Sistema Ailos fortifica a proteção de aplicações e APIs com ajuda da F5
A estratégia de transformação digital do Sistema Ailos é um elemento chave na expansão de serviços financeiros que apoiam o crescimento econômico de pessoas, empresas e cidades. A meta é, até 2025, atingir a marca de 2 milhões de cooperados. Conhecida por sua inovação – anos antes do PIX, o sistema de pagamentos instantâneos do Banco Central do Brasil, o Sistema Ailos já realizava transferências de valores instantâneas e gratuitas – a organização conta com o F5 Distributed Cloud Services para proteger seus ativos digitais.
Business Challenge
Estabelecido há 20 anos no estado de Santa Catarina, no Brasil, o Sistema Ailos atende 1,6 milhão de cooperados em todo o país. Em cidades como Presidente Getúlio 90% da população é cooperada do Sistema Ailos. Reconhecendo seu papel no suporte a esse ecossistema, há alguns anos os líderes do Sistema Ailos estão redesenhando processos e aplicações para avançar ainda mais em customer services experience. Outra meta era criar a infraestrutura correta para suportar, de forma elástica e com rápida implementação, a expansão futura dos negócios do Sistema Ailos.
Nesta jornada, o core bancário – uma aplicação monolítica que ainda está em operação, rodando em data centers on-premises – passou a conviver com aplicações modernas rodando nas nuvens AWS e Azure. Outra nuvem utilizada pela instituição é a MuleSoft, dedicada à publicação das APIs do Sistema Ailos. Os clientes acessam essas aplicações e serviços por meio da página Web do Sistema Ailos e seu App Sistema Ailos.
Os processos do Sistema Ailos de desenvolvimento, publicação e consumo de aplicações e APIs acontecem de acordo com as melhores práticas de DevSecOps. Embora o desenho das aplicações seja feito dentro do Sistema Ailos, o desenvolvimento acontece com a colaboração de parceiros terceirizados, e tem de acontecer de acordo com os extremamente ágeis requerimentos da indústria de finanças. Para garantir a integridade dos dados, era fundamental contar com uma solução multinuvem com um único dashboard integrado que trouxesse visibilidade e controle para as APIs e aplicações, independentemente de onde estivessem rodando.
Além disso, a segurança dos dados críticos rodando on-premise e na nuvem exige uma plataforma adequada à infraestrutura distribuída da organização. A baixa latência era um fator chave na seleção da solução. Se, por exemplo, um empresário de Santa Catarina estivesse numa viagem de negócios na Alemanha, a qualidade de serviço da plataforma Sistema Ailos na Europa teria de entregar uma performance similar à disponível no Brasil.
Finalmente, os líderes do Sistema Ailos definiram que futuros investimentos em tecnologia seguiriam o modelo de SaaS e software – isso contribui para reduzir o gasto em capital. A meta era tratar todos os recursos, incluindo a segurança digital, como software, ganhando em flexibilidade e facilidade de gestão.
Com a adoção de uma plataforma de segurança e desempenho totalmente baseada em software e capaz de lançar luzes sobre tudo o que se passa na organização, das aplicações legacy às modernas APIs, o Sistema Ailos desejava simplificar a gestão de um ambiente em constante expansão. No início de 2023 o Sistema Ailos iniciou uma RFP para encontrar a solução capaz de atender a essas ambiciosas metas.
Solution
O Sistema Ailos usou durante anos os appliances F5 BIG-IP Local Trafic Manager (LTM) e F5 BIG-IP Application Security Manager (ASM) para garantir o desempenho e a segurança de sua aplicação core. No entanto, o avanço das aplicações modernas e a explosão de APIs levou a instituição a evoluir para um modelo de segurança na nuvem. Depois de uma POC (proof of concept) com vários vendors, os gestores do Sistema Ailos escolheram o F5 Distributed Cloud Services com diversos recursos ativados. Hoje 200 aplicações e milhares de APIs são protegidas pela solução F5.
