Menschen stehen in Gruppen beieinander, dazwischen verlaufen weiße Linien

Telekom IT: Agil und sicher in der Public Cloud

T-Systems hat die Deutsche Telekom IT dabei unterstützt, Sicherheitslösungen auf der Public Cloud AWS zu implementieren

Spezifische Sicherheitsanforderungen schnell umsetzen

Logo AWS

Gemeinsam mit T-Systems hat die Deutsche Telekom IT (DTIT) eine AWS Landing Zone errichtet, die den hohen Sicherheitsanforderungen und- standards der DTIT entspricht und es zugleich ermöglicht, die Agilität der Public Cloud zu nutzen.

Der Kundennutzen

  • Zeitersparnis durch die Einrichtung einer T-Systems Landing Zone und Basislinie für AWS. Auf diese Weise konnte sich die DTIT auf ihre spezifischen Anforderungen konzentrieren und Mehrwert für interne Anwendungen schaffen.
  • Die DTIT profitiert von der Expertise von T-Systems bei der Implementierung von Sicherheitslösungen auf AWS. Auf diese Weise konnten die spezifischen Sicherheitsanforderungen schneller umgesetzt und die Cloud-nativen Fähigkeiten, wo immer möglich, genutzt werden.
  • Höheres Sicherheitsniveau und bessere Benutzerfreundlichkeit durch die Implementierung von Federation mit Corporate Active Directory über ADFS.
  • Zentral verwaltete Shared Networks sowie Templates für isolierte Netzwerke, um schnelle Innovationen und Prototyping zu ermöglichen. Auch die Integration mit unternehmensweiten Backend-Systemen, wie sie für Go Live von Lösungen erforderlich sind, sind dadurch möglich.

T-Systems hat uns geholfen, die Einführung der Public Cloud für Anwendungen der Deutschen Telekom zu beschleunigen, indem wir eine sichere AWS Landing Zone implementiert haben, die an unsere hohen Sicherheitsanforderungen angepasst ist.

Torsten Jester, Senior Manager DTIT Cloud Center of Excellence (CCoE)

Umfassende Sicherheitsanforderungen und -standards

Ein aufgeklappter Laptop und ein Smartphone liegen auf einem Tisch.

Seit 2018 durchläuft die DTIT ein IT-Transformationsprogramm, das darauf abzielt, die Akzeptanz agiler Methoden zu erhöhen und digitale Hubs zu bilden. So soll die gesamte Bandbreite an Public-Cloud-Funktionen für interne Anwendungen ermöglicht werden. Die größte Herausforderung im stark regulierten Telco-Geschäft sind die umfassenden Sicherheitsanforderungen und -standards, darunter die strengen, eigenen Datenschutz- und Sicherheitsbewertungsanforderungen (PSA) der Deutschen Telekom. Im Rahmen des Projekts wollte DTIT eine sichere und konforme Plattform für die Anwendungen aufbauen, indem die fortschrittlichen AWS-nativen Automatisierungs- und Sicherheitsdienste mit den Best Practices und Standards der Deutschen Telekom für den sicheren System- und Netzwerkbetrieb kombiniert werden. Da T-Systems nachweislich Lösungen liefert, die den hohen Sicherheitsanforderungen entsprechen und gleichzeitig die Agilität der Public Cloud aufrechterhalten, wurde der ICT-Provider von der DTIT als Partner ausgewählt, um ihr Projekt zu unterstützen und zu beschleunigen.

Die Herausforderung

  • Aufbau einer AWS Landing Zone, die es dem DTIT ermöglicht, isolierte AWS-Umgebungen für die internen Anwendungen bereitzustellen und gleichzeitig die Kontrolle über Sicherheit und Compliance zu behalten.
  • Zusammenführung des Active Directory der Telekom mit AWS, um eine zentrale Verwaltung des Identitätspools und die Single-Sign-On in AWS für Telekom-Mitarbeiter in einer Weise zu ermöglichen, die den Sicherheitsrichtlinien und -standards der Deutschen Telekom AG entspricht.
  • Aufbau einer hochsicheren, zentral verwalteten Netzwerkumgebung, die für die Verbindung mit dem Unternehmensnetzwerk bereit ist – sowie die Zurverfügungstellung von abgesicherten Deployment Templates für die jeweiligen Projekte.

