Región de Murcia joven hasta los 40. Región de oportunidades Canal Whatsapp Web CARM
Contenido principal

Economía, Hacienda y Empresa
Dirección General de Patrimonio

Arquitectura de Seguridad Avanzada (Asa)

Durante 2005 y 2006 se concibió y desarrolló el proyecto ASA (Arquitectura de Seguridad Avanzada), que incluía la infraestructura de seguridad en sistemas, comunicaciones y aplicaciones corporativas de la Administración Regional. Este modelo se basa en vigilar y filtrar la comunicación entre bases de datos, aplicaciones e interfaz web de usuario mediante dispositivos especializados y de alta disponibilidad.

En la arquitectura de las aplicaciones se separan claramente los niveles de comunicación entre los distintos tipos de sistemas. Así, son los servidores de aplicaciones los únicos que se comunican con la base de datos y son los servidores web los encargados de ofrecer la capa de presentación. Los cortafuegos hacen de filtro entre cada una de las capas, de forma que se minimicen los riesgos asociados a cada uno de los elementos que componen la arquitectura.

Arquitectura de las aplicaciones

Arquitectura de las aplicaciones

Asimismo, se estableció para cada aplicación la creación de entornos de desarrollo, pruebas y producción no conectados entre sí, y mecanismos de traspaso de programas y datos entre entornos. De esta forma, el entorno de desarrollo se encuentra abierto exclusivamente a la subred que está desarrollando, pero sin limitaciones de acceso a ninguno de los productos, sea de sistemas o de base de datos.

El entorno de pruebas dispone de una configuración similar a la de producción. A ella no pueden acceder desarrolladores, solo las personas responsables del proyecto y usuarios clave para pruebas. El entorno de producción, al igual que el de pruebas, dispone de las capas bien diferenciadas, separadas cada una de ellas por cortafuegos y habilitadas las reglas para que no permitan la conexión directa de servidores web a base de datos, o cualquier otro tipo de conexión.

El traspaso de programas se realiza entre entornos, y nunca se traspasa los programas directamente a producción.

Esquema de traspaso entre entornos

Esquema de traspaso entre entornos

El traspaso de datos se encuentra también protocolizado, de forma que no se permite el traspaso de datos de pruebas a desarrollo, y solo se permite el traspaso de datos de producción a pruebas pasando por procesos de anonimato.

Esquema de traspaso entre entornos. Protocolo de funcionamiento

Esquema de traspaso entre entornos. Protocolo de funcionamiento

Otro elemento importante que forma parte de la arquitectura de seguridad es el  Perímetro Corporativo de Seguridad (PCS), que es una subred de comunicaciones de la CARM que permite la conexión con Internet (a través de múltiples conexiones de dos operadores distintos) a las distintas subredes de la CARM: Intranet o red de usuarios y DMZs o redes de servidores para publicación.

La arquitectura del PCS se basa en un doble anillo de cortafuegos con diferentes tecnologías (marcas Cisco y Nokia) que crea una red de interconexión con Internet aislando las DMZs y red de usuarios, realizando funciones de traducción de direcciones (NAT), gestión de ancho de banda, caché, filtrado de contenidos y supervisión de las conexiones fuera de banda.

Esquema lógico del PCS

Esquema lógico del PCS

Son varios los elementos hardware y software que componen el PCS, destacando, desde Internet hacia dentro, los routers de acceso a los operadores que proporcionan la conexión a Internet hasta un ancho de banda de 420 Mbps, un primer cluster activo-pasivo de cortafuegos Cisco que realizan un filtrado de reglas básicas en la conexión con Internet a nivel de puertos comunes para toda la red corporativa, el gestor de seguridad que realiza, entre otras, funciones de antivirus, prevención de ataques y filtrado de contenidos, el gestor de ancho de banda, la caché corporativa, y el segundo cluster activo-pasivo de cortafuegos Nokia que realizan el filtrado adecuado para las diferentes redes conectadas al PCS: red de usuarios, DMZs hosting y housing y DMZ remotas.

Con todo ello, podemos concluir que disponemos de un entorno suficientemente seguro, pero que como todos sabemos la seguridad es un proceso en si mismo y nuca un fin, por lo que seguimos trabajando en la puesta en marcha de nuevos proyectos que nos ayuden a minimizar los riesgos, tanto los que tenemos en la actualidad como los que están por llegar.

 

 

Contenidos Asociados: