La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

PROYECTO IMPLANTACIÓN DE UNA NUEVA DMZ Enero 2012 Julián Hernández Vigliano Cuerpo Superior de Sistemas y Tecnologías de la Información de la Admon del.

Presentaciones similares


Presentación del tema: "PROYECTO IMPLANTACIÓN DE UNA NUEVA DMZ Enero 2012 Julián Hernández Vigliano Cuerpo Superior de Sistemas y Tecnologías de la Información de la Admon del."— Transcripción de la presentación:

1 PROYECTO IMPLANTACIÓN DE UNA NUEVA DMZ Enero 2012 Julián Hernández Vigliano Cuerpo Superior de Sistemas y Tecnologías de la Información de la Admon del Estado. Jefe de Departamento de Tecnologías SDG Tecnologías y Servicios de Información Ministerio de la Presidencia

2 INDICE 1.Ministerio de la Presidencia 1.Descripción 2.SGTSI 3.Marco tecnológico 2.Antecedentes del Proyecto 3.Plan de proyecto Global DMZ Moncloa (Fases 1, 2, 3) 4.Arquitectura DMZ 5.Ejecución del proyecto. Fase 1 6.Fases posteriores 7.Datos del proyecto

3 1. Ministerio de la Presidencia Real Decreto 199/2012, de 23 de enero Corresponden al Ministerio de la Presidencia (extracto): –la coordinación de los asuntos de relevancia constitucional; –la preparación, desarrollo y seguimiento del programa legislativo; –el apoyo inmediato a la Presidencia del Gobierno; –la asistencia al Consejo de Ministros, a las Comisiones Delegadas del Gobierno, a la Comisión General de Secretarios de Estado y Subsecretarios y, en particular, al Gobierno en sus relaciones con las Cortes Generales; –la coordinación interministerial que le encomienden las disposiciones vigentes, el Gobierno o su presidente; –La coordinación de la política informativa del Gobierno,; –la coordinación de los servicios informativos de la Administración General del Estado en España y en el extranjero, así como las relaciones con los medios informativos; –las funciones de apoyo al Presidente del Gobierno y los órganos dependientes de la Presidencia del Gobierno; –las relaciones con las Delegaciones del Gobierno en las Comunidades Autónomas.

4 1. Ministerio de la Presidencia Organigrama del Ministerio de la Presidencia: –Secretaría de Estado de Relaciones con las Cortes. –Secretaría de Estado de Comunicación. –Subsecretaría de la Presidencia. Secretaría General Técnica-Secretariado del Gobierno. Dirección General de Relación con las Delegaciones del Gobierno en las Comunidades Autónomas Gabinete Técnico Oficialía Mayor Subdirección General de Recursos Humanos Subdirección General de Gestión Económica Oficina Presupuestaria Subdirección General de Tecnologías y Servicios de Información Están adscritos al Ministerio de la Presidencia los organismos públicos siguientes : –Centro Nacional de Inteligencia. –Agencia Estatal Boletín Oficial del Estado. –Centro de Estudios Políticos y Constitucionales. –Centro de Investigaciones Sociológicas.

5 1. Ministerio de la Presidencia Subdirección General de Tecnologías y Servicios de Información ejerce las funciones de: –elaboración, desarrollo y ejecución de los planes estratégicos y operativos en materia de sistemas de información; –colaboración, asesoramiento y asistencia técnica en materia de tecnologías de la información y comunicación; –dirección, diseño, desarrollo, implantación y explotación de los sistemas de información garantizando su interoperabilidad, seguridad y calidad, así como la provisión y gestión del equipamiento y de los recursos informáticos necesarios para su ejecución.