Sicherheit bei AWS

Ein oranges und ein blaues Seil, in deren Schlaufen sich ein Karabinerhaken befindet

Amazon Web Services (AWS) stellt die Sicherheit in den Mittelpunkt jedes Angebots, damit Unternehmen die Geschwindigkeit und Agilität der Cloud voll ausschöpfen können. AWS integriert umfassende Sicherheitskontrollen, effektive Skalierung, Transparenz und automatisierte Sicherheitsprozesse in seine Cloud-Infrastruktur, um eine sichere Grundlage zu schaffen, auf der Unternehmen aufbauen können. Das Shared Responsibility Model (SRM) macht es leicht, eigene Entscheidungen zum Schutz der einzigartigen AWS-Umgebung zu verstehen, und es bietet Unternehmen Zugriff auf Ressourcen, die ihnen helfen können, Ende-zu-Ende-Sicherheit schnell und einfach umzusetzen. Firmen können aus den vielen Cloud-fähigen Softwarelösungen von AWS und AWS Security Competency Partners wählen, um die höchsten Standards der Datensicherheit in der Cloud zu erfüllen.

T-Systems als Partner

T-Systems kann auf eine langjährige Erfahrung bei der Bereitstellung von Lösungen zurückblicken, die den hohen Sicherheitsanforderungen entsprechen und gleichzeitig die Agilität der Public Cloud erhalten. Das Telekommunikationsunternehmen bietet:

  • umfassende Cloud-Beratung und -Engineering für AWS – über den gesamten Application Stack hinweg.
  • spezifisches Cloud-Sicherheitswissen, einschließlich AWS-zertifizierter Sicherheitsspezialisten.
  • Sicherheitsüberprüfungen bestehender Anwendungen, die auf AWS laufen (gemäß der Sicherheitsanforderungen des AWS-Frameworks).
  • hochautomatisierte Sicherheits- und Compliance-Bewertungen für eine gesamte AWS-Umgebung.
  • Managed Services mit einem starken Fokus auf Sicherheit und Compliance. Sie nutzen die neuesten und besten Sicherheits- und Compliance-Tools für AWS und proaktiven 24x7-Support, einschließlich der Integration mit dem Telekom Security Operation Center (SOC).

DTIT hat sich aus diesen Gründen für T-Systems entschieden. Auch ihr fundiertes Wissen und ihre Erfahrung rund um die Sicherheitsanforderungen der Telekom haben dazu beigetragen.

Wir freuen uns auf Ihr Projekt!

Gern stellen wir Ihnen den passenden Experten zur Seite und beantworten Ihre Fragen rund um Planung, Implementierung und Wartung Ihrer Digitalisierungsvorhaben. Sprechen Sie uns an!

Aufbau einer AWS Landing Zone

Aufbau einer AWS Landing Zone

T-Systems hat für DTIT eine eigene AWS-Organisation aufgebaut. Die Security Richtlinien auf den Accounts sind eine Kombination aus den Sicherheitsstandards von T-Systems und einer zusätzlichen Ebene, die die spezifischen Anforderungen des Kunden realisiert.

Die Basis wurde aus einem zentralen SecOps-Account von T-Systems bereitgestellt. Das ermöglicht die Verschlüsselung und Entschlüsselung von S3-Datenspeichern basierend auf einem Klassifizierungs-Tag und der Verwendung von bereitgestellten KMS-Schlüsseln. Es stellt zudem sicher, dass strukturierte IAM-Rollen und Passwortrichtlinien existieren, die Multi-Faktor-Authentifizierung durchgesetzt wird und eine ordnungsgemäße Protokollierung (CloudTrail) vorhanden ist. Auch der Zugang für Forensik und Audits ist möglich. Regionale Beschränkungen wurden mit Hilfe von Service Control Policies (SCP) angewendet, die eine geografische Eingrenzung gemäß den Kundenanforderungen sicherstellen. T-Systems setzt auch beim Root-Level-Zugriff einen strengen und prüfbaren Prozess ein. Andere AWS-Dienste wie CloudFormation, CloudWatch und CodePipeline waren ebenfalls zentral für den Aufbau, die Bereitstellung und die Aktivierung dieser nativen Cloud-Lösung. Die von T-Systems bereitgestellte Lösung hat das strenge Telekom Privacy and Security Assessment bestanden.

Diese Lösung hat es dem DTIT AWS DevOps-Team ermöglicht, nahtlos in einer vorkonfigurierten und gesicherten AWS-Umgebung zu arbeiten und sich auf spezifische Anforderungen zu konzentrieren. T-Systems beriet und unterstützte DTIT dann bei der hochautomatisierten Definition, dem Aufbau und der Erweiterung der eigenen Sicherheitsrichtlinien (mit CloudFormation Stacksets, Step Functions und Lambda, bereitgestellt aus dem Code der Corporate Gitlab-Umgebung). Teil der DTIT-Sicherheit sind GuardDuty, die Verschlüsselung aller ruhenden Daten mittels KMS sowie ein dedizierter Protokollierungs- und Monitoring-Stack. T-Systems hat auch eine sichere Schnittstelle (über API Gateway) implementiert, damit ein neues AWS-Konto für DTIT bestellt und automatisch über ein zentrales Cloud-Management-Portal bereitgestellt werden kann.

