750 likes | 1.01k Views
PROYECTO IMPLANTACIÓN DE UNA NUEVA DMZ Enero 2012. Julián Hernández Vigliano Cuerpo Superior de Sistemas y Tecnologías de la Información de la Admon del Estado. Jefe de Departamento de Tecnologías SDG Tecnologías y Servicios de Información Ministerio de la Presidencia. INDICE.
E N D
PROYECTO IMPLANTACIÓNDE UNA NUEVA DMZEnero 2012 Julián Hernández Vigliano Cuerpo Superior de Sistemas y Tecnologías de la Información de la Admon del Estado. Jefe de Departamento de Tecnologías SDG Tecnologías y Servicios de Información Ministerio de la Presidencia
INDICE • Ministerio de la Presidencia • Descripción • SGTSI • Marco tecnológico • Antecedentes del Proyecto • Plan de proyecto Global DMZ Moncloa (Fases 1, 2, 3) • Arquitectura DMZ • Ejecución del proyecto. Fase 1 • Fases posteriores • Datos del proyecto
1. Ministerio de la Presidencia Real Decreto 199/2012, de 23 de enero Corresponden al Ministerio de la Presidencia (extracto): • la coordinación de los asuntos de relevancia constitucional; • la preparación, desarrollo y seguimiento del programa legislativo; • el apoyo inmediato a la Presidencia del Gobierno; • la asistencia al Consejo de Ministros, a las Comisiones Delegadas del Gobierno, a la Comisión General de Secretarios de Estado y Subsecretarios y, en particular, al Gobierno en sus relaciones con las Cortes Generales; • la coordinación interministerial que le encomienden las disposiciones vigentes, el Gobierno o su presidente; • La coordinación de la política informativa del Gobierno,; • la coordinación de los servicios informativos de la Administración General del Estado en España y en el extranjero, así como las relaciones con los medios informativos; • las funciones de apoyo al Presidente del Gobierno y los órganos dependientes de la Presidencia del Gobierno; • las relaciones con las Delegaciones del Gobierno en las Comunidades Autónomas.
1. Ministerio de la Presidencia Organigrama del Ministerio de la Presidencia: • Secretaría de Estado de Relaciones con las Cortes. • Secretaría de Estado de Comunicación. • Subsecretaría de la Presidencia. • Secretaría General Técnica-Secretariado del Gobierno. • Dirección General de Relación con las Delegaciones del Gobierno en las Comunidades Autónomas • Gabinete Técnico • Oficialía Mayor • Subdirección General de Recursos Humanos • Subdirección General de Gestión Económica • Oficina Presupuestaria • Subdirección General de Tecnologías y Servicios de Información • Están adscritos al Ministerio de la Presidencia los organismos públicos siguientes: • Centro Nacional de Inteligencia. • Agencia Estatal Boletín Oficial del Estado. • Centro de Estudios Políticos y Constitucionales. • Centro de Investigaciones Sociológicas.
1. Ministerio de la Presidencia Subdirección General de Tecnologías y Servicios de Información • ejerce las funciones de: • elaboración, desarrollo y ejecución de los planes estratégicos y operativos en materia de sistemas de información; • colaboración, asesoramiento y asistencia técnica en materia de tecnologías de la información y comunicación; • dirección, diseño, desarrollo, implantación y explotación de los sistemas de información garantizando su interoperabilidad, seguridad y calidad, así como la provisión y gestión del equipamiento y de los recursos informáticos necesarios para su ejecución.
