T-Systems Use Cases: Mit Einsatz und Erfahrung zum Top-Ergebnis: Entdecken Sie hier unsere Projekte.
Sichere AWS-Einführung für die Deutsche Telekom IT GmbH
Cloud

Sichere AWS-Einführung für die Deutsche Telekom IT GmbH

“T-Systems hat uns geholfen, die Einführung der Public Cloud für Anwendungen der Deutschen Telekom zu beschleunigen, indem wir eine sichere AWS-Landing Zone implementiert haben, die an unsere hohen Sicherheitsanforderungen angepasst ist.“
Torsten Jester
Senior Manager DTIT Cloud Center of Excellence (CCoE)
Seit 2018 durchläuft die Deutsche Telekom IT (DTIT) ein IT-Transformationsprogramm, das darauf abzielt, die Akzeptanz agiler Methoden zu erhöhen und digitale Hubs zu bilden. So soll die gesamte Bandbreite an Public Cloud-Funktionen für interne Anwendungen ermöglicht werden. Die größte Herausforderung im stark regulierten Telco-Geschäft sind die umfassenden Sicherheitsanforderungen und -standards, darunter die strengen, eigenen Datenschutz- und Sicherheitsbewertungsanforderungen (PSA) der Deutschen Telekom. Im Rahmen des Projekts wollte DTIT eine sichere und konforme Plattform für die Anwendungen aufbauen, indem die fortschrittlichen AWS-nativen Automatisierungs- und Sicherheitsdienste mit den Best Practices und Standards der Deutschen Telekom für den sicheren System- und Netzwerkbetrieb kombiniert werden. Da T-Systems nachweislich Lösungen liefert, die den hohen Sicherheitsanforderungen entsprechen und gleichzeitig die Agilität der Public Cloud aufrechterhalten, wurde der ICT-Provider von der DTIT als Partner ausgewählt, um ihr Projekt zu unterstützen und zu beschleunigen.
Die Herausforderung
Aufbau einer AWS Landing Zone, die es dem DTIT ermöglicht, isolierte AWS-Umgebungen für die internen Anwendungen bereitzustellen und gleichzeitig die Kontrolle über Sicherheit und Compliance zu behalten.
Zusammenführung des Active Directory der Telekom mit AWS, um eine zentrale Verwaltung des Identitätspools und die Single-Sign-On in AWS für Telekom-Mitarbeiter in einer Weise zu ermöglichen, die den Sicherheitsrichtlinien und -standards der Deutschen Telekom AG entspricht.
Aufbau einer hochsicheren, zentral verwalteten Netzwerkumgebung, die für die Verbindung mit dem Unternehmensnetzwerk bereit ist ­– sowie die Zurverfügungstellung von abgesicherten Deployment Templates für die jeweiligen Projekte.

Sicherheit bei AWS

Amazon Web Services (AWS) stellt die Sicherheit in den Mittelpunkt jedes Angebots, damit Unternehmen die Geschwindigkeit und Agilität der Cloud voll ausschöpfen können. AWS integriert umfassende Sicherheitskontrollen, effektive Skalierung, Transparenz und automatisierte Sicherheitsprozesse in seine Cloud-Infrastruktur, um eine sichere Grundlage zu schaffen, auf der Unternehmen aufbauen können. Das Shared Responsibility Model (SRM) macht es leicht, eigene Entscheidungen zum Schutz der einzigartigen AWS-Umgebung zu verstehen, und es bietet Unternehmen Zugriff auf Ressourcen, die ihnen helfen können, Ende-zu-Ende-Sicherheit schnell und einfach umzusetzen. Firmen können aus den vielen Cloud-fähigen Softwarelösungen von AWS und AWS Security Competency Partners wählen, um die höchsten Standards der Datensicherheit in der Cloud zu erfüllen.

T-Systems als Partner

T-Systems kann auf eine langjährige Erfahrung bei der Bereitstellung von Lösungen zurückblicken, die den hohen Sicherheitsanforderungen entsprechen und gleichzeitig die Agilität der Public Cloud erhalten. Das Telekommunikationsunternehmen bietet:
  • umfassende Cloud-Beratung und -Engineering für AWS – über den gesamten Application Stack hinweg.
  • spezifisches Cloud-Sicherheitswissen, einschließlich AWS-zertifizierter Sicherheitsspezialisten.
  • Sicherheitsüberprüfungen bestehender Anwendungen, die auf AWS laufen (gemäß der Sicherheitsanforderungen des AWS-Frameworks).
  • hochautomatisierte Sicherheits- und Compliance-Bewertungen für eine gesamte AWS-Umgebung.
  • Managed Services mit einem starken Fokus auf Sicherheit und Compliance. Sie nutzen die neuesten und besten Sicherheits- und Compliance-Tools für AWS und proaktiven 24x7-Support, einschließlich der Integration mit dem Telekom Security Operation Center (SOC).
DTIT hat sich aus diesen Gründen für T-Systems entschieden. Auch ihr fundiertes Wissen und ihre Erfahrung rund um die Sicherheitsanforderungen der Telekom haben dazu beigetragen.

