PROYECTO IMPLANTACIÓN DE UNA NUEVA DMZ Enero 2012 Julián Hernández Vigliano Cuerpo Superior de Sistemas y Tecnologías de la Información de la Admon del Estado. Jefe de Departamento de Tecnologías SDG Tecnologías y Servicios de Información Ministerio de la Presidencia

INDICE Ministerio de la Presidencia Antecedentes del Proyecto Descripción SGTSI Marco tecnológico Antecedentes del Proyecto Plan de proyecto Global DMZ Moncloa (Fases 1, 2, 3) Arquitectura DMZ Ejecución del proyecto. Fase 1 Fases posteriores Datos del proyecto

1. Ministerio de la Presidencia Real Decreto 199/2012, de 23 de enero Corresponden al Ministerio de la Presidencia (extracto): la coordinación de los asuntos de relevancia constitucional; la preparación, desarrollo y seguimiento del programa legislativo; el apoyo inmediato a la Presidencia del Gobierno; la asistencia al Consejo de Ministros, a las Comisiones Delegadas del Gobierno, a la Comisión General de Secretarios de Estado y Subsecretarios y, en particular, al Gobierno en sus relaciones con las Cortes Generales; la coordinación interministerial que le encomienden las disposiciones vigentes, el Gobierno o su presidente; La coordinación de la política informativa del Gobierno,; la coordinación de los servicios informativos de la Administración General del Estado en España y en el extranjero, así como las relaciones con los medios informativos; las funciones de apoyo al Presidente del Gobierno y los órganos dependientes de la Presidencia del Gobierno; las relaciones con las Delegaciones del Gobierno en las Comunidades Autónomas.

1. Ministerio de la Presidencia Organigrama del Ministerio de la Presidencia: Secretaría de Estado de Relaciones con las Cortes. Secretaría de Estado de Comunicación. Subsecretaría de la Presidencia. Secretaría General Técnica-Secretariado del Gobierno. Dirección General de Relación con las Delegaciones del Gobierno en las Comunidades Autónomas Gabinete Técnico Oficialía Mayor Subdirección General de Recursos Humanos Subdirección General de Gestión Económica Oficina Presupuestaria Subdirección General de Tecnologías y Servicios de Información Están adscritos al Ministerio de la Presidencia los organismos públicos siguientes: Centro Nacional de Inteligencia. Agencia Estatal Boletín Oficial del Estado. Centro de Estudios Políticos y Constitucionales. Centro de Investigaciones Sociológicas.

1. Ministerio de la Presidencia Subdirección General de Tecnologías y Servicios de Información ejerce las funciones de: elaboración, desarrollo y ejecución de los planes estratégicos y operativos en materia de sistemas de información; colaboración, asesoramiento y asistencia técnica en materia de tecnologías de la información y comunicación; dirección, diseño, desarrollo, implantación y explotación de los sistemas de información garantizando su interoperabilidad, seguridad y calidad, así como la provisión y gestión del equipamiento y de los recursos informáticos necesarios para su ejecución.

1. Ministerio de la Presidencia Arquitectura

1. Ministerio de la Presidencia Arquitectura Conexiones WAN El Ministerio conecta con las siguientes redes externas: Red Sara: red interadministrativa (MPTAP) con servicios comunes (portal Funciona, @firma, conexión a UE, CCAA, CCLL, etc) Red RICO: red de fibra de Correos Telecom que conecta al Ministerio con el resto de la AGE, Cortes y OOAA del MPR con enlaces redundados de 1Gbps. Internet: a través de enlaces de la red RICO (con servicio de Rediris) y operador de telecomunicaciones con un caudal medio de 20Mbps Anillo Moncloa: para conectar con el resto de unidades del Complejo (Presidencia de Gobierno, DISSC, Seguridad) Redes móviles: para el envío de SMS por redes alternativas . Otros accesos internet (ADSL, 3G, Fibra) Redes VC (RDSI, IP. Protocolos H323, SIP)

