Une société de télécommunications optimise la sécurité grâce à la transformation numérique de AWS
Ce fournisseur de services de télécommunication souhaitait mettre en œuvre de manière harmonieuse de nouveaux services dans le cadre de sa gamme de produits de sécurité, mais il avait de la difficulté à gérer le flux de trafic de manière efficace et efficiente.
La société a supprimé toute connexion directe au niveau du Web, en la remplaçant par un proxy transparent qui conserve l’authentification et les contrôles d’autorisation pour une sécurité maximale.
Besoin de l’entreprise
Cette société de télécommunications de premier plan fait valoir une culture d’entreprise axée sur l’innovation en continu, une valeur qui se reflète dans un service chargé de développer des solutions logicielles en matière de sécurité. Elle introduit régulièrement de nouvelles fonctionnalités et de nouveaux services à ses clients. Cette société est en train de transformer ses applications principales - conformément aux directives du cadre Well-Architected d’Amazon Web Services (AWS) - afin qu’elles deviennent infonuagiques natives et d’améliorer son architecture de déploiement.
Ces nouveaux services sont mis en œuvre en dehors du serveur d’application patrimonial de la société.
Cela représente un défi lorsqu’il s’agit d’intercepter le trafic entre le navigateur ou les capteurs d’un utilisateur final et les terminaux respectifs de l’application. En outre, l’équipe de développement a identifié quelques améliorations qu’elle souhaitait apporter, notamment :
- Améliorer l’acheminement des données pour le niveau quatre et le niveau sept
- Éviter le trafic entre zones de disponibilité (AZ)
- Gérer les systèmes de noms de domaine (DNS) lors de la gestion des correctifs et des mises à niveau de produits, et
- Réduire la surface d’attaque tout en traitant les clients qui souhaitent mettre des adresses IP sur leur liste d’autorisation pour leurs capteurs
Également, la société disposait de plusieurs serveurs Web directement connectés à Internet pour faciliter la communication qu’elle devait protéger plus efficacement.
Résultats
- Atteint des pratiques exemplaires avec un proxy inverse/zone DMZ
- Accroît la sécurité en réduisant la surface d’attaque directe
- Permet à l’équipe de se concentrer sur la résolution des incidents
- Offre la possibilité d’ajouter des fonctions de sécurité supplémentaires dans les environnements offrant un degré de protection élevé
- Découple les ressources de l’interface utilisateur et les distribues à partir d’un réseau CDN
Solution
Accroître la sécurité transformation numérique
Afin de répondre à l’évolution des besoins de l’organisation, les experts AWS de NTT DATA ont aidé à concevoir un groupe proxy de première ligne vers l’application du client qui intercepte tout le trafic entrant, le redirigeant de manière intelligente vers la bonne destination, qu’il s’agisse d’un nouveau service ou d’une application patrimoniale. Au cours du processus, les serveurs Web existants de la société ont été retirés du réseau et le bassin d’adresses IP a été stabilisé.
Au départ, le client s’est adressé à un nœud de contrôle sur un serveur Web afin obtenir des renseignements à partir de l’application. Dans le cadre de la réorganisation des flux de communications, les équipes ont découplé les capteurs du nœud de contrôle, les remplaçant par des communications vers HAProxy. Avec l’introduction de HAProxy dans le cadre de la solution de découplage, un utilisateur ou un capteur demande désormais des renseignements à la solution; celles-ci sont reçues par HAProxy et acheminées vers le système dorsal appropriée, sur la base de fonctions de calcul qui assurent le suivi des différents systèmes dorsaux dans une table Amazon DynamoDB comme seule source de référence.
Au cours du processus, un niveau de contrôle a été ajoutée; le HAProxy agit désormais comme une zone tampon entre les serveurs Web et l’accès direct à partir d’Internet. Cette étape réduit considérablement la surface d’attaque, ce qui accroît la sécurité du système.
Maximiser la disponibilité
Afin d’assurer une disponibilité et une fiabilité exceptionnelles, l’équipe de NTT DATA a fait en sorte que la solution du développeur de logiciels soit basée sur la région. À l’aide du logiciel Terraform, l’équipe de consultants a déployé 33 groupes HAProxy, soit un groupe HAProxy dans chaque AZ AWS. Cela signifie que chaque groupe proxy achemine uniquement les demandes au sein de son AZ. En outre, les consultants AWS de NTT DATA ont utilisé le basculement Amazon Route 53 intégrant des fonctions de vérification d’intégrité pour le basculement de base.
Forte des meilleures pratiques DevOps, cette société considère ses serveurs comme des composants remplaçables et en déploie fréquemment de nouveaux. Le système doit alors mettre à jour le processus de communication avec une nouvelle adresse IP. Afin faciliter ce processus, les consultants de NTT DATA utilisent AWS Lambda pour mettre à jour de manière dynamiquement la configuration de HAProxy. La fonction AWS Lambda surveille les changements d’état pour Amazon Elastic Compute Cloud (Amazon EC2), puis charge une table Amazon DynamoDB avec les nouvelles données, devenant ainsi le fichier de configuration principal de tous les groupes HAProxy.
Les équipes ont créé un mécanisme à sécurité intégrée et un système très fiable pour l’équipe de développement. En cas de problème, des contrôles de sécurité et des flux d’acheminement sont en place pour assurer la disponibilité de l’application du capteur et des sessions de l’utilisateur final. En outre, les équipes ont créé une deuxième fonction AWS Lambda qui s’exécute périodiquement pour garder le tout en ordre, fonctionnant principalement comme logiciel de sauvegarde pour les changements que la fonction principale pourrait omettre.
Également, l’équipe a créé un ensemble d’outils de test de charge spécifique au protocole de contrôle de transmission (TCP) dans l’architecture pipeline. Cela permet de s’assurer que lorsque le HAProxy est déployé en production, l’organisation peut être certaine que l’instance choisie gérera efficacement le trafic.
L’innovation constitue l’élément vital de ce fournisseur de services de télécommunications et la transformation des plateformes numériques pour continuer à fournir des solutions de pointe à ses clients est un élément essentiel. Pour ce faire, ce fournisseur de services de télécommunications dispose désormais d’une solution sans serveur, agile et sécurisée, qui facilite de manière dynamique la communication pour les clients et les capteurs, tant pour son application patrimoniale que pour ses nouveaux services d’applications infonuagiques natives.
About Une société de télécommunications optimise la sécurité grâce à la transformation numérique de AWS
Leading telecom provider achieves an agile and secure serverless solution that dynamically facilitates communication for customers to its legacy application and new cloud-native services.