Presentacion proyecto DMZ

Report
PROYECTO IMPLANTACIÓN
DE UNA NUEVA DMZ
Enero 2012
Julián Hernández Vigliano
Cuerpo Superior de Sistemas y Tecnologías de la Información de la
Admon del Estado.
Jefe de Departamento de Tecnologías
SDG Tecnologías y Servicios de Información
Ministerio de la Presidencia
INDICE
1. Ministerio de la Presidencia
1.
2.
3.
2.
3.
4.
5.
6.
7.
Descripción
SGTSI
Marco tecnológico
Antecedentes del Proyecto
Plan de proyecto Global DMZ Moncloa (Fases 1, 2, 3)
Arquitectura DMZ
Ejecución del proyecto. Fase 1
Fases posteriores
Datos del proyecto
1. Ministerio de la Presidencia
Real Decreto 199/2012, de 23 de enero
Corresponden al Ministerio de la Presidencia (extracto):
–
–
–
–
–
–
–
–
–
la coordinación de los asuntos de relevancia constitucional;
la preparación, desarrollo y seguimiento del programa legislativo;
el apoyo inmediato a la Presidencia del Gobierno;
la asistencia al Consejo de Ministros, a las Comisiones Delegadas del Gobierno,
a la Comisión General de Secretarios de Estado y Subsecretarios y, en
particular, al Gobierno en sus relaciones con las Cortes Generales;
la coordinación interministerial que le encomienden las disposiciones vigentes, el
Gobierno o su presidente;
La coordinación de la política informativa del Gobierno,;
la coordinación de los servicios informativos de la Administración General del
Estado en España y en el extranjero, así como las relaciones con los medios
informativos;
las funciones de apoyo al Presidente del Gobierno y los órganos dependientes
de la Presidencia del Gobierno;
las relaciones con las Delegaciones del Gobierno en las Comunidades
Autónomas.
1. Ministerio de la Presidencia
Organigrama del Ministerio de la Presidencia:
– Secretaría de Estado de Relaciones con las Cortes.
– Secretaría de Estado de Comunicación.
– Subsecretaría de la Presidencia.
• Secretaría General Técnica-Secretariado del Gobierno.
• Dirección General de Relación con las Delegaciones del Gobierno en las Comunidades
Autónomas
• Gabinete Técnico
• Oficialía Mayor
• Subdirección General de Recursos Humanos
• Subdirección General de Gestión Económica
• Oficina Presupuestaria
• Subdirección General de Tecnologías y Servicios de Información
•
Están adscritos al Ministerio de la Presidencia los organismos públicos
siguientes:
–
–
–
–
Centro Nacional de Inteligencia.
Agencia Estatal Boletín Oficial del Estado.
Centro de Estudios Políticos y Constitucionales.
Centro de Investigaciones Sociológicas.
1. Ministerio de la Presidencia
Subdirección General de Tecnologías y Servicios de
Información
• ejerce las funciones de:
– elaboración, desarrollo y ejecución de los planes estratégicos y
operativos en materia de sistemas de información;
– colaboración, asesoramiento y asistencia técnica en materia de
tecnologías de la información y comunicación;
– dirección, diseño, desarrollo, implantación y explotación de los
sistemas de información garantizando su interoperabilidad,
seguridad y calidad, así como la provisión y gestión del
equipamiento y de los recursos informáticos necesarios para su
ejecución.
1. Ministerio de la Presidencia
Arquitectura
1. Ministerio de la Presidencia
Arquitectura
Conexiones WAN
• El Ministerio conecta con las siguientes redes externas:
– Red Sara: red interadministrativa (MPTAP) con servicios comunes
(portal Funciona, @firma, conexión a UE, CCAA, CCLL, etc)
– Red RICO: red de fibra de Correos Telecom que conecta al Ministerio
con el resto de la AGE, Cortes y OOAA del MPR con enlaces
redundados de 1Gbps.
– Internet: a través de enlaces de la red RICO (con servicio de Rediris) y
operador de telecomunicaciones con un caudal medio de 20Mbps
– Anillo Moncloa: para conectar con el resto de unidades del Complejo
(Presidencia de Gobierno, DISSC, Seguridad)
– Redes móviles: para el envío de SMS por redes alternativas .
– Otros accesos internet (ADSL, 3G, Fibra)
– Redes VC (RDSI, IP. Protocolos H323, SIP)
1. Ministerio de la Presidencia
Arquitectura
Comunicaciones:
- La red interna del Ministerio está basada principalmente en tecnología
Cisco (aprox. 80 conmutadores, 15 enrutadores que da servicio a
usuarios y red de servidores con un total de aprox. 700 puertos de
1Gbps).
- Los servidores están conectados a 1Gpbs, y la práctica totalidad de los
usuarios está a 100Mbps.
- Tráfico:
- LAN:
media de 2,5 TBytes al día
- Internet:
media de 80 GBytes al día
- Red RICO:
media de 15GB al día
- Red Sara:
media de de 6 GBytes al día.
