Junto con T-Systems, Deutsche Telekom IT (DTIT) creó una landing zone de AWS que cumple los estrictos requisitos y normas de seguridad de DTIT y, al mismo tiempo, permite aprovechar la agilidad de la nube pública.
T-Systems nos ayudó a acelerar la implementación de la nube pública para las aplicaciones de Deutsche Telekom, en la que integramos una landing zone de AWS segura adaptada a nuestros estrictos requisitos de seguridad.
Desde 2018, DTIT sigue un programa de transformación tecnológica con el objetivo de aumentar la aceptación de métodos ágiles y crear centros digitales. Con esto se pretende fomentar el uso del amplio abanico de funciones de la nube pública para aplicaciones internas. El principal reto del negocio de las compañías de telecomunicaciones, que está altamente regulado, son los numerosos requisitos y normas de seguridad, entre los que se encuentran los estrictos requisitos de protección de datos y evaluación de seguridad (PSA) de Deutsche Telekom. En el marco de este proyecto, DTIT quería crear una plataforma segura para las aplicaciones que cumpliera la normativa y combinara los avanzados servicios nativos de automatización y seguridad de AWS con los estándares y las mejores prácticas de Deutsche Telekom para el funcionamiento seguro del sistema y la red. Como T-Systems ofrece soluciones que cumplen los altos estándares de seguridad sin perder la agilidad de la nube pública, DTIT eligió como socio al proveedor de TIC para asistir y acelerar su proyecto.
Para Amazon Web Services (AWS), la seguridad es esencial en cualquier oferta para que las empresas puedan aprovechar íntegramente la velocidad y agilidad de la nube. AWS integra en su infraestructura de nube controles exhaustivos de seguridad, una escalabilidad eficaz, transparencia y procesos de seguridad automatizados a fin de que las empresas dispongan de una base segura para trabajar. El modelo de responsabilidad compartida (SRM) facilita la comprensión de las decisiones que se toman para proteger el entorno único de AWS y ofrece a las empresas acceso a recursos que pueden servirles de ayuda a la hora de implementar seguridad de extremo a extremo de forma rápida y sencilla. Las empresas pueden elegir entre un gran número de soluciones de software aptas para la nube desarrolladas por AWS y sus socios de seguridad que les permitirán cumplir los estándares de seguridad de los datos en la nube más estrictos.
T-Systems cuenta con una vasta experiencia en ofrecer soluciones que cumplen estrictos requisitos de seguridad y conservan al mismo tiempo la agilidad de la nube pública. La empresa de telecomunicaciones ofrece:
Por eso DTIT se decidió por T-Systems, pero también influyeron sus sólidos conocimientos sobre los requisitos de seguridad de Telekom.
T-Systems creó para DTIT una organización propia de AWS. Las políticas de seguridad de las cuentas son el resultado de la combinación de los estándares de seguridad de T-Systems y los requisitos específicos del cliente.
La base es una cuenta central de operaciones de seguridad de T-Systems. Ella permite el cifrado y descifrado de los almacenamientos de datos S3 basados en una etiqueta de clasificación y en el uso de claves del servicio de administración de claves. Además, garantiza la existencia de roles de gestión de accesos e identidades y políticas de contraseñas que se cumplen con la autenticación de múltiples factores, así como de un registro adecuado (CloudTrail). También es posible acceder a análisis forenses y auditorías. Las restricciones regionales se implementaron con ayuda de políticas de control de servicios, que garantizan las limitaciones geográficas según los requisitos de los clientes. T-Systems sigue un estricto proceso verificable incluso para el acceso a nivel de administrador. Asimismo, otros servicios de AWS como CloudFormation, CloudWatch y CodePipeline fueron esenciales para el desarrollo, la disponibilidad y la activación de esta solución nativa en la nube. La solución de T-Systems aprobó la estricta evaluación de privacidad y seguridad de Telekom.
Con ella, el equipo de operaciones de desarrollo de AWS de DTIT pudo trabajar sin problemas en un entorno seguro de AWS configurado previamente y concentrarse en los requisitos específicos. T-Systems asesoró y ayudó a DTIT en la definición altamente automatizada, la elaboración y la ampliación de las políticas de seguridad internas (con CloudFormation Stacksets, Step Functions y Lambda, desplegadas con el código del entorno GitLab para empresas). GuardDuty, el cifrado de los datos inactivos con el servicio de administración de claves y una pila de control y registro específica forman parte de la seguridad de DTIT. Además, T-Systems implementó una interfaz segura (mediante puerta de enlace de API) con la que se puede solicitar y ofrecer automáticamente una nueva cuenta de AWS para DTIT a través de un portal central de gestión en la nube.
