Implementación rápida de requisitos específicos de seguridad
Conjuntamente con T-Systems, Deutsche Telekom IT (DTIT) ha creado una landing zone de AWS que cumple los estrictos requisitos y normas de seguridad de DTIT y al mismo tiempo permite aprovechar la agilidad de la nube pública.
Ventajas para los clientes
- Ahorro de tiempo gracias a la configuración de una landing zone de T-Systems como línea base para AWS. De esta forma, DTIT pudo concentrarse en sus propias necesidades y generar valor añadido para sus aplicaciones internas.
- DTIT se beneficia de los conocimientos de T-Systems sobre implantación de soluciones de seguridad en AWS. Esto permite aplicar los requisitos específicos de seguridad con mayor rapidez y usar las funciones nativas de la nube siempre que sea posible.
- Mayor seguridad y facilidad de uso gracias a la implantación de la federación de identidades con Active Directory para empresas a través de ADFS.
- Redes compartidas gestionadas de manera centralizada y plantillas para redes aisladas que permiten innovar y desarrollar prototipos rápidamente. Esto también permite la integración con sistemas back-end a nivel de empresa que son esenciales para el lanzamiento de soluciones.
T-Systems nos ha ayudado a acelerar la implantación de la nube pública para las aplicaciones de Deutsche Telekom, en la que hemos implementado una landing zone de AWS segura que se adapta a nuestros estrictos requisitos de seguridad.
Numerosos requisitos y normas de seguridad
Desde 2018, DTIT sigue un programa de transformación tecnológica con el objetivo de aumentar la aceptación de métodos ágiles y crear centros digitales. Con esto se pretende fomentar el uso del amplio abanico de funciones de la nube pública para aplicaciones internas. El principal reto del negocio de las compañías de telecomunicaciones, que está altamente regulado, son los numerosos requisitos y normas de seguridad, entre los que se encuentran los estrictos requisitos de protección de datos y evaluación de seguridad de Deutsche Telekom. En el marco de este proyecto, DTIT quería crear una plataforma segura para las aplicaciones que cumpliera la normativa y combinara los avanzados servicios nativos de automatización y seguridad de AWS con los mejores estándares y prácticas de Deutsche Telekom para el funcionamiento seguro del sistema y la red. Dado que es bien sabido que T-Systems ofrece soluciones que cumplen los elevados estándares de seguridad sin perder la agilidad de la nube pública, DTIT eligió como socio a este proveedor de tecnologías de la información y la comunicación para asistir y acelerar su proyecto.
El reto
- Crear una landing zone de AWS que permita a DTIT ofrecer entornos AWS aislados para las aplicaciones internas y al mismo tiempo controlar la seguridad y el cumplimiento normativo.
- Unir Active Directory de Telekom con AWS para poder administrar de manera centralizada las identidades y el inicio de sesión único en AWS para los empleados de Telekom, cumpliendo así las políticas y normas de seguridad de Deutsche Telekom AG.
- Crear un entorno de red altamente seguro, gestionado de manera centralizada, que esté preparado para la conexión con la red corporativa y ofrecer plantillas de despliegue seguro para los proyectos correspondientes.
Seguridad en AWS
Para Amazon Web Services (AWS), la seguridad es esencial en cualquier oferta para que las empresas puedan aprovechar íntegramente la velocidad y agilidad de la nube. AWS integra en su infraestructura de nube controles exhaustivos de seguridad, una escalabilidad eficaz, transparencia y procesos de seguridad automatizados, a fin de que las empresas dispongan de una base segura sobre la que trabajar. El modelo de responsabilidad compartida facilita la comprensión de las decisiones que se toman para proteger el entorno único de AWS, a la vez que ofrece a las empresas acceso a recursos que pueden servirles de ayuda a la hora de implementar seguridad de extremo a extremo de forma rápida y sencilla. Las empresas pueden elegir de entre un gran número de soluciones de software aptas para la nube, desarrolladas por AWS y sus socios de seguridad, que les permitirán cumplir los estándares de seguridad más estrictos.
T-Systems como socio
T-Systems cuenta con una vasta experiencia en ofrecer soluciones que cumplen estrictos requisitos de seguridad y conservan al mismo tiempo la agilidad de la nube pública. La empresa de telecomunicaciones ofrece:
- asesoramiento completo sobre la nube y la ingeniería de la nube para AWS más allá de toda la oferta de aplicaciones
- conocimientos sobre seguridad de la nube específicos, incluidos especialistas en seguridad, certificados por AWS
- pruebas de seguridad de las aplicaciones existentes que se ejecutan en AWS (según los requisitos de seguridad del marco de AWS)
- análisis de seguridad y cumplimiento normativo altamente automatizados de todo el entorno AWS
- servicios gestionados, centrados sobre todo en la seguridad y el cumplimiento normativo, con las mejores y más novedosas herramientas de seguridad y cumplimiento normativo para AWS, así como un soporte proactivo 24x7, incluida la integración con el centro de operaciones de seguridad de Telekom.
Estos son los motivos por los que DTIT se ha decantado por T-Systems, aunque también han influido sus sólidos conocimientos sobre los requisitos de seguridad de Telekom.
Creación de una landing zone de AWS
T-Systems ha creado para DTIT una organización propia de AWS. Las políticas de seguridad de las cuentas son el resultado de la combinación de los estándares de seguridad de T-Systems y los requisitos específicos del cliente.
