selo-aws-partner

CASES

Apresentação

A Red Asset [1] é uma empresa de recebíveis sólida e com mais de 28 anos no mercado, que realiza operações de crédito e fomento a médias e grandes empresas, entregando resultados consistentes e reconhecidos no mercado.

A Darede[2], empresa parceira Premier AWS, conta com uma série de profissionais altamente capacitados, e por isso foi convidada para participar deste projeto. A experiência em migrações e sustentação em Instituições Financeiras também foi um fator preponderante para o convite e participação no processo. 

Arquitetura geral

O ambiente apresentado neste documento se refere a arquitetura do cliente Red Asset, composto por recursos do tipo EC2 e RDS de produção mais os recursos complementares. Com duas zonas de disponibilidade. O Cliente também possui ambiente externo à AWS, sendo este On-Premisses e baseado em tecnologia VMware.

O Diagrama abaixo representa os serviços e arquitetura do ambiente:

SOC - Security Operation Center

Desafio

Com um crescimento rápido e constante, a Red Asset obtém a cada dia ainda mais reconhecimento entre seus clientes e parceiros, que resultam em um aumento expressivo de novos negócios para a empresa. Assim, a Red Asset observou a necessidade de ter um time de especialistas dedicado ao atendimento de eventos notáveis de segurança, com monitoramento proativo, resposta e remediação a incidentes de segurança, atividades de correção.

Desafios e pontos de atenção deste cenário: 

Necessidade de atendimento 24×7;

Gestão de eventos notáveis e resposta a incidentes de segurança;

Implementação e gestão de uma Solução de SIEM para SOC;

Monitoramento de todos os recursos AWS em todas as regiões;

Custo elevado com mão de obra especializada em segurança nos cenários de tecnologia;

Arquitetura e Implantação do SOC

Baseando-se nos elementos apontados acima, a Darede planejou e arquitetou o ambiente para implementação da solução de SIEM para SOC com Elastic Stack, com centralização de logs e análise inteligente de eventos de segurança.

Abaixo estão as definições e funcionalidades da solução proposta para a Red Asset, em execução na AWS:

Implementação e gestão da solução de SIEM para SOC;

Time especializado para resposta a eventos notáveis de segurança;

Atendimento 24×7 com escalonamento e plantão;

Gestão de logs centralizada e políticas de lifecycle para o consumo dos logs, incluindo CloudTrail logs e VPC Flowlogs;

Melhoria contínua com AWS SecurityHub;

A figura 1 é um diagrama macro da solução proposta para a Red Asset, que busca descrever o ambiente final:

red-asset-arquitetura

Resultado

Ao término do projeto, a Red Asset passou a contar com um ambiente seguro, estável e escalável. Abaixo uma listagem dos benefícios e resultados desta implementação:

  • Solução disponível 24/7

            o Alta disponibilidade da solução implementada na AWS;

            o Escalabilidade dos recursos na AWS provisionados;

            o Facilidade de integração de serviços com AWS: S3, VPC FlowLogs etc; 

            o Múltiplas regiões atendidas;

  • Monitoramento e atendimento 24/7

            o Redução de eventos notáveis de segurança com ajuste constantes de regras e automação de remediações;

            o Notificação de eventos críticos de segurança por SMS;

AWS WAF

O WAF é um firewall que protege contra explorações comuns da Web. Sabendo disso temos que sempre estar dentro das conformidades de segurança para assegurar a proteção contra tráfegos maliciosos.

Desafio

O Cliente precisava de um site que não sofresse com indisponibilidades, então a Darede fez uma análise do ambiente validando configuração corretas do WAF, e averiguamos a conformidade com o modelo da AWS.

Arquitetura proposta

Implementação e melhores práticas

A implementação se seguiu nos seguintes passos:

  • Criamos um WAF para este cenário;
  • Utilizamos as regras gerenciadas e atualizadas dinamicamente pela AWS;
  • Aplicamos regras específicas para o DDos, exemplo “AWSManagedRulesBotControlRuleSet” que oferece proteção contra bots automatizados que podem consumir recursos em excesso, distorcer métricas de negócios, causar tempo de inatividade ou realizar atividades maliciosas, e, “AWSManagedRulesAnonymousIpList” ela contém regras que permitem bloquear solicitações de serviços que permitem ofuscar a identidade do visualizador.

Para que a Darede garanta que as regras permaneçam atualizadas para novas ameaças.  Criamos um AWS CloudFormation na conta da Darede que cria um Lambda que assume uma função na conta do cliente, atualizando assim o IPSET da BlackList do cliente.