6 1. Ministerio de la Presidencia Arquitectura

7 1. Ministerio de la Presidencia Conexiones WAN El Ministerio conecta con las siguientes redes externas: –Red Sara: red interadministrativa (MPTAP) con servicios comunes (portal conexión a UE, CCAA, CCLL, etc) –Red RICO: red de fibra de Correos Telecom que conecta al Ministerio con el resto de la AGE, Cortes y OOAA del MPR con enlaces redundados de 1Gbps. –Internet: a través de enlaces de la red RICO (con servicio de Rediris) y operador de telecomunicaciones con un caudal medio de 20Mbps –Anillo Moncloa: para conectar con el resto de unidades del Complejo (Presidencia de Gobierno, DISSC, Seguridad) –Redes móviles: para el envío de SMS por redes alternativas. –Otros accesos internet (ADSL, 3G, Fibra) –Redes VC (RDSI, IP. Protocolos H323, SIP) Arquitectura

8 1. Ministerio de la Presidencia Comunicaciones: -La red interna del Ministerio está basada principalmente en tecnología Cisco (aprox. 80 conmutadores, 15 enrutadores que da servicio a usuarios y red de servidores con un total de aprox. 700 puertos de 1Gbps). -Los servidores están conectados a 1Gpbs, y la práctica totalidad de los usuarios está a 100Mbps. -Tráfico: -LAN: media de 2,5 TBytes al día -Internet: media de 80 GBytes al día -Red RICO: media de 15GB al día -Red Sara: media de de 6 GBytes al día. -Accesos remotos: -Oficina Internacional de Prensa (María de Molina 50, con 4 usuarios del Ministerio y picos de hasta 100 periodistas) -Consejerías de Información (22 sedes) -Teletrabajo Arquitectura

9 1. Ministerio de la Presidencia Vicepresidencia SGSI 1 x 1Gbps Acceso a Internet/Iris 42 x 1 Giga, con Ministerios y Organismos Enlace f.o. con BOE 2 x 1Gbps Acceso a Internet/Iris Ministerio de la Presidencia Red RICO Sede 1 Sede 2 Red IRIS Internet Sede 21 CPD Ppal CPD de Respaldo Conexión RED RICO con el resto de Ministerios, OOAA y Rediris (internet) en Madrid Red fibra desplegada por Correos Telecom por canales de CYII y Ayto Madrid Enlaces Gigabit ethernet redundados con cada uno Capacidad multimedia, voip, alto volumen de datos Nivel de servicio comprometido para averías: 24x7 con respuesta en 4 horas. Doble enlace Gbps por cada Ministerio u Organismo para entregar el tráfico en el Complejo de Moncloa (2 CPDs) Arquitectura

10 1. Ministerio de la Presidencia Arquitectura Red RICO

11 1. Ministerio de la Presidencia Red RICO Arquitectura

12 1. Ministerio de la Presidencia Sistemas: –100 servidores físicos, con aprox. 200 servidores virtuales –capacidad total de proceso: de 2,5 billones de instrucciones por segundo (TIPS) –capacidad total de almacenamiento de 200 TBytes sobre cabinas SAN redundadas entre ambos CPDs para ofrecer alta disponibilidad de datos. –Backup: librerías para las copias de seguridad de la información. –Tecnología Microsoft, VMware y LAMP Arquitectura

13 Pasamos de esto: CPD PPAL 1. Ministerio de la Presidencia

14 Arquitectura Pasamos de esto: CPD PPAL 1. Ministerio de la Presidencia

15 Arquitectura Pasamos de esto: CPD PPAL 1. Ministerio de la Presidencia

16 Arquitectura Pasamos de esto: CPD PPAL 1. Ministerio de la Presidencia

17 Arquitectura Pasamos de esto: CPD PPAL 1. Ministerio de la Presidencia

18 Arquitectura A esto: CPD PPAL 1. Ministerio de la Presidencia

19 Arquitectura A esto: CPD PPAL 1. Ministerio de la Presidencia

20 Arquitectura A esto: CPD PPAL 1. Ministerio de la Presidencia

21 Arquitectura A esto: CPD PPAL 1. Ministerio de la Presidencia

22 Arquitectura A esto: CPD PPAL 1. Ministerio de la Presidencia

23 CPD Ppal –cuenta con una superficie de 110 m2, suelo técnico, seguridad de acceso, cableado en Cat. 6A y Fibra óptica, aislamiento electromagnético, alimentación ininterrumpida de un total de 400 KVAs en 2 SAIs independientes alimentando en doble fase a 44 armarios de sistemas y almacenamiento y 11 armarios de comunicaciones. La sala cuenta con 5 equipos de aire acondicionado que proporcionan cerca de 200 kilofrigorías/hora (218KW nominales). CPD Secundario –tiene 20m2, suelo técnico, seguridad de acceso, alimentación desde 2 SAIs independientes de 40KVA que alimentan 6 armarios de sistemas y almacenamiento, y 4 armarios de comunicaciones. La sala cuenta con varios equipos de aire acondicionado que proporcionan algo más de 20 kilofrigorías/hora. Arquitectura 1. Ministerio de la Presidencia

