Rede investe em migração para a nuvem AWS e reduz custos operacionais em 40%

Uma das maiores adquirentes do País, a Rede é parte do conglomerado Itaú-Unibanco e, desde sua criação em 1996, funcionava dentro do data center do grupo. Este ano, com o objetivo de renovar a certificação PCI DSS (Payment Card Industry – Data Security Standard), a companhia migrou parte de sua estrutura para a AWS. Os resultados obtidos estimularam a companhia a acelerar seu processo de modernização e migrar toda a sua estrutura para a AWS.

Como uma das maiores adquirente do País, a Rede precisa contar com uma série de certificações para sua infraestrutura de TI. Uma delas é a PCI DSS (Payment Card Industry – Data Security Standard), que atesta o padrão de segurança adotado pela empresa. Essa certificação foi criada pelo PCI Security Standards Council (PCI SSC), um órgão que reúne grandes bandeiras de cartões, com a finalidade de tornar o ecossistema de pagamentos eletrônicos mais seguro e garantir a adesão e confiança dos clientes. Com a certificação PCI, as empresas têm maior facilidade para fazer negócios dentro do ecossistema de pagamentos, uma vez que obtê-la significa que práticas fundamentais em segurança de dados estão sendo aplicadas.

O superintendente de sistemas da Rede, Maurício Peixoto, lembra que todo ano a empresa tem uma série de demandas relativas ao processo de recertificação, que é mandatório. “Temos que atingir uma série de requisitos e um deles é a certeza de que todos os softwares que utilizamos têm todas as aplicações de segurança previstas”, diz.

Em 2019, a atualização de software tornou-se um elemento crítico para o processo de recertificação. Segundo Peixoto, parte do parque de servidores x86 da Rede era equipado com sistemas operacionais Windows 2008, que teria seu suporte pela Microsoft encerrado em 2020. “Com cerca de 200 máquinas rodando o sistema operacional, precisaríamos de um grande projeto de atualização para a versão mais atual do Windows para conseguir a certificação”, diz.

O executivo lembra que, para que a estrutura estivesse alinhada aos critérios do PCI DSS, a Rede teria que colocar em curso um projeto de replatform de todas as suas aplicações para a nova versão do sistema operacional. Isso demandaria, para cada um dos servidores, subir uma máquina atualizada e fazê-la rodar em paralelo às já existentes para atualizar as aplicações.

“Seria um projeto bastante complexo e teria que ser realizado em nosso ambiente on-premises. Além disso, ele deveria ser concluído em apenas seis meses, que era o prazo que tínhamos para a certificação”, afirma. Diante da complexidade e do prazo, a Rede decidiu avaliar a possibilidade de transferir essa estrutura para a nuvem. “Duplicar as máquinas iria subir muito o custo. Percebemos que subir estes servidores em nuvem reduziria os custos, atualizaria as máquinas e não teríamos o tempo de setup dessas máquinas no ambiente on-premises”, revela.

O caminho da infraestrutura PCI para a AWS foi natural, já que, de acordo com Peixoto, a infraestrutura da AWS já era utilizada em outros contextos. “Havia o expertise e a vontade de ir para a AWS”, afirma.

O gerente de infraestrutura de TI da Rede, Francisco Medina, lembra que, três anos antes, a área de TI da Rede havia decidido não colocar nada novo dentro da estrutura do banco Itaú. “Todos os nossos sistemas rodavam dentro do Itaú, não tínhamos nada de negócio fora. Ali, decidimos que tudo que fosse novo nasceria dentro da AWS, com quem já tínhamos relacionamento”, reforça.

Este relacionamento havia começado alguns anos antes, quando a Rede decidiu migrar toda a sua área de canais de interação com o cliente para a nuvem da AWS. O projeto, iniciado em 2018, durou um pouco mais de um ano e começou com a mudança da identidade visual.

“Esse projeto foi o pioneiro nosso com a AWS”, lembra Raul Marinho Sousa, gerente de sistemas da Rede. Na época, a Rede utilizava tecnologias legadas instaladas em mainframe, o que trazia problemas de desempenho e disponibilidade, já que ela suportava de 200 mil a 300 mil usuários/mês, com 25 mil estabelecimentos fazendo acessos simultâneos. “Era um perfil de acesso de vendas, com clientes com volumes de vendas muito grandes e o canal não suportava. Consultas de vendas de grandes clientes davam problemas e traziam experiências ruins na ponta”, explica.

Por tudo isso, a Rede decidiu migrar para a nuvem. A primeira subida produtiva foi realizada em setembro de 2018, com a migração das funcionalidades mais críticas para um projeto piloto controlado. A migração total foi concluída em fevereiro de 2019, em um processo que envolveu cerca de 200 pessoas.