Resultado

A implementação do WAF foi um sucesso, os testes foram realizados pela equipe de Redteam utilizando ferramentas como Nessus e Kali, onde foi comprovado sua efetividade de acordo com as necessidades do cliente. E ao fim seguimos acompanhando e provendo suporte para impedir a redução expressiva da indisponibilidade do site com trabalho de aplicação de gestão do WAF com requisições suspeitas e indevidas sendo bloqueadas sem gerar impacto no site.

AWS CONFIG

O AWS Config é um serviço totalmente gerenciado que oferece inventário de recursos, histórico de configuração e notificações de alteração de configuração para usar a segurança e governança.

Desafio

Trabalhos proativos, foram realizados levantamento de contas ainda sem habilitação do Config pós observação da equipe de SOC via Security Hub. Houve trocas de e-mail detalhando o trabalho de habilitação e configuração de regras customizadas buscando melhoria na visibilidade e rastreabilidade do ambiente a ser monitorado pela equipe de SOC da Darede.

Arquitetura proposta

Implementação e melhores práticas

Utilizamos um lambda em uma de nossas contas que realiza um sts de assume role na conta alvo trigando um CloudFormation armazenado em um s3 yaml em nossa conta; este CloudFormation contém o código para a ativação do Config + Config Record nas regiões solicitadas via Lambda além da ativação das seguintes regras: Checagem de security groups com liberação de ssh (restricted-ssh), checagem de ec2 utilizando subnets publicas (ec2_vpc_public_subnet), checagem de EBS sem uso (ec2-volume-inuse-check), checagem de Elastic IP sem uso(eip-unattached), checagem de MFA no usuário root (root-account-mfa-enabled).

É também um padrão da Darede sempre criptografar todos os buckets do Amazon S3 dos clientes e desse modo para termos um controle de segurança adequado desenvolvemos a seguinte solução:

Este modelo do CloudFormation representado acima realiza as seguintes configurações:

  1. Cria um AWS Lambda;
  2. Faz a associação do Lambda a uma Custom Config Rule;
  3. Configura a frequência de checagem diariamente;
  4. Lista todos os buckets e suas configurações de criptografia;
  5. Caso haja buckets não criptografados, será aplicada criptografia default S3-SSE.

No caso do cliente Red asset, por ser um cliente recorrente no pilar de segurança, foram trocados e-mails com detalhamento acima das atividades, houve aceite da parte do cliente então realizamos o escopo definido na ativação do CloudFormation.

Resultado

A implementação do AWS Config foi um sucesso, aumentando a maturidade e controle do cliente, sendo assim a Darede fez o trabalho de continuidade no serviço para o cliente instruindo o cliente sobre as vantagens do serviço do AWS Config.

Referências

[1] https://www.redasset.com.br/

[2] https://www.darede.com.br/

CONHEÇA OUTROS CASES

A Darede atuou no Banco Semear e conseguiu maximizar a performance do ambiente, conseguindo trazer mais confiabilidade e disponibilidade dos serviços AWS.

A Uncenografia buscou a Darede com o desafio de migrar suas cargas de trabalho para um ambiente em cloud. Veja como foi a atuação da Darede!

Veja a atuação da Darede na F3 Capital.

Confira o trabalho da Darede ao atualizar toda infraestrutura da Monouso para comportar suas demandas que estavam em constante crescimento.