24 2. Antecedentes del Proyecto 1.Hosting BT: : –www.la-moncloa.es y otraswww.la-moncloa.es –Conexionado PaP con MPR para actualizaciones de contenidos (SEC) –Octubre 2010: refuerzo arquitectura en hosting –Plan de acción de estabilización de la plataforma (segundo semestre 2010) –Sin embargo -> Graves problemas de mantenimiento, disponibilidad, monitorización, servicio. 2.Fusión con MAP abortada. Oct 2010 –Necesidad de recuperar la web mpr.es y sede electrónica que en el proceso de fusión se había determinado instalar en la DMZ de MdM. 3.DMZ de MPR diseñada para otros servicios perimetrales, no preparada para dar servicio páginas web. Decisión: Traer las webs a los CPDs de MPR en Moncloa desplegando una nueva infraestructura para alojarlas y unificar servicios perimetrales del Ministerio.

25 TECNOLOGÍA DESARROLLO WEB EN HOSTING - Microsoft Windows Server IIS MCMS 2002 SP2a, - SQL Visual Studio 2005, C# - Framework Servicios Windows Media - Gestión de contenidos web + Aplicaciones Word A Web + web services - Acceso a servicios en el Ministerio a través de Web Services 2. Antecedentes del Proyecto

26 Hosting: Webs del Ministerio de la Presidencia Internet Cluster VIP Cluster SQL DHS01231-ESMR2 WWW 01 DHS01232-ESMR2 WWW 02 SQL server Content mgmt DHS01236-ESMR2 san AD, DC, DNS Win2k3 DHS01235-ESMR2 SQL 02 Win2k DHS01234-ESMR2 SQL 01 Win2k DHS01238-ESMR2 Win2k Secundario AD, DC, DNS DHS0123A-ESMR3 Windows Media Server Win2k3 SERVER REPORTS DHS0123B-ESMR3 Win2k3 DHS01233-ESMR2 Index&Search Win2k3 DHS0123F-ESMR2 WWW 03 Win2k3 Administración I Administración II Firewall FR 2M Point to Point ATM 4M Point to Point Customer HQ Content Management Remote update for content via back-end connectivity Agosto 2010

27 3. Plan de Proyecto Global Fase 1: despliegue nueva DMZ en Moncloa y traslado webs desde el Hosting BT –1er Semestre 2011 Fase 2: traslado de la web mpr.es y sede electrónica desde CPD MPTAP a nueva DMZ –2do Semestre 2011 Fase 3: unificación servicios periféricos en nueva DMZ –Año 2012

28 3. Plan de Proyecto Global Análisis. Requisitos Consultoría externa Adquisiciones Instalación Servidores en zona temporal. Pruebas Doc. Análisis Propuesta Proyecto y Adquisiciones Traslado equipos plataforma Backup en BT a MPR DESPLIEGUE DMZ Pruebas -Arquitectura -Checklist Paso a Producción -Plan de Pruebas -Procedimientos Admon, Incidencias, Monitorización Paso a Producción Traslado resto equipos BT a MPR Estabilización Completado Monitorización OCTNOV-DICENEFEB-MAR ABR MAYJUN-JUL Contratación Despliegue y Monitorización 2010

29 4. Arquitectura DMZ Mantener filosofía de servicio de la arquitectura web en Hosting –Migración sin contratiempos (sin cambios en la arquitectura) –Sin embargo, se aceptaron varios cambios al principio del proyecto para mejorar la arquitectura de manera controlada. No usar CPD VP sino PVZ (previo acondicionamiento) Virtualización Incorporar lecciones aprendidas en DMZ MdM –Contratación de Integrador Reducir al máximo el tiempo de servicio Hosting en 2011 Máximas prioridades en nueva DMZ: –Disponibilidad –Seguridad –Gestión 24x7 REAL