La base se ha preparado a partir de una cuenta central de operaciones de seguridad de T-Systems. Ello permite el cifrado y descifrado de los datos almacenados en S3 basados en una etiqueta de clasificación y en el uso de claves del servicio de administración de claves. Además, garantiza la existencia de roles de gestión de accesos e identidades y políticas de contraseñas, que se cumplen con autenticación MFA, así como de un registro adecuado (CloudTrail). También es posible acceder a análisis forenses y auditorías. Las restricciones regionales se han implementado con ayuda de políticas de control de servicios, que garantizan las limitaciones geográficas según los requisitos de los clientes. T-Systems sigue un estricto proceso verificable, incluso para el acceso a nivel de administrador. Asimismo, otros servicios de AWS como CloudFormation, CloudWatch y CodePipeline han sido esenciales para el desarrollo, la disponibilidad y la activación de esta solución nativa en la nube. La solución de T-Systems ha aprobado la estricta evaluación de privacidad y seguridad de Telekom.
El equipo de operaciones de desarrollo de AWS de DTIT ha podido trabajar sin problemas en un entorno seguro de AWS configurado previamente y concentrarse en los requisitos específicos. T-Systems ha asesorado y ayudado a DTIT en la definición altamente automatizada, en la elaboración y en la ampliación de las políticas de seguridad internas (con CloudFormation Stacksets, Step Functions y Lambda, desplegadas con el código del entorno GitLab para empresas). GuardDuty, el cifrado de los datos inactivos con el servicio de administración de claves y un pool de control y registro específico que forman parte de la seguridad de DTIT. Además, T-Systems ha implementado una interfaz segura (mediante API-Gateway) con la que se puede solicitar y ofrecer automáticamente una nueva cuenta de AWS para DTIT a través de un portal central de gestión en la nube.
Federación de identidades con Active Directory
Uno de los aspectos más importantes para la seguridad es una base de identidades segura. Sin embargo, se recomienda a las empresas de todos los tamaños limitar el número de identidades o usuarios. Principalmente, esto se debe a que, además de ser cómodo para el usuario final, elimina el problema que generan los empleados que se trasladan a otro puesto en la empresa o la dejan. Por ello, se solicitó a T-Systems que ayudara a DTIT a diseñar e implantar un sistema de administración de usuarios para AWS. Como solución provisional, se comenzó con un sistema central de administración de usuarios con gestión de accesos e identidades en una cuenta específica para la administración de usuarios. Después se implementaron roles en las cuentas de proyectos que permiten relaciones de confianza entre las cuentas.
Paralelamente, T-Systems preparó la conexión con Telekom Active Directory usando los propios ADFS de la empresa con el objetivo de aprovechar la cartera de usuarios de la empresa, de manera efectiva y evitar que se configurara una administración de usuarios aislada e independiente para AWS. ADFS es la solución que utiliza la mayoría de empresas para permitir el inicio de sesión único con soluciones SaaS y la nube. En el caso de DTIT los ADFS sirven de proveedor del denominado SAML2.0 (lenguaje de marcado para confirmaciones de seguridad) para AWS. La configuración de calidad es muy sencilla. Encontrarás más detalles sobre ella aqui (en inglés).
En resumen, se puede decir que el cliente recibe internamente un token SAML de ADFS con el que puede obtener información de acceso temporal de AWS y acceder a su cuenta de AWS. Los permisos para los entornos se controlan por grupos en Active Directory: ADFS debe establecer con AWS lo que se denomina una relación de confianza. La parte más difícil de este proyecto fue definir la solución por parte del cliente (diseño), obtener los permisos, realizar las pruebas y ponerlo en marcha con las modificaciones. Además, T-Systems automatizó el despliegue de los proveedores de identidades y de los roles en AWS e integró la solución en la aplicación y los procesos de gestión del grupo.
Red centralizada segura
En el área de conectividad, T-Systems ha diseñado un entorno de red de gran seguridad y gestión centralizada para la conexión con la red corporativa (véase el caso de AWS Direct Connect de T-Systems para DTIT). De esta forma se han usado las funciones de AWS como los terminales de la nube privada virtual y el uso compartido de esta, así como las demás funciones típicas necesarias para la seguridad de la red, como las listas de control de acceso a la red y los grupos de seguridad. T-Systems también ha creado plantillas de disponibilidad seguras para los proyectos con el fin de simplificar el uso del entorno de red gestionado de manera centralizada. Además, se introducirá una nube virtual privada, estándar y segura en las regiones de la lista blanca para facilitar el acceso a AWS de los nuevos proyectos. Todas las redes se administran como código (plantillas CloudFormation) en el GitLab central de DTIT.
T-Systems continuará prestando su apoyo al cliente DTIT y a las aplicaciones de Telekom, por ejemplo, con asesoramiento, revisiones estructuradas y servicios de contenedores gestionados (EKS o ECS).
Socio de APN
T-Systems, con representación en más de 20 países, es uno de los proveedores líderes mundiales de servicios digitales independientes de fabricantes con sede en Europa. La filial de Telekom ofrece todos los servicios de forma integral: desde el funcionamiento seguro de los sistemas legacy y servicios de tecnologías de la información y la comunicación tradicionales, hasta nuevos modelos de negocio y proyectos de innovación en el Internet de las cosas, pasando por la migración a servicios en la nube. T-Systems forma parte de la red de socios de AWS (APN) y es socio de consultoría avanzada de AWS.
Deutsche Telekom IT GmbH
DTIT es el proveedor interno de servicios tecnológicos de Deutsche Telekom AG. DTIT es responsable del diseño, el desarrollo y el funcionamiento de todos los sistemas informáticos, propios y cedidos, que sirven de apoyo a los procesos comerciales de Deutsche Telekom AG. DTIT diseña portales web fáciles de usar con funciones de autoservicio inteligentes, que ofrecen una experiencia de usuario integrada, multicanal y con la marca Telekom Magenta.