Estabelecido há 20 anos como Sistema de Cooperativas no estado de Santa Catarina, o Ailos atende 1,6 milhão de cooperados em todo o país, e conta com ativos de 21 bilhões de reais e operações de crédito na faixa de 14,6 bilhões. A estratégia de transformação digital do Sistema Ailos é um elemento chave na expansão da empresa. A meta é, até 2025, atingir a marca de 2 milhões de cooperados.
Conhecidos por sua inovação – anos antes do Pix, o sistema de pagamentos instantâneos do Banco Central do Brasil, o Sistema Ailos já realizava transferências de valores instantâneas e gratuitas – eles buscavam soluções na nuvem que suportassem, de forma segura e com alta performance, o crescimento da instituição. A meta era acelerar e proteger o processo de desenvolvimento de aplicações e APIs, defender Apps e APIs rodando em ambiente multinuvem e identificar e bloquear de forma automática APIs maliciosas.
Ao final de uma RPF iniciada em 2023, o Sistema Ailos escolheu a plataforma F5 Distributed Cloud Services para realizar esse avanço. Hoje, 200 aplicações e milhares de APIs Ailos são protegidas com ajuda de recursos de Inteligência Artificial (IA), Machine Learning (ML) e análise comportamental da F5.
Baixa complexidade de administração
Para Sidnei Fernando da Silveira, CISO da Central Ailos, merece destaque o fato de que o F5 Distributed Cloud Services é uma solução integrada, com baixa complexidade de administração. “Encontramos no F5 Distributed Cloud Services uma resposta confiável, que trouxe produtividade para o nosso time e ampla visibilidade sobre ambientes distintos e distribuídos, mas que, agora, são geridos a partir de uma única plataforma”.
Na topologia do Sistema Ailos, o core bancário – uma aplicação monolítica ainda em operação, rodando em data centers on-premises – convive com aplicações modernas rodando nas nuvens AWS e Azure. Outra nuvem utilizada pela instituição é a MuleSoft, dedicada à publicação das APIs do Sistema Ailos. Os clientes acessam essas aplicações e serviços por meio da página Web da do Sistema Ailos e seu App Ailos.
Estimativas de Daniel Devegili, analista de segurança da informação da Central Ailos, apontam que, com a adoção da solução F5, houve uma redução de 75% no tempo gasto com a gestão dos vários ambientes da instituição. “Antes da implementação do F5 Distributed Cloud Services, tínhamos de operar quatro diferentes plataformas e, posteriormente, realizar ações manuais para correlacionar os dados gerados por cada dashboard de forma a ter uma visão holística do ambiente”.
Atuação do DevOps
Outra área estratégica eram os processos de desenvolvimento, publicação e consumo de aplicações e APIs. O fato de o Sistema Ailos depender de web pages e Apps para o suporte de suas transações financeiras fez com que o desenvolvimento de software se tornasse o coração dos negócios da instituição. “Hoje 60% dos nossos esforços em cibersegurança são centrados nesta área. As questões de proteção de infraestrutura estão bem equacionadas, e por isso respondem por 40% do nosso foco”, ressalta Silveira.
De acordo com análises realizadas por Devegeli, a entrada em cena do Distributed Cloud Web Application and API Protection (WAAP) colabora para identificar e bloquear possíveis ataques contra as aplicações e APIs do Ailos. A automação trazida por esse recurso garante que os desenvolvedores terão acesso somente a componentes de software checados, verificados e autorizados para uso na esteira de desenvolvimento da instituição.
“O resultado é que houve um ganho de 120% na velocidade dos processos de publicação de aplicações e APIs”, resume Devegeli. Para ele e seu time era fundamental, também, reforçar a segurança das APIs utilizadas em serviços financeiros. “Houve um remanejamento do nosso orçamento para contemplar, na RFP de 2023, tecnologias dinâmicas e automatizadas de identificação e bloqueio de APIs maliciosas”.
Vários ataques são focados em APIs. Com a solução F5 Distributed Cloud API Security, passou a ser possível atuar de forma preditiva para identificar essas ameaças, chegando a discernir o que é uma Shadow API, o que é uma API legítima. Bloqueios automatizados facilitam o trabalho dos desenvolvedores Ailos, que passam a consumir APIs verificadas previamente pela F5.
“Com a solução, o time de cybersecurança Ailos conquistou 100% de visibilidade sobre as APIs. Agora a companhia avançou da visibilidade para a observabilidade, em que dados oriundos de várias plataformas são cruzados no F5 Distributed Cloud Services, gerando um diagnóstico preciso e granular do que se passa com as APIs da organização”, complementou Devegili.
Proteção a partir de rede global
As soluções F5 implementadas no Sistema Ailos rodam na rede global da F5, que inclui sites de edge regionais. Essa topologia garante contínuo suporte ao processamento do Sistema Ailos que acontece em nuvens públicas. Em paralelo, na nuvem privada, a instituição optou por implementar o pacote de software F5 Customer Edge (CE) para suportar as aplicações on-premises.
Os recursos do F5 CE são automatizados e atuam como um mini-PoP implementado nos data centers do Sistema Ailos. Processos de gerenciamento de ciclo de vida dessas instâncias são monitorados a partir de um console central SaaS. A união desses modelos provê uma abordagem híbrida e multinuvem que protege e fortalece a performance de todo o catálogo de aplicações e APIs do Sistema Ailos.
A estrutura global da nuvem da F5 garante desempenho e segurança aos cooperados Ailos em todos o mundo. Esse acesso é filtrado e checado pelas múltiplas instâncias do F5 Distributed Cloud Services, que usa recursos de IA (Inteligência Artificial) e ML (Machine Learning) para realizar análises comportamentais muito precisas. Isso é feito com a máxima performance, para entregar a melhor UX ao cooperado e, com isso, sustentar o crescimento do Sistema Ailos e de todo o seu ecossistema.
