國泰世華銀行以IaC奠定金融上雲基礎 突破金融業上雲三大挑戰

金融業是高度監理的特許行業，在上雲之路相當重視合規性與資安議題。國泰世華銀行近期在2022 DevOpsDays Taipei中，除了點出金融業上雲的三大挑戰，也不藏私分享國泰DevOps團隊上雲的實戰經驗，並進一步揭露銀行的上雲策略。

金融業如何克服合規性、資安風險、歷史包袱三大上雲挑戰

金融業上雲三大挑戰包括：合規性、資安風險、歷史包袱。對金融體系而言，上雲首要前提是合規性，金管會在2019年宣布開放金融業上雲，訂定八大項規範，包含風險控管、監督、查核、緊急應變等面向，特別是需確保主管機關可以查核雲端業者；金融機構委託雲端服務業者處理的客戶資料與資料儲存地，要以我國境內為原則，這是金融機構上雲面臨的第一項挑戰。

上雲的第二項挑戰是資安風險，在雲地混合的部署架構下，上雲必然改變既有的流程與工具，而衍生新的資安風險。國泰世華銀行在上雲前，先集結內部DevOps、資安、基礎架構團隊，與外部顧問專家共同進行評估後，決定導入IaC（Infrastructure as Code）自動化部署來輔助上雲。

不過，導入IaC還需預先建立多重資安配套措施，包括稽核軌跡的紀錄與監控、高權限API Key的控管與保存、IaC應用範圍及應用場景、IaC程式碼的安全性、IaC角色群組控管，才能有效因應資安風險。此外，程式碼在雲地混合的架構流程內，如何確保安全性也是一大課題，國泰世華的作法是，先將程式碼存放於內部管控平台，經核准人員執行審核與程式碼檢查後才能上雲。

歷史包袱則是第三項挑戰。組織運作愈久，歷史包袱就愈重，以國泰世華銀行為例，不僅有運作超過數十年的應用系統，因版本老舊而需更新的系統程式也不在少數，更棘手的是，環境變數設定檔的相依性太高，亦造成牽一髮而動全身的局面。

不只如此，以國泰世華一路走來的經驗，學習成本高是導入IaC的最大挑戰。除了選用工具的授權費用高昂，該項工具使用獨有的開發語言，使得團隊成員需花費額外的時間從頭學習及訓練，才得以建立起IaC團隊。

國泰世華銀行揭露金融業上雲的三大挑戰，更不藏私分享國泰DevOps團隊上雲的策略與實戰經驗。

系統上雲的可行性評估及應用效益

即使面臨重重挑戰，但上雲的投資效益：資源擴充彈性、預算控管彈性、高可用性，仍是許多企業前仆後繼投入的動力。國泰金控與國泰世華銀行共同參與外部顧問合作案，發展出一套雲端遷移方法論，來協助集團各子公司大規模系統遷移上雲。

有了集團統一的上雲方法論可遵循，國泰世華除了導入IaC自動化部署來輔助上雲，在應用程式CI/CD（持續整合/持續交付）的架構設計規劃也有多方考量，比如許多地端系統仍無法上雲，所以盡可能確保地端和雲端DevOps作業設計的一致性，以減少維運成本，是內部的首要共識。

在CI階段，國泰世華DevOps團隊仍將程式編譯、相依套件控管及掃描留在地端運作；而在CD階段，則可依照系統特性，設計適合的部署架構及雲端服務。從一般的虛擬機器、靜態網頁到容器部署，團隊的原則是盡可能在地端完成工作項目，再把映像推送到雲端。

目前，國泰世華的DevOps團隊在GCE（Google Compute Engine）、GKE（Google Kubernetes Engine）、Cloud Run和Cloud Storage，都已建立地端對雲端部署的作業流程。以往DevOps團隊在地端建立資源、機器相當耗費時間；上雲之後，基礎架構團隊無需花費太多時間來處理DevOps團隊的需求，設置測試環境的過程則更為快速。另一方面，在進行壓力測試時，雲端能模擬真實世界的壓力狀況，除了可以動用的資源配置相較地端更為彈性外，還能提供異地備援的擴充性。

從國泰世華銀行的經驗來看，金融上雲無法只由少數人員或單一團隊處理，相關的多重團隊必須同時參與，例如：IaC的導入就是由DevOps、資安及基礎架構團隊共同促成，團隊也需學習雲端知識與技能，才能因應上雲必然帶來政策和流程的改變，化解多重問題與挑戰。