Implementación rápida de requisitos específicos de seguridad
Junto con T-Systems, Deutsche Telekom IT (DTIT) creó una landing zone de AWS que cumple los estrictos requisitos y normas de seguridad de DTIT y, al mismo tiempo, permite aprovechar la agilidad de la nube pública.
Los beneficios para el cliente
- Ahorro de tiempo gracias a la configuración de una landing zone de T-Systems y una línea de base para AWS. De esta forma, DTIT pudo concentrarse en sus propios requisitos y generar valor añadido para sus aplicaciones internas.
- DTIT se beneficia de los conocimientos de T-Systems sobre implementación de soluciones de seguridad en AWS. Así se pudieron aplicar los requisitos específicos de seguridad con mayor rapidez y usar las funciones nativas de la nube siempre que fue posible.
- Mayor seguridad y facilidad de uso gracias a la implementación de la federación de identidades con Active Directory para empresas a través de ADFS.
- Redes compartidas gestionadas de manera centralizada y plantillas para redes aisladas para facilitar la innovación y el prototipado rápido. Esto también permite la integración con sistemas del eje central a nivel de empresa que son esenciales para el lanzamiento de soluciones.
T-Systems nos ayudó a acelerar la implementación de la nube pública para las aplicaciones de Deutsche Telekom, en la que integramos una landing zone de AWS segura adaptada a nuestros estrictos requisitos de seguridad.
Amplios requisitos y normas de seguridad
Desde 2018, DTIT sigue un programa de transformación tecnológica con el objetivo de aumentar la aceptación de métodos ágiles y crear centros digitales. Con esto se pretende fomentar el uso del amplio abanico de funciones de la nube pública para aplicaciones internas. El principal reto del negocio de las compañías de telecomunicaciones, que está altamente regulado, son los numerosos requisitos y normas de seguridad, entre los que se encuentran los estrictos requisitos de protección de datos y evaluación de seguridad (PSA) de Deutsche Telekom. En el marco de este proyecto, DTIT quería crear una plataforma segura para las aplicaciones que cumpliera la normativa y combinara los avanzados servicios nativos de automatización y seguridad de AWS con los estándares y las mejores prácticas de Deutsche Telekom para el funcionamiento seguro del sistema y la red. Como T-Systems ofrece soluciones que cumplen los altos estándares de seguridad sin perder la agilidad de la nube pública, DTIT eligió como socio al proveedor de TIC para asistir y acelerar su proyecto.
El reto
- Crear una landing zone de AWS que permitiera a DTIT ofrecer entornos AWS aislados para las aplicaciones internas y, al mismo tiempo, controlar la seguridad y el cumplimiento normativo.
- Unir Active Directory de Telekom con AWS para poder administrar de manera centralizada las identidades y el inicio de sesión único en AWS para los empleados de Telekom cumpliendo las políticas y normas de seguridad de Deutsche Telekom AG.
- Crear un entorno de red altamente seguro gestionado de manera centralizada que estuviera preparado para la conexión con la red corporativa y ofrecer plantillas de despliegue seguro para los proyectos correspondientes.
Seguridad en AWS
Para Amazon Web Services (AWS), la seguridad es esencial en cualquier oferta para que las empresas puedan aprovechar íntegramente la velocidad y agilidad de la nube. AWS integra en su infraestructura de nube controles exhaustivos de seguridad, una escalabilidad eficaz, transparencia y procesos de seguridad automatizados a fin de que las empresas dispongan de una base segura para trabajar. El modelo de responsabilidad compartida (SRM) facilita la comprensión de las decisiones que se toman para proteger el entorno único de AWS y ofrece a las empresas acceso a recursos que pueden servirles de ayuda a la hora de implementar seguridad de extremo a extremo de forma rápida y sencilla. Las empresas pueden elegir entre un gran número de soluciones de software aptas para la nube desarrolladas por AWS y sus socios de seguridad que les permitirán cumplir los estándares de seguridad de los datos en la nube más estrictos.
T-Systems como socio
T-Systems cuenta con una vasta experiencia en ofrecer soluciones que cumplen estrictos requisitos de seguridad y conservan al mismo tiempo la agilidad de la nube pública. La empresa de telecomunicaciones ofrece:
- asesoría completa sobre la nube y la ingeniería de la nube para AWS más allá de toda la pila de aplicaciones
- conocimientos sobre seguridad de la nube específicos, incluidos especialistas en seguridad certificados por AWS
- pruebas de seguridad de las aplicaciones existentes que se ejecutan en AWS (según los requisitos de seguridad del marco de AWS)
- análisis de seguridad y cumplimiento normativo altamente automatizados de todo el entorno AWS
- servicios gestionados enfocados en la seguridad y el cumplimiento normativo las mejores y más novedosas herramientas de seguridad y cumplimiento normativo para AWS, así como un soporte proactivo 24x7, incluyendo la integración con el Centro de Operaciones de Seguridad (SOC) de Telekom.
Por eso DTIT se decidió por T-Systems, pero también influyeron sus sólidos conocimientos sobre los requisitos de seguridad de Telekom.
Creación de una landing zone de AWS
T-Systems creó para DTIT una organización propia de AWS. Las políticas de seguridad de las cuentas son el resultado de la combinación de los estándares de seguridad de T-Systems y los requisitos específicos del cliente.
