Ce fournisseur de services gérés (MSP) de longue date exploite l' infrastructure TI utilisée par des sociétés de services financiers à travers l'Allemagne, y compris des banques et des compagnies d'assurance.

Défi commercial

Pour soutenir les initiatives de transformation numérique de ses clients, le MSP élargit ses offres pour y inclure des capacités basées sur le nuage. Cependant, les clients bancaires désignés comme « infrastructures critiques » sont supervisés par la Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), l'organisme allemand de contrôle des services financiers, et par la Banque centrale européenne (BCE). En outre, tous les clients doivent respecter les réglementations allemandes et européennes en matière de sécurité et de protection des renseignements personnels, notamment en conservant certaines données à l'intérieur des frontières allemandes. Ce contexte réglementaire complique considérablement les défis liés à l'utilisation des plates-formes et services en nuage public.

Pour prouver à ses clients que les services basés sur le nuage public sont viables compte tenu des contraintes réglementaires, le MSP devait créer un environnement de production sur Google Cloud Platform et réaliser une série de prototypes. À terme, le fournisseur de services nuage prévoyait d'offrir des services d'informatique en nuage publics gérés ainsi que des solutions d'infrastructure en tant que service et de conteneur en tant que service pour l'informatique en nuage privée sur place.

Transformation

Pour atteindre son objectif, l'équipe interne du fournisseur de services gérés devait acquérir de nouvelles compétences sophistiquées pour travailler avec des services en nuage natif, en acquérant une expérience pratique de la création et de l'exploitation d'un environnement de production en nuage public conforme à la réglementation. Ensuite, l'équipe pourrait mettre en place un centre d'excellence en nuage transversal, offrant à ses clients la possibilité de prototyper des concepts cloud-first et de tirer parti des méthodes de provisionnement automatique et rapide des ressources du nuage.

Solution

Soucieux de familiariser ses équipes avec tous les aspects du nuage public, le fournisseur de services gérés a retenu Kyndryl pour offrir une formation et des services professionnels pratiques pour la conception et la mise en place d'une zone d'atterrissage conforme à Google Cloud Platform. Kyndryl a animé un atelier sur les services et les opérations en nuage. Le programme de quatre jours a présenté les principes modernes de la gestion des services et des opérations en nuage au sein d'une équipe polyvalente de professionnels de l'informatique du fournisseur de services gérés.

En plus de l'atelier, Kyndryl a développé le document sur le concept de sécurité du nuage public du fournisseur de services gérés afin d'être en adéquation avec les exigences de conformité pour la conception de l'architecture de sécurité au sein de l'infrastructure Google Cloud Platform. Ce document traite de la conception d'une architecture multi-tenant sécurisée qui isole les charges de travail des clients, sépare les réseaux et crypte les données au repos et en mouvement. Kyndryl a aidé le client à identifier les services Google Cloud Platform qui ne seraient pas conformes et ne devraient pas être utilisés, ainsi que ceux qui, dans certaines circonstances, pourraient répondre aux exigences européennes et allemandes en matière de services financiers. Ces orientations ont permis d'atténuer le risque de non-conformité.

Concevoir et construire une zone d'atterrissage conforme aux règles de production

Ensemble, les experts de l'organisation de services professionnels (PSO) de Google, Kyndryl et le MSP ont conçu une zone d'atterrissage pour Google Cloud Platform. Celle-ci fournit des fondements essentiels, comme la gestion des identités et des accès, pour travailler sur les projets du fournisseur de service et de ses clients dans le nuage. L'objectif était de mettre en place une architecture reproductible, fondée sur les meilleures pratiques, pour les services gérés, qui réponde aux exigences en matière de sécurité et de réglementation. La conception de la zone d'atterrissage tient également compte des éléments qui rendent l'infrastructure en nuage évolutive, rentable et facile à gérer en tant que service.

En tant que service d'authentification unique (SSO), le service mondial Google Identity ne pouvait pas être utilisé en mode natif par les institutions financières allemandes sans exposer les données relatives aux renseignements personnels. Pour assurer la conformité de la solution SSO et éviter les lourdes amendes liées à la violation du règlement général sur la protection des données (RGPD), l'équipe a intégré le système de répertoire actif du fournisseur de services gérés en mettant en œuvre une solution d'authentification unique tierce, ainsi que la zone d'atterrissage de Google Cloud Platform.  Seules les informations d'identité tokenisées sont exposées à Google Identity; les renseignements personnels sensibles sont conservés sur place, ainsi que l'autorisation et l'authentification des ressources Google Cloud Platform.

