NAB раскрыла больше информации об автоматизированных методах управления и управления изменениями, которые она использует для перемещения и настройки кода в облаке в масштабе.
Банк использовал недавний исполнительный форум AWS в Сиднее, чтобы раскрыть работу Стандартов и методов внедрения облачных технологий или CAST.
CAST позволяет банку “программно определять, как мы запускаем наши рабочие нагрузки в облаке”, сказал исполнительный генеральный директор infrastructure, cloud and workplace Стив Дэй.
“Традиционно, в такой сложной среде, то, как мы справлялись с управлением и безопасностью, заключалось в развитии культуры » нет » — «Я хочу сделать что-то новое». ” Ну, позиция по умолчанию-нет, пока вы не перепрыгнете через 100 обручей, чтобы доказать, что то, что вы делаете, безопасно и безопасно для наших клиентов», — сказал Дэй
— В цифровом мире это не работает. Что нам нужно было сделать, так это создать режим управления, который действительно хорошо работал бы в цифровом мире, и именно там мы разработали CAST.
“CAST дал нам возможность значительно улучшить управление нашими приложениями, чтобы мы знали, прежде чем принимать какое-либо решение о том, что мы собираемся делать, будет ли это соответствовать или не будет соответствовать [нашим требованиям безопасности].
“Мы можем удалить эту культуру ответа по умолчанию «нет». Теперь вопрос по умолчанию звучит так: «Соответствует ли он АКТЕРСКОМУ составу?’”
Дэй — и другие сотрудники НАБ — ранее намекали на существование CAST, но ранее не раскрывали, в какой степени это позволяет банку двигаться в облаке в темпе.
Дэй сказал на мероприятии AWS в США в конце прошлого года, что команды приложений столкнутся с невидимыми в противном случае ограждениями, если что-то, что они сделают, превысит порог или нарушит внутреннюю политику.
Он подтвердил на австралийском исполнительном форуме, что проверки CAST были почти полностью автоматизированы.
“Мы смогли взять большинство элементов управления в CAST и автоматизировать их», — сказал Дэй.
— Мы называем это невидимым согласием. Почему? Потому что нашим разработчикам больше не нужно проходить все проверки соответствия, которые мы делаем вручную”.
Акт команды приложений “запуск нового экземпляра” вызвал лямбда-функцию, чтобы “посмотреть, что делает этот разработчик, и выяснить, делают ли они это безопасным способом и разрабатывают ли они вещи в соответствии с нашими средствами контроля”, — сказал Дэй.
“Он даже будет смотреть на их код и искать уязвимости и злонамеренные намерения в этом коде”, — объяснил он.
“Он будет искать такие вещи, как то, что мы пометили среду для того, что она есть, что она должна делать, кому она принадлежит, работает ли она со всеми правильными антивирусами, есть ли контроль безопасности, соблюдаются ли наши принципы DevOps, существует ли непрерывность бизнеса, работает ли она в нескольких зонах доступности и нескольких облаках — все это проверяется и помечается галочками без необходимости для разработчика смотреть на это.”
Дэй сказал, что автоматизированные проверки в рамках CAST также были распределены по уровням в зависимости от типа рабочей нагрузки.
“Если вы экспериментируете с чем-то, мы не навязываем вам определенный контроль, они постепенно повышаются”, — сказал он.
“Например, если вы создаете среду для проведения эксперимента, она все еще должна быть помечена — мы все еще должны знать, для чего она предназначена, мы все еще должны знать, что на самом деле она не делает что-то плохое, и что это часть формального эксперимента.
“Но мы не делаем таких вещей, как обеспечение того, чтобы вы работали в нескольких зонах доступности, например. Это не требуется для эксперимента.
“И по мере того, как мы проходим различные стадии развития, эти элементы управления постепенно усиливаются. Таким образом, к тому времени, когда вы приступите к производству, 100 процентов элементов управления будут проверены и установлены.”
Отслеживание изменений
NAB недавно продемонстрировала свой двухскоростной подход к миграции облаков, с путями к облаку либо через AWS Managed Services (AMS), либо через “фабрику миграции”, работающую на ресурсах Infosys и DXC.
Приложения, помещенные в облако, и изменения в этих приложениях, сделанные с помощью AMS, почти полностью автоматизированы.
“AMS позволяет нам помещать упакованные приложения в среду и запускать их в жесткой модели управления, но делать это в темпе, и причина, по которой мы можем делать это в темпе, заключается в том, что AMS запускается через API”, — сказал Дэй.
“Все операции, которые вы обычно хотите выполнить в рабочей нагрузке, выполняются через API. Поэтому, если вы хотите что-то изменить, нет никакой формы для заполнения, нет никакой доски изменений.
“Есть утверждения, которые нужно пройти … но все они автоматизированы.”
Все действия, выполняемые AMS, регистрируются в платформе управления ИТ-услугами NAB ServiceNow.
“Мы можем видеть в нашем ITSM все, что Amazon делает от нашего имени, и большая часть того, что они делают от нашего имени, в любом случае автоматизирована”, — сказал Дэй.
Одним из преимуществ этого является большая видимость того, сколько незначительных изменений кода и настроек вносится в приложения NAB на ежемесячной основе.
“[В апреле] мы провели 5000 изменений в 120 приложениях, которые работают в AMS”, — сказал Дэй.
— Я был удивлен-как такое может быть? Это упакованные приложения, мы не собираемся вносить в них серьезные изменения.
— Когда я покопался в нем, оказалось, что эти изменения происходят постоянно, просто мы их не записываем.
“Это были такие вещи, как крошечные настройки на этом, или перемещение здесь, или изменение параметра на этом, которые никогда не записывались.
— Люди просто заходили и делали их, потому что это считалось операцией, частью инцидента или чем-то еще.”
Дэй сказал, что NAB теперь может видеть, кто и когда внес изменения — и для этого нужно записать их в базу данных управления конфигурацией банка (CMDB).
“Теперь у нас есть 100 процентов всего, что происходит в нашей среде, зарегистрированной в ServiceNow, и отчеты, которые это генерирует”, — сказал он.
“У нас есть сервисное отображение, поэтому, поскольку наша инфраструктура-это код, ServiceNow действительно может выйти и исследовать, как выглядят наши сервисы, и они могут вернуть всю сервисную карту того, как выглядят наши сервисы.
“Теперь мы можем видеть сотни серверов, функций и возможностей в облаке и в наших центрах обработки данных, которые составляют сервис.
— Теперь это записано в нашу CMDB, и каждую ночь та же самая CMDB обновляется, так что у нас больше нет такой проблемы: “Что делает этот сервер? Давай выключим его и посмотрим, что сломается».
— Теперь мы точно знаем, что сломается.”
