Infraestructura Tecnológica NORTIC A1: Capítulo IV
En el siguiente capítulo se establecen las directrices que todo organismo gubernamental debe aplicar para una correcta disposición de su infraestructura a nivel de conectividad, servicios de la Voz sobre IP (VoIP, por sus siglas en inglés) y la documentación de la red, así como para la computación en la nube.
-
Conectividad Abrir o Cerrar
Para una conectividad efectiva a nivel de datos, todos los organismos gubernamentales deben hacer una buena administración de su Red de Área Local, la Red Privada Virtual y la Red de Área Local Inalámbrica (LAN, VPN y WLAN, respectivamente, por sus siglas en inglés), evitando la infiltración de intrusos y pérdida de información.
Administración de la red de área local
Toda LAN debe poseer un esquema de su topología de datos y direccionamiento, permitiendo así una mejor configuración y conexión física de sus equipos, tales como: enrutadores y conmutadores; por lo que estos deben cumplir con los requerimientos necesarios para operar en la red de datos.
Topología y direccionamiento
- La LAN de cada organismo gubernamental debe estructurarse en base a una de las siguientes topologías de red:
-
Topología estrella: Es aquella en la cual todos los puntos deben conectarse a un dispositivo central en la red.
-
Malla completa: Es aquella en la cual todos los dispositivos deben tener conexión redundante entre sí.
-
Malla parcial: Es aquella en la cual algunos dispositivos deben tener conexión redundante con otros dispositivos en la red.
-
-
Todo direccionamiento de la red debe estructurarse en base a una de estas clases de direcciones IP privadas:
-
Direcciones de Clase A, las cuales comprenden un rango desde la 10.0.0.0 hasta la 10.255.255.255 para 16,777,214 dispositivos por red.
-
Direcciones de Clase B, las cuales comprenden un rango desde la 172.16.0.0 hasta la 172.31.255.255 para 65,534 dispositivos por red.
-
Direcciones de Clase C, las cuales comprenden un rango desde la 192.168.0.0 hasta la 192.168.255.255 para 254 dispositivos por red.
-
- Debe implementarse procesos para mejorar la segmentación de la red, tales como:
-
-
División de sub-redes como técnica de direccionamiento de la red.
-
Máscaras de sud-red de tamaño Variable (VLSM, por sus siglas en inglés) como solución de direccionamiento y reducir el desperdicio de direcciones IP.
-
Sumarización de direcciones IP, para la optimización recursos en los cálculos de las rutas IP.
- Cualquier otro que se considere necesario.
-
Enrutadores y conmutadores
- El enrutador debe contar con las siguientes características:
-
Soportar mínimamente los siguientes protocolos:
-
Protocolo de Información de Enrutamiento (RIP, por sus siglas en inglés).
-
Protocolo del Primer Camino Más Corto (OSPF, por sus siglas en inglés).
-
-
Soporte para direccionamiento IPV4 e IPV6.
-
Herramientas para realizar el respaldo de las configuraciones.
-
Soporte o garantía por parte del proveedor, en caso de averías o daños.
-
El enrutador debe ser interoperable con cualquier otro equipo de la red.
-
Acceso vía línea de comando y gráfica.
-
Controles de autenticación para el acceso.
-
-
El conmutador debe contar con las siguientes características:
-
Compatibilidad con los estándares del IEEE:
-
IEEE 802.1, para evitar el acceso no autorizado a la red de datos por medio de la capa 2.
-
IEEE 802.3u, y superiores, como estándar para los medios Ethernet.
- Soporte para los siguientes protocolos de gestión remota:
-
Protocolo Simple de Administración de Red (SNMP, por sus siglas en inglés).
-
Protocolo de Red de Telecomunicación (Telnet, por sus siglas en inglés).
-
Protocolo de Transferencia de Hipertexto (HTTP, por sus siglas en inglés).
-
- Luces que indiquen el estado del equipo, tales como:
-
Encendido.
-
Actividad de conexión.
-
Conexión estable.
-
Cualquier otro estado necesario.
-
-
Debe tener herramientas para realizar respaldo de las configuraciones.
-
Debe tener soporte o garantía por parte del proveedor, en caso de averías o daños.
- Debe ser interoperable con cualquier otro equipo de la red.
-
Debe permitir la implementación de Red de Área Local Virtuales (VLAN, por sus siglas en inglés).
- Debe permitir configuraciones para la segmentación de la red.
-
-
Conexión física entre dispositivos
- Si la longitud del segmento de red de dato es igual o menor a 100 metros, debe utilizarse la configuración en base a:
-
100BASE-T, para Fast Ethernet sobre Par Trenzado sin Blindaje (UTP, por sus siglas en inglés).
