PROYECTO IMPLANTACIÓN DE UNA NUEVA DMZ Enero 2012

PROYECTO IMPLANTACIÓNDE UNA NUEVA DMZ

Enero 2012

Julián Hernández ViglianoCuerpo Superior de Sistemas y Tecnologías de la Información de la

Admon del Estado.Jefe de Departamento de Tecnologías

SDG Tecnologías y Servicios de InformaciónMinisterio de la Presidencia

INDICE1. Ministerio de la Presidencia

1. Descripción2. SGTSI3. Marco tecnológico

2. Antecedentes del Proyecto3. Plan de proyecto Global DMZ Moncloa (Fases 1, 2, 3)4. Arquitectura DMZ5. Ejecución del proyecto. Fase 16. Fases posteriores7. Datos del proyecto

1. Ministerio de la PresidenciaReal Decreto 199/2012, de 23 de eneroCorresponden al Ministerio de la Presidencia (extracto):

– la coordinación de los asuntos de relevancia constitucional;– la preparación, desarrollo y seguimiento del programa legislativo;– el apoyo inmediato a la Presidencia del Gobierno; – la asistencia al Consejo de Ministros, a las Comisiones Delegadas del Gobierno,

a la Comisión General de Secretarios de Estado y Subsecretarios y, en particular, al Gobierno en sus relaciones con las Cortes Generales;

– la coordinación interministerial que le encomienden las disposiciones vigentes, el Gobierno o su presidente;

– La coordinación de la política informativa del Gobierno,; – la coordinación de los servicios informativos de la Administración General del

Estado en España y en el extranjero, así como las relaciones con los medios informativos;

– las funciones de apoyo al Presidente del Gobierno y los órganos dependientes de la Presidencia del Gobierno;

– las relaciones con las Delegaciones del Gobierno en las Comunidades Autónomas.

1. Ministerio de la PresidenciaOrganigrama del Ministerio de la Presidencia:

– Secretaría de Estado de Relaciones con las Cortes.– Secretaría de Estado de Comunicación.– Subsecretaría de la Presidencia.

• Secretaría General Técnica-Secretariado del Gobierno.• Dirección General de Relación con las Delegaciones del Gobierno en las

Comunidades Autónomas• Gabinete Técnico • Oficialía Mayor • Subdirección General de Recursos Humanos • Subdirección General de Gestión Económica • Oficina Presupuestaria • Subdirección General de Tecnologías y Servicios de Información

• Están adscritos al Ministerio de la Presidencia los organismos públicos siguientes:– Centro Nacional de Inteligencia.– Agencia Estatal Boletín Oficial del Estado.– Centro de Estudios Políticos y Constitucionales.– Centro de Investigaciones Sociológicas.

1. Ministerio de la Presidencia

Subdirección General de Tecnologías y Servicios de Información • ejerce las funciones de:

– elaboración, desarrollo y ejecución de los planes estratégicos y operativos en materia de sistemas de información;

– colaboración, asesoramiento y asistencia técnica en materia de tecnologías de la información y comunicación;

– dirección, diseño, desarrollo, implantación y explotación de los sistemas de información garantizando su interoperabilidad, seguridad y calidad, así como la provisión y gestión del equipamiento y de los recursos informáticos necesarios para su ejecución.

1. Ministerio de la PresidenciaArquitectura

1. Ministerio de la PresidenciaConexiones WAN• El Ministerio conecta con las siguientes redes externas:

– Red Sara: red interadministrativa (MPTAP) con servicios comunes (portal Funciona, @firma, conexión a UE, CCAA, CCLL, etc)

– Red RICO: red de fibra de Correos Telecom que conecta al Ministerio con el resto de la AGE, Cortes y OOAA del MPR con enlaces redundados de 1Gbps.

– Internet: a través de enlaces de la red RICO (con servicio de Rediris) y operador de telecomunicaciones con un caudal medio de 20Mbps

– Anillo Moncloa: para conectar con el resto de unidades del Complejo (Presidencia de Gobierno, DISSC, Seguridad)

– Redes móviles: para el envío de SMS por redes alternativas .– Otros accesos internet (ADSL, 3G, Fibra)– Redes VC (RDSI, IP. Protocolos H323, SIP)

Arquitectura

1. Ministerio de la PresidenciaComunicaciones:

- La red interna del Ministerio está basada principalmente en tecnología Cisco (aprox. 80 conmutadores, 15 enrutadores que da servicio a usuarios y red de servidores con un total de aprox. 700 puertos de 1Gbps).

