TI Telecom: Ágil e seguro na nuvem pública

Desde 2018, a DTIT vem passando por um programa de transformação de TI com o objetivo de aumentar a aceitação de métodos ágeis e criar núcleos digitais. Isso deve permitir uma variedade completa de funções de nuvem pública para aplicações internas. O maior desafio no negócio altamente regulamentado das telecomunicações são as exigências e normas de segurança abrangentes, incluindo os rigorosos critérios de proteção de dados e avaliação de segurança (PSA) da própria Deutsche Telekom. Como parte do projeto, a DTIT pretendia construir uma plataforma segura e em conformidade para as suas aplicações, combinando os serviços avançados de automação e segurança nativos da AWS com as melhores práticas e padrões da Deutsche Telekom para o funcionamento seguro do sistema e da rede. A T-Systems, por seu histórico comprovado de entrega de soluções que atendem às altas exigências de segurança, mantendo a agilidade da nuvem pública, foi selecionada pela DTIT como parceira para apoiar e acelerar seu projeto.

A T-Systems criou uma organização própria na AWS para a DTIT. As diretrizes de segurança nas contas são uma combinação das normas de segurança da T-Systems e um nível adicional que realiza os requisitos específicos do cliente.

A base foi fornecida a partir de uma conta central de SecOps da T-Systems. Isso permite a encriptação e decodificação de armazenamento de dados S3 com base em uma etiqueta de classificação e o uso de chaves KMS disponibilizadas. Também garante a existência de funções estruturadas de IAM e políticas de senha, que a autenticação multifator seja aplicada e que o registro adequado (CloudTrail) esteja em vigor. Também é possível o acesso para perícias e auditorias. As restrições regionais foram aplicadas por meio de Políticas de Controle de Serviços (SCP), que garantem a limitação geográfica de acordo com as necessidades do cliente. A T-Systems também utiliza um processo rigoroso e passível de verificação para o acesso ao nível da raiz. Outros serviços da AWS, como CloudFormation, CloudWatch e CodePipeline, também foram fundamentais para a construção, implementação e ativação dessa solução de nuvem nativa. A solução fornecida pela T-Systems foi aprovada na rigorosa Avaliação de Privacidade e Segurança da Telekom.

Tal solução permitiu à equipe de DevOps na AWS da DTIT trabalhar perfeitamente em um ambiente AWS pré-configurado e seguro e concentrar-se em requisitos específicos. A T-Systems então orientou e apoiou a DTIT na definição, configuração e extensão altamente automatizada de suas próprias diretrizes de segurança (com CloudFormation Stacksets, Step Functions e Lambda, disponibilizados a partir do código do ambiente Corporate Gitlab). Parte da segurança da DTIT é o GuardDuty, a criptografia de todos os dados em repouso usando KMS e uma plataforma dedicada de registro e monitoramento. A T-Systems também implementou uma interface segura (via API Gateway) para disponibilizar uma nova conta da DTIT na AWS que possa ser utilizada automaticamente através de um portal central de gestão de nuvem.

A T-Systems criou um ambiente de rede gerenciado centralmente e altamente seguro, conectado à rede da empresa, pronto para conexão (consulte o caso AWS Direct Connect da T-Systems para a DTIT). Desta forma, foram utilizadas funcionalidades da AWS, como endpoints VPC e compartilhamento de VPC, bem como outras funcionalidades típicas de segurança de rede, como NACL e Grupos de Segurança. A T-Systems também criou modelos de implantação seguros para projetos, a fim de simplificar o uso do ambiente de rede gerenciado centralmente. Além disso, uma VPC padrão segura será incluída nas regiões da lista de permissões para facilitar o ingresso de novos projetos na AWS. Todas as redes são gerenciadas como código (modelos CloudFormation) no Gitlab central da DTIT.

A T-Systems continuará a apoiar a DTIT e as aplicações da Telekom, através de consultoria, revisões bem estruturadas e serviços de gestão de contentores (EKS, ECS), por exemplo.