Hơn cả một phương pháp, DevSecOps chính là “triết lý bảo mật” tại Techcombank

2598

Là một thành viên mới tại Techcombank, anh Bùi Nguyễn Tuấn Minh hiện đang là Giám đốc DevSecOps, đây cũng là công việc đầu tiên của anh sau những năm tháng làm việc tại Singapore. Anh cũng là một trong những người góp phần mang lại những góc nhìn mới trong các phương pháp phát triển phần mềm của Techcombank.

Được biết, Techcombank là một trong những đơn vị tiên phong ứng dụng phương pháp DevSecOps trong việc phát triển sản phẩm. Đây cũng được xem là một trong những định hướng giúp các ngân hàng số hóa và phát triển mạnh mẽ trong tương lai. Sau đây là những chia sẻ của anh Bùi Nguyễn Tuấn Minh về công việc DevSecOps tại Techcombank.

Anh có thể chia sẻ một chút về môi trường làm việc tại Techcombank?

Khi chuyển công tác từ Singapore về Việt Nam, mình nhận thấy môi trường và cách thức làm việc không khác mấy, mọi thứ thậm chí còn phát triển nhanh hơn, không khí làm việc dân chủ, có định hướng rõ ràng. Techcombank luôn tạo điều kiện tốt nhất để nhân viên thực thi những công nghệ mới mà nhận định tốt cho tổ chức. Ban lãnh đạo cũng là những nhân sự cấp cao từ các nước phát triển như Mỹ, UK,… nên rất có tầm nhìn và tâm thế cởi mở, tạo môi trường làm việc lành mạnh nên anh không thấy có gặp khó khăn gì. Ngược lại, anh còn thấy có nhiều thuận lợi để phát triển hơn trong công việc khi làm việc trong môi trường Techcombank. 

Trong ngành tài chính ngân hàng đặc thù có sự kiểm soát kỹ lưỡng từ các cơ quan, và ngân hàng nhà nước. Điều này vừa mang lại khó khăn cũng vừa mang lại thuận lợi cho việc ứng dụng DevSecOps trong phát triển phần mềm.

Cái tên DevSecOps thật ra là để đề cao cái chủ trương phát triển sản phẩm của ngân hàng, đặc biệt là các tổ chức tài chính trong việc bảo mật thông tin, đây là một tiêu chí cực kỳ quan trọng trong tư duy phát triển sản phẩm. Có thể nói DevSecOps chính là định hướng của các cấp lãnh đạo cao nhất Techcombank, luôn đặt vấn đề bảo mật thông tin của khách hàng lên hàng đầu, từ đó đảm bảo sự an toàn cho tài sản của khách hàng một cách tuyệt đối. Có lẽ là đây là một trong những yếu tố cạnh tranh giữa các ngân hàng trong bối cảnh vài năm gần đây.

Anh có thể chia sẻ về cách mà DevSecOps phản ánh lên mọi ngóc ngách như thế nào?

Mô hình Techcombank đang vận hành giai đoạn chuyển đổi số (Digital transformation), ở giai đoạn này này sẽ có ít nhiều sự khác biệt so với những gì mà chúng ta từng biết về các mô hình DevSecOps bên ngoài.

Mô hình chia thành 03 nhóm:

  • Core Team (Platform Team): Xây dựng nền thô Platform, Standard Framework, tất cả những thứ liên quan đến DevSecOps, không chỉ là mỗi CI/CD. 
  • DevSecOps Support: Vận hành/ áp dụng các Framework vào dự án, giúp dự án xây dựng mô hình CI/CD và áp dụng vào trong mỗi Line Project hay mỗi Line Development.
  • Vận hành nền tảng infrastructure từ platform (UX) đến application: Team này là team Non-production. Làm nhiệm vụ dựng IaC code cho môi trường non-production và sau đó vận hành và chạy môi trường đó một cách tự động.

Hơn thế nữa, tính bảo mật (Security) và đặc biệt là bảo mật thông tin (Information Security) là kim chỉ nam cực kỳ quan trọng. Một số hoạt động được thực hiện bởi DevSecOps trong Techcombank:

  • Tự động hóa việc liên tục tích hợp và triển khai phần mềm (CI/CD), từ đó đảm bảo các phiên bản phần mềm trong suốt quá trình phát triển được kiểm tra và đối chiếu liên tục giúp đảm bảo tính ổn định và đáng tin cậy cũng như các tính năng được cập nhật và xử lý đầy đủ, giảm thiểu thời gian triển khai và đảm bảo tính linh hoạt trong quá trình phát triển phần mềm.
  • Tự động hóa quy trình kiểm tra bảo mật để đảm bảo tính năng an toàn của ứng dụng từ những bước đầu phát triển và xuyên suốt trong quá trình phát triển phần mềm nhằm bảo vệ tốt thông tin và tài sản của khách hàng, giúp tăng cường niềm tin và độ tin cậy đối với ngân hàng.
  • Tự động hóa việc kiểm soát chất lượng phần mềm, đảm bảo rằng chỉ những ứng dụng an toàn và đảm bảo tuân thủ các tiêu chuẩn chất lượng do Techcombank đề ra mới được triển khai và đưa vào hoạt động.
  • Tự động hóa việc kiểm thử liên tục: Truyền tải kiến thức về DevSecOps cho đội ngũ phát triển và vận hành để họ có thể tự cập nhật và đưa ra các giải pháp tự động hóa và bảo mật trong chính những công việc hàng ngày.
  • Tự động hóa tất cả các tác vụ IT Operation

Theo anh, đâu là những thử thách khi triển khai DevSecOps?

