Modernizacja po migracji do AWS ECS

Wzmocnienie bezpieczeństwa, migracja na Graviton i usprawnienia developer experience dla platformy fintech ubiegającej się o licencję bankową w UK

Globalna platforma fintech łącząca tradycyjne finanse z aktywami cyfrowymi potrzebowała modernizacji infrastruktury AWS po początkowej migracji z Heroku. Zrealizowaliśmy migrację compute na Graviton, środowiska podglądowe, usprawnienia CI/CD i pełną modernizację bezpieczeństwa, osiągając 93% redukcji nakładu pracy na obsługę bezpieczeństwa.

Branża

Fintech, Aktywa Cyfrowe

Lokalizacja

Wielka Brytania / Kajmany

Czas

09.2024 - Obecnie (Aktywny Klient)

Firma

Startup z UK/Globalny, Fintech, Platforma Aktywów Cyfrowych

Wykorzystane technologie

AWS ECS Security Terraform GitHub Actions

O kliencie

Nasz klient to globalna platforma fintech działająca na styku tradycyjnych finansów i aktywów cyfrowych. Ich system zarządzania portfelem inwestycyjnym obsługuje wszystko, od klasycznych ETF-ów i papierów wartościowych po kryptowaluty i NFT, dla klientów na całym świecie. Firma zatrudnia około 50 osób i ubiega się o licencję bankową w Wielkiej Brytanii. To oznacza spełnienie tych samych rygorystycznych standardów bezpieczeństwa i operacyjnych, które obowiązują duże instytucje finansowe.

Zostaliśmy zaangażowani przez partnerski software house pełniący rolę zespołu deweloperskiego klienta. Nasza rola była i nadal jest rolą dedykowanego partnera ds. infrastruktury chmurowej i operacji bezpieczeństwa.

Wyzwanie

Devopsity zrealizowało już wcześniej początkową migrację środowisk klienta z Heroku do AWS. Migracja była szybka i skoncentrowana. Priorytetem było zejście z Heroku na stabilne fundamenty AWS, zanim upłynął termin biznesowy klienta.

Zadziałało. Platforma działała na AWS, była stabilna i obsługiwała ruch produkcyjny. Ale szybkość miała swoją cenę. Kilka decyzji podjętych podczas migracji było celowo pragmatycznych, a nie optymalnych. To kompromisy, które podejmujesz, gdy priorytetem jest „najpierw na produkcję, potem dopracowanie”.

Po kilku miesiącach na produkcji niedociągnięcia stały się widoczne:

Klient potrzebował drugiej fazy prac: nie migracji tym razem, ale modernizacji tego, co już istniało.

Ten projekt demonstruje nasze usługi CloudOps i utrzymania w połączeniu z ekspertyzą bezpieczeństwa i compliance zastosowane w regulowanym środowisku fintech.

Rozwiązanie

Nasze podejście polegało na potraktowaniu tego jako wewnętrznej migracji AWS. Zamiast łatać istniejącą konfigurację stopniowo, zbudowaliśmy nowy zestaw zoptymalizowanych zasobów obok działającej infrastruktury, zweryfikowaliśmy je i przenieśliśmy obciążenia. To minimalizowało ryzyko i dawało czystą linię bazową.

Migracja na Graviton

Wymieniliśmy całą warstwę compute ECS Fargate, przechodząc z tasków opartych na Intelu (x86) na procesory AWS Graviton (ARM). Instancje Graviton zapewniają około 20% lepszy stosunek ceny do wydajności dla tego samego obciążenia. Dla platformy uruchamiającej dziesiątki skonteneryzowanych usług całą dobę to szybko się sumuje.

To nie była prosta zmiana konfiguracji. Każdy obraz kontenera musiał zostać przebudowany dla architektury ARM, przetestowany pod kątem zależności aplikacji i zweryfikowany na środowisku przedprodukcyjnym przed przełączeniem produkcji. Ściśle współpracowaliśmy z zespołem deweloperskim, aby ich pipeline buildu produkowały obrazy multi-arch i nic nie psuło się w procesie.

Wynik: znacząca redukcja miesięcznego rachunku za compute bez degradacji wydajności. Te same obciążenia działają szybciej na tańszej infrastrukturze.

Środowiska podglądowe

Wprowadziliśmy tymczasowe środowiska podglądowe (preview environments) zbudowane na ECS Fargate. Każdy pull request uruchamia teraz krótkotrwałe, izolowane środowisko. Zespół deweloperski widzi swoje zmiany działające w realistycznej konfiguracji z własnymi serwisami, połączeniami do bazy danych i siecią, zanim cokolwiek dotknie współdzielonego stagingu.

To była jedna ze zmian, którą zespół deweloperski odczuł najszybciej. Zamiast kolejkować się za sobą na jednym środowisku staging, deweloperzy mogli pracować niezależnie i dostawać feedback bez narzutu koordynacji. Cykle review skróciły się, konflikty merge spadły, a ogólne tempo dostarczania funkcji wyraźnie przyspieszyło.