1. Ministerio de la Presidencia Arquitectura
1. Ministerio de la Presidencia Arquitectura Conexiones WAN • El Ministerio conecta con las siguientes redes externas: • Red Sara: red interadministrativa (MPTAP) con servicios comunes (portal Funciona, @firma, conexión a UE, CCAA, CCLL, etc) • Red RICO: red de fibra de Correos Telecom que conecta al Ministerio con el resto de la AGE, Cortes y OOAA del MPR con enlaces redundados de 1Gbps. • Internet: a través de enlaces de la red RICO (con servicio de Rediris) y operador de telecomunicaciones con un caudal medio de 20Mbps • Anillo Moncloa: para conectar con el resto de unidades del Complejo (Presidencia de Gobierno, DISSC, Seguridad) • Redes móviles: para el envío de SMS por redes alternativas . • Otros accesos internet (ADSL, 3G, Fibra) • Redes VC (RDSI, IP. Protocolos H323, SIP)
1. Ministerio de la Presidencia Arquitectura • Comunicaciones: • La red interna del Ministerio está basada principalmente en tecnología Cisco (aprox. 80 conmutadores, 15 enrutadores que da servicio a usuarios y red de servidores con un total de aprox. 700 puertos de 1Gbps). • Los servidores están conectados a 1Gpbs, y la práctica totalidad de los usuarios está a 100Mbps. • Tráfico: • LAN: media de 2,5 TBytes al día • Internet: media de 80 GBytes al día • Red RICO: media de 15GB al día • Red Sara: media de de 6 GBytes al día. • Accesos remotos: • Oficina Internacional de Prensa (María de Molina 50, con 4 usuarios del Ministerio y picos de hasta 100 periodistas) • Consejerías de Información (22 sedes) • Teletrabajo
42 x 1 Giga, con Ministerios y Organismos Enlace f.o. con BOE 2 x 1Gbps Acceso a Internet/Iris SGSI Sede 1 CPD Ppal Ministerio de la Presidencia Sede 2 Vicepresidencia 1 x 1Gbps Acceso a Internet/Iris Sede 21 CPD de Respaldo Red IRIS Internet 1. Ministerio de la Presidencia Red RICO Arquitectura • Conexión RED RICO con el resto de Ministerios, OOAA y Rediris (internet) en Madrid • Red fibra desplegada por Correos Telecom por canales de CYII y Ayto Madrid • Enlaces Gigabit ethernet redundados con cada uno • Capacidad multimedia, voip, alto volumen de datos • Nivel de servicio comprometido para averías: 24x7 con respuesta en 4 horas. • Doble enlace Gbps por cada Ministerio u Organismo para entregar el tráfico en el Complejo de Moncloa (2 CPD’s)
1. Ministerio de la Presidencia Red RICO Arquitectura
1. Ministerio de la Presidencia Red RICO Arquitectura
1. Ministerio de la Presidencia Arquitectura Sistemas: • 100 servidores físicos, • con aprox. 200 servidores virtuales • capacidad total de proceso: de 2,5 billones de instrucciones por segundo (TIPS) • capacidad total de almacenamiento de 200 TBytes sobre cabinas SAN redundadas entre ambos CPD’s para ofrecer alta disponibilidad de datos. • Backup: librerías para las copias de seguridad de la información. • Tecnología Microsoft, VMware y LAMP
1. Ministerio de la Presidencia Arquitectura CPD PPAL Pasamos de esto:
1. Ministerio de la Presidencia Arquitectura CPD PPAL Pasamos de esto:
1. Ministerio de la Presidencia Arquitectura CPD PPAL Pasamos de esto:
1. Ministerio de la Presidencia Arquitectura CPD PPAL Pasamos de esto:
1. Ministerio de la Presidencia Arquitectura CPD PPAL Pasamos de esto:
1. Ministerio de la Presidencia Arquitectura CPD PPAL A esto:
1. Ministerio de la Presidencia Arquitectura CPD PPAL A esto:
1. Ministerio de la Presidencia Arquitectura CPD PPAL A esto:
1. Ministerio de la Presidencia Arquitectura CPD PPAL A esto:
1. Ministerio de la Presidencia Arquitectura CPD PPAL A esto:
1. Ministerio de la Presidencia Arquitectura • CPD Ppal • cuenta con una superficie de 110 m2, suelo técnico, seguridad de acceso, cableado en Cat. 6A y Fibra óptica, aislamiento electromagnético, alimentación ininterrumpida de un total de 400 KVA’s en 2 SAI’s independientes alimentando en doble fase a 44 armarios de sistemas y almacenamiento y 11 armarios de comunicaciones. La sala cuenta con 5 equipos de aire acondicionado que proporcionan cerca de 200 kilofrigorías/hora (218KW nominales) . • CPD Secundario • tiene 20m2, suelo técnico, seguridad de acceso, alimentación desde 2 SAI’s independientes de 40KVA que alimentan 6 armarios de sistemas y almacenamiento, y 4 armarios de comunicaciones. La sala cuenta con varios equipos de aire acondicionado que proporcionan algo más de 20 kilofrigorías/hora.
