Jak śledzić metadane konta AWS w Organizacjach AWS?

5 września 2022

Jak śledzić metadane konta AWS w Organizacjach AWS?

United Services Automobile Association (USAA) to firma ubezpieczeniowa, świadcząca usługi finansowe, bankowe i FinTech z siedzibą w San Antonio, wspierająca miliony członków wojska i ich rodzin. USAA nawiązała współpracę z Amazon Web Services (AWS), aby cyfrowo przekształcić i zbudować wiele rozwiązań USAA, które pomagają chronić członków i oszczędzać ich czas oraz pieniądze.

Po co budować rozwiązanie metadanych konta AWS?

Program USAA Cloud opracował scentralizowane rozwiązanie do gromadzenia wszystkich metadanych kont AWS w celu ułatwienia podstawowych funkcji przedsiębiorstwa, takich jak zarządzanie finansami, naprawa wrażliwych i niezabezpieczonych konfiguracji oraz procesy wydawania zmian w przypadku krytycznych zmian aplikacji i infrastruktury.

Firmy bez scentralizowanych rozwiązań metadanych mogą mieć rozpowszechnione dokumenty i wiki zawierające metadane kont, które muszą być aktualizowane ręcznie. Ręczne wprowadzanie/aktualizowanie informacji na ogół prowadzi do nieaktualnych lub nieprawidłowych metadanych, a ponadto wymaga od osób kontaktowania się z wieloma zasobami i zespołami w celu zebrania określonych informacji.

Omówienie rozwiązania

USAA eksploatuje organizacje AWS i szereg projektów GitLab do tworzenia, zarządzania i tworzenia punktów odniesienia wszystkich kont i infrastruktury AWS w organizacji, w tym zarządzania tożsamością i dostępem, bezpieczeństwem i komponentami sieciowymi. W ramach projektów GitLab każde wdrożenie korzysta z wersji podstawowej GitLab, która określa, jaka wersja projektu została udostępniona na koncie AWS.

Podczas tworzenia i dołączania nowych kont AWS, które są tworzone dla każdego zespołu aplikacji i przypadku użycia, istnieją określone dane, które są wykorzystywane do celów śledzenia i zarządzania oraz stosowane w całym przedsiębiorstwie. Zespół ds. Bezpieczeństwa Chmury Publicznej USAA skorzystał z okazji podczas hackathonu, aby opracować rozwiązanie przedstawione na rysunku 1.

  1. Konto AWS jest tworzone zgodnie z konwencją nazewnictwa i dodawane do Organizacji AWS.

Metadane śledzone na konto AWS obejmują:

    • Nazwę konta AWS
    • Punkty kontaktowe
    • Linię biznesową (LOB)
    • Centrum kosztów #
    • Identyfikator aplikacji #
    • Status
    • Rekord zarządzania chmurą #
    • Podstawową wersję GitLab
  1. Reguła Amazon EventBridge wywołuje funkcje kroków AWS, gdy tworzone są nowe konta AWS.
  2. AWS Step Functions wywołują funkcję AWS Lambda, aby pobrać metadane konta AWS i załadować je do scentralizowanej tabeli Amazon DynamoDB z włączonymi strumieniami w celu obsługi automatyzacji.
  3. Amazon API Gateway jest wystawiona na działanie wewnętrznej sieci USAA, która kwestionuje tabelę DynamoDB i dostarcza metadane konta AWS.

Jak śledzić metadane konta AWS w Organizacjach AWS?

Po wdrożeniu rozwiązania zespoły USAA wykorzystały dane na wiele sposobów:

  1. Interfejs użytkownika: frontowy interfejs użytkownika wysyłający zapytania do API Gateway, aby umożliwić użytkownikom wewnętrznym w sieci USAA filtrowanie i przeglądanie metadanych dla dowolnych kont AWS w organizacjach AWS.
  2. Automatyzacja sterowana zdarzeniami: strumienie DynamoDB dla wszelkich zmian w tabeli, które wywołałyby funkcję Lambda, która z kolei sprawdziłaby najnowszą wersję z GitLab i podstawową wersję GitLab na koncie AWS. W przypadku przestarzałych wdrożeń funkcja Lambda wywołuje potok CI/CD dla tego konta AWS, aby wdrożyć ustandaryzowany zestaw zasobów i konfiguracji uprawnień, infrastruktury oraz zabezpieczeń.
  3. Reagowanie na incydenty: zespół ds. reagowania na zagrożenia cybernetyczne skraca średni czas reakcji, opracowując automatyzację zapytań do API Gateway w celu dołączenia punktów kontaktu, środowiska i nazwy konta AWS dla niestandardowych wyszukań, a także Centrum bezpieczeństwa i Amazon GuardDuty.
  4. Zarządzanie finansami: Zespoły wewnętrzne zintegrowały przepływy pracy ze swoimi aplikacjami w celu wysyłania zapytań do bramy interfejsu API w celu zwrócenia centrum kosztów, LOB i identyfikatora aplikacji, aby pomóc w raportowaniu finansowym i celach śledzenia. Zastępuje to ręczne przeglądanie metadanych konta AWS z wewnętrznej i ręcznie aktualizowanej strony wiki.
  5. Zarządzanie zgodnością i wrażliwością danych: opracowano zautomatyzowane systemy powiadomień w celu wysyłania skonsolidowanych raportów do punktów kontaktowych wymienionych na koncie AWS z API Gateway w celu naprawy niezgodnych zasobów i konfiguracji.

Wnioski

Za pomocą tego artykułu wraz z autorami sprawdziłeś, w jaki sposób USAA umożliwiło podstawowym funkcjom przedsiębiorstwa i zespołom gromadzenie, przechowywanie oraz dystrybucję metadanych kont AWS poprzez opracowanie bezpiecznej i wysoce skalowalnej aplikacji bezserwerowej natywnie w AWS. Rozwiązanie zostało wykorzystane w wielu przypadkach użycia, w tym w wewnętrznych zespołach aplikacji w środowisku produkcyjnym USAA AWS.

 

Źródło: AWS

Case Studies
Migracja Rapid Delivery Analytics do chmury AWS, współfinansowana z programu Startup Migrate Asses
Migracja infrastruktury Rapid Delivery Analytics do chmury AWS, współfinansowana z programu StartUp Migrate Asses
7 Aut x Budda
Testy penetracyjne, ochrona anty-DDoS i opieka administracyjna dla organizatora jednej z największych loterii w polskim Internecie, „7 Aut x Budda”
Referencje

Hostersi wsparli nas na każdym etapie projektowania i budowy infrastruktury. Finansowanie, które pomogli pozyskać nam od AWS, pozwoliło przetestować szereg różnych rozwiązań i wybrać konfigurację, która najlepiej odpowiada potrzebom naszej aplikacji. Hostersi stworzyli dla nas infrastrukturę „szytą na miarę”, którą dzięki programowi wsparcia startupów, pozyskaliśmy niemal bezkosztowo.

Wojciech Mróz
CEO & Co-founder Pagaspot
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.