O blog da AWS

AWS e SoftwareOne aprimoram Observabilidade e Operações na Nuvem com OneVision

Por Daniel Spinola, Diretor Sênior na SoftwareOne para a América Latina; Claviston Souza, Gerente de Entrega de Serviços da AWS; Renan Bueno, Especialista Sênior em Nuvem na SoftwareOne LATAM; Carlos Felicio, Senior Partner Technical Account Manager da AWS LATAM e Mateus Pereira, um Arquiteto de Soluções Sênior de Parceiros na AWS.

Sobre a SoftwareOne

A SoftwareOne é uma provedora global de soluções de nuvem e software, especializada em otimizar e modernizar infraestruturas de TI. Com foco em AWS e ambientes multi-cloud, apoia clientes do design à operação de cargas de trabalho, aplicando práticas de segurança, observabilidade e otimização de custos, garantindo governança, eficiência e visibilidade para transformar a adoção da nuvem em valor de negócio mensurável.

O Desafio: Gerenciar Recursos e Operações em Escala na AWS

Empresas que operam dezenas ou centenas de contas AWS frequentemente enfrentam dados fragmentados, tornando difícil manter uma visão única, confiável e quase em tempo real de recursos, conformidade de tags, cobertura de agentes e postura de segurança — o que atrasa inventários, complica auditorias, limita automação e impede alocação precisa de custos. Nesse sentido, a SoftwareOne desenvolveu o OneVision para enfrentar esses desafios, consolidando informações de múltiplas contas em uma visão centralizada, com dashboards e relatórios que aceleram inventário, governança e operações do dia a dia. Neste blogpost, exploraremos como o OneVision unifica visibilidade, garante conformidade e escalabilidade operacional, oferecendo automação end-to-end para ambientes AWS complexos.

Sobre o OneVision

Com o OneVision, a SoftwareOne resolve os principais desafios de ambientes AWS de grande escala: visibilidade fragmentada, governança inconsistente, lacunas de agentes e riscos ocultos que geram ineficiências e custos elevados. Construído nativamente na AWS como aplicação serverless com interface web moderna e APIs GraphQL, consolida inventário de todas as contas e regiões em uma fonte única, oferecendo visão completa e atualizada da infraestrutura em minutos, impondo conformidade de tags obrigatórias (proprietários, ambientes, centros de custo) e monitorando agentes críticos como AWS Systems Manager e Amazon CloudWatch.

A plataforma identifica proativamente riscos operacionais e de segurança — volumes desprotegidos, grupos de segurança permissivos, falhas de health check de instâncias Amazon EC2 — suportando automação e observabilidade em larga escala. Com relatórios exportáveis em CSV e XLSX, o OneVision facilita auditorias, práticas de FinOps e decisões executivas baseadas em dados consolidados, permitindo ação rápida, controle total e melhor governança com eficiência de custos.

Arquitetura e Fluxo de Dados do OneVision na AWS

O OneVision adota um fluxo de dados simplificado e escalável, iniciado pelo Amazon EventBridge, que aciona funções AWS Lambda responsáveis por coletar cargas de trabalho em múltiplas contas. Essas funções assumem roles de privilégio mínimo para consultar serviços da AWS, normalizar informações no modelo AWS Resource e armazená-las no Amazon DynamoDB, garantindo consistência, resiliência e conformidade com o princípio security-by-default. Exports assíncronos são então gerados em formatos CSV ou Parquet e armazenados no Amazon S3, facilitando integrações com ferramentas de BI e processos de auditoria. A camada de apresentação utiliza AWS AppSync para acessar esse dataset centralizado e fornecer visualizações interativas de inventário, métricas operacionais e filtros de tags em uma interface moderna e segura.

Construída sobre uma arquitetura serverless, a solução combina paralelismo seguro, controles de backoff e observabilidade end-to-end com logs estruturados, métricas e rastreamentos detalhados. O modelo de dados unificado abstrai diferenças entre serviços, contas e regiões, oferecendo uma visão consistente e escalável do ambiente AWS. Além disso, a arquitetura extensível permite evoluir facilmente — adicionando novos coletores e atributos sem impactar contratos existentes — sustentando uma governança contínua, custo-efetividade e alta confiabilidade operacional.