Khi triển khai mô hình DevSecOps, điều khó khăn nhất chính là việc bạn sẽ tốn nhiều công sức hơn trong quá trình ra quyết định phát triển sản phẩm, quy trình sẽ ngặt nghèo và cần nhiều thời gian để thông qua hơn. Những mô hình như thế này chưa có khuôn khổ (framework) chuẩn nên phải liên tục đào tạo nghiệp vụ và kiến thức của nhân viên, đó cũng là một thử thách. Tuy nhiên, cũng có những thuận lợi nhất định, DevSecOps sẽ đảm bảo hoạt động IT của ngân hàng chắc chắn hơn, chặt chẽ hơn với người dùng, đảm bảo xác suất thấp về rủi ro có thể ảnh hưởng tới khách hàng. Tức là nếu bạn bám sát quy trình, thì có thể chỉ cần làm 1 lần là đã chuẩn hóa toàn bộ. 

Vậy đâu là cơ hội mà Techcombank đang thấy được khi ứng dụng DevSecOps?

Việc phát triển DevSecOps tại Techcombank luôn tập trung vào 03 yếu tố: Fast – Secure – Performance. Như chúng ta thường biết, ba yếu tố này ít khi nào tăng cùng lúc, một “ông” tiến thì đồng thời “ông” kia lùi. Tuy nhiên, DevSecOps là cách có thể khiến 03 yếu tố này cùng tiến lên song hành cho sự phát triển và yêu cầu khắt khe của Techcombank.

Techcombank hiện đang là đơn vị tiên phong trong việc triển khai DevSecOps trong các định chế tài chính cùng quy mô ở khu vực châu Á Thái Bình Dương. Với những khó khăn thử thách sẽ còn nhiều phía trước, nhưng anh nghĩ khi mọi thứ đạt được đúng mục tiêu đề ra thì thành quả sẽ rất xứng đáng.If you can make it here, you can make it anywhere. Cũng chính vì độ khó của nó, anh tin rằng khi các bạn Engineer nếu làm tốt sản phẩm ở Techcombank rồi thì chắc chắn làm ở đâu cũng vẫn sẽ làm được. 

Ban lãnh đạo Techcombank có chủ trương DevSecOps luôn là mũi nhọn, là cơ hội, là điểm cạnh tranh của Techcombank trong việc đưa ra sản phẩm số nhanh, chất lượng tốt và đảm bảo bảo mật. Đó cũng là cách Techcombank vượt qua giai đoạn chuyển đổi số, không tiếc chi phí cho sự phát triển các mũi nhọn then chốt của ngân hàng

Hành trang tôi luyện một DevSecOps Engineer: biến thử thách thành kim cương, những điều gì chờ đợi một Engineer khi làm việc tại Techcombank?

Môi trường làm việc thì sẽ làm mọi người bất ngờ, vì yêu cầu tính chuyên môn cao, chuyên nghiệp nhưng rất tạo điều kiện, cởi mở và bình đẳng. Có những trường hợp các bạn nhân viên 2K chưa có bằng tốt nghiệp vẫn trao đổi ý kiến với cấp trên, tôn trọng ý kiến và ý tưởng của nhân viên, rất dân chủ, làm điều gì cũng được giải thích lý do làm việc đó. Nhân viên làm ở đây không phải chỉ vì lương cuối tháng mà nhân viên DevSecOps đang làm cuộc cách mạng, có đóng góp trong quá trình making a change của Techcombank.

Mặc dù quy định về thời gian làm việc tại Techcombank khá quy cũ, nhưng Techcombank lại không có sử dụng thời gian làm thước đo năng lực của các bạn mà quan trọng là khả năng đảm bảo tiến độ và chất lượng công việc. Ban lãnh đạo luôn khuyến khích các bạn tìm thấy đam mê trong công việc tại môi trường Techcombank. Vị thế của Techcombank hiện nay là nhờ tính kỷ luật của một tập thể. 

Xin cảm ơn anh về những trao đổi rất bổ ích cho cộng đồng IT nói riêng, cũng như những ai đang quan tâm đến lĩnh vực banking nói chung.

