Ensemble avec T-Systems, Deutsche Telekom IT (DTIT) a développé une zone d’applications conforme aux exigences et normes de sécurité élevées de DTIT, qui permet également d’exploiter l’agilité du Cloud public.
T-Systems nous a aidés à accélérer le lancement du Cloud public pour les applications de Deutsche Telekom, en mettant en place une zone d’applications sécurisée qui correspond à nos exigences de sécurité élevées.
Torsten Jester, Senior Manager DTIT Cloud Center of Excellence (CCoE)
Depuis 2018, DTIT suit un programme de transformation informatique qui vise à augmenter l’acceptation des méthodes agiles et à mettre en place des plateformes numériques. L’objectif consiste à permettre l’intégralité des fonctions de Cloud public pour les applications internes. Dans le secteur fortement régulé des télécommunications, le plus grand défi réside dans les exigences et normes de sécurité complètes, parmi lesquelles les propres exigences sur la protection des données et de la sécurité (Privacy and Security Assessment) de Deutsche Telekom. Dans le cadre du projet, DTIT voulait mettre en place une plateforme sécurisée et conforme pour les applications, sur laquelle les services natifs innovants d’AWS en matière d’automatisation et de sécurité sont combinés aux bonnes pratiques et normes de Deutsche Telekom pour l’exploitation sécurisée du système et du réseau. Dans la mesure où il est avéré que T-Systems fournit des solutions conformes à des normes de sécurité élevées et permettant également de profiter de l’agilité du Cloud public, le fournisseur TIC de DTIT a été choisi en tant que partenaire afin de soutenir et d’accélérer son projet.
Pour chacune de ses offres, Amazon Web Services (AWS) donne la priorité à la sécurité afin que les entreprises puissent exploiter pleinement la vitesse et l’agilité du Cloud. AWS intègre à son infrastructure de Cloud des contrôles de sécurité complets, une évolutivité effective, de la transparence et des processus de sécurité automatisés afin de créer des fondations solides sur lesquelles les entreprises peuvent se reposer. Le Shared Responsibility Model (SRM) facilite la prise de décisions autonome afin de protéger l’environnement AWS unique en son genre, et offre aux entreprises un accès aux ressources qui les aideront à mettre en œuvre la sécurité de bout en bout rapidement et simplement. Les entreprises peuvent faire leur choix entre les nombreuses solutions logicielles compatibles avec le Cloud d’AWS et AWS Security Competency Partners afin de répondre aux normes de sécurité dans le Cloud les plus élevées.
T-Systems est forte d’une expérience de longue date dans la mise à disposition de solutions qui correspondent aux normes de sécurité élevées tout en bénéficiant de l’agilité du Cloud public. L’entreprise de télécommunications propose :
C’est pour ces raisons que DTIT a choisi T-Systems. Ses connaissances spécialisées et son expérience en matière d’exigences de sécurité de Deutsche Telekom ont également fait pencher la balance.
T-Systems a mis en place une organisation AWS propre pour DTIT. Les directives de sécurité sur les comptes combinent les normes de sécurité de T-Systems et un niveau supplémentaire qui tient compte des exigences spécifiques du client.
La fondation a été mise à disposition par un compte SecOps central de T-Systems. Cela permet de crypter et de décrypter des supports de données S3 d’après une étiquette de classification et à l’aide des clés KMS mises à disposition. De plus, cela garantit que des rôles IAM structurés et des directives concernant les mots de passe soient en place, que l’authentification multifactorielle soit mise en œuvre et qu’un enregistrement régulier (CloudTrail) soit assuré. L’accès pour les experts en criminalistique et les audits est également possible. Les restrictions régionales ont été appliquées à l’aide de Service Control Policies (SCP), qui garantissent une délimitation géographique d’après les exigences du client. Pour l’accès racine également, T-Systems recourt à un processus rigoureux et contrôlable. D’autres services AWS tels que CloudFormation, CloudWatch et CodePipeline étaient également opérés de façon centrale pour la constitution, la mise à disposition et l’activation de cette solution de Cloud native. La solution mise à disposition par T-Systems a passé avec succès l’évaluation rigoureuse Telekom Privacy and Security Assessment.
