Conjuntamente con T-Systems, Deutsche Telekom IT (DTIT) ha creado una landing zone de AWS que cumple los estrictos requisitos y normas de seguridad de DTIT y al mismo tiempo permite aprovechar la agilidad de la nube pública.
T-Systems nos ha ayudado a acelerar la implantación de la nube pública para las aplicaciones de Deutsche Telekom, en la que hemos implementado una landing zone de AWS segura que se adapta a nuestros estrictos requisitos de seguridad.
Desde 2018, DTIT sigue un programa de transformación tecnológica con el objetivo de aumentar la aceptación de métodos ágiles y crear centros digitales. Con esto se pretende fomentar el uso del amplio abanico de funciones de la nube pública para aplicaciones internas. El principal reto del negocio de las compañías de telecomunicaciones, que está altamente regulado, son los numerosos requisitos y normas de seguridad, entre los que se encuentran los estrictos requisitos de protección de datos y evaluación de seguridad de Deutsche Telekom. En el marco de este proyecto, DTIT quería crear una plataforma segura para las aplicaciones que cumpliera la normativa y combinara los avanzados servicios nativos de automatización y seguridad de AWS con los mejores estándares y prácticas de Deutsche Telekom para el funcionamiento seguro del sistema y la red. Dado que es bien sabido que T-Systems ofrece soluciones que cumplen los elevados estándares de seguridad sin perder la agilidad de la nube pública, DTIT eligió como socio a este proveedor de tecnologías de la información y la comunicación para asistir y acelerar su proyecto.
Para Amazon Web Services (AWS), la seguridad es esencial en cualquier oferta para que las empresas puedan aprovechar íntegramente la velocidad y agilidad de la nube. AWS integra en su infraestructura de nube controles exhaustivos de seguridad, una escalabilidad eficaz, transparencia y procesos de seguridad automatizados, a fin de que las empresas dispongan de una base segura sobre la que trabajar. El modelo de responsabilidad compartida facilita la comprensión de las decisiones que se toman para proteger el entorno único de AWS, a la vez que ofrece a las empresas acceso a recursos que pueden servirles de ayuda a la hora de implementar seguridad de extremo a extremo de forma rápida y sencilla. Las empresas pueden elegir de entre un gran número de soluciones de software aptas para la nube, desarrolladas por AWS y sus socios de seguridad, que les permitirán cumplir los estándares de seguridad más estrictos.
T-Systems cuenta con una vasta experiencia en ofrecer soluciones que cumplen estrictos requisitos de seguridad y conservan al mismo tiempo la agilidad de la nube pública. La empresa de telecomunicaciones ofrece:
Estos son los motivos por los que DTIT se ha decantado por T-Systems, aunque también han influido sus sólidos conocimientos sobre los requisitos de seguridad de Telekom.
T-Systems ha creado para DTIT una organización propia de AWS. Las políticas de seguridad de las cuentas son el resultado de la combinación de los estándares de seguridad de T-Systems y los requisitos específicos del cliente.
La base se ha preparado a partir de una cuenta central de operaciones de seguridad de T-Systems. Ello permite el cifrado y descifrado de los datos almacenados en S3 basados en una etiqueta de clasificación y en el uso de claves del servicio de administración de claves. Además, garantiza la existencia de roles de gestión de accesos e identidades y políticas de contraseñas, que se cumplen con autenticación MFA, así como de un registro adecuado (CloudTrail). También es posible acceder a análisis forenses y auditorías. Las restricciones regionales se han implementado con ayuda de políticas de control de servicios, que garantizan las limitaciones geográficas según los requisitos de los clientes. T-Systems sigue un estricto proceso verificable, incluso para el acceso a nivel de administrador. Asimismo, otros servicios de AWS como CloudFormation, CloudWatch y CodePipeline han sido esenciales para el desarrollo, la disponibilidad y la activación de esta solución nativa en la nube. La solución de T-Systems ha aprobado la estricta evaluación de privacidad y seguridad de Telekom.
El equipo de operaciones de desarrollo de AWS de DTIT ha podido trabajar sin problemas en un entorno seguro de AWS configurado previamente y concentrarse en los requisitos específicos. T-Systems ha asesorado y ayudado a DTIT en la definición altamente automatizada, en la elaboración y en la ampliación de las políticas de seguridad internas (con CloudFormation Stacksets, Step Functions y Lambda, desplegadas con el código del entorno GitLab para empresas). GuardDuty, el cifrado de los datos inactivos con el servicio de administración de claves y un pool de control y registro específico que forman parte de la seguridad de DTIT. Además, T-Systems ha implementado una interfaz segura (mediante API-Gateway) con la que se puede solicitar y ofrecer automáticamente una nueva cuenta de AWS para DTIT a través de un portal central de gestión en la nube.
