ย้ายจาก AWS ไป Hetzner ลดต้นทุน 90% พร้อมรักษา ISO 27001 ด้วย Ansible
(medium.com/@accounts_73078)- Datapult บริษัทบริหารจัดการกำลังคนจากเดนมาร์กระบุว่า ได้ย้ายอินฟราสตรักเจอร์จาก AWS ไปยังคลาวด์ในยุโรป พร้อมคงมาตรฐาน ISO 27001 ไว้ และลดค่าใช้จ่ายระดับราว $2,000 ต่อเดือนได้อย่างมาก
- เบื้องหลังการย้ายครั้งนี้คือความกังวลว่า ภายใต้ CLOUD Act และ FISA ข้อมูลลูกค้าในยุโรปอาจตกอยู่ภายใต้อำนาจศาลของรัฐบาลสหรัฐฯ รวมถึงภาระค่าใช้จ่ายรายปี $24,000
- การใช้อินฟราสตรักเจอร์ที่ เป็นเจ้าของโดยยุโรป อย่าง Hetzner และ OVHcloud ทำให้สามารถอธิบายที่ตั้งของข้อมูลให้ลูกค้าและผู้ตรวจสอบได้ชัดเจนยิ่งขึ้น
- แม้ความสะดวกของ AWS Lambda, RDS และ CloudWatch จะลดลง แต่ได้สร้างระบบอัตโนมัติและการมอนิเตอร์ขึ้นเองด้วย Ansible, Prometheus, Grafana, Loki
- Datapult เชื่อมโยง Ansible playbook เข้ากับรายการควบคุมใน ISO 27001 Annex A เพื่อใช้เป็น หลักฐาน audit trail และนำค่าใช้จ่ายคลาวด์ที่ลดลงกลับไปลงทุนในธุรกิจ
เบื้องหลังการลดการพึ่งพา AWS
- Datapult เป็น บริษัทบริหารจัดการกำลังคน จากเดนมาร์ก ทำหน้าที่ด้านการจัดตารางพนักงาน การปรับเงินเดือนชดเชยโอที และเป็นแหล่งข้อมูลจริงหนึ่งเดียวสำหรับข้อมูลเวลาเข้างาน
- บริการนี้มีข้อกำหนดด้านการปฏิบัติการที่เข้มงวดกว่าบริการเว็บทั่วไป โดยมีสมมติฐานว่าข้อมูลต้องถูกคำนวณ ชำระ และรวมยอดอยู่เสมอ และต้องไม่สูญหาย
- อินฟราสตรักเจอร์เดิมเริ่มต้นบน AWS และข้อกำหนดทางกฎหมายจำนวนมากก็ถูกออกแบบให้สอดคล้องกับ เวิร์กโฟลว์บน AWS
- ดังนั้นการย้ายครั้งนี้จึงไม่ใช่แค่การเปลี่ยนผู้ให้บริการคลาวด์ แต่เป็นการปรับข้อกำหนดทางกฎหมายและวิธีปฏิบัติการใหม่ไปพร้อมกัน
ภาระด้านคอมพลายแอนซ์และต้นทุนที่เพิ่มขึ้นบน AWS
- ภาระแรกคือ ช่องว่างด้านคอมพลายแอนซ์
- บริษัทประเมินว่า ผู้ให้บริการคลาวด์สัญชาติอเมริกันยากจะหลุดพ้นจากอำนาจศาลของรัฐบาลสหรัฐฯ อย่างสมบูรณ์ ไม่ว่าเซิร์ฟเวอร์จะตั้งอยู่ที่ใดก็ตาม
- ภายใต้ CLOUD Act และ FISA ข้อมูลลูกค้าในยุโรปอาจถูกเปิดเผยได้ ซึ่งมองว่าเป็นการบั่นทอนคำมั่นด้าน GDPR
- ภาระที่สองคือ ค่าใช้จ่าย $2,000 ต่อเดือน
- มองว่าค่าใช้จ่ายรายปี $24,000 สูงเกินความจำเป็นจริง
- จึงพิจารณาว่าสามารถแทนที่ RDS ด้วยอินสแตนซ์ Postgres แบบ managed และสคริปต์อัตโนมัติได้หรือไม่
- และเห็นว่าด้วยค่าใช้จ่ายระดับเดียวกันสามารถจัดหา dedicated hardware ที่มีความทนทานในยุโรปได้
ความสะดวกที่ต้องยอมเสียเมื่อออกจาก AWS
- เมื่อออกจาก AWS ความสะดวกของ managed service จะลดลง
- บริการที่ผสานรวมลึกอย่าง Lambda
- การ deploy แบบคลิกเดียวของ RDS