1. Ministerio de la Presidencia Arquitectura Comunicaciones: La red interna del Ministerio está basada principalmente en tecnología Cisco (aprox. 80 conmutadores, 15 enrutadores que da servicio a usuarios y red de servidores con un total de aprox. 700 puertos de 1Gbps). Los servidores están conectados a 1Gpbs, y la práctica totalidad de los usuarios está a 100Mbps. Tráfico: LAN: media de 2,5 TBytes al día Internet: media de 80 GBytes al día Red RICO: media de 15GB al día Red Sara: media de de 6 GBytes al día. Accesos remotos: Oficina Internacional de Prensa (María de Molina 50, con 4 usuarios del Ministerio y picos de hasta 100 periodistas) Consejerías de Información (22 sedes) Teletrabajo

1. Ministerio de la Presidencia Arquitectura Red RICO Vicepresidencia SGSI 1 x 1Gbps Acceso a Internet/Iris 42 x 1 Giga, con Ministerios y Organismos Enlace f.o. con BOE 2 x 1Gbps Acceso a Internet/Iris Ministerio de la Presidencia Conexión RED RICO con el resto de Ministerios, OOAA y Rediris (internet) en Madrid Red fibra desplegada por Correos Telecom por canales de CYII y Ayto Madrid Enlaces Gigabit ethernet redundados con cada uno Capacidad multimedia, voip, alto volumen de datos Nivel de servicio comprometido para averías: 24x7 con respuesta en 4 horas. Doble enlace Gbps por cada Ministerio u Organismo para entregar el tráfico en el Complejo de Moncloa (2 CPD’s) Sede 1 Sede 2 Red IRIS Internet Sede 21 CPD Ppal CPD de Respaldo

1. Ministerio de la Presidencia Arquitectura Red RICO

1. Ministerio de la Presidencia Arquitectura Red RICO

1. Ministerio de la Presidencia Arquitectura Sistemas: 100 servidores físicos, con aprox. 200 servidores virtuales capacidad total de proceso: de 2,5 billones de instrucciones por segundo (TIPS) capacidad total de almacenamiento de 200 TBytes sobre cabinas SAN redundadas entre ambos CPD’s para ofrecer alta disponibilidad de datos. Backup: librerías para las copias de seguridad de la información. Tecnología Microsoft, VMware y LAMP

1. Ministerio de la Presidencia Arquitectura CPD PPAL Pasamos de esto:

1. Ministerio de la Presidencia Arquitectura CPD PPAL Pasamos de esto:

1. Ministerio de la Presidencia Arquitectura CPD PPAL Pasamos de esto:

1. Ministerio de la Presidencia Arquitectura CPD PPAL Pasamos de esto:

1. Ministerio de la Presidencia Arquitectura CPD PPAL Pasamos de esto:

1. Ministerio de la Presidencia Arquitectura CPD PPAL A esto:

1. Ministerio de la Presidencia Arquitectura CPD PPAL A esto:

1. Ministerio de la Presidencia Arquitectura CPD PPAL A esto:

1. Ministerio de la Presidencia Arquitectura CPD PPAL A esto:

1. Ministerio de la Presidencia Arquitectura CPD PPAL A esto:

1. Ministerio de la Presidencia Arquitectura CPD Ppal cuenta con una superficie de 110 m2, suelo técnico, seguridad de acceso, cableado en Cat. 6A y Fibra óptica, aislamiento electromagnético, alimentación ininterrumpida de un total de 400 KVA’s en 2 SAI’s independientes alimentando en doble fase a 44 armarios de sistemas y almacenamiento y 11 armarios de comunicaciones. La sala cuenta con 5 equipos de aire acondicionado que proporcionan cerca de 200 kilofrigorías/hora (218KW nominales) . CPD Secundario tiene 20m2, suelo técnico, seguridad de acceso, alimentación desde 2 SAI’s independientes de 40KVA que alimentan 6 armarios de sistemas y almacenamiento, y 4 armarios de comunicaciones. La sala cuenta con varios equipos de aire acondicionado que proporcionan algo más de 20 kilofrigorías/hora.