- Los servidores están conectados a 1Gpbs, y la práctica totalidad de los usuarios está a 100Mbps.

- Tráfico:- LAN: media de 2,5 TBytes al día- Internet: media de 80 GBytes al día- Red RICO: media de 15GB al día - Red Sara: media de de 6 GBytes al día.

- Accesos remotos:- Oficina Internacional de Prensa (María de Molina 50, con 4 usuarios

del Ministerio y picos de hasta 100 periodistas)- Consejerías de Información (22 sedes)- Teletrabajo

Arquitectura


Vicepresidencia

SGSI

1 x 1Gbps Acceso a Internet/Iris

42 x 1 Giga, con Ministerios y OrganismosEnlace f.o. con BOE

2 x 1Gbps Acceso a Internet/Iris Ministerio de

la Presidencia

Red RICO

Sede 1

Sede 2

Red IRIS

Internet

Sede 21

CPD Ppal

CPD de Respaldo

• Conexión RED RICO con el resto de Ministerios, OOAA y Rediris (internet) en Madrid

• Red fibra desplegada por Correos Telecom por canales de CYII y Ayto Madrid

• Enlaces Gigabit ethernet redundados con cada uno

• Capacidad multimedia, voip, alto volumen de datos

• Nivel de servicio comprometido para averías: 24x7 con respuesta en 4 horas.

• Doble enlace Gbps por cada Ministerio u Organismo para entregar el tráfico en el Complejo de Moncloa (2 CPD’s)

Arquitectura

1. Ministerio de la PresidenciaArquitectura Red RICO


Red RICOCorreos

ROUTER MPR - RICO

LAN Ministerio

Centralita

FO 1GbEFO x N ministerios

DWDM

LAN MPR

N x Vlan datos

CentralitaGabinete

Telegráfico

CPD

Gabinete Telegráfico Presidencia

Ministerio

CPD Ministerio Presidencia

VOZ2mbps

DATOS2 x 1GbE

Vlan voz Presidencia

2 x 1GbEFO

DWDM

Conversor VoIP

N x Conversor

VoIP

N x Vlan voz Presidencia

Vlan datos

Nuevo Rack RICO

Proyecto de nueva infraestructura Red RICO(Solución genérica)

FO 1

GbE

CPDRespaldo

DWDM

Conexión FO desde Gabinete a Router MPR -

RICO

Retranqueo fibra anterior a nuevo panel / empalme

nueva fibra (según necesidades)

Conexión UTP a interfaz LAN Ministerio

Red RICOArquitectura


Sistemas: – 100 servidores físicos,

• con aprox. 200 servidores virtuales – capacidad total de proceso: de 2,5 billones de instrucciones por

segundo (TIPS) – capacidad total de almacenamiento de 200 TBytes sobre

cabinas SAN redundadas entre ambos CPD’s para ofrecer alta disponibilidad de datos.

– Backup: librerías para las copias de seguridad de la información.

– Tecnología Microsoft, VMware y LAMP

Arquitectura

Arquitectura

Pasamos de esto:

CPD PPAL


Arquitectura

Pasamos de esto:

CPD PPAL


Arquitectura

Pasamos de esto:

CPD PPAL


Arquitectura

Pasamos de esto:

CPD PPAL


Arquitectura

Pasamos de esto:

CPD PPAL


Arquitectura

A esto:

CPD PPAL


Arquitectura

A esto:

CPD PPAL


Arquitectura

A esto:

CPD PPAL


Arquitectura

A esto:

CPD PPAL


Arquitectura

A esto:

CPD PPAL


• CPD Ppal – cuenta con una superficie de 110 m2, suelo técnico,

seguridad de acceso, cableado en Cat. 6A y Fibra óptica, aislamiento electromagnético, alimentación ininterrumpida de un total de 400 KVA’s en 2 SAI’s independientes alimentando en doble fase a 44 armarios de sistemas y almacenamiento y 11 armarios de comunicaciones. La sala cuenta con 5 equipos de aire acondicionado que proporcionan cerca de 200 kilofrigorías/hora (218KW nominales) .

