PROYECTO IMPLANTACIÓNDE UNA NUEVA DMZ
Enero 2012
Julián Hernández ViglianoCuerpo Superior de Sistemas y Tecnologías de la Información de la
Admon del Estado.Jefe de Departamento de Tecnologías
SDG Tecnologías y Servicios de InformaciónMinisterio de la Presidencia
INDICE1. Ministerio de la Presidencia
1. Descripción2. SGTSI3. Marco tecnológico
2. Antecedentes del Proyecto3. Plan de proyecto Global DMZ Moncloa (Fases 1, 2, 3)4. Arquitectura DMZ5. Ejecución del proyecto. Fase 16. Fases posteriores7. Datos del proyecto
1. Ministerio de la PresidenciaReal Decreto 199/2012, de 23 de eneroCorresponden al Ministerio de la Presidencia (extracto):
– la coordinación de los asuntos de relevancia constitucional;– la preparación, desarrollo y seguimiento del programa legislativo;– el apoyo inmediato a la Presidencia del Gobierno; – la asistencia al Consejo de Ministros, a las Comisiones Delegadas del Gobierno,
a la Comisión General de Secretarios de Estado y Subsecretarios y, en particular, al Gobierno en sus relaciones con las Cortes Generales;
– la coordinación interministerial que le encomienden las disposiciones vigentes, el Gobierno o su presidente;
– La coordinación de la política informativa del Gobierno,; – la coordinación de los servicios informativos de la Administración General del
Estado en España y en el extranjero, así como las relaciones con los medios informativos;
– las funciones de apoyo al Presidente del Gobierno y los órganos dependientes de la Presidencia del Gobierno;
– las relaciones con las Delegaciones del Gobierno en las Comunidades Autónomas.
1. Ministerio de la PresidenciaOrganigrama del Ministerio de la Presidencia:
– Secretaría de Estado de Relaciones con las Cortes.– Secretaría de Estado de Comunicación.– Subsecretaría de la Presidencia.
• Secretaría General Técnica-Secretariado del Gobierno.• Dirección General de Relación con las Delegaciones del Gobierno en las
Comunidades Autónomas• Gabinete Técnico • Oficialía Mayor • Subdirección General de Recursos Humanos • Subdirección General de Gestión Económica • Oficina Presupuestaria • Subdirección General de Tecnologías y Servicios de Información
• Están adscritos al Ministerio de la Presidencia los organismos públicos siguientes:– Centro Nacional de Inteligencia.– Agencia Estatal Boletín Oficial del Estado.– Centro de Estudios Políticos y Constitucionales.– Centro de Investigaciones Sociológicas.
1. Ministerio de la Presidencia
Subdirección General de Tecnologías y Servicios de Información • ejerce las funciones de:
– elaboración, desarrollo y ejecución de los planes estratégicos y operativos en materia de sistemas de información;
– colaboración, asesoramiento y asistencia técnica en materia de tecnologías de la información y comunicación;
– dirección, diseño, desarrollo, implantación y explotación de los sistemas de información garantizando su interoperabilidad, seguridad y calidad, así como la provisión y gestión del equipamiento y de los recursos informáticos necesarios para su ejecución.
1. Ministerio de la PresidenciaArquitectura
1. Ministerio de la PresidenciaConexiones WAN• El Ministerio conecta con las siguientes redes externas:
– Red Sara: red interadministrativa (MPTAP) con servicios comunes (portal Funciona, @firma, conexión a UE, CCAA, CCLL, etc)
– Red RICO: red de fibra de Correos Telecom que conecta al Ministerio con el resto de la AGE, Cortes y OOAA del MPR con enlaces redundados de 1Gbps.
– Internet: a través de enlaces de la red RICO (con servicio de Rediris) y operador de telecomunicaciones con un caudal medio de 20Mbps
– Anillo Moncloa: para conectar con el resto de unidades del Complejo (Presidencia de Gobierno, DISSC, Seguridad)
– Redes móviles: para el envío de SMS por redes alternativas .– Otros accesos internet (ADSL, 3G, Fibra)– Redes VC (RDSI, IP. Protocolos H323, SIP)
Arquitectura
1. Ministerio de la PresidenciaComunicaciones:
- La red interna del Ministerio está basada principalmente en tecnología Cisco (aprox. 80 conmutadores, 15 enrutadores que da servicio a usuarios y red de servidores con un total de aprox. 700 puertos de 1Gbps).