La base es una cuenta central de operaciones de seguridad de T-Systems. Ella permite el cifrado y descifrado de los almacenamientos de datos S3 basados en una etiqueta de clasificación y en el uso de claves del servicio de administración de claves. Además, garantiza la existencia de roles de gestión de accesos e identidades y políticas de contraseñas que se cumplen con la autenticación de múltiples factores, así como de un registro adecuado (CloudTrail). También es posible acceder a análisis forenses y auditorías. Las restricciones regionales se implementaron con ayuda de políticas de control de servicios, que garantizan las limitaciones geográficas según los requisitos de los clientes. T-Systems sigue un estricto proceso verificable incluso para el acceso a nivel de administrador. Asimismo, otros servicios de AWS como CloudFormation, CloudWatch y CodePipeline fueron esenciales para el desarrollo, la disponibilidad y la activación de esta solución nativa en la nube. La solución de T-Systems aprobó la estricta evaluación de privacidad y seguridad de Telekom.
Con ella, el equipo de operaciones de desarrollo de AWS de DTIT pudo trabajar sin problemas en un entorno seguro de AWS configurado previamente y concentrarse en los requisitos específicos. T-Systems asesoró y ayudó a DTIT en la definición altamente automatizada, la elaboración y la ampliación de las políticas de seguridad internas (con CloudFormation Stacksets, Step Functions y Lambda, desplegadas con el código del entorno GitLab para empresas). GuardDuty, el cifrado de los datos inactivos con el servicio de administración de claves y una pila de control y registro específica forman parte de la seguridad de DTIT. Además, T-Systems implementó una interfaz segura (mediante puerta de enlace de API) con la que se puede solicitar y ofrecer automáticamente una nueva cuenta de AWS para DTIT a través de un portal central de gestión en la nube.
Federación de identidades con Active Directory
Uno de los aspectos más importantes para la seguridad es una base de identidades segura. Sin embargo, se recomienda a las empresas de todos los tamaños limitar el número de identidades o usuarios. Esto se debe sobre todo a que, además de ser cómodo para el usuario final, elimina el problema que generan los empleados que se trasladan a otro puesto en la empresa o la dejan. Por ello se solicitó a T-Systems que ayudara a DTIT a diseñar e implementar un sistema de administración de usuarios para AWS. Como solución provisional se comenzó con un sistema central de administración de usuarios con gestión de accesos e identidades en una cuenta específica para la administración de usuarios. Después se implementaron roles en las cuentas de proyectos que permiten relaciones de confianza entre las cuentas.
Paralelamente, T-Systems preparó la conexión con Telekom Active Directory usando los propios ADFS de la empresa con el objetivo de aprovechar la cartera de usuarios de la empresa de manera efectiva y evitar que se configurara una administración de usuarios aislada e independiente para AWS. ADFS es la solución que usa la mayoría de las empresas para permitir el inicio de sesión único con soluciones SaaS y en la nube. En el caso de DTIT, los ADFS sirven de proveedor del llamado SAML2.0 (lenguaje de marcado para confirmaciones de seguridad) para AWS. La configuración de alto nivel es muy sencilla. Encontrarás más detalles sobre ella aquí (en inglés).
A modo de resumen, se puede decir que el cliente recibe internamente un token SAML de ADFS con el que puede obtener información de acceso temporal de AWS y acceder a su cuenta de AWS. Los permisos para los entornos se controlan por grupos en Active Directory: ADFS debe establecer con AWS lo que se denomina una relación de confianza. La parte más difícil de este proyecto fue definir la solución por parte del cliente (diseño), obtener los permisos, hacer las pruebas y ponerlo en marcha con las modificaciones. Además, T-Systems automatizó el despliegue de los proveedores de identidades y de los roles en AWS e integró la solución en la aplicación y los procesos de gestión del consorcio.
Red centralizada segura
En el área de la conectividad, T-Systems ha diseñado un entorno de red de alta seguridad y gestión centralizada para la conexión con la red corporativa (véase el caso de AWS Direct Connect de T-Systems para DTIT). Gracias a ella, se pueden usar las funciones de AWS como los terminales y el uso compartido de la nube privada virtual, así como las demás funciones típicas necesarias para la seguridad de la red, como las listas de control de acceso a la red y los grupos de seguridad. T-Systems también ha creado plantillas de disponibilidad seguras para los proyectos con el fin de simplificar el uso del entorno de red gestionado de manera centralizada. Además, se introducirá una nube virtual privada, estándar y segura en las regiones de la lista blanca para facilitar el acceso a AWS de los nuevos proyectos. Todas las redes se administran como código (plantillas CloudFormation) en el GitLab central de DTIT.
T-Systems continuará prestando su apoyo al cliente DTIT y a las aplicaciones de Telekom, por ejemplo, con asesoría, buenas revisiones estructuradas y servicios de contenedores gestionados (EKS o ECS).
Acerca de Socio de APN
T-Systems está presente en más de 20 países y es uno de los proveedores líderes mundiales de servicios digitales independientes de fabricantes con sede en Europa. La filial de Telekom ofrece servicios integrales: desde el funcionamiento seguro de los sistemas de legado y servicios de TIC tradicionales hasta nuevos modelos de negocio y proyectos de innovación en el internet de las cosas, pasando por la migración a servicios en la nube. T-Systems forma parte de la red de socios de AWS (APN) y es socio de consultoría avanzada de AWS.
Acerca de Deutsche Telekom IT GmbH
DTIT es el proveedor interno de servicios de TI de Deutsche Telekom AG. DTIT es responsable del diseño, el desarrollo y la operación de todos los sistemas informáticos propios y cedidos que sirven de apoyo a los procesos comerciales de Deutsche Telekom AG. DTIT diseña portales web fáciles de usar con funciones de autoservicio inteligentes, que ofrecen una experiencia del usuario integrada multicanal con la marca Telekom Magenta.