• CPD Secundario– tiene 20m2, suelo técnico, seguridad de acceso,

alimentación desde 2 SAI’s independientes de 40KVA que alimentan 6 armarios de sistemas y almacenamiento, y 4 armarios de comunicaciones. La sala cuenta con varios equipos de aire acondicionado que proporcionan algo más de 20 kilofrigorías/hora.

Arquitectura


2. Antecedentes del Proyecto1. Hosting BT: 2005-2010:

– www.la-moncloa.es y otras– Conexionado PaP con MPR para actualizaciones de contenidos (SEC)– Octubre 2010: refuerzo arquitectura en hosting– Plan de acción de estabilización de la plataforma (segundo semestre 2010)– Sin embargo -> Graves problemas de mantenimiento, disponibilidad,

monitorización, servicio.2. Fusión con MAP abortada. Oct 2010

– Necesidad de recuperar la web mpr.es y sede electrónica que en el proceso de fusión se había determinado instalar en la DMZ de MdM.

3. DMZ de MPR diseñada para otros servicios perimetrales, no preparada para dar servicio páginas web.

• Decisión: Traer las webs a los CPD’s de MPR en Moncloa desplegando una nueva infraestructura para alojarlas y unificar servicios perimetrales del Ministerio.

http://www.la-moncloa.es/

TECNOLOGÍA DESARROLLO WEB EN HOSTING

- Microsoft Windows Server 2003- IIS 6.0- MCMS 2002 SP2a,- SQL 2000- Visual Studio 2005, C#- Framework 2.0- Servicios Windows Media- Gestión de contenidos web + Aplicaciones Word A Web + web

services- Acceso a servicios en el Ministerio a través de Web Services

2. Antecedentes del Proyecto

Hosting: Webs del Ministerio de la Presidencia

Internet

Cluster VIP Cluster SQL

DHS01231-ESMR2 WWW 01

DHS01232-ESMR2WWW 02

SQL serverContent mgmt

DHS01236-ESMR2

san

AD, DC, DNS

Win2k3 Win2k3

DHS01235-ESMR2SQL 02

Win2k

DHS01234-ESMR2SQL 01

Win2kDHS01238-ESMR2

Win2k

Secundario AD, DC, DNS

DHS0123A-ESMR3Windows Media Server

Win2k3

SERVER REPORTS

DHS0123B-ESMR3 Win2k3

DHS01233-ESMR2 Index&Search

Win2k3

DHS0123F-ESMR2WWW 03

Win2k3

Administración I

Administración II

Firewall

FR 2M Point to Point

ATM 4M Point to Point

Customer HQContent Management

Remote update for content via back-end connectivity

Agosto 2010

3. Plan de Proyecto Global• Fase 1: despliegue nueva DMZ en Moncloa y traslado

webs desde el Hosting BT– 1er Semestre 2011

• Fase 2: traslado de la web mpr.es y sede electrónica desde CPD MPTAP a nueva DMZ– 2do Semestre 2011

• Fase 3: unificación servicios periféricos en nueva DMZ– Año 2012

3. Plan de Proyecto Global

Análisis. Requisitos

Consultoría externa

Adquisiciones

Instalación Servidoresen zona temporal.

Pruebas

Doc. Análisis

Propuesta Proyecto y Adquisiciones

Traslado equipos plataforma

Backup en BT a MPR

DESPLIEGUE DMZ

Pruebas

- Arquitectura- Checklist Paso a Producción- Plan de Pruebas- Procedimientos Admon, Incidencias,

Monitorización

Paso a Producción

Traslado restoequipos

BT a MPR

EstabilizaciónCompletado

Monitorización

FASE 1

OCT NOV-DIC ENE FEB-MAR ABR MAY JUN-JUL

2010 2011

Contratación Despliegue y Monitorización 2010

4. Arquitectura DMZ• Mantener filosofía de servicio de la arquitectura web en Hosting

– Migración sin contratiempos (sin cambios en la arquitectura)– Sin embargo, se aceptaron varios cambios al principio del proyecto para

mejorar la arquitectura de manera controlada.• No usar CPD VP sino PVZ (previo acondicionamiento)• Virtualización