Uno de los aspectos más importantes para la seguridad es una base de identidades segura. Sin embargo, se recomienda a las empresas de todos los tamaños limitar el número de identidades o usuarios. Principalmente, esto se debe a que, además de ser cómodo para el usuario final, elimina el problema que generan los empleados que se trasladan a otro puesto en la empresa o la dejan. Por ello, se solicitó a T-Systems que ayudara a DTIT a diseñar e implantar un sistema de administración de usuarios para AWS. Como solución provisional, se comenzó con un sistema central de administración de usuarios con gestión de accesos e identidades en una cuenta específica para la administración de usuarios. Después se implementaron roles en las cuentas de proyectos que permiten relaciones de confianza entre las cuentas.
Paralelamente, T-Systems preparó la conexión con Telekom Active Directory usando los propios ADFS de la empresa con el objetivo de aprovechar la cartera de usuarios de la empresa, de manera efectiva y evitar que se configurara una administración de usuarios aislada e independiente para AWS. ADFS es la solución que utiliza la mayoría de empresas para permitir el inicio de sesión único con soluciones SaaS y la nube. En el caso de DTIT los ADFS sirven de proveedor del denominado SAML2.0 (lenguaje de marcado para confirmaciones de seguridad) para AWS. La configuración de calidad es muy sencilla. Encontrarás más detalles sobre ella aqui (en inglés).
En resumen, se puede decir que el cliente recibe internamente un token SAML de ADFS con el que puede obtener información de acceso temporal de AWS y acceder a su cuenta de AWS. Los permisos para los entornos se controlan por grupos en Active Directory: ADFS debe establecer con AWS lo que se denomina una relación de confianza. La parte más difícil de este proyecto fue definir la solución por parte del cliente (diseño), obtener los permisos, realizar las pruebas y ponerlo en marcha con las modificaciones. Además, T-Systems automatizó el despliegue de los proveedores de identidades y de los roles en AWS e integró la solución en la aplicación y los procesos de gestión del grupo.
En el área de conectividad, T-Systems ha diseñado un entorno de red de gran seguridad y gestión centralizada para la conexión con la red corporativa (véase el caso de AWS Direct Connect de T-Systems para DTIT). De esta forma se han usado las funciones de AWS como los terminales de la nube privada virtual y el uso compartido de esta, así como las demás funciones típicas necesarias para la seguridad de la red, como las listas de control de acceso a la red y los grupos de seguridad. T-Systems también ha creado plantillas de disponibilidad seguras para los proyectos con el fin de simplificar el uso del entorno de red gestionado de manera centralizada. Además, se introducirá una nube virtual privada, estándar y segura en las regiones de la lista blanca para facilitar el acceso a AWS de los nuevos proyectos. Todas las redes se administran como código (plantillas CloudFormation) en el GitLab central de DTIT.
T-Systems continuará prestando su apoyo al cliente DTIT y a las aplicaciones de Telekom, por ejemplo, con asesoramiento, revisiones estructuradas y servicios de contenedores gestionados (EKS o ECS).
T-Systems, con representación en más de 20 países, es uno de los proveedores líderes mundiales de servicios digitales independientes de fabricantes con sede en Europa. La filial de Telekom ofrece todos los servicios de forma integral: desde el funcionamiento seguro de los sistemas legacy y servicios de tecnologías de la información y la comunicación tradicionales, hasta nuevos modelos de negocio y proyectos de innovación en el Internet de las cosas, pasando por la migración a servicios en la nube. T-Systems forma parte de la red de socios de AWS (APN) y es socio de consultoría avanzada de AWS.
DTIT es el proveedor interno de servicios tecnológicos de Deutsche Telekom AG. DTIT es responsable del diseño, el desarrollo y el funcionamiento de todos los sistemas informáticos, propios y cedidos, que sirven de apoyo a los procesos comerciales de Deutsche Telekom AG. DTIT diseña portales web fáciles de usar con funciones de autoservicio inteligentes, que ofrecen una experiencia de usuario integrada, multicanal y con la marca Telekom Magenta.
