使用IaC自動化技術以符合金融業上雲之資安與合規要求

「雲端轉型面臨很多新課題，以資安面為例，如資料加密、金鑰管理、Log 集中收集、雲端服務控管等機制，」國泰採用混合雲架構，確保傳輸通路過程走的是專線、避免流量流到網路，並以資料中心延伸到雲端平台方向進行雲端架構設計，能做到完善隔離機制。更重要的是透過自動化部署做到雲地之間 CI/CD 機制設計，避免 Console 人為操作失誤造成金鑰外洩風險。

會議資訊

• 會議名稱：AWS Industry Week
• 演講時間：2021-10-21 10:45
• 相關連結：PDF簡報 相關新聞

使用 IaC 自動化技術，讓金融業上雲更安心合規

當「上雲」已不再只是 IT 的選項，而是金融業數位轉型的核心策略之一，如何「安全地上雲」便成了轉型成功與否的關鍵。這篇簡報分享了我在導入基礎架構即程式碼（IaC）技術、以提升雲端自動化與合規性的實戰經驗與觀點。

為什麼金融業上雲這麼難？

許多非金融業的朋友常常以為：「不就是開個虛擬機，把系統搬過去就好了？」但在金融業，若未將資安與合規納入設計，一切就只是「搬過去」而已，稱不上轉型。

我們面對的挑戰包括：

• 資料加密與金鑰管理
• 系統日誌的集中管控
• 雲端服務的存取控管
• 雲端與地端的連線安全
• 敏感資料的分類與加密策略

這些挑戰，構成了金融業上雲的「合規底線」。

IaC 是什麼？為什麼非用不可？

IaC（Infrastructure as Code）是一種透過程式碼來管理與配置雲端基礎設施的方式，能解決下列問題：

• 防止人為失誤：避免直接操作雲端 console 導致設定錯誤或金鑰外洩
• 增加可追蹤性：每次變更都有版本與紀錄
• 實現自動化檢核：可在部署前執行政策驗證（Policy Check）
• 符合稽核需求：提供稽核用的變更記錄與追溯能力

雲端自動化不只是快，而是更安全

我們導入 Terraform 搭配 CloudFormation Guard、Sentinel 等 Policy as Code 工具，讓每一次基礎建設的建立與變更，都能經過自動化政策檢查，確保：

• 不部署未經授權的區域
• 不使用開放 IP 或非標準命名
• 不違反 PCI DSS 或 CIS 基準
• 不使用過大規格的 VM 或儲存空間

這樣的設計讓合規不再是開發後的補救，而是開發流程中的一部分。

上雲不只是 IT 的工作，而是整個組織風險與治理文化的體現。透過 IaC 與 Policy as Code，我們可以在享受雲端彈性的同時，守住金融業的資安與法規底線。在這場轉型旅程中，「自動化」不是為了炫技，而是為了讓治理內建（Governance by Design），讓每一筆設定、每一次變更，都能符合內部規範與外部法規。