AWSからHetznerへ移行してコストを90%削減、AnsibleでISO 27001を維持
(medium.com/@accounts_73078)- デンマークの人員管理会社Datapultは、AWSベースのインフラを欧州クラウドへ移行しながら ISO 27001 を維持し、月額2,000ドル規模のコストを大幅に削減したと明らかにした
- 移行の背景には、CLOUD ActとFISA の下で欧州顧客のデータが米国政府の管轄権にさらされる可能性への懸念と、年間24,000ドルの請求額の負担があった
- HetznerやOVHcloudのような 欧州所有のインフラ を使うことで、顧客や監査人に対してデータ所在地をより明確に説明できたという
- AWS Lambda、RDS、CloudWatchの利便性は低下したが、Ansible、Prometheus、Grafana、Loki で自ら自動化と監視を構成した
- AnsibleプレイブックをISO 27001 Annex Aの管理策と結び付けて 監査証跡資料 とし、削減したクラウド支出を事業に再投資した
AWS依存を減らした背景
- Datapultはデンマークの 人員管理会社 で、従業員のスケジューリング、残業手当の給与調整、勤怠データの単一の信頼できる情報源として機能している
- このサービスは単純なWebサービスより運用要件が厳しく、データは常に精算・集計され、失われてはならないという前提がある
- 既存インフラはAWSから始まり、法的要件のかなりの部分も AWSベースのワークフロー に合わせて設計されていた
- そのため移行はクラウドプロバイダーの切り替えではなく、法的要件と運用方法を同時に再調整する作業だった
AWSで大きくなったコンプライアンスとコストの負担
- 1つ目の負担は コンプライアンス上の空白 だった
- 米国のクラウドプロバイダーは、サーバーの物理的な場所に関係なく、米国政府の管轄権から完全に逃れることは難しいと判断した
- CLOUD ActとFISAの下で欧州顧客のデータが潜在的にさらされる可能性があり、GDPR上の約束を弱めると見なした
- 2つ目の負担は 月額2,000ドルのコスト だった
- 年間24,000ドルの請求額は、実際の必要性に比べて過大だと判断した
- RDSをマネージドPostgresインスタンスと自動化スクリプトで置き換えられるかを検討した
- 同じ費用であれば、欧州内にレジリエンスのある専用ハードウェアを確保できると考えた
AWSを離れることで手放した利便性
- AWSを離れると、マネージドサービスの利便性 は低下する
- Lambdaのような深く統合されたサービス
- RDSのワンクリックデプロイ
- ISO 27001監査を円滑にする組み込みのコンプライアンスツール・エコシステム
- マネージドサービスの快適さを手放した分、より高い水準の 統制と責任 を自ら担う必要がある
- こうした変化は、多くのチームにとって不安や実行遅延の原因になり得る
HetznerとOVHcloudへの移行で得た効果
- 欧州プロバイダーである HetznerとOVHcloud へ移行し、データ主権、コスト効率、運用統制の面でメリットを得た
- データ主権の面では、欧州所有のインフラでホスティングすることで データ所在地 を明確に証明できたという
- 顧客データがどこにあるのかを曖昧さなく説明できた
- GDPR監査とISO 27001再認証において重要な変化だったと評価している
- コスト面ではクラウドコストが 90%減少 した
- 高価なマネージドサービスを、自動化されたセルフホスティングソリューションで置き換えた
- 予算がより予測しやすく透明になったという
- 運用面では、AWSの事前構築ツールを失った代わりに、社内の能力が強化されたと見ている
- AnsibleベースのInfrastructure as Code構成を構築した
- 以前より強いセキュリティ統制と監査可能性を確保したという
Ansibleとオープンソース監視で作った運用体制
- Ansibleプレイブック を単なる設定自動化ではなく、コンプライアンスエンジンとして使った
- サーバー設定の各行をISO 27001 Annex Aの管理策と直接結び付けられる
- Infrastructure as Codeが自己文書化された監査証跡資料になる
- CloudWatchなしでもエンタープライズ級の監視を構成できると見ている
- Prometheus、Grafana、Loki の組み合わせを使用した
- AWSで持っていた可視性を再現し、一部の面ではさらに改善したという
- インシデント対応速度の向上に役立ったという
- クリックで適用できる既成のセキュリティソリューションがないため、セキュリティを基盤から自ら設計する必要があった
- Ansibleで自動化した security-by-design のアプローチを使った
- ISMS、すなわち情報セキュリティマネジメントシステムをより堅牢で、開発者が従いやすいものにしたという
事業に残った結果
- 米国の監視法に関連する コンプライアンスリスク を減らしたという
- 欧州ホスティングを営業ツールとして活用し、ブランドへの信頼を強化した
- クラウド支出の 90% を事業に戻したという
まだコメントはありません。