2. Antecedentes del Proyecto Hosting BT: 2005-2010: www.la-moncloa.es y otras Conexionado PaP con MPR para actualizaciones de contenidos (SEC) Octubre 2010: refuerzo arquitectura en hosting Plan de acción de estabilización de la plataforma (segundo semestre 2010) Sin embargo -> Graves problemas de mantenimiento, disponibilidad, monitorización, servicio. Fusión con MAP abortada. Oct 2010 Necesidad de recuperar la web mpr.es y sede electrónica que en el proceso de fusión se había determinado instalar en la DMZ de MdM. DMZ de MPR diseñada para otros servicios perimetrales, no preparada para dar servicio páginas web. Decisión: Traer las webs a los CPD’s de MPR en Moncloa desplegando una nueva infraestructura para alojarlas y unificar servicios perimetrales del Ministerio.

2. Antecedentes del Proyecto TECNOLOGÍA DESARROLLO WEB EN HOSTING - Microsoft Windows Server 2003 - IIS 6.0 MCMS 2002 SP2a, SQL 2000 Visual Studio 2005, C# Framework 2.0 Servicios Windows Media Gestión de contenidos web + Aplicaciones Word A Web + web services Acceso a servicios en el Ministerio a través de Web Services 25

Hosting: Webs del Ministerio de la Presidencia Internet DHS01233-ESMR2 Index&Search DHS0123A-ESMR3 Windows Media Server DHS01231-ESMR2 WWW 01 DHS01232-ESMR2 WWW 02 DHS0123F-ESMR2 WWW 03 Win2k3 Win2k3 Win2k3 Win2k3 Win2k3 Firewall Administración I ATM 4M Point to Point Customer HQ Administración II FR 2M Point to Point DHS01234-ESMR2 SQL 01 Win2k DHS01235-ESMR2 SQL 02 Win2k DHS01236-ESMR2 DHS0123B-ESMR3 DHS01238-ESMR2 Win2k3 Secundario AD, DC, DNS Cluster VIP Cluster SQL Win2k Content Management AD, DC, DNS SERVER REPORTS Remote update for content via back-end connectivity san SQL server Content mgmt Agosto 2010

3. Plan de Proyecto Global Fase 1: despliegue nueva DMZ en Moncloa y traslado webs desde el Hosting BT 1er Semestre 2011 Fase 2: traslado de la web mpr.es y sede electrónica desde CPD MPTAP a nueva DMZ 2do Semestre 2011 Fase 3: unificación servicios periféricos en nueva DMZ Año 2012

3. Plan de Proyecto Global FASE 1 Contratación Despliegue y Monitorización 2010 Doc. Análisis Análisis. Requisitos Propuesta Proyecto y Adquisiciones Arquitectura Checklist Paso a Producción Plan de Pruebas Procedimientos Admon, Incidencias, Monitorización Consultoría externa Adquisiciones DESPLIEGUE DMZ Pruebas Paso a Producción Instalación Servidores en zona temporal. Pruebas Traslado equipos plataforma Backup en BT a MPR Estabilización Completado Monitorización Traslado resto equipos BT a MPR OCT NOV-DIC ENE FEB-MAR ABR MAY JUN-JUL 2010 2011

4. Arquitectura DMZ Mantener filosofía de servicio de la arquitectura web en Hosting Migración sin contratiempos (sin cambios en la arquitectura) Sin embargo, se aceptaron varios cambios al principio del proyecto para mejorar la arquitectura de manera controlada. No usar CPD VP sino PVZ (previo acondicionamiento) Virtualización Incorporar lecciones aprendidas en DMZ MdM Contratación de Integrador Reducir al máximo el tiempo de servicio Hosting en 2011 Máximas prioridades en nueva DMZ: Disponibilidad Seguridad Gestión 24x7 REAL

4. Arquitectura DMZ Instalar en alta disponibilidad INIA – PVZ Aprovechar equipamiento en MPR Nuevo operador de Internet para complementar a Rediris (doble operador) Arquitectura frontend – backend escalable y dimensionada para alojar, progresivamente, las diferentes fases: Webs La-moncloa, etc. Webs Mpr – Sede Servicios Perimetrales