30 4. Arquitectura DMZ Instalar en alta disponibilidad INIA – PVZ Aprovechar equipamiento en MPR Nuevo operador de Internet para complementar a Rediris (doble operador) Arquitectura frontend – backend escalable y dimensionada para alojar, progresivamente, las diferentes fases: –Webs La-moncloa, etc. –Webs Mpr – Sede –Servicios Perimetrales

31 REDRED PERIMETRALPERIMETRAL REDRED INTERNA INTERNA Accesos Redes WAN (IA, RICO, ANILLO) DMZ WEB, hosting DMZ VPN DMZ sms, otros DMZ OWA, proxy CPD PPAL campus Accesos Redes WAN (IA, RICO, ANILLO) DMZ WEB, hosting DMZ VPN DMZ sms, otros DMZ OWA, proxy CPD BKUP RED MINISTERIO

32 REDRED PERIMETRALPERIMETRAL REDRED INTERNA INTERNA Accesos Redes WAN (IA, RICO, ANILLO) DMZ WEB, hosting DMZ VPN DMZ sms, otros DMZ OWA, proxy CPD PPAL campus Accesos Redes WAN (IA, RICO, ANILLO) DMZ WEB, hosting DMZ VPN DMZ sms, otros DMZ OWA, proxy CPD BKUP RED MINISTERIO NUEVA DMZ NUEVA DMZ

33 -Arquitectura 2 tier (front end - backend) repartida entre dos CPD's utilizando extensión de vlans para alta disponibilidad: - Front end con los servicios accesibles desde el exterior. - Backend con los repositorios de información -Doble operador de internet con doble acometida (uno por CPD). -Balanceado ISP's en capas 3-4 y 7 y aplicación de NAT para direccionamiento público y protección ante ataques DoS/DDoS -Seguridad perimetral basada en FW capa 3, IPS, WAF repartidos entre front end y backend con equipamiento de diferentes fabricantes en cluster. -Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de tráfico. -Switching gigaethernet con direccionamiento privado en todas las capas. -Red de gestión no enrutada conectada a todos los equipos de la arquitectura con monitorización SIEM remota/in site. 4. Arquitectura DMZ

34 Requisitos de Servicio -Control total de MPR en infraestructuras y servicios - Servicio de alertas permanente -> objetivo: pro-actividad (chequeo cada 10s) - Control de la plataforma 24x7 –> se reducen los tiempos de respuesta ante incidencias -Instalación de un sistema de recogida de logs, correlación y revisión desde SOC-NOC remoto 24x7 -Administrador dedicado DMZ 4. Arquitectura DMZ

35 Arquitectura 2 tier (front end - backend) repartida entre dos CPD's utilizando extensión de vlans para alta disponibilidad : Front end con los servicios accesibles desde el exterior. Backend con los repositorios de información Doble operador de internet con doble acometida (uno por CPD). Balanceado ISP's en capas 3-4 y 7 y aplicación de NAT para direccionamiento público y protección ante ataques DoS/DDoS Seguridad perimetral basada en FW capa 3, IPS, WAF repartidos entre front end y backend con equipamiento de diferentes fabricantes en cluster. Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de tráfico. Switching gigaethernet con direccionamiento privado en todas las capas. Enlaces troncales entre CPDs a 10GB Red de gestión no enrutada conectada a todos los equipos de la arquitectura con monitorización SIEM remota/in site.

36 4. Arquitectura DMZ

37 SQL Arquitectura DMZ

38 Comunicaciones El acceso a Internet dispone de enlaces redundante con doble operador/proveedor, que consisten en 4 enlaces, 2 de 1Gbps con limitación de caudal a 60Mbps en uno de los casos, y otros 2 enlaces de 10Mbps con limitación de caudal a 100Mbps con el segundo de los operadores. Se dispone adicionalmente de acuerdos para incrementos puntuales de la demanda, para aumentar el caudal de 10 a 100Mbps. Para el acceso a los sistemas alojados en el backend se realizará a través de redes internas de la Administración General del Estado. Asimismo se habilitará acceso remoto a estos sistemas a través de internet mediante el uso VPN securizada. Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de trafico, en cluster.

