Des personnes se tiennent les unes à côté des autres, en groupes séparés par des lignes blanches

Telekom IT : agilité et sécurité dans le Cloud public

T-Systems a assisté Deutsche Telekom IT dans la mise en place de solutions de sécurité dans le Cloud public AWS

Mise en œuvre rapide des exigences de sécurité spécifiques

Logo AWS

Ensemble avec T-Systems, Deutsche Telekom IT (DTIT) a développé une zone d’applications conforme aux exigences et normes de sécurité élevées de DTIT, qui permet également d’exploiter l’agilité du Cloud public.

L’avantage pour le client

  • Gain de temps grâce à la mise en place d’une zone d’applications T-Systems et des fondations pour AWS. Ainsi, Deutsche Telekom IT (DTIT) a pu se concentrer sur ses exigences spécifiques et créer une valeur ajoutée pour ses applications internes.
  • DTIT profite de l’expertise de T-Systems dans la mise en œuvre de solutions de sécurité sur AWS. Ainsi, les exigences de sécurité spécifiques ont pu être mises en œuvre plus rapidement et les capacités natives du Cloud peuvent être exploitées dès que possible.
  • Niveau de sécurité plus élevé et simplicité d’utilisation grâce à la mise en place de Federation avec Corporate Active Directory via ADFS.
  • Réseaux partagés administrés de façon centralisée ainsi que modèles pour les réseaux isolés, permettant des innovations et un prototypage rapides. Cela permet également l’intégration à l’aide de systèmes de backend couvrant toute l’entreprise, tels qu’ils sont nécessaires pour la mise en place des solutions.

T-Systems nous a aidés à accélérer le lancement du Cloud public pour les applications de Deutsche Telekom, en mettant en place une zone d’applications sécurisée qui correspond à nos exigences de sécurité élevées.

Torsten Jester, Senior Manager DTIT Cloud Center of Excellence (CCoE)

Exigences et normes de sécurité complètes

Un ordinateur portable ouvert et un smartphone sont posés sur une table.

Depuis 2018, DTIT suit un programme de transformation informatique qui vise à augmenter l’acceptation des méthodes agiles et à mettre en place des plateformes numériques. L’objectif consiste à permettre l’intégralité des fonctions de Cloud public pour les applications internes. Dans le secteur fortement régulé des télécommunications, le plus grand défi réside dans les exigences et normes de sécurité complètes, parmi lesquelles les propres exigences sur la protection des données et de la sécurité (Privacy and Security Assessment) de Deutsche Telekom. Dans le cadre du projet, DTIT voulait mettre en place une plateforme sécurisée et conforme pour les applications, sur laquelle les services natifs innovants d’AWS en matière d’automatisation et de sécurité sont combinés aux bonnes pratiques et normes de Deutsche Telekom pour l’exploitation sécurisée du système et du réseau. Dans la mesure où il est avéré que T-Systems fournit des solutions conformes à des normes de sécurité élevées et permettant également de profiter de l’agilité du Cloud public, le fournisseur TIC de DTIT a été choisi en tant que partenaire afin de soutenir et d’accélérer son projet.

Le défi

  • Mise en place d’une zone d’applications AWS qui permet à DTIT de mettre à disposition des environnements AWS isolés pour les applications internes, tout en gardant le contrôle sur la sécurité et la conformité.
  • Fusion entre l’Active Directory de Deutsche Telekom et AWS afin de permettre l’administration centrale du pool d’identités et l’authentification unique dans AWS pour les collaborateurs de Deutsche Telekom, d’une façon conforme aux directives et normes de sécurité de Deutsche Telekom AG.
  • Mise en place d’un environnement réseau hautement sécurisé et administré de façon centralisée, prêt pour la connexion avec le réseau de l’entreprise – ainsi que la mise à disposition de modèles de déploiement sécurisés pour les différents projets.