Die Landing Zone Lösung

T-Systems hat für DTIT eine eigene AWS-Organisation aufgebaut. Die Security Richtlinien auf den Accounts sind eine Kombination aus den Sicherheitsstandards von T-Systems und einer zusätzlichen Ebene, die die spezifischen Anforderungen des Kunden realisiert.
Die Basis wurde aus einem zentralen SecOps-Account von T-Systems bereitgestellt. Das ermöglicht die Verschlüsselung und Entschlüsselung von S3-Datenspeichern basierend auf einem Klassifizierungs-Tag und der Verwendung von bereitgestellten KMS-Schlüsseln. Es stellt zudem sicher, dass strukturierte IAM-Rollen und Passwortrichtlinien existieren, die Multi-Faktor-Authentifizierung durchgesetzt wird und eine ordnungsgemäße Protokollierung (CloudTrail) vorhanden ist. Auch der Zugang für Forensik und Audits ist möglich. Regionale Beschränkungen wurden mit Hilfe von Service Control Policies (SCP) angewendet, die eine geografische Eingrenzung gemäß den Kundenanforderungen sicherstellen. T-Systems setzt auch beim Root-Level-Zugriff einen strengen und prüfbaren Prozess ein. Andere AWS-Dienste wie CloudFormation, CloudWatch und CodePipeline waren ebenfalls zentral für den Aufbau, die Bereitstellung und die Aktivierung dieser nativen Cloud-Lösung. Die von T-Systems bereitgestellte Lösung hat das strenge Telekom Privacy and Security Assessment bestanden.
Diese Lösung hat es dem DTIT AWS DevOps-Team ermöglicht, nahtlos in einer vorkonfigurierten und gesicherten AWS-Umgebung zu arbeiten und sich auf spezifische Anforderungen zu konzentrieren. T-Systems beriet und unterstützte DTIT dann bei der hochautomatisierten Definition, dem Aufbau und der Erweiterung der eigenen Sicherheitsrichtlinien (mit CloudFormation Stacksets, Step Functions und Lambda, bereitgestellt aus dem Code der Corporate Gitlab-Umgebung). Teil der DTIT-Sicherheit sind GuardDuty, die Verschlüsselung aller ruhenden Daten mittels KMS sowie ein dedizierter Protokollierungs- und Monitoring-Stack. T-Systems hat auch eine sichere Schnittstelle (über API Gateway) implementiert, damit ein neues AWS-Konto für DTIT bestellt und automatisch über ein zentrales Cloud-Management-Portal bereitgestellt werden kann.

Active Directory Federation

Einer der wichtigsten Aspekte für die Sicherheit ist eine sichere Identitätsgrundlage. Es ist eine empfohlene Best Practice für Unternehmen jeder Größe, die Anzahl der verschiedenen Identitäten/Benutzer zu begrenzen. Hauptgrund ist, neben dem Komfort für den Endverbraucher, dass es das sogenannte Mover/Leaver-Problem löst. Deshalb wurde T-Systems beauftragt, DTIT bei der Konzeption und Einrichtung einer Benutzerverwaltung für AWS zu unterstützen. Als Interimslösung wurde mit einer zentralen Benutzerverwaltung mit IAM in einem dedizierten Benutzerverwaltungskonto begonnen. Daraufhin wurden Rollen in den Projektkonten implementiert, die kontoübergreifende Vertrauensbeziehungen ermöglichen.
Parallel dazu bereitete T-Systems den Verbund mit Telekom Active Directory über die firmeneigene ADFS-Farm vor, um tatsächlich vom firmeneigenen Benutzerpool zu profitieren und zu vermeiden, dass ein separates, isoliertes Benutzer-Management für AWS eingerichtet wird. ADFS ist die in den meisten Unternehmen verwendete Lösung, um Single-Sign-On mit SaaS-Lösungen und der Cloud zu ermöglichen. Im DTIT Szenario dient das ADFS als sogenannter SAML2.0 (Security Assertion Markup Language) Provider für AWS. Das High-Level-Setup ist recht einfach und wird hier ausführlich (in Englisch) beschrieben. Zusammenfassend lässt sich sagen, dass der Client intern ein SAML-Token von ADFS erhält, mit dem er dann temporäre Anmeldeinformationen von AWS erhalten und sich bei seinem AWS-Konto anmelden kann. Die Berechtigungen für Umgebungen werden über Gruppen im Active Directory gesteuert – auf ADFS-Seite muss ein sogenanntes Vertrauensverhältnis mit AWS aufgebaut werden. Der schwierigste Teil dieser Tätigkeit bestand darin, die Lösung auf Kundenseite zu definieren (Konzept), die Genehmigungen einzuholen, die Tests durchzuführen und mit der Änderung live zu gehen. T-Systems automatisierte aber auch den Rollout des Identity Providers und der Rollen auf der AWS-Seite und integrierte die Lösung in die Anwendung und Prozesse des Konzernmanagements.

