Gemeinsam mit T-Systems hat die Deutsche Telekom IT (DTIT) eine AWS Landing Zone errichtet, die den hohen Sicherheitsanforderungen und Sicherheitsstandards der DTIT entspricht und es zugleich ermöglicht, die Agilität der Public Cloud zu nutzen.
T-Systems hat uns geholfen, die Einführung der Public Cloud für Anwendungen der Deutschen Telekom zu beschleunigen, indem wir eine sichere AWS Landing Zone implementiert haben, die an unsere hohen Sicherheitsanforderungen angepasst ist.
Seit 2018 durchläuft die DTIT ein IT-Transformationsprogramm, das darauf abzielt, die Akzeptanz agiler Methoden zu erhöhen und digitale Hubs zu bilden. So soll die gesamte Bandbreite an Public-Cloud-Funktionen für interne Anwendungen ermöglicht werden. Die größte Herausforderung im stark regulierten Telco-Geschäft sind die umfassenden Sicherheitsanforderungen und -standards, darunter die strengen, eigenen Datenschutz- und Sicherheitsbewertungsanforderungen (PSA) der Deutschen Telekom. Im Rahmen des Projekts wollte DTIT eine sichere und konforme Plattform für die Anwendungen aufbauen, indem die fortschrittlichen AWS-nativen Automatisierungs- und Sicherheitsdienste mit den Best Practices und Standards der Deutschen Telekom für den sicheren System- und Netzwerkbetrieb kombiniert werden. Da T-Systems nachweislich Lösungen liefert, die den hohen Sicherheitsanforderungen entsprechen und gleichzeitig die Agilität der Public Cloud aufrechterhalten, wurde der ICT-Provider von der DTIT als Partner ausgewählt, um ihr Projekt zu unterstützen und zu beschleunigen.
Amazon Web Services (AWS) stellt die Sicherheit in den Mittelpunkt jedes Angebots, damit Unternehmen die Geschwindigkeit und Agilität der Cloud voll ausschöpfen können. AWS integriert umfassende Sicherheitskontrollen, effektive Skalierung, Transparenz und automatisierte Sicherheitsprozesse in seine Cloud-Infrastruktur, um eine sichere Grundlage zu schaffen, auf der Unternehmen aufbauen können. Das Shared Responsibility Model (SRM) macht es leicht, eigene Entscheidungen zum Schutz der einzigartigen AWS-Umgebung zu verstehen, und es bietet Unternehmen Zugriff auf Ressourcen, die ihnen helfen können, Ende-zu-Ende-Sicherheit schnell und einfach umzusetzen. Firmen können aus den vielen Cloud-fähigen Softwarelösungen von AWS und AWS Security Competency Partners wählen, um die höchsten Standards der Datensicherheit in der Cloud zu erfüllen.
T-Systems kann auf eine langjährige Erfahrung bei der Bereitstellung von Lösungen zurückblicken, die den hohen Sicherheitsanforderungen entsprechen und gleichzeitig die Agilität der Public Cloud erhalten. Das Telekommunikationsunternehmen bietet:
DTIT hat sich aus diesen Gründen für T-Systems entschieden. Auch ihr fundiertes Wissen und ihre Erfahrung rund um die Sicherheitsanforderungen der Telekom haben dazu beigetragen.
T-Systems hat für DTIT eine eigene AWS-Organisation aufgebaut. Die Security Richtlinien auf den Accounts sind eine Kombination aus den Sicherheitsstandards von T-Systems und einer zusätzlichen Ebene, die die spezifischen Anforderungen des Kunden realisiert.
Die Basis wurde aus einem zentralen SecOps-Account von T-Systems bereitgestellt. Das ermöglicht die Verschlüsselung und Entschlüsselung von S3-Datenspeichern basierend auf einem Klassifizierungs-Tag und der Verwendung von bereitgestellten KMS-Schlüsseln. Es stellt zudem sicher, dass strukturierte IAM-Rollen und Passwortrichtlinien existieren, die Multi-Faktor-Authentifizierung durchgesetzt wird und eine ordnungsgemäße Protokollierung (CloudTrail) vorhanden ist. Auch der Zugang für Forensik und Audits ist möglich. Regionale Beschränkungen wurden mit Hilfe von Service Control Policies (SCP) angewendet, die eine geografische Eingrenzung gemäß den Kundenanforderungen sicherstellen. T-Systems setzt auch beim Root-Level-Zugriff einen strengen und prüfbaren Prozess ein. Andere AWS-Dienste wie CloudFormation, CloudWatch und CodePipeline waren ebenfalls zentral für den Aufbau, die Bereitstellung und die Aktivierung dieser nativen Cloud-Lösung. Die von T-Systems bereitgestellte Lösung hat das strenge Telekom Privacy and Security Assessment bestanden.