- ecosystem ของเครื่องมือคอมพลายแอนซ์ในตัวที่ช่วยให้งานตรวจ ISO 27001 ราบรื่น
- เมื่อสละความสบายของ managed service ก็ต้องรับ การควบคุมและความรับผิดชอบ ในระดับที่สูงขึ้นด้วยตัวเอง
- การเปลี่ยนแปลงลักษณะนี้อาจเป็นสาเหตุของความกังวลและความล่าช้าในการลงมือทำสำหรับหลายทีม
ผลลัพธ์ที่ได้จากการย้ายไป Hetzner และ OVHcloud
- การย้ายไปยังผู้ให้บริการยุโรปอย่าง Hetzner และ OVHcloud ทำให้ได้ประโยชน์ด้านอธิปไตยข้อมูล ความคุ้มค่าต้นทุน และการควบคุมการปฏิบัติการ
- ในด้านอธิปไตยข้อมูล บริษัทระบุว่าสามารถพิสูจน์ ที่ตั้งของข้อมูล ได้อย่างชัดเจนจากการโฮสต์บนอินฟราสตรักเจอร์ที่เป็นของยุโรป
- สามารถอธิบายได้อย่างไม่กำกวมว่าข้อมูลลูกค้าอยู่ที่ไหน
- มองว่านี่เป็นการเปลี่ยนแปลงสำคัญต่อการตรวจ GDPR และการต่ออายุการรับรอง ISO 27001
- ในด้านต้นทุน ค่าใช้จ่ายคลาวด์ ลดลง 90%
- แทนที่ managed service ราคาแพงด้วยโซลูชัน self-hosted แบบอัตโนมัติ
- งบประมาณจึงคาดการณ์ได้ง่ายขึ้นและโปร่งใสมากขึ้น
- ในด้านการปฏิบัติการ แม้จะสูญเสียเครื่องมือสำเร็จรูปของ AWS ไป แต่บริษัทมองว่าความสามารถภายในกลับแข็งแกร่งขึ้น
- ได้สร้างการกำหนดค่า infrastructure-as-code บนพื้นฐานของ Ansible
- และระบุว่าได้มาซึ่งการควบคุมความปลอดภัยและความสามารถในการตรวจสอบที่แข็งแกร่งกว่าเดิม
ระบบปฏิบัติการที่สร้างด้วย Ansible และโอเพนซอร์สสำหรับการมอนิเตอร์
- ใช้ Ansible playbook ไม่ใช่แค่เพื่อทำ configuration automation แต่เป็นเหมือนเอนจินด้านคอมพลายแอนซ์
- แต่ละบรรทัดของการตั้งค่าเซิร์ฟเวอร์สามารถเชื่อมโยงกับรายการควบคุมใน ISO 27001 Annex A ได้โดยตรง
- ทำให้โค้ดอินฟราสตรักเจอร์กลายเป็นเอกสาร audit trail ที่อธิบายตัวเองได้
- มองว่าสามารถสร้างระบบมอนิเตอร์ระดับองค์กรได้แม้ไม่มี CloudWatch
- ใช้ชุด Prometheus, Grafana, Loki
- ระบุว่าสามารถทำซ้ำระดับการมองเห็นที่เคยมีบน AWS ได้ และในบางด้านยังดีกว่าเดิม
- ซึ่งช่วยเพิ่มความเร็วในการตอบสนองต่อเหตุการณ์
- เนื่องจากไม่มีโซลูชันความปลอดภัยสำเร็จรูปที่กดคลิกแล้วใช้งานได้ จึงต้องออกแบบความปลอดภัยขึ้นเองตั้งแต่รากฐาน
- ใช้แนวทาง security-by-design ที่ทำอัตโนมัติด้วย Ansible
- และระบุว่าได้ทำให้ ISMS หรือระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ มีความแข็งแรงขึ้นและนักพัฒนาปฏิบัติตามได้ง่ายขึ้น
ผลลัพธ์ที่เหลือต่อธุรกิจ
- บริษัทระบุว่าสามารถลด ความเสี่ยงด้านคอมพลายแอนซ์ ที่เกี่ยวข้องกับกฎหมายสอดส่องของสหรัฐฯ ได้
- ใช้การโฮสต์ในยุโรปเป็นเครื่องมือการขายเพื่อเสริมความน่าเชื่อถือของแบรนด์
- และนำ 90% ของค่าใช้จ่ายคลาวด์ที่ลดลงกลับคืนสู่ธุรกิจ
ยังไม่มีความคิดเห็น