Sicheres zentrales Netzwerk

Im Bereich der Vernetzung hat T-Systems eine hochsichere, zentral verwaltete Netzwerkumgebung konzipiert, die anschlussfertig mit dem Firmennetz verbunden ist (siehe T-Systems AWS Direct Connect Case für DTIT). Auf diese Weise wurden AWS-Funktionen wie VPC-Endpunkte und VPC-Sharing sowie die anderen für die Netzwerksicherheit erforderlichen typischen Funktionen wie NACL und Security Groups genutzt. T-Systems hat auch gesicherte Bereitstellungsvorlagen für die Projekte erstellt, um die Nutzung der zentral verwalteten Netzwerkumgebung zu vereinfachen. Darüber hinaus wird ein sicherer Standard-VPC in Regionen auf der Whitelist eingeführt, um den Einstieg in AWS für neue Projekte zu erleichtern. Alle Netzwerke werden als Code (CloudFormation-Templates) im zentralen DTIT-Gitlab verwaltet.
Ergebnisse und Nutzen
Zeitersparnis durch die Einrichtung einer T-Systems Landing Zone und Basislinie für AWS. Auf diese Weise konnte sich die DTIT auf ihre spezifischen Anforderungen konzentrieren und Mehrwert für interne Anwendungen schaffen.
Die DTIT profitiert von der Expertise von T-Systems bei der Implementierung von Sicherheitslösungen auf AWS. Auf diese Weise konnten die spezifischen Sicherheitsanforderungen schneller umgesetzt und die Cloud-nativen Fähigkeiten, wo immer möglich, genutzt werden.
Höheres Sicherheitsniveau und bessere Benutzerfreundlichkeit durch die Implementierung von Federation mit Corporate Active Directory über ADFS.
Zentral verwaltete Shared Networks sowie Templates für isolierte Netzwerke, um schnelle Innovationen und Prototyping zu ermöglichen. Auch die Integration mit unternehmensweiten Backend-Systemen, wie sie für Go Live von Lösungen erforderlich sind, sind dadurch möglich.

Nächste Schritte

T-Systems wird den Kunden DTIT und die Telekom-Anwendungen weiterhin unterstützen, z. B. durch Beratung, gut strukturierte Reviews und Managed Services für Container (EKS, ECS).

Über APN Partner

In mehr als 20 Ländern vertreten, ist T-Systems einer der weltweit führenden herstellerunabhängigen Anbieter von digitalen Dienstleistungen mit Hauptsitz in Europa. Die Telekom-Tochter bietet alles aus einer Hand: vom sicheren Betrieb von Altsystemen und klassischen ICT-Diensten über die Umstellung auf Cloud-basierte Dienste bis hin zu neuen Geschäftsmodellen und Innovationsprojekten im Internet der Dinge. T-Systems ist Advanced Consulting Partner von AWS.

Über die Deutsche Telekom IT GmbH

DTIT ist der interne IT-Dienstleister der Deutschen Telekom AG. DTIT ist für die Konzeption, Entwicklung und den Betrieb aller eigenen und übertragenen IT-Systeme zur Unterstützung der Geschäftsprozesse der Deutschen Telekom AG verantwortlich. DTIT schafft benutzerfreundliche Webportale mit intelligenten Selbstbedienungsfunktionen und schafft damit die Grundlage für ein integriertes, kanalübergreifendes Kundenerlebnis mit der Marke Telekom Magenta.
Kontakt
Sebastian Mohri
Sebastian Mohri

Junior Sales Expert AWS

Passende Lösungen