39 4. Arquitectura DMZ SEGURIDAD S EGURIDAD La arquitectura de red dispone de un esquema de protección perimetral con varios niveles y áreas separado mediante redes virtuales (VLAN). La DMZ Pública (Internet) se encuentra protegida por varios cortafuegos, uno de ellos del tipo Cortafuegos de Aplicación, sondas de red (IDS) y dispositivos de control de contenidos y malware. Seguridad perimetral basada en FW capa 3, IPS, WAF repartido entre front end y backend con equipamiento de diferentes fabricantes en cluster basadas en tecnología UTM de última generación: - Cortafuegos - Filtrado de Aplicaciones. - Antivirus y antimalware. - DLP. - QoS por usuario, por IP, por servicio, por aplicación. - Filtrado de contenidos. - WAF - IPS

40 4. Arquitectura DMZ ADMINISTRACION Se dispone de un administrador dedicado en exclusiva para la gestión de toda la seguridad perimetral, y de los incidentes de seguridad de la DMZ de servicios de páginas web. Basado en manuales de Administracion, Incidencias, Monitorización y Arquitectura El sistema de monitorización y alerta esta soportado en un servicio 6x5 por personal propio: 3 personas (un ejecutivo que actúa como punto focal, uno de comunicaciones y uno de sistemas) con teléfono operativo 14x7. Los sistemas envían traps (SMS/ ) cuando ocurren fallos. Además existe un cuerpo de guardia para los servicios de electricidad, seguridad, etc. Adicionalmente, se dispone de un contrato con una empresa para monitorización y administración remota 24x7. El centro de servicios dispone de Sistemas de Backup y almacenamiento en cintas, con una política y procedimientos definidos.

41 4. Arquitectura DMZ En cuanto a la arquitectura Web utilizada, ésta se basa en MVC. Patrón MCV en aplicaciones webPatrón MVC

42 5. Ejecución del Proyecto 1.Preparación de la infraestructura de comunicaciones y seguridad 2. Integración de los Sistemas en la nueva arquitectura 3. Arquitectura final 4. Paso a producción

43 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Fw MinisteriosFW interno DMZ SMS DMZ Citrix DMZ Correo DMZ VPN sw WEB Hosting BT fw Internet FW Aplicaciones SIRIO Situación inicial sw internet WAN RedIRIS InternetWAN RedIRIS WEB 5.1 Prep. Arquitectura

44 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Fw MinisteriosFW interno DMZ SMS DMZ Citrix DMZ Correo DMZ VPN Sw WEB Hosting BT fw Internet FW Aplicaciones Eliminación Resto Servicios Web en SIRIO sw internet WAN RedIRIS InternetWAN RedIRIS WEB 5.1 Prep. Arquitectura

45 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Fw MinisteriosFW interno DMZ SMS DMZ Citrix DMZ Correo DMZ VPN Hosting BT fw Internet FW Aplicaciones Conexión a Hosting sólo para Gestion de contenidos y accesos web services sw internet WAN RedIRIS InternetWAN RedIRIS WEB 5.1 Prep. Arquitectura

46 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Fw MinisteriosFW interno DMZ SMS DMZ Citrix DMZ Correo DMZ VPN Hosting BT fw sw Internet WAF Conexión a Hosting sólo para Gestion de contenidos y accesos web services sw internet WAN RedIRIS InternetWAN RedIRIS WEB 5.1 Prep. Arquitectura

47 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Fw MinisteriosFW interno DMZ SMS DMZ Citrix DMZ Correo DMZ VPN Hosting BT fw Internet waf Nuevos enlaces BT sw internet WAN RedIRIS InternetWAN RedIRIS WEBWAN1 operadorWAN2 operador 5.1 Prep. Arquitectura

48 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Balanceadores WAN Fw MinisteriosFW interno WAN RedIRIS InternetWAN RedIRIS WEB DMZ SMS DMZ Citrix DMZ Correo DMZ VPN DMZ PUB Hosting DMZ PUB LB Hosting DMZ PRV Hosting DMZ BackEnd Hosting Balanceadores Aplicación Seguridad DMZ Seguridad perimetral MPR WAN1 operadorWAN2 operador Seguridad perimetral DMZ WAFs Configuración DMZ 5.1 Prep. Arquitectura