- Accesos remotos:
- Oficina Internacional de Prensa (María de Molina 50, con 4 usuarios
del Ministerio y picos de hasta 100 periodistas)
- Consejerías de Información (22 sedes)
- Teletrabajo
1. Ministerio de la Presidencia
Red RICO
Arquitectura
42 x 1 Giga, con Ministerios y Organismos
SGSI
Enlace f.o. con BOE
Ministerio de
la Presidencia
2 x 1Gbps Acceso a Internet/Iris
Vicepresidencia
1 x 1Gbps Acceso a Internet/Iris
• Conexión RED RICO con el resto de
Ministerios, OOAA y Rediris (internet) en
Madrid
CPD Ppal
• Red fibra desplegada por Correos
Telecom por canales de CYII y Ayto
Madrid
Sede 2
• Enlaces Gigabit ethernet redundados
con cada uno
• Capacidad multimedia, voip, alto
volumen de datos
• Nivel de servicio comprometido para
averías: 24x7 con respuesta en 4 horas.
• Doble enlace Gbps por cada Ministerio u
Organismo para entregar el tráfico en el
Complejo de Moncloa (2 CPD’s)
Sede 1
Sede 21
CPD de Respaldo
Red IRIS
Internet
1. Ministerio de la Presidencia
Arquitectura
Red RICO
1. Ministerio de la Presidencia
Red RICO
Arquitectura
Gabinete Telegráfico
Presidencia
Ministerio
Centralita
Gabinete
Telegráfico
Conexión FO desde
Gabinete a Router MPR RICO
Nx
Conversor
VoIP
Centralita
Retranqueo fibra anterior
a nuevo panel / empalme
nueva fibra (según
necesidades)
Conversor
VoIP
Vlan voz
Presidencia
N x Vlan voz
Presidencia
VOZ
2mbps
FO x
N ministerios
Red RICO
Correos
FO 1GbE
DATOS
2 x 1GbE
DWDM
2x
1GbE
FO
DWDM
Vlan
datos
LAN
Ministerio
ROUTER
MPR - RICO
FO 1GbE
N x Vlan datos
Nuevo Rack RICO
CPD
Conexión UTP a interfaz
LAN Ministerio
LAN MPR
DWDM
CPD
Respaldo
CPD Ministerio
Presidencia
Proyecto de nueva infraestructura Red RICO
(Solución genérica)
1. Ministerio de la Presidencia
Arquitectura
Sistemas:
– 100 servidores físicos,
• con aprox. 200 servidores virtuales
– capacidad total de proceso: de 2,5 billones de instrucciones por
segundo (TIPS)
– capacidad total de almacenamiento de 200 TBytes sobre
cabinas SAN redundadas entre ambos CPD’s para ofrecer alta
disponibilidad de datos.
– Backup: librerías para las copias de seguridad de la información.
– Tecnología Microsoft, VMware y LAMP
1. Ministerio de la Presidencia
Arquitectura
Pasamos de esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
Pasamos de esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
Pasamos de esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
Pasamos de esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
Pasamos de esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
A esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
A esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
A esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
A esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
A esto:
CPD PPAL
1. Ministerio de la Presidencia
Arquitectura
• CPD Ppal
– cuenta con una superficie de 110 m2, suelo técnico,
seguridad de acceso, cableado en Cat. 6A y Fibra
óptica, aislamiento electromagnético, alimentación
ininterrumpida de un total de 400 KVA’s en 2 SAI’s
independientes alimentando en doble fase a 44
armarios de sistemas y almacenamiento y 11 armarios
de comunicaciones. La sala cuenta con 5 equipos de
aire acondicionado que proporcionan cerca de 200
kilofrigorías/hora (218KW nominales) .
• CPD Secundario
– tiene 20m2, suelo técnico, seguridad de acceso,
alimentación desde 2 SAI’s independientes de 40KVA
que alimentan 6 armarios de sistemas y
almacenamiento, y 4 armarios de comunicaciones. La
sala cuenta con varios equipos de aire acondicionado
que proporcionan algo más de 20 kilofrigorías/hora.
2. Antecedentes del Proyecto
1.
2.
3.
•
Hosting BT: 2005-2010:
– www.la-moncloa.es y otras
– Conexionado PaP con MPR para actualizaciones de contenidos (SEC)
– Octubre 2010: refuerzo arquitectura en hosting
– Plan de acción de estabilización de la plataforma (segundo semestre 2010)
– Sin embargo -> Graves problemas de mantenimiento, disponibilidad,
monitorización, servicio.
Fusión con MAP abortada. Oct 2010
– Necesidad de recuperar la web mpr.es y sede electrónica que en el proceso de
fusión se había determinado instalar en la DMZ de MdM.
DMZ de MPR diseñada para otros servicios perimetrales, no preparada para dar
servicio páginas web.
Decisión: Traer las webs a los CPD’s de MPR en Moncloa desplegando una nueva
infraestructura para alojarlas y unificar servicios perimetrales del Ministerio.
2. Antecedentes del Proyecto
TECNOLOGÍA DESARROLLO WEB EN HOSTING
- Microsoft Windows Server 2003
- IIS 6.0
- MCMS 2002 SP2a,
- SQL 2000
- Visual Studio 2005, C#
- Framework 2.0
- Servicios Windows Media
- Gestión de contenidos web + Aplicaciones Word A Web + web
services
- Acceso a servicios en el Ministerio a través de Web Services
Hosting: Webs del Ministerio de la Presidencia
Internet
DHS01231-ESMR2
DHS01232-ESMR2
DHS0123F-ESMR2
WWW 01
WWW 02
WWW 03
Win2k3
Win2k3
Win2k3
DHS01233-ESMR2
Index&Search
DHS0123A-ESMR3
Windows Media Server
Win2k3
Win2k3
Firewall
Administración I
ATM 4M
Point to Point
Administración II
FR 2M
Point to Point
DHS01238-ESMR2
Win2k
Secundario
AD, DC, DNS
Cluster VIP
Cluster SQL
DHS01234-ESMR2
DHS01235-ESMR2
Win2k
Win2k
SQL 01
SQL 02
DHS01236-ESMR2
DHS0123B-ESMR3
Win2k3
Customer HQ
AD, DC, DNS
SERVER REPORTS
Content Management
Remote update for content via back-end
connectivity
san
SQL server
Content mgmt
Agosto 2010
3. Plan de Proyecto Global
• Fase 1: despliegue nueva DMZ en Moncloa y traslado
webs desde el Hosting BT
– 1er Semestre 2011
• Fase 2: traslado de la web mpr.es y sede electrónica
desde CPD MPTAP a nueva DMZ
– 2do Semestre 2011
• Fase 3: unificación servicios periféricos en nueva DMZ
– Año 2012
3. Plan de Proyecto Global
Contratación Despliegue y
Monitorización 2010
Doc. Análisis
Análisis.
Requisitos
Propuesta Proyecto
y Adquisiciones
Consultoría
externa
-
Adquisiciones
Arquitectura
Checklist Paso a Producción
Plan de Pruebas
Procedimientos Admon, Incidencias,
Monitorización
DESPLIEGUE DMZ
Pruebas
Instalación Servidores
en zona temporal.
Pruebas
Traslado equipos
plataforma
Backup en BT
a MPR
OCT
NOV-DIC
2010
ENE
Traslado resto
equipos
BT
a MPR
FEB-MAR
2011
ABR
Paso a Producción
Estabilización
Completado
Monitorización
MAY
JUN-JUL
4. Arquitectura DMZ
• Mantener filosofía de servicio de la arquitectura web en Hosting
– Migración sin contratiempos (sin cambios en la arquitectura)
– Sin embargo, se aceptaron varios cambios al principio del proyecto
para mejorar la arquitectura de manera controlada.
• No usar CPD VP sino PVZ (previo acondicionamiento)
• Virtualización
• Incorporar lecciones aprendidas en DMZ MdM
– Contratación de Integrador
• Reducir al máximo el tiempo de servicio Hosting en 2011
• Máximas prioridades en nueva DMZ:
– Disponibilidad
– Seguridad
– Gestión 24x7 REAL
4. Arquitectura DMZ
• Instalar en alta disponibilidad INIA – PVZ
• Aprovechar equipamiento en MPR
• Nuevo operador de Internet para complementar
a Rediris (doble operador)
• Arquitectura frontend – backend escalable y
dimensionada para alojar, progresivamente, las
diferentes fases:
– Webs La-moncloa, etc.
– Webs Mpr – Sede
– Servicios Perimetrales
Anillo
moncloa
IA
Accesos
Redes
WAN
(IA,
RICO,
ANILLO)
rediris
RICO
bt
Fw
perimetral
Fw web
Fw
ministerios
internet
DMZ
WEB,
hosting
DMZ
OWA,
proxy
vodafone
Fw
ministerios
DMZ
sms,
otros
sirio
macrolan
SW-PER.BK
SW-PERIM.
DMZ
VPN
Accesos
Redes
WAN
(IA,
RICO,
ANILLO)
telefonica
Fw
perimetral
Fw web
DMZ
sms,
otros
sirio
DMZ
WEB,
hosting
CPD
BKUP
DMZ
OWA,
proxy
DMZ
VPN
P
E
R
R I
E M
D E
T
R
A
L
CPD
PPAL
Fw interno
Fw interno
CPD BK
SERVIDORES
CPD
SERVIDORES
SERVIDORES
RED MINISTERIO
SW edif
USUARIOS
campus
SERVIDORES
USUARIOS
I
N
R
T
E
E
D
R
N
A
Anillo
moncloa
IA
Accesos
Redes
WAN
(IA,
RICO,
ANILLO)
RICO
bt
DMZ
WEB,
hosting
DMZ
OWA,
proxy
vodafone
SW-PER.BK
Accesos
Redes
WAN
(IA,
RICO,
ANILLO)
SW-PERIM.
DMZ
VPN
NUEVA
DMZ
macrolan
Fw
ministerios
DMZ
sms,
otros
sirio
CPD
BKUP
rediris
Fw
perimetral
Fw web
Fw
ministerios
internet
Fw
perimetral
Fw web
DMZ
sms,
otros
sirio
DMZ
WEB,
hosting
NUEVA
DMZ
Fw frontend
Fw backend
DMZ
OWA,
proxy
DMZ
VPN
Fw backend
Fw interno
CPD BK
CPD
SERVIDORES
SERVIDORES
USUARIOS
campus
SERVIDORES
RED MINISTERIO
SW edif
USUARIOS
P
E
R
R I
E M
D E
T
R
A
L
CPD
PPAL
Fw frontend
Fw interno
SERVIDORES
telefonica
I
N
R
T
E
E
D
R
N
A
4. Arquitectura DMZ
-
Arquitectura 2 tier (front end - backend) repartida entre dos CPD's utilizando
extensión de vlans para alta disponibilidad:
- Front end con los servicios accesibles desde el exterior.
- Backend con los repositorios de información
-
Doble operador de internet con doble acometida (uno por CPD).
-
Balanceado ISP's en capas 3-4 y 7 y aplicación de NAT para direccionamiento
público y protección ante ataques DoS/DDoS
-
Seguridad perimetral basada en FW capa 3, IPS, WAF repartidos entre front end y
backend con equipamiento de diferentes fabricantes en cluster.
-
Balanceo de aplicaciones en el frontend con DNS primario local con persistencia
de sesiones y diferentes técnicas de balanceo, aceleración de tráfico.
-
Switching gigaethernet con direccionamiento privado en todas las capas.
-
Red de gestión no enrutada conectada a todos los equipos de la arquitectura con
monitorización SIEM remota/in site.
4. Arquitectura DMZ
Requisitos de Servicio
-
Control total de MPR en infraestructuras y servicios
-
Servicio de alertas permanente -> objetivo: pro-actividad (chequeo cada
10s)
-
Control de la plataforma 24x7 –> se reducen los tiempos de respuesta ante
incidencias
-
Instalación de un sistema de recogida de logs, correlación y revisión desde
SOC-NOC remoto 24x7
-
Administrador dedicado DMZ
4. Arquitectura DMZ
•
INTERNET
SEGURIDAD
DMZ
FRONT-END
WWW
•
•
VIDEOS
•
BACK-END
VPN
•
ACCESO
REMOTO
BASE DATOS
•
•
Arquitectura 2 tier (front end - backend) repartida entre
dos CPD's utilizando extensión de vlans para alta
disponibilidad :
• Front end con los servicios accesibles desde el
exterior.
• Backend con los repositorios de información
Doble operador de internet con doble acometida (uno por
CPD).
Balanceado ISP's en capas 3-4 y 7 y aplicación de NAT
para direccionamiento público y protección ante ataques
DoS/DDoS
Seguridad perimetral basada en FW capa 3, IPS, WAF
repartidos entre front end y backend con equipamiento de
diferentes fabricantes en cluster.
Balanceo de aplicaciones en el frontend con DNS
primario local con persistencia de sesiones y diferentes
técnicas de balanceo, aceleración de tráfico.
Switching gigaethernet con direccionamiento privado en
todas las capas. Enlaces troncales entre CPD’s a 10GB
Red de gestión no enrutada conectada a todos los
equipos de la arquitectura con monitorización SIEM
remota/in site.
4. Arquitectura DMZ
4. Arquitectura DMZ
+2
SQL 2000
+1
4. Arquitectura DMZ
Comunicaciones
• El acceso a Internet dispone de enlaces redundante con doble
operador/proveedor, que consisten en 4 enlaces, 2 de 1Gbps con
limitación de caudal a 60Mbps en uno de los casos, y otros 2 enlaces
de 10Mbps con limitación de caudal a 100Mbps con el segundo de los
operadores.
• Se dispone adicionalmente de acuerdos para incrementos puntuales
de la demanda, para aumentar el caudal de 10 a 100Mbps.
• Para el acceso a los sistemas alojados en el backend se realizará a
través de redes internas de la Administración General del Estado.
Asimismo se habilitará acceso remoto a estos sistemas a través de
internet mediante el uso VPN securizada.
• Balanceo de aplicaciones en el frontend con DNS primario local con
persistencia de sesiones y diferentes técnicas de balanceo,
aceleración de trafico, en cluster.
4. Arquitectura DMZ
SEGURIDAD
La arquitectura de red dispone de un esquema de protección perimetral con varios
niveles y áreas separado mediante redes virtuales (VLAN). La DMZ Pública (Internet)
se encuentra protegida por varios cortafuegos, uno de ellos del tipo Cortafuegos de
Aplicación, sondas de red (IDS) y dispositivos de control de contenidos y malware.