• Incorporar lecciones aprendidas en DMZ MdM– Contratación de Integrador

• Reducir al máximo el tiempo de servicio Hosting en 2011• Máximas prioridades en nueva DMZ:

– Disponibilidad– Seguridad– Gestión 24x7 REAL

4. Arquitectura DMZ• Instalar en alta disponibilidad INIA – PVZ• Aprovechar equipamiento en MPR• Nuevo operador de Internet para complementar

a Rediris (doble operador)• Arquitectura frontend – backend escalable y

dimensionada para alojar, progresivamente, las diferentes fases:– Webs La-moncloa, etc.– Webs Mpr – Sede– Servicios Perimetrales

internet macrolanbtIA RICO telefonicavodafoneAnillomoncloa rediris

RED

PERIMETRAL

RED

INTERNA

SERVIDORES

Fw interno

AccesosRedesWAN

(IA, RICO,ANILLO)

Fw ministerios

DMZ WEB,

hosting

sirio

Fw web

DMZ VPN

DMZ sms, otrosDMZ OWA, proxy

Fw perimetral

CPDPPAL

SW-PERIM.

CPD

USUARIOS

SERVIDORES

USUARIOScampus

SERVIDORES

Fw interno

AccesosRedesWAN

(IA, RICO,ANILLO)

Fw ministerios

DMZ WEB,

hosting

sirio

Fw web

DMZ VPN


Fw perimetral

CPDBKUP

CPD BK

SERVIDORES

SW-PER.BK

RED MINISTERIOSW edif

internet macrolanbtIA RICO telefonicavodafoneAnillomoncloa rediris

RED

PERIMETRAL

RED

INTERNA

SERVIDORES

Fw interno

AccesosRedesWAN

(IA, RICO,ANILLO)

Fw ministerios

DMZ WEB,

hosting

sirio

Fw web

DMZ VPN


Fw perimetral

CPDPPAL

SW-PERIM.

CPD

USUARIOS

SERVIDORES

USUARIOScampus

SERVIDORES

Fw interno

AccesosRedesWAN

(IA, RICO,ANILLO)

Fw ministerios

DMZ WEB,

hosting

sirio

Fw web

DMZ VPN


Fw perimetral

CPDBKUP

CPD BK

SERVIDORES

SW-PER.BK

RED MINISTERIOSW edif

NUEVA DMZ

NUEVA DMZ

Fw backend

Fw frontend

Fw backend

Fw frontend

- Arquitectura 2 tier (front end - backend) repartida entre dos CPD's utilizando extensión de vlans para alta disponibilidad:

- Front end con los servicios accesibles desde el exterior.- Backend con los repositorios de información

- Doble operador de internet con doble acometida (uno por CPD).

- Balanceado ISP's en capas 3-4 y 7 y aplicación de NAT para direccionamiento público y protección ante ataques DoS/DDoS

- Seguridad perimetral basada en FW capa 3, IPS, WAF repartidos entre front end y backend con equipamiento de diferentes fabricantes en cluster.

- Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de tráfico.

- Switching gigaethernet con direccionamiento privado en todas las capas.

- Red de gestión no enrutada conectada a todos los equipos de la arquitectura con monitorización SIEM remota/in site.

4. Arquitectura DMZ

Requisitos de Servicio

- Control total de MPR en infraestructuras y servicios

- Servicio de alertas permanente -> objetivo: pro-actividad (chequeo cada 10s)

- Control de la plataforma 24x7 –> se reducen los tiempos de respuesta ante incidencias

- Instalación de un sistema de recogida de logs, correlación y revisión desde SOC-NOC remoto 24x7

- Administrador dedicado DMZ

4. Arquitectura DMZ

4. Arquitectura DMZ

INTERNET

SEGURIDAD

DMZ

ACCESO REMOTO

VPN

BASE DATOS

FRONT-END

BACK-END

WWW VIDEOS

• Arquitectura 2 tier (front end - backend) repartida entre dos CPD's utilizando extensión de vlans para alta disponibilidad :

• Front end con los servicios accesibles desde el exterior.

