• Datapult บริษัทบริหารจัดการกำลังคนจากเดนมาร์กระบุว่า ได้ย้ายอินฟราสตรักเจอร์จาก AWS ไปยังคลาวด์ในยุโรป พร้อมคงมาตรฐาน ISO 27001 ไว้ และลดค่าใช้จ่ายระดับราว $2,000 ต่อเดือนได้อย่างมาก
  • เบื้องหลังการย้ายครั้งนี้คือความกังวลว่า ภายใต้ CLOUD Act และ FISA ข้อมูลลูกค้าในยุโรปอาจตกอยู่ภายใต้อำนาจศาลของรัฐบาลสหรัฐฯ รวมถึงภาระค่าใช้จ่ายรายปี $24,000
  • การใช้อินฟราสตรักเจอร์ที่ เป็นเจ้าของโดยยุโรป อย่าง Hetzner และ OVHcloud ทำให้สามารถอธิบายที่ตั้งของข้อมูลให้ลูกค้าและผู้ตรวจสอบได้ชัดเจนยิ่งขึ้น
  • แม้ความสะดวกของ AWS Lambda, RDS และ CloudWatch จะลดลง แต่ได้สร้างระบบอัตโนมัติและการมอนิเตอร์ขึ้นเองด้วย Ansible, Prometheus, Grafana, Loki
  • Datapult เชื่อมโยง Ansible playbook เข้ากับรายการควบคุมใน ISO 27001 Annex A เพื่อใช้เป็น หลักฐาน audit trail และนำค่าใช้จ่ายคลาวด์ที่ลดลงกลับไปลงทุนในธุรกิจ

เบื้องหลังการลดการพึ่งพา AWS

  • Datapult เป็น บริษัทบริหารจัดการกำลังคน จากเดนมาร์ก ทำหน้าที่ด้านการจัดตารางพนักงาน การปรับเงินเดือนชดเชยโอที และเป็นแหล่งข้อมูลจริงหนึ่งเดียวสำหรับข้อมูลเวลาเข้างาน
  • บริการนี้มีข้อกำหนดด้านการปฏิบัติการที่เข้มงวดกว่าบริการเว็บทั่วไป โดยมีสมมติฐานว่าข้อมูลต้องถูกคำนวณ ชำระ และรวมยอดอยู่เสมอ และต้องไม่สูญหาย
  • อินฟราสตรักเจอร์เดิมเริ่มต้นบน AWS และข้อกำหนดทางกฎหมายจำนวนมากก็ถูกออกแบบให้สอดคล้องกับ เวิร์กโฟลว์บน AWS
  • ดังนั้นการย้ายครั้งนี้จึงไม่ใช่แค่การเปลี่ยนผู้ให้บริการคลาวด์ แต่เป็นการปรับข้อกำหนดทางกฎหมายและวิธีปฏิบัติการใหม่ไปพร้อมกัน

ภาระด้านคอมพลายแอนซ์และต้นทุนที่เพิ่มขึ้นบน AWS

  • ภาระแรกคือ ช่องว่างด้านคอมพลายแอนซ์
    • บริษัทประเมินว่า ผู้ให้บริการคลาวด์สัญชาติอเมริกันยากจะหลุดพ้นจากอำนาจศาลของรัฐบาลสหรัฐฯ อย่างสมบูรณ์ ไม่ว่าเซิร์ฟเวอร์จะตั้งอยู่ที่ใดก็ตาม
    • ภายใต้ CLOUD Act และ FISA ข้อมูลลูกค้าในยุโรปอาจถูกเปิดเผยได้ ซึ่งมองว่าเป็นการบั่นทอนคำมั่นด้าน GDPR
  • ภาระที่สองคือ ค่าใช้จ่าย $2,000 ต่อเดือน
    • มองว่าค่าใช้จ่ายรายปี $24,000 สูงเกินความจำเป็นจริง
    • จึงพิจารณาว่าสามารถแทนที่ RDS ด้วยอินสแตนซ์ Postgres แบบ managed และสคริปต์อัตโนมัติได้หรือไม่
    • และเห็นว่าด้วยค่าใช้จ่ายระดับเดียวกันสามารถจัดหา dedicated hardware ที่มีความทนทานในยุโรปได้

