Modelo de Interconexión JASO/SARA
Detalles
Modelo de Interconexión JASO/SARA - Introducción
JASO, es el modelo de interconexión de redes que permite de una manera sencilla y más segura el intercambio eficiente de información electrónica entre dichas redes.
El modelo alcanza a las redes siguientes:
- Red Corporativa Administrativa del Gobierno Vasco (R.C.A.G.V.)
- Red Sanitaria (Osakidetza)
- Red Educativa (Premia)
- Red Judicial
- Red de Interior
- Entes dependientes (SPRI, HAZI, …)
- Entidades singulares o especiales (Parlamento, y Entes que requieren acceso a servicios de la Administración Pública)
Las entidades singulares no podrán presentar servicios en JASO, únicamente tendrán acceso a los servicios que presenten el resto de redes.
El modelo JASO responde a los requisitos establecidos en el Esquema Nacional de Interoperabilidad en lo relativo a Comunicaciones de las Administraciones Públicas. CAPITULO VII:
- Conexión con SARA Red de comunicaciones de las Administraciones Públicas
- Sigue el Plan de direccionamiento de la Administración
- Sincronizado con la Hora Oficial del Real Instituto y Observatorio de la Armada
- Intercambio de correo por Red SARA
Objetivos
Los objetivos que persigue el modelo son:
- Incrementar la interoperabilidad de las infraestructuras de comunicaciones, de los servicios y sistemas de información
- Racionalización del uso de las redes de comunicaciones
- Proporcionar un entorno corporativo seguro (Gobierno Vasco), tanto a nivel de infraestructuras como a nivel de servicios
- Reducir costes de infraestructuras y de gestión de las mismas
- Facilitar la implantación de aplicaciones sectoriales y horizontales
- Integrar infraestructuras con un alto grado de escalabilidad
JASO (Jaurlaritzaren Sare Orokorra)
El principio básico sobre el que se sustenta el modelo de red es el de «opacidad», de cada uno de sus componentes, es decir, cada Organismo será independiente en la gestión de sus infraestructuras de comunicaciones.
Se establecerá que cada Organismo disponga de determinadas zonas, que se denominarán Ikus Arloa; y que estas sean acordes con ciertas normas y estándares, que son las que permitirán interconectar y armonizar la estructura de comunicaciones entre los diferentes Organismos participantes.
En este sentido, cada Organismo será autónomo para configurar y gestionar sus propias redes internas de la forma más oportuna según sus necesidades. Además, y aun cuando la nueva red se define como una red privada, se establecerá una política de seguridad que cada Organismo participante deberá de cumplir.
Zonas principales del modelo: Ikus Arloa / Elkar Arloa
Ikus Arloa son las zonas visibles donde se ubicarán los servicios publicitados de cada Organismo, es decir, la única porción de sus sistemas informáticos accesibles desde otros Organismos. Su función es la de hacer accesible la información y los servicios existentes en el Organismo de una forma segura y controlada.
Así, cada Organismo situará dentro de su Ikus Arloa aquellos sistemas o servicios que quieran poner a disposición de otros Organismos, quedando sus sistemas de información y bases de datos en el interior de su red, inaccesibles desde el exterior.
El centro de servicios comunes, Elkar Arloa, proveerá a todos los miembros de JASO de los servicios de red necesarios (DNS, pasarelas SMTP, etc.) Tanto el Ikus Arloa de la RCAGV como el correspondiente a Entes dependientes y la zona Elkar Arloa serán gestionadas por el Gobierno Vasco.
La Seguridad
La seguridad está basada en el hecho de que la red interna de cada Organismo (Dominio Local) no es accesible de forma directa desde el exterior del mismo (otros Organismos), sino únicamente a través de los sistemas existentes en Ikus Arloa.
De esta forma, los únicos sistemas «atacables» desde el exterior son aquellos existentes en Ikus Arloa y, en ningún caso, los sistemas ubicados en la red de cada Organismo.
Erdigune garantizará que las únicas conexiones físicas existentes en la red serán las que provengan de las zonas Ikus Arloa, Elkar Arloa, y Sarbide Arloa (Accesos Externos).
Arquitectura técnica de Ikus Arloa
Tecnología
La tecnología a utilizar tanto en Ikus Arloa como en Elkar Arloa será Internet; es decir, si se quisiera poner a disposición de otros aplicaciones «no web» se deberían de instalar los servidores «pasarela» necesarios en Ikus Arloa.