CPD CPD BKUP PPAL RED MINISTERIO campus P E R I M T A L R E D Accesos DMZ sms, otros DMZ sms, otros R E D Accesos Redes WAN (IA, RICO, ANILLO) Accesos Redes WAN (IA, RICO, ANILLO) DMZ OWA, proxy DMZ OWA, proxy DMZ WEB, hosting DMZ WEB, hosting DMZ VPN DMZ VPN CPD BKUP CPD PPAL I N T E R A R E D RED MINISTERIO campus

NUEVA NUEVA DMZ DMZ CPD CPD BKUP PPAL RED MINISTERIO campus P E R I M sms, otros DMZ sms, otros R E D Accesos Redes WAN (IA, RICO, ANILLO) Accesos Redes WAN (IA, RICO, ANILLO) DMZ OWA, proxy DMZ OWA, proxy DMZ WEB, hosting DMZ WEB, hosting DMZ VPN DMZ VPN CPD BKUP NUEVA DMZ NUEVA DMZ CPD PPAL I N T E R A R E D RED MINISTERIO campus

4. Arquitectura DMZ Arquitectura 2 tier (front end - backend) repartida entre dos CPD's utilizando extensión de vlans para alta disponibilidad: - Front end con los servicios accesibles desde el exterior. - Backend con los repositorios de información Doble operador de internet con doble acometida (uno por CPD). Balanceado ISP's en capas 3-4 y 7 y aplicación de NAT para direccionamiento público y protección ante ataques DoS/DDoS Seguridad perimetral basada en FW capa 3, IPS, WAF repartidos entre front end y backend con equipamiento de diferentes fabricantes en cluster. Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de tráfico. Switching gigaethernet con direccionamiento privado en todas las capas. Red de gestión no enrutada conectada a todos los equipos de la arquitectura con monitorización SIEM remota/in site. 33

4. Arquitectura DMZ Requisitos de Servicio Control total de MPR en infraestructuras y servicios Servicio de alertas permanente -> objetivo: pro-actividad (chequeo cada 10s) Control de la plataforma 24x7 –> se reducen los tiempos de respuesta ante incidencias Instalación de un sistema de recogida de logs, correlación y revisión desde SOC-NOC remoto 24x7 Administrador dedicado DMZ

4. Arquitectura DMZ Arquitectura 2 tier (front end - backend) repartida entre dos CPD's utilizando extensión de vlans para alta disponibilidad : Front end con los servicios accesibles desde el exterior. Backend con los repositorios de información Doble operador de internet con doble acometida (uno por CPD). Balanceado ISP's en capas 3-4 y 7 y aplicación de NAT para direccionamiento público y protección ante ataques DoS/DDoS Seguridad perimetral basada en FW capa 3, IPS, WAF repartidos entre front end y backend con equipamiento de diferentes fabricantes en cluster. Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de tráfico. Switching gigaethernet con direccionamiento privado en todas las capas. Enlaces troncales entre CPD’s a 10GB Red de gestión no enrutada conectada a todos los equipos de la arquitectura con monitorización SIEM remota/in site. 35

4. Arquitectura DMZ 36

4. Arquitectura DMZ + 2 + 1 SQL 2000 37

4. Arquitectura DMZ Comunicaciones El acceso a Internet dispone de enlaces redundante con doble operador/proveedor, que consisten en 4 enlaces, 2 de 1Gbps con limitación de caudal a 60Mbps en uno de los casos, y otros 2 enlaces de 10Mbps con limitación de caudal a 100Mbps con el segundo de los operadores. Se dispone adicionalmente de acuerdos para incrementos puntuales de la demanda, para aumentar el caudal de 10 a 100Mbps. Para el acceso a los sistemas alojados en el backend se realizará a través de redes internas de la Administración General del Estado. Asimismo se habilitará acceso remoto a estos sistemas a través de internet mediante el uso VPN securizada. Balanceo de aplicaciones en el frontend con DNS primario local con persistencia de sesiones y diferentes técnicas de balanceo, aceleración de trafico, en cluster. 38

