Mudanza de AWS a Hetzner reduce costos 90% y mantiene ISO 27001 con Ansible
(medium.com/@accounts_73078)- La empresa danesa de gestión de personal Datapult afirmó que, al mover su infraestructura basada en AWS a una nube europea, logró mantener ISO 27001 y reducir de forma importante sus costos mensuales, que rondaban los $2,000
- Detrás de la migración estaban la preocupación de que los datos de clientes europeos pudieran quedar expuestos a la jurisdicción del gobierno de EE. UU. bajo la CLOUD Act y FISA, así como la carga de una factura anual de $24,000
- Indicó que, al usar infraestructura de propiedad europea como Hetzner y OVHcloud, pudo explicar con mayor claridad a clientes y auditores dónde se alojan los datos
- Aunque perdió parte de la comodidad de AWS Lambda, RDS y CloudWatch, reconstruyó por su cuenta la automatización y el monitoreo con Ansible, Prometheus, Grafana y Loki
- Vinculó los playbooks de Ansible con los controles del Anexo A de ISO 27001 para usarlos como evidencia de auditoría, y reinvirtió en el negocio el gasto reducido en la nube
Por qué quiso reducir su dependencia de AWS
- Datapult es una empresa danesa de gestión de personal que se encarga de la programación de turnos, los ajustes salariales por compensación de horas extra y de servir como una única fuente de verdad para los datos de asistencia
- Este servicio tiene requisitos operativos más estrictos que un simple servicio web, con la premisa de que los datos deben conciliarse y agregarse siempre, sin pérdidas
- Su infraestructura original comenzó en AWS, y buena parte de los requisitos legales también había sido diseñada en torno a flujos de trabajo basados en AWS
- Por eso, la migración no fue solo cambiar de proveedor cloud, sino reajustar al mismo tiempo los requisitos legales y la forma de operación
La creciente carga de compliance y costos en AWS
- La primera carga fue una brecha de compliance
- Consideró que los proveedores cloud de EE. UU. difícilmente pueden quedar completamente fuera de la jurisdicción del gobierno estadounidense, sin importar la ubicación física de los servidores
- Vio que, bajo la CLOUD Act y FISA, los datos de clientes europeos podían quedar potencialmente expuestos, debilitando así las promesas de GDPR
- La segunda carga fue el costo mensual de $2,000
- Consideró que la factura anual de $24,000 era excesiva frente a sus necesidades reales
- Evaluó si podía reemplazar RDS por una instancia administrada de Postgres y scripts de automatización
- Concluyó que, con ese mismo costo, podía asegurar hardware dedicado y resiliente dentro de Europa
Las comodidades que dejó atrás al salir de AWS
- Al dejar AWS, disminuye la comodidad de los servicios administrados
- Servicios profundamente integrados como Lambda
- El despliegue con un clic de RDS
- El ecosistema de herramientas de compliance integradas que hace más fluida una auditoría ISO 27001
- Al renunciar a la comodidad de los servicios administrados, también tuvo que asumir directamente un mayor nivel de control y responsabilidad
- Este tipo de cambio puede ser una fuente de temor y retrasos de ejecución en muchos equipos
Lo que obtuvo al migrar a Hetzner y OVHcloud
- Al mudarse a los proveedores europeos Hetzner y OVHcloud, obtuvo beneficios en soberanía de datos, eficiencia de costos y control operativo
- En soberanía de datos, afirmó que al alojarse en infraestructura de propiedad europea pudo demostrar con claridad la ubicación de los datos
- Pudo explicar sin ambigüedades dónde están los datos de clientes
- Lo consideró un cambio importante para las auditorías de GDPR y la recertificación de ISO 27001
- En costos, el gasto cloud se redujo 90%
- Reemplazó servicios administrados costosos por soluciones autohospedadas automatizadas
- Dijo que el presupuesto se volvió más predecible y transparente
- En lo operativo, considera que, aunque perdió herramientas preconstruidas de AWS, fortaleció sus capacidades internas
- Construyó una configuración de infraestructura como código basada en Ansible
- Asegura que logró controles de seguridad y auditabilidad más sólidos que antes
El esquema operativo creado con Ansible y monitoreo open source
- Usó los playbooks de Ansible no solo para automatizar configuraciones, sino como motor de compliance
- Cada línea de configuración del servidor puede vincularse directamente con los controles del Anexo A de ISO 27001
- La infraestructura como código se convirtió en evidencia de auditoría autodocumentada
- Considera que incluso sin CloudWatch se puede montar monitoreo de nivel empresarial
- Usa la combinación de Prometheus, Grafana y Loki
- Dijo que replicó la visibilidad que tenía en AWS y que, en algunos aspectos, incluso la mejoró
- Afirmó que esto ayudó a acelerar la respuesta a incidentes
- Como ya no tenía soluciones de seguridad prefabricadas que se aplican con un clic, tuvo que diseñar la seguridad desde la base
- Aplicó un enfoque de security-by-design automatizado con Ansible
- Dijo que esto hizo más robusto el ISMS, es decir, el sistema de gestión de seguridad de la información, y más fácil de seguir para los desarrolladores
El resultado final para el negocio
- Afirmó que redujo el riesgo de compliance relacionado con las leyes de vigilancia de EE. UU.
- Reforzó la confianza en la marca al usar el hosting europeo como herramienta comercial
- Reintegró al negocio el 90% del gasto en la nube
Aún no hay comentarios.