Страховая компания IAG разработала и открыла два фреймворка с открытым исходным кодом, которые предназначены для повышения безопасности и соответствия внутренним политикам, когда ее команды работают с AWS.
Специалист по автоматизации Шрути Кембхави рассказал AWS Dev Day Australia, что фреймворки помогли страховщику — который сильно регулируется — иметь возможность запускать рабочие нагрузки в публичном облаке.
Один из фреймворков, Watchmen, гарантирует, что различные команды, использующие отдельные учетные записи и ресурсы AWS, будут соответствовать политике IAG.
Второй фреймворк, Bakery, представляет собой “централизованное решение AWS identity and access management, позволяющее избежать дублирования учетных записей пользователей/политик в нескольких учетных записях AWS.”
Кембхави увидел несколько преимуществ в том, чтобы сделать фреймворки доступными через Github.
“Я думаю, что это отличный способ привлечь таланты, улучшить качество кода и вернуть его сообществу”, — сказала она.
Когда компания брала интервью у потенциальных новых сотрудников, интервьюер мог просто поместить кандидата в хранилище, чтобы просмотреть примеры кода, разработанного компанией, и получить представление о культуре разработки (а также об архитектурных навыках существующей команды).
Знание того, что код станет общественным достоянием, также послужило важной мотивацией для его создателей.
“Самый важный стимул для нас как разработчиков-это то, что весь мир увидит наш код, и это автоматически даст нам мотивацию написать лучший из возможных кодов”, — сказал Кембхави.
“Кроме того, мы хотим создать сообщество, чтобы они могли внести свой вклад и создать лучшее программное обеспечение.
“Я твердо отношусь к программному обеспечению с открытым исходным кодом и думаю, что программное обеспечение с открытым исходным кодом ближе всего подходит к тому, что на самом деле хотят клиенты, потому что клиенты могут сделать то, что они хотят, а не поставщики, думающие, что это то, что могут хотеть клиенты, и строящие это.”
Еще в мае глава IAG по кибербезопасности и управлению Иэн Кэмерон рассказал на конференции IBM, как страховщик переносит рабочие нагрузки из локальной инфраструктуры в облако.
Кэмерон сказал в то время, что ключевым направлением для команды безопасности было включение безопасности в процесс, с помощью которого код разрабатывается и готовится к запуску в облаке.
Он отметил интеграцию безопасности в DevOps и цепочку инструментов непрерывной доставки, а также цель превратить разработчиков в чемпионов по безопасности.
Кембхави указал, что прогресс на этом фронте уже достигнут и что происходят культурные изменения.
“Мы находимся в регулируемой отрасли, поэтому нам приходится постоянно думать о безопасности”, — сказала она.
“В IAG безопасность для нас-это нулевая работа, и это ответственность каждого. Это скорее менталитет, который мы прививаем разработчикам. Это не функция группы безопасности, как команда кибербезопасности — это ответственность каждого.”
По ее словам, разработчики должны были начать создавать приложения, которые были бы безопасны по дизайну.
Однако они будут поддержаны в этой эволюции принятием IAG SecDevOps и усилением интеграции безопасности — и, в частности, автоматизированной безопасности — в конвейеры непрерывной интеграции/непрерывной доставки компании (CI/CD).
“Мы даем им некоторые рекомендации и ограждения, поэтому мы используем множество сервисов AWS и фактически создаем некоторые автоматизированные фреймворки поверх этого, чтобы помочь разработчикам начать работу и начать разумно использовать ресурсы”, — сказал Кембхави.
“Мы можем предоставить им ролевой доступ, и у нас фактически есть принцип наименьших привилегий, поэтому разработчики будут иметь только определенный вид привилегированного [доступа к системам].
“В более высоких средах, таких как производство, мы [разрешаем] развертывание только через наши инструменты CI, а не через пользователей.
“Есть также контроль над шифрованием в состоянии покоя и так далее, но мы стараемся использовать автоматизацию, чтобы она снимала бремя ручных проверок [разработчиками].”