-
1000BASE-T, para Gigabite Ethernet sobre Par Trenzado sin Blindaje (UTP, por sus siglas en inglés).
-
-
Si la longitud máxima del segmento es de 550 metros, debe utilizarse Gigabit Ethernet 1000BASE-LX.
-
Si la longitud máxima del segmento es de 220 metros, debe utilizarse Gigabit Ethernet 1000BASE- SX 62.5 de micrones.
-
Todo el cableado de la red debe estar etiquetado e identificado.
-
Las categorías de cable UTP permitidas son las siguientes:
-
Categoría 5e, para soportar velocidades de transmisión de datos hasta los 100 Mbps.
-
Categoría 6, para soportar velocidades de transmisión de datos hasta los 1,000 Mbps.
-
Categoría 7, para soportar velocidades de transmisión de datos hasta los 10 Gigabit Ethernet.
-
-
La configuración del medio de transmisión de datos debe ser en bidireccional simultánea.
-
El conector terminal para el cableado debe ser:
-
Para UTP:
-
Conector Registrado 45 (RJ-45, por sus siglas en inglés) para UTP.
-
- Para fibra óptica:
-
Conector Cuadrado y el Conector Cuadrado Dúplex (SC, por sus siglas en inglés).
-
Conector de Punta Recta (ST, por sus siglas en inglés).
-
Conector Lucent (LC, por sus siglas en inglés).
-
Conector de Canal de Fibra (FC, por sus siglas en inglés).
-
Conector de Interfaz de Datos Distribuida por Fibra (FDDI, por sus siglas en inglés).
-
-
Administración de la red privada virtual y la red de área local inalámbrica
- Los protocolos de seguridad en las conexiones en una VPN que los organismos deben utilizar son los siguientes:
-
Seguridad del protocolo IP (IPsec, por sus siglas en inglés).
-
Capa de Conexión Segura (SSL, por sus siglas en inglés).
-
Intérprete Órdenes Seguras (SSH, por sus siglas en inglés).
-
-
Las conexiones VPN deben utilizar algoritmos y protocolos que aseguren la integridad de los datos, tales como:
-
Algoritmo de Resumen del Mensaje[41] (MD5, por sus siglas en inglés).
-
Algoritmo de Hash Seguro (SHA1, por sus siglas en inglés).
-
- Debe implementarse algoritmos de cifrado de datos, tales como:
-
El Estándar Triple de Cifrado de Datos (TDES, por sus siglas en inglés).
- El Estándar de Cifrado Avanzado (AES, por sus siglas en inglés).
-
-
Los estándares que deben utilizarse para la conexión en la WLAN tienen que estar bajo criterios de la IEEE.
-
La WLAN debe tener métodos de cifrado como el Acceso WIFI Protegido (WPA, por sus siglas en inglés), el Acceso WIFI Protegido 2 (WPA2, por sus siglas en inglés) y cualquier otro superior.
-
Debe proveer funcionalidad para las Zonas Desmilitarizadas (DMZ, por sus siglas en inglés), el protocolo de Autenticación Remota para Servicios de Marcado a Usuarios (RADIUS, por sus siglas en inglés) y el Protocolo de configuración Dinámica de Host (DHCP, por sus siglas en inglés).
- Debe estar en una sub-red diferente a las demás redes.
Estructura del centro de datos y administración de servidores
Los organismos gubernamentales deben disponer de una topología de red del centro de datos, la cual permita identificar las diferentes áreas de operación, disposición de equipos y cableados. Del mismo modo, debe contar con un sistema de ventilación y espacios físicos adecuados. Los servidores de datos deben estar administrados contando con políticas de seguridad y herramientas de respaldo de información, así como también con los requerimientos mínimos de hardware para su operación.
Topología del centro de datos
- Debe crearse un diseño de la topología como se muestra en el figura 1.
-
Debe contar con un Cuarto de Entrada (ER, por sus siglas en inglés) para la conexión del proveedor del servicio.
-
Debe contar con un Área Central de Distribución (MDA, por sus siglas en inglés) para la conexión del cableado Cruzado Principal (MC, por sus siglas en inglés).
-
Debe contar con un Área Horizontal de Distribución (HDA, por sus siglas en inglés) para la conexión del cableado Cruzado Horizontal (HC, por sus siglas en inglés).
-
Debe contar con un Área de Distribución Zonal (ZDA, por sus siglas en inglés) para el punto de consolidación.
-
Debe contar con un Área de Distribución de Equipos (EDA, por sus siglas en inglés) para la localización de los equipos y armarios.
