ANZ отмечает расширение облачных рисков Google

Источник · Перевод автора

Инструмент, используемый для проверки набора кодов для более широкого использования.

Банковская группа ANZ планирует расширить использование облачного инструмента Google, который в настоящее время используется для проверки соответствия компьютерного кода определенным стандартам перед вводом в эксплуатацию, для выполнения аналогичных автоматических флажков в функциях управления рисками и соответствия нормативным требованиям.

Еще в апреле банк объявил, что использует инструмент, называемый двоичной авторизацией, для предотвращения развертывания несанкционированного кода и образов контейнеров в производство.

Инструмент автоматически проверяет, прошел ли код или образ контейнера внутренние проверки, установленные для различных этапов развертывания; только те, которые проходят, допущены к производству.

Всегда бремя издержек для банков, связанные с нормативным регулированием расходы в австралийских учреждениях за последние 12 месяцев резко возросли на фоне действия Королевской комиссии и ее разоблачения по поводу ряда дефектных или не отвечающих требованиям нормативных требований, которые в настоящее время исправляются.

Высокая стоимость исправления платформ соответствия усугубляется тем фактом, что зачастую не хватает прямой RoI от усилий по разработке, кроме соблюдения закона, в отличие от других сборок систем, которые приносят прибыль.

Старший владелец продукта ANZ Ракеш Гарала (Rakesh Garala) заявил на прошлой неделе на мероприятии Google Cloud, что банк хотел двигаться быстрее с контейнеризацией и развертыванием кода, хотя и в безопасной и надежной манере.

«Для нас есть возможность посмотреть, сможем ли мы создать индустриальные возможности CI / CD [непрерывная интеграция / непрерывное развертывание] или« асфальтированные дороги », как мы их называем, и посмотреть, смогут ли они по существу… дать инженерам более быстрый и [более] прозрачный способ донести свой код до клиентов и, что самое важное, получить немедленную и прозрачную обратную связь о том, где их код на самом деле не доходит до производства», — сказал Гарала.

Первоначально банк рассматривал двоичную авторизацию как способ убедиться, что код, проходящий через конвейер CI / CD, соответствует определенным стандартам.

Гарала сказал, что в конвейере CI / CD банка присутствует «уровень сложности».

«С левой стороны вы видите код коммита инженера, с правой стороны вы видите инструмент под названием Spinnaker, который внедряет его в производство, и у вас есть разные вещи между ними: у вас есть статическое сканирование кода, управление артефактами» сказал он.

«Есть вещи, которые мы развили дальше от этого. Мы используем сканирование уязвимостей, например Twistlock, мы используем Black Duck для определенных аспектов сканирования кода.

[Но] инструменты не имеют значения. Важны именно эти ключевые возможности, которые вам необходимы для обеспечения того, чтобы что-то, что движется по вашему конвейеру, соответствовало набору операционных стандартов, которые вы ожидаете от своей технологии».

В этом случае двоичная авторизация определяет «асфальтированную дорогу», по которой должен пройти код, прежде чем он может быть утвержден для запуска в производство.

«Цифры представляют ключевые аттестации или ключевые тики, которые мы ожидаем увидеть [на этом пути]», — сказал Гарала.

Гарала отметил, что могут быть отдельные «асфальтированные дороги» для производственных и непроизводственных сред, и даже разные дороги, обеспечиваемые бинарной авторизацией в этих доменах.

Но банк также более широко рассматривает вопрос о том, где инструмент бинарной авторизации может пригодиться вне утверждения кода.

В частности, Гарала упомянул несколько частей банка, где такой вид флажков является обязательным, и, следовательно, где может быть полезно внедрение облачной автоматизации.

«Мы думали о том, сможем ли мы начать использовать это для автоматизированного управления», — сказал он.

«Но можем ли мы пойти на один шаг дальше — как организация, мы можем начать использовать это для управления и, возможно, для снижения аппетита к риску? Есть ли другой способ, которым мы можем думать о нашем внутреннем управлении и некоторых наших процессах? Можем ли мы установить ограждения, которые обеспечиваются бинарной авторизацией?»

В дальнейшем ANZ также рассматривает соответствие нормативным требованиям как еще один потенциальный вариант использования.

«Потенциально в будущем мы сможем переосмыслить и использовать некоторые из этих технологий и некоторые из этих возможностей, чтобы подумать о том, как мы соблюдаем нормативные требования, и продемонстрировать нашу приверженность требованиям регуляторов во всем мире», — сказал Гарала.

«Можем ли мы использовать бинарную авторизацию, чтобы установить себе особые ограждения, которые держат нас в соответствии с нормативными требованиями?»

Google делает успехи

Гарала сказал, что Google и ANZ тесно сотрудничают в расширении двоичной авторизации и других инструментов облачной платформы Google (GCP), хотя сотрудничество было относительно новой особенностью отношений между парой.

«Я буду очень откровенен и честен. Мы начали полтора года назад, и, честно говоря, GCP сильно отставал от ваших конкурентов», — сказал Гарала.

«Это привело к нескольким вещам для нас. Одним из них было то, что мы боролись с технологией, потому что она на самом деле не подходила, а две мы чувствовали себя изолированными.

У нас не было уровня взаимодействия и поддержки, которые, по нашему мнению, мы хотели или требовали».

Гарала сказал, что это начало рассеиваться, когда ANZ поняла, где Google находится с разработкой GCP — и ее открытостью для сотрудничества.

«То, что мы определили довольно быстро, на самом деле было тем, что Google узнал о том, что хотят клиенты, и фактически начал разрабатывать этот продукт и делать правильные вещи — используя мышление продукта, чтобы получить что-то там, и начав итерацию этого продукта», — сказал он.

«Для нас это означает, что мы смогли очень тесно сотрудничать с командами Google по разработке продуктов и разработок.

Двоичная авторизация — это действительно хороший пример. Мы работали напрямую с командой, которая создала этот продукт, чтобы фактически удовлетворить требования наших клиентов к этим продуктам, и начала выпускать этот продукт вместе».

Гарала отметил, что сотрудничество и совместное создание продуктов GCP «продолжается сегодня».

«На самом деле мы работаем с целым рядом других частей [Google], чтобы помочь повлиять и, возможно, внести свой вклад в то, как должны выглядеть продукты», — сказал он.

Недавно банк частично взял на себя ответственность за привлечение в Австралию известного эксперта из Kubernetes и Гуглера Келси Хайтауэр (Kelsey Hightower).

Он провел серию частных семинаров для сотрудников, направленных на совершенствование практики контейнеризации.