El Gobierno de Navarra protege su centro de datos
- Implanta una solución antivirus y filtrado web con gestión centralizada
- Realiza las primeras pruebas de concepto de los nuevos productos ‘cloud’ de Panda Security
Mantener seguros el centro de proceso de datos (CPD) y todos los puestos cliente del Gobierno de Navarra no es tarea fácil; más aún teniendo en cuenta, no sólo el volumen sino, también la dispersión geográfica de la infraestructura a proteger. Las cifras hablan por sí solas: unos 20.000 trabajadores, 14.000 cuentas activas de Directorio Activo, más de 600 oficinas y, como imperativo ineludible, servicio 24x7x365. La tarea de hacer frente a este complejo puzzle recae sobre la Dirección General de Modernización y Administración Electrónica (DGMAE), al frente de la cual se encuentra José Luis Menéndez, y cuya misión no sólo es impulsar la administración electrónica sino, además, ser responsable tecnológico de todos los sistemas de información, que se nutren de unos 700 servidores –400 de ellos virtualizados, siendo ésta una tendencia al alza–, dos mainframes y 12.000 estaciones de trabajo (1.500 terminales ligeros), basadas todas en Windows 2003 y 2008, con puestos cliente con Windows XP y MS Exchange 2007 como gestor de correo.
En este escenario, como señala Menéndez, el Gobierno de Navarra ha confiado tradicionalmente en Panda Security para blindar sus sistemas, disfrutando de un elevado grado de satisfacción, hasta el punto de que el Gobierno regional se ha convertido en beta tester de excepción para el fabricante de seguridad. Menéndez explica: “Tenemos un acuerdo por el que la gente de Panda nos pasa el producto cuando ya se encuentra en sus últimas fases de desarrollo, para poder probarlo y sugerir mejoras”, aunque como puntualiza, “en los tres últimos años hemos notado que los desarrollos nos llegan mucho más maduros en estas fases de prueba y calidad de software”. La contribución de la Dirección General ha sido importante en este sentido, puesto que algunas de las novedades introducidas en las últimas versiones han venido motivadas por sus sugerencias, “sobre todo en el caso de la consola centralizada, puesto que debemos de ser el cliente más grande de Panda con este tipo de gestión”.
Justamente la gestión centralizada es uno de los grandes avances que identifica el director general en la última versión de Panda, recién instalada en el Gobierno, y que permite una gestión más centralizada, llegando al extremo de que ahora los más de 12.000 puestos de trabajo son administrados por una sola persona y a tiempo parcial. Con las versiones anteriores la gestión era totalmente descentralizada, por lo que ante cualquier incidencia era necesario realizar desplazamientos por parte del personal técnico. “No hemos cifrado en dinero los ahorros que nos está suponiendo, pero no cabe duda de la cantidad de recursos que nos ha liberado para poder utilizar en otras áreas”, afirma Menéndez,.
La trayectoria de Panda con el Gobierno de Navarra todos estos años ha venido marcada por un soporte local llevado al extremo, puesto que su proximidad geográfica se evidencia en el trato del día a día, “con una gran capacidad de involucración y una total colaboración”. Así, además de toda la defensa antivirus, Panda también cubre el antimalware (Panda GateDefenderPerforma), desde gusanos, troyanos, jokes, dialers, phishing y otros riesgos de seguridad, analizando todos los protocolos más comúnmente utilizados (HTTP, FTP, SMTP, POP3, IMAP4 y NNTP).
En cuanto al servicio antivirus, éste se ha articulado en diferentes entornos: con el de laboratorio se cuenta con el servidor AdminSecure y la base de datos MS SQL2005, junto a un repositorio y servidor de distribución, todo corriendo en una máquina virtual Windows 2003 R2 SP2 sobre VMware con 8GB HD y 1GB RAM, que gestiona una docena de máquinas y servidores de pruebas.
En segundo lugar, el entorno de preproducción, que gestiona unas 100 máquinas y servidores del entorno piloto, funciona como servidor de AdminSecure y un repositorio y servidor de distribución, sobre una máquina virtual Windows 2003 R2 SP2 sobre VMware con 16GB HD y 1GB RAM.
En cuanto al entorno de producción, consta de dos servidores: el principal que hace las veces de AdminSecure primario gestionando unas 6.500 estaciones y servidores y también de repositorio y distribución primario, actualizándose desde Internet. El servidor secundario, por su parte, cumple como AdminSecure secundario, gestionando unas 4.500 estaciones y servidores, y como repositorio y distribución secundarios, actualizándose desde Internet. En ambos casos, el hardware cuenta con CPU a 3,20 GHz, 2 GB RAM, 40 GB HD y son firmes candidatos a ser virtualizados en la próxima migración durante 2010.