Diese Lösung hat es dem DTIT AWS DevOps-Team ermöglicht, nahtlos in einer vorkonfigurierten und gesicherten AWS-Umgebung zu arbeiten und sich auf spezifische Anforderungen zu konzentrieren. T-Systems beriet und unterstützte DTIT dann bei der hochautomatisierten Definition, dem Aufbau und der Erweiterung der eigenen Sicherheitsrichtlinien (mit CloudFormation Stacksets, Step Functions und Lambda, bereitgestellt aus dem Code der Corporate Gitlab-Umgebung). Teil der DTIT-Sicherheit sind GuardDuty, die Verschlüsselung aller ruhenden Daten mittels KMS sowie ein dedizierter Protokollierungs- und Monitoring-Stack. T-Systems hat auch eine sichere Schnittstelle (über API Gateway) implementiert, damit ein neues AWS-Konto für DTIT bestellt und automatisch über ein zentrales Cloud-Management-Portal bereitgestellt werden kann.
Einer der wichtigsten Aspekte für die Sicherheit ist eine sichere Identitätsgrundlage. Es ist eine empfohlene Best Practice für Unternehmen jeder Größe, die Anzahl der verschiedenen Identitäten oder Benutzer zu begrenzen. Hauptgrund ist, neben dem Komfort für den Endverbraucher, dass es das sogenannte Mover/Leaver-Problem löst. Deshalb wurde T-Systems beauftragt, DTIT bei der Konzeption und Einrichtung einer Benutzerverwaltung für AWS zu unterstützen. Als Interimslösung wurde mit einer zentralen Benutzerverwaltung mit IAM in einem dedizierten Benutzerverwaltungskonto begonnen. Daraufhin wurden Rollen in den Projektkonten implementiert, die kontoübergreifende Vertrauensbeziehungen ermöglichen.
Parallel dazu bereitete T-Systems den Verbund mit Telekom Active Directory über die firmeneigene ADFS-Farm vor, um tatsächlich vom firmeneigenen Benutzerpool zu profitieren und zu vermeiden, dass ein separates, isoliertes Benutzer-Management für AWS eingerichtet wird. ADFS ist die in den meisten Unternehmen verwendete Lösung, um Single-Sign-On mit SaaS-Lösungen und der Cloud zu ermöglichen. Im DTIT Szenario dient das ADFS als sogenannter SAML2.0 (Security Assertion Markup Language) Provider für AWS. Das High-Level-Setup ist recht einfach und wird hier ausführlich (in Englisch) beschrieben.
Zusammenfassend lässt sich sagen, dass der Client intern ein SAML-Token von ADFS erhält, mit dem er dann temporäre Anmeldeinformationen von AWS erhalten und sich bei seinem AWS-Konto anmelden kann. Die Berechtigungen für Umgebungen werden über Gruppen im Active Directory gesteuert – auf ADFS-Seite muss ein sogenanntes Vertrauensverhältnis mit AWS aufgebaut werden. Der schwierigste Teil dieser Tätigkeit bestand darin, die Lösung auf Kundenseite zu definieren (Konzept), die Genehmigungen einzuholen, die Tests durchzuführen und mit der Änderung live zu gehen. T-Systems automatisierte aber auch den Rollout des Identity Providers und der Rollen auf der AWS-Seite und integrierte die Lösung in die Anwendung und Prozesse des Konzernmanagements.
Im Bereich der Vernetzung hat T-Systems eine hochsichere, zentral verwaltete Netzwerkumgebung konzipiert, die anschlussfertig mit dem Firmennetz verbunden ist (siehe T-Systems AWS Direct Connect Case für DTIT). Auf diese Weise wurden AWS-Funktionen wie VPC-Endpunkte und VPC-Sharing sowie die anderen für die Netzwerksicherheit erforderlichen typischen Funktionen wie NACL und Security Groups genutzt. T-Systems hat auch gesicherte Bereitstellungsvorlagen für die Projekte erstellt, um die Nutzung der zentral verwalteten Netzwerkumgebung zu vereinfachen. Darüber hinaus wird ein sicherer Standard-VPC in Regionen auf der Whitelist eingeführt, um den Einstieg in AWS für neue Projekte zu erleichtern. Alle Netzwerke werden als Code (CloudFormation-Templates) im zentralen DTIT-Gitlab verwaltet.
T-Systems wird den Kunden DTIT und die Telekom-Anwendungen weiterhin unterstützen, beispielsweise durch Beratung, gut strukturierte Reviews und Managed Services für Container (EKS, ECS).
In mehr als 20 Ländern vertreten, ist T-Systems einer der weltweit führenden herstellerunabhängigen Anbieter von digitalen Dienstleistungen mit Hauptsitz in Europa. Die Telekom-Tochter bietet alles aus einer Hand: vom sicheren Betrieb von Altsystemen und klassischen ICT-Diensten über die Umstellung auf Cloud-basierte Dienste bis hin zu neuen Geschäftsmodellen und Innovationsprojekten im Internet der Dinge. T-Systems ist Teil des AWS Partner Network (APN) und Advanced Consulting Partner von AWS.
DTIT ist der interne IT-Dienstleister der Deutschen Telekom AG. DTIT ist für die Konzeption, Entwicklung und den Betrieb aller eigenen und übertragenen IT-Systeme zur Unterstützung der Geschäftsprozesse der Deutschen Telekom AG verantwortlich. DTIT schafft benutzerfreundliche Webportale mit intelligenten Selbstbedienungsfunktionen und schafft damit die Grundlage für ein integriertes, kanalübergreifendes Kundenerlebnis mit der Marke Telekom Magenta.