4. Arquitectura DMZ Seguridad La arquitectura de red dispone de un esquema de protección perimetral con varios niveles y áreas separado mediante redes virtuales (VLAN). La DMZ Pública (Internet) se encuentra protegida por varios cortafuegos, uno de ellos del tipo Cortafuegos de Aplicación, sondas de red (IDS) y dispositivos de control de contenidos y malware. Seguridad perimetral basada en FW capa 3, IPS, WAF repartido entre front end y backend con equipamiento de diferentes fabricantes en cluster basadas en tecnología UTM de última generación: - Cortafuegos - Filtrado de Aplicaciones. - Antivirus y antimalware. - DLP. - QoS por usuario, por IP, por servicio, por aplicación. - Filtrado de contenidos. - WAF - IPS 39

4. Arquitectura DMZ ADMINISTRACION Se dispone de un administrador dedicado en exclusiva para la gestión de toda la seguridad perimetral, y de los incidentes de seguridad de la DMZ de servicios de páginas web. Basado en manuales de Administracion, Incidencias, Monitorización y Arquitectura El sistema de monitorización y alerta esta soportado en un servicio 6x5 por personal propio: 3 personas (un ejecutivo que actúa como punto focal, uno de comunicaciones y uno de sistemas) con teléfono operativo 14x7. Los sistemas envían traps (SMS/email) cuando ocurren fallos. Además existe un cuerpo de guardia para los servicios de electricidad, seguridad, etc. Adicionalmente, se dispone de un contrato con una empresa para monitorización y administración remota 24x7. El centro de servicios dispone de Sistemas de Backup y almacenamiento en cintas, con una política y procedimientos definidos. 40

4. Arquitectura DMZ En cuanto a la arquitectura Web utilizada, ésta se basa en MVC. Patrón MVC Patrón MCV en aplicaciones web 41

5. Ejecución del Proyecto Preparación de la infraestructura de comunicaciones y seguridad 2. Integración de los Sistemas en la nueva arquitectura 3. Arquitectura final 4. Paso a producción

WAN Anillo Moncloa/ Rico/Red Sara 5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB sw internet sw WEB DMZ SMS SIRIO DMZ Citrix fw Internet fw DMZ Correo Sw frontera DMZ VPN Hosting BT Fw Ministerios FW interno FW Aplicaciones WAN Anillo Moncloa/ Rico/Red Sara LAN Situación inicial

5.1 Prep. Arquitectura Eliminación Resto Servicios Web en SIRIO LAN WAN RedIRIS Internet WAN RedIRIS WEB sw internet Sw WEB DMZ SMS DMZ Citrix fw Internet fw DMZ Correo Sw frontera DMZ VPN Hosting BT Fw Ministerios FW interno FW Aplicaciones WAN Anillo Moncloa/ Rico/Red Sara LAN Eliminación Resto Servicios Web en SIRIO

5.1 Prep. Arquitectura Conexión a Hosting sólo para WAN RedIRIS Internet WAN RedIRIS WEB sw internet DMZ SMS DMZ Citrix fw Internet fw DMZ Correo Sw frontera DMZ VPN Hosting BT Fw Ministerios FW interno FW Aplicaciones WAN Anillo Moncloa/ Rico/Red Sara LAN Conexión a Hosting sólo para Gestion de contenidos y accesos web services

5.1 Prep. Arquitectura Conexión a Hosting sólo para WAN RedIRIS Internet WAN RedIRIS WEB sw internet DMZ SMS DMZ Citrix sw Internet DMZ Correo Sw frontera DMZ VPN fw Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara WAF Hosting BT LAN Conexión a Hosting sólo para Gestion de contenidos y accesos web services

WAN Anillo Moncloa/ Rico/Red Sara 5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador sw internet DMZ SMS DMZ Citrix fw Internet DMZ Correo Sw frontera DMZ VPN fw Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara waf Hosting BT LAN Nuevos enlaces BT

