專門提供一站式雲端整合顧問服務與量身訂製解決方案的蓋亞資訊,透過一系列各項 Amazon Web Services(AWS)服務的導入,為使用 AWS 雲端平台的客戶提供專業的 AWS 代理與顧問服務,在協助客戶成功上雲的同時,也為客戶通盤解決雲端資安、CDN 加速、容器化服務管理、數據分析及應用程式開發等挑戰與問題。
以雲端服務整合專家之姿在業界建立口碑的蓋亞資訊,提供十分多元的服務內容,涵蓋雲端運算、網路、資安、儲存及加速等範疇,同時提供 Kubernetes(K8S)容器化服務管理、原始碼掃描與 CI/CD 持續整合/持續交付工作流程等服務,目前已累積超過 600 家的企業客戶。
「蓋亞資訊是一家雲原生解決方案供應商,創立宗旨即在協助企業將地端基礎設施與應用,一對一地映射至雲端上,」蓋亞資訊創辦人兼執行長吳炳鈞表示。「歷經多年的市場深耕,蓋亞資訊尤其在 K8S 與資安兩個領域被業界奉為專家級的服務供應商。」
專業級 K8S 與資安服務,協助企業打造 DevSecOps 文化
蓋亞資訊身為 Linux 基金會旗下雲原生運算基金會(Cloud Native Computing Foundation, CNCF)認證合作夥伴,致力於推廣容器化技術及 K8S 技術人才的培育,提供許多 K8S 訓練課程,並擁有全台業界最多,共 5 名的 CNCF授權認證講師(LFAI / Linux Foundation Authorized Instructor)。除此之外,自 2015 年成立以來,蓋亞資訊便始終將雲端安全視為首要專注的領域之一,占總體業績 1/3,更在今年成立全新資安部門進一步協助客戶處理越來越複雜的雲端安全問題。
針對有容器化技術導入需求的 AWS 客戶,蓋亞資訊協助規劃導入及建置AWS 自行維護的 K8S 發行套件代管服務 Amazon Elastic Kubernetes Service(Amazon EKS)服務,企業用戶無須安裝、操作和維護自己的 K8S 控制平面或節點。而對K8S 容器技術不太熟悉的企業客戶,蓋亞資訊研發總監林厚年則建議可使用介面更親和的 Amazon Elastic Container Service(Amazon ECS)全代管容器協同運作服務入手,不論在容器部署、管理或擴展上都能更得心應手。
▲蓋亞資訊技術協理王維揚從長年的客戶經營與互動中發現,提供網站或 API 等對外服務的企業客戶大多會先將效能核心問題解決後,才開始導入雲端安全服務。(Source:科技新報攝)
因此,高效能與安全性兼具的 Amazon CloudFront 內容交付網路(CDN)服務,或者支援可用性、安全性與高效能的 Amazon Simple Storage Service(Amazon S3)物件儲存服務就成了雲端導入前,解決效能問題的首選,即使後端服務位在基礎設施較差國家及區域,效能也能獲得明顯的改善。
然而,當遭遇當前最常見的重大安全威脅DDoS 攻擊時,蓋亞資訊也提供AWS Shield 代管式 DDoS 保護服務,確保企業在 AWS 上運行的關鍵應用服務能在遭受巨大流量攻擊時仍正常營運。搭配上 AWS WAF 網站應用程式防火牆服務,能杜絕 開放網路軟體安全計畫(Open Web Application Security Project,OWASP)十大威脅(例如 Web 入侵程式、機器人程式等)的侵害。最重要的是,透過導入雲端安全服務所濾掉的惡意流量,可以讓企業避免掉可觀的無效雲端費用支出。
