從台北智慧支付平台資安事件,看台灣支付體系的資安監管大漏洞

這個禮拜最大的新聞,應該在於集合了所有許多支付業者跟繳費資訊的台北智慧平台上路。上路的新聞不大,但資安的漏洞卻掩蓋掉了這個立意良好的平台原本可以發揮的功用。
評論
評論

本文由讀者「試金石」投稿,INSIDE 編審後刊登。

這個禮拜最大的新聞,應該在於集合了所有許多支付業者跟繳費資訊的台北智慧平台上路。上路的新聞不大,但 資安的漏洞 卻掩蓋掉了這個立意良好的平台原本可以發揮的功用。

台北智慧支付平台的標案有兩大部分

據了解,這個平台分為兩階段執行。第一階段系統標,第二階度支付標。

第一階段是藍新科技以七百多萬標得這個標案,負責建置相關系統。有人說,一個支付系統,只花七百萬?政府太摳門了吧!

只有七百萬,沒有人能夠做出一個支付系統,真正的關鍵卻沒有人去了解。其實,這個系統的主體是後端的整合資料庫,跟相關 API 的資訊整合。換句話說,它根本不是個 Pay!它是個只是個查詢平台。

而第二階段,由支付業者投標,得標者才能進入平台。業者私下抱怨,代收一張停車單,只能賺 0.04 元的代收費用,如果透過超商繳費,超商卻可以賺將近四塊錢的代收費用,支付業者為了進入平台,利潤微薄也只能咬牙苦撐,算一算甚至量不大的話根本是賠錢。這個階段的得標業者有:玉山銀行、台新銀行、愛貝錢包、Pi 行動錢包、街口支付、歐付寶、橘子支、台灣支付。

所以,七百萬去做一個這樣的平台貴不貴?代收一張停車單只能賺 0.04 元好不好賺?公道自在人心!

台北市能,中央政府卻不能?

大家可以看一下, 全國繳費網 是由誰建立的?然而這些繳費的管道是哪些?再來看看台北市的智慧支付平台,繳費的管道是哪些?

前者,全都是銀行!後者,第三方支付業者居多!

也就是說,台北市政府在支付這端,選擇了一個可以跟上嗡嗡嗡市長進度,可以跟隨市場競爭而變動的新興行業。這也符合他的個性。

而這件事情,台北市花了一年搞定,台灣要花多久時間?我們來看看,到現在連財金公司的台灣 Pay 已經上線兩年了,都還在氣喘吁吁的跟進、整合式的 QR CODE 只聞樓梯響。

這其實是為什麼嗡嗡嗡市長在記者會上面說,如果台北市成功了,中央可以整套拿去用。

中央政府逼台北智慧支付平台做自己的政績

再看另一個引發民眾抱怨的重點是:為什麼使用一個 App 要用另一個 App 來驗證?

要使用智慧支付平台的 App,卻要下載「群信行動數位科技」的「我的號碼」這個電信身分驗證?

原來,這就是當時典禮儀式上,那大拉拉的亞洲・矽谷四個大字之下的產物,「我的號碼」第一次對外大規模使用。

既然是一個支付的中介平台,為什麼要使用這樣的機制呢?

支付的本質,不管是誰幫誰繳費,政府只要收到費用,不就好了嗎?為何要增加這個認證呢?是未來發展的考量?還是幫亞洲・矽谷做政績?

藍新科技難辭其咎,更提醒該檢視電子支付與第三方支付廠商的資安專業度

回頭來看,這次得標的系統建置商藍新科技,除了是老字號的第三方支付紅綠藍三家(紅陽、綠界、藍新)之一以外,更是台灣第一批獲得電子支付執照許可的專營電子支付機構。後續獲得威盛旗下的全達(8086)以七億的資金購買藍新過半股份。

理論上而言,應當藍新本質上就有開發的資安知識與能力,才能獲得專營執照吧?但此次的開發案中,連一個最小的 SSL 憑證都沒加密,就交付北市府使用。這樣低落的資訊安全專業,難道不該了解一下嗎?

三不管地帶的支付安全,到底由誰來把關?

