Proyecto Al Hokair
Este es el diseño de la infraestructura informática que debería dar servicio a un centro comercial ficticio en Dubai, desplegado por el conglomerado empresarial Al Hokair Group. Se trata de un proyecto de fin de master de Dirección de Seguridad Privada impartido por la UAH (posgrado.uah.es/es/oferta/Direccion-y-Gestion-de-Seguridad-Privada/ ) para el que presté servicios de consultoría a un postulante. El apartado IT del máster no debía ser necesariamente un desarrollo elaborado pero quise aprovechar la oportunidad para diseñar algo que pudiese funcionar en unas instalaciones reales.
Las instalaciones debían cumplir unos requisitos básicos de conectividad, grabación de imagen y detección de incendios. La solución propuesta fue la siguiente:
El diseño se consiste en dos elementos principales que incluyen los servidores, módulos añadidos para cada servicio y un core de red en estrella:
Módulo 1 – Access Points que proporcionan conectividad en todo el recinto.
Módulo 2 – Videovigilancia.
Módulo 3 – Detección contra incendios (PCI).
- Módulo 4 – Para dar soporte a los elementos anteriores se utiliza un cluster de virtualización y un arreglo de discos (cabina o NAS). Aquí se despliegan los servidores que gobiernan los módulos anteriores así como servicios básicos de backup, DNS, directorio activo o LDAP, antivirus, un servidor web para gestión del complejo y un servidor de correo.
Cada módulo descrito tiene su capa de agregación compuesta por swiches standard y cluster de firewalls.
- Módulo 5 – Core de red Se ha prestado especial ateción a la segmentación de capa 2 y al direccionamiento de red. Se ha colocado un servidor HoneyPot en la zona DMZ.
Módulo 6 –Réplica en la nube de la infraestructura. No se trata solo de una solución de Disaster Recovery Plan aunque se indique que es para recuperación. Es un bloque pensado para ser funcional en caso de pérdida o sustitución del módulo 4. El despliegue en AWS implica:
La creación de una cuenta raíz, cuentas de operación y gestión financiera o de otra índole de ser necesario
Idealmente configurar Single Sign On con AWS-Single Account Access.
Crear la VPC con subredes públicas, privadas, NAT Gateway o Puerta de enlace, y el uso de más de una región si el presupuesto lo permite.
Conectar el CPD en Dubai via VPN Site to Site (con especial cuidado en las tablas de rutas).
Configurar las ACL necesarias.
Replicar los servidores locales en EC2. Configurar correctamente los Security Groups.
Aprovechar los servicio de Route 53 y AWS Certificate Manager para dar acceso y securizar la web corporativa.
Estudiar la necesidad o idoneidad del uso de servicios de almacenamiento S3 para backup.
Desplegar CloudWatch y CloudTrail para monitorización y cumplimiento
Uso en todo momento de AWS Budgets, Cost Explorer y el panel de administración para revisar los costes.
El portfolio de AWS es amplísimo, aquí podría tener encaje casi cualquier necesidad si el presupuesto lo permite.
- Módulo 7 es un servicio de gestión remota desde demarcaciones móviles para el personal de dirección y sistemas.
Los dispositivos/servidores utilizados pueden ser fácilmente identificados por sus mnemónicos en el diagrama:
- ahg – Al Hokair Group
- ap – Access Point
- sw – Switch
- fw – FireWall
- vg – Videograbación
- pci – Protection Contra Incendios
- av – AntiVirus
- hp – HoneyPot
- rt – router
Cada elemento en este esquema tiene su desarrollo diseñado, desde proveedores y presupuesto hasta mantenimientos y personal necesario para su operación, todo listo para ejecutarse.