Juntamente com a T-Systems, a Deutsche Telekom IT (DTIT) criou a AWS Landing Zone, que atende às altas exigências e padrões de segurança da DTIT e, ao mesmo tempo, permite que a agilidade da nuvem pública seja usada.
A T-Systems nos ajudou a acelerar a introdução da nuvem pública para as aplicações da Deutsche Telekom, implementando uma AWS Landing Zone segura, que atende os nossos elevados padrões de segurança.
Desde 2018, a DTIT vem passando por um programa de transformação de TI com o objetivo de aumentar a aceitação de métodos ágeis e criar núcleos digitais. Isso deve permitir uma variedade completa de funções de nuvem pública para aplicações internas. O maior desafio no negócio altamente regulamentado das telecomunicações são as exigências e normas de segurança abrangentes, incluindo os rigorosos critérios de proteção de dados e avaliação de segurança (PSA) da própria Deutsche Telekom. Como parte do projeto, a DTIT pretendia construir uma plataforma segura e em conformidade para as suas aplicações, combinando os serviços avançados de automação e segurança nativos da AWS com as melhores práticas e padrões da Deutsche Telekom para o funcionamento seguro do sistema e da rede. A T-Systems, por seu histórico comprovado de entrega de soluções que atendem às altas exigências de segurança, mantendo a agilidade da nuvem pública, foi selecionada pela DTIT como parceira para apoiar e acelerar seu projeto.
A Amazon Web Services (AWS) coloca a segurança no centro de todas as ofertas, para que as empresas possam tirar o máximo proveito da velocidade e agilidade da nuvem. A AWS integra controle de segurança abrangentes, escalada efetiva, transparência e processos de segurança automatizados em sua infraestrutura de nuvem, para criar uma base segura sobre a qual as empresas podem se desenvolver. O Modelo de Responsabilidade Compartilhada (SRM) facilita a compreensão de suas próprias decisões para proteger o ambiente exclusivo na AWS e oferece às empresas acesso a recursos que podem ajudá-las a implementar a segurança de ponta a ponta de maneira rápida e fácil. As empresas podem escolher entre as muitas soluções de software compatíveis com a nuvem da AWS e dos AWS Security Competency Partners para satisfazer os mais elevados padrões de segurança de dados na nuvem.
A T-Systems pode se orgulhar dos seus muitos anos de experiência no fornecimento de soluções que atendem às altas exigências de segurança e, ao mesmo tempo, mantêm a agilidade da nuvem pública. A empresa de telecomunicações oferece:
A DTIT escolheu a T-Systems por estas razões. O seu profundo conhecimento e experiência nos requisitos de segurança da Telekom também contribuíram para isso.
A T-Systems criou uma organização própria na AWS para a DTIT. As diretrizes de segurança nas contas são uma combinação das normas de segurança da T-Systems e um nível adicional que realiza os requisitos específicos do cliente.
A base foi fornecida a partir de uma conta central de SecOps da T-Systems. Isso permite a encriptação e decodificação de armazenamento de dados S3 com base em uma etiqueta de classificação e o uso de chaves KMS disponibilizadas. Também garante a existência de funções estruturadas de IAM e políticas de senha, que a autenticação multifator seja aplicada e que o registro adequado (CloudTrail) esteja em vigor. Também é possível o acesso para perícias e auditorias. As restrições regionais foram aplicadas por meio de Políticas de Controle de Serviços (SCP), que garantem a limitação geográfica de acordo com as necessidades do cliente. A T-Systems também utiliza um processo rigoroso e passível de verificação para o acesso ao nível da raiz. Outros serviços da AWS, como CloudFormation, CloudWatch e CodePipeline, também foram fundamentais para a construção, implementação e ativação dessa solução de nuvem nativa. A solução fornecida pela T-Systems foi aprovada na rigorosa Avaliação de Privacidade e Segurança da Telekom.