49 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Balanceadores WAN Fw MinisteriosFW interno WAN RedIRIS InternetWAN RedIRIS WEB DMZ SMS DMZ Citrix DMZ Correo DMZ VPN DMZ PUB Hosting DMZ PUB LB Hosting DMZ PRV Hosting DMZ BackEnd Hosting Balanceadores Aplicación Seguridad DMZ Seguridad perimetral MPR Seguridad perimetral DMZ WAFs Configuración DMZ 5.1 Prep. Arquitectura WAN1 operadorWAN2 operador Balanceadores WAN: Características principales: Smart Health Monitoring and Failure Detection Active-Active or Active-Passive Link Redundancy Real-Time Traffic Redirection Link Load-Balancing Smart Application Routing

50 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Balanceadores WAN Fw MinisteriosFW interno WAN RedIRIS InternetWAN RedIRIS WEB DMZ SMS DMZ Citrix DMZ Correo DMZ VPN DMZ PUB Hosting DMZ PUB LB Hosting DMZ PRV Hosting DMZ BackEnd Hosting Balanceadores Aplicación Seguridad DMZ Seguridad perimetral MPR Seguridad perimetral DMZ WAFs Configuración DMZ 5.1 Prep. Arquitectura WAN1 operadorWAN2 operador Balanceadores Aplicación : Características principales: Smart Health Monitoring and Failure Detection Stateful Persistency High Availability with Real-time Failure Bypassing Real-time Traffic Redirection Accelerates Content Delivery Offloads CPU Intensive Tasks from Servers and Optimizes Use of IT Infrastructure Maximizes Bandwidth Usage

51 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Balanceadores WAN Fw MinisteriosFW interno WAN RedIRIS InternetWAN RedIRIS WEB DMZ SMS DMZ Citrix DMZ Correo DMZ VPN DMZ PUB Hosting DMZ PUB LB Hosting DMZ PRV Hosting DMZ BackEnd Hosting Balanceadores Aplicación Seguridad DMZ Seguridad perimetral MPR Seguridad perimetral DMZ WAFs Configuración DMZ WAN1 operadorWAN2 operador Seguridad Perimetral : Características principales: 10 Gbps firewall throughput 5 Gbps threat prevention throughputthreat prevention 2 Gbps IPSec VPN throughput 4,000 IPSec VPN tunnels and tunnel interfaces 60,000 new sessions per second 2,000,000 max sessions (16) 10/100/ (8) SFP optical gigabit interfaces Funcionalidades Avanzadas: Prevención de amenazas (IPS). Prevención de ataques de DoS. Prevención frente a escaneos de red. Anomalía de paquetes. Antivirus y Anti- Spyware. Prevención frente a la fuga de datos (DLP). Filtrado de URLs. 5.1 Prep. Arquitectura

52 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Balanceadores WAN Fw MinisteriosFW interno WAN RedIRIS InternetWAN RedIRIS WEB DMZ SMS DMZ Citrix DMZ Correo DMZ VPN DMZ PUB Hosting DMZ PUB LB Hosting DMZ PRV Hosting DMZ BackEnd Hosting Balanceadores Aplicación Seguridad DMZ Seguridad perimetral MPR Seguridad perimetral DMZ WAFs Configuración DMZ 5.1 Prep. Arquitectura WAN1 operadorWAN2 operador Seguridad Perimetral : Características principales: 16 Gbps firewall throughput 2 Gbps IPS throughput 12 Gbps IPSec VPN throughput 1,000,000 max sessions (2) 10/100/ (16) SFP optical gigabit interfaces Funcionalidades Avanzadas: Prevención de amenazas (IPS). Prevención de ataques de DoS. Antivirus y Anti- Spyware. Filtrado de URLs.