Cette solution a permis à l’équipe DevOps DTIT AWS de travailler de manière fluide dans un environnement AWS préconfiguré et sécurisé et de se concentrer sur des exigences spécifiques. Ensuite, T-Systems a conseillé DTIT et l’a assistée dans la définition hautement automatisée, la constitution et l’extension de ses propres directives de sécurité (à l’aide des CloudFormation Stacksets, des Step Functions et de Lambda, mis à disposition depuis le code de l’environnement corporate Gitlab). La sécurité DTIT comprend la technologie GuardDuty, le cryptage KMS de toutes les données non utilisées ainsi qu’un stack d’enregistrement et de surveillance dédié. T-Systems a également mis en place une interface sécurisée (via passerelle API) afin qu’un nouveau compte AWS soit commandé pour DTIT et puisse être mis à disposition automatiquement via un portail de gestion de Cloud centralisé.
La sécurité des identités constitue l’un des principaux aspects en matière de sécurité. Limiter le nombre d’identités ou d’utilisateurs différents est une bonne pratique recommandée pour les entreprises de toutes tailles. Outre le confort pour l’utilisateur final, la raison principale est que cela permet de résoudre le problème dit des movers/leavers. Par conséquent, T-Systems a été chargée d’assister DTIT dans la conception et la mise en place d’une administration des utilisateurs pour AWS. En tant que solution provisoire, nous avons débuté par une administration centralisée des utilisateurs avec IAM, dans un compte d’administration des utilisateurs dédié. Par la suite, des rôles ont été mis en place au sein des comptes de projet, permettant des relations de confiance allant au-delà des comptes.
En parallèle, T-Systems a préparé la connexion avec le Telekom Active Directory via la ferme ADFS propre à l’entreprise, afin de profiter réellement du pool d’utilisateurs de l’entreprise et d’éviter qu’une gestion des utilisateurs séparée et isolée ne soit mise en place pour AWS. ADFS est la solution utilisée dans la plupart des entreprises afin de permettre l’authentification unique à l’aide de solutions SaaS et du Cloud. Dans le scénario de DTIT, l’ADFS sert de fournisseur SAML2.0 (Security Assertion Markup Language) pour AWS. La configuration High Level est particulièrement simple, et elle est décrite en détail ici (en anglais).
Pour résumer, on peut dire que le client reçoit un jeton SAML d’ADFS en interne, avec lequel il peut ensuite recevoir des informations d’inscription temporaires d’AWS et se connecter à son compte AWS. Les autorisations pour les environnements sont pilotées via les groupes dans l’Active Directory – sur la page d’ADFS, une « relation de confiance » doit être créée avec AWS. L’aspect le plus complexe de cette activité consistait à définir la solution côté client (concept), obtenir l’autorisation, réaliser les tests et mettre en place la modification. Mais T-Systems a également automatisé le déploiement du fournisseur d’identité et des rôles sur la page AWS, et a intégré la solution dans l’application et les processus de gestion du groupe.
Dans le domaine de la mise en réseau, T-Systems a conçu un environnement réseau administré de façon centralisée, prêt à la connexion avec le réseau de l’entreprise (voir T-Systems ACS Direct Connect Case pour DTIT). Ainsi, des fonctions AWS telles que les points finaux VPC et le partage VPC ainsi que les autres fonctionnalités classiques nécessaires à la sécurité du réseau comme le NACL et les groupes de sécurité ont pu être utilisées. T-Systems a également établi des modèles de mise à disposition pour les projets, afin de simplifier l’utilisation de l’environnement réseau administré de façon centralisée. En outre, un VPC standard sécurisé a été introduit dans les régions sur la liste blanche afin de faciliter le passage à AWS pour les nouveaux projets. Tous les réseaux sont administrés en tant que code (modèles CloudFormation) dans le Gitlab DTIT central.
T-Systems continuera de soutenir le client DTIT et les applications de Deutsche Telekom, par exemple au travers de conseils, d’analyses bien structurées et de services gérés pour les containers (EKS, ECS).
Présent dans plus de 20 pays, T-Systems est l’un des prestataires de services numériques indépendants des fabricants les plus importants au monde dont le siège principal se situe en Europe. La filiale de Deutsche Telekom propose tout auprès d’un même fournisseur : de l’exploitation sécurisée d’anciens systèmes et services TIC classiques au passage aux services dans le Cloud, en passant par de nouveaux modèles commerciaux et projets innovants en matière d’Internet des objets. T-Systems fait partie de l’AWS Partner Network (APN) et possède le statut d’Advanced Consulting Partner d’AWS.
DTIT est le prestataire informatique interne de Deutsche Telekom AG. DTIT est responsable de la conception, du développement et de l’exploitation de tous les systèmes informatiques propres et rapportés afin de soutenir les processus opérationnels de Deutsche Telekom AG. DTIT crée des portails en ligne simples d’utilisation offrant des fonctionnalités automatiques intelligentes, et crée ainsi la fondation d’une expérience client intégrée et multicanale avec la marque Telekom Magenta.