2. Antecedentes del Proyecto • Hosting BT: 2005-2010: • www.la-moncloa.es y otras • Conexionado PaP con MPR para actualizaciones de contenidos (SEC) • Octubre 2010: refuerzo arquitectura en hosting • Plan de acción de estabilización de la plataforma (segundo semestre 2010) • Sin embargo -> Graves problemas de mantenimiento, disponibilidad, monitorización, servicio. • Fusión con MAP abortada. Oct 2010 • Necesidad de recuperar la web mpr.es y sede electrónica que en el proceso de fusión se había determinado instalar en la DMZ de MdM. • DMZ de MPR diseñada para otros servicios perimetrales, no preparada para dar servicio páginas web. • Decisión: Traer las webs a los CPD’s de MPR en Moncloa desplegando una nueva infraestructura para alojarlas y unificar servicios perimetrales del Ministerio.
2. Antecedentes del Proyecto • TECNOLOGÍA DESARROLLO WEB EN HOSTING • - Microsoft Windows Server 2003 • - IIS 6.0 • MCMS 2002 SP2a, • SQL 2000 • Visual Studio 2005, C# • Framework 2.0 • Servicios Windows Media • Gestión de contenidos web + Aplicaciones Word A Web + web services • Acceso a servicios en el Ministerio a través de Web Services
Internet Customer HQ DHS01234-ESMR2 DHS01235-ESMR2 SQL 01 SQL 02 Win2k Win2k Hosting: Webs del Ministerio de la Presidencia DHS01233-ESMR2Index&Search DHS0123A-ESMR3 Windows Media Server DHS01231-ESMR2 WWW 01 DHS01232-ESMR2 WWW 02 DHS0123F-ESMR2 WWW 03 Win2k3 Win2k3 Win2k3 Win2k3 Win2k3 Firewall Administración I ATM 4M Point to Point Administración II FR 2M Point to Point DHS01236-ESMR2 DHS0123B-ESMR3 Win2k3 DHS01238-ESMR2 Secundario AD, DC, DNS Cluster VIP Cluster SQL Win2k Content Management AD, DC, DNS SERVER REPORTS Remote update for content via back-end connectivity san SQL server Content mgmt Agosto 2010
3. Plan de Proyecto Global • Fase 1: despliegue nueva DMZ en Moncloa y traslado webs desde el Hosting BT • 1er Semestre 2011 • Fase 2: traslado de la web mpr.es y sede electrónica desde CPD MPTAP a nueva DMZ • 2do Semestre 2011 • Fase 3: unificación servicios periféricos en nueva DMZ • Año 2012
3. Plan de Proyecto Global FASE 1 Contratación Despliegue y Monitorización2010 Doc. Análisis Análisis. Requisitos Propuesta Proyecto y Adquisiciones • Arquitectura • Checklist Paso a Producción • Plan de Pruebas • Procedimientos Admon, Incidencias, • Monitorización Consultoría externa Adquisiciones DESPLIEGUE DMZ Pruebas Paso a Producción Instalación Servidores en zona temporal. Pruebas Estabilización Completado Monitorización Traslado equipos plataforma Backupen BT a MPR Traslado resto equipos BT a MPR ABR OCT NOV-DIC ENE FEB-MAR MAY JUN-JUL 2010 2011
4. Arquitectura DMZ • Mantener filosofía de servicio de la arquitectura web en Hosting • Migración sin contratiempos (sin cambios en la arquitectura) • Sin embargo, se aceptaron varios cambios al principio del proyecto para mejorar la arquitectura de manera controlada. • No usar CPD VP sino PVZ (previo acondicionamiento) • Virtualización • Incorporar lecciones aprendidas en DMZ MdM • Contratación de Integrador • Reducir al máximo el tiempo de servicio Hosting en 2011 • Máximas prioridades en nueva DMZ: • Disponibilidad • Seguridad • Gestión 24x7 REAL
4. Arquitectura DMZ • Instalar en alta disponibilidad INIA – PVZ • Aprovechar equipamiento en MPR • Nuevo operador de Internet para complementar a Rediris (doble operador) • Arquitectura frontend – backend escalable y dimensionada para alojar, progresivamente, las diferentes fases: • Webs La-moncloa, etc. • Webs Mpr – Sede • Servicios Perimetrales
CPD PPAL CPD BKUP P E R I M E T R A L DMZ sms, otros DMZ sms, otros R E D Accesos Redes WAN (IA, RICO, ANILLO) Accesos Redes WAN (IA, RICO, ANILLO) DMZ OWA, proxy DMZ OWA, proxy DMZ WEB, hosting DMZ WEB, hosting DMZ VPN DMZ VPN I N T E R N A R E D RED MINISTERIO campus
CPD PPAL CPD BKUP P E R I M E T R A L DMZ sms, otros DMZ sms, otros R E D Accesos Redes WAN (IA, RICO, ANILLO) Accesos Redes WAN (IA, RICO, ANILLO) DMZ OWA, proxy DMZ OWA, proxy DMZ WEB, hosting DMZ WEB, hosting DMZ VPN DMZ VPN NUEVA DMZ NUEVA DMZ I N T E R N A R E D RED MINISTERIO campus
