Ir al contenido principal

Seguridad de la plataforma

Este artículo describe las políticas y procedimientos que sigue Equinix para proteger sus equipos y datos.

Los siguientes equipos y programas revisan, evalúan y mejoran las prácticas de seguridad de Equinix:

  1. Auditorías y cumplimiento: cumplimos formalmente varias normas del sector, como ISO 27001, SSAE16 y PCI DSS. Los certificados de auditoría los proporcionan auditores externos cualificados. Estos auditores coordinan las actividades con varios equipos empresariales y tecnológicos, como los Servicios de Garantía Empresarial, Auditoría Interna y Operaciones.

  2. Equipo de seguridad de la información: en estrecha colaboración con la organización jurídica, este equipo se encarga de seguir las directrices globales y de la unidad de negocio para ayudar a garantizar el cumplimiento de las leyes y normativas locales y federales.

  3. Políticas de seguridad de la información - El equipo de seguridad de la información administra y aplica un amplio conjunto de información interna confidencial que es revisada y aprobada por la alta dirección. Este equipo garantiza que las políticas internas tengan un alcance global, con especial atención a las leyes, reglamentos y requisitos empresariales específicos de cada país y región.

    Las áreas cubiertas por estas políticas internas de seguridad incluyen:

    • Uso aceptable de la tecnología
    • Antivirus y malware
    • Copia de seguridad y conservación de datos
    • Clasificación, etiquetado y tratamiento de datos
    • Acceso lógico
    • Contraseñas
    • Gestión de parches
    • Dispositivos móviles
    • Ordenadores personales
    • Acceso remoto y VPN
    • Medios de comunicación social
nota

Estas políticas internas se aplican rigurosamente. Se revisan anualmente para determinar si siguen siendo pertinentes y exactas. En caso necesario, se introducen nuevas políticas.

Seguridad del servicio Equinix Fabric

Separación del tráfico

Fabric utiliza tecnología probada para garantizar la separación del tráfico entre clientes. MPLS L3VPNs (VRFs) e instancias EVPN L2 por cliente o conexión de cliente. Todo ello se aprovisiona mediante configuración automatizada y sin ningún cambio de configuración no hay datos disponibles fuera de las conexiones Fabric del cliente. Todos los cambios de configuración (tanto automatizados como manuales en caso de diagnóstico de fallos) se registran y supervisan para detectar anomalías. La configuración activa en todos los dispositivos de red se compara constantemente con la configuración registrada y cualquier anomalía se notifica y corrige.

Propiedad del tráfico y encriptación

Todos los datos transportados a través de la plataforma Fabric son propiedad del cliente y, dado que Equinix no tiene forma de saber qué datos se transportan y a qué marcos normativos están sujetos, Equinix no ofrece asesoramiento sobre cómo cifrar los datos transportados. Es responsabilidad del cliente tratar los datos en tránsito de conformidad con sus exigencias normativas. Equinix no dispone de mecanismos para supervisar o intervenir en el tráfico transportado a través de conexiones Fabric.

Interfaces de gestión

Todas las interfaces de gestión de los dispositivos de red que forman parte de la plataforma Fabric están conectadas a nuestra infraestructura de gestión interna y ninguna interfaz de gestión está expuesta o conectada a Internet.

Equinix Seguridad informática empresarial

  • Cortafuegos de Internet: Equinix despliega cortafuegos de nueva generación que proporcionan antivirus, detección y prevención de intrusiones, filtrado de URL y control de aplicaciones. Los eventos detectados por los cortafuegos se introducen en un sistema global de Gestión de Incidentes y Eventos de Seguridad (SIEM).
  • Correo electrónico - Una pasarela antivirus y antispam defiende contra las amenazas que se originan a través del correo electrónico.

Personal de Equinix Ordenadores de sobremesa y portátiles

  • Fortalecimiento: los ordenadores de sobremesa y portátiles de Equinix están fortalecidos. Las directrices y normas de refuerzo de Equinix están documentadas y se aplican durante la construcción del sistema.
  • Antivirus y antimalware: los ordenadores de sobremesa y portátiles Windows y Mac deben ejecutar un software antivirus y antimalware con protección de escaneado en tiempo real de archivos y aplicaciones. Los archivos infectados se ponen en cuarentena.
  • Control remoto - La tecnología de control remoto seguro se utiliza para ayudar al personal con problemas técnicos.
  • VPN de acceso remoto: los miembros del personal que accedan de forma remota a redes o sistemas corporativos de Equinix deben utilizar soluciones de acceso remoto y VPN suministradas por la empresa que utilicen autenticación de dos factores. Los sistemas cliente que se conecten a servidores de escritorio remoto deben ser asignados y controlados por el departamento de TI corporativo.
  • WiFi - Las redes WiFi están separadas de las redes empresariales de Equinix. Un usuario conectado a WiFi puede acceder a la red empresarial a través de una VPN de acceso remoto.