- Debe contar con un área para el centro de operaciones y soporte.
Cableado del centro de datos
- El cableado entre las diferentes áreas debe tener las siguientes especificaciones:
-
Contar con un cableado horizontal desde HDA a una entrada en el EDA o ZDA.
- El tipo de cable a utilizar debe tener las siguientes especificaciones:
-
Cable de par trenzado de 100 ohm de categoría 6, certificado bajo el estándar ANSI/TIA/EIA-568B.2-1.
-
Cable de fibra óptica multimodo 62.5/125 micrones, 50/125 micrones, o algún otro superior, aprobado por el estándar ANSI/TIA/EIA-568-B.3.
-
Cable de fibra óptica monomodo, certificado bajo el estándar ANSI/TIA/EIA-568-B.3.
- Cable coaxial de 75 ohm tipo 734 y 735.
-
-
La distribución del cableado debe ser mediante bandejas o canaletas que posean las diferentes divisiones, tanto para cableado UTP, coaxial, fibra óptica y el cableado eléctrico.
-
Debe elaborarse y aplicarse un esquema de etiquetado para los armarios, cables, paneles de conexión y los cables de conexión entre los paneles.
-
Condiciones físicas y ambientales del centro de datos
- La altura mínima del centro de datos debe ser de 2.6 metros.
-
El tamaño de la puerta debe ser igual o superior a 1 metro de ancho y 2.13 metros de alto.
-
La temperatura debe estar entre 20 y 25 grados Celsius.
-
Debe contar con una alarma contra incendios.
Administración de servidores del centro de datos
- El servidor debe contar con las siguientes especificaciones mínimas:
-
Una herramienta de respaldo y un sistema de restauración en caso de fallas.
-
Tarjeta de red redundante.
- Reporte o informe de fallas en el hardware y sistema del equipo.
-
Utilizar técnicas para el balanceo de cargas cuando exista una saturación en el tráfico de información.
-
-
Debe utilizarse servidores de prueba, antes de realizar cambios en la red en un ambiente de producción.
- Debe aplicarse políticas de control y manteamiento, tales como:
-
Establecer políticas y controles para la aplicación de actualizaciones, tomando en cuenta las directrices mencionadas en el punto sobre Actualización del software adquirido.
-
Elaborar políticas de usuario para la asignación de los privilegios de acceso físico al centro de datos, según lo establecido en el punto sobre Controles de acceso a la infraestructura.
-
Establecer políticas para la generación de copias de respaldo del sistema de acuerdo a lo establecido en el punto sobre Respaldo de la información.
-
Elaborar políticas de seguridad basadas en el uso de sistemas de protección contra intrusos.
-
-
Los servidores deben contar mdínimamente con los siguientes sistemas de protección:
-
Antivirus.
- Cortafuegos.
-
-
Debe utilizarse una o más de las siguientes tecnologías de almacenamiento que soporten Entradas y/o Salidas (I/O, por sus siglas en inglés) o un Conjunto Redundante de Discos Independientes (RAID, por sus siglas en inglés) tales como:
-
- Interfaz de Sistema para Pequeñas Computadoras versión 3 (SCSI 3, por sus siglas en inglés).
-
Acoplamiento Serial SCSI (SAS, por sus siglas en inglés).
-
Unidad de Estado Sólido (SSD, por sus siglas en inglés).
-
Cualquier otro medio compatible con esas tecnologías.
Administración del servicio de voz sobre IP
- El cableado de la red debe estar basado en UTP categoría 5e o superior.
-
Debe separarse el direccionamiento de la VOIP de la red de datos.
-
Los conmutadores utilizados para la implementación de la VOIP deben soportar:
-
Arquitectura de conmutación en base a VLAN, para una mejor segmentación del tráfico de la red generado por el VoIP.
-
Calidad de servicio (QoS, por sus siglas en inglés), para obtener un mejor rendimiento en el tráfico de llamadas en la red.
-
- La LAN de cada organismo gubernamental debe estructurarse en base a una de las siguientes topologías de red:
-
Documentación de la red de datos Abrir o Cerrar
- Debe elaborarse un diagrama de la LAN, en el cual se presenten como mínimo los siguientes elementos:
-
Dispositivos de la red: Enrutador, conmutador, servidores y cualquier otro equipo de relevancia que contenga la topología.
-
Líneas de conexión entre los diferentes dispositivos.
-
Nombre de la interfaz física de los dispositivos.
-
-
Debe realizarse una documentación del direccionamiento IP de la red que contenga como mínimo los siguientes requerimientos:
-
-
Sub-redes.