對於企業而言,安全意識與文化的建立是安全防護機制能有效發揮的關鍵第一步。AWS 提出了「共同責任模型」(Shared Responsibility Model),將安全與合規視作 AWS 和客戶的共同責任。模型中將安全責任劃分成由 AWS 所負責「雲端本身的安全」及客戶負責之「雲端內部的安全」。透過協助大量企業客戶解決知名 Log4J 安全漏洞攻擊事件,林厚年發現除了導入 AWS 雲端安全服務外,打造 DevSecOps 開發營運安全工作流程之文化,才是快速解決各種安全問題的最有效方法。
兼顧安全、效能與成本效益的 AWS 服務,推動微服務與容器化利器
蓋亞資訊導入 AWS 就是為了能夠服務使用 AWS 平台的客戶,提供獨立存取的帳務系統。而最初透過 PoC 概念驗證的方式評估測試了AWS Athena及AWS RedShift 互動式資料分析服務,以蓋亞資訊未來兩年的資料成長量、整體數量與處理頻率等做為評估基準,最終選擇導入 Amazon Athena,避免了許多因資料搬移而可能導致的額外成本。
除了在 Amazon EKS 上堆建 API 伺服器外,蓋亞資訊同時也使用了 Amazon Relational Database Service(Amazon RDS)代管式關聯式資料庫服務來儲存整理完成的客戶資料。而優化 API 回應時間部份,該公司特別導入 Amazon ElastiCache 全代管記憶體內快取服務避免造成資料庫的額外壓力與負擔,大幅提升 API 與資料庫的效能。
Amazon Athena 是一項以量計價的無伺服器代管服務,能利用控制每天呼叫的頻次達成成本控管之目的。藉此,透過 Amazon Athena 與 Amazon RDS 等服務,能讓蓋亞資訊的資源發揮最佳成本效益。
為了避免單點故障(Single Point of Failure,SPOF)風險,蓋亞資訊特別將前端與後端的資料流進行切分,其架設在 AWS 平台上的前端網站資料流也是直接串接至 S3。會選擇 S3 的原因,除了能提供驚人 11 個 9 的高可靠性之外,也能便捷地將 Amazon CloudFront CDN 服務建置在前面,完美符合蓋亞資訊推動微服務與容器化的理念與精神。
IaC 自動化與 Data Pipeline 雙管齊下,發揮 AWS 彈性擴充最大效益
前期所規劃的一些基本服務,蓋亞資訊多半採手動方式進行存取權限的設定,如今則計畫採用全自動化的基礎架構即程式碼(Infrastructure as Code,IaC)的方式進行部署,並定期檢視雲端服務的合規、存取控制等組態配置狀況。預計透過顧問服務的方式,協助客戶運用 IaC 加速雲端服務佈建與相關組態配置的速度。
針對資料處理流程,以資料處理流程的方式搭配 AWS eventbridge 事件觸發與 AWS Lambda 無伺服器運算的機制來進行自動化的資料搬移與轉換, 代替傳統 ETL 資料擷取/轉換/載入的方式,例如該公司透過 Amazon Athena 處理的第一層原始資料,可藉此自動化傳送至 Amazon RDS 上。
▲蓋亞資訊研發總監林厚年表示:「AWS 服務最強大的優點,莫過於整體資料管理架構可以輕鬆隨著不同時期的資料量成長彈性擴充。」(Source:科技新報攝)
在導入 AWS 服務的過程中,除了豐富完整的參考資料之外,AWS 還提供名為 AWS 解決方案(AWS Solutions)的網站服務,其中有針對各種 AWS 解決方案的技術參考實作、架構圖及部署指南,使用者甚至可以透過範本輕鬆完成自動部署與隨需配置等作業,進而有效提升 AWS 服務的部署/執行效率與生產力。
