El Instituto de Salud Carlos III (ISCIII) es un organismo público de investigación y de apoyo científico de carácter nacional cuyo objetivo es fomentar la investigación en biomedicina y ciencias de la salud. Su misión es desarrollar y ofrecer servicios científico-técnicos de la más alta calidad dirigidos al Sistema Nacional de Salud y al conjunto de la sociedad.

Sede del Instituto de Salud Carlos III en Madrid

Hace un año el ISCIII decidió optimizar sus infraestructuras de TI eliminando la duplicación de servidores y elevando el nivel de seguridad. Para ello, apostaron por la tecnología de Fortinet con la que ya trabajaban desde hacía tres años.

Por un lado, sustituyeron su actual DMZ que tenía múltiples servidores con los appliances FortiWeb, que fueron configurados para redirigir las peticiones de aplicaciones web a los servidores internos. De esta manera, FortiWeb se convirtió en el único punto de acceso de todas las aplicaciones web desde cualquiera de las redes internas y externas con las que trabaja el Instituto.

“Como institución pública es básico que nuestros sistemas de información ofrezcan una alta disponibilidad y fiabilidad a los distintos usuarios que los necesitan. La variedad y multitud de públicos que entran en nuestra red y de puntos de acceso nos obligaba a disponer de una red de comunicaciones rápida, fiable y segura. De ahí que apostáramos por FortiWeb para securizar nuestras aplicaciones web frente a ataques”, señala Antonio José Arenas, de la Unidad de Coordinación de Sistemas y Tecnologías de la Información del ISCIII. “Securizar una por una todas las aplicaciones web, basadas en distintas tecnologías, y mantener un alto nivel de seguridad durante todo el ciclo de vida de la aplicación, es, simplemente, inabordable. FortiWeb nos ofrece una solución a este problema con una inversión adecuada,” añade Arenas.

Asegurar las aplicaciones web frente a ataques

Entre los principales beneficios de la introducción de FortiWeb en los sistemas del ISCIII, destacan los relativos a la securización de las aplicaciones web: 

• El Instituto se ha blindado frente al robo de credenciales de usuarios a través del webmail de la organización, a través del establecimiento en FortiWeb de una política contra “Brute Force Login”.
• Hace tiempo que varias de las aplicaciones de la institución habían sido hackeadas de tal forma que se incluían enlaces a webs de contenido malicioso en la propia aplicación. Para evitar este problema, se ha configurado la política contra “SQL Injection” en FortiWeb.
• Las aplicaciones mostraban demasiada información sobre los servidores en las que se encontraban alojadas lo que provocaba sofisticados ataques contra estos servidores. A través de la aplicación de la política contra “Information Disclosure” se ha logrado evitar este tipo de ataques.

Asimismo, se ha configurado FortiWeb para que haga todo el procesado SSL de las aplicaciones, por lo que ha permitido liberar valiosos recursos (CPU & RAM) aprovechables por otros servidores, al estar el entorno totalmente virtualizado.

Estructura de seguridad basada en Fortinet

El Instituto trabaja con Fortinet desde 2007, cuando decidieron reemplazar sus firewalls perimetrales debido a la creciente demanda de servicios de red. La familia FortiGate cubrió sus necesidades ofreciéndoles el rendimiento, la fiabilidad y la sencillez de configuración que necesitaban. Concretamente el ISCIII cuenta con dos unidades FortiGate1000 como solución perimetral y ejerce las funciones IPS, antivirus, antispam, filtrado web y email, así como gran parte del enrutado entre las subredes del Instituto. Asimismo, también actúa como terminador de túneles VPN tanto para los usuarios internos como externos.

Por otro lado, cuenta con dos FortiGate 800 y dos FortiGate 60C que proporcionan IPS y antivirus en dos campus distintos. La estructura se complementa con un dispositivo FortiAnalyzer 800B, que ofrece servicio de logging a los demás elementos Fortinet y proporciona las principales herramientas de reporting y análisis, y FortiManager 400B usado como repositorio de configuraciones y punto central de gestión de los dispositivos Fortinet.