Active Directory Federation

Active Directory Federation

Einer der wichtigsten Aspekte für die Sicherheit ist eine sichere Identitätsgrundlage. Es ist eine empfohlene Best Practice für Unternehmen jeder Größe, die Anzahl der verschiedenen Identitäten oder Benutzer zu begrenzen. Hauptgrund ist, neben dem Komfort für den Endverbraucher, dass es das sogenannte Mover/Leaver-Problem löst. Deshalb wurde T-Systems beauftragt, DTIT bei der Konzeption und Einrichtung einer Benutzerverwaltung für AWS zu unterstützen. Als Interimslösung wurde mit einer zentralen Benutzerverwaltung mit IAM in einem dedizierten Benutzerverwaltungskonto begonnen. Daraufhin wurden Rollen in den Projektkonten implementiert, die kontoübergreifende Vertrauensbeziehungen ermöglichen.

Parallel dazu bereitete T-Systems den Verbund mit Telekom Active Directory über die firmeneigene ADFS-Farm vor, um tatsächlich vom firmeneigenen Benutzerpool zu profitieren und zu vermeiden, dass ein separates, isoliertes Benutzer-Management für AWS eingerichtet wird. ADFS ist die in den meisten Unternehmen verwendete Lösung, um Single-Sign-On mit SaaS-Lösungen und der Cloud zu ermöglichen. Im DTIT Szenario dient das ADFS als sogenannter SAML2.0 (Security Assertion Markup Language) Provider für AWS. Das High-Level-Setup ist recht einfach und wird hier ausführlich (in Englisch) beschrieben.

Zusammenfassend lässt sich sagen, dass der Client intern ein SAML-Token von ADFS erhält, mit dem er dann temporäre Anmeldeinformationen von AWS erhalten und sich bei seinem AWS-Konto anmelden kann. Die Berechtigungen für Umgebungen werden über Gruppen im Active Directory gesteuert – auf ADFS-Seite muss ein sogenanntes Vertrauensverhältnis mit AWS aufgebaut werden. Der schwierigste Teil dieser Tätigkeit bestand darin, die Lösung auf Kundenseite zu definieren (Konzept), die Genehmigungen einzuholen, die Tests durchzuführen und mit der Änderung live zu gehen. T-Systems automatisierte aber auch den Rollout des Identity Providers und der Rollen auf der AWS-Seite und integrierte die Lösung in die Anwendung und Prozesse des Konzernmanagements.

Sicheres zentrales Netzwerk

Ein buntes Slinky in einem Oktogon.

Im Bereich der Vernetzung hat T-Systems eine hochsichere, zentral verwaltete Netzwerkumgebung konzipiert, die anschlussfertig mit dem Firmennetz verbunden ist (siehe T-Systems AWS Direct Connect Case für DTIT). Auf diese Weise wurden AWS-Funktionen wie VPC-Endpunkte und VPC-Sharing sowie die anderen für die Netzwerksicherheit erforderlichen typischen Funktionen wie NACL und Security Groups genutzt. T-Systems hat auch gesicherte Bereitstellungsvorlagen für die Projekte erstellt, um die Nutzung der zentral verwalteten Netzwerkumgebung zu vereinfachen. Darüber hinaus wird ein sicherer Standard-VPC in Regionen auf der Whitelist eingeführt, um den Einstieg in AWS für neue Projekte zu erleichtern. Alle Netzwerke werden als Code (CloudFormation-Templates) im zentralen DTIT-Gitlab verwaltet.

T-Systems wird den Kunden DTIT und die Telekom-Anwendungen weiterhin unterstützen, beispielsweise durch Beratung, gut strukturierte Reviews und Managed Services für Container (EKS, ECS).

Über APN Partner

In mehr als 20 Ländern vertreten, ist T-Systems einer der weltweit führenden herstellerunabhängigen Anbieter von digitalen Dienstleistungen mit Hauptsitz in Europa. Die Telekom-Tochter bietet alles aus einer Hand: vom sicheren Betrieb von Altsystemen und klassischen ICT-Diensten über die Umstellung auf Cloud-basierte Dienste bis hin zu neuen Geschäftsmodellen und Innovationsprojekten im Internet der Dinge. T-Systems ist Teil des AWS Partner Network (APN) und Advanced Consulting Partner von AWS.

Weitere Informationen

Über die Deutsche Telekom IT GmbH

DTIT ist der interne IT-Dienstleister der Deutschen Telekom AG. DTIT ist für die Konzeption, Entwicklung und den Betrieb aller eigenen und übertragenen IT-Systeme zur Unterstützung der Geschäftsprozesse der Deutschen Telekom AG verantwortlich. DTIT schafft benutzerfreundliche Webportale mit intelligenten Selbstbedienungsfunktionen und schafft damit die Grundlage für ein integriertes, kanalübergreifendes Kundenerlebnis mit der Marke Telekom Magenta.