Seguridad perimetral basada en FW capa 3, IPS, WAF repartido entre front end y
backend con equipamiento de diferentes fabricantes en cluster basadas en tecnología
UTM de última generación:
- Cortafuegos
- Filtrado de Aplicaciones.
- Antivirus y antimalware.
- DLP.
- QoS por usuario, por IP, por servicio, por aplicación.
- Filtrado de contenidos.
- WAF
- IPS
4. Arquitectura DMZ
ADMINISTRACION
Se dispone de un administrador dedicado en exclusiva para la gestión de
toda la seguridad perimetral, y de los incidentes de seguridad de la DMZ
de servicios de páginas web.
Basado en manuales de Administracion, Incidencias, Monitorización y
Arquitectura
El sistema de monitorización y alerta esta soportado en un servicio 6x5 por
personal propio: 3 personas (un ejecutivo que actúa como punto focal, uno
de comunicaciones y uno de sistemas) con teléfono operativo 14x7. Los
sistemas envían traps (SMS/email) cuando ocurren fallos. Además existe
un cuerpo de guardia para los servicios de electricidad, seguridad, etc.
Adicionalmente, se dispone de un contrato con una empresa para
monitorización y administración remota 24x7.
El centro de servicios dispone de Sistemas de Backup y almacenamiento
en cintas, con una política y procedimientos definidos.
4. Arquitectura DMZ
En cuanto a la arquitectura Web utilizada, ésta se basa en MVC.
Patrón MVC
Patrón MCV en aplicaciones web
5. Ejecución del Proyecto
1. Preparación de la infraestructura de
comunicaciones y seguridad
2. Integración de los Sistemas en la nueva
arquitectura
3. Arquitectura final
4. Paso a producción
WAN RedIRIS Internet
WAN RedIRIS WEB
sw
internet
5.1 Prep. Arquitectura
sw
WEB
DMZ SMS
SIRIO
DMZ Citrix
fw
Internet
fw
DMZ Correo
Sw frontera
DMZ VPN
Fw Ministerios
Hosting BT
FW interno
FW Aplicaciones
WAN
Anillo Moncloa/
Rico/Red Sara
LAN
Situación inicial
WAN RedIRIS Internet
WAN RedIRIS WEB
sw
internet
5.1 Prep. Arquitectura
Sw
WEB
DMZ SMS
DMZ Citrix
fw
Internet
fw
DMZ Correo
Sw frontera
DMZ VPN
Fw Ministerios
Hosting BT
FW interno
FW Aplicaciones
WAN
Anillo Moncloa/
Rico/Red Sara
LAN
Eliminación Resto Servicios Web en SIRIO
WAN RedIRIS Internet
WAN RedIRIS WEB
5.1 Prep. Arquitectura
sw
internet
DMZ SMS
DMZ Citrix
fw
Internet
fw
DMZ Correo
Sw frontera
DMZ VPN
Fw Ministerios
Hosting BT
FW interno
FW Aplicaciones
WAN
Anillo Moncloa/
Rico/Red Sara
LAN
Conexión a Hosting sólo para
Gestion de contenidos y accesos web services
WAN RedIRIS Internet
WAN RedIRIS WEB
5.1 Prep. Arquitectura
sw
internet
DMZ SMS
DMZ Citrix
sw
Internet
DMZ Correo
Sw frontera
DMZ VPN
fw
Fw Ministerios
WAN
Anillo Moncloa/
Rico/Red Sara
FW interno
WAF
Hosting BT
LAN
Conexión a Hosting sólo para
Gestion de contenidos y accesos web services
WAN RedIRIS Internet
WAN RedIRIS WEB
5.1 Prep. Arquitectura
WAN1 operador
WAN2 operador
sw
internet
DMZ SMS
DMZ Citrix
fw
Internet
DMZ Correo
Sw frontera
DMZ VPN
fw
Fw Ministerios
WAN
Anillo Moncloa/
Rico/Red Sara
FW interno
waf
Hosting BT
LAN
Nuevos enlaces BT
WAN RedIRIS Internet
WAN RedIRIS WEB
5.1 Prep. Arquitectura
WAN1 operador
WAN2 operador
DMZ PUB Hosting
DMZ SMS
Balanceadores
WAN
DMZ PUB LB Hosting
DMZ Citrix
Seguridad
perimetral
