codefactory-logoCode Factory
László Vargha

Vargha László

  · 4 min read

SOC2 szabvány előkészítése AWS környezetben

Amiért megéri a SOC 2 szabványt követni!

Amiért megéri a SOC 2 szabványt követni!

Áttekintés

Tengerentúli ügyfelünk egy igazán különleges területen nyújt szolgáltatást, fúrással foglalkozó vállalatoknak biztosít valós idejű videofeldolgozást és elemzést, amivel nagyban növeli a hatékonyságot és csökkenti költségeket.

A mi feladatunk volt, hogy ezt az alkalmazást egy olyan biztonságos, automatikusan skálázódó környezetbe költöztessük, ami megfelel egy bizonyos SOC 2 szabványnak. Ez egy egyre inkább felértékelődő szabvályrendszer az üzleti világban, ami számos előnnyel jár mind a szolgáltató, mind az ügyfelek számára.

Tekintve, hogy a fúrás egy kifejezetten speciális terület, ami gazdasági szempontból is jelentős, a lehető legnagyobb körültekintéssel kellett eljárnunk.

Mi az a SOC 2 szabvány?

A SOC 2 (System and Organization Controls 2) egy önkéntes kiberbiztonsági és adatvédelmi szabványgyűjtemény, amelyet az Amerikai Könyvvizsgálói Intézet (AICPA) dolgozott ki 2010-ben. A szabvány célja, hogy meghatározza, hogyan kell a szolgáltató szervezeteknek kezelniük, tárolniuk és védeniük az ügyfelek adatait a biztonsági kockázatok és incidensek minimalizálása érdekében.

Az ennek való megfelelés segít a szervezeteknek bizonyítani, hogy képesek hatékonyan védeni az üzleti adatokat és szolgáltatásaikat a jogsértésektől, visszaélésektől és kibertámadásoktól. Ez növeli az ügyfelek bizalmát, különösen azoknál a vállalatoknál, amelyek magas szintű biztonságot igényelnek az általuk használt felhőszolgáltatásoktól.

Jelen esetben, mivel ügyfelünk talaj-, olajfúrással foglalkozó cégeknek nyújt szolgáltatást, aminek a gazdasági hatása jelentősnek mondható, különösen fontos a biztonságos környezet kialakítása.

A SOC 2 szabvány főbb jellemzői:

  1. Bizalmi szolgáltatási kritériumok:

  • Biztonság

  • Elérhetőség

  • Bizalmasság

  • Feldolgozási integritás

  • Adatvédelem

  1. Auditálás: A SOC 2 megfelelést független, akkreditált, harmadik fél által végzett audit során kell igazolni.

  2. Iparági elfogadottság: A SOC 2 megfelelés egyre inkább alapvető elvárássá válik, különösen a felhőszolgáltatók és adatfeldolgozók körében.

AWS infrastruktúra

Az ügyfelünk által használt AWS környezetet egyrészt a fentebb kifejtett SOC 2 szabvány szempontjai, másrészt a támasztott üzleti igények mentén alakítottuk ki.

A környezet főbb elemei:

  1. AWS Organizáció

A project első fázisában az alapokat kellett létrehozni, ami ebben az esetben négy egymástól elszeparált accountot jelentett egy organizáción belül. Ez egyrészt átláthatóbbá teszi az infrastruktúrát, mivel minden accountnak saját dedikált feladatköre van (management, security, development és poduction), másrészt hozzájárul a biztonsághoz azzal, hogy az erőforrások egymástól elszeparált környezetben működnek.

  1. AWS Config

A SOC 2 előkészítésében és bevezetésében nagy szerepe volt az AWS Confignak. Ezzel a szolgáltatással tételesen és valós időben nyomon lehet követni, hogy a kialakított infrastruktúra megfelel-e az általunk beállított és elérni kívánt szabályoknak.

  1. EKS

Ügyfelünk számára kiemelten fontos volt, hogy az általa üzemeltetett alkalmazások egy biztonságos és elszigetelt környezetbe kerüljenek át. Az Amazon EKS a biztonság mellett skálázhatóságot és kiesésmentes működést garantál, miközben könnyedén integrálható más AWS szolgáltatásokkal, vagy éppen on-prem rendszerekkel.

SOC 2 előkészítése

A hivatalos SOC 2 minősítés megszerzése egy többlépcsős folyamat, aminek ebben a projectben az előkészítését végeztük el. Ennek során betöltöttük a SOC 2 conformance csomagot az AWS Configba, ami folyamatos visszajelzést ad a teljesítés állapotáról, és egyértelműen leírja, hogy a felhasznált szolgáltatások milyen további konfigurációt igényelnek. Miután minden feltételnek megfelel az infrastruktúra, egy AWS akkreditált, külső auditor ellenőrzése szükséges, ami pozitív kimenetel esetén hivatalos SOC 2 minősítét ad ügyfelünknek.

Kapcsolati ábra

Architecture-Diagram-Soc2

Infrastructure as a Code

Az AWS környezet létrehozására, karbantartására, valamint a SOC 2 szabványcsomag kezelésére Terraform/Terragruntot használtunk. Ez egy infrastructure as a code (IaC) megoldás, aminek fő előnyei közé tartozik a megismételhetőség és átláthatóság. Ezek az előnyök már kisebb AWS infrastruktúrák esetében is megmutatkoznak, kézzel napokig tartana összerakni, tesztelni és elindítani egy olyan infrát, amit IaC segítségével néhány óra megvalósítani. Különösen, ha ezt valamilyen oknál fogva el kell távolítani és újra kitenni.

Eredmények

A project során két fő igénynek kellett eleget tennünk.

Az egyik az ügyfelünk által üzemeltetett alkalmazások biztonságos környezetbe költöztetése és beüzemelése volt. Ebben az Amazon EKS környezetében indított Kubernetes cluster volt a legfőbb segítségünkre, ami a sokoldalúságának és biztonságának köszönhetően minden feltételnek megfelelt.

A második igény a rendszer felkészítése volt a SOC 2 szabványra. Ügyfelünk rövidtávú tervei között szerepel, hogy a kialakított infrastruktúra megkapja a hivatalos SOC 2 minősítést, ezzel is növelve a bizalmat a piacon, és versenyelőnyt szerezve.

Jelenleg az alkalmazások stabilan futnak és szünetmentesen elérhetőek, a környezet pedig elő van készítve a kívant szabványnak való hivatalos megfelelésre.

Ami még hátra van

A SOC 2 megfelelés legfőbb feltétele egy akkreditált, harmadik fél általi audit, ami után az eredmény függvényében az infrastruktúra hivatalosan is megfelel a SOC 2 követelményeinek, vagy pedig feltárják a hiányosságokat, ezzel is elősegítve ezek kijavítását, pótlását.

Ha kíváncsi vagy, hogy mi a Code Factory-nál hogyan tudunk ebben segíteni, nézz körül a szolgáltatási oldalainkon.

Ha részletesebben is érdekel ez a téma, töltsd le az ingyenes e-book-unkat.

Share:
Vissza a cikkekhez