Servicios de Acceso y Distribución
A continuación, y agupados en áreas temáticas diferenciadas, se detallan los estándares tecnológicos de este grupo:
Servicios de Distribución
Dentro de estos servicios se estudian cuáles son los puntos de distribución del resto de servicios de la red del Gobierno Vasco. Cada punto de distribución va a ser accedido por distintas redes y todos los puntos de distribución comparten la misma infraestructura de red definida anteriormente. En cada punto de distribución se alojan los recursos hardware y software sobre los que posteriormente se albergarán las plataformas y servicios de infraestructura del Gobierno Vasco.
A través de estos puntos se van a ofrecer distintos servicios según la red que accede al punto y a quien va dirigido el servicio. Así tenemos:
- Internet: Servicios ofrecidos a través de Internet para cualquier persona de dicha red.
- Intranet: Servicios ofrecidos para la red privada de la entidad —RCAGV—. Está red privada puede estar compuesta de múltiples redes unidas.
- Extranet: Servicios que se ofrecen para una red privada que utiliza Internet o sistemas públicos de telecomunicaciones donde se comparte información de negocio (o funcionalidades de ciertos negocios) con terceros y entidades colaboradoras.
Exposición de Servicios
Denominamos «exposición de un servicio» al despliegue y apertura de dicho servicio en la red, de manera que pueda ser accedido por multitud de usuarios. Las arquitecturas multicapa son las que mejor garantizan la exposición de un servicio.
Las plataformas anteriormente mencionadas tienen la misma estructura multicapa (WEB, Servidor de Aplicaciones, «BackOffice») y tienen los mismos requerimientos de seguridad. Su implementación se realiza con elementos comunes de la infraestructura, como son los cortafuegos o «firewalls», mecanismos de detección de intrusos, sistemas antivirus, filtros de contenidos, etc.
A la hora de exponer los servicios, el criterio que más importancia tiene es la seguridad. Ésta se apoya tanto de la infraestructura como en el diseño y desarrollo de las aplicaciones que sirven de soporte a dichos servicios, de manera que se puedan garantizar los adecuados niveles de seguridad. Según el punto de acceso, la exposición de un servicio con respecto a la seguridad y posibles ataques que pueda sufrir es mayor. Así tenemos de mayor a menor exposición: Internet, Extranet e Intranet.
Prácticas de Exposición
Cada servicio se distribuirá desde el punto que tenga visibilidad para la red donde residen los clientes que se tienen que conectar: Intranet, Extranet, Internet. Si un mismo servicio tiene visibilidad desde más de un punto, se colocará en aquél que sea más expuesto.
De esta forma, si un mismo servicio tiene que tener accesibilidad desde todos los puntos de acceso se colocará en el sitio más expuesto, que es Internet. Existen otros criterios que pueden hacer que el servicio se replique en más de un punto de acceso:
- Garantizar un nivel de servicio
- Número de clientes desde los distintos puntos de acceso
- Recursos software y plataformas hardware disponibles
La exposición de los «BackOffice», en concreto, de las bases de datos de los sistemas existentes, implica tomar medidas como pueden ser la replicación de datos, el uso de esquemas de base de datos diferentes según el punto de acceso o seguir patrones de integración a través de plataformas de exposición de servicios.
Estos son los estándares tecnológicos asociados al área temática "Servicios de Distribución":
Modelo de Interconexión JASO/SARA | 03/07/2017 |
---|
Servicios de Acceso
Vamos a definir cuáles y cómo son los accesos entre los usuarios y las aplicaciones en el acceso a los puntos de distribución de servicios. Para ello vamos a distinguir por cada uno de los puntos de distribución de la red (Intranet, Extranet e Internet), qué accesos se permiten y con qué interfaces o dispositivos se logra dicho acceso. Es muy importante, antes de definir cuáles y cómo son los accesos entre los usuarios y las aplicaciones, explicar lo que es un dispositivo administrado dentro del ámbito del Gobierno Vasco.