53 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Balanceadores WAN Fw MinisteriosFW interno WAN RedIRIS InternetWAN RedIRIS WEB DMZ SMS DMZ Citrix DMZ Correo DMZ VPN DMZ PUB Hosting DMZ PUB LB Hosting DMZ PRV Hosting DMZ BackEnd Hosting Balanceadores Aplicación Seguridad DMZ Seguridad perimetral MPR Seguridad perimetral DMZ WAFs Configuración DMZ 5.1 Prep. Arquitectura WAN1 operadorWAN2 operador Web Application Firewalls : Características principales: 100 Mbps HTTP throughput Max. Transactions per second (4) 10/100/ GB Hard drive Inline reverse proxy, Transparent or Offline protection

54 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Balanceadores WAN Fw MinisteriosFW interno WAN RedIRIS InternetWAN RedIRIS WEB DMZ SMS DMZ Citrix DMZ Correo DMZ VPN DMZ PUB Hosting DMZ PUB LB Hosting DMZ PRV Hosting DMZ BackEnd Hosting Balanceadores Aplicación Seguridad DMZ Seguridad perimetral MPR Seguridad perimetral DMZ WAFs Conexión Servidores BE-FE 5.1 Prep. Arquitectura WAN1 operadorWAN2 operador

55 5.2 Integración Sistemas Evolución de los Sistemas –Inicialmente (Oct-Dic 2010) : Se instalan los servidores desde plataforma de backup BT en zona temporal con direccionamiento final para favorecer la migración a la DMZ Duplicación de componentes, y distribución en 2 CPDs –Modificaciones: Ampliación de servicios de cluster para almacenamiento de logs y videos No duplicación del cluster Traslado del frontal de indexación al Back-End Virtualización de la plataforma Redundancia de datos de cabina

56 Entorno final (INIA+Pvoz) 5.2 Integr. Sistemas

57 Objetivo: Paso a producción sin pérdida de servicio - Tareas previas: - Creación usuarios gestión de contenidos nuevo dominio (Sistemas) - Se envían dos discos a BT para tener disponibles dos copias de seguridad de BD, viernes 1h y sábado 1h - viernes, 6 de mayo, tareas previas para reducir el tiempo de paso a producción -Reducción al máximo posible el TTL del DNS -Recuperación y configuración de BDs viernes 1h -Configuración de privilegios de gestión de contenidos nuevo dominio en DMZ -Validación de credenciales y privilegios para todos los sitios web - 7 de mayo, 15 horas, inicio del paso a producción (ventana: 15 a 19 horas) - Se comprueban los contenidos actualizados desde la 1h del viernes 6 - Se exportan de BT los últimos contenidos actualizados - Se importan en MPR los contenidos exportados - Se actualizan las aplicaciones Word A Web en la SEC (Panaderos y Referencia) - A las 15:45 se hace van haciendo públicas las distintas webs, finalizando con La Moncloa a las 17:45, momento en que se da por finalizado el paso a producción - No fue necesario utilizar la segunda copia de seguridad del sábado 7 a la 1h 5.3 Paso a Producción

58 LISTA FINAL DE WEBS EN DMZ MONCLOA: -La Moncloa, -Memoria Histórica, wwrw.memoriahistorica.gob.eswwrw.memoriahistorica.gob.es -Tvinfancia, -Plan Nacional de la Alianza de Civilizaciones, -9 Oficinas de Prensa, Argentina, Brasil, EEUU, Francia, Japón, Méjico, Reino Unido, Polonia y Rusia -Servicios MPR: Actividad Parlamentaria y Legislativa, Publicaciones, Acreditaciones y Agenda de la Comunicación -Presidencia Española de la Unión Europea, -Eutrio, -Cumbre Iberoamericana, -EuroMed Barcelona, -España Solar, 5.3 Paso a Producción

59 6. Fases Posteriores Fase 2 –Despliegue servidores con arquitectura de mpr.es y Sede electrónica desde la sede en MdM (Linux+Apache+tomcat+Magnolia+MySQL) en DMZ –Traslado web mpr.es –Traslado sede electrónica

60 WAN Anillo Moncloa/ Rico/Red Sara LAN sw frontera Sw Internet Balanceadores WAN Fw MinisteriosFW interno WAN AWAN B DMZ SMS DMZ Citrix DMZ Correo DMZ VPN DMZ PUB Hosting DMZ PUB WEB DMZ PUB LB HostingDMZ PUB LB WEB DMZ PRV Hosting DMZ PRV WEB DMZ BackEnd Hosting App LB PUB DMZ BackEnd WEB Arquitectura escalable Seguridad perimetral Seguridad DMZ WAFs