也因此,AWS 相關服務的導入與設定非常容易、快速。吳炳鈞表示,除了資料格式的定義需要協助,並藉由 AWS 解決方案架構師助理級(Solution Architect – Associate)證照的取得,以及 AWS 專業團隊的輔導,來補強該公司同仁的大數據技術能力之外,在導入 AWS 服務與開發過程都十分順利。針對導入時間,該公司以自身導入 Amazon CloudFront 為例,有完整源站及規則資訊下, 設定完CloudFront 到生效上線時間可短至15-30 minutes內。至於 AWS Shield 服務更用不到半天的時間即完成啟用,讓企業用戶在 AWS 上的服務立即擁有抗 DDoS 攻擊的能力。
AWS 服務節省 15% 傳統硬體成本,服務權限設定快上 3-5 倍
AWS 服務導入為蓋亞資訊帶來許多值得一述的明顯成效,該公司分析,透過各項 AWS 服務的導入,成本比起傳統硬體的建置能平均節省 15% 左右的支出成本。更重要的,AWS 服務極具擴展性,它可以有效節省傳統硬體進行擴展時約 2 到 3 個月的前置時間(Lead Time)。「過去想要在地端部署某項服務,光伺服器與儲存的整體投資就動輒上百萬。如今雲端服務極具成本控制優勢,初期我們整體雲端維運租賃費用甚至只需幾萬元就能搞定,」林厚年表示。
再者,IaC 自動化機制的導入效益十分顯著,它比起傳統手動進行服務存取權限的設定作業快了三到五倍的時間,並大幅降低人為錯誤發生的機率。王維揚並指出,IaC 自動化作業也讓技術部門手工搭建架構的負擔減輕了一半以上。
蓋亞資訊除了自己的成功經歷外,也協助許多客戶成功享受 AWS 服務帶來的諸多效益,其中就曾成功協助某遊戲業者完成旗下服務的全面容器化,並搭建在 Amazon EKS 之上,透過 Amazon Opensearch 服務,滿足其更精確日誌分析的需求。
對一家跨國企業來說,疫情、政治、戰爭等國際局勢的變因會對公司營運產生風險,目前已有企業因為這些原因尋求蓋亞資訊的協助,蓋亞立即協助該公司將地端全部上雲,進而有效降低單點故障的風險。此外,在某電商客戶 API 服務遭駭並導致後端銷售資料遭到惡意篡改後,蓋亞透過滲透測試服務成功找到並修補其 API 服務弱點。
持續強化客戶雲端安全,轉型 MSP 協助更多客戶上雲
展望未來,隨著愈來愈多的同仁使用 AWS 雲端服務,蓋亞資訊將為這些服務導入自家 Single Sign-On(SSO)單一簽入解決方案,以取代原本使用的 Identity and Access Management(IAM)使用者帳密登入機制。在資料管理方面,除了持續運用現有資料庫進行其他服務的強化之外,未來將導入無伺服器 AWS AppSync 加速應用程式開發功能與 Amazon DocumentDB 全代管資料庫服務,以進行用戶基本資料與行為的自動化蒐集與剖析作業。
蓋亞資訊部門成立的目的在於持續強化 AWS 客戶旗下網站與服務的安全性。對此,蓋亞資訊會更加專研自動化、AWS WAF(Website Application Firewall)設定與邊緣調控的全面優化,並計畫導入 SIEM (Security Information and Event Management)安全資訊與事件管理方案,以杜絕帳號過度授權、服務過度曝露的可能風險。目前該公司已完成 LOG日誌集中化作業,接下來會全面展開 SIEM 分析、告警、自動回應與處理機制的建置與優化工作。
▲強化 AWS 客戶旗下網站與服務的安全性為蓋亞資訊下一階段任務。(Source:科技新報攝)
吳炳鈞滿懷期許地表示,明年的重頭戲莫過於代管型服務的推出,屆時蓋亞資訊將轉變成為能協助更多缺乏雲端/容器技術人力與知識的企業也能享受全面上雲與容器化效益的 MSP (Managed Service Providers)代管服務供應商。今後,蓋亞資訊不僅希望成為培育更多容器技術人才的首選園地,更成為能協助更多企業上雲的數位轉型推手。
(首圖來源:科技新報攝;首圖圖說:圖為蓋亞資訊創辦人兼執行長吳炳鈞)
留言 0