Servidores de empresa Equinix

  • Endurecimiento: las directrices y normas de endurecimiento de Equinix están documentadas y se aplican durante la construcción del sistema.
  • Antivirus y antimalware: los servidores Windows deben ejecutar software antivirus y antimalware con protección de escaneado en tiempo real para archivos y aplicaciones. Los archivos infectados se ponen en cuarentena.
  • Escaneos - Los escaneos de vulnerabilidad se realizan internamente de forma semanal y bajo demanda. Las aplicaciones deben superar análisis exhaustivos de vulnerabilidad y seguridad de las aplicaciones antes de hacerse públicas.
  • Registro - Los accesos a los sistemas, tanto exitosos como fallidos, se registran para su análisis. En los sistemas UNIX se utiliza la utilidad estándar SUDO. Los registros se introducen en un SIEM y se conservan durante al menos 90 días.

Seguridad física del centro de datos de IBX

La seguridad física de cada centro de datos de IBX es una alta prioridad operativa. Cada centro de datos utiliza una serie de equipos, técnicas y procedimientos de seguridad para supervisar las instalaciones y controlar y registrar el acceso.

  • Acceso - El subsistema de control de acceso permite a los usuarios autorizados entrar en el edificio y dentro de las instalaciones. Los dispositivos biométricos de seguridad, las tarjetas de proximidad y otras tecnologías identifican a los usuarios ante el sistema de control de acceso y, una vez autenticados, permiten a los contactos navegar por el IBX según lo permitido.

  • Supervisión de alarmas y detección de intrusos - El subsistema de supervisión de alarmas y detección de intrusos supervisa el estado de varios dispositivos asociados al sistema de seguridad. Los dispositivos de monitorización incluyen interruptores de posición de puerta, detectores de rotura de cristales, detectores de movimiento e interruptores antisabotaje. Si el estado de cualquier dispositivo cambia de su estado seguro, se activa una alarma, se registra el evento y se toman las medidas apropiadas.

  • CCTV - El subsistema de circuito cerrado de televisión proporciona la visualización, el control, la grabación y la reproducción de vídeo en directo de las cámaras de toda la instalación, así como del exterior de la misma donde esté legalmente permitido. Este sistema está integrado con el subsistema de monitorización de alarmas y detección de intrusos, de modo que en caso de alarma, las cámaras se despliegan automáticamente para ver el suceso en tiempo real.

    nota

    La vídeovigilancia funciona y graba 24 horas al día, 7 días a la semana, 365 días al año.

  • Subsistema de intercomunicación de audio y radio bidireccional - El subsistema de intercomunicación de audio proporciona comunicaciones bidireccionales entre los visitantes de las instalaciones y el agente de seguridad. El subsistema de radio bidireccional también proporciona comunicaciones entre el vigilante del vestíbulo principal y el vigilante de patrulla.

  • Pruebas de intrusión - Las pruebas de intrusión se realizan periódicamente sin previo aviso al personal del centro.

  • Personal de seguridad - Contratación y formación - Equinix recurre a proveedores y socios líderes del sector para ayudar a gestionar la infraestructura física de cada centro de datos IBX. El personal de seguridad se somete a comprobaciones de antecedentes y penales, y debe recibir formación en materia de seguridad cuando se le contrata y, posteriormente, de forma periódica.

  • Protocolos de Emergencia para Clientes y Visitantes - En caso de emergencia, los miembros del personal del centro de datos IBX proporcionan instrucciones. Los clientes y otros visitantes en las instalaciones están obligados a seguir las instrucciones dadas.

  • Grabación de vídeo y fotografía - Para salvaguardar las instalaciones y preservar el anonimato de todos los clientes del centro de datos IBX, no se permite la fotografía ni la videografía dentro del centro de datos IBX. Los clientes en jaulas con licencia pueden solicitar fotografías de sus jaulas y sus equipos cuando programen una visita.

    nota

    Cualquier fotografía requiere la presencia de un técnico de Equinix.

  • Seguimiento de activos - Los clientes y sus proveedores, contratistas y subcontratistas suelen entregar y retirar equipos de un centro de datos IBX a través del vestíbulo. Se aplican las siguientes reglas para el seguimiento de activos:

    • Los bolsos y objetos que se lleven en la mano están sujetos a registro según lo permita la ley.
    • Los equipos retirados de un centro de datos IBX que no se hayan traído ese día deben figurar en el ticket de servicio como equipos que se pueden retirar. La descripción de los artículos debe ser clara para una identificación precisa del equipo.
    • Los equipos que se envían desde y hacia las instalaciones son gestionados por el departamento de envío y recepción, que está separado del área de co-ubicación. Los clientes deben abrir un ticket de solicitud de servicio de envío para recibir los equipos.