- Los servidores están conectados a 1Gpbs, y la práctica totalidad de los usuarios está a 100Mbps.
- Tráfico:- LAN: media de 2,5 TBytes al día- Internet: media de 80 GBytes al día- Red RICO: media de 15GB al día - Red Sara: media de de 6 GBytes al día.
- Accesos remotos:- Oficina Internacional de Prensa (María de Molina 50, con 4 usuarios
del Ministerio y picos de hasta 100 periodistas)- Consejerías de Información (22 sedes)- Teletrabajo
Arquitectura
1. Ministerio de la Presidencia
Vicepresidencia
SGSI
1 x 1Gbps Acceso a Internet/Iris
42 x 1 Giga, con Ministerios y OrganismosEnlace f.o. con BOE
2 x 1Gbps Acceso a Internet/Iris Ministerio de
la Presidencia
Red RICO
Sede 1
Sede 2
Red IRIS
Internet
Sede 21
CPD Ppal
CPD de Respaldo
• Conexión RED RICO con el resto de Ministerios, OOAA y Rediris (internet) en Madrid
• Red fibra desplegada por Correos Telecom por canales de CYII y Ayto Madrid
• Enlaces Gigabit ethernet redundados con cada uno
• Capacidad multimedia, voip, alto volumen de datos
• Nivel de servicio comprometido para averías: 24x7 con respuesta en 4 horas.
• Doble enlace Gbps por cada Ministerio u Organismo para entregar el tráfico en el Complejo de Moncloa (2 CPD’s)
Arquitectura
1. Ministerio de la PresidenciaArquitectura Red RICO
1. Ministerio de la Presidencia
Red RICOCorreos
ROUTER MPR - RICO
LAN Ministerio
Centralita
FO 1GbEFO x N ministerios
DWDM
LAN MPR
N x Vlan datos
CentralitaGabinete
Telegráfico
CPD
Gabinete Telegráfico Presidencia
Ministerio
CPD Ministerio Presidencia
VOZ2mbps
DATOS2 x 1GbE
Vlan voz Presidencia
2 x 1GbEFO
DWDM
Conversor VoIP
N x Conversor
VoIP
N x Vlan voz Presidencia
Vlan datos
Nuevo Rack RICO
Proyecto de nueva infraestructura Red RICO(Solución genérica)
FO 1
GbE
CPDRespaldo
DWDM
Conexión FO desde Gabinete a Router MPR -
RICO
Retranqueo fibra anterior a nuevo panel / empalme
nueva fibra (según necesidades)
Conexión UTP a interfaz LAN Ministerio
Red RICOArquitectura
1. Ministerio de la Presidencia
Sistemas: – 100 servidores físicos,
• con aprox. 200 servidores virtuales – capacidad total de proceso: de 2,5 billones de instrucciones por
segundo (TIPS) – capacidad total de almacenamiento de 200 TBytes sobre
cabinas SAN redundadas entre ambos CPD’s para ofrecer alta disponibilidad de datos.
– Backup: librerías para las copias de seguridad de la información.
– Tecnología Microsoft, VMware y LAMP
Arquitectura
Arquitectura
Pasamos de esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
Pasamos de esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
Pasamos de esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
Pasamos de esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
Pasamos de esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
A esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
A esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
A esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
A esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
A esto:
CPD PPAL
1. Ministerio de la Presidencia
• CPD Ppal – cuenta con una superficie de 110 m2, suelo técnico,
seguridad de acceso, cableado en Cat. 6A y Fibra óptica, aislamiento electromagnético, alimentación ininterrumpida de un total de 400 KVA’s en 2 SAI’s independientes alimentando en doble fase a 44 armarios de sistemas y almacenamiento y 11 armarios de comunicaciones. La sala cuenta con 5 equipos de aire acondicionado que proporcionan cerca de 200 kilofrigorías/hora (218KW nominales) .
• CPD Secundario– tiene 20m2, suelo técnico, seguridad de acceso,
alimentación desde 2 SAI’s independientes de 40KVA que alimentan 6 armarios de sistemas y almacenamiento, y 4 armarios de comunicaciones. La sala cuenta con varios equipos de aire acondicionado que proporcionan algo más de 20 kilofrigorías/hora.
