Iberdrola Inmobiliaria ha seleccionado la tecnología de Palo Alto Networks con la intención de sustituir y optimizar la gestión de su perímetro de seguridad en lo que al acceso a datos se refiere. Y es que, aunque comienza su actividad en 1993, unificando las sociedades inmobiliarias de Iberdrola, no es hasta 1995 cuando intensifica su trayectoria como promotora residencial para, cuatro años después, impulsar considerablemente la inversión, enfocando sus tareas a tres grandes áreas: promoción de viviendas, promoción y explotación de patrimonio en alquiler, y gestión y promoción de suelo. En la actualidad, la empresa que dispone de oficinas conectadas en Madrid, Santander, Barcelona, Baleares, Valencia y Málaga; es una inmobiliaria de implantación nacional con un alto grado de diversificación en productos: primera vivienda, turismo residencial, oficinas, naves industriales, centros comerciales, etc.
Precisamente, a causa de esta diversificación de productos y delegaciones, el cliente mantiene una infraestructura de comunicación variada y con un alto grado de complejidad. Así, dispone de una red troncal en Madrid donde se encuentra el CPD, y de otra –red- unida por VPN de acceso de usuarios con sus delegaciones. Asimismo, gestiona una DMZ que provee servicios de B2B con proveedores y sites comerciales, mientras que la salida a Internet está centralizada en la capital de España. No en vano, el acceso seguro a los datos y a los microsites comerciales es fundamental para esta compañía, por lo que, éste, está permanentemente monitorizado y controlado. Igualmente, el hecho de pertenecer al Grupo Iberdrola establece un marco de disciplinas muy importante en lo que respecta a la seguridad.
Ante tales circunstancias, y con la necesidad de mantener una política de protección sólida, Iberdrola Inmobiliaria se enfrentaba a una problemática asociada a la gestión del perímetro de seguridad de red, en lo que al acceso a datos se refiere, y que la plataforma de seguridad implantada en ese momento, dos firewalls independientes instalados 10 años atrás, no conseguía solventar. Así, y a pesar de haber renovado a lo largo de ese tiempo dicha plataforma y haber añadido parches y funciones para cubrir las necesidades puntuales que iban surgiendo, no lograba resolver dificultades, como: ineficacia en labores administrativas con la gestión de rangos de IP, problemas con el filtrado y complicación con la explotación de los logs.
Por ello, buscaban una solución que operase en alta disponibilidad, que permitiese identificar con precisión las aplicaciones, y no solamente los puertos utilizados, y que facilitase el reconocimiento de los usuarios en función de su rol en la compañía, independientemente de su dirección IP. Un punto adicional a considerar era el relativo a la usabilidad, en cuanto a la facilidad en la gestión de las políticas tanto en la visualización como en la edición.
Con tales requerimientos sobre la mesa, la empresa, con el apoyo de Exevi, partner integrador del proyecto, ha implantado una pareja de firewall de nueva generaciónPA-500 de Palo Alto Networks, entre cuyas funcionalidades se encuentran: Gestión de flujos de tráfico de red con alto rendimiento de procesamiento y memoria dedicada para la creación de redes, seguridad, y prevención y gestión de amenazas. Asimismo, una alta velocidad backplane alisa el camino entre los procesadores y la separación de datos, mientras que el control de gestión asegura que el acceso está siempre disponible, independientemente de la carga de tráfico.
Fases del proyecto El proyecto se estructuró en diferentes fases, comenzando la primera de ellas en mayo de 2011. Un equipo del partner, compuesto por dos personas, un comercial especializado en productos de Palo Alto Networks -responsable de la realización de la oferta-, y un técnico consultor -encargado del estudio AVR y de la posterior migración- se responsabilizó de la implementación.
Tras una etapa inicial de análisis y muestreo de tráfico para la primera implantación de políticas, en la que se comprobó la potencia de los firewall de Palo Alto en la catalogación del tráfico -en función de las aplicaciones y de los usuarios- se procedió a la parametrización de las distintas redes que componen la topología del cliente: DMZ, VPN, LAN VPN con Iberdrola, entre otras; y se configuraron los equipos en alta disponibilidad.
Como siguiente paso, se realizó la migración de las políticas que ya existían en los FireBox II, y se ajustaron a mayor detalle, gracias a la identificación y catalogación realizada en la primera fase. La solución pasó al entorno productivo en junio de 2011, con un tiempo de implantación completo inferior a un mes.
Con los dispositivos de Palo Alto funcionando en alta disponibilidad, el cliente ha conseguido reducir notablemente el tiempo dedicado a gestión y administración, además del control por monitorización de la red.
