Le Blog Amazon Web Services
BBVA : Supporter le travail à distance à l’échelle internationale avec Amazon AppStream 2.0
Ce billet a été co-écrit avec Javier Jose Pecete, Architecte Sécurité Cloud chez BBVA, et Javier Sanz Enjuto, Responsable de la Protection des Plateformes – Architecture sécurité chez BBVA.
Introduction
La rapidité et l’élasticité sont essentielles lorsque vous êtes confronté à des scénarios inattendus tels qu’un nombre important d’employés travaillant à domicile ou une charge de travail accrue sur le cloud public si les datacenters sont confrontés à des réductions de personnel. Les clients d’AWS peuvent bénéficier instantanément de la mise en œuvre d’une solution clé en main entièrement gérée pour faire face à ces scénarios.
Les entreprises doivent non seulement utiliser la technologie comme fondation pour maintenir la continuité de leurs activités et ajuster leur business model aux nouveaux besoins et usages, mais elles doivent également s’efforcer d’aider leurs employés à s’adapter à ces nouvelles situations.
À propos de BBVA
BBVA est un groupe international de services financiers centrés sur le client, présent dans plus de 30 pays à travers le monde, qui compte plus de 126 000 employés et sert plus de 78 millions de clients.
Fondée en 1857, BBVA est un leader sur le marché espagnol ainsi que la plus grande institution financière du Mexique. Elle possède des franchises de premier plan en Amérique du Sud et dans la région de Sun Belt aux États-Unis et est le principal actionnaire de la société turque Garanti BBVA.
Contexte et défi
BBVA a mis en place un plan d’action à l’échelle internationale pour le travail à distance qui protège les clients et les employés, comprenant une réduction significative du nombre d’employés travaillant dans ses succursales. Elle a également assuré des opérations continues et ininterrompues pour ses clients particuliers et professionnels en renforçant l’accès numérique à sa gamme complète de services.
En suivant les politiques de l’entreprise et en adhérant aux nouvelles règles annoncées par les autorités nationales au cours des dernières semaines, plus de 86 000 employés du réseau international de bureaux de BBVA et de ses fonctions de service central travaillent désormais à distance.
BBVA était soumis à un ensemble d’exigences réglementaires très fortes et cherchait une architecture globale pour permettre le travail à distance. La solution devait être rapide à mettre en œuvre, adaptable pour s’étendre progressivement dans les différents pays où elle opère, et capable de répondre à ses exigences opérationnelles, sécuritaires et réglementaires.
Principes d’architecture
BBVA a sélectionné Amazon AppStream 2.0 pour des cas particuliers d’utilisation d’applications qui, en raison de leur sensibilité, ne sont pas exposées à internet (telles que les applications financières, relatives aux employés ou à la sécurité). Ayant déjà fait l’expérience de ce service, BBVA a choisi Amazon AppStream 2.0 pour optimiser l’expérience de travail à distance.
Amazon AppStream 2.0 est un service de streaming d’applications entièrement géré qui permet aux utilisateurs d’accéder instantanément à leurs applications de bureau depuis n’importe quel endroit, quel que soit l’appareil qu’ils utilisent. Amazon AppStream 2.0 s’intègre aux environnements informatiques, peut être géré par le SDK AWS ou la console AWS, s’adapte automatiquement à la demande et est entièrement géré par AWS. Cela signifie qu’il n’y a pas de matériel ou de logiciel à déployer, à corriger ou à mettre à jour.
- La vidéo diffusée en continu et les entrées utilisateur sont envoyées via HTTPS et sont chiffrées par SSL entre l’instance Amazon AppStream 2.0 qui exécute vos applications et vos utilisateurs finaux.
- Des groupes de sécurité sont utilisés pour contrôler l’accès réseau au VPC du client.
- L’accès à internet par l’instance de streaming Amazon AppStream 2.0 se fait par le VPC du client.
Une flotte Amazon AppStream 2.0 est créée par cas d’usage afin d’appliquer des restrictions de sécurité en fonction de la sensibilité des données. En définissant les options de presse-papiers, de transfert de fichiers ou d’impression sur un appareil local, les flottes contrôlent le mouvement des données vers et depuis les sessions de streaming Amazon AppStream 2.0 des employés.
BBVA s’appuie sur un service propriétaire appelé « Heimdal » pour authentifier les employés par l’intermédiaire du fournisseur d’identité d’entreprise. Heimdal appelle l’opération CreateStreamingURL
de l’API AppStream 2.0 pour créer une URL temporaire permettant de démarrer une session de streaming pour l’utilisateur spécifié, et tente d’abstraire l’utilisateur du service en utilisant :
- FleetName pour connecter la flotte la plus appropriée en fonction de la localisation de l’utilisateur (BBVA a déployé des flottes en Europe et en Amérique pour améliorer l’expérience de l’utilisateur).
- ApplicationId pour lancer la bonne application sans avoir à utiliser un portail intermédiaire
- SessionContext dans les situations où, par exemple, le service d’authentification génère un jeton et doit être transmis à une application de navigation et injecté comme cookie de session
Pour simplifier son architecture de réseau globale, BBVA utilise la passerelle AWS Transit Gateway pour construire une topologie de réseau en étoile avec un contrôle total sur le routage et la sécurité du réseau.
Dans certaines situations, l’application diffusée en continu dans Amazon AppStream 2.0 doit ouvrir des connexions :
- Sur sites, on-premises, en utilisant AWS Direct Connect plus VPN fournissant une connexion privée chiffrée IPsec,
- Vers internet par le biais d’un proxy VPC sortant avec liste blanche de domaines et filtrage de contenu pour contrôler les informations et les menaces dans la navigation de l’employé.
L’activité d’Amazon AppStream 2.0 est enregistrée dans un compartiment centralisé pris en charge par Amazon S3 pour la détection des modèles de comportement inhabituels et par les exigences réglementaires.
Conclusion
BBVA a construit une solution globale réduisant le temps de mise en œuvre de 90% par rapport aux projets sur site, et répond à ses exigences opérationnelles et de sécurité. De plus, la solution répond à la préoccupation première de l’entreprise : la protection de la santé et de la sécurité de ses employés.
Article original contribué par Jose Luis Prieto et adapté en français par Jérôme Gras, Solutions Architect dans les équipes AWS France.