Innover au rythme du marché

Automatisation, meilleures pratiques et capacités en libre-service

NTT DATA a aidé Flexport à mettre en œuvre une automatisation qui fournit une infrastructure construite avec les meilleures pratiques en matière d'infonuagique et de sécurité. Les fonctionnalités de libre-service réduisent la complexité de plusieurs architectures de comptes AWS.

Flexport avait besoin d’une base de référence pour établir une base sécurisée pour les charges de travail. Il a utilisé la solution Développer les bases infonuagiques de NTT DATA pour créer une structure infonuagique sécurisée, évolutive et extensible avec les services AWS, y compris la tour de contrôle AWS. Avec une base solide, ces services fonctionnent ensemble pour former une base de sécurité qui permet une plus grande agilité et flexibilité.

Utilisation de AWS Control Tower

AWS Control Tower permet de configurer, de gérer et de sécuriser facilement plusieurs comptes à l’aide des services AWS intégrés. Les nouveaux comptes peuvent être provisionnés rapidement via le tableau de bord AWS Control Tower, qui fournit des garde-corps intégrés pour protéger les comptes AWS. La première étape du déploiement de la nouvelle solution Flexport a consisté à activer et à améliorer l'usine de comptes d'AWS Control Tower grâce à un pipeline de personnalisation qui déploie :

• La collecte centralisée des journaux, y compris AWS CloudTrail, VPC Flow Logs et AWS Config, pour assurer la traçabilité et renforcer la conformité.
• AWS Security Hub et Amazon GuardDuty pour donner aux équipes de sécurité une visibilité totale sur les organisations AWS
• Notifications à l'équipe de sécurité pour que des mesures correctives soient prises lorsque le système détecte des changements de garde-corps
• Des statistiques et alertes personnalisées Amazon CloudWatch pour renforcer la sécurité et la conformité des organisations AWS.

Mise en réseau en libre-service à grande échelle

Pour éviter les problèmes de mise en réseau qui peuvent survenir lors de la création de nouveaux comptes, NTT DATA a aidé Flexport à réaliser une mise en réseau à grande échelle. Les modèles en libre-service créent une base infonuagique unifiée, sécurisée, évolutive et extensible.

« Notre objectif est de permettre aux ingénieurs de se concentrer sur la mise en place de la plateforme Flexport pour la logistique globale plutôt que de s’inquiéter de la complexité de l’infrastructure AWS multi-comptes sous-jacente. Pour ce faire, nous faisons abstraction de l’infrastructure de base, en donnant à l’équipe une offre AWS-as-a-Service gérée et maintenue par nos équipes d’infrastructure infonuagique », a déclaré Taylor Merry, directeur des opérations de sécurité de Flexport. « Grâce à de nouvelles couches d’automatisation, cette offre a amélioré notre productivité globale tout en standardisant les efforts de sécurité, ce qui signifie que nous pouvons consacrer plus de temps aux initiatives de croissance de l’entreprise ».

Dans la solution libre-service AWS Service Catalog, les ingénieurs peuvent accéder à un portefeuille de produits réseau préapprouvés. Cette capacité simplifie la coordination entre les équipes pour les demandes de produits réseau tout en fournissant des solutions réseau normalisées. Le modèle en libre-service comprend le déploiement de nuages, la gestion de l'espace d'adresses IP, AWS Transit Gateway et la connectivité réseau.

1. Déploiement VPC : AWS Service Catalog fournit une interface utilisateur pratique au portefeuille de solutions VPC. Il partage la solution avec l'ensemble de l'organisation AWS et configure l'accès basé sur les rôles. Le portefeuille de solutions VPC comprend plusieurs produits à la demande afin que les utilisateurs puissent créer de nouveaux VPC pour différents cas d'utilisation, tels que le nombre de niveaux, la taille des blocs CIDR et les zones de disponibilité. AWS CloudFormation déploie VPC en tant qu'infrastructure comme code.
2. Gestion des adresses IP (IPAM) : des blocs CIDR uniques sont utilisés pour éviter les chevauchements entre différents segments de réseau. Le système demande à IPAM les blocs CIDR disponibles pour les nuages privés virtuels à l’aide des ressources personnalisées AWS CloudFormation. Le service de messages Amazon SNS crée une ressource personnalisée qui envoie des messages aux rubriques SNS pour demander ou libérer des blocs CIDR. Netbox IPAM est utilisé comme source unique de vérité. Il se déploie avec l’aide de Lambda, des conteneurs AWS Fargate et une base de données PostgreSQL déployée dans AWS RDS.
3. AWS Transit Gateway : Flexport connecte les VPC et les réseaux sur place à une seule AWS Transit Gateway qui fait office de passerelle. Il contrôle la façon dont le trafic est acheminé entre tous les réseaux connectés, qui agissent comme des rayons. Les nouveaux nuages privés connectés à AWS Transit Gateway sont automatiquement disponibles pour tous les autres réseaux connectés via cette passerelle. Ce modèle en étoile simplifie la gestion et réduit les coûts opérationnels, car chaque réseau doit uniquement se connecter à AWS Transit Gateway, non à tous les autres réseaux.
4. Connectivité réseau : L’AWS Serverless Transit Network Orchestrator (STNO) automatise la passerelle AWS Transit. À son tour, cela automatise le processus de configuration et de gestion des réseaux de transit dans les environnements AWS distribués. Dans le cadre de la solution STNO, la passerelle de transit AWS est configurée de telle sorte que Flexport puisse configurer différents styles de communication entre les VPC et la segmentation du réseau. Le résultat est une solution réseau évolutive qui s’adapte à travers les régions et les comptes.

Pratiques exemplaires en matière de sécurité des comptes

Chaque compte AWS est provisionné pour fournir les meilleures pratiques de sécurité intégrées avec :

• Garde-corps de la tour de contrôle AWS. Un mécanisme de contrôle de stratégie empêche les actions de compte qui peuvent causer des problèmes. Il détecte et fournit également des alertes aux actions qui déclenchent certaines règles ou seuils.
• Plateforme de sécurité AWS. Cela fournit des alertes de sécurité et active les normes CIS AWS Foundations.
• Renforcement des comptes avec AWS CloudTrail, groupes de gestion des identités et des accès (IAM), gestion VPC, Amazon GuardDuty et bien plus encore. Les traces AWS CloudTrail sont intégrées aux journaux Amazon CloudWatch pour auditer les comptes et suivre les ressources.

L'ensemble de la solution Flexport est basé sur AWS et les meilleures pratiques du secteur. Le résultat est une architecture fondamentale construite avec les meilleures pratiques de sécurité. « La sécurité par conception est un élément clé de tout ce que nous construisons, » dit Merry. « En tant qu'entreprise en pleine croissance, nous avons la possibilité d'établir des normes de sécurité à mesure que nous construisons. L’offre AWS-as-a-Service incarne ce principe ».

Avantages de la solution

Flexport a mis en place une automatisation qui offre des capacités en libre-service à ses ingénieurs. Il élimine la complexité sous-jacente afin qu'ils puissent se concentrer sur la création de la plateforme de l'entreprise pour la logistique mondiale. Avec un réseau qui évolue pour tenir pleinement la promesse d'une plus grande agilité de l'informatique dématérialisée, Flexport dispose d'une flexibilité commerciale. Il peut rapidement pivoter pour répondre aux demandes changeantes du marché et aux besoins des clients, assurant ainsi son élan continu.