COP313 | Goldman Sachs:使用代码在几分钟内部署新应用程序的策略
关键字: [Amazon Web Services re:Invent 2023, Cloud Fast Track, Guardrails, Security Rules, Security Posture, Self-Service, Developer Velocity]
本文字数: 2300, 阅读完需: 12 分钟
视频
导读
您的应用程序团队是否进行了分布式、大规模部署,并被要求遵守严格的安全和法规合规性要求?在本次分享,全球最大的投资银行之一,Goldman Sachs 分享了他们一年来的经验教训和案例。您可以了解他们如何实现策略与代码( PaC )程序,为应用程序工程师提供自助服务工具,以大规模部署安全的云应用程序。您还能了解他们如何将新应用程序的上市时间从几周大幅缩短到几分钟。
演讲精华
以下是小编为您整理的本次演讲的精华,共2000字,阅读时间大约是10分钟。如果您想进一步了解演讲内容或者观看演讲全文,请观看演讲完整视频或者下面的演讲原文。
视频首先介绍了在Goldman Sachs负责云计算团队的Subba Sukra。他与来自亚马逊云科技的首席解决方案架构师Harsha Sharma一起讨论了该公司实施的一项创新计划,名为Cloud Fast Track。
Sukra首先介绍了一些关于Goldman Sachs的背景信息。作为世界上最大的投资银行和金融服务公司之一,Goldman Sachs拥有近2万亿美元的资产。该公司在全球范围内具有重要地位,在全球100多个地方设有办事处。然而,Goldman Sachs的核心是专注于技术的公司,由大约12,000名工程师为其系统提供支持。
Sukra继续介绍他的团队在Goldman Sachs向云端迁移过程中所扮演的关键角色。他们处理从云咨询和执行到实施的各个方面。他们的主要工作之一是构建像Cloud Fast Track这样的平台,以实现公司在整个公司的顺畅云采用。
为了说明这个挑战,Sukra举了一个例子来说明这个问题。在过去,Goldman Sachs有创新想法的开发者在面对基础设施需求方面的长期延误。为了获得一个亚马逊云科技账户,他们必须详细记录其应用程序的设计和安全状况。然后,这些提案需要经过安全团队的手动审查,这可能需要几周甚至几个月的时间才能获得批准。这严重阻碍了开发者的生产力和速度。
为了解决这个问题,Cloud Enablement团队设想了一个自助服务系统,让开发人员可以立即设置安全的亚马逊云科技账户和资源。该平台将处理配置并设置适当的护栏。开发人员然后可以使用托管管道来部署代码,而安全性检查将是自动化的。
开发者可以通过Fast Track命令行工具来表达部署应用的意愿。这一请求将会被传递给由API Gateway和Lambda函数组成的管理层。管理层会收集有关用户和应用的相关元数据,以便确定正确的亚马逊云科技组织单位和账户配置。接着,异步地设置所需的账户和管道。
在这个过程中,需要创建两个账户——一个用于资源的应用账户,另一个用于CI/CD管道的SDLC账户。根据开发者的团队和环境需求,将这些账户分布在不同的亚马逊云科技组织单位中。同时,还需要为这两个账户初始化GuardDuty、Config、CloudTrail和CloudWatch等托管安全服务。
一个关键组成部分是集中的网络模型。这些账户都会连接到分隔开发环境的共享虚拟专用网络(VPC)。这样可以让应用在需要时使用公用资源,同时保持隔离。
SDLC账户中的代码管道负责部署并强制执行护栏。开发者只需将代码更改推送到Git存储库,即可触发管道。管道会处理编译、安全检查,然后将应用程序栈部署到应用账户。
这种自动化管道是通过高盛独特的护栏实施来启用的。护栏是用Open Policy Agent评估的Rego策略,它规定了公司的安全规定。例如,护栏可能会限制可用于Lambda代码的存储桶,或强制对S3进行加密。通过在管道中嵌入安全功能,可以避免手动审查,同时保持标准。
为了更容易遵守法规,高盛还构建了Fast Track加速器。这是一个高级的CDK结构,抽象掉了许多实现护栏的复杂性。例如,使用加速器构造,将一个合规的S3存储桶从超过150行的代码减少到仅20行。这有助于开发者提高生产力,同时防止安全漏洞。