• Backend con los repositorios de información• Doble operador de internet con doble acometida (uno por

CPD). • Balanceado ISP's en capas 3-4 y 7 y aplicación de NAT

para direccionamiento público y protección ante ataques DoS/DDoS

• Seguridad perimetral basada en FW capa 3, IPS, WAF repartidos entre front end y backend con equipamiento de diferentes fabricantes en cluster.

• Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de tráfico.

• Switching gigaethernet con direccionamiento privado en todas las capas. Enlaces troncales entre CPD’s a 10GB

• Red de gestión no enrutada conectada a todos los equipos de la arquitectura con monitorización SIEM remota/in site.

4. Arquitectura DMZ

+ 2 + 1

SQL 2000

4. Arquitectura DMZ

4. Arquitectura DMZ

Comunicaciones• El acceso a Internet dispone de enlaces redundante con doble

operador/proveedor, que consisten en 4 enlaces, 2 de 1Gbps con limitación de caudal a 60Mbps en uno de los casos, y otros 2 enlaces de 10Mbps con limitación de caudal a 100Mbps con el segundo de los operadores.

• Se dispone adicionalmente de acuerdos para incrementos puntuales de la demanda, para aumentar el caudal de 10 a 100Mbps.

• Para el acceso a los sistemas alojados en el backend se realizará a través de redes internas de la Administración General del Estado. Asimismo se habilitará acceso remoto a estos sistemas a través de internet mediante el uso VPN securizada.

• Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de trafico, en cluster.

4. Arquitectura DMZ

SEGURIDADLa arquitectura de red dispone de un esquema de protección perimetral con varios niveles y áreas separado mediante redes virtuales (VLAN). La DMZ Pública (Internet) se encuentra protegida por varios cortafuegos, uno de ellos del tipo Cortafuegos de Aplicación, sondas de red (IDS) y dispositivos de control de contenidos y malware.Seguridad perimetral basada en FW capa 3, IPS, WAF repartido entre front end y backend con equipamiento de diferentes fabricantes en cluster basadas en tecnología UTM de última generación:

- Cortafuegos- Filtrado de Aplicaciones.- Antivirus y antimalware.- DLP.- QoS por usuario, por IP, por servicio, por aplicación.- Filtrado de contenidos.- WAF- IPS

4. Arquitectura DMZ

ADMINISTRACIONSe dispone de un administrador dedicado en exclusiva para la gestión de toda la seguridad perimetral, y de los incidentes de seguridad de la DMZ de servicios de páginas web.Basado en manuales de Administracion, Incidencias, Monitorización y ArquitecturaEl sistema de monitorización y alerta esta soportado en un servicio 6x5 por personal propio: 3 personas (un ejecutivo que actúa como punto focal, uno de comunicaciones y uno de sistemas) con teléfono operativo 14x7. Los sistemas envían traps (SMS/email) cuando ocurren fallos. Además existe un cuerpo de guardia para los servicios de electricidad, seguridad, etc. Adicionalmente, se dispone de un contrato con una empresa para monitorización y administración remota 24x7.El centro de servicios dispone de Sistemas de Backup y almacenamiento en cintas, con una política y procedimientos definidos.

