Servicios
Servicio estándar
El servicio estándar incluye lo siguiente:
- Servicio de cortafuegos gestionado que consta de un par de cortafuegos de HA
- Registro estándar1, que incluye hasta 1 GB de datos de registro al día, hasta 10 GB de cuota de datos de registro y hasta 60 días de retención por par de FW2.
- Configuración de dos interfaces de red utilizables3
- Enrutamiento por defecto: Border Gateway Protocol (BGP) o enrutamiento estático
- Configuración del portal de autoservicio y análisis, incluyendo hasta tres cuentas de usuario de solo lectura/lectura y escritura creadas por Equinix4
- Acceso API al portal de autoservicio
- Corrección y actualización periódicas de los cortafuegos.
- Supervisión 24x7 de los cortafuegos
- Gestión de incidentes y asistencia:
- Incidentes de prioridad 1: 24x7
- Incidentes de prioridad 2 y 3: Horario laboral
- Solicitudes de servicio: Horario comercial
- La funcionalidad de cortafuegos está incluida en todas las suscripciones. Ofrece un servicio de cortafuegos estándar que se describe en detalle en Opciones de servicio.
Nota:
1 El registro extensivo (>10 GB) se ofrece como opción de pago.
2 Si se activa el registro en una política de cortafuegos, se genera más registro, por lo que la retención de la analítica predeterminada de 60 días y la cuota de 10 GB se consumen rápidamente. Esto puede solucionarse seleccionando más cuidadosamente qué políticas tienen habilitado el registro o ampliando la Cuota.
3 La conectividad Dual-Homed Internet Access/WAN requiere más interfaces.
4 Dependiendo del caso de uso. Si el cliente gestionará él mismo el cortafuegos, entonces se crea lectura-escritura. De lo contrario, si Equinix gestionará el cortafuegos, el cliente podrá obtener acceso de sólo lectura.
Variantes de servicio
El servicio Managed Firewall está disponible en las dos variantes siguientes:
Firewall gestionado - Virtual (MFW-V)
Se basa en un par de dispositivos virtuales activos-pasivos de alta disponibilidad, que se instalan sobre la plataforma Managed Private Cloud en un IBX de Equinix. Ofrecemos diferentes opciones de rendimiento para adaptarnos a los distintos requisitos de rendimiento. Esta variante del servicio incluye:
- Recursos de vCPU, vRAM y almacenamiento necesarios para la opción de rendimiento solicitada.
- Configuración de los recursos
- Instalación y configuración del par de cortafuegos virtuales de HA en un IBX según lo establecido en el pedido.
- Acceso al Portal de Autoservicio y al Portal del Analizador
Firewall gestionado - Físico (MFW-P)
Se basa en un par de dispositivos físicos activos-pasivos de alta disponibilidad que se instalan en su espacio con licencia o, opcionalmente, en el espacio con licencia de Managed Solutions en un IBX. Ofrecemos diferentes opciones de rendimiento para adaptarnos a los distintos requisitos de rendimiento. Esta variante incluye:
- Instalación y configuración del par de cortafuegos físicos HA en un IBX, tal y como se establece en el pedido.
- Cableado físico a los conmutadores de red y cortafuegos (incluida la gestión, etc.)
- Acceso al Portal de Autoservicio y al Portal del Analizador
El MFW-V es la variante más flexible y, a menudo, la más adecuada. En algunos casos específicos, el MFW-P es una mejor opción, por ejemplo, debido a un alto rendimiento o a requisitos normativos. Aparte del rendimiento, solo hay ligeras variaciones entre las variantes de servicio MFW-V y MFW-P. Por lo tanto, para evitar duplicaciones en esta descripción del servicio, describiremos el servicio basándonos en el servicio MFW-V y, en caso de que el servicio MFW-P se desvíe, se indicará en el texto o en una nota al pie, en la medida de lo posible.
Opciones de servicio
Las opciones de servicio son adiciones opcionales a su servicio MFW que mejoran sus capacidades.
Despliegue Estirado (MFW-(V/P)-SD)
De forma estándar, los cortafuegos se implementan en un par de alta disponibilidad con conmutación por error activa en un único centro de datos IBX, lo que ofrece una disponibilidad mínima del 99,99%. Con esta opción, los cortafuegos se implementan en un par de alta disponibilidad con conmutación por error activa en dos centros de datos IBX, lo que ofrece una disponibilidad mínima del 99,95%.
