Blog de Amazon Web Services (AWS)

Cumplimiento de Regulaciones FinTech con AWS Snowball Edge

Por Enrique Compañ, Sr. Solutions Architect, [WJ1] AWS Startups

 

Introducción

El sector de servicios financieros representa un gran potencial de captación de valor, con una creciente demanda de servicios y necesidad de innovar para resolver problemas complejos y generar diferenciación en la industria. Es por esto que numerosas compañías establecidas y Startup, particularmente en el sector FinTech (Financial Technology/Tecnología Financiera) se enfocan en innovar y revolucionar el sector de servicios financieros a través de tecnología. Sin embargo, estas compañías se enfrentan con retos tecnológicos complejos relativos al cumplimiento de normativas establecidas por entidades regulatorias de cada país. Ejemplos de estos retos pueden ser la residencia de datos en geografías específicas y el tener un ambiente de recuperación de desastres desconectado de la nube y en una jurisdicción particular.

En este artículo se presentan soluciones con servicios de AWS para el cumplimiento de requerimientos comunes de regulaciones a los que se enfrentan las compañías, particularmente las FinTech. Las soluciones aquí presentadas se enfocan en AWS Snowball Edge, un producto de la familia AWS Snow orientado a proveer cómputo y almacenamiento para aplicaciones en el borde (también conocido como Edge Computing).

Acerca de AWS Snowball Edge

AWS Snowball Edge es un dispositivo de hardware de AWS que ofrece capacidades de cómputo y almacenamiento dentro de un mismo producto. Este dispositivo esta orientado a ser usado en aplicaciones que requieren cómputo y/o almacenamiento en en el borde (procesamiento local, cercano a donde se producen los datos) y para procesos donde se requiera transferir altos volúmenes de datos a AWS de manera eficiente. Puede alojar Snowball Edge en sus oficinas, centro de datos propio o a través de algún socio de AWS. AWS Snowball Edge no requiere conectividad con una región de AWS para operar y solo requiere conexión a la red eléctrica y a una red local para su administración. Cabe recalcar que AWS no tiene acceso al dispositivo ni sus datos en ningún momento, protegiendo la seguridad de estos

La siguiente imagen muestra el dispositivo AWS Snowball Edge:

Características clave de AWS Snowball Edge relevantes para el cumplimiento de normativas regulatorias:

  • Capacidad de crear instancias virtuales de cómputo dentro del dispositivo, similar a Amazon EC2
  • Creación volúmenes para almacenamiento por bloques para instancias de cómputo, similar a Amazon EBS
  • Acceso a almacenamiento de objetos dentro del dispositivo, similar a Amazon S3
  • Cuenta con puertos de red de alta velocidad para conectarlo a redes privadas y públicas
  • Múltiples mecanismos de seguridad, encriptación de datos y Anti-Tampering (prevención de manipulación)
  • Capacidad de funcionar totalmente desconectado de la nube y ser administrado de manera local

En conjunto, estas capacidades permiten ejecutar virtualmente cualquier tipo de aplicaciones y arquitecturas sobre servidores virtuales dentro de Snowball Edge, por ejemplo, aplicaciones Web, APIs, microservicios y contenedores. Con soporte para sistemas operativos Linux y Windows, es posible instalar paquetes populares como Apache Web Server, Nginx, Kubernetes (e.g., Amazon EKS Distro) y Docker, así como cualquier lenguaje y plataforma de ejecución como Python, Java, .NET, Go y Node.js.

Para mayor información y características detalladas de los dispositivos AWS Snowball Edge y cómo ordenarlos, puede consultar la documentación oficial.

Arquitecturas de Soluciones

Las siguientes secciones presentan arquitecturas de soluciones basadas en Snowball Edge y servicios de AWS para solucionar dos escenarios comunes en el cumplimiento de normativas regulatorias. Las soluciones presentadas son flexibles y pueden ser modificadas para adaptarse a necesidades particulares.

Escenario #1: Disaster Recovery sin Conexión a la Nube

En este escenario, se tiene el requerimiento de aprovisionar un ambiente de Disaster Recovery el cual contiene la misma aplicación que normalmente opera en la nube o una porción de ella (lo mas indispensable para operar con ciertas funcionalidades). Este ambiente debe poder funcionar de manera autónoma, sin depender de conectividad hacia la nube y estar alojado en una geografía o jurisdicción específica. Esto permite que el servicio opere sin depender de recursos ubicados en la nube en caso de un evento de falta de disponibilidad y tener independencia ante dictámenes jurídicos que pudieran afectarlo.