Usprawnienia CI/CD

Przebudowaliśmy pipeline CI/CD, aby rozwiązać punkty tarcia, z którymi zespół deweloperski zmagał się od początkowej migracji. Obejmowało to szybsze czasy buildów dzięki lepszemu cachowaniu i paralelizacji, zautomatyzowane etapy testowania wyłapujące problemy wcześniej, uproszczone kroki deployment usuwające ręczne bramki oraz klarowniejszy feedback. Deweloperzy widzieli dokładnie co się zepsuło i dlaczego, bez przeszukiwania logów.

Celem nie było dodawanie złożoności. Chodziło o usunięcie drobnych irytacji, które składają się w realne straty prędkości, gdy zespół dostarcza zmiany wiele razy dziennie.

Modernizacja bezpieczeństwa

Gdy klient aktywnie ubiegał się o licencję bankową w UK, bezpieczeństwo nie było opcjonalnym dodatkiem. To była praca, która odblokowywała szansę biznesową. Rozwiązaliśmy backlog HRI z Well-Architected Review systematycznie i zbudowaliśmy ciągłą praktykę operacji bezpieczeństwa wokół platformy.

AWS Security Hub stał się scentralizowanym dashboardem dla wszystkich ustaleń bezpieczeństwa. Przeglądamy go codziennie i pracujemy nad ustaleniami w ramach SLA opartego na severity. To zastąpiło fragmentaryczne, ręczne podejście, gdzie problemy bezpieczeństwa były śledzone niespójnie w arkuszach i ticketach.

Amazon GuardDuty monitoruje ruch sieciowy, logi DNS i wywołania API pod kątem zagrożeń. Gdy sygnalizuje podejrzaną aktywność, nasz zespół bada to natychmiast w ramach SLA.

Amazon Inspector skanuje obrazy kontenerów w trybie ciągłym. Nowe podatności uruchamiają nasz workflow naprawczy automatycznie, a krytyczne ustalenia blokują deployment. MTTR podatności spadł z 48+ godzin do poniżej 8 godzin.

AWS Config monitoruje infrastrukturę względem wzorców compliance i wyłapuje odchylenia konfiguracji, zanim staną się problemem bezpieczeństwa.

IAM Identity Center zastąpił rozproszonych użytkowników IAM scentralizowanym SSO z wymuszonym MFA. Zestawy uprawnień mapują się do funkcji stanowiskowych, sesje wygasają automatycznie, a ścieżki audytu są czyste. Koniec z długotrwałymi danymi uwierzytelniającymi (credentials) krążącymi po systemie.

AWS Secrets Manager obsługuje wszystkie dane uwierzytelniające aplikacji. Całkowicie wyeliminowaliśmy sekrety zapisane w kodzie i wdrożyliśmy automatyczną rotację.

AWS KMS zapewnia klucze szyfrujące zarządzane przez klienta dla danych w spoczynku. To wymóg dla usług finansowych obsługujących aktywa klientów.

Wdrożyliśmy również kompleksową strategię backupów z 7-letnim okresem przechowywania (retention), aby spełnić wymogi dokumentacyjne branży finansowej. Plan disaster recovery obejmuje backupy cross-region, udokumentowane procedury odtwarzania (restore) i coroczne ćwiczenia DR.

Łącznym efektem była 93% redukcja nakładu pracy na bezpieczeństwo i platforma, która mogła demonstrować swoją gotowość regulatorom i audytorom dowodami, a nie twierdzeniami.

Optymalizacja kosztów

Poza migracją na Graviton przepracowaliśmy kilka dodatkowych możliwości optymalizacji kosztów:

Każda rekomendacja zawierała oszacowanie wpływu kosztowego, aby klient mógł priorytetyzować na podstawie stosunku nakładu pracy do oszczędności.

Rezultaty

Co dalej

Faza modernizacji naturalnie przeszła w bieżący retainer utrzymania produkcji. Nadal pełnimy rolę zespołu operacji chmurowych i bezpieczeństwa klienta. Zarządzamy infrastrukturą, monitorujemy ustalenia bezpieczeństwa pod SLA, wspieramy zespół deweloperski w deployment i rozwiązywaniu problemów oraz ciągle optymalizujemy koszty. Platforma, która zaczynała jako szybka migracja z Heroku, jest teraz bezpiecznym, zoptymalizowanym kosztowo i dojrzałym operacyjnie środowiskiem AWS gotowym na regulacje finansowe.

Usługi AWS: Amazon ECS (Fargate), Amazon ECR, Application Load Balancer, Amazon RDS, Amazon ElastiCache, Amazon DocumentDB, AWS Secrets Manager, AWS KMS, AWS IAM Identity Center, AWS Security Hub, Amazon GuardDuty, Amazon Inspector, AWS Config, Amazon CloudWatch, AWS CloudTrail, Amazon S3, AWS Certificate Manager, Amazon Route53

Narzędzia: Terraform, GitHub Actions, Docker

Podsumowanie

Platforma, która zaczynała jako szybka migracja z Heroku, jest teraz bezpiecznym, zoptymalizowanym kosztowo i dojrzałym operacyjnie środowiskiem AWS gotowym na regulacje finansowe. MTTR podatności spadł z 48+ godzin do poniżej 8 godzin. Nakład pracy na bezpieczeństwo zmniejszył się o 93%. Platforma przeszła due diligence dużego amerykańskiego banku z zerową liczbą krytycznych ustaleń.