Enfin, l'équipe de Kyndryl a aidé le fournisseur de services gérés à mettre en place une intégration de la gestion des services et des systèmes qui répond aux exigences réglementaires en matière de disponibilité immédiate des données de journal pour le suivi et le contrôle. Par exemple, les journaux de contrôle Google Cloud Platform sont envoyés au système de sécurité et de gestion des événements (SIEM) sur site du client.

Automatisation de l'allocation des ressources de service pour une efficacité optimale

Dans le cadre de la solution Kyndryl, l'équipe a travaillé avec le client pour mettre en place une infrastructure as code avec la solution Terraform de HashiCorp, qui est la meilleure pratique du secteur. Avec cette stratégie, tous les paramètres de configuration sont consignés dans les documents du langage de configuration de HashiCorp (HCL) qui sont des plans Terraform convertis. Lorsqu'ils sont exécutés dans une séquence de bout en bout, les plans Terraform instancient les ressources GCP (dossiers, projets, règles d' accès, chemins de réseau téléphonique vers les instances de Google Computer Engine); le tout sans intervention manuelle.

Une automatisation plus poussée via les playbooks Ansible permet de charger les applications et de configurer le VMS pour différents rôles. Grâce à ces solutions combinées, une fois les paramètres de configuration définis, le fournisseur de services gérés peut préparer l'environnement en nuage d'un client en moins d'une journée, alors que les approches traditionnelles prennent plusieurs semaines.

Activation de la facturation des services gérés

En tant que fournisseur de services en nuage gérés, le client de Kyndryl avait besoin d'un moyen d'attribuer les frais de plate-forme en nuage entre les clients internes et les multiples clients externes qui sont locataires de l'environnement des règles de production en nuage. L'équipe de Kyndryl a conçu et développé un moteur de facturation qui fonctionne dans l'environnement de conteneurs sur le site du client. Il récupère les données de facturation sur la plate-forme en nuage, calcule les fractionnements et envoie les résultats au système d'approvisionnement SAP du client. Le MSP est devenu capable de facturer de manière flexible ses services aux différentes institutions de son portefeuille.

Prototypage de solutions avec les premiers clients

Les clients internes et externes du fournisseur de services gérés ont utilisé l'environnement de production de Google Cloud Platform pour exécuter divers prototypes. L'équipe SAP interne du client, par exemple, a réussi à créer une réplique exacte d'une instance SAP pour l'utiliser comme environnement de test dans le nuage.

Un client externe, avec l'aide de Kyndryl, a construit une solution pour rediriger le trafic Internet vers son portail bancaire. Le prototype a utilisé l'infrastructure de Google Cloud Platform pour gérer le trafic réseau en cas d'attaque par déni de service distribué (DDOS) sur la voie d'accès Internet principale.

Pour un autre client externe, l'équipe a créé un prototype d'utilisation du service de nuage géré et de l'infrastructure as code en tant qu'environnement d'intégration continue / livraison continue (CI/CD) pour son équipe DevOps. Ce client a également créé un prototype d'instances de base de données SQL en nuage. Toutes les activités de prototypage ont confirmé que l'environnement des règles de production est stable, conforme et prêt pour les activités de services en nuage gérés.

Passez à l'étape suivante

Découvrez comment travaille à l'amélioration des systèmes clés qui stimulent le progrès humain.

© Copyright Kyndryl, Inc. 2022
Kyndryl est une marque de commerce ou une marque déposée de Kyndryl Inc. aux États-Unis et/ou dans d'autres pays.
Les autres noms de produits et de services peuvent être des marques de commerce de Kyndryl Inc. ou d'autres sociétés.

Le présent document est à jour à la date de sa publication et peut être modifié par Kyndryl à tout moment sans préavis. Toutes les offres ne sont pas disponibles dans tous les pays dans lesquels Kyndryl opère. Les produits et services de Kyndryl sont garantis selon les termes et conditions des accords en vertu desquels ils sont fournis.

Les performances indiquées et les clients types évoqués ne le sont qu'à titre d'exemple. Les résultats réels peuvent différer en fonction de la configuration et des conditions d'utilisation. Les produits et services de Kyndryl sont garantis selon les termes et conditions des accords en vertu desquels ils sont fournis.