Service NSW, bulut güvenliği ve ağ mimarisini elden geçirdi ve AWS ortamında tehdit algılamasını ve bağlantısını merkezileştirdi.
Ajans, 200’den fazla sanal özel bulutun (VPC’ler) “karmaşık bir örgü” nin görünürlüğünü ve yanıtı iyileştirmek için Amazon Guardduty ve Amazon Müfettişinin yanında AWS güvenlik merkezi uyguladı.
Service NSW daha sonra şirket içi altyapısı ve VPC’leri arasındaki bağlantıyı basitleştirmek için AWS Transit Ağ Geçidi kullanarak ağ katmanını merkezileştirdi, böylece ihtiyaç duyulan güvenlik kontrol sayısını azalttı ve saldırı yüzeyini en aza indirdi.
Ağustos ayında Canberra’daki AWS Kamu Sektörü Sempozyumu sırasında konuşan hizmet NSW bulut platform yöneticisi Kamaljit Bhardwaj, “Buluttaki güvenlik sadece güvenlik duvarları ve şifreleme ile ilgili değil; aynı zamanda proaktif bir risk yönetimi ile sürekli bir uyanıklık kültürü oluşturmakla ilgilidir.” Dedi.
Hizmet NSW, birden fazla AWS hesapında NSW ve Sürücü ve Araç Hizmetleri için Taşımacılık da dahil olmak üzere 70’den fazla NSW hükümet ajansına hizmet veriyor.
2021’de dijital ürünlerini tamamen genel bulut sağlayıcısının altyapısında işletmeye başladı.
Ancak, Bhardwaj ile oturumu birlikte barındıran AWS Kıdemli Teknik Hesap Yöneticisi Pranav Gothadiya’ya göre, NSW’nin güvenlik verileri tamamen parçalandı ve sessizleşti.
Gothadiya, “Bu çok fazla sorun yaratıyor. Örneğin, tespit ve yanıtları gecikebilir” dedi.
“Manuel uyumluluk yapmaları gerekiyor; bu veriler kesinlikle yönetilmediği için denetim riski artırılabilir.”
AWS Güvenlik Merkezi’ndeki verilerini merkezileştirdikten ve AWS’nin bulut anadili araçlarını uyguladıktan sonra, olay tespit ve yanıt için Guardduty ve Müfettiş, Ajans boşlukları ve uyumluluk sorunlarını belirlemek için tüm altyapının gözden geçirilmesini üstlendi.
Daha sonra, gelecekteki tehditlere ve uyumluluk risklerine karşı bulut güvenlik duruşunu güçlendirmek için PCI DSS, CIS kriterleri ve AWS temel güvenlik en iyi uygulamaları gibi güvenlik ve uyum çerçeveleri uyguladı.
Bu çerçevelerin bir sonucu olarak tanıtılan bir kontrol, AWS pazarından dağıtımları kullanan geliştiriciler üzerinde bir kısıtlamadır.
Bhardwaj, “Barikatlar değil, korkuluklar yarattık,” dedi.
“Normal bir üründe yüksek kullanılabilirliği test etmek için bir gereksiniminiz olabileceğini anlıyoruz, bu nedenle bir süreç [has been] yaratılmış; Ortamınız iyi olacağından bu süreci takip edebilirsiniz. ”
Birden fazla sanal ağ geçidi
Hizmet NSW’nin bulut dönüşüm programının bir başka temel bileşeni, ağ altyapısının ve güvenlik modelinin “operasyonel karmaşıklığını” ele almaya odaklandı.
Gothadiya, “Merkezi güvenlik kontrolü yoktu ve maliyet yüksekti” dedi.
“Birden fazla sanal ağ geçidi arayüzü vardı. Bir dizi VPC, şirket içi ağlarıyla iletişim kurmak istiyorsa, [AWS] Doğrudan bağlantı ağ geçidi ve sonra şirket içi. ”
Bu parçalanmış kurulum, ajans için iki temel zorluk yaratarak birden fazla internet pozlama noktasına yol açtı.
İlk olarak, VPC başına birden fazla NAT ağ geçidi gerekiyordu. İkincisi, yönetilmesi ve ölçeklendirilmesi zor bir kurulum olan her bir VPC içinde çoğaltılmış güvenlik kontrollerini talep etti.
Gothadiya, “VPC katmanlamasının karmaşıklığına katkıda bulunuyor,” dedi. “200’den fazla VPC vardı … [it appeared] Garip bir karmaşık ağ olarak. ”
Bunu düzeltmek için Service NSW, tüm VPC’leri için merkezi bir yönlendirme merkezi olarak hareket etmek üzere AWS Transit Ağ Geçidi uyguladı.
Buna ek olarak, şimdi AWS Direct Connect Gateway ve ajansın şirket içi veri merkezi arasında merkezi bir bağlantı noktası görevi gören, yönlendirme mantığı ve politika yönetimi için Transit Ağ Geçidi Yönetimi’ni kullanıyor.
Gothadiya, bunun, her bir VPC ve şirket içi ortamı arasında sanal tünel ekleri (VTAS) olarak bilinen birden fazla ayrı ağ bağlantısı gerektirmediği için ajansın maliyetlerini önemli ölçüde azalttığını söyledi.
Akıllı harcama kültürü
Service NSW’nin bulut dönüşümü, özel bir finops işlevi ve ekipleri arasında kapsamlı değişim yönetimi tarafından desteklenen bir maliyet optimizasyon programı vardı.
Bu çabaları düşünen Bhardwaj, “Teknoloji dönüşümü yoluyla ve çalışma yollarını değiştirerek önemli miktarda para tasarrufu sağlayabildik.” Dedi.
Anahtar çıkarımlarını programdan paylaşan Bhardwaj, “her takımın bulut kullanımının sorumluluğunu üstlendiği akıllı harcama kültürü” nin gerekli olduğunu tavsiye etti.
“Maliyet farkındalığı, sonradan düşünülen değil, teslimat sürecinin bir parçası olmalıdır. Takımlarınızın araçlar, gösterge tabloları ve self servis raporları ile birlikte, finoplar veya secops yerine takımları adına harekete geçebilmeleri için etkinleştirin.”
Ajans, Gothadiya’ya göre, verimsiz kaynakları ve kullanımının kapsamlı bir değerlendirmesinin ardından, verimsiz kaynakları belirlediği ve “uygun raporlama” yoluyla daha iyi görünürlük ihtiyacını tanıdıktan sonra elde etti.
“Daha iyi görünürlüğünüz varsa, maliyetlerinizi her zaman kontrol edebilirsiniz” diye ekledi.
Sonuç olarak, her teknoloji ekibinin artık iş yükü maliyetlerini izlemek ve spiral olmaya başlarlarsa bunları azaltmak için proaktif adımlar atması için kendi gösterge paneli var.
Bu çabalar, yedekleme ve geri yükleme işlemlerinin yanı sıra veritabanı ve depolama optimizasyonundaki daha geniş girişimlerle daha da desteklenmiştir.
Eleanor Dickinson, AWS konuğu olarak Canberra’daki AWS Kamu Sektörü Sempozyumu’na katıldı.