文/MetaAge 邁達特 技術六處三部 架構師| Zack
MetaAge 邁達特(舊名:聚碩科技)在今年(2022)正式成為 AWS 受管服務供應商 (MSP), 提供專業的 AWS 雲端顧問諮詢服務與雲端託管監控服務,能為廣大的企業或新創客戶帶來更多 value-added 專業價值服務。除了協助客戶部署 IaaS、PaaS 或 SaaS 、代管維運(Cloud Managed Service)、基礎架構即代碼 (Infrastructure-as-code)、 API 整合、雲端遷移、雲地整合等加值服務,目前已有數家客戶委由 MetaAge 邁達特執行雲端託管服務外, MetaAge 邁達特也協助 AWS MSP 服務託管客戶架構監控服務,其中一例便是本文中和瑞的 AWS 服務監控。
和瑞整合 (以下簡稱和瑞) 秉持穩健務實的基礎與優勢,提供國際知名廠牌之加值型網路與系統軟硬體設備解決方案,如 Dell EMC、VMware、Veeam…等品牌,以優良的專業技術能力,提供客戶從售前顧問諮詢服務、軟硬體系統規劃建置、到完善的售後維運服務。
MetaAge 邁達特 MSP 監控系統提供完整的架構效能監控服務,包括 CPU、RAM、Disk Usage 等詳細的指標,並針對客戶訂定客製化的閾值 (Threshold),可幫助和瑞減輕監控的負擔,因此和瑞決定採用MetaAge 邁達特 MSP 服務來託管在 AWS 上的資源。
針對和瑞 AWS 中啟用的資源,MetaAge 邁達特的 MSP 團隊使用 AWS Cloud Watch 與 MetaAge 邁達特的監控系統進行異常檢測,幫助客戶建立異常檢測模型,並對模型持續優化,在告警及告警疲勞之間找到最佳的平衡點。
MetaAge 邁達特協助和瑞在 AWS 上建立的一套第三方機器學習 BI 平台,其中的 Database 使用了 AWS 的 EC2,因 Database 長期處於高使用率,我們對它的內存使用率使用了 Cloud Watch 異常偵測,在記憶體使用量陡增或驟減時通知 MSP 團隊,並針對事件進行追蹤,確保 EC2 與服務系統的可用性。
另外 MetaAge 邁達特 MSP 監控系統會對和瑞其他綜合指標,如 EC2 的 CPU、Data Transfer 來判斷流量的陡增是否導致 EC2 效能減弱。
結果與優勢:
透過 MetaAge 邁達特 MSP 監控整合平台了解系統狀況並快速解決問題
對偵測造成服務效能降低的可能性,跟固定閾值 (Threshold) 相比,能提前發出告警,增加了 20% 以上甚至更多的反應時間。
透過 MetaAge 邁達特 MSP 監控整合平台增加內部維運效率
在委託 MetaAge 邁達特 MSP 託管之後,節省了未來需要針對維運平台的花費及培訓人員等相關費用。
另外,MetaAge 邁達特 MSP 團隊除了定期掃描和瑞 AWS 環境中的 IAM User 以及 Root Account 的 MFA 綁定狀態,也會針對 Root Account 和 IAM User 等 Policy 設定有不同的修補動作,並記錄相關的狀況與結果。
MetaAge 邁達特 MSP 團隊也使用了 CIS 強化的 Instance 作為客戶連線使用的跳板機,並定期為其進行弱點掃描,並且針對客戶的相關日誌有完整的方案維護,保證其日誌的完整性。
使用 AWS Config服務: MetaAge 邁達特 MSP 團隊使用AWS Config 針對 root account MFA enable 制定規則,若發現移除了 MFA,會透過 AWS Systems Manager Remediation AWS-Publish SNS Notification 發送告警信通知。
用 Lambda 服務: MetaAge 邁達特 MSP 團隊在和瑞的 AWS 帳號環境中使用 Event Bridge 和撰寫好的 Lambda 程式,於每月定期掃描客戶的 IAM User 狀態,並生成是否都有綁定 MFA 的相關報表。
使用 Amazon Inspector 服務 & CIS Instance : 和瑞使用的 EC2 需要 SSH 連線進行維護,因此聚碩 MSP 團隊特地幫和瑞規劃了跳板機並使用了 CIS Amazon Linux 2 Benchmark AMI,為了最大程度的確保用戶的安全性,便透過 Amazon Inspector CIS Operating System Security Configuration Benchmarks-1.0 每 7 天進行一次評估,並定期為客戶產生 CIS 的清單報告,確保重要的跳板機是足夠安全的。
使用 VPC Flow Logs: 對於和瑞在 AWS 上的所有使用 Network 相關資源,MetaAge 邁達特 MSP 團隊將這些 Traffic Logs 統一收集到 AWS 中保存用的 S3 bucket,確保客戶相關 Log 能妥善地被管理,如有稽核的需求也可快速調用日誌。
結果與優勢:
1. 針對 IAM Account MFA 被移除,比起維運人員每個禮拜定期手動檢查,最多可減少 86% 的異常發現時間,並定期每個月能提供一個檢查的報告,大幅增加帳號的安全性。
2. 對 AWS 服務上的資源層面採用 CIS 強化 Instance 並定期漏洞掃描,比起使用普通的 Instance 提升了安全性,在資安稽核的效率比起先前定期半年執行一次,提升了 24 倍的頻率,並節省了相關的人力做漏洞分析,隨時隨地都可以取得報告。
和瑞部署在 AWS 上的服務,委由 MetaAge 邁達特 MSP 維運團隊進行監控與維護,使得和瑞的 AWS 架構更符合 AWS Best Practice,且不必耗費心力找尋專職 AWS 維運人員。且透過 MetaAge 邁達特專業的 MSP 維運團隊,取得比起以前在的端更優良的監控效率以及更完善的資安管理,且能夠確實保證相關的 Log 完整性,以利後續稽核查驗時使用。
MetaAge 邁達特代理 AWS 雲端服務,提供 7 x 24 全託管服務。MetaAge 邁達特在伺服器、網路、資料庫管理有豐富經驗,具備技術深厚的架構師團隊與維運團隊,是企業雲服務的最佳顧問及服務團隊。客戶無論想要部署 AWS 服務,進一步代管維運(Cloud Managed Service)、基礎架構即代碼 (Infrastructure-as-code)、 API 整合、雲地整合等加值服務,MetaAge 邁達特具備完整專業能力,皆能一站式滿足多構面需求。
MetaAge 邁達特 AWS MSP 團隊導入次世代監控系統,提供客戶完全託管和完整監控的 MSP 整合服務。
聯絡方式:電話: 080-000-8669 | Email: aws@sysage.com.tw
延伸閱讀:
▸ MetaAge 邁達特|AWS MSP 次世代監控系統介紹