MPR
Seguridad
perimetral
DMZ
DMZ Correo
DMZ PRV Hosting
Sw frontera
DMZ VPN
Seguridad
DMZ
DMZ BackEnd Hosting
Fw Ministerios
WAN
Anillo Moncloa/
Rico/Red Sara
FW interno
LAN
WAFs
Configuración DMZ
Balanceadores
Aplicación
WAN RedIRIS Internet
5.1 Prep. Arquitectura
WAN RedIRIS WEB
Balanceadores WAN:
Características principales:
•Smart Health Monitoring and Failure
Detection
DMZ SMS
•Active-Active or Active-Passive Link
Redundancy
•Real-Time Traffic Redirection
DMZ•Link
Citrix Load-Balancing
Seguridad
•Smart Application Routingperimetral
MPR
WAN1 operador
WAN2 operador
DMZ PUB Hosting
Balanceadores
WAN
DMZ PUB LB Hosting
Seguridad
perimetral
DMZ
DMZ Correo
DMZ PRV Hosting
Sw frontera
DMZ VPN
Seguridad
DMZ
DMZ BackEnd Hosting
Fw Ministerios
WAN
Anillo Moncloa/
Rico/Red Sara
FW interno
LAN
WAFs
Configuración DMZ
Balanceadores
Aplicación
WAN RedIRIS Internet
WAN RedIRIS WEB
5.1 Prep. Arquitectura
WAN1 operador
Balanceadores Aplicación :
Características principales:
Health Monitoring and Failure Detection
DMZ•Smart
SMS
•Stateful Persistency
Balanceadores
WAN
•High Availability with Real-time Failure Bypassing
•Real-time Traffic Redirection
DMZ Citrix
Seguridad
Seguridad
•Accelerates Content Delivery
perimetral
perimetral
•Offloads CPU Intensive Tasks
MPRfrom Servers and
DMZ
Optimizes Use of IT Infrastructure
DMZ Correo
•Maximizes Bandwidth Usage
WAN2 operador
DMZ PUB Hosting
DMZ PUB LB Hosting
DMZ PRV Hosting
Sw frontera
DMZ VPN
Seguridad
DMZ
DMZ BackEnd Hosting
Fw Ministerios
WAN
Anillo Moncloa/
Rico/Red Sara
FW interno
LAN
WAFs
Configuración DMZ
Balanceadores
Aplicación
WAN RedIRIS Internet
Seguridad Perimetral :
Características principales:
DMZ•10
SMSGbps firewall throughput
•5 Gbps threat prevention throughput
•2 Gbps IPSec VPN throughput
IPSec VPN tunnelsSeguridad
and tunnel
DMZ•4,000
Citrix
interfaces
perimetral
MPR
•60,000 new sessions per second
•2,000,000 max sessions
DMZ Correo
•(16) 10/100/1000 + (8) SFP optical
gigabit interfaces
Funcionalidades Avanzadas:
Sw frontera
DMZ•VPN
Prevención de amenazas (IPS).
• Prevención de ataques de DoS.
• Prevención frente a escaneos de red.
• Anomalía de paquetes.
• Antivirus y Anti- Spyware.
• Prevención frente a la fuga de datos
Fw(DLP).
Ministerios
FW interno
• Filtrado de URLs.
WAN
Anillo Moncloa/
Rico/Red Sara
5.1 Prep. Arquitectura
WAN RedIRIS WEB
LAN
WAN1 operador
WAN2 operador
DMZ PUB Hosting
Balanceadores
WAN
DMZ PUB LB Hosting
Seguridad
perimetral
DMZ
DMZ PRV Hosting
Seguridad
DMZ
DMZ BackEnd Hosting
WAFs
Configuración DMZ
Balanceadores
Aplicación
WAN RedIRIS Internet
5.1 Prep. Arquitectura
WAN RedIRIS WEB
WAN1 operador
WAN2 operador
DMZ PUB Hosting
DMZ SMS
Balanceadores
WAN
DMZ PUB LB Hosting
DMZ Citrix
Seguridad
perimetral
MPR
Seguridad Perimetral :
Características principales:
DMZ Correo•16 Gbps firewall throughput
•2 Gbps IPS throughput
•12 Gbps IPSec
VPN throughput
Sw frontera
DMZ VPN •1,000,000 max sessions
•(2) 10/100/1000 + (16) SFP
optical gigabit interfaces
Funcionalidades Avanzadas:
• Prevención de amenazas (IPS).
• Prevención de ataques de DoS.
•Antivirus y AntiFw Ministerios
FW Spyware.
interno
• Filtrado de URLs.