Tal solução permitiu à equipe de DevOps na AWS da DTIT trabalhar perfeitamente em um ambiente AWS pré-configurado e seguro e concentrar-se em requisitos específicos. A T-Systems então orientou e apoiou a DTIT na definição, configuração e extensão altamente automatizada de suas próprias diretrizes de segurança (com CloudFormation Stacksets, Step Functions e Lambda, disponibilizados a partir do código do ambiente Corporate Gitlab). Parte da segurança da DTIT é o GuardDuty, a criptografia de todos os dados em repouso usando KMS e uma plataforma dedicada de registro e monitoramento. A T-Systems também implementou uma interface segura (via API Gateway) para disponibilizar uma nova conta da DTIT na AWS que possa ser utilizada automaticamente através de um portal central de gestão de nuvem.
Um dos aspectos mais importantes para a segurança é uma base de identidade segura. É uma boa prática recomendada para empresas de qualquer tamanho limitar o número de diferentes identidades ou usuários. A principal razão, além do conforto para o usuário final, é que ele resolve o chamado problema do Mover/Leaver. Por esse motivo, a T-Systems foi encarregada de apoiar a DTIT na concepção e implementação de uma administração de usuários para a AWS. Como solução provisória, foi iniciada uma gestão central de usuários com o IAM em uma conta de gestão de usuários dedicada. Em seguida, foram implementadas funções nas contas do projeto, que permitem relações de confiança entre as contas.
Ao mesmo tempo, a T-Systems preparou a rede com o Telekom Active Directory por meio do ADFS Farm da empresa, a fim de se beneficiar do pool de usuários da empresa e evitar a necessidade de configurar um gerenciamento de usuários isolado e separado para a AWS. O ADFS é a solução utilizada na maioria das empresas para permitir o iniciar sessão único com as Soluções SaaS e a nuvem. No cenário da DTIT, o ADFS serve como um fornecedor SAML2.0 (Security Assertion Markup Language) para a AWS. A configuração de alto nível (High Level Setup) é muito simples e está descrita em detalhes aqui (em inglês).
Em resumo, o cliente recebe internamente um token SAML do ADFS, que pode utilizar para obter credenciais temporárias da AWS e iniciar a sessão com a sua conta na AWS. As permissões para ambientes são controladas por grupos no Active Directory – no lado do ADFS deve ser estabelecida uma relação de confiança com a AWS. A parte mais difícil dessa atividade foi definir a solução por parte do cliente (conceito), obter as aprovações, realizar os testes e entrar em ação com a mudança. A T-Systems também automatizou a implementação do fornecedor de identidade e as funções do lado da AWS e integrou a solução na aplicação e nos processos de gestão empresarial.
A T-Systems criou um ambiente de rede gerenciado centralmente e altamente seguro, conectado à rede da empresa, pronto para conexão (consulte o caso AWS Direct Connect da T-Systems para a DTIT). Desta forma, foram utilizadas funcionalidades da AWS, como endpoints VPC e compartilhamento de VPC, bem como outras funcionalidades típicas de segurança de rede, como NACL e Grupos de Segurança. A T-Systems também criou modelos de implantação seguros para projetos, a fim de simplificar o uso do ambiente de rede gerenciado centralmente. Além disso, uma VPC padrão segura será incluída nas regiões da lista de permissões para facilitar o ingresso de novos projetos na AWS. Todas as redes são gerenciadas como código (modelos CloudFormation) no Gitlab central da DTIT.
A T-Systems continuará a apoiar a DTIT e as aplicações da Telekom, através de consultoria, revisões bem estruturadas e serviços de gestão de contentores (EKS, ECS), por exemplo.
Representada em mais de 20 países, a T-Systems é uma das principais fornecedoras independentes de fabricantes de serviços digitais do mundo, com sede na Europa. A subsidiária da Telekom oferece tudo a partir de uma única fonte: desde a operação segura de sistemas antigos e serviços clássicos de TIC, passando pela transição para serviços baseados em nuvem, até novos tipos de negócios e projetos de inovação na Internet das Coisas. A T-Systems faz parte da AWS Partner Network (APN) e da Advanced Consulting Partner da AWS.
A DTIT é a provedora interna de serviços de TI da Deutsche Telekom AG. A DTIT é responsável pela concepção, desenvolvimento e operação de todos os sistemas de TI internos e terceirizados que apoiam os processos de negócios da Deutsche Telekom AG. A DTIT cria portais de fácil utilização, com funções inteligentes de autosserviço, formando a base para uma experiência integrada e transversal do cliente com a marca Telekom Magenta.
