Банк переїхав у хмару: що далі? Архітектор хмарних рішень Райфу — про виклики та рішення, що спростять управління хмарною інфраструктурою після міграції
З початком повномасштабного вторгнення українські бізнеси, зокрема, фінансові установи, активно мігрували у хмару з метою вбезпечити дані користувачів та зберегти функціональність фінансової системи. Яскравий приклад швидкої та якісної міграції показав Райффайзен Банк, який у 2022 році зумів перенести інфраструктуру без збоїв для клієнтів за $0 та всього за три місяці.
Утім, міграція вимагає чималих зусиль і після її здійснення. Павло Клець, архітектор хмарних рішень Райфу, розповів dev.ua про виклики, які чекають на бізнеси після успішної міграції, і те, як до них підготуватися та правильно реагувати. Понад два роки роботи Райфу в хмарі дозволили сформулювати корисні інсайти та практичні поради.
З початком повномасштабного вторгнення українські бізнеси, зокрема, фінансові установи, активно мігрували у хмару з метою вбезпечити дані користувачів та зберегти функціональність фінансової системи. Яскравий приклад швидкої та якісної міграції показав Райффайзен Банк, який у 2022 році зумів перенести інфраструктуру без збоїв для клієнтів за $0 та всього за три місяці.
Утім, міграція вимагає чималих зусиль і після її здійснення. Павло Клець, архітектор хмарних рішень Райфу, розповів dev.ua про виклики, які чекають на бізнеси після успішної міграції, і те, як до них підготуватися та правильно реагувати. Понад два роки роботи Райфу в хмарі дозволили сформулювати корисні інсайти та практичні поради.
ДОВІДКА
9 березня 2022 Національний Банк України опублікував на своєму сайті постанову 42 «Про використання банками хмарних послуг в умовах воєнного стану в Україні», яка кардинально змінила погляди на те, як тепер має виглядати безперервність бізнесу. Перед інженерами всіх банків країни постало завдання максимально швидко побудувати резерв усіх систем і забезпечити їхню стійкість в умовах війни й недоступність для ворога.
Масовий політ у хмару
У перші місяці великої війни всі великі гравці ринку успішно виконали міграційне завдання й перемістилися у хмари. Через постійні обстріли та перебої з енергопостачанням хмарні версії банків стали не тимчасовим резервом, як планувалося спочатку, а основною інфраструктурою, яку потрібно доопрацьовувати, оновлювати, розвивати.
І тут важливо замислитися над такими параметрами, як-от собівартість розміщення в хмарі, простота в обслуговуванні, 100%-відповідність регуляторним вимогам і готовність до швидкого впровадження глобальних змін на фінансовому ринку, таких як СЕП 4.0, SEPA тощо.
У Райфі, за словами Павла, напрацювали цілий скоуп рішень, які допомогли раціонально використовувати кошти та забезпечувати клієнтам гідний рівень сервісу в перший рік після завершення Cloud-міграції.
FinOps як must, або фінансова грамотність для інженерів
Важливо розуміти, що критично зробити в перші місяці, щоб витрати на хмару не стали захмарними. «Бізнес-моделі Cloud-провайдерів побудовані так, що той, хто найконсервативніший і негнучкий, платитиме за швидких та адаптивних. Так, банк, який щойно мігрував із землі в хмару „як є“, зазвичай виглядає так важко та незграбно з точки зору найновіших технологій, що схожий на великого монстра, який принесе величезні доходи провайдеру, а той своєю чергою зможе запропонувати нижчі ціни більш адаптивним користувачам своїх послуг», — каже він.
«У Райфі ми не могли такого дозволити і одразу перейшли до оптимізації наших технологічних рішень під самі новітні підходи для керування інфраструктурою» — додає Павло.
