深入探討政策即代碼(Policy as Code)：為何是現在，它如何提供幫助？

我們多久會看到有關數據洩露或系統故障的新聞故事，這些事件是由人為錯誤或外部實體的某種利用所引起的？如果您在受影響的公司的 IT 部門工作，這些事件的直接和間接影響可能會非常重大，而這種影響在 IT 行業中也得到了反映。我們來考慮幾個數據點：Splunk 的 2023 年安全狀態 報告 指出，攻擊的複雜性是 38% 受訪者面臨的最大挑戰，28% 的人則因工作負荷過重而陷入反應模式。IBM 的 2023 年安全洩露成本 報告 發現，數據洩露的平均成本為 445 萬美元，較三年前增加了 15%。這些統計數據顯示，攻擊的複雜性和數量，以及報告的漏洞，正在持續增加。隨之而來的是洩露和財務影響的風險增加。這裡的解決方案不是減慢速度，而是更聰明地工作。

大多數公司在過去十年中一直在現代化並將業務應用程序和服務移動到混合雲，以便能夠更快地運行並變得更加靈活，因為當今的需求比以往任何時候都要高。更重要的是，幾乎每位我交談過的客戶都在努力應對其環境的複雜性，隨著邊緣計算、人工智慧等技術的加入，這種情況似乎沒有結束的跡象。

這對您的企業級人工智慧工作負載意味著什麼？現在，您在更多的混合基礎設施上處理大量數據，並且您正在運行或希望運行對技術基礎設施要求很高的基於人工智慧的應用程序。如果您尚未自動化解決方案的管理，這將是一個非常具有挑戰性的情況，因為手動過程可能會使人工智慧解決方案和創新的進展變得緩慢。

滿足合規需求並激發關鍵工作負載的運營一致性 

在這個現在包含人工智慧的複雜環境中，您仍然需要遵循內部和外部政策，以控制成本、降低風險並保持一致性，因為您試圖保持靈活。需要進行內部和外部的治理、風險和合規 (GRC) 管理，但自動化是一種更聰明的方法，這也將幫助您保持靈活。

通常，您的關鍵系統要麼為您的組織創造收入，要麼提高生產力，或者幫助您控制過程，這些系統往往受到內部和外部合規指導的影響。它們必須保持安全、高效和可審計，違規次數要少，並且有良好的補救流程。這一切都需要時間和額外的工作周期，以確保每一項要求得到解決。審計人員和評估者也需要信息，而這會進一步增加構建和運行關鍵應用程序所需的時間。最終結果是您的團隊中的每個角色都會感到沮喪，並且從開發到測試再到生產的速度和效率都會受到影響。

在內部和外部 GRC 流程方面，如果您可以：

• 用自動化和無縫的檢查取代繁瑣且緩慢的手動驗證過程，這些檢查在採取行動之前進行。
• 通過快速、高效的自動化過程擴大合規性。
• 為整個團隊提供流暢的體驗，幫助他們專注於關鍵職責並提高對該過程的整體滿意度。

使用政策作為代碼的自動化是最佳實踐，可以幫助您在管理複雜性、降低風險的同時，保持合規並快速啟動要求高的人工智慧及其他應用程序，這是業務利益相關者對您的團隊所期待的。通過自動化的政策作為代碼，您將更好地保持在混合雲計算中取得的進展，同時改善您的整體 GRC 形象。

當您擁有可預測且無縫的政策應用能力時，您將對您的技術堆棧更有信心，因為您運行得更一致。技能差距對您的運營影響將減少，並且您可以幫助降低人為錯誤的風險，因為這通常是洩露和問題的根源。自動化政策作為代碼可以幫助您解決團隊面臨的生產力瓶頸。

在整個生命周期中自動化政策作為代碼

自動化政策作為代碼提供了一種更好的方式，通過設計使驗證和合規政策檢查無縫化。Red Hat Ansible Automation Platform 是一個常見的自動化平台，客戶使用它在 IT 流程中進行自動化，以提高速度、效率、靈活性，當然還有 投資回報率。 這是一個高度靈活的解決方案，可以自動化幾乎所有您可以想到的 IT 流程，包括自動化政策作為代碼。您的團隊可以使用自動化的政策作為代碼來：

• 創建：在開發周期中自動檢查政策執行，使開發人員能夠無縫地創建合規的開發和測試平台，並從一開始就在生產環境和代碼中建立合規性。確保您的團隊能夠在不耗時開會和手動核對的情況下應用所有適用的政策。  
   