4. Arquitectura DMZEn cuanto a la arquitectura Web utilizada, ésta se basa en MVC.

Patrón MCV en aplicaciones webPatrón MVC

5. Ejecución del Proyecto

1. Preparación de la infraestructura de comunicaciones y seguridad

2. Integración de los Sistemas en la nueva arquitectura

3. Arquitectura final

4. Paso a producción

WANAnillo Moncloa/Rico/Red Sara LAN

Sw frontera

Fw Ministerios FW interno

DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

swWEB

Hosting BT

fwfwInternet

FW Aplicaciones

SIRIO

Situación inicial

swinternet

WAN RedIRIS Internet WAN RedIRIS WEB 5.1 Prep. Arquitectura


Sw frontera


DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

SwWEB

Hosting BT

fwfwInternet

FW Aplicaciones

Eliminación Resto Servicios Web en SIRIO

swinternet



Sw frontera


DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

Hosting BT

fwfwInternet

FW Aplicaciones

Conexión a Hosting sólo paraGestion de contenidos y accesos web services

swinternet



Sw frontera


DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

Hosting BT

fw

swInternet

WAF

Conexión a Hosting sólo paraGestion de contenidos y accesos web services

swinternet



Sw frontera


DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

Hosting BT

fw

fwInternet

waf

Nuevos enlaces BT

swinternet

WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador5.1 Prep. Arquitectura


Sw frontera

BalanceadoresWAN


WAN RedIRIS Internet WAN RedIRIS WEB

DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

DMZ PUB Hosting

DMZ PUB LB Hosting

DMZ PRV Hosting

DMZ BackEnd Hosting

BalanceadoresAplicación

SeguridadDMZ

Seguridadperimetral

MPR

WAN1 operador WAN2 operador

Seguridadperimetral

DMZ

WAFs

Configuración DMZ

5.1 Prep. Arquitectura


Sw frontera

BalanceadoresWAN



DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

DMZ PUB Hosting

DMZ PUB LB Hosting

DMZ PRV Hosting

DMZ BackEnd Hosting


SeguridadDMZ

Seguridadperimetral

MPR

Seguridadperimetral

DMZ

WAFs

Configuración DMZ

5.1 Prep. ArquitecturaWAN1 operador WAN2 operador

Balanceadores WAN:Características principales:

• Smart Health Monitoring and Failure Detection

• Active-Active or Active-Passive Link Redundancy

• Real-Time Traffic Redirection• Link Load-Balancing• Smart Application Routing


Sw frontera

BalanceadoresWAN



DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

DMZ PUB Hosting

DMZ PUB LB Hosting

DMZ PRV Hosting

DMZ BackEnd Hosting


SeguridadDMZ

Seguridadperimetral

MPR

Seguridadperimetral

DMZ

WAFs

Configuración DMZ


Balanceadores Aplicación :Características principales:

• Smart Health Monitoring and Failure Detection• Stateful Persistency• High Availability with Real-time Failure Bypassing• Real-time Traffic Redirection• Accelerates Content Delivery• Offloads CPU Intensive Tasks from Servers and

Optimizes Use of IT Infrastructure• Maximizes Bandwidth Usage


Sw frontera

BalanceadoresWAN



DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

DMZ PUB Hosting

DMZ PUB LB Hosting

DMZ PRV Hosting

DMZ BackEnd Hosting


SeguridadDMZ

Seguridadperimetral

MPR

Seguridadperimetral

DMZ

WAFs

Configuración DMZ

WAN1 operador WAN2 operador

Seguridad Perimetral :Características principales:

• 10 Gbps firewall throughput • 5 Gbps threat prevention throughput • 2 Gbps IPSec VPN throughput • 4,000 IPSec VPN tunnels and tunnel

interfaces • 60,000 new sessions per second • 2,000,000 max sessions • (16) 10/100/1000 + (8) SFP optical

gigabit interfaces Funcionalidades Avanzadas:

• Prevención de amenazas (IPS).• Prevención de ataques de DoS.• Prevención frente a escaneos de red.• Anomalía de paquetes. • Antivirus y Anti- Spyware.• Prevención frente a la fuga de datos

(DLP).• Filtrado de URLs.

5.1 Prep. Arquitectura

http://www.paloaltonetworks.com/solutions/threats.html




Sw frontera

BalanceadoresWAN



DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

DMZ PUB Hosting

DMZ PUB LB Hosting

DMZ PRV Hosting

DMZ BackEnd Hosting


SeguridadDMZ

Seguridadperimetral

MPR

Seguridadperimetral

DMZ

WAFs

Configuración DMZ


Seguridad Perimetral :Características principales:

• 16 Gbps firewall throughput • 2 Gbps IPS throughput • 12 Gbps IPSec VPN throughput • 1,000,000 max sessions • (2) 10/100/1000 + (16) SFP

optical gigabit interfaces Funcionalidades Avanzadas:

• Prevención de amenazas (IPS).• Prevención de ataques de DoS.• Antivirus y Anti- Spyware.• Filtrado de URLs.


