Podizanje stabilnog, fleksibilnog i bezbednog okruženja na AWS-u za hosting cloud-native aplikacije 

Ciljevi

Jedan od ključnih ciljeva bio je da se osiguraju stabilnost i dostupnost aplikacije klijenta kroz adekvatan dizajn okruženja na AWS cloud-u i primenu alata za automatizaciju. Obzirom da aplikacija prikuplja osetljive podatke kao što su finansijski i lični podaci, sigurnost hosting okruženja je bila kritičan aspekat projekta.    

Rezultati  

  • Bezbednost: u skladu sa zahtevima klijenta, Mainstream je dizajnirao okruženje usklađeno sa SOC 2 standardom.   
  • Jednostavnost i brži razvoj novih funkcionalnosti uz automatizovano provizonisanje infrastrukture i ekspertski dizajniran CI/CD pipeline.
  • Skalabilnost: omogućeno je automatizovano skaliranje Kubernetes klastera uz korišćenje AWS EKS managed servisa.  

Razvoj okruženja na AWS-u za hosting OoPe aplikacije   

Kompanija Presta je razvila cloud-native aplikaciju za povraćaj troškova iz sopstvenih sredstava (out of pocket expenditur – OoPE) za čiji hosting je bilo potrebno izraditi infrastrukturno okruženje na AWS-u. Kompanija je za ovaj projekat odlučila da angažuje Mainstream sa kojim je već uspešno sarađivala, kao i zbog dokazane ekspertize u domenu AWS cloud-a, implementacije DevOps procesa i alata.  

Pristup i tehnologije  

Sa fokusom na brz development ciklus i veću autonomiju po pitanju podešavanja resursa, Mainstream je u dogovoru sa klijentom iskoristio kombinaciju Terraforma, Kubernetesa i GitHub-a. 

1. Koristeći Terraform, podigli smo development i staging okruženje bez upotrebe Terraform modula – samostalno smo podesili komponente svakog resursa (ECR, EKS, IAM, RDS, REDIS, S3 itd.). Kada je reč o izboru alata, naš tim je preporučio Terraform kako bi automatizovao procese postavljanja, ažuriranja i skaliranja resursa i na taj način omogućio klijentu da smanji mogućnost grešaka i ubrza isporuku IT infrastrukture.  

2. Za svako okruženje podigli smo po jedan Kubernetes klaster u dva različita regiona. Da bismo osigurali bezbednost aplikacije, koja obrađuje osetljive podatke i ne sme imati pristup internetu, konfigurisali smo pristup tako da instancama i serverima mogu pristupiti samo naš tim i razvojni tim klijenta. Ovo je postignuto korišćenjem bastion instance koja služi kao jedina pristupna tačna za dozvoljene korisnike. 

3. Kako bi se automatizovao deployment koda na Kubernetes klaster, kreirali smo GitHub Actions workflow, čime smo osigurali da se sve izmene koda odmah vrše u proizvodnom okruženju i omogućili značajnu prednost: veću brzinu publikovanja izmena koda.

Bezbednost u fokusu  

Obzirom da se poslovanje klijenta bazira u Sjedinjenim Američkim Državama i da aplikacija podleže lokalnim regulativama, među kojima je SOC2 standard za zaštitu podataka, jedan od kritičnih zahteva projekta bilo je uspostavljanje bezbednog okruženja. Uz tesnu saradnju sa klijentom, primenu najrigoriznijih sigurnosnih standarda i temeljne provere svih implementiranih mehanizama, ispunjeni su svi zahtevi. Aplikacija je uspešno prošla reviziju, koja je pored automatizovane bezbednosne provere podrazumevala i ručnu proveru aspekata kao što su AWS i GitHub, kao i reviziju CI/CD dizajna.

Naš angažman u domenu bezbednosti uključivao je:  

  • Proveru CVE ranjivosti na svim ECR images  
  • Elastic Load Balancer enkripciju u tranzitu  
  • Integraciju CloudTrail-a sa CloudWatch logovima 
  • CloudTrail S3 bucket MFA (provera svih pravila u okviru security grupa) 
  • WAF I Internal Firewall reviziju 
  • Reviziju IDS/IPS konfiguracije  
  • Podešavanje AWS Macie alata za detekciju potencijalnih rizika u okviru S3 bucket-a 
  • Podešavanje AWS Inspector alata koji skenira moguće sigurnosne rizike nad kontejnerima.  

Pored navedenih aktivnosti i mera, iskoristili smo Kubernetes Sealed Secrets alat za šifrovanje poverljivih podataka.  

Postignuti rezultati  

Prethodno iskustvo rada sa Prestom rezultiralo je brzim dogovorom i uigranom komunikaciju između naših timova, a time i brzom realizacijom projekta. Ekspertiza Mainstream timova za primenu AWS well-architected framework-a prilikom dizajna infrastrukture, u kombinaciji sa preporukama alata za automatizaciju kao što je Terraform, omogućila je klijentu da ostvari zacrtane ciljeve: stabilno, dostupno i fleksibilno okruženje za svoju aplikaciju.  

“Kada je reč o planiranju, postavljanju i optimizaciji public cloud infrastrukture, Mainstream je naš izbor već skoro 10 godina. Od verfikacije cloud okruženja spremnog za produkciju do osiguranja maksimalnog uptime-a i vrhunskih performansi aplikacije, njihov tim ima ful-cycle ekspertizu koja izvlači maksimum iz svakog public cloud-a.”

Vladeta Radovanović

CEO

Saznajte kako Mainstream može da unapredi Vaše poslovanje.

Kontaktirajte nas na business@mainstream.eu ili popunite našu kontakt formu.

Ostale studije slučaja

Intelisale: Migracija i upravljanje Microsoft Azure pretplatom 

Kompanija Intelisale, developer napredne omnichannel B2B platforme, oslonila se na Mainstream ekspertizu za migraciju i upravljanje Microsoft Azure pretplatom.

Šport Ljubljana: Migracija Office aplikacija, DMS i ERP softvera na Mainstream Managed Environment

Šport Ljubljana je uspešno preselila Office aplikacije, ERP i DMS softver u Managed Environment kompanije Mainstream, pri čemu je stekla stabilnost infrastrukture, sigurnost, skalabilnost i stručnu podršku.

Modernizacija aplikacije i optimizacija IT operacija uz Kubernetes i DevOps procese 

Oslanjajući se na Mainstream podršku, kompanija Fitpass je uspešno transformisala svoju IT infrastrukturu uz stratešku primenu Kubernetesa i CI/CD tehnologije.