WAN
Anillo Moncloa/
Rico/Red Sara
LAN
Seguridad
perimetral
DMZ
DMZ PRV Hosting
Seguridad
DMZ
DMZ BackEnd Hosting
WAFs
Configuración DMZ
Balanceadores
Aplicación
WAN RedIRIS Internet
5.1 Prep. Arquitectura
WAN RedIRIS WEB
WAN1 operador
WAN2 operador
DMZ PUB Hosting
DMZ SMS
Balanceadores
WAN
DMZ PUB LB Hosting
DMZ Citrix
Seguridad
perimetral
MPR
Seguridad
perimetral
DMZ
DMZ Correo
DMZ PRV Hosting
Sw frontera
DMZ VPN
Web Application Firewalls :
Características principales:
•100 Mbps HTTP throughput
•10.000 Max. Transactions per
second
Fw Ministerios
FW interno
•(4) 10/100/1000
•500 GB Hard drive
WAN •Inline reverse proxy,
Anillo Moncloa/
Transparent or Offline protection
Rico/Red Sara
LAN
Seguridad
DMZ
DMZ BackEnd Hosting
WAFs
Configuración DMZ
Balanceadores
Aplicación
WAN RedIRIS Internet
5.1 Prep. Arquitectura
WAN RedIRIS WEB
WAN1 operador
WAN2 operador
DMZ PUB Hosting
Balanceadores
Aplicación
DMZ SMS
Balanceadores
WAN
DMZ PUB LB Hosting
DMZ Citrix
Seguridad
perimetral
MPR
Seguridad
perimetral
DMZ
DMZ Correo
DMZ PRV Hosting
Sw frontera
DMZ VPN
Seguridad
DMZ
DMZ BackEnd Hosting
Fw Ministerios
WAN
Anillo Moncloa/
Rico/Red Sara
FW interno
LAN
WAFs
Conexión Servidores BE-FE
5.2 Integración Sistemas
• Evolución de los Sistemas
– Inicialmente (Oct-Dic 2010) :
• Se instalan los servidores desde plataforma de backup BT en zona temporal
con direccionamiento final para favorecer la migración a la DMZ
• Duplicación de componentes, y distribución en 2 CPDs
– Modificaciones:
•
•
•
•
•
Ampliación de servicios de cluster para almacenamiento de logs y videos
No duplicación del cluster
Traslado del frontal de indexación al Back-End
Virtualización de la plataforma
Redundancia de datos de cabina
5.2 Integr. Sistemas
Entorno final (INIA+Pvoz)
5.3 Paso a Producción
Objetivo: Paso a producción sin pérdida de servicio
- Tareas previas:
- Creación usuarios gestión de contenidos nuevo dominio (Sistemas)
- Se envían dos discos a BT para tener disponibles dos copias de seguridad de
BD, viernes 1h y sábado 1h
- viernes, 6 de mayo, tareas previas para reducir el tiempo de paso a producción
- Reducción al máximo posible el TTL del DNS
- Recuperación y configuración de BDs viernes 1h
- Configuración de privilegios de gestión de contenidos nuevo dominio en
DMZ
- Validación de credenciales y privilegios para todos los sitios web
- 7 de mayo, 15 horas, inicio del paso a producción (ventana: 15 a 19 horas)
- Se comprueban los contenidos actualizados desde la 1h del viernes 6
- Se exportan de BT los últimos contenidos actualizados
- Se importan en MPR los contenidos exportados
- Se actualizan las aplicaciones Word A Web en la SEC (Panaderos y Referencia)
- A las 15:45 se hace van haciendo públicas las distintas webs, finalizando con La
Moncloa a las 17:45, momento en que se da por finalizado el paso a
producción
- No fue necesario utilizar la segunda copia de seguridad del sábado 7 a la 1h
5.3 Paso a Producción
LISTA FINAL DE WEBS EN DMZ MONCLOA:
-La Moncloa, www.lamoncloa.gob.es
-Memoria Histórica, wwrw.memoriahistorica.gob.es
-Tvinfancia, www.tvinfancia.es
-Plan Nacional de la Alianza de Civilizaciones, www.pnac.es
-9 Oficinas de Prensa, Argentina, Brasil, EEUU, Francia, Japón, Méjico, Reino Unido,
Polonia y Rusia
-Servicios MPR: Actividad Parlamentaria y Legislativa, Publicaciones, Acreditaciones y
Agenda de la Comunicación
-Presidencia Española de la Unión Europea, www.eu2010.es
-Eutrio, www.eutrio.es
-Cumbre Iberoamericana, www.cumbre-iberoamericana.org
-EuroMed Barcelona, www.euromedbarcelona.es
-España Solar, www.espanasolar.es
6. Fases Posteriores
• Fase 2
– Despliegue servidores con arquitectura de mpr.es y
Sede electrónica desde la sede en MdM
(Linux+Apache+tomcat+Magnolia+MySQL) en DMZ
– Traslado web mpr.es
– Traslado sede electrónica
WAN A
Arquitectura
escalable
WAN B
Sw Internet
Balanceadores WAN
DMZ PUB Hosting
App LB PUB
DMZ PUB WEB
DMZ SMS
DMZ PUB LB Hosting
DMZ PUB LB WEB
DMZ Citrix
Seguridad
perimetral
DMZ Correo
DMZ PRV Hosting
DMZ PRV WEB
DMZ VPN
sw
frontera
Seguridad
DMZ
DMZ BackEnd Hosting
Fw Ministerios
WAFs
FW interno
DMZ BackEnd WEB
WAN
Anillo Moncloa/
Rico/Red Sara
LAN
6. Fases Posteriores
• Fase 3
– Integración de las DMZ de servicios perimetrales en la nueva
DMZ
•
•
•
•
•
–
–
–
–
–
Correo
Videoconferencia
Navegación web
VPN
Citrix
Redundancia líneas Rediris
Ampliación ancho banda operador 2
Auditoría Global. Hacking ético.
