Chuyển từ AWS sang Hetzner giúp giảm 90% chi phí, duy trì ISO 27001 bằng Ansible
(medium.com/@accounts_73078)- Công ty quản lý nhân sự Đan Mạch Datapult cho biết họ đã chuyển hạ tầng dựa trên AWS sang đám mây châu Âu, đồng thời duy trì ISO 27001 và cắt giảm mạnh chi phí ở mức khoảng 2.000 USD/tháng
- Bối cảnh của việc chuyển đổi là lo ngại rằng dữ liệu khách hàng châu Âu có thể bị đặt dưới thẩm quyền của chính phủ Mỹ theo CLOUD Act và FISA, cùng gánh nặng hóa đơn 24.000 USD mỗi năm
- Công ty cho biết khi dùng hạ tầng thuộc sở hữu châu Âu như Hetzner và OVHcloud, họ có thể giải thích rõ ràng hơn với khách hàng và kiểm toán viên về nơi dữ liệu được lưu trữ
- Sự tiện lợi của AWS Lambda, RDS, CloudWatch giảm đi, nhưng công ty tự xây dựng tự động hóa và giám sát bằng Ansible, Prometheus, Grafana, Loki
- Datapult liên kết các playbook Ansible với các hạng mục kiểm soát trong ISO 27001 Annex A để dùng làm tài liệu truy vết kiểm toán, và tái đầu tư phần chi tiêu đám mây đã cắt giảm vào hoạt động kinh doanh
Bối cảnh giảm phụ thuộc vào AWS
- Datapult là một công ty quản lý nhân sự của Đan Mạch, đóng vai trò là nguồn sự thật duy nhất cho việc lập lịch nhân viên, điều chỉnh lương bồi thường làm thêm giờ và dữ liệu chấm công
- Dịch vụ này có yêu cầu vận hành nghiêm ngặt hơn một dịch vụ web đơn giản; dữ liệu luôn phải được đối soát, tổng hợp và không được mất
- Hạ tầng hiện tại khởi đầu trên AWS, và phần lớn các yêu cầu pháp lý cũng được thiết kế phù hợp với quy trình làm việc dựa trên AWS
- Vì vậy, việc chuyển đổi không chỉ là thay nhà cung cấp đám mây, mà là công việc đồng thời điều chỉnh lại các yêu cầu pháp lý và cách vận hành
Gánh nặng tuân thủ và chi phí ngày càng lớn trên AWS
- Gánh nặng đầu tiên là khoảng trống tuân thủ
- Công ty nhận định rằng các nhà cung cấp đám mây Mỹ khó có thể hoàn toàn thoát khỏi thẩm quyền của chính phủ Mỹ, bất kể vị trí vật lý của máy chủ
- Họ cho rằng theo CLOUD Act và FISA, dữ liệu khách hàng châu Âu có thể có nguy cơ bị tiếp cận, làm suy yếu các cam kết GDPR
- Gánh nặng thứ hai là chi phí 2.000 USD/tháng
- Họ cho rằng hóa đơn 24.000 USD mỗi năm là quá cao so với nhu cầu thực tế
- Công ty xem xét liệu có thể thay thế RDS bằng một phiên bản Postgres được quản lý và các script tự động hóa hay không
- Họ cho rằng với cùng mức chi phí, có thể có được phần cứng chuyên dụng có khả năng chống chịu tốt trong phạm vi châu Âu
Những tiện ích phải từ bỏ khi rời AWS
- Khi rời AWS, sự tiện lợi của các dịch vụ được quản lý giảm đi
- Các dịch vụ được tích hợp sâu như Lambda
- Triển khai một cú nhấp của RDS
- Hệ sinh thái công cụ tuân thủ tích hợp sẵn giúp kiểm toán ISO 27001 diễn ra trơn tru
- Đổi lại việc từ bỏ sự thoải mái của dịch vụ được quản lý, đội ngũ phải trực tiếp đảm nhận mức kiểm soát và trách nhiệm cao hơn
- Sự thay đổi như vậy có thể là nguyên nhân gây lo ngại và trì hoãn triển khai ở nhiều đội ngũ
Hiệu quả đạt được khi chuyển sang Hetzner và OVHcloud
- Khi chuyển sang các nhà cung cấp châu Âu là Hetzner và OVHcloud, công ty thu được lợi ích về chủ quyền dữ liệu, hiệu quả chi phí và kiểm soát vận hành
- Về chủ quyền dữ liệu, họ cho biết việc lưu trữ trên hạ tầng thuộc sở hữu châu Âu giúp chứng minh rõ ràng nơi dữ liệu được lưu trữ
- Có thể giải thích không mơ hồ dữ liệu khách hàng đang ở đâu
- Công ty đánh giá đây là thay đổi quan trọng trong kiểm toán GDPR và tái chứng nhận ISO 27001
- Về chi phí, chi phí đám mây giảm 90%
- Thay thế các dịch vụ được quản lý đắt đỏ bằng các giải pháp tự host được tự động hóa
- Ngân sách trở nên dễ dự đoán và minh bạch hơn
- Về vận hành, dù mất các công cụ dựng sẵn của AWS, công ty cho rằng năng lực nội bộ đã được tăng cường
- Xây dựng cấu hình infrastructure as code dựa trên Ansible
- Cho biết đã có được các biện pháp kiểm soát bảo mật và khả năng kiểm toán mạnh hơn trước
Hệ thống vận hành xây dựng bằng Ansible và giám sát mã nguồn mở
- Playbook Ansible được sử dụng không chỉ để tự động hóa cấu hình, mà như một engine tuân thủ
- Mỗi dòng cấu hình máy chủ có thể được liên kết trực tiếp với các hạng mục kiểm soát trong ISO 27001 Annex A
- Infrastructure as code trở thành tài liệu truy vết kiểm toán tự lập tài liệu
- Công ty cho rằng có thể xây dựng giám sát cấp doanh nghiệp ngay cả khi không có CloudWatch
- Sử dụng tổ hợp Prometheus, Grafana, Loki
- Sao chép được mức độ quan sát từng có trên AWS, và ở một số khía cạnh còn tốt hơn
- Điều này giúp cải thiện tốc độ ứng phó sự cố
- Vì không có các giải pháp bảo mật dựng sẵn áp dụng bằng cú nhấp chuột, công ty phải tự thiết kế bảo mật từ nền tảng
- Sử dụng cách tiếp cận bảo mật ngay từ thiết kế (security-by-design) được tự động hóa bằng Ansible
- Cho biết ISMS, tức hệ thống quản lý an toàn thông tin, trở nên vững chắc hơn và dễ để lập trình viên tuân theo hơn
Kết quả còn lại cho doanh nghiệp
- Công ty cho biết đã giảm được rủi ro tuân thủ liên quan đến luật giám sát của Mỹ
- Tận dụng hosting tại châu Âu như một công cụ bán hàng để củng cố niềm tin thương hiệu
- Đưa 90% chi tiêu đám mây trở lại hoạt động kinh doanh
Chưa có bình luận nào.