Seguridad horizontal
La seguridad del Gobierno de Navarra es lo que se podría denominar un ‘pequeño gran SIMO’, dado que “es imposible unificar todas las necesidades en un único fabricante, bien porque no lo contempla en su oferta, bien porque no cuenta con la mejor solución en todos las áreas”. Así, además de Panda Software en el área de antivirus y filtrado web, la DGMAE ha aglutinado las soluciones de Iron Port (anti-spam), CheckPoint (cortafuegos, VPN SSL y detección de intrusiones), F5 (publicador web), McAfee y S21sec; ésta última encargada, además, de realizar las auditorías externas de seguridad y de poner a disposición su herramienta Bitácora, con la que se llegan a gestionar de salida a Internet 4GB de logs.
Con el objetivo de gestionar las soluciones sin añadir más complejidad al resto del entramado tecnológico, Menéndez explica que “lo centralizamos todo a través de una única herramienta –MS SCOM–, haciendo que cada nueva solución que se implemente se adapte a ella”. Esto ha posibilitado que no exista un área específica de Seguridad: “Es un área más del departamento de TI y las 60 personas que formamos el equipo tenemos conocimiento para ello”.
Para entender este planteamiento de seguridad hay que tener en cuenta sus tres pilares: tecnología, personas y procedimientos. “Lo que los ingleses llaman ’Las tres ‘P’: people, processes & products”, señala Menéndez, que añade que “los fabricantes nos suministran la tecnología y lo que hacemos es tener gente muy buena formada en diferentes áreas y tener unos procedimientos comunes de modo que tratamos las cuestiones de seguridad de un modo ‘horizontal’ y homogéneo minimizando así el ‘SIMO".
En el lado de los procesos, el equipo de Menéndez aplica la máxima de “integrar la seguridad en todos los proyectos; tenemos en cuenta la seguridad en todos los proyectos desde la concepción de la idea y siempre que implantamos una solución en producción la auditamos antes con S21sec”.
El mantenimiento de la infraestructura le ha llevado a no descuidar las actualizaciones y parches en las aplicaciones y así su distribución es trimestral, si bien las críticas se instalan rápidamente. Sólo en 2009 se aplicó en las estaciones de trabajo una media de 60 parches/equipo/año.
La manera de afrontar el boom de las redes sociales y sus riesgos de seguridad asociados ha sido de total apertura: “No limitamos el acceso a ni
- Realiza las primeras pruebas de concepto de los nuevos productos ‘cloud’ de Panda Security
Mantener seguros el centro de proceso de datos (CPD) y todos los puestos cliente del Gobierno de Navarra no es tarea fácil; más aún teniendo en cuenta, no sólo el volumen sino, también la dispersión geográfica de la infraestructura a proteger. Las cifras hablan por sí solas: unos 20.000 trabajadores, 14.000 cuentas activas de Directorio Activo, más de 600 oficinas y, como imperativo ineludible, servicio 24x7x365. La tarea de hacer frente a este complejo puzzle recae sobre la Dirección General de Modernización y Administración Electrónica (DGMAE), al frente de la cual se encuentra José Luis Menéndez, y cuya misión no sólo es impulsar la administración electrónica sino, además, ser responsable tecnológico de todos los sistemas de información, que se nutren de unos 700 servidores –400 de ellos virtualizados, siendo ésta una tendencia al alza–, dos mainframes y 12.000 estaciones de trabajo (1.500 terminales ligeros), basadas todas en Windows 2003 y 2008, con puestos cliente con Windows XP y MS Exchange 2007 como gestor de correo.
En este escenario, como señala Menéndez, el Gobierno de Navarra ha confiado tradicionalmente en Panda Security para blindar sus sistemas, disfrutando de un elevado grado de satisfacción, hasta el punto de que el Gobierno regional se ha convertido en beta tester de excepción para el fabricante de seguridad. Menéndez explica: “Tenemos un acuerdo por el que la gente de Panda nos pasa el producto cuando ya se encuentra en sus últimas fases de desarrollo, para poder probarlo y sugerir mejoras”, aunque como puntualiza, “en los tres últimos años hemos notado que los desarrollos nos llegan mucho más maduros en estas fases de prueba y calidad de software”. La contribución de la Dirección General ha sido importante en este sentido, puesto que algunas de las novedades introducidas en las últimas versiones han venido motivadas por sus sugerencias, “sobre todo en el caso de la consola centralizada, puesto que debemos de ser el cliente más grande de Panda con este tipo de gestión”.