El direccionamiento IP (privado) a utilizar será el previsto por el MAP en el «Plan de direccionamiento IP para las Administraciones Públicas» (Gobierno Vasco 10.168.0.0).
Utilización de jerarquías de DNS según el esquema de árbol definido en el modelo.
DNS en JASO
La nomenclatura de nombres a utilizar en JASO por todas las redes integrantes para que los servicios ofertados se identifiquen de forma precisa y no se produzcan duplicidades de servicio por una redundancia en el uso de nombres más comunes, seguirá el siguiente patrón:
- Nombres obligatorios: en negrita
- Nombre opcionales: en cursiva
Nombres opcionales:
- El departamento determinará:
- Al Departamento de la organización que presenta el servicio.
- A la Sociedad o Entidad Pública que presenta el servicio.
- La función como parte del nombre del servicio queda a libre elección del propietario del servicio.
- El nombre «www», como parte del nombre del servicio, queda a libre elección del propietario del servicio.
En el año 2015 la autoridad de certificación y el foro de navegadores (CA/B) estableció que:
«Las autoridades de certificación (CA) deben de eliminar la emisión de certificados SSL para los nombres de los servidores internos y revocar todos los certificados que contienen nombres internos. El plazo será hasta octubre de 2016»
En la actualidad Izenpe no suministra certificados para webs internas. Realmente emite certificados pero desde una CA sin validez legal.
Es necesario evolucionar el espacio de nombres para poder tener certificados de Izenpe de una CA con validez legal (reconocida).
Entorno | Nomenclatura |
Producción | www.funcion.servicio.departamento.organizacion.euskalsarea.eus |
Pruebas | www.funcion.servicio.departamento.pru.organizacion.euskalsarea.eus |
Desarrollo | www.funcion.servicio.departamento.des.organizacion.euskalsarea.eus |
Identificación | Descripción |
Red | Los nombres tendrán como elemento menos significativo de identificación el sufijo:«.EUSKALSAREA.EUS» |
Organización | La Organización (entidad) que presta el servicio debe identificarse como segundo elemento menos significativo |
Departamento |
El Departamento de la Organización que brinda el servicio debe identificarse como tercer elemento menos significativo. En el caso del Gobierno Vasco los Departamentos de su organización aparecen en este nivel:
Por otra parte, las Sociedades y Entidades Públicas utilizarán este elemento para identificarse dentro de la nomenclatura EUSKALSAREA.EUS, como por ejemplo:
|
Servicio | El servicio prestado debe identificarse como cuarto elemento menos significativo |
Función | Para aquellos servicios cuya arquitectura requiera una discriminación de funciones, cada función será identificada como el elemento más significativo del nombre del servicio |
Funcionamiento del DNS
El DNS interno de cada integrante resuelve su espacio de nombres
- EJGV: resuelve internamente ...ejgv.euskalsarea.eus
- Osakidetza ...osakidetza.euskalsarea.eus
- Educación ...hezkuntza.euskalsarea.eus
- Interior …seg.euskalsarea.eus
- Justicia ...justizia.euskalsarea.eus
Cada DNS interno establece replicación para el espacio de nombres que gestiona con el servidor DNS de Jaso (situado en la zona Elkar Arloa). De esta forma, el DNS de la zona Elkar Arloa proporcionará el servicio DNS global para todo el espacio de nombres de JASO que aquí se propone.
Los DNS internos deberán tener definidos un «Forward Zone» al DNS de JASO para todo el espacio de nombres de JASO .euskalsarea..eus (salvo para el espacio de nombres que resuelve dicho DNS)
El DNS de la zona Elkar Arloa establecerá a su vez mecanismos de replicación con el DNS de la A.C del MAP para los servicios accesibles a través de SARA.
Arquitectura DNS
Beneficios del modelo JASO y SARA
Aparte de lo indicado en el apartado de objetivos, este modelo nos permite mejorar el intercambio electrónico seguro de información (correo, aplicaciones, servicios, etc.) entre las Redes Sectoriales, Entes dependientes y la Red Corporativa Administrativa del Gobierno Vasco.
Con la conexión existente entre la Red Corporativa Administrativa del Gobierno Vasco y la red SARA de la Administración General del Estado, automáticamente todas las redes que conforman JASO están conectadas a dicha red y por lo tanto disponen de conectividad con otras redes:
- Corporaciones Locales
- Comunidades Autónomas
- Administración General del Estado
- Unión Europea
Tal y como se define en el Esquema Nacional de Interoperabilidad, y al objeto de satisfacer lo previsto en el Artículo 43 de la Ley 11/2007, se establece la obligación de crear una red de comunicaciones que interconecte las Administraciones Públicas españolas entre sí y con otras redes de las Instituciones Europeas y de otros Estados miembros, para el intercambio de información y servicios entre ellas.