  • Señalización de jaulas - La política de Equinix es no divulgar la ubicación física de las jaulas de los clientes. Sin embargo, los clientes pueden colocar carteles en las jaulas previa aprobación de Equinix.

    nota

    Los carteles de jaula se limitan a jaulas privadas y no pueden utilizarse en jaulas compartidas o espacios para revendedores.

Entrada y salida de visitantes

  • Registro - Todos los visitantes que entren en un centro de datos IBX deberán registrarse a través de la aplicación móvil del Portal del Cliente o del quiosco situado en el vestíbulo de seguridad. Todos los visitantes deberán dirigirse a la ventanilla de seguridad y presentar su identificación expedida por el gobierno al oficial de seguridad de turno.

  • Biometría - Se requiere un mínimo de dos factores de autenticación tales como biometría y una tarjeta de proximidad para obtener acceso físico a un centro de datos IBX. Esto se aplica a los visitantes y a todo el personal del centro de datos IBX.

  • Salida - Todos los visitantes pueden utilizar la aplicación móvil Equinix Customer Portal o el quiosco para salir del IBX una vez finalizada su visita.

  • Privilegios de acceso: el acceso a IBX lo concede y mantiene el administrador del Equinix Customer Portal de su empresa.

Permisos y roles otorgados por el administrador

Un administrador de clientes del Portal de clientes de Equinix concede a los individuos uno o más de los siguientes permisos de sitio a nivel de centro de datos IBX o de jaula:

  • Acceso físico (invitado no inscrito) - Un administrador debe abrir una visita de trabajo para permitir que un invitado no inscrito entre en un centro de datos IBX.

  • Acceso IBX/jaula - Permite el acceso sin escolta en el centro de datos IBX sin necesidad de abrir visitas de trabajo, la inscripción al sistema de control de acceso se producirá en la primera visita al IBX.

  • Eliminar acceso - Elimina espacio(s) con licencia o centro(s) de datos IBX en su totalidad de los Contactos según sea necesario.

  • Retirar equipo - Autoriza a las personas con acceso sin escolta al centro de datos IBX a retirar hardware de las instalaciones sin un ticket de salida. Para obtener más información, consulte Envíos salientes desde un IBX.

  • Traer invitados - Autoriza a una persona con acceso sin escolta al centro de datos IBX a traer invitados no registrados a las instalaciones sin una visita de trabajo.

    nota

    Todos los visitantes que entren en el IBX deberán presentar un documento de identidad válido a los agentes de seguridad.

    Si necesita ayuda para localizar al administrador del portal de su empresa, consulte Localización de los administradores de su empresa

Privilegios de pedido a nivel de centro de datos IBX o de jaula

  • Servicios básicos - Concede privilegios para solicitar visitas de trabajo, visitas guiadas, salas de conferencias y escáneres manuales.
  • Cross Connects - Concede privilegios de pedido para instalar y desinstalar Cross Connects.
  • Smart Hands - Concede privilegios de pedido para enviar Smart Hands y tickets de solicitud de servicio.
  • Ver historial de solicitudes de servicio - Concede privilegios para revisar el historial de pedidos.

Envíos

Todos los envíos entrantes y salientes deben programarse con antelación abriendo un ticket de solicitud de servicio o llamando directamente a Equinix. Los envíos no programados se rechazan.

Monitorización

Un sistema global supervisa la salud de los servidores y la infraestructura de la empresa. Las alertas se generan automáticamente y se introducen en un sistema SIEM.

Operaciones

Equipo de gobernanza de la seguridad del centro de datos de IBX

El equipo Cloud Exchange Security Governance es responsable de promover la concienciación y el cumplimiento de las políticas, procedimientos y normas de seguridad internas aplicables a las implementaciones de Equinix Fabric.

Mantenimiento controlado

Los cambios rutinarios, de emergencia y de configuración de la infraestructura de red del servicio Equinix Fabric se autorizan, registran, prueban, aprueban y documentan.

Solicitudes de cambio

Las solicitudes de cambio son documentos formales archivados que describen las modificaciones de cualquier aspecto de Equinix Fabric que afecte al cliente.

Junta de Revisión de Cambios

La junta de revisión de cambios convoca una revisión semanal de los documentos de solicitud de cambios. La junta está formada por las partes interesadas adecuadas, incluidos los expertos de los equipos técnicos, de lanzamiento y de gestión de proyectos. La junta prioriza las solicitudes de cambio y asigna plazos específicos para los cambios.

