Sobre a Wilson Sons
A Wilson Sons é o maior operador integrado de logística portuária e marítima do mercado brasileiro com mais de 180 anos de história. A companhia está presente nos principais portos da costa brasileira, desempenhando uma posição estratégica no que se refere à construção, manutenção e apoio logístico às embarcações que atendem ao mercado de óleo e gás. Também se diferencia pela abrangência dos serviços de gerenciamento marítimo, oferecidos nos mais importantes portos nacionais e no exterior.
Desafio
A Wilson Sons estava iniciando a sua jornada para cloud com o objetivo de modernizar sua infraestrutura e seus processos de TI. Devido ao grande número de aplicações que possuíam, traçaram algumas estratégias diferentes de adoção da nuvem.
A nova infraestrutura precisava seguir as melhores práticas de computação em nuvem, provendo alta disponibilidade, segurança e auditoria e conformidade com o Well-Architected.
Por ser uma empresa com muitos funcionários, era preciso estabelecer regras claras de uso e acesso a nova infraestrutura, para isso foi levado em consideração o Princípio de Privilégio Mínimo e adotadas as medidas de segurança apropriadas e em conformidade com o cenário corporativo em que a Wilson Sons se enquadra.
Solução
Para solucionar os desafios e implementar as boas práticas de operações na cloud, a Wilson Sons procurou a e-Core para ajudá-la na estratégia de adoção da nuvem e para auxiliá-los no alinhamento das estratégias de adoção na empresa.
Uma das estratégias escolhidas foi migrar sua infraestrutura local em VMware para a AWS utilizando VMware Cloud on AWS. Também usaram outra estratégia onde migraram algumas aplicações para os serviços próprios da AWS.
Para uma construção de ambiente mais completo, seguro e escalável, foi estruturada Landing Zones, separando os ambientes de desenvolvimento, homologação, QA, produção, entre outros em múltiplas contas com o Control Tower, que em conjunto com o AWS Organizations contribuem na melhoria da governança e na segurança dos ambientes que foram gerados.
A e-Core integrou o Single SingOn com o AWS Organizations para facilitar o acesso das múltiplas contas sem a necessidade de realizar configurações adicionais em cada uma delas, atribuindo permissões aos usuários com base nas suas funções e atendendo aos requisitos de segurança. Por ser uma empresa de grande porte e com uma grande quantidade de funcionários, integramos o Domain Controllers ao Single SingOn para ajudar com as requisições de segurança de autenticação, como login e verificação de permissões, onde uma conta principal consegue gerenciar as demais contas.Todas as contas criadas se comunicam entre si através do Transit Gateway atuando como um roteador de nuvem fazendo com que toda nova conexão seja feita apenas uma vez agilizando o acesso nas contas e garantindo segurança ao manter os dados criptografados. Para autenticação e gerenciamento de acesso à AWS foi utilizado o AWS SSO integrado com a base de usuários do cliente.
Além disso, para garantir ainda mais a segurança do ambiente e auditoria das ações realizadas nas contas, foram utilizados alguns serviços. Dentre eles está o CloudTrail, permitindo que a conta principal consiga registrar, monitorar e reter as atividades das demais contas, disponibilizando o histórico das atividades, além de conseguir deletar ações incomuns que surgirem, simplificando a análise operacional. Também foi utilizado o AWS Config com o objetivo de monitorar e gravar os registros de configurações, automatizando as configurações internas desejadas.
Já o Security Hub, oferece alertas de segurança dos status de conformidade das contas. Por fim o IAM Access Analyser, onde todos os logs são enviados para uma conta separada e permitido o acesso apenas das pessoas responsáveis pela área de segurança da informação. Os findings de segurança do Security Hub são centralizados em uma conta e acompanhados pelo cliente.
Para a segunda fase, tivemos a criação de uma estrutura CI/CD, em que foi utilizado o ECR para armazenar as imagens do container. O ECS do tipo Fargate foi usado para executar os aplicativos. O CodeBuild foi usado para criar imagens, enquanto o CodeDeploy foi usado para implantar aplicativos e o CodePipeline foi usado para criar pipelines de entrega. Para expor aplicações protegidas com AWS WAF e certificados digitais gerenciados pela ACM, foi utilizado o Application Load Balancer. Já para o monitoramento e alarme, foram usados o Cloudwatch e Container Insights.
Resultado
O cliente agora consegue gerenciar de forma centralizada todas as contas da AWS, com políticas definidas pela equipe corporativa, mais controle sobre o tráfego de rede e conexões entre os ambientes cloud e on-premises. Ele migrou suas aplicações para o VMware on cloud e criar novas aplicações utilizando serviços da AWS com velocidade, alta disponibilidade, segurança e auditoria. A estrutura CI/CD também permitiu ao cliente modernizar rapidamente suas aplicações e replicar o modelo para outras aplicações.
