Шлюз Fastgate для СКБ-Банка

Информация о проекте

1. сроки реализации: с 2016 года и до настоящего времени;
2. количество подключенных к Fastgate внутренних систем банка: на текущий момент 11, но в связи с внедрением новых сервисов планируется их увеличение;
3. используемые технологии: Java, Angular JS, Python, RabbitMQ

С 2012 года СКБ-Банк работал с i-Digital, отправлял трафик через API интеграцию.

В конце 2015 года Банк провел конкурс, выбрал i-Digital в качестве поставщика СМС шлюза и подписал договор на использование Fastgate. Банку нужен был шлюз, чтобы организовать информирование клиентов через единую систему.

Цели, задачи, внутренние требования

1. упрощение интеграции для систем Банка.
2. возможность централизованного управления трафиком.
3. удобство сопровождения.
4. четкая оценка стоимости и возможности экономии на трафике.
5. дополнительные возможности безопасности (ПО в контуре банка, закрытие лишних портов на firewall’е, возможности маскирования трафика при сохранении сообщений в БД).

Как работал Банк до шлюза 

До шлюза банк использовал подключение по API через SMPP, HTTPS, FTP. Запрос на отправку сообщений клиентам банка генерировали сразу несколько систем. Основные:

• Интернет-банк
• Процессиговый центр
• Back-офисная система

Часть систем генерирует сообщения разных типов – какие-то из них можно отправлять по SMPP или SFTP плагину – маркетинговый трафик, сообщения о клиентских запросах, входа в интернет-банк. Для других можно использовать только защищенное соединение – HTTPS. Для реализации этих требований банк использовал следующую схему:

Не критичный трафик отправлялся через SMPP и FTP плагины в систему i-Digital.

Отправка трафика с чувствительными данными банк шла через процессинговый центр, в который приходили запросы на отправку транзакционных сообщений, одноразовых паролей для совершения онлайн покупок, оповещения о действиях в интернет-банке из других систем.  Далее из процессингового центра по защищенному HTTPS соединению запросы уходили в i-Digital.

Богдан Черепанов, СКБ-Банк

До использования шлюза в СКБ-Банке отправка сообщений велась сразу из нескольких систем. Основными можно назвать интернет-банк, процессинговый центр, файловые рассылки, одноразовые пароли для подтверждения операций в интернете и так далее. Всего было от 15 до 20 подключений (включая резервные).
Такая ситуация, во-первых, приводила к лишней нагрузке на ресурсы банка: в каждом подразделении, которое отправляло рассылки, был сотрудник, отвечающий за работоспособность этого подключения.
Во-вторых, СМС трафик рос, потребность в инструментах, которые помогли бы сократить затраты на СМС информирование была высокой.
В-третьих, большое количество подключений несло в себе риски уязвимости.
Чтобы закрыть эти вопросы и прийти к единообразию в отправке трафика, Банк принял решение внедрить транспортный шлюз Fastgate.

Внедрение

В 2016 году началась интеграция решения в инфраструктуру банка. Развертыванием решения на стороне банка долгое время занимался 1 человек, другие участники принимали участие в формировании технического задания на доработки и бизнес-сопровождением проекта.

Стандартная поставка Fastgate предназначена для базы PostgeSQL+Linux или Oracle+Linux, но решение построено на технологиях, которые можно адаптировать под любое окружение. На момент внедрения в СКБ-Банке был стандарт Oracle+Windows, поэтому в процессе передачи шлюза, мы развернули системы Fastgate в окружении стандарта банка, подготовили инструкции и настройки для запуска веб интерфейса под IIS (Internet Information Services) и передали их специалистам СКБ-Банка.

По словам представителей СКБ-Банка, основные сложности были в том, что для развертывания Fastgate сотрудникам Банка приходилось использовать ранее неизвестных технологический стек: Python, Rabbit MQ и т.д. В ограниченные сроки нужно было изучить технологию и понять, как с ней работать. По словам Богдана Черепанова, если бы на момент внедрения были знания опыт, который есть сейчас, то оно заняло бы примерно месяц.

На развертывание ушло около 8-9 месяцев, затем был этап тестирования отправки. В течение первого года работы между СКБ-Банком и командой i-Digital проходили еженедельные встречи. Они были важны для того, чтобы синхронизировать процесс работы над проектом, планировать задачи и двигаться небольшими спринтами, на каждом этапе решая возникающие сложности или планируя нужные доработки.

Богдан Черепанов, СКБ-Банк.

Это был наш первый опыт интеграции транспортного шлюза в инфраструктуру банка, поэтому мы двигались аккуратно. СМС трафик критичен для Банка, нам было важно протестировать решение и убедиться в его надежности до массового запуска.

В начале 2017 года через Fastgate пошел «боевой» трафик. Начали с файловых рассылок, как с менее критичных. После подключили процессинговый центр. После тестирования и успешного запуска отправки сообщений, которые генерирует ПЦ, через Fastgate работа по налаживанию других подключений пошла гораздо быстрее.

Доработки

MQ плагин 

В базовой поставке Fastgate по умолчанию доступны плагины для интеграции через SMPP, HTTPS, FTP. Но зачастую в банках уже есть сформированный опыт работы с другими подключениями. Чтобы банку не пришлось менять сложившуюся практику, мы разрабатываем дополнительные плагины под запрос.

Для СКБ-Банка мы доработали подключение через MQ плагин: часть подразделений Банка уже использовали этот механизм отправки, им не пришлось менять привычную практику.

Богдан Черепанов, СКБ-Банк

IT системы никогда не бывают стабильны. Например, в случае отправки трафика по SMPP соединению создается очередь из сообщений на отправку из системы банка в Fastgate – каждое сообщение отправляется сессионно. Если соединение прервется, сообщения в очереди можно потерять. Если использовать MQ- подключение, так называемую интеграционную платформу или если простым языком — «шину», то эти риски нивелируются. Сообщения для отправки сохраняются в очереди на «шине», а после Fastgate забирает эти сообщения и отправляет в нужный канал. Даже если подключение прервется, сообщения останутся.

Маскирование текста при сохранении в базу данных

Часть данных, которые отправляются клиентам банка в сообщениях, являются чувствительными. Например, сообщение об установке кодового слова. Сохранять такие сообщения в открытом виде в базе данных нельзя. Это компрометация личной информации клиента. В то же время, полностью маскировать сообщение с чувствительными данными неудобно: невозможно отследить факт отправки.

Чтобы соблюсти требования безопасности и обеспечить комфортную работу с базой данных, мы доработали систему маскирования.
Система работает следующим образом: идентифицирует в сообщениях чувствительные данные – регулярные выражения и маскирует их при сохранении в базу. При этом шаблон сообщения и другие данные в нем не маскируются.

Результаты

В результате внедрения Fastgate уже в первый год после развертывания решения СКБ-Банку удалось сократить трудозатраты по поддержку интеграций с системами, которые отравляют трафик по API в i-Digital. Если до шлюза этим занимались с десяток сотрудников из разных подразделений, то с внедрением Fastgate сопровождением занимаются сотрудники сопровождения, работающие круглосуточно и в одном подразделении.

Собственный СМС шлюз также стал более надежным решением с точки зрения безопасности – решение находится в контуре банка, для отправки сообщений из Fastgate используется одно сетевое подключение, что снижает количество потенциальных угроз.

Помимо экономии на ресурсах, Fastgate также даёт возможность сократить затраты на СМС трафик. Например, за счет внедрения сервиса PUSH уведомлений, ежемесячно Банк экономит от 1 000 000 рублей.