Nuevas Webs (proyecto similar a Fase 2)
Posibilidad de servicio tipo Cloud
WAN RedIRIS Internet
WAN RedIRIS WEB
WAN op1
Migración
progresiva
sin impacto
WAN op2
DMZ PUB Hosting
DMZ SMS
Seguridad
perimetral
MPR
Balanceadores
WAN
DMZ PUB LB Hosting
DMZ Citrix
Seguridad
perimetral
DMZ
DMZ Correo
DMZ PRV Hosting
Sw frontera
DMZ VPN
Seguridad
DMZ
DMZ BackEnd Hosting
Fw Ministerios
WAN
Anillo Moncloa/
Rico/Red Sara
FW interno
LAN
WAFs
Balanceadores
Aplicación
WAN RedIRIS Internet
WAN RedIRIS WEB
WAN op1
Migración
progresiva
sin impacto
WAN op2
DMZ PUB Hosting
DMZ SMS
Seguridad
perimetral
MPR
Balanceadores
WAN
DMZ PUB LB Hosting
DMZ Citrix
Seguridad
perimetral
DMZ
DMZ Correo
DMZ PRV Hosting
Sw frontera
DMZ VPN
Seguridad
DMZ
DMZ BackEnd Hosting
Fw Ministerios
WAN
Anillo Moncloa/
Rico/Red Sara
FW interno
LAN
WAFs
Balanceadores
Aplicación
WAN RedIRIS Internet
WAN RedIRIS WEB
WAN op1
Migración
progresiva
sin impacto
WAN op2
DMZ PUB Hosting
DMZ SMS
Seguridad
perimetral
MPR
Balanceadores
WAN
DMZ PUB LB Hosting
DMZ Citrix
Seguridad
perimetral
DMZ
DMZ Correo
DMZ PRV Hosting
Sw frontera
DMZ VPN
Seguridad
DMZ
DMZ BackEnd Hosting
Fw Ministerios
WAN
Anillo Moncloa/
Rico/Red Sara
FW interno
LAN
WAFs
Balanceadores
Aplicación
WAN RedIRIS Internet
WAN RedIRIS WEB
WAN BT1
WAN BT2
DMZ PUB Hosting
DMZ SMS
Balanceadores
WAN
DMZ PUB LB Hosting
DMZ Citrix
Seguridad
perimetral
DMZ
DMZ Correo
DMZ PRV Hosting
Sw frontera
DMZ VPN
Seguridad
DMZ
DMZ BackEnd Hosting
Fw Ministerios
WAN
Anillo Moncloa/
Rico/Red Sara
FW interno
LAN
WAFs
Balanceadores
Aplicación
Servicio Cloud
Internet
Red Iris
CPDs Redundados
Acceso internet Balanceado con doble
proveedor
Fw
perimetral
DMZ legacy
Futuro
Fw
perimetral
ANILLO MONCLOA
OO.AA
S
E
G
U
R
I
D
A
D
C
O
M
U
N
I
C
A
C
I
O
N
E
S
Nueva DMZ
❶
❷
DMZ
moncloa.es
y asociadas
DMZ
mpr.es y
asociadas
A
L M A
C
E
N A M
I
E
N
T
DMZ OO.AA:
O
Fw
perimetral
RED SARA
RED RICO
ESCENARIO 4
BT
Servidores Nedaes CIS
INTRANET MPR
SS.OO y Soft de
los OO.AA.
Servidores y
almacenamiento
Independiente de
Ministerio
7. Datos Proyecto
PROYECTO
SERVICIO 1er AÑO
• Servicio 24x7
• Adquisiciones
–
–
–
–
Equipos comunicaciones: 87.000 €
Equipos seguridad
215.000 €
Equipos Sistemas+Alm
150.000 €
Licencias
50.000 €
– SNOC + Admon insitu: 15.600 €/mes
• Comunicacines
– Rediris:
– Operador 2
0€
5.800 €/mes
• Consultoría y Despliegue (Fase1)
– Tiempo:
– Personas externas
•
•
•
7 meses
1 Jefe Proyecto (30%)
1 Consultor (70%)
1 Técnico de Sistemas/comms (100%)
– Personas internas (Ministerio)
•
•
•
•
1 Director Proyecto
2 Tecnicos Comms/Seg . al 60%
2 Tecnicos Sistemas. al 50%
1 Analista Prog. Web al 50%
– Coste
SERVICIO 2do AÑO
• Servicio 24x7
– SNOC + Admon insitu: 16.600 €/mes
• Mtmtos HW
•
– Comms+Seg
– Sistemas
Operador 2
71.000 €
IVA INCL
60.000 €/año
20.000 €/año
7.800 €/mes
GRACIAS.
Julián Hernández Vigliano
Jefe del Departamento de Tecnologías
Subdirección General de Tecnologías y Servicios de Información
Ministerio de la Presidencia
Complejo de la Moncloa - Edificio INIA – Desp. 001
Avda. de Puerta de Hierro s/n - 28071 Madrid
Tel: 913353214 / 630711030 - Fax: 913353387
[email protected]

similar documents