Balanceadores Aplicación WAN Anillo Moncloa/ Rico/Red Sara 5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador Balanceadores Aplicación DMZ PUB Hosting DMZ SMS Balanceadores WAN DMZ PUB LB Hosting DMZ Citrix Seguridad perimetral MPR Seguridad perimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN Seguridad DMZ DMZ BackEnd Hosting Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara WAFs LAN Configuración DMZ

Balanceadores Aplicación WAN Anillo Moncloa/ Rico/Red Sara 5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador Balanceadores WAN: Características principales: Smart Health Monitoring and Failure Detection Active-Active or Active-Passive Link Redundancy Real-Time Traffic Redirection Link Load-Balancing Smart Application Routing Balanceadores Aplicación DMZ PUB Hosting DMZ SMS Balanceadores WAN DMZ PUB LB Hosting DMZ Citrix Seguridad perimetral MPR Seguridad perimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN Seguridad DMZ DMZ BackEnd Hosting Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara WAFs LAN Configuración DMZ

Balanceadores Aplicación WAN Anillo Moncloa/ Rico/Red Sara 5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador Balanceadores Aplicación : Características principales: Smart Health Monitoring and Failure Detection Stateful Persistency High Availability with Real-time Failure Bypassing Real-time Traffic Redirection Accelerates Content Delivery Offloads CPU Intensive Tasks from Servers and Optimizes Use of IT Infrastructure Maximizes Bandwidth Usage Balanceadores Aplicación DMZ PUB Hosting DMZ SMS Balanceadores WAN DMZ PUB LB Hosting DMZ Citrix Seguridad perimetral MPR Seguridad perimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN Seguridad DMZ DMZ BackEnd Hosting Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara WAFs LAN Configuración DMZ

Balanceadores Aplicación WAN Anillo Moncloa/ Rico/Red Sara 5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador Seguridad Perimetral : Características principales: 10 Gbps firewall throughput 5 Gbps threat prevention throughput 2 Gbps IPSec VPN throughput 4,000 IPSec VPN tunnels and tunnel interfaces 60,000 new sessions per second 2,000,000 max sessions (16) 10/100/1000 + (8) SFP optical gigabit interfaces Funcionalidades Avanzadas: Prevención de amenazas (IPS). Prevención de ataques de DoS. Prevención frente a escaneos de red. Anomalía de paquetes. Antivirus y Anti- Spyware. Prevención frente a la fuga de datos (DLP). Filtrado de URLs. Balanceadores Aplicación DMZ PUB Hosting DMZ SMS Balanceadores WAN DMZ PUB LB Hosting DMZ Citrix Seguridad perimetral MPR Seguridad perimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN Seguridad DMZ DMZ BackEnd Hosting Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara WAFs LAN Configuración DMZ

Balanceadores Aplicación WAN Anillo Moncloa/ Rico/Red Sara 5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador Balanceadores Aplicación DMZ PUB Hosting DMZ SMS Balanceadores WAN DMZ PUB LB Hosting DMZ Citrix Seguridad perimetral MPR Seguridad perimetral DMZ Seguridad Perimetral : Características principales: 16 Gbps firewall throughput 2 Gbps IPS throughput 12 Gbps IPSec VPN throughput 1,000,000 max sessions (2) 10/100/1000 + (16) SFP optical gigabit interfaces Funcionalidades Avanzadas: Prevención de amenazas (IPS). Prevención de ataques de DoS. Antivirus y Anti- Spyware. Filtrado de URLs. DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN Seguridad DMZ DMZ BackEnd Hosting Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara WAFs LAN Configuración DMZ

Balanceadores Aplicación WAN Anillo Moncloa/ Rico/Red Sara 5.1 Prep. Arquitectura WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador Balanceadores Aplicación DMZ PUB Hosting DMZ SMS Balanceadores WAN DMZ PUB LB Hosting DMZ Citrix Seguridad perimetral MPR Seguridad perimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN Seguridad DMZ Web Application Firewalls : Características principales: 100 Mbps HTTP throughput 10.000 Max. Transactions per second (4) 10/100/1000 500 GB Hard drive Inline reverse proxy, Transparent or Offline protection DMZ BackEnd Hosting Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara WAFs LAN Configuración DMZ