Visão Geral Com mais de 40 anos dedicados à inovação e à excelência no ensino, o Sistema Positivo de Ensino trabalha em parceria com uma rede de milhares de escolas. Atualmente possui soluções para recursos didáticos, tecnologia educacional, assessoria, formação e gestão escolar. Neste blog post será abordado como o Sistema Positivo de Ensino modernizou o Positivo On, sua solução de tecnologia educacional na nuvem AWS em conjunto aos parceiros DaRede, Kumulus e New Relic e quais foram os ganhos em relação a custos, operação, escalabilidade, disponibilidade e segurança. O desafio Em março de 2019, a Arco Educação comprou o Sistema Positivo de Ensino. A partir de então, assumiu a gestão tecnológica do sistema Positivo On, a plataforma virtual de aprendizagem do Sistema Positivo de Ensino, a qual apresenta um conjunto de tecnologias e recursos que potencializam o aprendizado e o engajamento dos alunos, os quais aprendem de acordo com o próprio ritmo. Entre as ferramentas estão a Sala de Aula Virtual, Livros Digitais e Plano Semanal de Aulas, entre outros. Gestores, professores e famílias também acessam o Positivo On para obter relatórios em tempo real sobre o desempenho do aluno. Atualmente são milhares de alunos e escolas atendidas, sendo que em 2021 foram mais de 3600 alunos aprovados no SiSU. Todo o sistema Positivo On estava baseado em outro provedor de nuvem, e sua arquitetura não seguia boas práticas em relação a escalabilidade, disponibilidade e segurança. A arquitetura foi implementada manualmente, dificultando a gestão de centenas de componentes pelo time de engenharia de DevOps, os times de desenvolvimento não tinham visibilidade dos logs e métricas e a implantação não era totalmente automatizada, atrasando correções e novas entregas. Além disso, era necessário manter sistemas legados que estavam super provisionados e não eram performáticos. Com novas escolas utilizando o sistema Positivo On, as dificuldades aumentavam e consequentemente a necessidade de modernização e melhoria da arquitetura em um curto prazo de tempo. A decisão de migrar para nuvem AWS veio a partir da análise de custos e necessidades de escalabilidade e segurança. Com o uso de metodologia Ágil, foram formadas squads dedicadas a cada uma das aplicações do sistema Positivo On. Foram engajados três parceiros, DaRede, Kumulus e New Relic, para suprir as necessidades técnicas dos squads e acompanhar a entrada em produção de cada um dos workloads. Definição da Estratégia de Migração O processo de migração seguiu três fases se adequando as necessidades dos squads: Avaliação: No início de sua jornada, a organização é avaliada em termos de como operar na nuvem. São também identificados os resultados de negócio desejados e desenvolvido o caso de negócios para a migração. Mobilizar: Um plano de migração começa com uma levantamento das interdependências entre aplicações e avalia as estratégias de migração para atender aos objetivos do caso de negócios. Também é colatado os dados do portfólio de aplicações e definida a estratégia de migração: realocar, reformular a hospedagem, replataforma, refatorar, comprar novamente, retirar ou reter. Migrar e Modernizar: Durante a fase Migrar e Modernizar, cada aplicação é projetada, migrada e validada. Para os ambientes mais novos foi decidido manter a arquitetura de microsserviços, mas efetuar uma replataforma para ambientes containerizados. Além da estratégia de containerização, serviços de migração como o AWS Migration HUB e AWS Application Discovery foram utilizados para auxiliar no processo de migração do ambiente legado, efetuando uma nova migração e refatorando em alguns casos para utilizar a nova plataforma. Arquitetura do projeto A containerização possibilitou uma melhor escala, além da facilidade de empacotamento das aplicações, economia de recursos, maior isolamento e portabilidade, para facilitar a gestão do ambiente. Também foi utilizado serviços serverless, diminuindo a quantidade de recursos de infraestrutura para efetuar manutenção e gestão, passando a maior parte do gerenciamento para AWS e focando na melhoria da aplicação. Além disso, essa escolha arquitetural possibilitou otimizar o uso dos serviços em nuvem e escalando conforme a necessidade. Figura 1 – Arquitetura AWS Foi construída uma estrutura de fundação utilizando o AWS Control Tower para gerenciamento de GuardRails, AWS SSO para autenticação centralizada, AWS Transit Gateway para centralização do tráfego de rede e VPN Client-to-site gerenciada AWS, provendo uma conectividade de alta performance e altamente disponível. O diagrama de arquitetura ilustrado acima possui os principais componentes utilizados na solução, sendo esses componentes replicados para os diferentes ambientes em diferentes contas, como desenvolvimento, homologação e produção. A arquitetura foi desenhada para ser escalável através de serviços serverless para containers, sendo o Amazon ECS o orquestrador utilizado e o AWS Fargate para provisionamento das APIs. Para camada de dados foi utilizado armazenamento de objetos no Amazon S3 e o Amazon RDS como serviço gerenciado de banco de dados para SQL Server e PostgreSQL. Pensando em segurança na borda, foram utilizados serviços como o AWS WAF e AWS Secrets Manager. As integrações entre o Azure DevOps, ferramenta já utilizada pelos times do Sistema Positivo de Ensino, foram configurados para integrar com a AWS. Todos componentes foram provisionados através de infraestrutura como código (IaC) utilizando os módulos AWS para Terraform. Durante os testes de cada microsserviço, foi adicionada uma nova etapa para testes de carga utilizando a solução Distributed Load Testing, automatizando o processo de simulação de alto tráfego de usuários de forma distribuída, ajudando os times de desenvolvimento a identificarem as métricas de escala e performance da aplicação. Resultados obtidos Como resultado, o projeto obteve: Redução de custos: A economia em relação ao custo anterior no outro provedor de nuvem foi de mais de 50%. Além da otimização do ambiente, a utilização de serviços serverless possibilitou o pagamento conforme o uso, permitindo o sistema Positivo On enfrentar momentos de pico específicos em situações como início das aulas e entrega de provas e atividades. Segurança: Após a migração para AWS, foi implementada segurança na camada 7 (aplicação) através do AWS WAF, camada 3 (redes) utilizando serviços de rede do Amazon VPC além do uso de serviços de segurança em nuvem como o AWS Config e o AWS Security Hub para identificar ações fora de conformidade.