4. Arquitectura DMZ • Arquitectura 2 tier (frontend - backend) repartida entre dos CPD's utilizando extensión de vlans para alta disponibilidad: • - Front end con los servicios accesibles desde el exterior. • - Backend con los repositorios de información • Doble operador de internet con doble acometida (uno por CPD). • Balanceado ISP's en capas 3-4 y 7 y aplicación de NAT para direccionamiento público y protección ante ataques DoS/DDoS • Seguridad perimetral basada en FW capa 3, IPS, WAF repartidos entre frontend y backend con equipamiento de diferentes fabricantes en cluster. • Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de tráfico. • Switchinggigaethernet con direccionamiento privado en todas las capas. • Red de gestión no enrutada conectada a todos los equipos de la arquitectura con monitorización SIEM remota/in site.
4. Arquitectura DMZ Requisitos de Servicio • Control total de MPR en infraestructuras y servicios • Servicio de alertas permanente -> objetivo: pro-actividad (chequeo cada 10s) • Control de la plataforma 24x7 –> se reducen los tiempos de respuesta ante incidencias • Instalación de un sistema de recogida de logs, correlación y revisión desde SOC-NOC remoto 24x7 • Administrador dedicado DMZ
4. Arquitectura DMZ • Arquitectura 2 tier (frontend - backend) repartida entre dos CPD's utilizando extensión de vlans para alta disponibilidad : • Front end con los servicios accesibles desde el exterior. • Backend con los repositorios de información • Doble operador de internet con doble acometida (uno por CPD). • Balanceado ISP's en capas 3-4 y 7 y aplicación de NAT para direccionamiento público y protección ante ataques DoS/DDoS • Seguridad perimetral basada en FW capa 3, IPS, WAF repartidos entre frontend y backend con equipamiento de diferentes fabricantes en cluster. • Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de tráfico. • Switchinggigaethernet con direccionamiento privado en todas las capas. Enlaces troncales entre CPD’s a 10GB • Red de gestión no enrutada conectada a todos los equipos de la arquitectura con monitorización SIEM remota/in site.
4. Arquitectura DMZ + 2 + 1 SQL 2000
4. Arquitectura DMZ • Comunicaciones • El acceso a Internet dispone de enlaces redundante con doble operador/proveedor, que consisten en 4 enlaces, 2 de 1Gbps con limitación de caudal a 60Mbps en uno de los casos, y otros 2 enlaces de 10Mbps con limitación de caudal a 100Mbps con el segundo de los operadores. • Se dispone adicionalmente de acuerdos para incrementos puntuales de la demanda, para aumentar el caudal de 10 a 100Mbps. • Para el acceso a los sistemas alojados en el backend se realizará a través de redes internas de la Administración General del Estado. Asimismo se habilitará acceso remoto a estos sistemas a través de internet mediante el uso VPN securizada. • Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de trafico, en cluster.
4. Arquitectura DMZ • Seguridad • La arquitectura de red dispone de un esquema de protección perimetral con varios niveles y áreas separado mediante redes virtuales (VLAN). La DMZ Pública (Internet) se encuentra protegida por varios cortafuegos, uno de ellos del tipo Cortafuegos de Aplicación, sondas de red (IDS) y dispositivos de control de contenidos y malware. • Seguridad perimetral basada en FW capa 3, IPS, WAF repartido entre frontend y backend con equipamiento de diferentes fabricantes en cluster basadas en tecnología UTM de última generación: • - Cortafuegos • - Filtrado de Aplicaciones. • - Antivirus y antimalware. • - DLP. • - QoS por usuario, por IP, por servicio, por aplicación. • - Filtrado de contenidos. • - WAF • - IPS
4. Arquitectura DMZ ADMINISTRACION Se dispone de un administrador dedicado en exclusiva para la gestión de toda la seguridad perimetral, y de los incidentes de seguridad de la DMZ de servicios de páginas web. Basado en manuales de Administracion, Incidencias, Monitorización y Arquitectura El sistema de monitorización y alerta esta soportado en un servicio 6x5 por personal propio: 3 personas (un ejecutivo que actúa como punto focal, uno de comunicaciones y uno de sistemas) con teléfono operativo 14x7. Los sistemas envían traps (SMS/email) cuando ocurren fallos. Además existe un cuerpo de guardia para los servicios de electricidad, seguridad, etc. Adicionalmente, se dispone de un contrato con una empresa para monitorización y administración remota 24x7. El centro de servicios dispone de Sistemas de Backup y almacenamiento en cintas, con una política y procedimientos definidos.