Arquitectura
1. Ministerio de la Presidencia
2. Antecedentes del Proyecto1. Hosting BT: 2005-2010:
– www.la-moncloa.es y otras– Conexionado PaP con MPR para actualizaciones de contenidos (SEC)– Octubre 2010: refuerzo arquitectura en hosting– Plan de acción de estabilización de la plataforma (segundo semestre 2010)– Sin embargo -> Graves problemas de mantenimiento, disponibilidad,
monitorización, servicio.2. Fusión con MAP abortada. Oct 2010
– Necesidad de recuperar la web mpr.es y sede electrónica que en el proceso de fusión se había determinado instalar en la DMZ de MdM.
3. DMZ de MPR diseñada para otros servicios perimetrales, no preparada para dar servicio páginas web.
• Decisión: Traer las webs a los CPD’s de MPR en Moncloa desplegando una nueva infraestructura para alojarlas y unificar servicios perimetrales del Ministerio.
TECNOLOGÍA DESARROLLO WEB EN HOSTING
- Microsoft Windows Server 2003- IIS 6.0- MCMS 2002 SP2a,- SQL 2000- Visual Studio 2005, C#- Framework 2.0- Servicios Windows Media- Gestión de contenidos web + Aplicaciones Word A Web + web
services- Acceso a servicios en el Ministerio a través de Web Services
2. Antecedentes del Proyecto
Hosting: Webs del Ministerio de la Presidencia
Internet
Cluster VIP Cluster SQL
DHS01231-ESMR2 WWW 01
DHS01232-ESMR2WWW 02
SQL serverContent mgmt
DHS01236-ESMR2
san
AD, DC, DNS
Win2k3 Win2k3
DHS01235-ESMR2SQL 02
Win2k
DHS01234-ESMR2SQL 01
Win2kDHS01238-ESMR2
Win2k
Secundario AD, DC, DNS
DHS0123A-ESMR3Windows Media Server
Win2k3
SERVER REPORTS
DHS0123B-ESMR3 Win2k3
DHS01233-ESMR2 Index&Search
Win2k3
DHS0123F-ESMR2WWW 03
Win2k3
Administración I
Administración II
Firewall
FR 2M Point to Point
ATM 4M Point to Point
Customer HQContent Management
Remote update for content via back-end connectivity
Agosto 2010
3. Plan de Proyecto Global• Fase 1: despliegue nueva DMZ en Moncloa y traslado
webs desde el Hosting BT– 1er Semestre 2011
• Fase 2: traslado de la web mpr.es y sede electrónica desde CPD MPTAP a nueva DMZ– 2do Semestre 2011
• Fase 3: unificación servicios periféricos en nueva DMZ– Año 2012
3. Plan de Proyecto Global
Análisis. Requisitos
Consultoría externa
Adquisiciones
Instalación Servidoresen zona temporal.
Pruebas
Doc. Análisis
Propuesta Proyecto y Adquisiciones
Traslado equipos plataforma
Backup en BT a MPR
DESPLIEGUE DMZ
Pruebas
- Arquitectura- Checklist Paso a Producción- Plan de Pruebas- Procedimientos Admon, Incidencias,
Monitorización
Paso a Producción
Traslado restoequipos
BT a MPR
EstabilizaciónCompletado
Monitorización
FASE 1
OCT NOV-DIC ENE FEB-MAR ABR MAY JUN-JUL
2010 2011
Contratación Despliegue y Monitorización 2010
4. Arquitectura DMZ• Mantener filosofía de servicio de la arquitectura web en Hosting
– Migración sin contratiempos (sin cambios en la arquitectura)– Sin embargo, se aceptaron varios cambios al principio del proyecto para
mejorar la arquitectura de manera controlada.• No usar CPD VP sino PVZ (previo acondicionamiento)• Virtualización
• Incorporar lecciones aprendidas en DMZ MdM– Contratación de Integrador
• Reducir al máximo el tiempo de servicio Hosting en 2011• Máximas prioridades en nueva DMZ:
– Disponibilidad– Seguridad– Gestión 24x7 REAL
4. Arquitectura DMZ• Instalar en alta disponibilidad INIA – PVZ• Aprovechar equipamiento en MPR• Nuevo operador de Internet para complementar
a Rediris (doble operador)• Arquitectura frontend – backend escalable y
dimensionada para alojar, progresivamente, las diferentes fases:– Webs La-moncloa, etc.– Webs Mpr – Sede– Servicios Perimetrales
internet macrolanbtIA RICO telefonicavodafoneAnillomoncloa rediris
RED
PERIMETRAL
RED
INTERNA
SERVIDORES
Fw interno
AccesosRedesWAN
(IA, RICO,ANILLO)
Fw ministerios
DMZ WEB,
hosting
sirio
Fw web
DMZ VPN
DMZ sms, otrosDMZ OWA, proxy
Fw perimetral
CPDPPAL
SW-PERIM.
