Изграждане на стабилна, гъвкава и сигурна среда в AWS за хостинг на cloud-native приложение

Цели

Една от ключовите цели беше да се осигури стабилност и достъпност на приложението чрез адекватен дизайн на средата в облака AWS и прилагане на инструмент за автоматизация. Тъй като приложението събира чувствителна информация, като финансови, медицински и лични данни, сигурността на хостинг средата представляваше критичен аспект на проекта.    

Резултати

  • Сигурност: Клиентът пожела Mainstream да проектира среда, която да съответства на стандарт SOC 2.
  • Лесно и по-бързо разработване на нови функционалности чрез автоматизирано провизиониране на инфраструктурата и експертно проектиран CI/CD pipeline.
  • Възможност за скалиране: позволява автоматизирано скалиране на клъстера Kubernetes чрез използване на AWS EKS управлявани усуги.

Разработване на среда в AWS за хостинг на OoPe приложение

Компания Presta притежава разработено cloud-native приложение за възстановяване на разходи от собствените средства (out of pocket expenses – OoPE), за чийто хостинг трябваше да се изгради инфраструктурна среда в AWS. За този проект компанията реши да ангажира Mainstream, както заради успешното сътрудничество до момента, така и заради доказаните експертни знания и умения в областта на AWS cloud и внедряването на DevOps процеси и инструменти.

Подход и технологии

С фокус върху бързия цикъл на разработка и по-голямата автономия за настройване на ресурсите използвахме комбинация от Terraform, Kubernetes и GitHub, която беше предварително съгласувана с клиента.

  • С Terraform изградихме среда за разработване и стейджинг среда без използване на Terraform модули – самостоятелно настроихме компонентите на всеки ресурс (ECR, EKS, IAM, RDS, REDIS, S3 и т.н.). При избора на инструмент препоръчахме Terraform – за автоматизиране на процесите по изграждане, актуализиране и скалиране на ресурсите, което осигури намаляване на възможността за грешки и бърза доставка на ИТ инфраструктурата.
  • За всяка среда изградихме по един Kubernetes клъстер в два различни региона. За да гарантираме сигурността на приложението, което обработва чувствителни данни и не трябва да има интернет достъп, създадохме такава конфигурация, че само екипът ни и разработчиците на клиента да имат достъп до инстанциите и сървърите. За целта използвахме bastion инстанция, която служи като единствена точка за достъп за разрешените потребители.
  • За да автоматизираме деплоймънт кода на клъстера Kubernetes, създадохме GitHub Actions workflow, което позволи незабавно извършване на измененията на кода в производствена среда и осигури значително предимство: по-висока скорост на публикуване на промените на кода.

Основен фокус:

Тъй като дейността на клиента е базирана в САЩ и приложението подлежи на валидните там наредби, сред които е стандартът за защита на данни SOC2, едно от критичните изисквания на проекта беше да се установи сигурна среда. Всички условия бяха изпълнени чрез тясно сътрудничество с клиента, прилагане на най-строгите стандарти за сигурност и основни проверки на внедрените механизми. Приложението успешно издържа проверката, която освен автоматизирана проверка на сигурността включваше и ръчна проверка на аспекти, като AWS и GitHub, както и проверка на CI/CD дизайна.

Ангажиментите ни в областта на сигурността включваха: 

  • проверка на CVE уязвимостта при всички ECR images
  • Elastic Load Balancer криптиране при преноса
  • интеграция на CloudTrail с CloudWatch logs
  • CloudTrail S3 bucket MFA (проверка на всички правила в рамките на групите за сигурност)
  • WAF I Internal Firewall проверка
  • проверка на конфигурацията IDS/IPS
  • настройване на инструмента AWS Macie за откриване на потенциални рискове в рамките на S3 bucket
  • настройване на инструмента AWS Inspector, който сканира възможните рискове за сигурността при контейнерите.

Освен посочените дейности и мерки използвахме инструмента Kubernetes Sealed Secrets закриптиране на поверителната информация. 

Постигнати резултати

Предишната съвместна работата с Presta осигури бързото договаряне и комуникиране между нашите екипи, което доведе до по-бързата реализация на проекта. Експертните знания на Mainstream за прилагането на AWS well-architected framework при дизайна на инфраструктурата в комбинация с препоръчания инструмент за автоматизация – Terraform, осигури постигането на планираните клиентски цели: стабилна, достъпна и гъвкава среда за приложението. 

„Когато става въпрос за планиране, внедряване и оптимизиране на публична облачна инфраструктура, Mainstream е нашият избор от почти 10 години. От проверка на облачна среда, готова за производство, до осигуряване на максимално време на работа и върхова производителност на приложенията, техният екип разполага с експертния опит в пълния цикъл, за да извлече максимума от всеки публичен облак.“

Владета Радованович

CEO

Открийте как Mainstream може да подобри вашия бизнес.

Свържете се с нас на business.bg@mainstream.bg или попълнете нашата контактна форма.

Други казуси

Intelisale: Миграция и управление на абонамент за Microsoft Azure

Дейности по проекта   Редица приложения, повечето от които са написани с n.NET и nodejes, бяха внедрени в Azure с помощта

Šport Ljubljana: Миграция на приложения Office, DMS и ERP софтуер към управлявана среда на Mainstream

Шпорт Любляна успешно прехвърли приложенията Office, ERP и DMS софтуера в Managed Environment на компанията Mainstream, като придоби стабилност на инфраструктурата, сигурност, разширяемост и професионална поддръжка.

Модернизация на приложението и оптимизация на ИТ операциите чрез използване на Kubernetes и DevOps процеси 

Разчитайки на основна поддръжка, Fitpass успешно трансформира своята ИТ инфраструктура със стратегическото приложение на Kubernetes и CI/CD технологията.