• 管理：根據需要集成政策執行，例如在自動化任務運行之前或之後包含的自由裁量或強制性政策檢查。當您的技術堆棧中的某項技術失去合規性時接收警報，並/或自動響應需求。確保雲端和其他技術實例符合您的配置規格，以便您可以控制成本並確保一致、可信的運營環境。輕鬆識別可能受政策變更影響的庫存，然後自動應用變更。
   
• 擴展：自動化報告和輸出到審計相關系統，減輕整個團隊與報告相關的負擔。

當您在 Ansible Playbooks 中包含政策時，今天就可以自動化政策作為代碼。這些可以手動執行或通過自動化控制器執行。當您添加事件驅動的 Ansible（Ansible 自動化平台的一部分）時，您可以自動化端到端的響應，例如當政策漂移時，您的可觀察性或監控工具標記此漂移並/或在您決定的情況下修復它。

為全自動化的政策作為代碼做準備

這一切聽起來很棒，但您如何在大規模和跨組織中實現呢？以下是幾種您可以準備的方法：

• 擴大自動化的使用。您的團隊（網路、雲端、基礎設施、安全、應用開發、SRE 等）中有多少正在使用單一一致的自動化平台？當您擴大企業範圍的自動化使用時，您可以在各個領域內部和跨領域自動化，以使政策在整個技術堆棧中保持一致。這樣的想法是，您擴大了自動化，從而能夠為關鍵工作負載或應用程序實施自動化政策作為代碼。
• 模組化並在“作為代碼”的模型中集中自動化。您的政策能否以供應商中立的方式編寫，以便可以集中應用於特定供應商解決方案或包含在 Ansible Playbooks 或 Ansible Rulebooks 中？識別一個中央存儲庫，用於存儲標準配置文件、劇本和其他您希望一致使用的自動化資產。這是一個基礎設施作為代碼和/或配置作為代碼模型，為您提供更多組織，以便然後添加政策作為代碼的自動化。
• 評估您的自動化合規需求並調整您的團隊。確認您必須滿足的關鍵合規性和安全要求，然後制定包括關鍵里程碑和目標的路線圖。召集您的團隊，創建對目標、好處、角色和責任的共同理解。為運營做準備，例如，所有政策在用於部署工作流程之前都已實施和測試。
• 提前考慮監控和執行。一旦您的關鍵應用程序和工作負載上線，確定您將如何監控和響應政策違規。一個選擇是使用事件驅動的自動化，立即且無需人工干預地響應安全風險或導致風險的配置更改。
• 指定自動化實踐社群的領導者。 Red Hat 多年來一直推薦這種方法，以增長和擴大自動化的使用。這位領導者可以總體上解決自動化問題，並幫助您啟動自動化政策作為代碼。 自動化架構師手冊 將為您提供一些想法，幫助您組織內部社區。

開始政策作為代碼：小步驟、大構想的方法.

無論您在旅程的哪個階段，自動化的政策作為代碼都可以幫助滿足 GRC。由於合規性要求您涵蓋支持應用程序的完整技術堆棧，因此請考慮擴大自動化，並達到從單一真相來源自動化的地步。如果您尚未達到這一點，您仍然可以自動化政策，但它們可能更具內部性質（例如，特定版本的 Linux 必須應用特定的安全政策才能在您的環境中運行）。 

整體 Red Hat 方法是從簡單的用例開始，然後逐步擴大範圍和複雜性。 政策作為代碼可以這樣實施。例如，您的用例可能是：

• 收集不符合特定政策的系統的清單報告。
• 應用運行時政策，例如“僅可在特定端口開啟防火牆”。
• 創建不超過特定大小的雲實例以控制雲成本。
• 自動化對給定伺服器的變更，該變更必須在伺服器的維護時間內進行。

一旦您能夠圍繞政策作為代碼實施簡單的用例，您就可以擴展到更多數量和更複雜的用例。  

現在您已經了解了 Red Hat 對自動化政策作為代碼的觀點，我希望您能考慮這個領域以及如何利用它來簡化繁瑣且耗時的流程。我想結尾時提醒您，Ansible Automation Platform 是高度靈活的。一旦您知道自己想要實施什麼，這個平台在執行您所期望的行動方面表現出色，包括在政策作為代碼方面。最好的還在後頭，讓政策作為代碼成為在整個生命周期中更簡單、更智能的工作方式。