// 019Sector Público · Administración General del Estado

Migración de CPD Gubernamental
a Azure con ENS Categoría Alta

AzureENSMigrationPublic SectorLanding Zone
+12.000servidores virtuales en scope de migración
ENS Altaarquitectura Landing Zone conforme a ENS Categoría Alta
Sin cortesplan de transición en caliente de servicios ciudadanos

Situación del cliente

Una de las principales agencias gubernamentales de empleo en España —con más de 12.000 servidores virtuales en sus centros de datos propios— convocó una licitación pública para la migración de su infraestructura a la nube. La agencia gestionaba servicios críticos para ciudadanos: prestaciones por desempleo, intermediación laboral y registros de contratos de trabajo, con picos de uso extremos en periodos de crisis económica.

La infraestructura on-premise había alcanzado el fin de su vida útil, los costes de mantenimiento eran elevados, y la capacidad de escala elástica en momentos de alta demanda era insuficiente. El marco regulatorio del ENS (Esquema Nacional de Seguridad) en Categoría Alta condicionaba toda la arquitectura de la solución propuesta.

Retos

  • Diseñar una Landing Zone Azure conforme al ENS Categoría Alta, con los 75 controles técnicos que implica: cifrado, gestión de identidades, segmentación de red, monitorización y procedimientos de respuesta ante incidentes
  • Proponer una estrategia de migración (Rehost, Refactor, Rearchitect) diferenciada por tipo de aplicación, considerando que la mayoría de los sistemas habían sido desarrollados internamente con tecnologías heterogéneas sin documentación actualizada
  • Garantizar la continuidad de los servicios ciudadanos durante el proceso de migración: ninguna interrupción de más de 4 horas en servicios de prestaciones era admisible según el pliego
  • Diseñar la conectividad híbrida entre la nueva plataforma Azure y los sistemas legacy que no podían migrarse en las fases iniciales (sistemas periféricos de oficinas de empleo y quioscos de autoservicio)
  • Cumplir los requisitos del CCN-CERT para el plan de continuidad de negocio y los procedimientos de backup y recuperación ante desastres exigidos por el ENS

Solución implementada

  • Enterprise Landing Zone ENS Categoría Alta: arquitectura completa de Management Groups, Azure Policy con las iniciativas del CCN-CERT para ENS Alto, Defender for Cloud con configuración específica para administración pública, y Microsoft Sentinel para monitorización de seguridad con retención mínima de 2 años exigida por el ENS
  • Estrategia de migración en tres fases: Fase 1 Rehost para el 60% de servidores (aplicaciones de gestión interna sin impacto ciudadano directo), Fase 2 Refactor para servicios web ciudadanos y APIs de integración, Fase 3 Rearchitect para los sistemas de prestaciones con modernización a microservicios
  • Plan de transición en caliente: cada servicio ciudadano migraba con un periodo de coexistencia de 4 semanas entre el sistema legacy y el nuevo entorno Azure, con retroceso automático ante cualquier anomalía detectada en el 99,9% del umbral de disponibilidad
  • Conectividad híbrida con oficinas: Azure Virtual WAN con ExpressRoute Government para las sedes centrales y VPN site-to-site gestionada para las 700+ oficinas de empleo distribuidas por toda España
  • Plan de continuidad y backup: Azure Backup con RTO de 4 horas y RPO de 1 hora para sistemas críticos, Azure Site Recovery para los sistemas de prestaciones activos-activos en dos regiones Azure Spain, y procedimientos de prueba de recuperación documentados para auditorías del CCN-CERT

Ventajas para el cliente

ENS Alta certificablearquitectura diseñada desde el origen para cumplir los 75 controles del ENS Categoría Alta, con evidencias automatizadas para las auditorías del CCN-CERT sin trabajo adicional
Escala elásticacapacidad de absorber picos de hasta 10x la demanda base en sistemas de prestaciones, eliminando el principal riesgo operativo en periodos de crisis económica
Cero cortes ciudadanosplan de migración en caliente que garantizaba la continuidad de todos los servicios críticos para ciudadanos durante las 3 fases de transición
Reducción de CPDs propioseliminación progresiva de la dependencia de infraestructura propia, con liberación de espacio físico y reducción de contratos de mantenimiento de hardware obsoleto

Patrón de arquitectura

// ARCH 19 · Azure · Sector Público
Government CPD Migration — ENS Alta + 12.000 VMs
CPD LEGACY 12.000+ VMs Físicos + VMware Servicios ciudadanos Sistemas core AGE Azure Migrate assessment Migración por oleadas sin cortes AZURE · ENS CATEGORÍA ALTA ENS Alta CMK + HSM Private Endpoints Audit logs CCN Hub-Spoke AGE ExpressRoute SARA Azure Firewall DNS privado Servicios Ciudadanos App Service + WAF API Mgmt · Azure CDN Monitorización Azure Monitor Sentinel · CIEM // +12.000 VMs · ENS Alta · Migración en caliente · Sin corte de servicios ciudadanos

Arquitectura de migración masiva de CPD gubernamental a Azure con cumplimiento ENS Categoría Alta: Landing Zone con Customer Managed Keys, Private Endpoints para todos los servicios, conectividad mediante ExpressRoute sobre red SARA de la AGE, y plan de migración por oleadas que garantiza continuidad de servicios ciudadanos durante la transición de más de 12.000 máquinas virtuales.

Azure MigrateENS Categoría AltaExpressRoute SARACMK + Azure HSMAzure Policy
// Consideraciones de despliegue · Government WAF
  1. Assessment con Azure Migrate antes de cualquier decisión de arquitectura — en este proyecto, el assessment de 12.000 VMs reveló que el 35% eran candidatas directas a PaaS, el 40% a IaaS lift-and-shift y el 25% requerían refactoring. Sin assessment, la planificación de migración es ficción.
  2. ENS Alta requiere CMK en Key Vault con HSM dedicado, no compartido — el CCN-CERT es explícito: los servicios de categoría Alta de la AGE deben usar claves bajo control exclusivo del organismo. Azure Managed HSM (no Key Vault estándar) es el requisito para datos clasificados ENS Alta.
  3. Conectividad mediante red SARA, no internet pública — los sistemas de la AGE deben conectar con Azure a través de la red SARA o mediante ExpressRoute privado. El tráfico de servicios ciudadanos que cruza internet pública sin inspección crea brechas de cumplimiento ENS.
  4. Migración por oleadas basada en criticidad y dependencias, no por sistema — en la AGE, los servicios tienen interdependencias complejas entre organismos. Una migración sistema a sistema sin mapear dependencias cross-organismo genera incidentes de disponibilidad difíciles de predecir.
  5. Testing de servicios ciudadanos en entorno de preproducción antes de cada oleada — los servicios digitales de la AGE tienen SLAs públicos y visibilidad ciudadana inmediata. Cada incidente de migración tiene repercusión mediática. El testing en preprod no es opcional.
  6. Audit logging hacia el CCN desde el primer día — el Centro Criptológico Nacional exige trazabilidad completa de accesos a sistemas ENS Alta. Configurar la integración con el SIEM del CCN antes de mover el primer workload, no como proyecto posterior.
SeguridadCumplimiento ENSFiabilidadExcelencia Operacional