La Red SARA permite la interconexión de las Administraciones Públicas, facilitando el intercambio de información y servicios entre ellas. A través de la Red SARA los Ministerios, las Comunidades Autónomas, los Entes Locales y otros organismos públicos pueden interconectar sus redes de una manera fiable, segura, capaz y flexible.
Además, a través del enlace de la Red SARA con la red transeuropea sTESTA, las Administraciones Públicas españolas se pueden interconectar con redes de instituciones europeas y de administraciones de otros Estados miembros de la UE, para el despliegue y acceso a los servicios paneuropeos de administración electrónica.
El Plan de direccionamiento e interconexión de redes en la Administración facilita la interconexión de las redes de las Administraciones Públicas —en nuestro caso, la red JASO— a través de la Red SARA.
Las redes JASO y SARA son unos instrumentos fundamentales para seguir avanzando en el desarrollo de la administración electrónica, lo que en definitiva supone mejorar el servicio prestado a los ciudadanos.
Característica | Descripción |
Fiabilidad | La red está diseñada con tecnología de última generación VPLS (Virtual Private LAN Services) que la dota de gran capacidad de transmisión de datos. Además, su diseño y tecnología le permiten ofrecer una muy alta disponibilidad para garantizar en todo momento la continuidad del servicio, lo cual se complementa con la existencia de un Centro de Soporte 24 x 7 con unos exigentes acuerdos de nivel de servicio (SLA’s) |
Seguridad | La red implementa medidas de seguridad entre las que destaca el establecimiento de VPNs. Es una red extremadamente segura en la que todo el tráfico circula cifrado por la Troncal. De esta manera queda asegurada la confidencialidad de la información que viaja a través de la red |
Capacidad | La red cuenta con un ancho de banda de 1 Gbps en Ministerios y CPDs (10 veces más que su predecesora), y 100 Mbps en cada Comunidad Autónoma (50 veces más caudal) lo que permite asegurar la capacidad para absorber las exigentes demandas tanto de las aplicaciones existentes como de los nuevos servicios de administración electrónica |
Calidad de Servicio (QoS) | La tecnología VPLS permite dotar a la red de mecanismos de calidad de servicio para tratar a cada dato transmitido de acuerdo a su naturaleza (voz, video, datos), lo cual establece un nuevo abanico de servicios multimedia a incorporar |
Punto-Multipunto | La red está diseñada con un modelo de conexión punto-multipunto «todos con todos», mediante el cual no existe un nodo central en el que convergen todas las conexiones y por tanto se eliminan posibles puntos únicos de fallo. Esta topología se complementa perfectamente con la arquitectura de seguridad existente, en la cual los mecanismos de seguridad están distribuidos en cada nodo, si bien la política es homogénea y con gestión centralizada |
Flexibilidad | La red está diseñada para poder evolucionar y crecer a la medida que lo hagan las necesidades de la Administración |
En general, cualquier servicio que una Unidad Administrativa concreta ofrezca al resto por esta infraestructura será alcanzable vía SARA. La red SARA permite que las Administraciones compartan entre ellas todos los servicios que estimen necesarios.
Además, existen servicios comunes que facilitan el despliegue de la oferta de administración electrónica, y a los que las diferentes Administraciones pueden acceder, tales como los siguientes:
- Verificación de los datos de identidad y residencia
- Plataforma de validación de firma electrónica (@Firma)
- Solicitud de cambio de domicilio
- Notificación electrónica fehaciente
- Pasarela de pago
- Registro electrónico común
- Consultas del estado de expedientes
- Catálogos de procedimientos de las AAPP
- Videoconferencia
- Voz IP
- Entornos de trabajo en colaboración
- Servicios de nueva creación
No aplica
No aplica
No aplica
- Interconexiones externas Servicios (Tecnológicos) - Servicios de Infraestructura - Servicios de Integración de Edificios, Voz, Datos, Interconexiones externas
- NISAE - Nodo de Interoperabilidad y Seguridad de las Administraciones de Euskadi Servicios (Tecnológicos) - Servicios de Interoperabilidad
- Protocolos de Red Servicios (Tecnológicos) - Servicios de Infraestructura - Servicios de Red
- Versión 1: 03-07-2017 (última versión)