-
Las VLAN.
-
Direcciones IP asignadas y su máscara de red.
-
Cantidad de equipos en el segmento de red.
-
Código de los equipos.
-
Paquete de direcciones IP públicas provistas por los Proveedores de Servicio de Internet (ISP, por sus siglas en inglés).
-
-
Debe elaborarse un plan de distribución del cableado especificando la siguiente información:
-
-
Lugar de conexión: Este incluye la conexión de los Puntos de Distribución Central (MDF, por sus siglas en inglés) a los Puntos de Distribución Intermedios (IDF, por sus siglas en inglés) o algún otro lugar de conexión en la topología.
-
Código de cable que conecta ambos puntos.
-
Tipo de conexión cruzada vertical o conexión cruzada horizontal, y el número de puerto de conexión en el dispositivo.
-
Tipo de cable utilizado.
- Estado de la conexión, si es habilitado o deshabilitado.
-
- Si toda la documentación es realizada a través de un software o una CMDB, este debe proveer toda la información antes descrita y cualquier otra de interés para el organismo gubernamental.
- Debe elaborarse un diagrama de la LAN, en el cual se presenten como mínimo los siguientes elementos:
-
Computación en la nube Abrir o Cerrar
Con el objetivo de mejorar los servicios utilizados y ofrecidos por los rganismos gubernamentales mediante el uso de la nube computacional, se describen las siguientes pautas que deben implementarse para una efectiva administración y configuración de esos servicios e infraestructura.
-
Todo servicio computacional en la nube utilizado o implementado por los organismos gubernamentales debe cumplir con las siguientes características:
-
Auto-servicio bajo demanda, en el cual los organismos puedan solicitar recursos sin interacción con el proveedor.
-
Acceso a través de diferentes medios, permitiendo a los organismos acceder mediante cualquier dispositivo.
-
Agrupación de recursos, en el cual los recursos se encuentren agrupados en un lugar común para diferentes organismos.
-
Elasticidad, en la cual los organismos puedan aumentar la capacidad de sus recursos de acuerdo a las necesidades.
-
Medición del servicio, en donde el organismo pueda monitorear y controlar el uso de sus recursos.
-
-
Todo modelo de servicio computacional en la nube utilizado o implementado por los organismos gubernamentales debe estar bajo los siguientes criterios:
-
Para una Infraestructura como Servicio (IaaS, por sus siglas en inglés):
-
Debe proveerse al organismo de procesamiento, almacenamiento, redes y cualquier otra característica de hardware necesitado, en la cual el organismo pueda implementar sus sistemas o aplicaciones.
-
El organismo, debe administrar sus aplicaciones y sistemas dispuestos sobre la infraestructura de la nube computacional.
-
La infraestructura física de la nube computacional debe estar administrada por el proveedor del servicio.
-
-
Para una Plataforma como Servicio (PaaS, por sus siglas en inglés):
-
Debe permitírsele al organismo, desarrollar y ejecutar sistemas codificados en base a diferentes lenguajes de programación y tecnologías que el proveedor del servicio brinde soporte.
-
El organismo debe tener control de las aplicaciones y sistemas desarrollados.
-
La infraestructura física de la nube computacional debe estar
administrada por el proveedor del servicio.
-
- Para un Software como Servicio (SaaS, por sus siglas en inglés):
-
El organismo debe hacer uso de todas las aplicaciones que se ejecutan en la infraestructura de la nube computacional.
-
Las aplicaciones ejecutan en la infraestructura de la nube computacional deben ser accesibles por el organismo desde cualquier dispositivo, a través de un navegador web.
-
El proveedor del servicio debe administrar y controlar toda la infraestructura de la nube computacional, así como aplicaciones y sistemas.
-
-
-
Todo servicio computacional en la nube utilizado o implementado por los organismos gubernamentales debe tener al menos una de las siguientes certificaciones:
-
ISO/IEC 27001:2005, sobre técnicas de seguridad de la información y administración de sistemas. Certificada y auditada por la ISO.
-
Controles de la Empresa de Servicios 1 y 2 (SOC 1, SOC 2, por sus siglas en inglés) junto con la Declaración sobre Normas de Auditoria 16 y el Estándar Internacional en Aseguramiento de Compromisos 340 (SSAE 16/ISAE, por sus siglas en inglés),para medir el control de las informaciones financieras de una organización o presa de servicios.
-
Matriz de Control en la Nube[88] (CCM, por sus siglas en inglés), creada por la CSA para controles de seguridad en plataformas de clientes y proveedores de servicios computaciones en la nube.
-
-