Os serviços implementados no Sistema Ailos incluem o F5 Distributed Cloud Network Connect, o Distributed Cloud DNS Load Balancer e o Distributed Cloud App Stack. Essa infraestrutura está em operação em um modelo híbrido SaaS. Para aplicações voltadas para o atendimento ao público, o Distributed Cloud Network Connect provê serviços de entrega SaaS para as nuvens públicas AWS, Azure e MuleSoft. Isso é feito com base na rede global da F5, que inclui sites de edge regionais. Essa topologia garante contínuo suporte ao processamento do Sistema Ailos que acontece em nuvens públicas.
Em paralelo, nos data centers on-premises, a instituição optou por implementar o pacote de software F5 Customer Edge (CE) para suportar as aplicações on-premises. Isso remove a necessidade de a instituição usar sites de edge regionais para serviços de entrega. Outra vantagem é que a aplicação não é postada publicamente na Internet.
Os recursos do F5 CE são automatizados e atuam como um mini-PoP implementado nos data centers do Sistema Ailos. Processos de gerenciamento de ciclo de vida dessas instâncias são monitorados a partir de um console central SaaS. A união desses modelos provê uma abordagem híbrida que protege e fortalece a performance de todo o catálogo de aplicações e APIs do Sistema Ailos.
A estrutura global da nuvem da F5 garante desempenho e segurança aos cooperados do Sistema Ailos em todos os lugares do mundo. Quer esteja acessando o core bancário Sistema Ailos de Santa Catarina ou de Berlim, o cliente interage com a página Web ou o App da instituição. Esse acesso é filtrado e checado pelas múltiplas instâncias do F5 Distributed Cloud Services, que usa recursos de IA (Inteligência Artificial) e ML (machine learning) para realizar análises comportamentais muito precisas. Isso é feito com a máxima performance, para entregar a melhor UX ao cooperado. Após essa checagem o tráfego é enviado para a nuvem privada ou a nuvem pública do Sistema Ailos, onde aplicações e APIs são processadas e a demanda do cliente é resolvida. O F5 Distributed Cloud Web Application and API Protection (WAAP) tem um papel crucial neste modelo, identificando e bloqueando possíveis ataques contra as aplicações e APIs do Sistema Ailos.
A importância estratégica das APIs para o universo digital do Sistema Ailos é tal que a instituição implementou, também, o F5 Distributed Cloud API Security com recursos de API Discovery. Essa plataforma nativa da nuvem opera 24x7, oferecendo ampla visibilidade sobre tudo o que diz respeito às APIs sendo publicadas e consumidas em todo o mundo. Um de seus diferenciais é identificar Shadow APIs – linguagens desenvolvidas fora de conformidade e, muitas vezes, não oficialmente documentadas ou suportadas – e o que são APIs legítimas e que geram negócios para o Sistema Ailos. Controles automatizados evitam que os desenvolvedores do Sistema Ailos acessem APIs de terceiros que poderiam colocar em risco a segurança das aplicações.
Como parte do processo de migração para o Distributed Cloud Services, o Sistema Ailos redesenhou as políticas de segurança da instituição. A meta era criar uma lógica sustentável de gestão de rede distribuída e gestão de segurança de aplicações e APIs. Isso permitirá, quando for o momento adequado, girar a chave, desligando a aplicação monolítica e passando a depender somente dos sistemas rodando em nuvem.
Results
Redução de 75% no tempo gasto com a gestão de um ambiente heterogêneo e distribuído
A entrada em cena do F5 Distributed Cloud Services no Sistema Ailos inaugurou uma era em que a gestão de um ambiente heterogêneo e distribuído passou a ser feita com extrema simplicidade, a partir de uma única plataforma. A solução lança luzes sobre aplicações e APIs rodando na infraestrutura de rede do Sistema Ailos – incluindo os segmentos on-premises onde segue rodando o core bancário original – e nas nuvens públicas AWS, Azure e MuleSoft.