61

62 6. Fases Posteriores Fase 3 –Integración de las DMZ de servicios perimetrales en la nueva DMZ Correo Videoconferencia Navegación web VPN Citrix –Redundancia líneas Rediris –Ampliación ancho banda operador 2 –Auditoría Global. Hacking ético. –Nuevas Webs (proyecto similar a Fase 2) –Posibilidad de servicio tipo Cloud

63 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Balanceadores WAN Fw MinisteriosFW interno WAN RedIRIS InternetWAN RedIRIS WEB DMZ SMS DMZ Citrix DMZ Correo DMZ VPN DMZ PUB Hosting DMZ PUB LB Hosting DMZ PRV Hosting DMZ BackEnd Hosting Balanceadores Aplicación Seguridad DMZ Seguridad perimetral MPR WAN op1WAN op2 Seguridad perimetral DMZ WAFs Migración progresiva sin impacto

64 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Balanceadores WAN Fw MinisteriosFW interno WAN RedIRIS InternetWAN RedIRIS WEB DMZ SMS DMZ Citrix DMZ Correo DMZ VPN DMZ PUB Hosting DMZ PUB LB Hosting DMZ PRV Hosting DMZ BackEnd Hosting Balanceadores Aplicación Seguridad DMZ WAN op1WAN op2 Seguridad perimetral DMZ WAFs Migración progresiva sin impacto Seguridad perimetral MPR

65 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Balanceadores WAN Fw MinisteriosFW interno WAN RedIRIS InternetWAN RedIRIS WEB DMZ SMS DMZ Citrix DMZ Correo DMZ VPN DMZ PUB Hosting DMZ PUB LB Hosting DMZ PRV Hosting DMZ BackEnd Hosting Balanceadores Aplicación Seguridad DMZ WAN op1WAN op2 Seguridad perimetral DMZ WAFs Migración progresiva sin impacto Seguridad perimetral MPR

66 WAN Anillo Moncloa/ Rico/Red Sara LAN Sw frontera Balanceadores WAN Fw MinisteriosFW interno WAN RedIRIS InternetWAN RedIRIS WEB DMZ SMS DMZ Citrix DMZ Correo DMZ VPN DMZ PUB Hosting DMZ PUB LB Hosting DMZ PRV Hosting DMZ BackEnd Hosting Balanceadores Aplicación Seguridad DMZ WAN BT1WAN BT2 Seguridad perimetral DMZ WAFs

67 Servicio Cloud

68 7. Datos Proyecto Adquisiciones –Equipos comunicaciones: –Equipos seguridad –Equipos Sistemas+Alm –Licencias Consultoría y Despliegue (Fase1) –Tiempo: 7 meses –Personas externas 1 Jefe Proyecto (30%) 1 Consultor (70%) 1 Técnico de Sistemas/comms (100%) –Personas internas (Ministerio) 1 Director Proyecto 2 Tecnicos Comms/Seg. al 60% 2 Tecnicos Sistemas. al 50% 1 Analista Prog. Web al 50% –Coste Servicio 24x7 –SNOC + Admon insitu: /mes Comunicacines –Rediris: 0 –Operador /mes Servicio 24x7 –SNOC + Admon insitu: /mes Mtmtos HW –Comms+Seg /año –Sistemas /año Operador /mes IVA INCL PROYECTOSERVICIO 1er AÑO SERVICIO 2do AÑO

69 GRACIAS. Julián Hernández Vigliano Jefe del Departamento de Tecnologías Subdirección General de Tecnologías y Servicios de Información Ministerio de la Presidencia Complejo de la Moncloa - Edificio INIA – Desp. 001 Avda. de Puerta de Hierro s/n Madrid Tel: / Fax:


Descargar ppt "PROYECTO IMPLANTACIÓN DE UNA NUEVA DMZ Enero 2012 Julián Hernández Vigliano Cuerpo Superior de Sistemas y Tecnologías de la Información de la Admon del."

Presentaciones similares


Anuncios Google