Что следует использовать в этом сценарии: Amazon VPC или EC2?

Мое приложение - это SAAS, использующий веб-сервисы Amazon. В настоящее время разработка приложения заканчивается, и моя компания получила своего первого клиента. Пользователи моего приложения должны загружать текстовые документы с достаточно конфиденциальными данными, которые позже анализируются, а результаты сохраняются в базе данных для последующего просмотра.

Я не планировал обслуживать тысячи клиентов. Мы хотели работать с одним клиентом за раз, а затем развить его. Но первым нашим клиентом стала компания CMM уровня 5. Они прислали нам анкету для проверки безопасности, в которой спрашивают обо всем, от физической безопасности, безопасности приложений, безопасности данных и безопасности сети.

Мое приложение может запускать всю пользовательскую нагрузку их компании - это означает, что мне НЕ нужно более одного сервера приложений tomcat и сервера приложений базы данных, работающих на одном узле в любой момент времени для обслуживания этого клиента. Итак, если я гарантирую следующее -

• Экземпляр EC2 с зашифрованным эфемерным хранилищем, хранилище EBS.
• Экземпляр EC2, который будет доступен только для диапазонов IP этого клиента.
• Ежедневное резервное копирование зашифрованных изображений на S3 EBS
• Все порты закрыты, кроме 443 для HTTPS-трафика.

Это звучит лучше, чем

• VPC с одним или двумя узлами, с выделенным сервером приложений, базой данных на разных узлах.
• VPC с IDS (система обнаружения вторжений), усиленная для доступа.
• Группы безопасности определены с четким разграничением того, кто и к чему имеет доступ.
• Конфигурация межсетевого экрана / DMZ в VPC
• SSL для веб-сервера
• Двухфакторная аутентификация для управления VPC.

Мы - малый бизнес, пытающийся иметь дело с этой большой компанией на миллиард долларов. Размер сделки невелик, но потенциал будущего бизнеса велик. У нас нет большого опыта в настройке Amazon VPC и защите его от потенциальных угроз. Кроме того, на наем людей, обладающих опытом создания идеальной среды VPC, потребуется немало времени и денег. Кроме того, на данный момент я, вероятно, больше похож на ASP, а не на SAAS. (Я думаю, это то, что мы собираемся сейчас сделать, чтобы начать зарабатывать деньги, чтобы компания выжила в первую очередь).

У меня есть несколько вопросов-

Есть ли смысл начинать с VPC? Если я не ожидаю увеличения нагрузки в ближайшем будущем, и если это может сделать только одна машина или даже две машины, не является ли VPC излишеством? Если я предоставлю клиенту выделенный экземпляр EC2 с доступом, отфильтрованным по их корпоративному диапазону IP, открытым только https-портом и постоянным шифрованием данных клиента, это не будет намного проще, чем создание VPC и управление безопасностью при этом. много уровней (сетевой, машинный и т. д.).

Кроме того, если мне нужно начать использовать VPC, должен ли я просто передать безопасность VPC на аутсорсинг компании, которая может позаботиться об этом за меня, и мне следует сосредоточиться на разработке приложений? Есть ли хорошие фирмы, которые этим занимаются?