5.1 Prep. Arquitectura Conexión Servidores BE-FE LAN WAN RedIRIS Internet WAN RedIRIS WEB WAN1 operador WAN2 operador Balanceadores Aplicación DMZ PUB Hosting DMZ SMS Balanceadores WAN DMZ PUB LB Hosting DMZ Citrix Seguridad perimetral MPR Seguridad perimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN Seguridad DMZ DMZ BackEnd Hosting Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara WAFs LAN Conexión Servidores BE-FE

5.2 Integración Sistemas Evolución de los Sistemas Inicialmente (Oct-Dic 2010) : Se instalan los servidores desde plataforma de backup BT en zona temporal con direccionamiento final para favorecer la migración a la DMZ Duplicación de componentes, y distribución en 2 CPDs Modificaciones: Ampliación de servicios de cluster para almacenamiento de logs y videos No duplicación del cluster Traslado del frontal de indexación al Back-End Virtualización de la plataforma Redundancia de datos de cabina

5.2 Integr. Sistemas Entorno final (INIA+Pvoz)

Objetivo: Paso a producción sin pérdida de servicio - Tareas previas: Creación usuarios gestión de contenidos nuevo dominio (Sistemas) Se envían dos discos a BT para tener disponibles dos copias de seguridad de BD, viernes 1h y sábado 1h - viernes, 6 de mayo, tareas previas para reducir el tiempo de paso a producción Reducción al máximo posible el TTL del DNS Recuperación y configuración de BDs viernes 1h Configuración de privilegios de gestión de contenidos nuevo dominio en DMZ Validación de credenciales y privilegios para todos los sitios web 7 de mayo, 15 horas, inicio del paso a producción (ventana: 15 a 19 horas) Se comprueban los contenidos actualizados desde la 1h del viernes 6 Se exportan de BT los últimos contenidos actualizados Se importan en MPR los contenidos exportados Se actualizan las aplicaciones Word A Web en la SEC (Panaderos y Referencia) A las 15:45 se hace van haciendo públicas las distintas webs, finalizando con La Moncloa a las 17:45, momento en que se da por finalizado el paso a producción No fue necesario utilizar la segunda copia de seguridad del sábado 7 a la 1h 57

5.3 Paso a Producción LISTA FINAL DE WEBS EN DMZ MONCLOA: La Moncloa, www.lamoncloa.gob.es Memoria Histórica, wwrw.memoriahistorica.gob.es Tvinfancia, www.tvinfancia.es Plan Nacional de la Alianza de Civilizaciones, www.pnac.es 9 Oficinas de Prensa, Argentina, Brasil, EEUU, Francia, Japón, Méjico, Reino Unido, Polonia y Rusia Servicios MPR: Actividad Parlamentaria y Legislativa, Publicaciones, Acreditaciones y Agenda de la Comunicación Presidencia Española de la Unión Europea, www.eu2010.es Eutrio, www.eutrio.es Cumbre Iberoamericana, www.cumbre-iberoamericana.org EuroMed Barcelona, www.euromedbarcelona.es España Solar, www.espanasolar.es 58

6. Fases Posteriores Fase 2 Despliegue servidores con arquitectura de mpr.es y Sede electrónica desde la sede en MdM (Linux+Apache+tomcat+Magnolia+MySQL) en DMZ Traslado web mpr.es Traslado sede electrónica

Arquitectura escalable WAN Anillo Moncloa/ Rico/Red Sara WAN B Sw Internet Balanceadores WAN DMZ PUB Hosting App LB PUB DMZ PUB WEB DMZ SMS DMZ PUB LB Hosting DMZ PUB LB WEB DMZ Citrix Seguridad perimetral DMZ Correo DMZ PRV Hosting DMZ PRV WEB sw frontera DMZ VPN Seguridad DMZ WAFs DMZ BackEnd Hosting Fw Ministerios FW interno DMZ BackEnd WEB WAN Anillo Moncloa/ Rico/Red Sara LAN