CPD
USUARIOS
SERVIDORES
USUARIOScampus
SERVIDORES
Fw interno
AccesosRedesWAN
(IA, RICO,ANILLO)
Fw ministerios
DMZ WEB,
hosting
sirio
Fw web
DMZ VPN
DMZ sms, otrosDMZ OWA, proxy
Fw perimetral
CPDBKUP
CPD BK
SERVIDORES
SW-PER.BK
RED MINISTERIOSW edif
internet macrolanbtIA RICO telefonicavodafoneAnillomoncloa rediris
RED
PERIMETRAL
RED
INTERNA
SERVIDORES
Fw interno
AccesosRedesWAN
(IA, RICO,ANILLO)
Fw ministerios
DMZ WEB,
hosting
sirio
Fw web
DMZ VPN
DMZ sms, otrosDMZ OWA, proxy
Fw perimetral
CPDPPAL
SW-PERIM.
CPD
USUARIOS
SERVIDORES
USUARIOScampus
SERVIDORES
Fw interno
AccesosRedesWAN
(IA, RICO,ANILLO)
Fw ministerios
DMZ WEB,
hosting
sirio
Fw web
DMZ VPN
DMZ sms, otrosDMZ OWA, proxy
Fw perimetral
CPDBKUP
CPD BK
SERVIDORES
SW-PER.BK
RED MINISTERIOSW edif
NUEVA DMZ
NUEVA DMZ
Fw backend
Fw frontend
Fw backend
Fw frontend
- Arquitectura 2 tier (front end - backend) repartida entre dos CPD's utilizando extensión de vlans para alta disponibilidad:
- Front end con los servicios accesibles desde el exterior.- Backend con los repositorios de información
- Doble operador de internet con doble acometida (uno por CPD).
- Balanceado ISP's en capas 3-4 y 7 y aplicación de NAT para direccionamiento público y protección ante ataques DoS/DDoS
- Seguridad perimetral basada en FW capa 3, IPS, WAF repartidos entre front end y backend con equipamiento de diferentes fabricantes en cluster.
- Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de tráfico.
- Switching gigaethernet con direccionamiento privado en todas las capas.
- Red de gestión no enrutada conectada a todos los equipos de la arquitectura con monitorización SIEM remota/in site.
4. Arquitectura DMZ
Requisitos de Servicio
- Control total de MPR en infraestructuras y servicios
- Servicio de alertas permanente -> objetivo: pro-actividad (chequeo cada 10s)
- Control de la plataforma 24x7 –> se reducen los tiempos de respuesta ante incidencias
- Instalación de un sistema de recogida de logs, correlación y revisión desde SOC-NOC remoto 24x7
- Administrador dedicado DMZ
4. Arquitectura DMZ
4. Arquitectura DMZ
INTERNET
SEGURIDAD
DMZ
ACCESO REMOTO
VPN
BASE DATOS
FRONT-END
BACK-END
WWW VIDEOS
• Arquitectura 2 tier (front end - backend) repartida entre dos CPD's utilizando extensión de vlans para alta disponibilidad :
• Front end con los servicios accesibles desde el exterior.
• Backend con los repositorios de información• Doble operador de internet con doble acometida (uno por
CPD). • Balanceado ISP's en capas 3-4 y 7 y aplicación de NAT
para direccionamiento público y protección ante ataques DoS/DDoS
• Seguridad perimetral basada en FW capa 3, IPS, WAF repartidos entre front end y backend con equipamiento de diferentes fabricantes en cluster.
• Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de tráfico.
• Switching gigaethernet con direccionamiento privado en todas las capas. Enlaces troncales entre CPD’s a 10GB
• Red de gestión no enrutada conectada a todos los equipos de la arquitectura con monitorización SIEM remota/in site.
4. Arquitectura DMZ
+ 2 + 1
SQL 2000
4. Arquitectura DMZ
4. Arquitectura DMZ
Comunicaciones• El acceso a Internet dispone de enlaces redundante con doble
operador/proveedor, que consisten en 4 enlaces, 2 de 1Gbps con limitación de caudal a 60Mbps en uno de los casos, y otros 2 enlaces de 10Mbps con limitación de caudal a 100Mbps con el segundo de los operadores.