Modificar el retroceso

Las solicitudes de cambio deben incluir planes de reversión, en caso de que el cambio tenga un impacto negativo en el entorno de producción.

Gestión de problemas

Los problemas se gestionan formalmente y se hace un seguimiento desde su detección hasta su resolución con la ayuda de un sistema de tickets.

Escalaciones

Existen políticas y procesos operativos publicados para los procedimientos de escalamiento de cara al cliente.

Seguridad de la red de servicios Equinix Fabric

Bastión

El acceso administrativo a la red de servicios Equinix Fabric sólo está disponible a través de un host bastión.

Autenticación, autorización y contabilidad (AAA)

Los dispositivos de la red de servicios Equinix Fabric utilizan TACACS+ para los servicios AAA. A los miembros del personal que participan en la administración de la red de servicios Equinix Fabric se les concede acceso basado en el modelo de mínimo privilegio, con sus derechos de acceso proporcionales a su función laboral. Los intentos exitosos e infructuosos de acceder a los dispositivos de red se registran con fines de análisis y alarma.

Herramientas de gestión

Las herramientas de gestión de servicios están sujetas a controles AAA. Las configuraciones que gobiernan están controladas por revisión, con sello de tiempo y registradas.

Plano de gestión de dispositivos de red

Los controles del plano de gestión incluyen el uso de servicios AAA. Las sesiones de administración remota se encriptan mediante SSH y se desconectan tras un periodo de inactividad adecuado. El acceso del administrador y los cambios de configuración se registran. Las listas de control de acceso (ACL) limitan el tráfico a/desde sólo las direcciones IP de origen y destino requeridas. Las configuraciones por defecto de los proveedores se modifican según las recomendaciones de seguridad del fabricante.

Plano de control del dispositivo de red

Los controles del plano de control incluyen la limitación de la velocidad del tráfico destinado al propio dispositivo (ICMP, ARP, BGP, SSH, SNMP) y a protocolos de aplicaciones básicas como DNS para defenderse de ataques de denegación de servicio. Se bloquea el tráfico hacia y desde redes no autorizadas y no válidas. La autenticación MD5 se utiliza para los intercambios y actualizaciones de mensajes de protocolo (IGP/ LDP/ BGP).

Dispositivo de red Plano de reenvío

Los planos de reenvío de los clientes están aislados en sus propias tablas de enrutamiento y reenvío virtuales (VRF) y en las VPN de capa 2 y 3. Tanto los límites de prefijos máximos de BGP como los límites del número máximo de direcciones físicas (MAC) se utilizan para proteger los recursos y defenderse de los ataques de denegación de servicio.

Portal del cliente e interfaces de programación de aplicaciones (API)

Identity Access Management (Gestión del acceso a la identidad)

Equinix proporciona a los clientes capacidades de gestión de identidades limitadas al ámbito del Equinix Customer Portal y del Cloud Exchange Portal. Como parte del proceso de aprovisionamiento, Equinix crea una cuenta de administrador principal para el cliente. A continuación, el administrador principal puede crear, modificar, desactivar y eliminar cuentas de usuario de cliente según sea necesario, incluidos otros administradores principales. Los administradores primarios asignan funciones y privilegios a las cuentas de usuario de los clientes en función de sus necesidades. Aunque los proveedores de servicios en la nube pueden proporcionar sus propios sistemas de gestión de identidades y accesos, son independientes de los que ofrece Equinix.

Interfaces de programación de aplicaciones (API)

Equinix ofrece una API Equinix Fabric cuya funcionalidad incluye la recuperación de información y la realización de operaciones en puertos y conexiones virtuales Equinix Fabric. La autenticación y autorización se realizan mediante el estándar OAuth 2.0. Aunque los proveedores de servicios en la nube pueden proporcionar sus propias API, son independientes de las que ofrece Equinix.

Acceso a los datos de los clientes

Equinix no accede ni accederá a ningún dato de tránsito de clientes de Equinix Fabric ni en movimiento ni en reposo. Los controles físicos y lógicos impiden, supervisan y detectan cualquier acceso no autorizado o intento de acceso a los datos de tránsito del cliente.

Seguridad de los datos, ciclo de vida de la información, cifrado y gestión de claves

Equinix Fabric proporciona conectividad de red directa entre los clientes de la nube y los proveedores de servicios en la nube sin acceder, inspeccionar, manipular ni copiar los datos. Los clientes son responsables de proteger todos los aspectos de los datos que transitan por Equinix Fabric de acuerdo con sus necesidades de seguridad, políticas y cualquier requisito normativo y/o legal aplicable.

¿Fue útil esta página?