Sw frontera

BalanceadoresWAN



DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

DMZ PUB Hosting

DMZ PUB LB Hosting

DMZ PRV Hosting

DMZ BackEnd Hosting


SeguridadDMZ

Seguridadperimetral

MPR

Seguridadperimetral

DMZ

WAFs

Configuración DMZ


Web Application Firewalls :Características principales:

• 100 Mbps HTTP throughput • 10.000 Max. Transactions per

second• (4) 10/100/1000• 500 GB Hard drive• Inline reverse proxy, Transparent

or Offline protection


Sw frontera

BalanceadoresWAN



DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

DMZ PUB Hosting

DMZ PUB LB Hosting

DMZ PRV Hosting

DMZ BackEnd Hosting


SeguridadDMZ

Seguridadperimetral

MPR

Seguridadperimetral

DMZ

WAFs

Conexión Servidores BE-FE


5.2 Integración Sistemas• Evolución de los Sistemas

– Inicialmente (Oct-Dic 2010) :• Se instalan los servidores desde plataforma de backup BT en zona temporal

con direccionamiento final para favorecer la migración a la DMZ• Duplicación de componentes, y distribución en 2 CPDs

– Modificaciones:• Ampliación de servicios de cluster para almacenamiento de logs y videos• No duplicación del cluster• Traslado del frontal de indexación al Back-End• Virtualización de la plataforma• Redundancia de datos de cabina

Entorno final (INIA+Pvoz)5.2 Integr. Sistemas

Objetivo: Paso a producción sin pérdida de servicio

- Tareas previas:- Creación usuarios gestión de contenidos nuevo dominio (Sistemas)- Se envían dos discos a BT para tener disponibles dos copias de seguridad de

BD, viernes 1h y sábado 1h- viernes, 6 de mayo, tareas previas para reducir el tiempo de paso a producción

- Reducción al máximo posible el TTL del DNS- Recuperación y configuración de BDs viernes 1h- Configuración de privilegios de gestión de contenidos nuevo dominio en

DMZ- Validación de credenciales y privilegios para todos los sitios web

- 7 de mayo, 15 horas, inicio del paso a producción (ventana: 15 a 19 horas)

- Se comprueban los contenidos actualizados desde la 1h del viernes 6- Se exportan de BT los últimos contenidos actualizados- Se importan en MPR los contenidos exportados- Se actualizan las aplicaciones Word A Web en la SEC (Panaderos y Referencia)- A las 15:45 se hace van haciendo públicas las distintas webs, finalizando con La

Moncloa a las 17:45, momento en que se da por finalizado el paso a producción

- No fue necesario utilizar la segunda copia de seguridad del sábado 7 a la 1h

5.3 Paso a Producción

LISTA FINAL DE WEBS EN DMZ MONCLOA:

- La Moncloa, www.lamoncloa.gob.es

- Memoria Histórica, wwrw.memoriahistorica.gob.es

- Tvinfancia, www.tvinfancia.es

- Plan Nacional de la Alianza de Civilizaciones, www.pnac.es

- 9 Oficinas de Prensa, Argentina, Brasil, EEUU, Francia, Japón, Méjico, Reino Unido, Polonia y Rusia

- Servicios MPR: Actividad Parlamentaria y Legislativa, Publicaciones, Acreditaciones y Agenda de la Comunicación

- Presidencia Española de la Unión Europea, www.eu2010.es

- Eutrio, www.eutrio.es

- Cumbre Iberoamericana, www.cumbre-iberoamericana.org

- EuroMed Barcelona, www.euromedbarcelona.es

- España Solar, www.espanasolar.es

5.3 Paso a Producción

http://www.lamoncloa.gob.es/

http://www.memoriahistorica.gob.es/

http://www.tvinfancia.es/

http://www.pnac.es/

http://www.eu2010.es/

http://www.eutrio.es/

http://www.cumbre-iberoamericana.org/

http://www.euromedbarcelona.es/

http://www.espanasolar.es/

6. Fases Posteriores

• Fase 2– Despliegue servidores con arquitectura de mpr.es y

Sede electrónica desde la sede en MdM (Linux+Apache+tomcat+Magnolia+MySQL) en DMZ