• Se dispone adicionalmente de acuerdos para incrementos puntuales de la demanda, para aumentar el caudal de 10 a 100Mbps.
• Para el acceso a los sistemas alojados en el backend se realizará a través de redes internas de la Administración General del Estado. Asimismo se habilitará acceso remoto a estos sistemas a través de internet mediante el uso VPN securizada.
• Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de trafico, en cluster.
4. Arquitectura DMZ
SEGURIDADLa arquitectura de red dispone de un esquema de protección perimetral con varios niveles y áreas separado mediante redes virtuales (VLAN). La DMZ Pública (Internet) se encuentra protegida por varios cortafuegos, uno de ellos del tipo Cortafuegos de Aplicación, sondas de red (IDS) y dispositivos de control de contenidos y malware.Seguridad perimetral basada en FW capa 3, IPS, WAF repartido entre front end y backend con equipamiento de diferentes fabricantes en cluster basadas en tecnología UTM de última generación:
- Cortafuegos- Filtrado de Aplicaciones.- Antivirus y antimalware.- DLP.- QoS por usuario, por IP, por servicio, por aplicación.- Filtrado de contenidos.- WAF- IPS
4. Arquitectura DMZ
ADMINISTRACIONSe dispone de un administrador dedicado en exclusiva para la gestión de toda la seguridad perimetral, y de los incidentes de seguridad de la DMZ de servicios de páginas web.Basado en manuales de Administracion, Incidencias, Monitorización y ArquitecturaEl sistema de monitorización y alerta esta soportado en un servicio 6x5 por personal propio: 3 personas (un ejecutivo que actúa como punto focal, uno de comunicaciones y uno de sistemas) con teléfono operativo 14x7. Los sistemas envían traps (SMS/email) cuando ocurren fallos. Además existe un cuerpo de guardia para los servicios de electricidad, seguridad, etc. Adicionalmente, se dispone de un contrato con una empresa para monitorización y administración remota 24x7.El centro de servicios dispone de Sistemas de Backup y almacenamiento en cintas, con una política y procedimientos definidos.
4. Arquitectura DMZEn cuanto a la arquitectura Web utilizada, ésta se basa en MVC.
Patrón MCV en aplicaciones webPatrón MVC
5. Ejecución del Proyecto
1. Preparación de la infraestructura de comunicaciones y seguridad
2. Integración de los Sistemas en la nueva arquitectura
3. Arquitectura final
4. Paso a producción
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
Fw Ministerios FW interno
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
swWEB
Hosting BT
fwfwInternet
FW Aplicaciones
SIRIO
Situación inicial
swinternet
WAN RedIRIS Internet WAN RedIRIS WEB 5.1 Prep. Arquitectura
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
Fw Ministerios FW interno
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
SwWEB
Hosting BT
fwfwInternet
FW Aplicaciones
Eliminación Resto Servicios Web en SIRIO
swinternet
WAN RedIRIS Internet WAN RedIRIS WEB 5.1 Prep. Arquitectura
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
Fw Ministerios FW interno
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
Hosting BT
fwfwInternet
FW Aplicaciones
Conexión a Hosting sólo paraGestion de contenidos y accesos web services
swinternet
WAN RedIRIS Internet WAN RedIRIS WEB 5.1 Prep. Arquitectura
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
Fw Ministerios FW interno
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
Hosting BT
fw
swInternet
WAF
Conexión a Hosting sólo paraGestion de contenidos y accesos web services
swinternet
WAN RedIRIS Internet WAN RedIRIS WEB 5.1 Prep. Arquitectura
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
Fw Ministerios FW interno
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
Hosting BT