Esta opción podría seleccionarse para soportar los siguientes casos de uso de alta disponibilidad mejorada:
- WAN de doble sitio, acceso a Internet o conectividad Equinix Fabric
- MPC de doble emplazamiento
Esta Opción de Servicio también incluye la conectividad de red necesaria entre los dos centros de datos IBX (aplicable a la variante de servicio MFW-V).
Suscripción de seguridad
El Servicio estándar se basa en la licencia Firewall. Como opción de pago, también se puede seleccionar la licencia IPS o el paquete ATP/UTP. Esta tabla muestra las diferentes funciones que desbloquean estas licencias.
| Attribute-Code | License | Description | Functionalities |
|---|---|---|---|
| Included | FW | Standard Service | * Firewall |
| MFW-(V/P)-(size)-IPS | IPS | Intrusion Prevention Services | * Firewall * IPS |
| MFW-(V/P)-(size)-ATP | ATP | Advanced Threat Protection | * Firewall * IPS * Advanced Malware Protection Service * App Control |
| MFW-(V/P)-(size)-UTP | UTP | Unified Threat Protection | * Firewall * IPS * Advanced Malware Protection Service * App Control * Web Security |
Cortafuegos
La funcionalidad Firewall está incluida en todas las suscripciones y ofrece las siguientes funciones y características:
- Interfaces de red
- Política/Reglas (Reglas del cortafuegos)
- Perfiles de seguridad (perfiles predeterminados)
- VPN IPsec
- VPN SSL (Web y Túnel)
- NLB (equilibrio de carga de red)
- Política de DoS (anomalías L3/4)
- Registro (analizador)
IPS
Intrusion Prevention Services protege contra vulnerabilidades nuevas y existentes y detecta y bloquea amenazas conocidas y de día cero. También ayuda con la aplicación de parches virtuales basados en red y detecta malware oculto, ransomware y otros ataques basados en HTTPS.
Servicio avanzado de protección contra malware
Antivirus, seguridad contra botnets y dominios, seguridad móvil, Sandbox Cloud, protección contra brotes de virus y desactivación y reconstrucción de contenido.
Control de aplicaciones
El control de aplicaciones permite crear rápidamente políticas para permitir, denegar o restringir el acceso a aplicaciones o a categorías enteras de aplicaciones.
Seguridad web
El filtrado de contenidos web controla el acceso a los contenidos web bloqueando las páginas web que contienen palabras o patrones específicos. Esto ayuda a impedir el acceso a páginas con material cuestionable. Se pueden especificar palabras, frases, patrones, comodines y expresiones regulares de Perl para que coincidan con el contenido de las páginas web.
Opciones de rendimiento
Puede elegir entre una serie de opciones de rendimiento para las variantes de servicio MFW-V y MFW-P, a fin de seleccionar el tipo adecuado para el rendimiento requerido.
Opciones de rendimiento MFW-V
El rendimiento del cortafuegos en términos de rendimiento de Gbps depende de la licencia seleccionada, los recursos de vRAM y vCPU asignados a los dispositivos virtuales y las funciones habilitadas en el cortafuegos. Las opciones de rendimiento van de S a XL. La tabla siguiente ofrece una indicación del rendimiento y los recursos necesarios.
| VM Resources1 | Maximum Throughput (Gbps)2 | ||||
|---|---|---|---|---|---|
| Attribute-Code | vCPU | vRAM (GB) | FW3 | IPS4 | ATP/UTP5 |
| MFW-V-S | 2 | 4 | 7 | 1.7 | 0.9 |
| MFW-V-M | 4 | 8 | 10.8 | 3.3 | 1.8 |
| MFW-V-L | 8 | 12 | 14 | 5.9 | 3.4 |
| MFW-V-XL | 16 | 16 | 15.5 | 10.1 | 6.3 |
Nota:
1 Los recursos VM están incluidos en el servicio.
2 El caudal máximo es la cantidad total de tráfico entrante y saliente ("caudal") que puede gestionar el cortafuegos. Los valores mostrados se basan en datos de prueba del proveedor. Dependiendo del conjunto de reglas, las funcionalidades utilizadas y el tráfico específico del cliente, la capacidad máxima alcanzada puede diferir. Se trata de una estimación.
3 El rendimiento del cortafuegos se ha medido con paquetes UDP (512 bytes).
4 El rendimiento del IPS se ha medido con Enterprise Traffic Mix.
5 El rendimiento de la protección contra amenazas se ha medido con IPS y control de aplicaciones y protección contra malware, basándose en Enterprise Traffic Mix.
