Implementering av Client VPN hos Ruter

I en stadig mer digital og raskt skiftende verden er sikkerheten og tiden til markedet avgjørende for å lykkes kommersielt. Ruter AS har ansvaret for kollektivtrafikken i Oslo og deler av Viken. Ruter hadde forskjellige metoder der utviklere fikk tilgang til applikasjoner. Sikkerheten, utviklingshastigheten og kostnadene ble derfor ikke optimalisert. I dette tilfellet ble dette forbedret med en Client VPN-løsning som gjør at Ruter kan utnytte AWS-plattformen på en mer effektiv måte.

Om kunden

Ruter AS er et kollektivtransportforetak i Oslo og deler av Viken (tidligere Akershus fylke). Med ca. 400 millioner kollektivreiser hvert år drifter Ruter over halvparten av kollektivtransporten i Norge.

Foretaket har for tiden over 150 utviklere og et eget team som skal levere AWS-tjenester og -løsninger internt i Ruter, og som skal støtte forskjellige interne og publikumsrettede applikasjoner som ligger på AWS EKS.

Utfordringen: Ruter brukte tidligere forskjellige metoder for å gi utviklerne tilgang til applikasjoner i AWS og VPC-er. Det var behov for en mer standardisert metode for å gjenvinne kontrollen og sørge for at alle teamene hadde en pålitelig, sikker og felles løsning.


Løsningen

Orange Business foreslo AWS Client VPN som løsning, og etter en første konseptutprøving ble dette akseptert. Terraform ble da satt til å utforme og implementere en produksjonsløsning.

Løsningen besto av et sentralt Client VPN-endepunkt (multi-AZ) i en låst «nettverkskonto» kombinert med AWS SSO for brukerautorisasjon. Fordelen med dette er at det bare er ett endepunkt som må administreres.

SSO gir nye ansatte automatisk tilgang til applikasjoner så snart de er en del av teamet.

VPC-en med VPN-endepunktet fikk rutingtilgang til andre AWS-kontoer og VPC-er for arbeidsbelastning via Transit Gateway. Hver arbeidsbelastning tillater trafikk fra VPN-endepunktet VPC, og hver bruker får tilgang til spesifikke arbeidsbelastninger via VPN-autorisasjoner og SSO-grupper.

VPN-løsningen administreres av Orange Business, men autoriserte personer hos Ruter kan endre autorisasjoner via en ITIL-prosess.

Resultater og fordeler

Etter implementeringen har Ruter kunnet standardisere tilgangen til AWS for alle teamene. Det har vært tidsbesparende for utviklerne å få tilgang til og kunne jobbe med applikasjoner direkte fra lokale maskiner, og Ruter har kunnet fjerne de forskjellige tredjepartsmetodene fra miljøene. Utviklingen har dermed gått raskere, og kostnadene har gått ned.

Løsningen har vist seg å være pålitelig og effektiv, og sikkerheten ble dermed forbedret.

Orange Business har dessuten effektivisert Ruters DevOps-rutiner, og utviklerne kan nå fokusere på det de er best til: å innovere og skape verdier for kundene sine.

Ruters AWS-miljø er beskyttet av en grunnleggende sikkerhetsløsning – Orange Business’ landingssone – inkludert i Cloud Foundation-tjenesten. Landingssonen er bygget etter beste praksis, og kunden kan skalere uten risiko for å miste kontrollen over sikkerheten.

Med Orange Business’ administrerte tjenester får DevOps- og sikkerhetsteamene enkel tilgang til en mengde AWS-kunnskap på ett sted. Som en del av avtalen om administrerte tjenester er det opprettet et kundeteam for Ruter, slik at det står konsulenter med domenespesifikk kompetanse til rådighet for prosjekter, forespørsler og feilsøking. Takket være samarbeidet med Orange Business får Ruter kontinuerlig tilgang til nye AWS-funksjoner. AWS-bruken økte fra et allerede høyt nivå med omtrent 23 % mellom juli 2022 og juli 2023.