Podemos utilizar AWS Snowball Edge en un centro de datos fuera de la nube para desplegar este ambiente de Disaster Recovery dentro de instancias de cómputo en el dispositivo. Para mantener los datos sincronizados entre ambientes y tener consistencia entre ellos, podemos utilizar AWS Database Migration Service para replicar bases de datos utilizado el mecanismo de CDC (Change Data Capture) y otros servicios como AWS DataSync para sistemas de archivos. Esta replicación puede realizarse mediante un canal seguro de VPN (Virtual Private Network/Red Privada Virtual) con AWS Site-to-Site VPN. Para dirigir el tráfico de los usuarios finales hacia el ambiente de nube o de Disaster Recovery en AWS Snowball Edge, utilizamos servicios de DNS (Domain Name Service/Servicio de Nombres de Dominio) como Amazon Route 53 u otro externo.

El funcionamiento de esta arquitectura es simple: en caso de un incidente de disponibilidad, se actualiza un registro de DNS para redirigir a los usuarios del escenario de la nube al de recuperación de desastres en AWS Snowball Edge. Una vez terminado el incidente, podemos regresar al ambiente en la nube con el mismo procedimiento. Las bases de datos entre ambientes se mantienen sincronizados en todo momento gracias a AWS Database Migration Services.

La siguiente imagen muestra una arquitectura de referencia simplificada para ambientes de Disaster Recovery desconectados de la nube en otra jurisdicción con AWS Snowball Edge:

Escenario #2: Respaldos con Requerimientos de Residencia de Datos

En este escenario, se requiere el tener respaldos de información o alojar datos específicos fuera de la nube, en un centro de datos en una geografía específica. Ejemplos típicos de necesidades de respaldos de información pueden ser archivos de respaldo bases de datos y otros tipos de archivos alojados en Amazon S3, Amazon EC2, Amazon EFS, entre otros. Estos archivos pueden contener información importante relativa a clientes como información personal y transacciones realizadas.

La operación de esta solución es simple. Los respaldos o información que deba alojarse fuera de la nube, se replican desde la nube hasta el dispositivo AWS Snowball Edge alojado en un centro de datos fuera de la nube en alguna geografía específica. Los datos son replicados con la periodicidad requerida a través de servicios especializados en transferencia de datos como AWS DataSync o cualquier otro mecanismo a la medida. Los datos son replicados de manera segura a través de un canal de VPN u otro mecanismo de seguridad de transporte de datos como TLS (Transport Layer Security/Seguridad de Capa de Transporte).

La siguiente imagen muestra una arquitectura de referencia para respaldo o alojamiento de datos fuera de la nube con AWS Snowball Edge:

Conclusión

Las compañías reguladas, en particular las FinTech, se enfrentan con retos complejos para cumplir con normativas definidas por las entidades regulatorias de cada país. Desde requerimientos de residencia de datos en geografías específicas hasta el operar escenarios de recuperación de desastres sin conexión a la nube, AWS Snowball Edge representa una solución nativa de AWS para resolver estos y otros escenarios potenciales de manera efectiva. Así mismo, AWS Snowball Edge es una solución ideal al contar con capacidades de cómputo y almacenamiento, seguridad fuerte y la posibilidad de operar de manera independiente y desconectada de la nube.

Lo invitamos a conocer más de AWS Snowball Edge y nuestros servicios de nube para ayudarlo a resolver estos retos y seguir innovando con la tecnología de AWS.

 

Acerca del autor

Enrique Compañ es Arquitecto de Soluciones Senior en AWS para el segmento de Startups en México, donde ayuda a las Startups a ser exitosas en AWS. Cuenta con más de 15 años de experiencia trabajando para compañías globales en varias industrias en áreas de arquitectura técnica y soluciones, desarrollo de software e innovación. Sus intereses principales son Arquitecturas Modernas, Blockchain y Web3.

 

 

 

 

Revisores

Luis Caro es Manager de Arquitectura de Soluciones Senior en AWS Colombia.

 

 

 

 

Volker Mueller es Arquitecto de Soluciones Senior para el segmento de Startups.