核心观点与项目背景
某跨国零售集团的数字业务部门启动了一项旨在标准化和简化多云环境下应用程序开发、部署、安全和维护流程的倡议。该集团创建了一个统一的内部开发环境,整合了不同云计算资源和私有数据中心资源。项目目标包括实现持续安全的开发/部署/集成、停止硬编码并采用内部组件库和微服务架构、简化新功能创建流程、跨不同计算环境安全敏感资产、以及提升效率和市场竞争力。
项目描述与实施挑战
该集团的平台是一个为内部产品团队提供的PaaS,提供K8s集群、SQL/NoSQL数据库和存储等基础设施。核心引擎采用Golang编写,提供多云策略资源编排,优先选择GCP实施,并计划后续扩展至Azure和OpenStack(私有)。核心引擎通过Terraform进行基础设施配置,并使用K8s参数化清单部署服务。平台包含四个组件:UI(探索和注册)、监控/日志(观察)、成本(控制)和CICD管道(交付)。
SoftServe负责在平台发布前进行安全评估和风险缓解,并创建安全架构和实施技术安全控制,同时开发了一个定制框架用于安全开发、运营和支持。项目面临的主要挑战包括:私有VPC通过VPN连接私有网络并强制所有出站流量通过私有HTTP代理、GCP的SVPC在VPC对等连接上的限制导致服务外网IP暴露、部分GCP服务在私有VPC中的限制(如CloudBuild)、以及公共云环境下的安全策略重设计和私有数据中心安全规则的兼容性。
价值交付与技术实现
SoftServe设计了一套全面的安全技术控制措施,包括推荐工具集和相关流程,覆盖云基础设施及相关SLDC、CI/CD和运营支持活动。这形成了一个符合国家和国际行业标准的信息安全管理体系(ISMS)框架,支持混合计算环境(私有和云)的安全策略。交付的安全控制措施也作为未来安全服务和应用开发的安全指南。
技术方面,SoftServe尽可能利用GCP原生安全机制,以实现服务最大可扩展性并遵循CSP最佳实践。SoftServe交付了符合行业标准的安全标准,支持实施推荐的安全策略,并设置了标准规则和流程以在GCP内实现高级别安全。
关于SoftServe
SoftServe是一家数字权威机构,提供前沿技术咨询服务,覆盖医疗保健、零售、能源、金融服务等领域。公司提供端到端解决方案,以创新、质量和速度满足客户需求,助力企业加速数字化转型,提升市场竞争力。