La sécurité chez AWS

Un câble orange et un câble bleu dans les boucles desquelles on peut voir un cadenas

Pour chacune de ses offres, Amazon Web Services (AWS) donne la priorité à la sécurité afin que les entreprises puissent exploiter pleinement la vitesse et l’agilité du Cloud. AWS intègre à son infrastructure de Cloud des contrôles de sécurité complets, une évolutivité effective, de la transparence et des processus de sécurité automatisés afin de créer des fondations solides sur lesquelles les entreprises peuvent se reposer. Le Shared Responsibility Model (SRM) facilite la prise de décisions autonome afin de protéger l’environnement AWS unique en son genre, et offre aux entreprises un accès aux ressources qui les aideront à mettre en œuvre la sécurité de bout en bout rapidement et simplement. Les entreprises peuvent faire leur choix entre les nombreuses solutions logicielles compatibles avec le Cloud d’AWS et AWS Security Competency Partners afin de répondre aux normes de sécurité dans le Cloud les plus élevées.

T-Systems en tant que partenaire

T-Systems est forte d’une expérience de longue date dans la mise à disposition de solutions qui correspondent aux normes de sécurité élevées tout en bénéficiant de l’agilité du Cloud public. L’entreprise de télécommunications propose :

  • un conseil complet en matière de Cloud et d’ingénierie pour AWS – sur l’ensemble du stack d’applications ;
  • des connaissances spécifiques en matière de sécurité du Cloud, y compris des spécialistes de la sécurité certifiés pour AWS ;
  • des contrôles de sécurité des applications existantes qui fonctionnent sur AWS (d’après les exigences de sécurité du câble AWS) ;
  • des évaluations de sécurité et de conformité hautement automatisées pour un environnement AWS complet ;
  • des services managés avec une concentration marquée sur la sécurité et la conformité. Faisant recours aux outils de sécurité et de conformité les plus récents et les plus performants pour AWS et à une assistance proactive 24h/24 et 7 jours/7, y compris l’intégration avec le Telekom Security Operation Center (SOC).

C’est pour ces raisons que DTIT a choisi T-Systems. Ses connaissances spécialisées et son expérience en matière d’exigences de sécurité de Deutsche Telekom ont également fait pencher la balance.

Nous sommes ravis de vous accompagner dans votre projet !

Nos meilleurs experts sont à votre disposition et répondent à toutes vos questions concernant la planification, la mise en œuvre et l’entretien de votre projet de transformation numérique. N’hésitez pas à nous contacter !

Mise en place d’une zone d’applications AWS

Mise en place d’une zone d’application AWS

T-Systems a mis en place une organisation AWS propre pour DTIT. Les directives de sécurité sur les comptes combinent les normes de sécurité de T-Systems et un niveau supplémentaire qui tient compte des exigences spécifiques du client.

La fondation a été mise à disposition par un compte SecOps central de T-Systems. Cela permet de crypter et de décrypter des supports de données S3 d’après une étiquette de classification et à l’aide des clés KMS mises à disposition. De plus, cela garantit que des rôles IAM structurés et des directives concernant les mots de passe soient en place, que l’authentification multifactorielle soit mise en œuvre et qu’un enregistrement régulier (CloudTrail) soit assuré. L’accès pour les experts en criminalistique et les audits est également possible. Les restrictions régionales ont été appliquées à l’aide de Service Control Policies (SCP), qui garantissent une délimitation géographique d’après les exigences du client. Pour l’accès racine également, T-Systems recourt à un processus rigoureux et contrôlable. D’autres services AWS tels que CloudFormation, CloudWatch et CodePipeline étaient également opérés de façon centrale pour la constitution, la mise à disposition et l’activation de cette solution de Cloud native. La solution mise à disposition par T-Systems a passé avec succès l’évaluation rigoureuse Telekom Privacy and Security Assessment.

Cette solution a permis à l’équipe DevOps DTIT AWS de travailler de manière fluide dans un environnement AWS préconfiguré et sécurisé et de se concentrer sur des exigences spécifiques. Ensuite, T-Systems a conseillé DTIT et l’a assistée dans la définition hautement automatisée, la constitution et l’extension de ses propres directives de sécurité (à l’aide des CloudFormation Stacksets, des Step Functions et de Lambda, mis à disposition depuis le code de l’environnement corporate Gitlab). La sécurité DTIT comprend la technologie GuardDuty, le cryptage KMS de toutes les données non utilisées ainsi qu’un stack d’enregistrement et de surveillance dédié. T-Systems a également mis en place une interface sécurisée (via passerelle API) afin qu’un nouveau compte AWS soit commandé pour DTIT et puisse être mis à disposition automatiquement via un portail de gestion de Cloud centralisé.