fw
fwInternet
waf
Nuevos enlaces BT
swinternet
WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador5.1 Prep. Arquitectura
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
BalanceadoresWAN
Fw Ministerios FW interno
WAN RedIRIS Internet WAN RedIRIS WEB
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
DMZ PUB Hosting
DMZ PUB LB Hosting
DMZ PRV Hosting
DMZ BackEnd Hosting
BalanceadoresAplicación
SeguridadDMZ
Seguridadperimetral
MPR
WAN1 operador WAN2 operador
Seguridadperimetral
DMZ
WAFs
Configuración DMZ
5.1 Prep. Arquitectura
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
BalanceadoresWAN
Fw Ministerios FW interno
WAN RedIRIS Internet WAN RedIRIS WEB
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
DMZ PUB Hosting
DMZ PUB LB Hosting
DMZ PRV Hosting
DMZ BackEnd Hosting
BalanceadoresAplicación
SeguridadDMZ
Seguridadperimetral
MPR
Seguridadperimetral
DMZ
WAFs
Configuración DMZ
5.1 Prep. ArquitecturaWAN1 operador WAN2 operador
Balanceadores WAN:Características principales:
• Smart Health Monitoring and Failure Detection
• Active-Active or Active-Passive Link Redundancy
• Real-Time Traffic Redirection• Link Load-Balancing• Smart Application Routing
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
BalanceadoresWAN
Fw Ministerios FW interno
WAN RedIRIS Internet WAN RedIRIS WEB
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
DMZ PUB Hosting
DMZ PUB LB Hosting
DMZ PRV Hosting
DMZ BackEnd Hosting
BalanceadoresAplicación
SeguridadDMZ
Seguridadperimetral
MPR
Seguridadperimetral
DMZ
WAFs
Configuración DMZ
5.1 Prep. ArquitecturaWAN1 operador WAN2 operador
Balanceadores Aplicación :Características principales:
• Smart Health Monitoring and Failure Detection• Stateful Persistency• High Availability with Real-time Failure Bypassing• Real-time Traffic Redirection• Accelerates Content Delivery• Offloads CPU Intensive Tasks from Servers and
Optimizes Use of IT Infrastructure• Maximizes Bandwidth Usage
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
BalanceadoresWAN
Fw Ministerios FW interno
WAN RedIRIS Internet WAN RedIRIS WEB
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
DMZ PUB Hosting
DMZ PUB LB Hosting
DMZ PRV Hosting
DMZ BackEnd Hosting
BalanceadoresAplicación
SeguridadDMZ
Seguridadperimetral
MPR
Seguridadperimetral
DMZ
WAFs
Configuración DMZ
WAN1 operador WAN2 operador
Seguridad Perimetral :Características principales:
• 10 Gbps firewall throughput • 5 Gbps threat prevention throughput • 2 Gbps IPSec VPN throughput • 4,000 IPSec VPN tunnels and tunnel
interfaces • 60,000 new sessions per second • 2,000,000 max sessions • (16) 10/100/1000 + (8) SFP optical
gigabit interfaces Funcionalidades Avanzadas:
• Prevención de amenazas (IPS).• Prevención de ataques de DoS.• Prevención frente a escaneos de red.• Anomalía de paquetes. • Antivirus y Anti- Spyware.• Prevención frente a la fuga de datos
(DLP).• Filtrado de URLs.
5.1 Prep. Arquitectura
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
BalanceadoresWAN
Fw Ministerios FW interno
WAN RedIRIS Internet WAN RedIRIS WEB
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
DMZ PUB Hosting
DMZ PUB LB Hosting
DMZ PRV Hosting
DMZ BackEnd Hosting
BalanceadoresAplicación
SeguridadDMZ
Seguridadperimetral
MPR
Seguridadperimetral
DMZ
WAFs
Configuración DMZ
5.1 Prep. ArquitecturaWAN1 operador WAN2 operador
Seguridad Perimetral :Características principales:
• 16 Gbps firewall throughput • 2 Gbps IPS throughput • 12 Gbps IPSec VPN throughput • 1,000,000 max sessions • (2) 10/100/1000 + (16) SFP
optical gigabit interfaces Funcionalidades Avanzadas:
• Prevención de amenazas (IPS).• Prevención de ataques de DoS.• Antivirus y Anti- Spyware.• Filtrado de URLs.