Com a finalidade de suportar a quantidade de acessos em suas campanhas publicitárias, a YPÊ requisitou os serviços da Darede. Veja como foi!

Confira a atuação da Darede na Comerc Energia na jornada de transformação de dados. Veja os benefícios adquiridos pela empresa no projeto.

Confira a atuação da Darede na Zabit, e como foi possível aumentar o desempenho e a escalabilidade do ambiente da empresa.

Confira a atuação da Darede na Tok&Stok ao migrar seu ambiente para a nuvem AWS. Veja os benefícios adquiridos pela empresa no projeto.

Para automatizar a criação de lojas, e garantir a disponibilidade das lojas dos clientes, a Idealware buscou os serviços da Darede. Confere aí!

Desde a sua fundação, em 1984, o Grupo Master tem assumido uma posição de pioneirismo no lançamento de produtos e antecipação de tendências, mantendo-se na vanguarda do mercado de capitais com marcantes participações nos segmentos em que atua. A Darede, empresa parceira Advanced AWS, conta com uma série de profissionais altamente capacitados, e por isso foi convidada para participardesse projeto. A experiência em migração e sustentação em InstituiçõesFinanceiras também foi um fator preponderante para o convite.  O Desafio: Devido a criticidade e constante crescimento do negócio, o Banco Master entendeu a necessidade de ter um time de especialistas dedicado ao atendimento de eventos notáveis de segurança, com monitoramento proativo, resposta e remediação a incidentes de segurança, além de atividades de correção. Desafios e pontos de atenção deste cenário:  Necessidade de atendimento 24×7; Gestão de eventos notáveis e resposta a incidentes de segurança; Implementação e gestão de uma Solução de SIEM para SOC; Monitoramento de todos os recursos AWS em todas as regiões; Custo elevado com mão de obra especializada em segurança nos cenários de tecnologia; Arquitetura e Implantação Baseando-se nos elementos apontados acima, a Darede planejou e arquitetou o ambiente para implementação da Solução de SIEM para SOC, com centralização de logs e análise inteligente de eventos de segurança. Abaixo estão as definições e funcionalidades da solução proposta para o Banco Master, em execução na AWS: Implementação e gestão da Solução de SIEM para SOC; Time especializado para resposta a eventos notáveis de segurança; Atendimento 24×7 com escalonamento e plantão; Gestão de logs centralizada e políticas de lifecycle para o consumo dos logs, incluindo CloudTrail logs e VPC Flowlogs; Melhoria contínua com AWS SecurityHub;  A figura 1 é um diagrama macro da solução proposta para o Banco Master,que busca descrever o ambiente final: Resultado Ao término do projeto, o Banco Master passou a contar com um ambiente seguro, estável e escalável. Abaixo uma listagem dos benefícios e resultados desta implementação: Solução disponível 24/7 Alta disponibilidade da solução implementada na AWS; Escalabilidade dos recursos na AWS provisionados; Facilidade de integração de serviços com AWS: S3, VPC FlowLogs etc; Múltiplas regiões atendidas; Monitoramento e atendimento 24/7 Redução de 60% de eventos notáveis de segurança ajuste constantes de regras e automação de remediações; Escalabilidade dos recursos na AWS provisionados; Notificação de eventos críticos de segurança por SMS;

Acompanhe a atuação da Darede ao implementar uma estrutura em cloud na Engie! Um projeto que proporcionou um ambiente mais produtivo para a empresa.

Precisa de ajuda? Ligue para nossa equipe no telefone +55 11 3900-1010

SOLICITE UM ORÇAMENTO

Nosso objetivo é oferecer inovação sustentada,
aliando resultados e valores.

© Copyright 2024 - Darede
Todos os direitos reservados | By Damidia Marketing & Conteúdo

EMPRESA

SOLUÇÕES

NEWSLETTER

REDES SOCIAIS

Facebook-square Linkedin Instagram Youtube

Nós usamos cookies para garantir e oferecer a melhor experiência de navegação em nosso site! Mais informações

ACEITAR & FECHAR
RECUSAR