6. Fases Posteriores Fase 3 Integración de las DMZ de servicios perimetrales en la nueva DMZ Correo Videoconferencia Navegación web VPN Citrix Redundancia líneas Rediris Ampliación ancho banda operador 2 Auditoría Global. Hacking ético. Nuevas Webs (proyecto similar a Fase 2) Posibilidad de servicio tipo Cloud

Migración progresiva sin impacto LAN WAN RedIRIS Internet WAN RedIRIS WEB WAN op1 WAN op2 Migración progresiva sin impacto Balanceadores Aplicación DMZ PUB Hosting DMZ SMS Seguridad perimetral MPR Balanceadores WAN DMZ PUB LB Hosting DMZ Citrix Seguridad perimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN Seguridad DMZ DMZ BackEnd Hosting Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara WAFs LAN

Migración progresiva sin impacto LAN WAN RedIRIS Internet WAN RedIRIS WEB WAN op1 WAN op2 Migración progresiva sin impacto Balanceadores Aplicación DMZ PUB Hosting DMZ SMS Seguridad perimetral MPR Balanceadores WAN DMZ PUB LB Hosting DMZ Citrix Seguridad perimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN Seguridad DMZ DMZ BackEnd Hosting Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara WAFs LAN

Migración progresiva sin impacto LAN WAN RedIRIS Internet WAN RedIRIS WEB WAN op1 WAN op2 Migración progresiva sin impacto Balanceadores Aplicación DMZ PUB Hosting DMZ SMS Seguridad perimetral MPR Balanceadores WAN DMZ PUB LB Hosting DMZ Citrix Seguridad perimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN Seguridad DMZ DMZ BackEnd Hosting Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara WAFs LAN

Balanceadores Aplicación WAN Anillo Moncloa/ Rico/Red Sara WAN RedIRIS Internet WAN RedIRIS WEB WAN BT1 WAN BT2 Balanceadores Aplicación DMZ PUB Hosting DMZ SMS Balanceadores WAN DMZ PUB LB Hosting DMZ Citrix Seguridad perimetral DMZ DMZ Correo DMZ PRV Hosting Sw frontera DMZ VPN Seguridad DMZ DMZ BackEnd Hosting Fw Ministerios FW interno WAN Anillo Moncloa/ Rico/Red Sara WAFs LAN

Servicio Cloud

7. Datos Proyecto IVA INCL Adquisiciones Servicio 24x7 Comunicacines SERVICIO 1er AÑO Adquisiciones Equipos comunicaciones: 87.000 € Equipos seguridad 215.000 € Equipos Sistemas+Alm 150.000 € Licencias 50.000 € Consultoría y Despliegue (Fase1) Tiempo: 7 meses Personas externas 1 Jefe Proyecto (30%) 1 Consultor (70%) 1 Técnico de Sistemas/comms (100%) Personas internas (Ministerio) 1 Director Proyecto 2 Tecnicos Comms/Seg . al 60% 2 Tecnicos Sistemas. al 50% 1 Analista Prog. Web al 50% Coste 71.000 € Servicio 24x7 SNOC + Admon insitu: 15.600 €/mes Comunicacines Rediris: 0 € Operador 2 5.800 €/mes SNOC + Admon insitu: 16.600 €/mes Mtmtos HW Comms+Seg 60.000 €/año Sistemas 20.000 €/año Operador 2 7.800 €/mes IVA INCL SERVICIO 2do AÑO

GRACIAS. Julián Hernández Vigliano   Jefe del Departamento de Tecnologías Subdirección General de Tecnologías y Servicios de Información Ministerio de la Presidencia Complejo de la Moncloa - Edificio INIA – Desp. 001 Avda. de Puerta de Hierro s/n - 28071 Madrid Tel: 913353214 / 630711030 - Fax: 913353387 julian.hernandez@mpr.es