Active Directory Federation

Active Directory Federation

La sécurité des identités constitue l’un des principaux aspects en matière de sécurité. Limiter le nombre d’identités ou d’utilisateurs différents est une bonne pratique recommandée pour les entreprises de toutes tailles. Outre le confort pour l’utilisateur final, la raison principale est que cela permet de résoudre le problème dit des movers/leavers. Par conséquent, T-Systems a été chargée d’assister DTIT dans la conception et la mise en place d’une administration des utilisateurs pour AWS. En tant que solution provisoire, nous avons débuté par une administration centralisée des utilisateurs avec IAM, dans un compte d’administration des utilisateurs dédié. Par la suite, des rôles ont été mis en place au sein des comptes de projet, permettant des relations de confiance allant au-delà des comptes.

En parallèle, T-Systems a préparé la connexion avec le Telekom Active Directory via la ferme ADFS propre à l’entreprise, afin de profiter réellement du pool d’utilisateurs de l’entreprise et d’éviter qu’une gestion des utilisateurs séparée et isolée ne soit mise en place pour AWS. ADFS est la solution utilisée dans la plupart des entreprises afin de permettre l’authentification unique à l’aide de solutions SaaS et du Cloud. Dans le scénario de DTIT, l’ADFS sert de fournisseur SAML2.0 (Security Assertion Markup Language) pour AWS. La configuration High Level est particulièrement simple, et elle est décrite en détail ici (en anglais).

Pour résumer, on peut dire que le client reçoit un jeton SAML d’ADFS en interne, avec lequel il peut ensuite recevoir des informations d’inscription temporaires d’AWS et se connecter à son compte AWS. Les autorisations pour les environnements sont pilotées via les groupes dans l’Active Directory – sur la page d’ADFS, une « relation de confiance » doit être créée avec AWS. L’aspect le plus complexe de cette activité consistait à définir la solution côté client (concept), obtenir l’autorisation, réaliser les tests et mettre en place la modification. Mais T-Systems a également automatisé le déploiement du fournisseur d’identité et des rôles sur la page AWS, et a intégré la solution dans l’application et les processus de gestion du groupe.

Réseau central sécurisé

Un slinky coloré dans un octogone.

Dans le domaine de la mise en réseau, T-Systems a conçu un environnement réseau administré de façon centralisée, prêt à la connexion avec le réseau de l’entreprise (voir T-Systems ACS Direct Connect Case pour DTIT). Ainsi, des fonctions AWS telles que les points finaux VPC et le partage VPC ainsi que les autres fonctionnalités classiques nécessaires à la sécurité du réseau comme le NACL et les groupes de sécurité ont pu être utilisées. T-Systems a également établi des modèles de mise à disposition pour les projets, afin de simplifier l’utilisation de l’environnement réseau administré de façon centralisée. En outre, un VPC standard sécurisé a été introduit dans les régions sur la liste blanche afin de faciliter le passage à AWS pour les nouveaux projets. Tous les réseaux sont administrés en tant que code (modèles CloudFormation) dans le Gitlab DTIT central.

T-Systems continuera de soutenir le client DTIT et les applications de Deutsche Telekom, par exemple au travers de conseils, d’analyses bien structurées et de services gérés pour les containers (EKS, ECS).

À propos d’APN Partner

Présent dans plus de 20 pays, T-Systems est l’un des prestataires de services numériques indépendants des fabricants les plus importants au monde dont le siège principal se situe en Europe. La filiale de Deutsche Telekom propose tout auprès d’un même fournisseur : de l’exploitation sécurisée d’anciens systèmes et services TIC classiques au passage aux services dans le Cloud, en passant par de nouveaux modèles commerciaux et projets innovants en matière d’Internet des objets. T-Systems fait partie de l’AWS Partner Network (APN) et possède le statut d’Advanced Consulting Partner d’AWS.

Informations complémentaires

À propos de Deutsche Telekom IT GmbH

DTIT est le prestataire informatique interne de Deutsche Telekom AG. DTIT est responsable de la conception, du développement et de l’exploitation de tous les systèmes informatiques propres et rapportés afin de soutenir les processus opérationnels de Deutsche Telekom AG. DTIT crée des portails en ligne simples d’utilisation offrant des fonctionnalités automatiques intelligentes, et crée ainsi la fondation d’une expérience client intégrée et multicanale avec la marque Telekom Magenta.

Do you visit t-systems.com outside of France? Visit the local website for more information and offers for your country.