AWS Study Group

Cách theo dõi siêu dữ liệu tài khoản AWS trong AWS Organizations.

United Services Automobile Association (USAA) là một công ty bảo hiểm, dịch vụ tài chính, ngân hàng và FinTech có trụ sở tại San Antonio, hỗ trợ hàng triệu quân nhân và gia đình của họ. USAA đã hợp tác với Amazon Web Services (AWS) để chuyển đổi kỹ thuật số và xây dựng nhiều giải pháp USAA giúp giữ an toàn cho các thành viên cũng như tiết kiệm tiền bạc và thời gian của các thành viên.

Tại sao phải xây dựng giải pháp siêu dữ liệu tài khoản AWS?

USAA Cloud Program đã phát triển một giải pháp tập trung để thu thập tất cả siêu dữ liệu tài khoản AWS nhằm hỗ trợ các chức năng cốt lõi của doanh nghiệp, chẳng hạn như quản lý tài chính, khắc phục các cấu hình dễ bị tấn công và không an toàn cũng như các quy trình phát hành thay đổi đối với các thay đổi cơ sở hạ tầng và ứng dụng quan trọng.

Các công ty không có giải pháp siêu dữ liệu tập trung có thể đã phân phối tài liệu và wiki chứa siêu dữ liệu tài khoản, phải được cập nhật thủ công. Việc nhập / cập nhật thông tin theo cách thủ công thường dẫn đến siêu dữ liệu lỗi thời hoặc không chính xác và ngoài ra, yêu cầu các cá nhân tiếp cận với nhiều tài nguyên và nhóm để thu thập thông tin cụ thể.

Tổng quan về giải pháp

USAA sử dụng AWS Organizations và một loạt dự án GitLab để tạo, quản lý và tạo cơ sở cho tất cả các tài khoản AWS và cơ sở hạ tầng trong tổ chức, bao gồm các thành phần quản lý danh tính và truy cập, bảo mật và mạng. Trong các dự án GitLab của họ, mỗi lần triển khai đều sử dụng phiên bản cơ sở của GitLab để xác định phiên bản nào của dự án đã được cung cấp trong tài khoản AWS.

Trong quá trình tạo và tích hợp các tài khoản AWS mới, được tạo cho từng nhóm ứng dụng và trường hợp sử dụng, có dữ liệu cụ thể được sử dụng cho mục đích theo dõi và quản trị và được áp dụng trên toàn doanh nghiệp. Nhóm USAA’s Public Cloud Security đã nhận ra cơ hội trong một sự kiện hackathon để phát triển giải pháp được mô tả trong Hình 1.

  1. Tài khoản AWS được tạo theo quy ước đặt tên và được thêm vào AWS Organizations.

Siêu dữ liệu được theo dõi trên mỗi tài khoản AWS bao gồm:

  • AWS account name
  • Points of contact
  • Line of business (LOB)
  • Cost center #
  • Application ID #
  • Status
  • Cloud governance record #
  • GitLab baseline version
  1. Quy tắc Amazon EventBridge gọi AWS Step Functions khi tài khoản AWS mới được tạo.
  2. Step Functions gọi một hàm  AWS Lambda để kéo siêu dữ liệu tài khoản AWS và tải vào bảng  Amazon DynamoDB tập trung có bật Streams để hỗ trợ tự động hóa.
  3. Cổng Amazon API Gateway được tiếp xúc với mạng nội bộ của USAA, mạng này truy vấn bảng DynamoDB và cung cấp siêu dữ liệu tài khoản AWS.

Hình 1. Tổng quan về quy trình tự động hóa kiến trúc USAA để quản lý siêu dữ liệu tài khoản AWS

Sau khi giải pháp được triển khai, các nhóm của USAA đã tận dụng dữ liệu theo nhiều cách:

  1. Giao diện người dùng: giao diện người dùng front-end truy vấn API Gateway để cho phép người dùng nội bộ trên mạng USAA lọc và xem siêu dữ liệu cho bất kỳ tài khoản AWS nào trong AWS Organizations.
  2. Tự động hóa theo hướng sự kiện: DynamoDB sẽ gọi hàm Lambda cho bất kỳ thay đổi nào trong bảng, hàm này sẽ kiểm tra phiên bản mới nhất từ ​​GitLab và phiên bản cơ sở GitLab trong tài khoản AWS. Đối với bất kỳ triển khai lỗi thời nào, hàm Lambda gọi CI/CD pipeline cho tài khoản AWS đó để triển khai một tập hợp cấu hình và tài nguyên IAM, cơ sở hạ tầng và bảo mật được chuẩn hóa.
  3. Ứng phó sự cố: nhóm Cyber Threat Response giảm thời gian phản hồi trung bình bằng cách phát triển tự động hóa để truy vấn Cổng API để thêm điểm tiếp xúc, môi trường và tên tài khoản AWS cho các phát hiện tùy chỉnh cũng như các phát hiện của Trung tâm bảo mật và Amazon GuardDuty.
  4. Quản lý tài chính: Các nhóm nội bộ đã tích hợp quy trình công việc vào ứng dụng của họ để truy vấn API Gateway để trả về trung tâm chi phí, LOB và ID ứng dụng để hỗ trợ các mục đích theo dõi và báo cáo tài chính. Điều này thay thế việc xem xét thủ công siêu dữ liệu tài khoản AWS từ trang wiki nội bộ và được cập nhật thủ công.
  5. Quản lý tuân thủ và lỗ hổng bảo mật: hệ thống thông báo tự động được phát triển để gửi các báo cáo tổng hợp đến các điểm liên hệ được liệt kê trong tài khoản AWS từ API Gateway để khắc phục các tài nguyên và cấu hình không tuân thủ.

Kết luận

Trong bài đăng này, chúng tôi đã xem xét cách USAA cho phép các nhóm và chức năng doanh nghiệp cốt lõi thu thập, lưu trữ và phân phối siêu dữ liệu tài khoản AWS bằng cách phát triển một ứng dụng không máy chủ an toàn và có khả năng mở rộng cao trong AWS. Giải pháp đã được tận dụng cho nhiều trường hợp sử dụng, bao gồm các nhóm ứng dụng nội bộ trong môi trường AWS sản xuất của USAA.

Bài được dịch từ bài viết trên AWS Blogs, bạn có thể xem bài viết gốc tại đây.

Leave a comment