Hiện tại, tôi đang làm việc cho team DevSecOps Platform tại Techcombank. Để giới thiệu qua về chức năng nhiệm vụ của bộ phận, thì DevSecOps Platform là một nền tảng tích hợp bảo mật vào mọi khía cạnh của quá trình phát triển phần mềm. Điều này bao gồm mọi thứ từ việc phát triển code, kiểm thử, triển khai, giám sát và bảo trì liên tục. Nền tảng được thiết kế để đảm bảo rằng bảo mật không phải là điều được tính đến sau cùng, mà là một phần không thể thiếu của quá trình phát triển từ đầu đến cuối.

Để đạt được điều này, DevSecOps platform sử dụng một loạt các công cụ, quy trình và công nghệ để tự động hóa và tối ưu hóa quá trình phát triển, đồng thời cũng đảm bảo bảo mật. Điều này được thể hiện qua những CI/CD pipeline bằng những công cụ giúp kiểm thử, phân tích mã nguồn, lưu trữ, tích hợp và triển khai tự động, liên tục.

Công việc chính của tôi hằng ngày:

  • Phát triển và duy trì DevSecOps Platform trên nền tảng điện toán đám mây Amazon Web Services. 
  • Các công cụ và hệ thống được chúng tôi triển khai cho DevSecOps gồm có: Gitlab, Jenkins, Nexus, SonarQube, Vault, EKS… Để giúp cho hệ thống triển khai nhanh chóng và đảm bảo tính co dãn, phục hồi, chúng tôi phát triển các building block cho hệ thống bằng Terraform, Terragrunt và TFE.
  • Tạo các module quản lý cấu hình với Puppet, Ansible và liên tục nghiên cứu các công nghệ mới để nâng cao tính năng và bảo mật của nền tảng.

Bên cạnh việc phát triển, chúng tôi cũng thực hiện đưa ra những tiêu chuẩn chung trong quy trình phát triển phần mềm, ví dụ như là xây dựng tiêu chuẩn Gitflow, xây dựng các thư viện dùng chung cho các pipeline CI/CD cũng như tự động hóa các công việc hàng ngày của các team khác bằng việc sử dụng code.

 


Thuộc dự án "InsideGem Technology" do Techcombank x TopDev triển khai, chuỗi nội dung thuần Tech "độc quyền" được chia sẻ bởi đội ngũ Tech Leader đến từ Silicon Valley tại Techcombank sẽ được cập nhật liên tục tại chuyên mục Tech Blog Techcombank x TopDev. Cùng theo dõi & gặp gỡ các chuyên gia bạn nhé!

 

Các cơ hội việc làm tại Techcombank

Bài viết liên quan

Infrastructure as code (IaC)

Bài viết đến từ anh Bùi Nguyễn Huy Hoàng - Quản lý DevSecOps DevSecOp team @Techcombank I. Tại sao lại sử dụng Infrastructure as Code? Những công việc như ảo hóa, điện toán đám mây (Cloud), container, tự động hóa (CI/CD) giúp đơn giản hóa công việc vận hành hành công nghệ thông tin (IT Operations). Việc triển khai, cấu hình, cập nhật và vận hành dịch vụ sẽ tiêu tốn ít thời gian và công sức hơn. Vấn đề sẽ được phát hiện và giải quyết nhanh chóng, các hệ thống luôn được cấu hình và cập nhật một cách đồng nhất. Những kỹ sư IT sẽ tiết kiệm được thời gian trong công việc vận hành hàng ngày, để có thể nhanh chóng thay đổi, học hỏi và cải tiến bản thân đáp ứng nhu cầu thay đổi liên tục của thế giới công nghệ. Tuy nhiên, ngay cả với những công cụ và nền tảng mới nhất, các [...]

DevSecOps Philosophy (Triết lý DevSecOps)

Bài viết đến từ Ngô Doãn Thông - DevSecOps Engineer    DevSecOps team @Techcombank Giới thiệu Trong 20 năm qua, DevOps đã cùng với Agile, thay thế cho mô hình phát triển Waterfall. Microservices được coi là công nghệ tiên tiến nhất để triển khai kiến trúc dịch vụ. Thời gian phát triển sản phẩm đã được giảm đi, triển khai tự động được thực hiện hàng tuần hoặc hàng ngày và cloud thì cung cấp khả năng tính toán, cơ sở hạ tầng, lưu trữ và mạng rất mạnh mẽ. Triết lý DevOps thường được tóm tắt bằng khẩu hiệu "move fast and break things", điều này có nghĩa là triển khai mọi thứ nhanh hơn, mạnh dạn hơn và sẵn sàng, phá bỏ các cấu trúc silo, rào cản, chấp nhận rủi ro và khắc phục nhanh từ những rủi ro đó. Tuy nhiên, có một yếu tố quan trọng chưa được đề cập tới. Các tổ chức áp dụng DevOps vẫn cần đáp ứng tiêu chuẩn an [...]