ความสะดวกที่ต้องยอมเสียเมื่อออกจาก AWS

  • เมื่อออกจาก AWS ความสะดวกของ managed service จะลดลง
    • บริการที่ผสานรวมลึกอย่าง Lambda
    • การ deploy แบบคลิกเดียวของ RDS
    • ecosystem ของเครื่องมือคอมพลายแอนซ์ในตัวที่ช่วยให้งานตรวจ ISO 27001 ราบรื่น
  • เมื่อสละความสบายของ managed service ก็ต้องรับ การควบคุมและความรับผิดชอบ ในระดับที่สูงขึ้นด้วยตัวเอง
  • การเปลี่ยนแปลงลักษณะนี้อาจเป็นสาเหตุของความกังวลและความล่าช้าในการลงมือทำสำหรับหลายทีม

ผลลัพธ์ที่ได้จากการย้ายไป Hetzner และ OVHcloud

  • การย้ายไปยังผู้ให้บริการยุโรปอย่าง Hetzner และ OVHcloud ทำให้ได้ประโยชน์ด้านอธิปไตยข้อมูล ความคุ้มค่าต้นทุน และการควบคุมการปฏิบัติการ
  • ในด้านอธิปไตยข้อมูล บริษัทระบุว่าสามารถพิสูจน์ ที่ตั้งของข้อมูล ได้อย่างชัดเจนจากการโฮสต์บนอินฟราสตรักเจอร์ที่เป็นของยุโรป
    • สามารถอธิบายได้อย่างไม่กำกวมว่าข้อมูลลูกค้าอยู่ที่ไหน
    • มองว่านี่เป็นการเปลี่ยนแปลงสำคัญต่อการตรวจ GDPR และการต่ออายุการรับรอง ISO 27001
  • ในด้านต้นทุน ค่าใช้จ่ายคลาวด์ ลดลง 90%
    • แทนที่ managed service ราคาแพงด้วยโซลูชัน self-hosted แบบอัตโนมัติ
    • งบประมาณจึงคาดการณ์ได้ง่ายขึ้นและโปร่งใสมากขึ้น
  • ในด้านการปฏิบัติการ แม้จะสูญเสียเครื่องมือสำเร็จรูปของ AWS ไป แต่บริษัทมองว่าความสามารถภายในกลับแข็งแกร่งขึ้น
    • ได้สร้างการกำหนดค่า infrastructure-as-code บนพื้นฐานของ Ansible
    • และระบุว่าได้มาซึ่งการควบคุมความปลอดภัยและความสามารถในการตรวจสอบที่แข็งแกร่งกว่าเดิม

ระบบปฏิบัติการที่สร้างด้วย Ansible และโอเพนซอร์สสำหรับการมอนิเตอร์

  • ใช้ Ansible playbook ไม่ใช่แค่เพื่อทำ configuration automation แต่เป็นเหมือนเอนจินด้านคอมพลายแอนซ์
    • แต่ละบรรทัดของการตั้งค่าเซิร์ฟเวอร์สามารถเชื่อมโยงกับรายการควบคุมใน ISO 27001 Annex A ได้โดยตรง
    • ทำให้โค้ดอินฟราสตรักเจอร์กลายเป็นเอกสาร audit trail ที่อธิบายตัวเองได้
  • มองว่าสามารถสร้างระบบมอนิเตอร์ระดับองค์กรได้แม้ไม่มี CloudWatch
    • ใช้ชุด Prometheus, Grafana, Loki
    • ระบุว่าสามารถทำซ้ำระดับการมองเห็นที่เคยมีบน AWS ได้ และในบางด้านยังดีกว่าเดิม
    • ซึ่งช่วยเพิ่มความเร็วในการตอบสนองต่อเหตุการณ์
  • เนื่องจากไม่มีโซลูชันความปลอดภัยสำเร็จรูปที่กดคลิกแล้วใช้งานได้ จึงต้องออกแบบความปลอดภัยขึ้นเองตั้งแต่รากฐาน
    • ใช้แนวทาง security-by-design ที่ทำอัตโนมัติด้วย Ansible
    • และระบุว่าได้ทำให้ ISMS หรือระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ มีความแข็งแรงขึ้นและนักพัฒนาปฏิบัติตามได้ง่ายขึ้น

ผลลัพธ์ที่เหลือต่อธุรกิจ

  • บริษัทระบุว่าสามารถลด ความเสี่ยงด้านคอมพลายแอนซ์ ที่เกี่ยวข้องกับกฎหมายสอดส่องของสหรัฐฯ ได้
  • ใช้การโฮสต์ในยุโรปเป็นเครื่องมือการขายเพื่อเสริมความน่าเชื่อถือของแบรนด์
  • และนำ 90% ของค่าใช้จ่ายคลาวด์ที่ลดลงกลับคืนสู่ธุรกิจ

ยังไม่มีความคิดเห็น

ยังไม่มีความคิดเห็น