Uno de los aspectos más importantes para la seguridad es una base de identidades segura. Sin embargo, se recomienda a las empresas de todos los tamaños limitar el número de identidades o usuarios. Esto se debe sobre todo a que, además de ser cómodo para el usuario final, elimina el problema que generan los empleados que se trasladan a otro puesto en la empresa o la dejan. Por ello se solicitó a T-Systems que ayudara a DTIT a diseñar e implementar un sistema de administración de usuarios para AWS. Como solución provisional se comenzó con un sistema central de administración de usuarios con gestión de accesos e identidades en una cuenta específica para la administración de usuarios. Después se implementaron roles en las cuentas de proyectos que permiten relaciones de confianza entre las cuentas.
Paralelamente, T-Systems preparó la conexión con Telekom Active Directory usando los propios ADFS de la empresa con el objetivo de aprovechar la cartera de usuarios de la empresa de manera efectiva y evitar que se configurara una administración de usuarios aislada e independiente para AWS. ADFS es la solución que usa la mayoría de las empresas para permitir el inicio de sesión único con soluciones SaaS y en la nube. En el caso de DTIT, los ADFS sirven de proveedor del llamado SAML2.0 (lenguaje de marcado para confirmaciones de seguridad) para AWS. La configuración de alto nivel es muy sencilla. Encontrarás más detalles sobre ella aquí (en inglés).
A modo de resumen, se puede decir que el cliente recibe internamente un token SAML de ADFS con el que puede obtener información de acceso temporal de AWS y acceder a su cuenta de AWS. Los permisos para los entornos se controlan por grupos en Active Directory: ADFS debe establecer con AWS lo que se denomina una relación de confianza. La parte más difícil de este proyecto fue definir la solución por parte del cliente (diseño), obtener los permisos, hacer las pruebas y ponerlo en marcha con las modificaciones. Además, T-Systems automatizó el despliegue de los proveedores de identidades y de los roles en AWS e integró la solución en la aplicación y los procesos de gestión del consorcio.
En el área de la conectividad, T-Systems ha diseñado un entorno de red de alta seguridad y gestión centralizada para la conexión con la red corporativa (véase el caso de AWS Direct Connect de T-Systems para DTIT). Gracias a ella, se pueden usar las funciones de AWS como los terminales y el uso compartido de la nube privada virtual, así como las demás funciones típicas necesarias para la seguridad de la red, como las listas de control de acceso a la red y los grupos de seguridad. T-Systems también ha creado plantillas de disponibilidad seguras para los proyectos con el fin de simplificar el uso del entorno de red gestionado de manera centralizada. Además, se introducirá una nube virtual privada, estándar y segura en las regiones de la lista blanca para facilitar el acceso a AWS de los nuevos proyectos. Todas las redes se administran como código (plantillas CloudFormation) en el GitLab central de DTIT.
T-Systems continuará prestando su apoyo al cliente DTIT y a las aplicaciones de Telekom, por ejemplo, con asesoría, buenas revisiones estructuradas y servicios de contenedores gestionados (EKS o ECS).
T-Systems está presente en más de 20 países y es uno de los proveedores líderes mundiales de servicios digitales independientes de fabricantes con sede en Europa. La filial de Telekom ofrece servicios integrales: desde el funcionamiento seguro de los sistemas de legado y servicios de TIC tradicionales hasta nuevos modelos de negocio y proyectos de innovación en el internet de las cosas, pasando por la migración a servicios en la nube. T-Systems forma parte de la red de socios de AWS (APN) y es socio de consultoría avanzada de AWS.
DTIT es el proveedor interno de servicios de TI de Deutsche Telekom AG. DTIT es responsable del diseño, el desarrollo y la operación de todos los sistemas informáticos propios y cedidos que sirven de apoyo a los procesos comerciales de Deutsche Telekom AG. DTIT diseña portales web fáciles de usar con funciones de autoservicio inteligentes, que ofrecen una experiencia del usuario integrada multicanal con la marca Telekom Magenta.
