El servicio debe ser ágil, pero tampoco podemos olvidar que el sector público maneja datos tan sensibles como por ejemplo los que hacen referencia a la salud de las personas. Es por ello que deben extremarse las medidas de seguridad para blindar las redes y sistemas informáticos y que no pueda hacerse, ni desde fuera ni desde dentro de la propia administración, un uso fraudulento de la importante información que se maneja.
La seguridad en las redes siempre ha sido un tema vital en los diseños de redes de todo tipo, pero el incremento de la digitalización en todos los ámbitos, junto con el auge de las ciberamenazas se ha convertido en una prioridad. Los últimos ejemplos de ataques a nivel global han demostrado que es imprescindible proteger los datos de las amenazas externas e internas.
Desde AST se ha recogido el reto y se han planificado dentro de las actuaciones del Acuerdo Marco de Telecomunicaciones la mejora de todo el servicio Internet del Gobierno de Aragón que incluye entre otras las siguientes actuaciones:
Mayor caudal y alta disponibilidad de los accesos a Internet Corporativos
La finalidad de estas conexiones es doble: por un lado, proveer de acceso centralizado a Internet a los usuarios del Gobierno de Aragón; y por otro, proporcionar una puerta de acceso a los servicios públicos digitales del Gobierno de Aragón a la ciudadanía.
Para ello se han puesto en funcionamiento dos conexiones de 10Gb en alta disponibilidad, en los Centros de Proceso de Datos de Walqa y Pignatelli, incrementándose el caudal disponible de 1 a 10Gb y de 300Mb a 10G, respectivamente. Las conexiones tienen el caudal dedicado y garantizado al 100%, con direccionamiento ip propio para presencia en Internet al estar AST está constituido como Sistema Autónomo en RIPE.
Implementación de electrónica de red de nueva generación
Los nuevos switches disponen de conexiones a 10G escalables en todo el Building Block de Internet y routers con altas capacidades de proceso.
Firewalls Perimetrales
Se han instalado dos Firewalls de nueva gama en alta disponibilidad (Pignatelli/Walqa) con mucho mas rendimiento que los anteriores y especialmente diseñados para implementar las funcionalidades requeridas: inspección de tráfico, habilitar/denegar procesos, filtros de contenidos, control por aplicación L7, informes, etc.
Descifrado SSL con equipamiento dedicado
Desde hace tiempo y por multiples razones se está observando como las organizaciones han decidido cambiar sus estrategias de entrega de servicios para cifrar el tráfico con sus clientes/usuarios.
SSL (Secure Sockets Layer) es un protocolo criptográfico utilizado para proteger las comunicaciones a través de Internet que garantiza la transmisión segura de extremo a extremo y se implementa en todos los navegadores web.
Las transacciones manejadas a través de SSL requieren una potencia computacional considerable para establecer la conexión (handshake), luego cifrar y descifrar los datos transferidos entre los dos puntos cliente-servidor.
El problema es que las transacciones manejardas a través de SSL requieren una potencia de computación considerable para establecer la conexión (handshake), luego cifrar y descifrar los datos transferidos entre los dos puntos. En caso de realizarlo en el propio Firewall perimetral podría comprometer su rendimiento, es por ello que se ha optado por intalar equipos hardware decidados en Pignatelli y Walqa
Proteccion antiDDoSS
Los ciberataques son para algunos ya una forma de vida. Se cree que más del 90% de las organizaciones en todo el mundo han experimentado un ciberataque.
Los ataques DDoS son difíciles de defender y potencialmente costosos, estos pueden provocar interrupciones en el sitio web y la red, datos comprometidos y pérdida económicas importantes.
Los ataques DDoS se han convertido en una mercancía, gracias a la disponibilidad de herramientas DDoS-as-a-Service en Darknet, la mayor vulnerabilidad de los dispositivos IoT y el aumento resultante de botnets, y los hackers con motivos financieros que lanzan campañas de ransomware, los ataques DDoS nunca han sido tan comunes, poderosos o rentables. Es por ello que la protección DDoS y las soluciones de prevención y mitigación de DDoS están tomando cada vez más importancia.
AST está implementado una solución que combina todos los servicios de prevención de ataques DDoS necesarios para que los sistemas informáticos del Gobierno de Aragón sean resistentes a los ataques cibernéticos con una solución de seguridad DDoS híbrida. Dispone de equipamiento hardware en nuestros CPDs y además cuenta con la posibilidad, en caso de ataque masivo, de desviar el tráfico “infectado” a dos centros europeos para recibirlo “limpio” en el Gobierno de Aragón mientras se soluciona el problema.
La solución antiDDoS está instalada actualmente en modo “bypass”, para recopilar información y en breve estará operativa.
Destacar que toda la solución implantada para proveer el servicio de Internet al Gobierno de Aragón está altamente redundada en los dos CPDs principales del Gobierno de Aragón y que se realizan de forma periódica las pruebas de alta disponibilidad del servicio correspondientes para garantizar su correcto funcionamiento.
Con la generalización de Internet y el uso de las tecnologías, las aplicaciones y las redes constituyen un impulso importante para la prestación de servicios tanto internos como al ciudadano. Lo usuarios se conectan a través de ellas y sus datos se han convertido en un foco de atención para los ataques.
Nuestro objetivo es que las aplicaciones se mantengan en funcionamiento y estén protegidas, de forma que ningún ataque ni malware se abra camino en las conexiones. Queremos tener agilidad sin renunciar a la seguridad (ampliando las políticas y controles).
Para conseguirlo se han añadido los elementos que proporcionan tanto la visibilidad de todo el tráfico que pasa por la red, como la capacidad de controlarlo, garantizando la rapidez, la disponibilidad y la seguridad.