“Nosso canal tinha muita indisponibilidade porque dependíamos de serviços legados que não estavam preparados para experiência online. Fomos migrando os serviços. A mudança de paradigma que garantiu o sucesso foi construir a base que era 100% mainframe no Amazon DynamoDB”, diz. Para isso, a Rede adotou uma arquitetura que colocava os processamentos recuperando dados e informações e fazendo a carga na nova base. Desta forma, o time de Sousa eliminou a dependência do mainframe, elevando o desempenho e acabando com os problemas de consulta.

“Muitas consultas levavam 30 a 45 segundos. Elas caíram para uma taxa média de 3 segundos. Quando começamos a migração, o tempo médio de login era de 14 segundos com pico de 40 segundos”, explica Sousa. Hoje a base da Rede no Amazon DynamoDB tem 17 TB de dados dos clientes da companhia e registra cerca de 40 milhões de vendas por dia.

Quando o projeto de migração dos canais foi iniciado, somente 22% da base de clientes da Rede era digitalizada, percentual que hoje passa dos 40%. “Entregamos uma experiência melhor, mais efetiva e que nos permite crescer nossa base digitalizada. Isso reduz o custo de ligação para a central: tínhamos 40 mil ligações/mês, hoje 24 mil ligações/mês e continuamos baixando. Conforme a área de canais estrutura melhor os processos e informações, o cliente se serve e demanda menos nossa central de atendimento”, conclui.

Graças à experiência adquirida com a migração dos canais, a decisão de levar a estrutura PCI e, posteriormente, toda a estrutura x86 para a AWS foi natural. O primeiro passo do projeto foi o mapeamento do que deveria ser migrado. De acordo com Medina, esse processo identificou inicialmente 400 servidores. “Desses, em torno de 200 diziam respeito a infraestrutura PCI e tinham que ser migrados até julho”, lembra.

Com isso, a decisão foi priorizar tudo o que dizia respeito à certificação PCI, ficando o restante para o segundo semestre de 2020. A partir desta definição, a Rede estabeleceu um cronograma com ondas de migração, que seriam realizadas em sprints de duas a quatro semanas cada um. “Para acompanhar este processo, tínhamos reuniões diárias de 30 minutos e relatórios gerenciais semanais e quinzenais”, diz Peixoto, lembrando que uma das vantagens do uso da nuvem era a possibilidade de realizar ensaios de pré-instalação já em produção.  “Com a opção de idas e voltas rápidas, conseguíamos testar tudo muito rapidamente”, afirma.

Juntamente com o escopo, o time de infraestrutura também definiu que, naquele momento, a migração seria feita “as is” por causa do prazo limitado do projeto, com atualização somente do sistema operacional. De acordo com Medina, ainda assim os ganhos foram tremendos. “Tínhamos ambientes imensos no Itaú, mas percebemos que suas versões na nuvem utilizariam menos máquinas”, lembra.

Foi assim que muitas das 200 máquinas selecionadas para a migração inicial ficaram pelo caminho e a Rede conseguiu criar ambientes segregados, separando o que era infraestrutura PCI do que não era. Atendida a demanda da certificação PCI, a Rede está concentrada agora na migração do restante de seu ambiente x86 para a estrutura da AWS. Mais que isso, o sistema operacional de seu ambiente está atualizado até 2029.

A realização desta migração não foi feita sem desafios. De acordo com o coordenador de Cloud e DevSecOps da Rede, Willians Souza, um dos maiores foi a mudança de domínio exigida no processo, mas houve também a chegada de um novo modelo de trabalho. “O modus operandi, como fazíamos as coisas dentro do data center, mudou. Trouxemos tudo para um ambiente mais moderno e conseguimos um ganho significativo pensando dessa forma”, diz.

Willians destaca a importância dos serviços oferecidos pela AWS, como o AWS Backup, que evita o uso de agentes instalados nas máquinas, e o Elastic Load Balancing. “Começamos os trabalhos com cloud pública por volta de 2016 e já temos legado dessa época. Um pedaço do nosso portal roda muito em AWS Elastic Beanstalk e percebemos que com o AWS Lambda há um ganho tremendo”, afirma.

O superintendente de sistemas da Rede, Maurício Antonio Correa, destaca outros detalhes do projeto, como a migração, em curso, do AWS Elastic Beanstalk para o Amazon Elastic Container Service (Amazon ECS), e a atualização de um dos middlewares utilizados na estrutura PCI. “Tínhamos o Oracle SOA Suite que estava há dez anos sem atualização. Atualizamos, mas agora estou pegando todas as funções dele e migrando para AWS”, revela.

O executivo explica que estas funções serão decompostas até o desligamento total do middleware, que não estará mais na estrutura no PCI 2021. Correa lembra que ele tinha dois propósitos principais: orquestrador de credenciamento e integrador entre dois módulos de logística. “O primeiro estamos migrando para o AWS StepFunctions e o segundo, para uma infraestrutura composta pelo Amazon EC2 Auto Scaling e pelo AWS Lambda. Vamos matar uma dor de mais de dez anos e acabar com o uso de uma ferramenta obsoleta”, diz.

Outro ponto do projeto prevê a modernização do core de adquirência, que é parte do credenciamento, e hoje roda em AIX. Essa estrutura está sendo migrada para a AWS com o uso do Amazon EC2 Auto Scaling. A AWS também vai receber o armazenamento dos dados do Salesforce da Rede, utilizado hoje por mais de mil vendedores e cerca de 1,8 mil técnicos de campo, que está sendo migrado para o Amazon DynamoDB.

“Buscamos uma estratégia de modernização dos legados sempre pensando em converter para serviços e estrangular. Não temos em nosso roadmap grandes big bangs. Vamos buscando interfaces que façam mais sentido e migrando aos poucos, até que o sistema antigo morra de inanição”, explica Correa. Um exemplo é o Gerenciador de Estabelecimentos (GE), um módulo de mais de 20 anos. Uma parte dele, a de domicílio bancário, está sendo transformada em microsserviços na AWS com uso do Amazon EC2 Auto Scaling, Amazon Relational Database Service (Amazon RDS) e Amazon API Gateway.

Mesmo com o processo de migração ainda em andamento, a equipe de infraestrutura da Rede identifica uma série de benefícios já trazidos pela nova infraestrutura. Raul Marinho Sousa lembra que a nova estrutura tem sido fundamental para a implementação de novas estratégias de cache, além de reduzir MIPS, evoluir a arquitetura e reduzir custos. “Hoje temos um produto, chamado extrato eletrônico, que entrega arquivos para grandes varejistas. Essa base que construímos ajudou a evoluir nesse aspecto. Só aqui temos um saving de cerca de 80%”, destaca.

Outro ponto destacado por ele é a percepção do usuário final. Com a migração, as notas dadas pelos usuários aos aplicativos subiram de 2,9 para 4,5 (Android), de 3,1 para 4,7 (iOS) e de 3,1 para 4,5 (Canal Internet). “Antes o cliente tinha que gerar 11 relatórios diferentes para ver seu status. Hoje ele tem uma visão única. Melhorou muito o uso do canal e facilitou o uso de mobile”, afirma.

Do lado da infraestrutura, a principal melhoria apontada por Sousa é alta disponibilidade, que ano ambiente anterior era de 97,2% e agora é de 99,99999%. Isso derrubou também os erros de login a praticamente zero: nenhum foi registrado este ano.

Maurício Peixoto dos Santos lembra que a migração com a AWS fez com que a jornada de modernização da Rede ganhasse força. “Agora temos dez anos de compliance e uma redução importante no número de incidentes, aumentando a qualidade e a disponibilidade dos serviços”, compara.

Além disso, o fato de contar com a estrutura em nuvem tem simplificado a modernização de aplicações. “Se eu quiser atualizar um HIS da Microsoft por um API Gateway para aquele pedaço da aplicação, já estamos no ambiente. Fica mais fácil trocar pedaços da aplicação. Se eu quiser usar qualquer serviço AWS ou algum componente que eu só tenho acesso na AWS, o fato de eu estar lá facilita a modernização”, diz.

Peixoto destaca ainda uma redução de 40% nos custos operacionais desse ambiente. “No modelo on-premises, eu sempre preciso de máquinas grandes, preparadas para carga total, então há o oversizing do modelo. Na AWS, isso não acontece: desativamos 25% dos nossos servidores e hoje é possível fazer um uso melhor das máquinas. A redução de custos vem da eficiência no uso também”, afirma, citando também a queda de 40% nos incidentes de monitoração dos ambientes migrados.

“Conseguimos colocar todo o nosso ambiente na versão 2019 do sistema operacional. Foi um golaço. Reduzimos a quantidade de incidentes em mais de 40%, temos uma versão atualizada, um ambiente muito mais enxuto. Independente da modernização, conseguimos escalar muito melhor. Também houve ganho de performance e redução de custo, comemora Francisco Medina.

Embora a migração continue, a Rede já tem planos de aprofundar o uso do ambiente AWS. “Há algumas coisas legais que estamos construindo na AWS. Estamos modernizando todas as ferramentas de monitoramento dos clientes, o que vai nos ajudar a identificar quais estão com problemas, quais estão fora da média do mercado. Vamos gerar dados competitivos para os clientes. Isso será finalizado em fevereiro”, revela Raul Marinho Sousa, prevendo também a construção de APIs para os parceiros, para que eles possam criar funcionalidades também na AWS.

Willians Souza diz ainda que, após a conclusão da migração, a Rede deve fazer uma rearquitetura de suas aplicações com o objetivo de ampliar o uso de serverless e dos serviços da AWS. “Depois da migração o trabalho será analisar esses workloads junto com o time de arquitetura e começar a desenhá-los para trabalhar de um maneira mais cloud native. Aí teremos uma segunda rodada de redução de custos. Esse seria o próximo passo de fato depois da migração”, afirma.