4. Arquitectura DMZ En cuanto a la arquitectura Web utilizada, ésta se basa en MVC. Patrón MVC Patrón MCV en aplicaciones web
5. Ejecución del Proyecto • Preparación de la infraestructura de comunicaciones y seguridad 2. Integración de los Sistemas en la nueva arquitectura 3. Arquitectura final 4. Paso a producción
5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB sw internet sw WEB DMZ SMS SIRIO DMZ Citrix fw Internet fw DMZ Correo Sw frontera DMZ VPN Hosting BT Fw Ministerios FW interno FW Aplicaciones WANAnillo Moncloa/Rico/Red Sara LAN Situación inicial
5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB sw internet Sw WEB DMZ SMS DMZ Citrix fw Internet fw DMZ Correo Sw frontera DMZ VPN Hosting BT Fw Ministerios FW interno FW Aplicaciones WANAnillo Moncloa/Rico/Red Sara LAN Eliminación Resto Servicios Web en SIRIO
5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB sw internet DMZ SMS DMZ Citrix fw Internet fw DMZ Correo Sw frontera DMZ VPN Hosting BT Fw Ministerios FW interno FW Aplicaciones WANAnillo Moncloa/Rico/Red Sara LAN Conexión a Hosting sólo para Gestion de contenidos y accesos web services
5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB sw internet DMZ SMS DMZ Citrix sw Internet DMZ Correo Sw frontera DMZ VPN fw Fw Ministerios FW interno WAF WANAnillo Moncloa/Rico/Red Sara Hosting BT LAN Conexión a Hosting sólo para Gestion de contenidos y accesos web services
5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador sw internet DMZ SMS DMZ Citrix fw Internet DMZ Correo Sw frontera DMZ VPN fw Fw Ministerios FW interno waf WANAnillo Moncloa/Rico/Red Sara Hosting BT LAN Nuevos enlaces BT
5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador BalanceadoresAplicación DMZ PUB Hosting DMZ SMS BalanceadoresWAN DMZ PUB LB Hosting DMZ Citrix Seguridadperimetral MPR Seguridadperimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN SeguridadDMZ DMZ BackEnd Hosting Fw Ministerios FW interno WANAnillo Moncloa/Rico/Red Sara WAFs LAN Configuración DMZ
5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador • Balanceadores WAN:Características principales: • Smart Health Monitoring and Failure Detection • Active-Active or Active-Passive Link Redundancy • Real-Time TrafficRedirection • Link Load-Balancing • Smart ApplicationRouting BalanceadoresAplicación DMZ PUB Hosting DMZ SMS BalanceadoresWAN DMZ PUB LB Hosting DMZ Citrix Seguridadperimetral MPR Seguridadperimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN SeguridadDMZ DMZ BackEnd Hosting Fw Ministerios FW interno WANAnillo Moncloa/Rico/Red Sara WAFs LAN Configuración DMZ
5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador • Balanceadores Aplicación :Características principales: • Smart Health Monitoring and Failure Detection • StatefulPersistency • High Availability with Real-time Failure Bypassing • Real-time TrafficRedirection • Accelerates Content Delivery • Offloads CPU Intensive Tasks from Servers and Optimizes Use of IT Infrastructure • MaximizesBandwidthUsage BalanceadoresAplicación DMZ PUB Hosting DMZ SMS BalanceadoresWAN DMZ PUB LB Hosting DMZ Citrix Seguridadperimetral MPR Seguridadperimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN SeguridadDMZ DMZ BackEnd Hosting Fw Ministerios FW interno WANAnillo Moncloa/Rico/Red Sara WAFs LAN Configuración DMZ