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
BalanceadoresWAN
Fw Ministerios FW interno
WAN RedIRIS Internet WAN RedIRIS WEB
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
DMZ PUB Hosting
DMZ PUB LB Hosting
DMZ PRV Hosting
DMZ BackEnd Hosting
BalanceadoresAplicación
SeguridadDMZ
Seguridadperimetral
MPR
Seguridadperimetral
DMZ
WAFs
Configuración DMZ
5.1 Prep. ArquitecturaWAN1 operador WAN2 operador
Web Application Firewalls :Características principales:
• 100 Mbps HTTP throughput • 10.000 Max. Transactions per
second• (4) 10/100/1000• 500 GB Hard drive• Inline reverse proxy, Transparent
or Offline protection
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
BalanceadoresWAN
Fw Ministerios FW interno
WAN RedIRIS Internet WAN RedIRIS WEB
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
DMZ PUB Hosting
DMZ PUB LB Hosting
DMZ PRV Hosting
DMZ BackEnd Hosting
BalanceadoresAplicación
SeguridadDMZ
Seguridadperimetral
MPR
Seguridadperimetral
DMZ
WAFs
Conexión Servidores BE-FE
5.1 Prep. ArquitecturaWAN1 operador WAN2 operador
5.2 Integración Sistemas• Evolución de los Sistemas
– Inicialmente (Oct-Dic 2010) :• Se instalan los servidores desde plataforma de backup BT en zona temporal
con direccionamiento final para favorecer la migración a la DMZ• Duplicación de componentes, y distribución en 2 CPDs
– Modificaciones:• Ampliación de servicios de cluster para almacenamiento de logs y videos• No duplicación del cluster• Traslado del frontal de indexación al Back-End• Virtualización de la plataforma• Redundancia de datos de cabina
Entorno final (INIA+Pvoz)5.2 Integr. Sistemas
Objetivo: Paso a producción sin pérdida de servicio
- Tareas previas:- Creación usuarios gestión de contenidos nuevo dominio (Sistemas)- Se envían dos discos a BT para tener disponibles dos copias de seguridad de
BD, viernes 1h y sábado 1h- viernes, 6 de mayo, tareas previas para reducir el tiempo de paso a producción
- Reducción al máximo posible el TTL del DNS- Recuperación y configuración de BDs viernes 1h- Configuración de privilegios de gestión de contenidos nuevo dominio en
DMZ- Validación de credenciales y privilegios para todos los sitios web
- 7 de mayo, 15 horas, inicio del paso a producción (ventana: 15 a 19 horas)
- Se comprueban los contenidos actualizados desde la 1h del viernes 6- Se exportan de BT los últimos contenidos actualizados- Se importan en MPR los contenidos exportados- Se actualizan las aplicaciones Word A Web en la SEC (Panaderos y Referencia)- A las 15:45 se hace van haciendo públicas las distintas webs, finalizando con La
Moncloa a las 17:45, momento en que se da por finalizado el paso a producción
- No fue necesario utilizar la segunda copia de seguridad del sábado 7 a la 1h
5.3 Paso a Producción
LISTA FINAL DE WEBS EN DMZ MONCLOA:
- La Moncloa, www.lamoncloa.gob.es
- Memoria Histórica, wwrw.memoriahistorica.gob.es
- Tvinfancia, www.tvinfancia.es
- Plan Nacional de la Alianza de Civilizaciones, www.pnac.es
- 9 Oficinas de Prensa, Argentina, Brasil, EEUU, Francia, Japón, Méjico, Reino Unido, Polonia y Rusia
- Servicios MPR: Actividad Parlamentaria y Legislativa, Publicaciones, Acreditaciones y Agenda de la Comunicación
- Presidencia Española de la Unión Europea, www.eu2010.es
- Eutrio, www.eutrio.es
- Cumbre Iberoamericana, www.cumbre-iberoamericana.org
- EuroMed Barcelona, www.euromedbarcelona.es
- España Solar, www.espanasolar.es
5.3 Paso a Producción
6. Fases Posteriores
• Fase 2– Despliegue servidores con arquitectura de mpr.es y
Sede electrónica desde la sede en MdM (Linux+Apache+tomcat+Magnolia+MySQL) en DMZ
– Traslado web mpr.es– Traslado sede electrónica
WANAnillo Moncloa/Rico/Red Sara LAN
swfrontera
