企業上雲的比例愈來愈高,就連受高度監管的金融業也不例外,相對來說,主管機關對於金融業上雲的資料安全及存放地點等法規要求也更為嚴謹。國泰金控近期在2022 DevOpsDays Taipei分享集團不只著眼於當下的上雲需求,更全盤考量未來的多雲環境部署與管理,決定導入政策即程式碼(Policy as Code,以下簡稱PaC)並整合已實行的基礎架構即程式碼(Infrastructure as Code,以下簡稱IaC),以打造可精準管控且高安全性的上雲路徑。
Policy as Code的選用評估及三大預期效益
回顧一、兩年前,全球頻繁出現金融機構遭駭、資料外洩等事件,促使主管機關與金融業更加關注上雲及資料安全的議題。
在面對雲端環境專案建置與管理日趨複雜的狀況下,國泰金控早已導入雲端開發套件CDK(Cloud Development Kit)快速建置專案中各式環境的雲端資源,並建立IaC的CI/CD Pipeline進行自動化佈署,降低人力維護成本。不過,考量到多雲環境的雲平台部署及管理光靠CDK並不足夠,國泰評估原有的IaC自動部署流程後選擇導入PaC。
國泰金控評估導入PaC有三大優點。首先,能夠完整紀錄政策檢查的通過與否以及開發、部署的行為軌跡,確認是否有程式碼違反政策的設定,這些紀錄皆可用於主管機關與企業內部相關單位的查核,以符合稽核要求,進而達到合規性。
第二個優點是能對政策進行版本控管,除了團隊易於確認政策是否遭到修改外,寫好的政策也能達到重複使用的效益;第三個優點則是自動化,與CI/CD的整合可提供對整體雲端環境的可見度與控制力,並串連IaC進化為DevSecOps的開發環境,實現自動化監控及整合各項資安工具為一體。
最重要的是,PaC不僅可以與IaC整合使用,還能加強執行事前檢查(Pre-check)機制,這也呼應國泰金控的資安政策,必須在部署前就找出問題,而非在部署後才發現問題。
導入PaC的關鍵步驟與配套作法
導入PaC的第一件事,同時也是整個導入過程裡最重要的一件事,就是制訂政策,必須預先定義要把哪些政策程式碼化,再去對其做限制。國泰金控團隊與外部顧問共同討論後,採取的第一步是盤點內部控制項。
盤點後,國泰金控參考雲端安全聯盟(Cloud Security Alliance,CSA)提出的雲端控制矩陣CCM(Cloud Controls Matrix),挑選其中數個大項參考及對應,進一步產出國泰金控內部專用的安全矩陣SAM(Security Assessment Matrix)。
至於控制項的分類,國泰金控界定了七個領域,分別是應用程式安全性規範、基礎架構安全性規範、資訊服務與支援、IT營運支援、資料保護、威脅與弱點管理、網路限制等。接著,針對這些限制來撰寫政策程式碼,完成後將這些程式碼連同IaC一起導入國泰金控的應用環境。
導入PaC的四大實務應用
國泰金控揭露導入PaC的四大應用方向,首先是內部政策的制訂及落實,舉例來說,金融業上雲的前提是所有上雲的資料或程式都必須留存在台灣的機房,因此,採用公有雲業者提供的雲端平台服務時,仍需透過政策限制來禁止系統部署在台灣以外的機房。
國泰金控對外揭露導入PaC四大應用方向,包括內部政策制定與落實、強化資安、因應金融業特有的法遵要求、優化雲端的運作效益。
第二個應用方向是強化資安,國泰金控的作法是限制公用IP。第三個應用方向則是因應金融業特有的法遵要求,像是與信用卡相關的支付卡產業資料安全標準PCI DSS(Payment Card Industry Data Security Standard),為了保障持卡人的資料與交易安全,包括雲端機房都必須符合這個規範。另外,因應主管機關查核要求的國際規範CIS Benchmark,也可以運用PaC來確保落實。
第四個應用方向在於優化雲端的運作效益,避免在雲端不小心開啟不需要的服務或資源,或是開啟後忘了關閉,而造成額外的費用支出或損失,使用PaC就能預先限制虛擬機器的大小、硬碟容量、服務的啟用。
彈性選擇工具的兩種應用模式
國泰金控目前採用的開發環境是Azure DevOps平台,導入PaC所使用的工具是可以安裝在地端的Terraform Enterprise,以因應金融業原始程式碼不能上雲或部署至第三方平台的限制,並整合同為Terraform的產品Sentinel Policy作為檢查工具。
整體作業流程則劃分為四個區塊,依序是本地開發、Azure DevOps、Terraform Enterprise、部署至公有雲平台。值得注意的是,在上雲前的Terraform Enterprise作業流程區塊設有自動化檢查及確認的關卡,但因應資安需求而新增第二個卡控機制,必須經由相應的負責人員對即將部署資源的設定進行檢查及核可後才能部署上雲。
雖然Terraform Enterprise可部署於地端,也有良好的權限管理和政策檢查工具,但考量到避免被單一供應商綁住、授權費用過高,以及子公司的IT預算配置差異等因素,國泰金控也評估其他類似的開源工具,並選擇環境管理工具Terragrunt和政策檢查工具TerraScan,打造第二種應用模式。
不同於 Terraform Enterprise 將環境變數置於平台上做管理。Terragrunt 則是將環境變數也作為程式碼管理,並可以清楚的切割環境,以版控系統作維護依據,除了降低程式碼的重複性,亦可引用已經寫好的 Terraform模組。至於 TerraScan 是使用OPA作為基底,透過撰寫Rego語言來自定義政策。雖然有著較高的學習成本,但其應用範圍廣,除 Terraform外,也可整合於 Kubernetes 生態系,做安全政策的管控。
相比於 Terraform Enterprise,使用這兩套開源工具,必須花費額外的時間自定義政策,以及額外串接CI/CD 流程。但與原先作業流程無太大差異,無需更動原本卡控的核心思想,同時也將主控權拉回並整合於 VCS(Version Control Software)平台上,開發者、審核者、部署人員不需再切換至另一平台處理審核及檢查等行為,就能完成部署工作。
對於企業上雲的需求而言,導入PaC的重要性對各個產業勢必與日俱增,從國泰金控的導入經驗可以看到除了技術與流程之外,最重要的關鍵仍需回歸到政策的良好制訂,以及將其準確地轉換為程式碼,才能確保PaC發揮最佳功效。
熱門新聞
2024-10-24
2024-10-22
2024-09-27
2024-10-23