El Instituto de Salud Carlos III asegura sus aplicaciones web con tecnología Fortinet

Fortinet ha anunciado que el Instituto de Salud Carlos III ha elegido su solución FortiWeb para securizar sus aplicaciones web frente a ataques. El proyecto ha sido puesto en marcha por Fujitsu España, a través del mayorista Altimate.

Hace un año, este centro decidió optimizar sus infraestructuras de TI eliminando la duplicación de servidores y elevando el nivel de seguridad. Para ello, apostaron por la tecnología de Fortinet con la que ya trabajaban desde hacía tres años con excelentes resultados. Por un lado, sustituyeron su actual DMZ que tenía múltiples servidores con los appliances FortiWeb, que fueron configurados para redirigir las peticiones de aplicaciones web a los servidores internos. De esta manera, FortiWeb se convirtió en el único punto de acceso de todas las aplicaciones web desde cualquiera de las redes internas y externas con las que trabaja el Instituto.

«Como institución pública es básico que nuestros sistemas de información ofrezcan una alta disponibilidad y fiabilidad a los distintos usuarios que los necesitan. La variedad y multitud de públicos que entran en nuestra red y de puntos de acceso nos obligaba a disponer de una red de comunicaciones rápida, fiable y segura. De ahí que apostáramos por FortiWeb para securizar nuestras aplicaciones web frente a ataques», señaló Antonio José Arenas, de la Unidad de Coordinación de Sistemas y Tecnologías de la Información del ISCIII.

«Securizar una por una todas las aplicaciones web, basadas en distintas tecnologías, y mantener un alto nivel de seguridad durante todo el ciclo de vida de la aplicación, es, simplemente, inabordable. FortiWeb nos ofrece una solución a este problema con una inversión adecuada», añadió Arenas.

Asegurar las aplicaciones web frente a ataques

Entre los principales beneficios de la introducción de FortiWeb en los sistemas del centro, destacan los relativos a la securización de las aplicaciones web:

– El instituto se ha blindado frente al robo de credenciales de usuarios a través del webmail de la organización, a través del establecimiento en el FortiWeb de una política contra «Brute Force Login».

– Hace tiempo que varias de las aplicaciones de la institución habían sido hackeadas de tal forma que se incluían enlaces a webs de contenido malicioso en la propia aplicación. Para evitar este problema, se ha configurado la política contra «SQL Injection» en el FortiWeb.

– Las aplicaciones mostraban demasiada información sobre los servidores en las que se encontraban alojadas lo que provocaba sofisticados ataques contra estos servidores. A través de la aplicación de la política contra «Information Disclosure» se ha logrado evitar este tipo de ataques.

Asimismo, se ha configurado el FortiWeb para que haga todo el procesado SSL de las aplicaciones, por lo que ha permitido liberar valiosos recursos (CPU & RAM) aprovechables por otros servidores, al estar el entorno totalmente virtualizado.

Estructura de seguridad basada en Fortinet

El Instituto trabaja con Fortinet desde 2007, cuando decidieron reemplazar sus firewalls perimetrales debido a la creciente demanda de servicios de red. Ahora, el centro cuenta con dos unidades FortiGate 1000 como solución perimetral y ejerce las funciones IPS, antivirus, antispam, filtrado web y email, así como gran parte del enrutado entre las subredes del Instituto. Asimismo, también actúa como terminador de túneles VPN, tanto para los usuarios internos como externos.

Por otro lado, cuenta con dos FortiGate 800 y dos FortiGate 60C que proporcionan IPS y antivirus en dos campus distintos. La estructura se complementa con un dispositivo FortiAnalyzer 800B, que ofrece servicio de logging a los demás elementos Fortinet y proporciona las principales herramientas de reporting y análisis, y FortiManager 400B usado como repositorio de configuraciones y punto central de gestión de los dispositivos Fortinet.