Un dispositivo administrado reúne:
- Software estándar: Windows 7, Office, antivirus McAfee, XLNetS, SCCM
- Configuración estándar, administrada por políticas de Directorio Activo
- Perfiles de seguridad preestablecidos
- Instalación, soporte y administración centralizada
Establecer una configuración de escritorio estandarizada facilita la instalación, actualización, administración, soporte y reemplazo de los equipos. Cuando se estandarizan las configuraciones, el software, el hardware y las preferencias, es más fácil implementar un sistema operativo y las actualizaciones de las aplicaciones, así como los cambios a las configuraciones que puedan garantizar su funcionamiento en todos los PC’s.
Los dispositivos no administrados son aquellos en los cuáles los administradores del sistema no pueden controlar las configuraciones de seguridad del sistema operativo o la instalación y configuración de un software de seguridad especializado, por ejemplo el antivirus. Los PC’s no administrados en una red presentan una de las amenazas más serias a la estabilidad general de la red. En la Red Corporativa Administrativa del Gobierno Vasco—RCAGV—, el parque de equipos, tanto sobremesa como portátiles, son dispositivos administrados de forma centralizada.
Acceso | Intranet | Extranet | Internet |
Desde redes LAN |
Se trata de dispositivos administrados:
|
Desde puestos conectados a la RCAGV. Se trata de dispositivos corporativos, o sea, administrados centralizadamente, con software estándard y seguros:
|
|
Desde redes externas | - |
Desde puestos conectados a LAN distintas de la RCAGV, con las que hay una relación de colaboración. Se trata de dispositivos no corporativos dotados de navegador Web:
|
Desde dispositivos no administrados (sobremesa, portátil, «Smart Phone») mediante uso de navegador Web:
|
Vía VPN |
Desde dispositivos corporativos con software de VPN. El dispositivo desde el que se accede es un PC portátil administrado y seguro, dotado de software estándard de VPN:
|
Desde dispositivos no corporativos con software de VPN y navegador Web:
|
- |
Estos son los estándares tecnológicos asociados al área temática "Servicios de Acceso":
Tecnologías para identificación | 03/07/2017 | |
---|---|---|
VPN. Arquitectura y formas de conexión | 03/07/2017 |
En la relación electrónica del Gobierno Vasco con otras entidades, trabajadores y ciudadanía en general, se establecen diferentes niveles de seguridad. Independientemente de la relación, la seguridad persigue un mismo propósito para todos los intervinientes en esta relación: proteger la información y proporcionar un entorno donde las funciones de negocio se puedan realizar de manera segura.
La arquitectura de seguridad facilita el acceso a la información, garantizando la confidencialidad, integridad, disponibilidad, autenticidad y no repudio.
Estos son los estándares tecnológicos asociados al área temática "Servicios de Seguridad de Accesos-Dispositivos de Red":
Firewall | 03/07/2017 | |
---|---|---|
Dispositivos de Detección de Intrusos | 03/07/2017 | |
Certificados y Firmas Digitales | 03/07/2017 | |
Autenticación - Protocolos | 03/07/2017 | |
Encriptación VPN | 03/07/2017 | |
Detección de Virus y correo no deseado | 03/07/2017 |
Los servicios de transporte definen el mantenimiento de una sesión de comunicaciones de extremo a extremo, incluyendo los protocolos de acceso y entrega.
Estos son los estándares tecnológicos asociados al área temática "Servicios de Seguridad de Accesos-Servicios de Transporte":
Protocolos y Tecnologías de Transporte | 03/07/2017 | |
---|---|---|
Servicios y Protocolos de Control de Acceso | 03/07/2017 |
Esta área de información se refiere a la infraestructura de autenticación y seguridad común que proporciona a los usuarios el acceso autorizado a todas sus aplicaciones y recursos.
Estos son los estándares tecnológicos asociados al área temática "Servicios de Seguridad de Accesos-Autenticación y Single Sign On":
Autenticación y Single Sign-On | 03/07/2017 |
---|