兼顧資安與合規需求 IaC助攻國泰金控踏穩上雲之路

國泰金控數位數據暨科技發展中心雲端技術架構師顏勝豪在「2021 AWS Industry Week」中指出，為在多種環境中部署應用程式，企業可利用容器化技術，將Image放到ECS或EKS上，讓程式可立即在雲端平台上運行。然而金融業是高度監理的特許產業，故國泰上雲首重資安與法遵性議題。

「雲端轉型面臨很多新課題，以資安面為例，如資料加密、金鑰管理、Log集中收集、雲端服務控管等機制，」顏勝豪說，國泰採用混合雲架構，確保傳輸通路過程走的是專線、避免流量流到網路，並以資料中心延伸到雲端平台方向進行雲端架構設計，能做到完善隔離機制。更重要的是透過自動化部署做到雲地之間CI/CD 機制設計，避免Console人為操作失誤造成金鑰外洩風險。為此國泰決定採用IaC(Infrastructure as Code)自動化部署雲服務，確保每次部署品質都是一致的。

除上述外好處，IaC還可帶來其他效益。首先是速度與安全性，使用同一份IaC Code，可以透過One Click方式瞬間把複雜雲端環境部署出來。同時也能使用IaC Pre-Check機制達到安全控管要求，且享有版本控管功能。

在金融相關環境都會設計SIT、UAT、Production等環境，可利用同一份IaC Code部署三種環境，以確保不會因人為操作錯誤導致環境不一致。在檢核作業和法遵方面，則可透IaC Policy as a Code來執行。此外，IaC經由版本控制後，更易於追蹤每次版本發布時中間環境的差異，這稽核及軌跡問題對金融業至關重要，在IaC每次部署過程，均會記錄版本差異與部署結果，可滿足稽核需求。

利用Policy as a Code，善加管控持續變動的Policy

國泰金控數位數據暨科技發展中心雲端DevOps工程師吳柏緯指出，IaC重點在於高度自動化，但在自動化前提下，如何確保Code有足夠安全性？國泰使用Policy as a Code概念去執行此項目，好處是IaC一樣可透過Git管控機制針對Policy做版控，隨著雲端環境不斷成長，加上雲端法規持續與時俱進，國泰也會善用版控機制，妥善管理不斷成長或需要新增修改的Policy。

其次國泰還整合CI/CD。為確保自動化的安全性，將Policy做為代碼化後，可進一步整合CI/CD流程，以減少部署前人工確認；以往部署一台VM，或做網路防火牆設定，都要透過第三個人驗證設定有無問題，如今透過自動化機制可減少很多部署時間，達到開發與佈版的快速要求。

再來更重要的是Pre-Check機制，以往在環境部署出去後，只能做Post-Check確保部署出去的VM規格有沒問題，防火牆的Port有沒有開錯，透過Pre-Check機制可減少事後檢查的時間成本，加上前面版控及自動化，確保藉由一些Log機制來達到事後檢核效果。

國泰使用AWS CloudFormation Guard，是基於使用AWS CloudFormation之部署經驗，及使用CDK做IaC自動化後累積的心得。國泰採多雲策略，會利用Terraform做為IaC方案，Terraform本身也提供Policy as a Code方案Sentinel，相較之下，AWS CloudFormation Guard是一個開源產品，而CloudFormation Guard主要針對YAML或JSON檔案形式，來進行Policy檢查，Sentinel只針對Terraform有提供的Provider，用他們官方開發的HCL語言來做法遵性檢查，最大差異就在於此。

顏勝豪表示，國泰是在前年啟動集團上雲計畫，開始先導入IaC技術去管理雲端環境，一開始的概念是希望人去寫Code，然後用Code去管理雲端環境，因未來大量系統上雲後，要管理的叢集規模很大，已無法透過人工管理，故積極使用IaC技術去管理雲端環境。但過程中額外發現一個好處，將雲部署方式代碼化後，很容易做到Security as a Code、Policy as a Code和Compliance as a Code，更能協助金融業建置一個能高度符合資安控管和法遵性的雲端環境。