Sw Internet
Balanceadores WAN
Fw Ministerios FW interno
WAN A WAN B
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
DMZ PUB Hosting DMZ PUB WEB
DMZ PUB LB Hosting DMZ PUB LB WEB
DMZ PRV HostingDMZ PRV WEB
DMZ BackEnd Hosting
App LB PUB
DMZ BackEnd WEB
Arquitectura escalable
Seguridadperimetral
SeguridadDMZ
WAFs
6. Fases Posteriores
• Fase 3– Integración de las DMZ de servicios perimetrales en la nueva
DMZ• Correo• Videoconferencia• Navegación web• VPN• Citrix
– Redundancia líneas Rediris– Ampliación ancho banda operador 2– Auditoría Global. Hacking ético.– Nuevas Webs (proyecto similar a Fase 2)– Posibilidad de servicio tipo Cloud
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
BalanceadoresWAN
Fw Ministerios FW interno
WAN RedIRIS Internet WAN RedIRIS WEB
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
DMZ PUB Hosting
DMZ PUB LB Hosting
DMZ PRV Hosting
DMZ BackEnd Hosting
BalanceadoresAplicación
SeguridadDMZ
Seguridadperimetral
MPR
WAN op1 WAN op2
Seguridadperimetral
DMZ
WAFs
Migración progresivasin impacto
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
BalanceadoresWAN
Fw Ministerios FW interno
WAN RedIRIS Internet WAN RedIRIS WEB
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
DMZ PUB Hosting
DMZ PUB LB Hosting
DMZ PRV Hosting
DMZ BackEnd Hosting
BalanceadoresAplicación
SeguridadDMZ
WAN op1 WAN op2
Seguridadperimetral
DMZ
WAFs
Migración progresivasin impacto
Seguridadperimetral
MPR
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
BalanceadoresWAN
Fw Ministerios FW interno
WAN RedIRIS Internet WAN RedIRIS WEB
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
DMZ PUB Hosting
DMZ PUB LB Hosting
DMZ PRV Hosting
DMZ BackEnd Hosting
BalanceadoresAplicación
SeguridadDMZ
WAN op1 WAN op2
Seguridadperimetral
DMZ
WAFs
Migración progresivasin impacto
Seguridadperimetral
MPR
WANAnillo Moncloa/Rico/Red Sara LAN
Sw frontera
BalanceadoresWAN
Fw Ministerios FW interno
WAN RedIRIS Internet WAN RedIRIS WEB
DMZ SMS
DMZ Citrix
DMZ Correo
DMZ VPN
DMZ PUB Hosting
DMZ PUB LB Hosting
DMZ PRV Hosting
DMZ BackEnd Hosting
BalanceadoresAplicación
SeguridadDMZ
WAN BT1 WAN BT2
Seguridadperimetral
DMZ
WAFs
Servicio CloudInternet
Red Iris BT
Acceso internet Balanceado con doble proveedor
DMZ legacy
Nueva DMZSEGURIDAD
COMUNICACIONES A L M A C E N A M I E N T O
❶ ❷
DMZ moncloa.es y asociadas
DMZ mpr.es y
asociadas
DMZ OO.AA:
SS.OO y Soft de los OO.AA.
Servidores y almacenamiento Independiente de
Ministerio
RED SARA
RED RICO
OO.AA
CPDs Redundados
Futuro
Fw perimetral
INTRANET MPR
Fw perimetral
Fw perimetral
ANILLO MONCLOA
ESCENARIO 4
Servidores Nedaes CIS
7. Datos Proyecto
• Adquisiciones– Equipos comunicaciones: 87.000 €– Equipos seguridad 215.000 €– Equipos Sistemas+Alm 150.000 €– Licencias 50.000 €
• Consultoría y Despliegue (Fase1)– Tiempo: 7 meses– Personas externas
• 1 Jefe Proyecto (30%)• 1 Consultor (70%)• 1 Técnico de Sistemas/comms (100%)
– Personas internas (Ministerio)• 1 Director Proyecto• 2 Tecnicos Comms/Seg . al 60%• 2 Tecnicos Sistemas. al 50%• 1 Analista Prog. Web al 50%
– Coste 71.000 €
• Servicio 24x7– SNOC + Admon insitu: 15.600 €/mes
• Comunicacines– Rediris: 0 €– Operador 2 5.800 €/mes
• Servicio 24x7– SNOC + Admon insitu: 16.600 €/mes
• Mtmtos HW– Comms+Seg 60.000 €/año– Sistemas 20.000 €/año
• Operador 2 7.800 €/mes
IVA INCL
PROYECTO SERVICIO 1er AÑO
SERVICIO 2do AÑO
GRACIAS.
Julián Hernández Vigliano Jefe del Departamento de TecnologíasSubdirección General de Tecnologías y Servicios de InformaciónMinisterio de la Presidencia Complejo de la Moncloa - Edificio INIA – Desp. 001Avda. de Puerta de Hierro s/n - 28071 MadridTel: 913353214 / 630711030 - Fax: [email protected]
Top Related