Але не треба це сприймати як проблему, це лише набір звичайних інженерних задач. Є декілька простих правил, які дають швидкий результат:
low-hanging fruits. Максимально потужним інструментом у досвіді Райфу став Instance Scheduler. Це готове рішення, побудоване на базі таких технологій, як-от Amazon EventBridge, Amazon Lambda та Amazon DynamoDB як база даних. Це рішення дає змогу автоматично вмикати та вимикати хмарні ресурси згідно з прописаними в базі даних розкладами. Для його використання взагалі не потрібно мати досвід роботи з вищеперерахованими сервісами, а лише запусти інсталятор, декілька разів натиснути «Next» та отримати створені Lambda-функції й налаштовані EventBridge правила. «З творчої роботи залишиться тільки зайти в базу DynamoDB і створити декілька записів із розкладами, можливо, ще придумати для них імена, не більше. Усе, далі достатньо на кожен ресурс повісити тег scheduler=<назва розкладу>, а все інше Amazon зробить за вас», — розповідає Павло.
Він наводить приклад реальної економії коштів.
Уявіть, що у вас є тестова копія всієї вашої інфраструктури, на якій ви тестуєте впровадження всіх нових рішень. Вона може коштувати стільки ж або вдвічі дешевше за все ваше промислове середовище. Але це однаково +50% до ваших витрат. А ще — ви сучасний технологічний банк на етапі цифрової трансформації, тому маєте середовище для розробників, що імітує всі компоненти вашої інфраструктури й теж коштує, як половина вашого промислового середовища. З цими двома додатковими середовищами вартість інфраструктури вже виросла майже вдвічі. А середовище для розробників і середовище для тестування разом коштують, мінімум як уся ваша інша інфраструктура, і працюють 24 години та 7 днів на тиждень — 168 годин кожного тижня. А ваші розробники й тестувальники, які користуються ними — усього 40 годин на тиждень, тобто в 4 рази менше.
Це означає, що ваші внутрішні середовища, які ще недавно коштували +100% до вартості інфраструктури з Instance Scheduler, будуть коштувати лише +25%. І це без жодної адаптації програмного забезпечення до всіляких Cloud-native фішок, лише можливість умикати тестові середовища на початку робочого дня й вимикати наприкінці.
А ще згадаймо продові системи, які не потрібні 24/7. Ті, які використовують тільки під час роботи відділень або проводять нічні розрахунки. Свого часу тільки завдяки впровадженню Instance Scheduler деякі з наших департаментів отримали близько 60% економії.
Аудити й регуляторні вимоги
Зазвичай у межах аудиту від банку вимагається надати детальний опис процесів і технологій, завдяки яким досягається безперервність бізнесу та фізична захищеність даних. «Усі ми розуміємо, що навряд для Solution-архітектора банку буде проблемою надати опис кількості копій кожного додатку, методу скейлінгу та балансування. Але з відповіддю на запити, як досягається безперервність живлення, звʼязку, охолодження обладнання та як забезпечується фізична охорона приміщень, дійсно можуть бути проблеми. Тому що саме цю інформацію Cloud-провайдери вважають своєю комерційною таємницею, що надає їм переваги перед конкурентами, і вони зовсім не прагнуть у деталях розголошувати її, навіть своїм клієнтам», — каже Павло.
Виникає питання, як за таких вхідних даних коректно виконувати вимоги аудиторів, як зовнішніх, так і внутрішніх. Треба враховувати, що звернення в підтримку та до менеджерів Amazon будуть марними, технічні деталі захищені численними NDA. Тож як залишитись прозорим перед регулятором або аудитором?
Павло пояснює, що в Amazon для розв’язання цього питання Райфу сильно допоміг сервіс AWS Artifact. Сервіс дає змогу користувачам завантажувати документи про відповідність стандартам, як-от ISO, PCI та SOC, які демонструють, що AWS дотримується галузевих стандартів і законодавчих вимог. У ньому міститься архів близько 900 документів із висновком зовнішніх аудитів і сертифікатів відповідності десяткам популярних стандартів для всіх технічних майданчиків AWS.