Justamente la gestión centralizada es uno de los grandes avances que identifica el director general en la última versión de Panda, recién instalada en el Gobierno, y que permite una gestión más centralizada, llegando al extremo de que ahora los más de 12.000 puestos de trabajo son administrados por una sola persona y a tiempo parcial. Con las versiones anteriores la gestión era totalmente descentralizada, por lo que ante cualquier incidencia era necesario realizar desplazamientos por parte del personal técnico. “No hemos cifrado en dinero los ahorros que nos está suponiendo, pero no cabe duda de la cantidad de recursos que nos ha liberado para poder utilizar en otras áreas”, afirma Menéndez,.
La trayectoria de Panda con el Gobierno de Navarra todos estos años ha venido marcada por un soporte local llevado al extremo, puesto que su proximidad geográfica se evidencia en el trato del día a día, “con una gran capacidad de involucración y una total colaboración”. Así, además de toda la defensa antivirus, Panda también cubre el antimalware (Panda GateDefenderPerforma), desde gusanos, troyanos, jokes, dialers, phishing y otros riesgos de seguridad, analizando todos los protocolos más comúnmente utilizados (HTTP, FTP, SMTP, POP3, IMAP4 y NNTP).
En cuanto al servicio antivirus, éste se ha articulado en diferentes entornos: con el de laboratorio se cuenta con el servidor AdminSecure y la base de datos MS SQL2005, junto a un repositorio y servidor de distribución, todo corriendo en una máquina virtual Windows 2003 R2 SP2 sobre VMware con 8GB HD y 1GB RAM, que gestiona una docena de máquinas y servidores de pruebas.
En segundo lugar, el entorno de preproducción, que gestiona unas 100 máquinas y servidores del entorno piloto, funciona como servidor de AdminSecure y un repositorio y servidor de distribución, sobre una máquina virtual Windows 2003 R2 SP2 sobre VMware con 16GB HD y 1GB RAM.
En cuanto al entorno de producción, consta de dos servidores: el principal que hace las veces de AdminSecure primario gestionando unas 6.500 estaciones y servidores y también de repositorio y distribución primario, actualizándose desde Internet. El servidor secundario, por su parte, cumple como AdminSecure secundario, gestionando unas 4.500 estaciones y servidores, y como repositorio y distribución secundarios, actualizándose desde Internet. En ambos casos, el hardware cuenta con CPU a 3,20 GHz, 2 GB RAM, 40 GB HD y son firmes candidatos a ser virtualizados en la próxima migración durante 2010.
Seguridad horizontal
La seguridad del Gobierno de Navarra es lo que se podría denominar un ‘pequeño gran SIMO’, dado que “es imposible unificar todas las necesidades en un único fabricante, bien porque no lo contempla en su oferta, bien porque no cuenta con la mejor solución en todos las áreas”. Así, además de Panda Software en el área de antivirus y filtrado web, la DGMAE ha aglutinado las soluciones de Iron Port (anti-spam), CheckPoint (cortafuegos, VPN SSL y detección de intrusiones), F5 (publicador web), McAfee y S21sec; ésta última encargada, además, de realizar las auditorías externas de seguridad y de poner a disposición su herramienta Bitácora, con la que se llegan a gestionar de salida a Internet 4GB de logs.
Con el objetivo de gestionar las soluciones sin añadir más complejidad al resto del entramado tecnológico, Menéndez explica que “lo centralizamos todo a través de una única herramienta –MS SCOM–, haciendo que cada nueva solución que se implemente se adapte a ella”. Esto ha posibilitado que no exista un área específica de Seguridad: “Es un área más del departamento de TI y las 60 personas que formamos el equipo tenemos conocimiento para ello”.
Para entender este planteamiento de seguridad hay que tener en cuenta sus tres pilares: tecnología, personas y procedimientos. “Lo que los ingleses llaman ’Las tres ‘P’: people, processes & products”, señala Menéndez, que añade que “los fabricantes nos suministran la tecnología y lo que hacemos es tener gente muy buena formada en diferentes áreas y tener unos procedimientos comunes de modo que tratamos las cuestiones de seguridad de un modo ‘horizontal’ y homogéneo minimizando así el ‘SIMO".
En el lado de los procesos, el equipo de Menéndez aplica la máxima de “integrar la seguridad en todos los proyectos; tenemos en cuenta la seguridad en todos los proyectos desde la concepción de la idea y siempre que implantamos una solución en producción la auditamos antes con S21sec”.
El mantenimiento de la infraestructura le ha llevado a no descuidar las actualizaciones y parches en las aplicaciones y así su distribución es trimestral, si bien las críticas se instalan rápidamente. Sólo en 2009 se aplicó en las estaciones de trabajo una media de 60 parches/equipo/año.
La manera de afrontar el boom de las redes sociales y sus riesgos de seguridad asociados ha sido de total apertura: “No limitamos el acceso a ni