Componentes principais:

  • Frontend: AWS Amplify (hospedagem + CI/CD), aplicação Angular com componentes standalone
  • API: AWS AppSync (GraphQL) para queries e mutations, incluindo filtros avançados e paginação
  • Camada de dados: Amazon DynamoDB (tabelas particionadas por accountId#region#service, GSIs para buscas de tag/estado), Amazon S3 para dumps/exports (CSV/Parquet) e snapshots de auditoria
  • Coleta e normalização: AWS Lambda escaneia serviços estruturais, consolidando no schema AWS Resource; lotes idempotentes, paralelismo controlado, reprocessamento automático
  • Identidade e autenticação: Amazon Cognito com convite por email e senha temporária, política de “mudança no primeiro login” e challenge, fluxo de recuperação de senha com código por email, MFA opcional, emissão de tokens JWT usados por Amplify/AppSync e mapeamento de grupos para roles de privilégio mínimo
  • Orquestração: Amazon EventBridge agenda janelas de descoberta por conta/região; CloudWatch Alarms/Logs e métricas customizadas fornecem telemetria
  • Acesso multi-conta: AWS Organizations utilizando AssumeRole em contas vinculadas com políticas de privilégio mínimo e rate-limits por região
  • Governança e segurança: integrações com AWS Config, AWS Security Hub, Inspector e AWS Systems Manager Patch Manager enriquecem o catálogo com sinais de postura e conformidade

Cobertura de recursos do OneVision

O OneVision foi projetado para entregar uma visão abrangente e unificada de ambientes AWS. Para isso, a plataforma coleta e normaliza dados de uma ampla gama de serviços AWS, proporcionando visibilidade tanto de infraestrutura quanto de postura operacional.

Recursos atualmente coletados:

  • Amazon Machine Image (AMI) — catálogo por conta/região; origem/proprietário, data de criação, criptografia e uso; destaca AMIs órfãs, públicas e muito antigas
  • Auto Scaling Group — configurações desired/min/max, instâncias ativas, health e políticas; links com ALB/NLB e distribuição por Availability Zones (AZs)
  • Backup Plan — regras, janelas, retenção e recursos cobertos; garante conformidade com cobertura de backup
  • Backup Vault — vaults, número de pontos de recuperação, criptografia e Vault Lock; volume e idade dos pontos armazenados
  • Direct Connect Connection — localização, largura de banda e estado operacional; conexões VIF associadas
  • Direct Connect Virtual Interface — tipo (private/public/transit), VLAN, ASN/BGP e status; mapeamento para VPC/TGW
  • EBS Snapshot — tamanho, idade, criptografia e compartilhamento; identifica snapshots órfãos ou desatualizados para limpeza
  • EBS Volume — tipo/tamanho/IOPS, estado de anexação e criptografia; sinaliza volumes não anexados ou subutilizados
  • EC2 Instance — tipo/estado/AMI, tags, role IAM, volumes/EIP; sinais de conformidade de patch, health checks e custo aproximado
  • EFS File System — modo e throughput, política de lifecycle, montagens e security groups; uso e backups quando aplicável
  • Elastic IP — associação por instância/NAT; EIPs ociosos e custos potenciais
  • Amazon FSx FileSystem — família (Windows/Lustre/ONTAP), capacidade/throughput, snapshots/backups; bindings de rede
  • Internet Gateway — IGWs por VPC e estados de anexação; potencial exposição pública
  • Load Balancer — tipo (ALB/NLB/CLB), listeners, target groups e health; esquema internet-facing/internal e logging
  • METRICS_DASHBOARD_CURRENT — agregados globais: contagens de serviços, conformidade de patch, tendências, distribuição por conta/região e alertas
  • Network ACL — listas por sub-rede com regras in/out; detecta entradas “allow all” e conflitos
  • Amazon RDS Cluster Snapshot — idade, criptografia e compartilhamento; recomendações de retenção e limpeza
  • Amazon RDS Instance — engine/versão, classe, multi-AZ, storage/backups; versões EOL, exposição pública e performance insights
  • Route Table — rotas (local/IGW/NAT/TGW/VPCe), propagação e subnets associadas; rotas inválidas ou órfãs
  • S3 Bucket — versionamento, criptografia, public access block, lifecycle e storage classes; exposição pública e oportunidades de custo (transitions/expiration)
  • Security Group — regras entrada/saída, portas abertas (0.0.0.0/0), SGs não utilizados e dependências
  • Subnet — AZ, CIDR, público/privado (via rota), route table associada e IPs livres
  • Transit Gatewayattachments, route tables e estado; visibilidade entre conta/região
  • Transit Gateway Attachment — tipo (VPC/VPN/DX), estado e rotas vinculadas
  • Amazon VPC — CIDRs, DNS/hostnames, flow logs, contagem de subnets/gateways e endpoints; verificação de sobreposição
  • VPC Endpoint — tipo (Gateway/Interface), serviço, policy e security groups; endpoints órfãos ou ociosos
  • AWS VPN Connection — estado do túnel, configuração BGP/estática, associação TGW/VGW e health

Juntos, esses recursos formam a estrutura de um ambiente AWS. Ao consolidá-los em um modelo de dados padronizado único, o OneVision elimina fragmentação e permite que organizações respondam perguntas críticas em segundos, por exemplo: identificar snapshots órfãos, detectar Elastic IPs ociosos, validar backups ou sinalizar security groups excessivamente permissivos.

Roadmap

Olhando para o futuro, o OneVision está evoluindo com a introdução do OneVision Copilot, uma capacidade avançada de Q&A em linguagem natural. Isso permitirá aos usuários interagir de forma conversacional, tornando consultas complexas mais acessíveis. A plataforma incorporará automação prescritiva através de playbooks no AWS Systems Manager Automation para acelerar a remediação. A integração de custos com AWS Cost and Usage Report (CUR) e AWS Cost Explorer ajudará a priorizar questões baseadas em impacto financeiro. A solução será preparada para AWS Marketplace, permitindo adoção facilitada, escalabilidade e onboarding simplificado para maximizar o valor e a velocidade de implementação.

Casos de uso de valor imediato e impactos

Otimização de custos

Antes do OneVision, a otimização de custos exigia análise manual conta por conta, com equipes fazendo login em cada ambiente para revisar recursos isoladamente — um processo lento que atrasava relatórios e recomendações. A plataforma eliminou esse gargalo consolidando todas as contas e regiões em uma visão única, permitindo identificar oportunidades de economia em minutos. O que levava dias tornou-se automatizado instantâneamente, proporcionando agilidade e insights consistentes para decisões mais rápidas.

Inventário de recursos

Manter um inventário atualizado de recursos como instâncias EC2, volumes EBS e outros componentes críticos sempre foi essencial para os clientes da SoftwareOne. Tradicionalmente, essa atividade era realizada manualmente, exigindo que equipes extraíssem dados de recursos um por um e comparassem mudanças ao longo do tempo. Isso não só consumia dias de esforço mas também introduzia risco de inconsistências nos relatórios. Com o OneVision, inventários mensais de recursos são automatizados e consolidados em um modelo único e padronizado. Ao evitar coleta manual, a plataforma virtualmente elimina erro humano, garantindo insights mais precisos e relatórios confiáveis. O que era um processo repetitivo e propenso a erros tornou-se um workflow rápido, preciso e facilmente repetível, fortalecendo governança e acelerando tomada de decisão.

Autores

Daniel Spinola é Diretor Sênior na SoftwareOne para a América Latina. Possui experiência como executivo e empreendedor, tendo atuado como sócio de uma Big Four, CEO, COO, fundador e consultor de confiança. Líder e mentor apaixonado, Daniel também é professor de MBA em tempo parcial nas áreas de Indústria 4.0, Transformação Digital, Inovação, Liderança e Gestão de Mudanças.
Claviston Souza é Gerente de Entrega de Serviços da AWS, atendendo clientes corporativos no Brasil e na América Latina. Com mais de uma década de experiência em serviços de nuvem, gestão de infraestrutura e operações de TI, também orienta organizações em complexas transformações digitais — desde a modernização de datacenters até migrações globais de Active Directory.
Renan Bueno é Especialista Sênior em Nuvem na SoftwareOne LATAM. Possui mais de 6 anos de experiência em tecnologia, com sólida formação em arquitetura de nuvem e desenvolvimento de software. Antigo desenvolvedor Java, Angular e Spring Boot, também combina conhecimentos de aplicação e infraestrutura para projetar soluções escaláveis e eficientes na AWS.
Carlos Felicio é Senior Partner Technical Account Manager da AWS LATAM. Atua no mercado de tecnologia nos últimos 26 anos. No seu portfólio trabalhou em diversas consolidações e migrações em ambientes híbridos com workloads Microsoft. Atualmente trabalha como Sr. TAM auxiliando os parceiros em dúvidas e utilização da AWS para prover melhor benefício nos workload dos seus clientes.
Mateus Pereira é um Arquiteto de Soluções Sênior de Parceiros na AWS, atuando na região de LATAM. Sua experiência profissional anterior inclui desenvolvimento de software, arquitetura de aplicações em núvem com foco em virtualização, armazenamento e proteção de dados. Bacharel em Sistemas de Informação e MBA em Arquitetura de Soluções.