智慧支付平台結合了金流、資訊流,包含了銀行、第三方支付、電子支付業者。

第三方支付業者目前一定是透過信用卡進行交易,這不也是金管會管轄的範圍?電子支付機構的主管機關是金管會,銀行的主管機關也是金管會,通通都是金管會管的。

難道沒有人納悶,在大家討論台北智慧支付平台資安事件的此時,我們卻完全看不到金管會跳出來呢?是當作沒自己的事?還是不知道怎麼處理這件事?

李主委,你在立法院回答質詢的時候說,連 ATM 轉帳都算電子支付了,智慧支付更是電子支付的一部分,現在有問題,你不出來管管嗎?


開發者享受 CI/CD 價值!運用 Amazon EKS 整合 GitLab 創建自動化部署

企業如何在 Amazon EKS(Elastic Kubernetes Services)上使用 GitLab 創建自動化部署,減輕人力負擔,提升專案服務運作效率?
評論
評論

所謂現代化智慧 IT,所有工程師最希望的境界,莫過於只要輕鬆點幾下設定,系統就會自動跑起來,管理者再也不用隨時待命在機台旁邊,從此工作悠哉又快樂!儘管這樣情境還沒到來,但隨著敏捷式開發的流行,除了 DevOps 人員,有越來越多開發者將 CI/CD 概念融入到工作流程當中,例如從 build code、執行 unit test、到部署應用程式。

打造第一個在 AWS 上的應用程式

上述種種反覆步驟自動化執行,也就能提昇服務品質、主動通知開發人員以減輕人力負擔,讓專案服務能持續運作。

其中,GitLab 是執行 CI/CD 常用的工具之一,也是開發者使用程式碼儲存庫的地方。為了讓 GitLab Runner 在雲端快速實踐 CI/CD,《AWS 開發者系列》透過影片分享,如何在 Amazon EKS(Elastic Kubernetes Services)上使用 GitLab 創建自動化部署。

以下節錄工作坊影音內容,幫助開發者快速理解如何運用 Amazon EKS 的高可用性且安全的叢集,將修補、部署節點、更新等關鍵任務,全部做到自動化設定。同時影片也會示範 Amazon EKS 搭配 GitLab 如何展開自動部署,幫助工程團隊實踐 CI/CD 價值。

Amazon EKS 對容器管理輕鬆簡單、維運省時省力

容器化服務越來越興盛,當容器(Container)越來越多,在複雜的微服務(Microservice)系統環境之下,運維團隊的管理成本可能相對會增加不少,為了有效調度容器部署, 導入Kubernetes 無疑是近年企業熱門的話題之一。

建構 Kubernetes Cluster 流主要可區分兩大塊,一是安排容器調度的Control Plane、另一則是容器運行時需要用到的 Worker Node。

Control Plane 裡面涵蓋有儲存狀態的 ETCD、CoController manager 、Scheduler 的調度管理、甚至是操作時進行互動的 APIServer,若是自己創建 的 Kubernetes Cluster ,需要自己安裝這些元件,後續仍需要對 Control Plane 進行相關管理、維護、升級工作。為了減少上述 Components 的繁複維護,在透過 AWS EKS 代管的 Kubernete Control Plane 部可以獲得以下三大好處。

透過 AWS 增加雲端技能 在組織發揮影響力

Amazon EKS 一鍵式部署,展現三大優勢

第一,Amazon EKS代管的 Control Plane實踐了跨AZ的高可用部署,使用者不需要擔心單一節點故障的風險。

第二,Amazon EKS 支持至少四個 Kubernetes版本,持續跟進每季 CNCF 的發佈,同時 EKS 也完全符合上游 CNCF 規範。

第三,部署 Amazon EKS 之後,可直接使用 AWS 平台上現成的服務工具,在安全性管理、網路設定方面,可以做到無縫整合。

最後 AWS 台灣解決方案架構師也提到,若想在容器環境進行 CI/CD 及應用程式的管理,可以進一步透過 IaC 整合部署 Amazon EKS 叢集,透過使用 Console、把 EKS 變成 Cloudformation 的模板、使用 AWS 所開發出來的 eksctl.io、或指令是採用 AWS CDK 可以讓開發者用自身熟悉的語言,在 AWS 平台整合 CI/CD 工具進行維運及部署 EKS。

了解 Amazon EKS 整合 GitLab ,獲得三面向價值

對開發者而言,想把 Amazon EKS 整合到 CI/CD 工具之一的 GitLab 平台上,可以看到那些實際的優勢?