– Traslado web mpr.es– Traslado sede electrónica


swfrontera

Sw Internet

Balanceadores WAN


WAN A WAN B

DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

DMZ PUB Hosting DMZ PUB WEB

DMZ PUB LB Hosting DMZ PUB LB WEB

DMZ PRV HostingDMZ PRV WEB

DMZ BackEnd Hosting

App LB PUB

DMZ BackEnd WEB

Arquitectura escalable

Seguridadperimetral

SeguridadDMZ

WAFs

6. Fases Posteriores

• Fase 3– Integración de las DMZ de servicios perimetrales en la nueva

DMZ• Correo• Videoconferencia• Navegación web• VPN• Citrix

– Redundancia líneas Rediris– Ampliación ancho banda operador 2– Auditoría Global. Hacking ético.– Nuevas Webs (proyecto similar a Fase 2)– Posibilidad de servicio tipo Cloud


Sw frontera

BalanceadoresWAN



DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

DMZ PUB Hosting

DMZ PUB LB Hosting

DMZ PRV Hosting

DMZ BackEnd Hosting


SeguridadDMZ

Seguridadperimetral

MPR

WAN op1 WAN op2

Seguridadperimetral

DMZ

WAFs

Migración progresivasin impacto


Sw frontera

BalanceadoresWAN



DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

DMZ PUB Hosting

DMZ PUB LB Hosting

DMZ PRV Hosting

DMZ BackEnd Hosting


SeguridadDMZ

WAN op1 WAN op2

Seguridadperimetral

DMZ

WAFs


Seguridadperimetral

MPR


Sw frontera

BalanceadoresWAN



DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

DMZ PUB Hosting

DMZ PUB LB Hosting

DMZ PRV Hosting

DMZ BackEnd Hosting


SeguridadDMZ

WAN op1 WAN op2

Seguridadperimetral

DMZ

WAFs


Seguridadperimetral

MPR


Sw frontera

BalanceadoresWAN



DMZ SMS

DMZ Citrix

DMZ Correo

DMZ VPN

DMZ PUB Hosting

DMZ PUB LB Hosting

DMZ PRV Hosting

DMZ BackEnd Hosting


SeguridadDMZ

WAN BT1 WAN BT2

Seguridadperimetral

DMZ

WAFs

Servicio CloudInternet

Red Iris BT

Acceso internet Balanceado con doble proveedor

DMZ legacy

Nueva DMZSEGURIDAD

COMUNICACIONES A L M A C E N A M I E N T O

❶ ❷

DMZ moncloa.es y asociadas

DMZ mpr.es y

asociadas

DMZ OO.AA:

SS.OO y Soft de los OO.AA.

Servidores y almacenamiento Independiente de

Ministerio

RED SARA

RED RICO

OO.AA

CPDs Redundados

Futuro

Fw perimetral

INTRANET MPR

Fw perimetral

Fw perimetral

ANILLO MONCLOA

ESCENARIO 4

Servidores Nedaes CIS

7. Datos Proyecto

• Adquisiciones– Equipos comunicaciones: 87.000 €– Equipos seguridad 215.000 €– Equipos Sistemas+Alm 150.000 €– Licencias 50.000 €

• Consultoría y Despliegue (Fase1)– Tiempo: 7 meses– Personas externas

• 1 Jefe Proyecto (30%)• 1 Consultor (70%)• 1 Técnico de Sistemas/comms (100%)

– Personas internas (Ministerio)• 1 Director Proyecto• 2 Tecnicos Comms/Seg . al 60%• 2 Tecnicos Sistemas. al 50%• 1 Analista Prog. Web al 50%

– Coste 71.000 €

• Servicio 24x7– SNOC + Admon insitu: 15.600 €/mes

• Comunicacines– Rediris: 0 €– Operador 2 5.800 €/mes

• Servicio 24x7– SNOC + Admon insitu: 16.600 €/mes

• Mtmtos HW– Comms+Seg 60.000 €/año– Sistemas 20.000 €/año

• Operador 2 7.800 €/mes

IVA INCL

PROYECTO SERVICIO 1er AÑO

SERVICIO 2do AÑO

GRACIAS.

Julián Hernández Vigliano Jefe del Departamento de TecnologíasSubdirección General de Tecnologías y Servicios de InformaciónMinisterio de la Presidencia Complejo de la Moncloa - Edificio INIA – Desp. 001Avda. de Puerta de Hierro s/n - 28071 MadridTel: 913353214 / 630711030 - Fax: [email protected]

Documents

PROYECTO IMPLANTACIÓN DE UNA NUEVA DMZ Enero 2012