteren van de robuuste spoorwegactiviteiten.
Versterkte SBB-beveiliging op de juiste plek
Naadloos geïntegreerd met de systemen van SBB dankzij een developer-first-benadering
Verhoogde wendbaarheid voor SBB's ontwikkelaars en verminderd bedrijfsrisico
Vastgestelde beveiligingsautomatisering voor kritieke IT-systemen
Een lighthouse-gebruiksscenario opgebouwd voor de lopende SBB-transformatie
Vault is veerkrachtig, stabiel en zeer beschikbaar; en het is als een Zwitsers zakmes voor het beheer van secrets, het biedt veel integraties out-of-the-box met een snel traject voor toekomstige ontwikkeling.
Andreas Meister | Engineering Team Leader en Security Architect bij SBB
De digitaliseringsstrategie van SBB is gericht op het verbeteren van de klantgerichtheid van het bedrijf, het verhogen van de efficiëntie, het laten groeien van de kernactiviteiten en het bereiken van koolstofneutraliteit. Het bereiken van deze doelen vereist meer onderlinge verbondenheid voor het spoorwegnetwerk en zijn componenten en systemen, zoals van ticketverkoop naar verkeersmanagement, klantinformatiesystemen, diverse IoT-apparaten, de IT-ruggengraat en, het allerbelangrijkste, de klanten zelf. Elke SBB-trein is in wezen een klein datacentrum op rails.
Om deze systemen te updaten en te verbinden, had het ontwikkelaarsteam van SBB veilige authenticatie nodig voor al zijn tools. Hun certificaten, tokens of inloggegevens ("secrets") moesten toegankelijk zijn, maar veilig voor onbevoegde gebruikers. Robuuste authenticatie vereist schaalbaar, betrouwbaar en functierijk secrets beheer. Om de digitalisering te laten slagen, moest elke oplossing die SBB selecteerde ook de beveiligingshouding verbeteren door hard-coded en plain-text secrets te elimineren en beveiligingsautomatisering voor kritieke IT-systemen tot stand te brengen.
Vault is veerkrachtig, stabiel en zeer beschikbaar; en het is als een Zwitsers zakmes voor het beheer van secrets, het biedt veel integraties out-of-the-box met een snel traject voor toekomstige ontwikkeling.
Andreas Meister | Engineering Team Leader en Security Architect bij SBB
Engineering Team Leader en Security Architect, Andreas Meister, stond centraal in de digitalisering van het bedrijf. Hij ontving interne vragen over secrets management al in maart 2019. Het beveiligen van inloggegevens is een belangrijk aandachtspunt geworden tijdens de transformatie van het bedrijf.
Meister en zijn teams verzamelden vereisten voor een potentiële secrets managementoplossing. Elk platform dat de groep zou kiezen, zou secrets correct moeten opslaan, de toegang tot die secrets moeten stroomlijnen en het bedrijfsrisico onderweg moeten minimaliseren. Op basis van deze vereisten werd snel duidelijk dat HashiCorp Vault het beste voldeed aan de behoeften van SBB.
"Er zijn drie hoofdredenen waarom we Vault hebben gekozen," onthulde Meister. "De developer-first-benadering sluit perfect aan bij SBB IT; Vault is veerkrachtig, stabiel en zeer beschikbaar; en het is als een Zwitsers zakmes voor secrets management, het biedt veel integraties out-of-the-box met een snel traject voor toekomstige ontwikkeling."
"Om een project succesvol te laten zijn, moeten de juiste mensen samenwerken," benadrukte Meister. Samenwerking zou de sleutel zijn voor de gehele Vault-implementatiereis. Het applicatiebeveiligingsteam werkte samen met het identity & access management (IAM)-team van SBB. Elke SBB-belanghebbende werkte samen met Adfinis, een wereldwijde open source-dienstverlener gespecialiseerd in het plannen, bouwen en uitvoeren van cloud native en Linux-gebaseerde workloads.
Samenwerking was erg belangrijk en stond centraal in de relatie. Wij leverden de Vault-ervaring van begin tot go-live.
Michael Hofer | CTO bij Adfinis
Adfinis begeleidde SBB door het Vault-adoptietraject, inclusief strategie, architectuurontwerp en engineering. Belangrijk is dat de samenwerking ervoor zorgde dat de site-reliability engineers van SBB kerntaken van de exploitatie van Vault konden overnemen.
SBB en Adfinis implementeerden vier Vault-clusters op OpenShift-platforms die door SBB worden beheerd. De primaire clusters maakten gebruik van AWS en de secundaire clusters van Swiss OTC, het particuliere cloudplatform van T-Systems.
"Bij het bouwen van het platform hebben we grote nadruk gelegd op geautomatiseerde processen. Dit betekent dat de volledige configuratie in code zit en dat GitOps niet alleen een buzzword is. Het team was in staat om een volledige migratie van het ene cloudplatform naar het andere binnen een paar uur uit te voeren," benadrukte Hofer.
Met alle belanghebbenden die samenwerkten, was het operationeel krijgen van Vault naadloos en snel. "Het is echt indrukwekkend hoe snel onze collega's de Vault-platforms in minder dan 6 maanden hebben gebouwd en de eerste klanten al aan boord hebben genomen," zei Meister.
Naast de Vault-implementatie organiseerde het AppSec-team van SBB verschillende presentaties en Vault-trainingen. De teams van Meister ontwikkelden ook uitgebreide documentatie met tutorials voor ontwikkelaars. Om alles te bundelen en de toegang van ontwikkelaars tot Vault te stroomlijnen, verbeterden de teams van Meister het Developer Self Service Portal van SBB. Nu kunnen ontwikkelaars toegang tot Vault (en andere tools) bestellen zonder handmatige processen op te roepen. Het automatiseren van dit proces garandeert een sterke Vault-governance door least-privileged access af te dwingen.
Bood een hogere mate van automatisering, leidend tot verhoogde IT-wendbaarheid en verminderd bedrijfsrisico door veilig opgeslagen secrets van ontwikkelaars.
Verbeterde de beveiligingshouding aanzienlijk door hard-coded secrets en secrets die in plain text zijn opgeslagen voor API's en databases te elimineren.
Vastgestelde beveiligingsautomatisering voor kritieke IT-systemen voor de SBB-vloot om te voldoen aan hoge klantverwachtingen en de basis te leggen voor toekomstige IoT-verbeteringen.
De Vault-opstelling was veilig, veerkrachtig, eenvoudig en naadloos geïntegreerd met de container-first en multi-cloud-strategie van SBB. Met zijn vele out-of-the-box-integraties voldeed Vault aan de veerkracht- en betrouwbaarheidsvereisten van SBB, wat eraan bijdraagt dat SBB een van de meest punctuele spoorwegen ter wereld blijft.
Driving Secrets Management at Swiss Federal Railways (SBB)
In minder dan zes maanden tijd ging SBB van nul naar productie met HashiCorp Vault in een OpenShift-omgeving.
Sprekers
Andreas Meister bij SBB
Michael Hofer bij Adfinis
HashiCorp Vault is een veilige oplossing voor secrets management en het beheer van authenticatietokens en encryptiesleutels. Het biedt geavanceerde toegangscontrole en auditmogelijkheden.