AWS’ten Hetzner’e geçip maliyetleri %90 düşürdü, ISO 27001’i Ansible ile korudu
(medium.com/@accounts_73078)- Danimarkalı iş gücü yönetimi şirketi Datapult, AWS tabanlı altyapısını Avrupa bulutuna taşırken ISO 27001 uyumluluğunu koruduğunu ve aylık yaklaşık $2,000 seviyesindeki maliyetleri büyük ölçüde düşürdüğünü açıkladı
- Geçişin arkasında, CLOUD Act ve FISA kapsamında Avrupalı müşteri verilerinin ABD hükümetinin yargı alanına maruz kalabileceğine dair endişeler ve yıllık $24,000 fatura yükü vardı
- Avrupa mülkiyetindeki altyapıları olan Hetzner ve OVHcloud’u kullanarak, müşteri ve denetçilere verilerin nerede bulunduğunu daha net açıklayabildiklerini söyledi
- AWS Lambda, RDS ve CloudWatch’un sunduğu kolaylık azalsa da Ansible, Prometheus, Grafana, Loki ile otomasyon ve izlemeyi kendileri kurdu
- Ansible playbook’larını ISO 27001 Annex A kontrol maddeleriyle ilişkilendirerek denetim izi materyali olarak kullandılar ve azalan bulut harcamalarını yeniden işe yatırdılar
AWS bağımlılığını azaltma nedenleri
- Datapult, Danimarka merkezli bir iş gücü yönetimi şirketi ve çalışan planlaması, fazla mesai karşılığı ücret ayarlamaları ile devam-devamsızlık verileri için tek doğru kaynak işlevi görüyor
- Bu hizmet, sıradan bir web servisinden daha sıkı operasyonel gereksinimlere sahip; verilerin her zaman mutabık, birleştirilmiş ve kayıpsız olması gerektiği varsayılıyor
- Mevcut altyapı AWS üzerinde başlamıştı ve hukuki gereksinimlerin önemli bir bölümü de AWS tabanlı iş akışlarına göre tasarlanmıştı
- Bu nedenle geçiş, sadece bulut sağlayıcısını değiştirmek değil; hukuki gereksinimleri ve operasyon modelini birlikte yeniden uyarlamak anlamına geliyordu
AWS’de büyüyen uyumluluk ve maliyet yükü
- İlk yük, uyumluluk açığıydı
- ABD’li bulut sağlayıcılarının, sunucuların fiziksel konumundan bağımsız olarak ABD hükümetinin yargı alanından tamamen çıkmasının zor olduğu değerlendirildi
- CLOUD Act ve FISA kapsamında Avrupalı müşteri verilerinin potansiyel olarak açığa çıkabilmesi, GDPR taahhütlerini zayıflatan bir unsur olarak görüldü
- İkinci yük ise aylık $2,000 maliyetti
- Yıllık $24,000 tutarındaki faturanın gerçek ihtiyaçlara kıyasla fazla olduğu düşünüldü
- RDS’nin, yönetilen bir Postgres instance’ı ve otomasyon script’leriyle değiştirilip değiştirilemeyeceği incelendi
- Aynı bütçeyle Avrupa içinde dayanıklı dedicated hardware sağlanabileceği değerlendirildi
AWS’den ayrılırken vazgeçilen kolaylıklar
- AWS’den ayrılınca yönetilen servislerin sunduğu kullanım kolaylığı azaldı
- Lambda gibi derin entegrasyona sahip servisler
- RDS’nin tek tıkla dağıtımı
- ISO 27001 denetimlerini daha sorunsuz hâle getiren yerleşik uyumluluk araçları ekosistemi
- Yönetilen servislerin konforundan vazgeçmenin karşılığında, daha yüksek düzeyde kontrol ve sorumluluk doğrudan üstlenilmek zorunda kaldı
- Bu değişim, birçok ekipte korku ve uygulama gecikmesinin nedeni olabilir
Hetzner ve OVHcloud geçişinin sağladıkları
- Avrupa sağlayıcıları Hetzner ve OVHcloud’a geçilerek veri egemenliği, maliyet verimliliği ve operasyonel kontrol açısından kazanımlar elde edildi
- Veri egemenliği açısından, Avrupa mülkiyetindeki altyapıda barındırma sayesinde veri konumu açık biçimde kanıtlanabildi
- Müşteri verilerinin nerede olduğu belirsizlik olmadan açıklanabildi
- Bunun GDPR denetimleri ve ISO 27001 yeniden sertifikasyonu açısından önemli bir değişim olduğu belirtildi
- Maliyet tarafında bulut giderleri %90 azaldı
- Pahalı yönetilen servisler, otomasyonlu self-hosted çözümlerle değiştirildi
- Bütçenin daha öngörülebilir ve şeffaf hâle geldiği ifade edildi
- Operasyon tarafında, AWS’nin önceden hazırlanmış araçları kaybedilmiş olsa da iç yetkinliğin güçlendiği düşünüldü
- Ansible tabanlı bir infrastructure as code yapısı kuruldu
- Öncesine kıyasla daha güçlü güvenlik kontrolleri ve denetlenebilirlik sağlandığı belirtildi
Ansible ve açık kaynak izleme ile kurulan operasyon modeli
- Ansible playbook’ları, basit yapılandırma otomasyonunun ötesinde bir uyumluluk motoru olarak kullanıldı
- Sunucu yapılandırmasındaki her satır, ISO 27001 Annex A kontrol maddeleriyle doğrudan ilişkilendirilebiliyor
- Böylece infrastructure as code, kendi kendini belgelendiren bir denetim izi kaynağına dönüştü
- CloudWatch olmadan da enterprise seviyesinde izleme kurulabileceği değerlendirildi
- Prometheus, Grafana, Loki kombinasyonu kullanıldı
- AWS’de sahip olunan görünürlük yeniden üretildi ve bazı açılardan daha da ileri gidildiği söylendi
- Bunun olay müdahale hızını artırmaya yardımcı olduğu belirtildi
- Tıklamayla uygulanabilen hazır güvenlik çözümleri olmadığı için güvenliğin temelden tasarlanması gerekti
- Ansible ile otomatikleştirilmiş security-by-design yaklaşımı kullanıldı
- Bunun ISMS, yani bilgi güvenliği yönetim sistemini daha sağlam ve geliştiricilerin uymasını daha kolay hâle getirdiği ifade edildi
İş tarafında kalan sonuçlar
- ABD gözetim yasalarıyla ilişkili uyumluluk riskini azalttıklarını söylediler
- Avrupa barındırmayı bir satış aracı olarak kullanarak marka güvenini güçlendirdiler
- Bulut harcamalarındaki %90’lık düşüşü yeniden işlerine aktardılar
Henüz yorum yok.