Shrnutí

Soukromá investiční banka potřebovala přijmout cloudovou infrastrukturu při zachování přísných compliance a governance požadavků. Bankovní regulace vyžadují kompletní sledovatelnost, bezpečnostní kontroly od prvního dne a schopnost kdykoli prokázat compliance.

Navrhli a implementovali jsme jejich kompletní Azure infrastrukturu pomocí Azure Landing Zone frameworku, s veškerým definováním v Terraform a nasazením přes CI/CD pipeline. Žádné manuální změny nejsou možné - každá změna je sledována, revidována a auditovatelná.

Výzva

Bankovní kontext

Investiční banky fungují pod přísným regulačním dohledem. Každá změna infrastruktury musí být dokumentována, schválena a sledovatelná. Manuální nasazení vytvářejí compliance mezery a auditní rizika.

Požadavky

  • Žádná existující cloudová přítomnost - Začínali od nuly bez interní cloudové expertizy
  • Přísné compliance požadavky - Nutnost prokázat kontrolu nad všemi změnami
  • Bezpečnost od prvního dne - Nelze "přidat bezpečnost později" - musí být zabudována
  • Plná auditovatelnost - Každá změna musí být sledovatelná k osobě a schválení
  • Opakovatelná prostředí - Dev, staging, produkce musí být konzistentní
  • Žádná manuální nasazení - Eliminace lidských chyb a stínových změn

Naše řešení

Azure Landing Zone Framework

Implementovali jsme Microsoftovu Azure Landing Zone architekturu, poskytující dobře navrženou základnu s vestavěnou governance, bezpečností a compliance kontrolami.

Landing Zone architektura

Hierarchie Management Group Azure Policy, RBAC
Platform Landing Zone Identity, Management, Connectivity
Application Landing Zones Workload Subscriptions
Infrastructure as Code Terraform + GitLab CI/CD

1. Struktura Management Group

Organizovali jsme Azure subscriptions do hierarchické struktury umožňující dědičnost politik a konzistentní governance:

  • Root management group se základními politikami
  • Platform subscriptions (Identity, Management, Connectivity)
  • Application landing zones podle prostředí a typu workloadu
  • Sandbox subscriptions pro kontrolované experimentování

2. Infrastructure as Code (Terraform)

Každá část infrastruktury definována v Terraform modulech:

  • Znovupoužitelné moduly pro běžné vzory (networking, compute, storage)
  • Konfigurace specifická pro prostředí pomocí proměnných
  • Vzdálená správa state s uzamykáním
  • Verzování modulů pro kontrolované rollout

3. Implementace CI/CD Pipeline

GitLab CI/CD pipelines vynucující deployment proces:

  • Pull request spouští automatický plan a validaci
  • Požadovaná schválení před apply do produkce
  • Automatizované bezpečnostní skenování (Checkov, tfsec)
  • Detekce driftu a alerting

4. Policy as Code

Azure Policies vynucující compliance požadavky:

  • Vyžadování šifrování v klidu pro veškeré storage
  • Vynucování asociací network security group
  • Omezení vytváření veřejných IP
  • Nařízení diagnostických nastavení a logování
  • Vynucování tagů pro alokaci nákladů

Výsledky

Schopnost Dosaženo
Manuální nasazení 0% - Vše přes pipeline
Pokrytí compliance 100% policy-as-code
Drift infrastruktury Eliminován (Terraform state)
Připravenost na audit Kompletní historie nasazení
Bezpečnostní kontroly Zabudované od prvního dne
Provisioning nového prostředí Hodiny (ne týdny)
Konzistence prostředí 100% identická (IaC)

"Nyní můžeme auditorům přesně ukázat, kdo co změnil, kdy a proč. Každá změna infrastruktury má papírovou stopu vedoucí k pull requestu a schválení."

— Vedoucí IT infrastruktury

Klíčové poznatky

  • Azure Landing Zone urychluje compliance - Vestavěná governance struktura řeší mnoho regulačních požadavků již v základu
  • IaC eliminuje konfigurační drift - Terraform state zajišťuje, že infrastruktura přesně odpovídá kódu
  • Pipeline vynucují proces - Nelze obejít schválení nebo přeskočit bezpečnostní kontroly
  • Policy as Code škáluje governance - Compliance pravidla se automaticky aplikují na všechny zdroje
  • Správný začátek šetří čas - Budování governance od prvního dne je snazší než dodatečné přidávání