Migração da AWS para a Hetzner reduz custos em 90% e mantém a ISO 27001 com Ansible
(medium.com/@accounts_73078)- A Datapult, empresa dinamarquesa de gestão de força de trabalho, afirmou que reduziu drasticamente um custo mensal de cerca de $2.000 ao migrar sua infraestrutura baseada na AWS para uma nuvem europeia, mantendo a ISO 27001
- O pano de fundo da migração incluía preocupações de que, sob a CLOUD Act e a FISA, dados de clientes europeus poderiam ficar expostos à jurisdição do governo dos EUA, além do peso de uma cobrança anual de $24.000
- Ao usar infraestrutura de propriedade europeia como Hetzner e OVHcloud, a empresa disse que conseguiu explicar com mais clareza a clientes e auditores onde os dados estavam localizados
- A conveniência de AWS Lambda, RDS e CloudWatch diminuiu, mas a empresa montou por conta própria automação e monitoramento com Ansible, Prometheus, Grafana e Loki
- A empresa vinculou playbooks do Ansible aos controles do Anexo A da ISO 27001 e os usou como material de trilha de auditoria, reinvestindo no negócio a redução dos gastos com nuvem
O contexto para reduzir a dependência da AWS
- A Datapult é uma empresa dinamarquesa de gestão de força de trabalho, responsável por escala de funcionários, ajuste de folha para compensação de horas extras e por servir como fonte única da verdade para dados de presença
- O serviço tem requisitos operacionais mais rígidos do que um simples serviço web, com a premissa de que os dados devem estar sempre conciliados, agregados e nunca podem ser perdidos
- A infraestrutura original começou na AWS, e boa parte dos requisitos legais também havia sido desenhada para workflows baseados na AWS
- Por isso, a mudança não foi apenas trocar de provedor de nuvem, mas também realinhar ao mesmo tempo requisitos legais e práticas operacionais
O aumento do peso de compliance e custos na AWS
- O primeiro problema era uma lacuna de compliance
- A empresa concluiu que provedores de nuvem dos EUA dificilmente conseguem escapar totalmente da jurisdição do governo americano, independentemente da localização física dos servidores
- Na visão da empresa, sob a CLOUD Act e a FISA, dados de clientes europeus poderiam ficar potencialmente expostos, enfraquecendo as promessas de GDPR
- O segundo problema era o custo mensal de $2.000
- A empresa considerou que uma cobrança anual de $24.000 era excessiva em relação às necessidades reais
- Ela avaliou se seria possível substituir o RDS por instâncias gerenciadas de Postgres e scripts de automação
- Na mesma faixa de custo, entendeu que poderia garantir hardware dedicado resiliente dentro da Europa
As conveniências abandonadas ao sair da AWS
- Ao deixar a AWS, houve perda de conveniência dos serviços gerenciados
- Serviços profundamente integrados como o Lambda
- Implantação com um clique do RDS
- Um ecossistema de ferramentas de compliance embutidas que tornava mais fluida a auditoria da ISO 27001
- Ao abrir mão do conforto dos serviços gerenciados, a empresa precisou assumir diretamente um nível maior de controle e responsabilidade
- Esse tipo de mudança pode gerar medo e atraso na execução em muitas equipes
Os ganhos com a migração para Hetzner e OVHcloud
- Ao migrar para provedores europeus como Hetzner e OVHcloud, a empresa obteve ganhos em soberania de dados, eficiência de custos e controle operacional
- No aspecto de soberania de dados, ela afirma que, ao hospedar em infraestrutura de propriedade europeia, conseguiu comprovar com clareza a localização dos dados
- Foi possível explicar sem ambiguidades onde os dados dos clientes estavam
- A empresa avaliou isso como uma mudança importante em auditorias de GDPR e na recertificação da ISO 27001
- Em custos, a despesa com nuvem caiu 90%
- Serviços gerenciados caros foram substituídos por soluções self-hosted automatizadas
- O orçamento ficou mais previsível e transparente, segundo a empresa
- Em operação, embora tenha perdido ferramentas prontas da AWS, a empresa considera que fortaleceu sua capacidade interna
- Foi construída uma configuração de infraestrutura como código baseada em Ansible
- A empresa afirma ter obtido controles de segurança e auditabilidade ainda mais fortes do que antes
Um modelo operacional com Ansible e monitoramento open source
- Os playbooks do Ansible foram usados não só para automação de configuração, mas como um motor de compliance
- Cada linha da configuração do servidor pode ser ligada diretamente aos controles do Anexo A da ISO 27001
- A infraestrutura como código virou, por si só, um material de trilha de auditoria autodocumentado
- A empresa considera que dá para montar monitoramento de nível empresarial mesmo sem CloudWatch
- Foi usada a combinação de Prometheus, Grafana e Loki
- A empresa disse que reproduziu a visibilidade que tinha na AWS e, em alguns aspectos, foi além
- Isso ajudou a melhorar a velocidade de resposta a incidentes
- Como não havia soluções de segurança prontas para aplicar com um clique, foi necessário projetar a segurança desde a base
- Foi adotada uma abordagem de security-by-design automatizada com Ansible
- A empresa disse que isso tornou o ISMS, ou sistema de gestão de segurança da informação, mais robusto e mais fácil de seguir para desenvolvedores
O resultado final para o negócio
- A empresa afirma ter reduzido o risco de compliance relacionado às leis de vigilância dos EUA
- Fortaleceu a confiança na marca ao usar a hospedagem europeia como ferramenta comercial
- Reverteu 90% dos gastos com nuvem para o próprio negócio
Ainda não há comentários.