案例研究

Modern Hire 和 NGINX 在云中提供现代应用安全

Modern Hire 是三家提供招聘和评估技术的组织的合并体: Shaker International、Montage 及其最近收购的爱尔兰公司 Sonru。 该组织通过遍布北美、英国、欧洲和亚太地区的办事处为 200 多个国家和地区的客户提供服务。 随着业务的发展,Modern Hire 需要将其不同的 SaaS 技术平台迁移到一个现代、统一且完全基于云的解决方案中,同时仍为需要的客户提供由硬件安全模块 (HSM) 支持的安全性。

商业挑战

“描述一个你成功克服的挑战。” Modern Hire 的基础设施架构师兼高级 DevOps 工程师 Jason McMinn 可以从容应对这个经典的面试问题。 在领导公司向云迁移的过程中,他意识到迁移无法进行,除非他找到一种基于云的方式来满足金融服务行业客户的需求,该客户需要由 HSM 支持的 SSL 卸载来满足 FIPS 140-3 合规性标准。

“随着 SaaS 平台逐渐转向完全基于云的世界,拥有用于处理安全性的硬件非常复杂,”McMinn 解释道。 

困难在于,Modern Hire 的数字面试和评估平台都在 Windows Internet Information Services (IIS) Server 2019 上运行,而其云提供商的 HSM 服务不支持该平台。 云提供商也不支持其 HSM 与负载平衡服务之间的直接集成——而 Modern Hire 正是依赖这些服务。 这意味着,为了保持符合 SOC 2 和其他安全标准,Modern Hire 要么必须为单个客户维护昂贵的传统数据中心并降级到 Windows Server 2016,要么找到可以与云提供商的 HSM 交互的替代解决方案。

“想到要降级以满足安全要求,我的心里就很痛。”麦克明回忆道。 “这没有意义。 因此,我必须在访问 Windows IIS 服务器之前找到一种卸载 SSL 的方法。 我知道我可以使用 Apache 来做到这一点,但是 Apache 笨重且陈旧,将它放在企业工作负载之前我感到不安全。 当它半夜爆炸时,我可以打电话给谁来修理它? 我想要更多的支持,而不仅仅是我自己的设备和 Reddit 上某人的言论。”

解决方案

经过一番研究,McMinn 意识到他可以使用 F5 NGINX Plus 和 F5 NGINX App Protect 来解决这个问题,后者是一种可以无缝融入 DevOps 环境的现代应用程序安全解决方案。 有了该解决方案,McMinn 与云提供商的 HSM 服务集成,以提供所需的 SSL 卸载和负载平衡,同时获取 Webapplication防火墙 (WAF) 功能以取代云提供商的负载平衡服务中的 WAF 功能。 最重要的是,该解决方案得到了 F5 的全力支持。

结果

以坚实的支持为后盾,快速实施 SSL 卸载

仅仅五个月后,Modern Hire 的金融服务客户就获得了所需的合规云 HSM 安全性,从而实现了平台统一。 内部数据中心已经关闭,降低了 Modern Hireapplication交付基础设施的复杂性。 尽管实施过程尚处于早期阶段,McMinn 的团队已经开始规划如何在其统一平台和所有数字服务中进一步实施 F5 NGINX 解决方案,同时他们还致力于整合公司最近收购的系统。

McMinn 将所谓的“极快的速度”归功于 NGINX 和 F5。 “它对 NGINX 和 F5 评价很高,”他解释道。 “我得到了大力支持,如果没有他们的支持,我们不可能取得如今的成就。 这确实证明了正确的技术可以让你省去很多心痛。” 

正确的技术也正在帮助公司前进。 由于安全态势的改善,Modern Hire 最近获得了 ISO 27001 认证。

解决多个问题的同时降低复杂性

除了帮助 Modern Hire 关闭旧数据中心并进行云迁移和系统集成之外,NGINX 解决方案还通过提供一个对多个问题的答案简化了 McMinn 团队的工作。 其中包括与 Modern Hire 努力整合其用于处理 URL 重定向的两种不同方法相关的直接挑战。 在这项工作进行过程中,甚至在 NGINX 实施开始之前,McMinn 和他的小型 DevOps 团队的其他四名成员发现他们无法获得对其云提供商的负载均衡器的必要访问权限。 如果没有这种访问权限,他们就无法正确地重定向其数字面试applications的流量,从而使整个平台统一面临风险。

幸运的是,McMinn 意识到 NGINX 也可以解决这个问题。 大约六个小时后,在 F5 支持团队的帮助下,“我通过切换到 NGINX 真正挽救了数字面试迁移。我们成为 F5 客户已有一周时间,团队立即采取行动。 我对此非常感激。”

随着公司对一些applications及其基础设施进行现代化改造,他希望未来能够利用 NGINX 的其他功能。 “尽管我们的平台是为云而构建的,但我们的一些application架构尚未现代化;例如,它有较旧的代码并且难以容器化,”他解释道。 “这将需要在软件架构层进行一些改变,而不仅仅是基础设施层。 坦白说,我们还没有到达那一步。 我们仍处于 NGINX 的基础阶段,但我觉得它将会改变很多工作流程。”

更细致的洞察和遥测

Modern Hire 正在使用 NGINX 控制器 [现为F5 NGINX 管理套件] 来管理 NGINX Plus 实例,主要用于分析和遥测。 McMinn 对 Controller 表示赞赏,因为与他的团队以前的监控工具相比,它提供了更细粒度的洞察——包括负载均衡器性能、HTTPS 请求、WAF 违规和其他指标。 

“通过 Controller,我可以看到整个集群的数据,可以看到每个环境,还可以构建仪表板,”McMinn 说。 “能够通过 NGINX Controller 编程 F5 NGINX App Protect 也非常棒,因为现在一切都是通过配置文件完成的。”

他指出,NGINX 集群的响应时间与云提供商的负载平衡服务几乎相同,这确保了对客户没有影响的隐形转换。 “当我们确实触发该触发器以将更多环境迁移到 NGINX,或者我们必须更换服务器或升级基础设施时,我们可以灵活地在云提供商或我们自己的基础设施之间切换。 如果我们做得对,并且没有停机时间,客户就不会知道。”

查看所有客户案例 ›

Modern Hire 徽标
好处
  • 实现基于云的服务集成,提供安全功能以满足客户合规性要求
  • 通过消除内部数据中心来降低平台复杂性
  • 获得现代工具以提高系统可视性、监控、遥测和分析能力
挑战
  • 需要将不同的 SaaS 平台迁移到单一的、现代的基于云的解决方案上,同时保留旧系统的特定安全功能
  • 需要找到基于云的方式来满足现有客户的合规性要求
产品

NGINX 增强版 ›

NGINX 应用保护 ›