“Partimos de uma análise dos riscos atuais e futuros do nosso ambiente para, a partir daí, buscar uma solução que sustentasse a expansão dos nossos negócios. Chegamos à conclusão de que uma solução integrada, com baixa complexidade de administração, era o que necessitávamos. Encontramos no F5 Distributed Cloud Services uma resposta confiável, que trouxe produtividade para o nosso time e ampla visibilidade sobre ambientes distintos, mas que, agora, são geridos a partir de uma única plataforma”, diz Sidnei Fernando da Silveira, CISO da Central Ailos.
Estimativas de Daniel Devegili, analista de segurança da informação do Sistema Ailos, apontam que houve uma redução de 75% no tempo gasto com a gestão dos vários ambientes do Sistema Ailos. “Antes da adoção do F5 Distributed Cloud Services, tínhamos de operar quatro diferentes plataformas e, posteriormente, realizar ações manuais para correlacionar os dados gerados por cada dashboard de forma a ter uma visão holística do ambiente”.
Conquista de 100% de visibilidade sobre as APIs
Uma das principais demandas do Sistema Ailos era reforçar a segurança das APIs utilizadas em serviços financeiros sob constantes ataques. “Houve um remanejamento do nosso orçamento para contemplar, na RFP, tecnologias dinâmicas e automatizadas de identificação e bloqueio de APIs maliciosas”, disse Silveira.
“Com o F5 Distributed Cloud API Security, o time de cybersecurança do Sistema Ailos conquistou 100% de visibilidade sobre as APIs”, complementou Devegili. Vários ataques – inclusive de DDoS – são focados em APIs. A solução da F5 atua de forma preditiva para identificar essas ameaças, chegando a discernir o que é uma Shadow API, o que é uma API legítima. Bloqueios automatizados facilitam o trabalho dos desenvolvedores do Sistema Ailos, que passam a consumir APIs verificadas previamente pela F5.
Além disso, os gestores do Sistema Ailos agora têm rotineiramente visibilidade sobre seus ambientes on-premises e na nuvem e sobre aplicações e APIs. Por meio de um único dashboard, podem realizar análises granulares que permitem a otimização de seus recursos de aplicações. Essa abordagem simplificada permite que o time se foque na inovação e nos avanços de seus serviços digitais de finanças.
O Sistema Ailos também compara os ganhos conquistados com a migração dos equipamentos F5 anteriormente usados para o F5 Distributed Cloud Services. Devegili afirma, “Agora a companhia avançou da visibilidade para a observabilidade, em que dados oriundos de várias plataformas são cruzados no F5 Distributed Cloud Services, gerando um diagnóstico preciso e granular do que se passa com as APIs da organização”.
Velocidade de publicação de aplicações e APIs avançou 120%
O fato de o Sistema Ailos depender de web pages e Apps para o suporte de suas transações financeiras fez com que o desenvolvimento de software se tornasse o coração dos negócios da instituição. Essa é a razão de Silveira afirmar que contar com uma esteira de desenvolvimento alinhada com as melhores práticas em DevSecOps é uma das principais frentes de batalha de segurança digital. “Hoje 60% dos nossos esforços são centrados nesta área. As questões de proteção de infraestrutura estão bem equacionadas, e por isso respondem por 40% do nosso foco”.
O Distributed Cloud WAAP foi implementado como parte de uma ampla estratégia para elevar o engajamento dos desenvolvedores em relação à segurança de aplicações e APIs. A automação que resulta disso garante que os desenvolvedores terão acesso somente a componentes de software checados, verificados e autorizados para uso na esteira de desenvolvimento da instituição. Isso é feito com a colaboração do Distributed Cloud API Security.
Para Daniel Devegili, analista de segurança da informação, o resultado dessa estratégia é a aceleração, com segurança, das publicações de aplicações e APIs do Sistema Ailos. “Houve um ganho de 120% na velocidade deste processo”.
- Redução de 75% no tempo gasto com a gestão de um ambiente heterogêneo e distribuído
- Conquista de 100% de visibilidade sobre as APIs
- Velocidade de publicação de aplicações e APIs avançou 120%
- Proteger Apps e APIs rodando em ambiente multinuvem
- Identificar e bloquear de forma automática APIs maliciosas
- Acelerar e proteger o processo de desenvolvimento de aplicações e APIs