Innover au rythme du marché

La solution

NTT DATA a aidé Flexport à implémenter une automatisation qui fournit une infrastructure conçue selon les meilleures pratiques en matière d’infonuagique et de sécurité, ainsi que des capacités de libre-service qui éliminent la complexité des architectures AWS à comptes multiples.

Une base de référence est nécessaire pour mettre en place une fondation sûre pour les charges de travail, ce qui a été réalisé pour Flexport avec la solution Développer les bases infonuagiques de NTT DATA. Elle permet de créer une structure infonuagique sécurisée, extensible et évolutive avec les services AWS, notamment la AWS Control Tower. Ces services forment ensemble une base de sécurité solide qui permet une plus grande agilité et flexibilité.

Utilisation de AWS Control Tower

AWS Control Tower permet de configurer, de gérer et de sécuriser facilement plusieurs comptes à l’aide des services AWS intégrés. Les nouveaux comptes peuvent être rapidement provisionnés à l’aide du tableau de bord de AWS Control Tower, qui fournit des garde-fous intégrés pour protéger les comptes AWS. La première étape du déploiement de la nouvelle solution a consisté à activer et à améliorer l’Account Factory d’AWS Control Tower avec un pipeline de personnalisation. La personnalisation déploie :

• La collecte centralisée des journaux, y compris AWS CloudTrail, VPC Flow Logs et AWS Config, pour assurer la traçabilité et renforcer la conformité.
• AWS Security Hub et Amazon GuardDuty pour donner aux équipes de sécurité une visibilité totale sur les organisations AWS
• Des notifications à l’équipe de sécurité pour action corrective lorsque des changements de garde-fous sont détectés.
• Des statistiques et alertes personnalisées Amazon CloudWatch pour renforcer la sécurité et la conformité des organisations AWS.

Mise en réseau en libre-service à grande échelle

Pour éviter les problèmes de mise en réseau qui peuvent survenir lors de la création de nouveaux comptes, NTT DATA a aidé Flexport à mettre en place une mise en réseau à grande échelle grâce à des modèles en libre-service qui créent une base infonuagique unifiée, sécurisée, évolutive et extensible.

« Notre objectif est de permettre aux ingénieurs de se concentrer sur la mise en place de la plateforme Flexport pour la logistique globale plutôt que de s’inquiéter de la complexité de l’infrastructure AWS multi-comptes sous-jacente. Pour ce faire, nous faisons abstraction de l’infrastructure de base, en donnant à l’équipe une offre AWS-as-a-Service gérée et maintenue par nos équipes d’infrastructure infonuagique », a déclaré Taylor Merry, directeur des opérations de sécurité de Flexport. « Grâce à de nouvelles couches d’automatisation, cette offre a amélioré notre productivité globale tout en standardisant les efforts de sécurité, ce qui signifie que nous pouvons consacrer plus de temps aux initiatives de croissance de l’entreprise ».

Dans la solution libre-service Catalogue des services AWS, les ingénieurs peuvent accéder à un portefeuille de produits réseau pré-approuvés, ce qui simplifie la coordination entre les équipes pour les demandes de produits réseau tout en fournissant des solutions réseau standardisées. Le modèle en libre-service comprend le déploiement de nuages privés virtuels, la gestion de l’espace d’adresses IP, AWS Transit Gateway et la connectivité réseau.

1. Déploiement de nuages privés virtuels : Le catalogue des services AWS fournit une interface utilisateur pratique pour le portefeuille de solutions de nuages privés virtuels. Il partage la solution avec l’ensemble de l’organisation AWS et configure un accès basé sur les rôles. Le portefeuille de solutions de nuages privés virtuels comprend plusieurs produits que les équipes peuvent activer à la demande, ce qui permet aux utilisateurs de créer de nouveaux nuages privés virtuels pour différents cas d’utilisation (p. ex. nombre de niveaux, taille des blocs CIDR, zones de disponibilité, etc.) AWS CloudFormation déploie les nuages privés virtuels en tant qu’infrastructure as code (IaC).
2. Gestion des adresses IP (IPAM): Des blocs CIDR uniques sont utilisés pour éviter les chevauchements entre les différents segments de réseau. Le système demande à l’IPAM les blocs CIDR disponibles pour les nuages privés virtuels à l’aide des ressources personnalisées AWS CloudFormation. Le service de messages Amazon SNS crée une ressource personnalisée qui envoie des messages aux rubriques SNS pour demander ou libérer des blocs CIDR. Netbox IPAM est utilisé comme seule source de référence et est déployé à l’aide de Lambda, de conteneurs AWS Fargate et d’une BD PostgreSQL déployée dans AWS RDS.
3. AWS Transit Gateway : Flexport connecte les nuages privés virtuels et les réseaux sur place à une seule passerelle AWS Transit Gateway qui agit comme une plateforme centrale pour contrôler la façon dont le trafic est acheminé entre tous les réseaux connectés qui agissent comme des rayons. Les nouveaux nuages privés virtuels connectés à AWS Transit Gateway sont automatiquement disponibles pour tous les autres réseaux connectés via AWS Transit Gateway. Ce modèle en étoile simplifie la gestion et réduit les coûts opérationnels, car chaque réseau doit uniquement se connecter à AWS Transit Gateway et non à tous les autres réseaux.
4. Connectivité du réseau : AWS Transit Gateway est automatisé avec le Serverless Transit Network Orchestrator (STNO) d’AWS qui automatise le processus de configuration et de gestion des réseaux de transit dans les environnements AWS distribués. Dans le cadre de la solution STNO, AWS Transit Gateway est configuré de manière à ce que Flexport puisse configurer différents styles de communication entre les nuages privés virtuels et la segmentation du réseau, ce qui permet d’obtenir une solution réseau évolutive au niveau des régions et des comptes.

Pratiques exemplaires en matière de sécurité des comptes

Chaque compte AWS est approvisionné de manière à garantir l’intégration des pratiques exemplaires de sécurité :

• Les garde-fous de AWS Control Tower, un mécanisme de contrôle des politiques qui empêche les actions du compte susceptibles de causer des problèmes et détecte et fournit des alertes aux actions qui déclenchent certaines règles ou certains seuils.
• AWS Security Hub pour les alertes de sécurité et la mise en œuvre des normes CIS AWS Foundations.
• Renforcement des comptes avec AWS CloudTrail, groupes de gestion des identités et de l’accès, gestion des nuages privés virtuels, Amazon GuardDuty, etc. Les pistes AWS CloudTrail sont intégrées aux journaux Amazon CloudWatch pour l’audit des comptes et la surveillance des ressources.

L’ensemble de la solution Flexport repose sur AWS et sur les pratiques exemplaires de l’industrie, ce qui se traduit par une architecture de base fondée sur les pratiques exemplaires en matière de sécurité. « La sécurité dans la conception est un élément clé de tout ce que nous concevons », a déclaré M. Merry. « En tant qu’entreprise en pleine croissance, nous avons la possibilité de définir des normes de sécurité en partant de zéro. L’offre AWS-as-a-Service incarne ce principe ».

Avantages de la solution

Flexport a mis en place un système d’automatisation qui offre des capacités de libre-service à ses ingénieurs, en éliminant la complexité sous-jacente afin qu’ils puissent se concentrer sur la mise en place de la plateforme Flexport pour la logistique internationale. Grâce à un réseau évolutif permettant de tenir pleinement la promesse d’une plus grande agilité en nuage, Flexport dispose de la souplesse commerciale nécessaire pour s’adapter rapidement à l’évolution de la demande du marché et des besoins des clients, ce qui lui permet de poursuivre sur sa lancée.