«Тобто ви дійсно не можете знати, як ваш Cloud-провайдер досягає відповідності стандартам, але ви точно знаєте, що він їм відповідає й завжди маєте на руках набір відповідних документів», — каже солюшнс-архітектор Райфу.
За словами Павла, розуміючи регуляторні вимоги до своєї інфраструктури й перелік стандартів, яким вона має відповідати, в AWS Artifact можна швидко підібрати пакет документів, який підтверджує, що на фізичному рівні ваш Cloud-провайдер уже давно пройшов усі необхідні перевірки, й особисто вам залишається закрити питання винятково логічних зв’язків між системами. Тут також важливо закласти достатньо часу на проведення аудиту й не поспішати.
Доступ до даних і керування інфраструктурою
На початку міграції керувати інфраструктурою могла фіксована група Cloud-інженерів і BCM-спеціалістів із достатньо розширеними повноваженнями. Але що більше систем переїжджає в хмару, то менше шансів, що ця команда зможе успішно ладнати з усіма операційними завданнями: моніторингом ресурсів, оновленням ПЗ, керуванням мережевими доступами й безліччю рутинних задач, із якими щодня стикаються айтівці банку.
«Мігрувавши велику кількість систем у хмару, їх потрібно перевести на нові процеси та технології й закріплені за ними команди. А для цього необхідна гнучка модель доступу», — констатує фахівець Райфу.
Він додає перелік технологій, які дають банку змогу поєднати гнучкість хмарних технологій і суворість галузевих вимог.
AWS IAM дає змогу заводити користувачів у консолі AWS і видавати їм права на керування певними ресурсами, як через web-інтерфейс, так і за допомогою різних інструментів на кшталт Terrafrom і Terragrunt. Але ручне керування користувачами без можливості аудиту та централізації — це точно не шлях великої корпорації, якою зазвичай є банк. AWS IAM Roles — певною мірою шаблон користувачів та AWS SAML, що дає змогу поєднати Active Directory з цими шаблонами.
AWS Key Management дає змогу не тільки створювати ключі шифрування для всіх даних, але й нарізати доступи на ці ключі, незалежно від доступів на ресурси, які ці ключі використовують. «Це працює так: якщо ви дасте максимальні права одному з інженерів на пул віртуальних машин, на яких живуть критичні бази даних, але не дасте доступ до ключів шифрування від їхніх дисків, то він зможе створювати нові копії цих віртуальних машин, перезавантажувати наявні, керувати мережевими доступами на них, узагалі робити, що завгодно, окрім одного: він ніколи не зможе побачити реальні клієнтські дані», — пояснює Павло. Саме цього й вимагає регулятор.
А ще, за словами архітектора хмарних рішень Райфу, можливо замінити доступ за SSH і RDP на AWS Session Manager і мати всі переваги централізованого доступу до операційних систем, із логуванням усіх дій ваших адміністраторів та автоматичним оновленням пакетів за заздалегідь прописаними правилами.
Для більш детального занурення у процеси, які супроводжують процес підтримки мігрованої інфраструктури, Павло радить скористатися AWS Well-Architected Framework. Це великий документ, який найкраще описує те, як саме Amazon бачить використання своїх сервісів в ідеальному світі.
«Проте застосування всіх цих підходів для великої й динамічної організації, як будь-який банк, може зайняти роки. Тому з усіх напрямів для розвитку саме вищеперелічені опції свого часу дали нам найбільш відчутний ефект», — констатує фахівець.
Досвід Райфу, за його словами, показав, що практики та підходи, описані в цьому документі, дуже гармонійно застосовуються до інфраструктури фінансової установи в реаліях сучасної України.
І наостанок: перед тим, як ухвалити рішення про міграцію у хмару, варто зважити усі перспективи й ризики, прорахувати можливі витрати та ретельно вивчити документацію, щоб процес був максимально комфортним та оптимальним для усіх сторін, які в ньому задіяні.