Изграждане на стабилна, гъвкава и сигурна среда в AWS за хостинг на cloud-native приложение

Цели

Една от ключовите цели беше да се осигури стабилност и достъпност на приложението чрез адекватен дизайн на средата в облака AWS и прилагане на инструмент за автоматизация. Тъй като приложението събира чувствителна информация, като финансови, медицински и лични данни, сигурността на хостинг средата представляваше критичен аспект на проекта.    

Резултати

• Сигурност: Клиентът пожела Mainstream да проектира среда, която да съответства на стандарт SOC 2.
• Лесно и по-бързо разработване на нови функционалности чрез автоматизирано провизиониране на инфраструктурата и експертно проектиран CI/CD pipeline.
• Възможност за скалиране: позволява автоматизирано скалиране на клъстера Kubernetes чрез използване на AWS EKS управлявани усуги.

Разработване на среда в AWS за хостинг на OoPe приложение

Компания Presta притежава разработено cloud-native приложение за възстановяване на разходи от собствените средства (out of pocket expenses – OoPE), за чийто хостинг трябваше да се изгради инфраструктурна среда в AWS. За този проект компанията реши да ангажира Mainstream, както заради успешното сътрудничество до момента, така и заради доказаните експертни знания и умения в областта на AWS cloud и внедряването на DevOps процеси и инструменти.

Подход и технологии

С фокус върху бързия цикъл на разработка и по-голямата автономия за настройване на ресурсите използвахме комбинация от Terraform, Kubernetes и GitHub, която беше предварително съгласувана с клиента.

• С Terraform изградихме среда за разработване и стейджинг среда без използване на Terraform модули – самостоятелно настроихме компонентите на всеки ресурс (ECR, EKS, IAM, RDS, REDIS, S3 и т.н.). При избора на инструмент препоръчахме Terraform – за автоматизиране на процесите по изграждане, актуализиране и скалиране на ресурсите, което осигури намаляване на възможността за грешки и бърза доставка на ИТ инфраструктурата.
• За всяка среда изградихме по един Kubernetes клъстер в два различни региона. За да гарантираме сигурността на приложението, което обработва чувствителни данни и не трябва да има интернет достъп, създадохме такава конфигурация, че само екипът ни и разработчиците на клиента да имат достъп до инстанциите и сървърите. За целта използвахме bastion инстанция, която служи като единствена точка за достъп за разрешените потребители.
• За да автоматизираме деплоймънт кода на клъстера Kubernetes, създадохме GitHub Actions workflow, което позволи незабавно извършване на измененията на кода в производствена среда и осигури значително предимство: по-висока скорост на публикуване на промените на кода.

Основен фокус:

Тъй като дейността на клиента е базирана в САЩ и приложението подлежи на валидните там наредби, сред които е стандартът за защита на данни SOC2, едно от критичните изисквания на проекта беше да се установи сигурна среда. Всички условия бяха изпълнени чрез тясно сътрудничество с клиента, прилагане на най-строгите стандарти за сигурност и основни проверки на внедрените механизми. Приложението успешно издържа проверката, която освен автоматизирана проверка на сигурността включваше и ръчна проверка на аспекти, като AWS и GitHub, както и проверка на CI/CD дизайна.

Ангажиментите ни в областта на сигурността включваха: 

• проверка на CVE уязвимостта при всички ECR images
• Elastic Load Balancer криптиране при преноса
• интеграция на CloudTrail с CloudWatch logs
• CloudTrail S3 bucket MFA (проверка на всички правила в рамките на групите за сигурност)
• WAF I Internal Firewall проверка
• проверка на конфигурацията IDS/IPS
• настройване на инструмента AWS Macie за откриване на потенциални рискове в рамките на S3 bucket
• настройване на инструмента AWS Inspector, който сканира възможните рискове за сигурността при контейнерите.

Освен посочените дейности и мерки използвахме инструмента Kubernetes Sealed Secrets закриптиране на поверителната информация. 

Постигнати резултати

Предишната съвместна работата с Presta осигури бързото договаряне и комуникиране между нашите екипи, което доведе до по-бързата реализация на проекта. Експертните знания на Mainstream за прилагането на AWS well-architected framework при дизайна на инфраструктурата в комбинация с препоръчания инструмент за автоматизация – Terraform, осигури постигането на планираните клиентски цели: стабилна, достъпна и гъвкава среда за приложението.