账户开通时间从数周/数月缩短到不到10分钟
- 开发者从花费数月时间创建一个账户到只需几分钟
- 手动安全审查被自动化护栏检查所取代
- 创建合规S3存储桶的代码从170多条减少到20条
Subba在总结中分享了一些建立Cloud Fast Track的关键经验。首先,他认为安全是一个持续的过程,而不是一次性完成的目标。高盛将继续根据新的威胁和使用情况不断优化护栏和控制措施。其次,要解决客户的用例问题而非仅仅启用离散的服务——这使平台更加关注实现商业价值。最后,随着平台的扩展以服务于更多的应用程序,操作和可观察性变得至关重要。
总的来说,Cloud Fast Track是高盛云之旅的一个重要步骤。通过结合自动化的配置、安全防护栏的执行和自助服务访问,它解放了开发者并保持了安全性保障。这个平台通过消除云采用的障碍来推动整个公司的创新。Subba和Harsha的演讲提供了关于所面临的挑战和为解决这些问题而开发的解决方案的富有洞察力的背景。他们的例子和指标清晰地表明了通过实施Cloud Fast Track所获得的速度和效率的提升。这个创新的方案体现了当通过智能自动化和政策执行消除了采用障碍时,云如何能改变大型企业的应用开发。
下面是一些演讲现场的精彩瞬间:
席万解释说,即使他已经创建了亚马逊云科技的账户,他还是无法访问高盛的存储桶,从而阐明了最小权限原则。
亚马逊云科技提供了一种基于策略编码的安全防护,以实现自动化的粗粒度控制执行,无需人工审查。
亚马逊云科技的安全防护具有高度的可定制性,使得开发人员在不必担心合规问题的情况下,可以更快速地进行迭代。
演示展示了安全防护如何防止开发人员意外地将应用程序负载均衡器暴露到互联网上。
CloudFormation的安全防护功能允许工程师在部署之前验证基础设施代码,确保安全和合规性,而无需实际部署到亚马逊云科技。
领导者们讨论了通过获取真实客户并从他们的需求和用例中学习,进入增长阶段。
总结
这段演讲主要探讨了高盛的云计算快速通道平台,该平台使得开发人员能够在确保安全性的前提下,在短短数分钟内将应用程序部署到云端。在过去,开发人员需要通过漫长的数周甚至数月的人工审核来获取亚马逊云科技账户并部署应用程序。
云计算快速通道提供了一个自助服务的、安全的持续部署平台。开发人员可以通过命令行界面申请账户,并在数分钟内完成规划和启动。然后,通过管理的管道部署资源,强制实施高盛的安全标准所定义的可配置的“护栏”。这些安全措施包括加密和网络分段等控制措施,它们被编码为开放式策略代理评估的政策。
该平台在提高开发人员速度和保持安全性之间取得了平衡。由于“加速器”结构封装了合规资源,开发人员无需编写多余的安全代码。护栏提高了安全基线,但可以根据高盛不断变化的需求进行定制,将安全提前。尽管这是一个需要持续努力的进程,但该平台已经将账户设置和应用部署的时间从数月缩短到了数分钟。
演讲原文
想了解更多精彩完整内容吗?立即访问re:Invent 官网中文网站!
2023亚马逊云科技re:Invent全球大会 - 官方网站
点击此处,一键获取亚马逊云科技全球最新产品/服务资讯!
点击此处,一键获取亚马逊云科技中国区最新产品/服务资讯!
即刻注册亚马逊云科技账户,开启云端之旅!
【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”
亚马逊云科技是谁?
亚马逊云科技(Amazon Web Services)是全球云计算的开创者和引领者,自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务,涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体,以及应用开发、部署与管理等方面;基础设施遍及 31 个地理区域的 99 个可用区,并计划新建 4 个区域和 12 个可用区。全球数百万客户,从初创公司、中小企业,到大型企业和政府机构都信赖亚马逊云科技,通过亚马逊云科技的服务强化其基础设施,提高敏捷性,降低成本,加快创新,提升竞争力,实现业务成长和成功。
扫一扫
3468
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