在 DevOps 開發者示範工作坊當中,GitLab 資深解決方案架構師指出,GitLab 使用到 Kubernetes 技術,主要有三種搭配方法,包含 GitLab Server、GitLab Runner、以及創建 Deployment Environment。

本次示範教學會主要聚焦在 GitLab Runner 如何採取 Auto-scaled 方式進行 Build、Test、Package Apps;以及在 Deployment Environment 運用 Kubernetes 技術,做到 Auto Deploy、Review App。

正因為 Amazon EKS 能夠在 DevOps 過程提供所需要的彈性計算資源,幫助開發者在 GitLab 平台上面獲得以下三個層次的優勢:

  • 在 GitLab 內建的部署工作流程當中,自動生成整套 CI/CD 最佳實踐腳本。
  • Review App 過程,從 Merge Request 中可直接訪問應用程式 /App 的 UI 介面,並且根據 Git branch 名稱、專案名稱,自動生成 Review App 的 URL,以及在 Merge 前的最後防線進行 Approval 檢查。
  • 加速 CI/CD 流水線,GitLab Runner 運行時候還可藉由 Amazon EKS Cluster 進行 Auto-scaled 的支援。

Amazon EKS 整合 GitLab ,需要兩大流程

影片最後,GitLab 資深解決方案架構師示範如何把 Amazon EKS 整合至 GitLab 執行 Auto Deploy,主要可分為兩大區塊流程,第一部分聚焦在 Amazon EKS cluster 的設置,第二部分則執行 Auto Deploy 設置。

第一塊可拆分為四個階段,首先教學怎麼創建 EC2 節點的 EKS cluster,第二階段示範把 EKS Cluster 連接到開發者的 GitLab Instance、Group 或 Project,下一步則使用 Cluster Management Project Template 創建一個 Cluster Management Project,以及最後一階段透過 Cluster Management Project 自帶的 Helm Chart,安裝在 Cluster 所需要的內建 App。

第二塊執行 Auto Deploy 設置,針對需要部署的 App 創建一個 GitLab Project,接著再把 gitlab-ci.yml 添加到 Project,並從 Web IDE 選擇及導入 Auto Deploy 的 CI 模版,讓 GitLab 自動生成最佳實踐的整套流水線。

幫助開發者更了解 Amazon EKS 整合 GitLab 的 QA 系列

Q:使用 Amazon EKS 之後,如何更有效率或優化資源去配置 Worker Node 的機器數量,以及如何有效空管開發維運的成本?

A:Kubernetes 除了本身有 HPA(Horizontal Pod Autoscaling)可根據使用程度自動調整資源流量,另外也能延伸使用 AWS Auto Scaling 方案,針對可擴展資源去設定自動擴展管理。另外在成本管控,雖然 Amazon EKS 會收取額外管理費用,但可透過 AWS 平台的 Calculato r計算每個 EKS 的價格,你會發現自動化部署及管理的費用,相對工程師人力的成本更加便宜。

Q:越來越多客戶考慮把現有 Application 變成容器部署,大多是爲了加快部署的效率,那麼變成容器模式之後,對 CI/CD 的工作流程有什麽影響嗎?

A:運用容器技術最直接的效果,可以讓應用程式的環境更一致化,例如 testing 環節、stage production,讓容器避開一些差異問題。至於 CD 部分要 delivery 一些 usage 不太一樣的時候,容器會幫忙做配置,所以 CI/CD 對容器的效益是相輔相成的。

Q: 客戶在開發流程漸漸會把 Infrastructure 變成代碼或文檔,是不是可以把程式碼跟現有的應用程式的 CI/CD 流水線整合在一起,達到一套完整的 CI/CD 部署流程?

A:觀察目前市場作法,主要分成兩個階段去做整體部署。如果規模比較小的團隊,會把 Infrastructure 代碼跟 App 代碼分開,在管理上會比較靈活;如果企業規模比較大,會有另外一個 Infrastructure 團隊來控制部署事情,這種情况之下,APP 的項目會生成一個 APP package,主要做到 delivery 這個階段爲止。而 Infrastructure 的項目會指定把需要版本的文檔,部署到他們的 Kubernetes Cluster。

填寫表單 找到適合的快速上雲服務與工具!