Opciones de rendimiento MFW-P
El dimensionamiento del cortafuegos físico puede facilitarse previa solicitud y las hipótesis se documentarán en el documento de soluciones.
Extensión de almacenamiento de registros (MFW-LSE)
El servicio estándar incluye hasta 1 GB de datos de registro al día y 10 GB de almacenamiento de datos de registro por cada par de servicios de cortafuegos gestionados. Estos datos de registro pueden utilizarse con fines de análisis de seguridad y/o retención. Si un cliente desea almacenar más datos de registro, puede solicitarlo como opción adicional.
Registro externo (MFW-EXL)
De forma predeterminada, este servicio registra en Self-Service Analyzer. Si se necesita un destino de registro externo, esta opción proporciona información desde Self-Service Analyzer a un SIEM externo proporcionado por el cliente a través de Equinix Managed Log Gateway. Esta opción solo se puede solicitar en combinación con Equinix Managed Log Gateway. Debe solicitarse por separado, ya que no forma parte del servicio Managed Firewall.
Proveedor de identificación del cliente / Autenticación (MFW-CPA)
Por defecto, el cliente puede añadir usuarios locales a través del portal de autoservicio. Opcionalmente, se puede añadir un proveedor de identidades externo al cliente (autenticación proporcionada por el cliente) y utilizarlo para la autenticación.
Portal dedicado (MFW-DSSP/DLAP)
Portal de autoservicio dedicado (MFW-DSSP)
- El servicio estándar utiliza un portal central de autoservicio.
- Opcionalmente, se puede solicitar un portal de gestión específico. Por ejemplo, si se necesitan requisitos de cumplimiento, legales y normativos no estándar, etc., que no se pueden ofrecer con el portal central.
- Esta opción requiere el portal dedicado de análisis de registros.
Portal dedicado de análisis de registros (MFW-DLAP)
- El servicio estándar utiliza un portal central de análisis de registros.
- Opcionalmente, se puede solicitar un portal dedicado al análisis de registros. Por ejemplo, si se necesita un cumplimiento normativo, legal y reglamentario no estándar, si se requiere un registro superior al que ofrece el servicio estándar, etc., y no se puede ofrecer con el portal central.
Solicitudes de servicio
Además del servicio estándar y si se han seleccionado las opciones de servicio adecuadas, se puede solicitar la siguiente funcionalidad/configuración, ya sea durante la instalación o a través de una solicitud de servicio, como opción de pago. Se pueden solicitar los siguientes servicios. Algunos también están disponibles como autoservicio:
- MFW-SR-ANW: Añadir/eliminar red adicional - De serie, el cortafuegos está configurado con hasta dos subredes. Con esta opción, se pueden añadir subredes adicionales, por ejemplo para proporcionar una DMZ adicional, un cortafuegos entre distintos niveles o una conexión WAN adicional.
- MFW-SR-AVD: Añadir/eliminar VDOM adicional (sólo MFW-P) - El cortafuegos estándar está configurado con un VDOM para la administración y un VDOM para el tráfico (de producción). Se pueden configurar VDOM adicionales para ofrecer una separación adicional, por ejemplo, para separar los entornos de producción, prueba y desarrollo y/o para separar las políticas de Internet y WAN por cortafuegos.
- MFW-SR-AU: Añadir/eliminar usuario adicional en el portal de autoservicio - Como estándar, el servicio incluye tres cuentas de usuario creadas por Equinix. Pueden crearse cuentas de usuario adicionales previa solicitud.
- MFW-SR-SPC: Añadir/eliminar/cambiar perfil de seguridad (adicional/personalizado) - Creación de perfiles de seguridad del cliente (IPS, filtrado web, etc.). Requiere una Suscripción válida.
- MFW-SR-S2S: Añadir/eliminar/cambiar conexiones VPN (de sitio a sitio) - Para establecer una conexión segura (cifrada) a través de Internet entre dos ubicaciones o sitios mediante VPN IP-SEC de pasarela a pasarela.
- MFW-SR-C2S: Añadir/eliminar/cambiar conexiones VPN (SSL) - Asegure el acceso de los usuarios a través de Internet a los sistemas protegidos por el cortafuegos mediante una VPN SSL. La autenticación del usuario debe ser proporcionada por un sistema administrado por el cliente o por un servicio de soporte.
- MFW-SR-CERT: Añadir/Eliminar/Cambiar Añadir Certificado SSL - Creación de una Solicitud de Firma de Certificado (CSR) e implementación del certificado.
- MFW-SR-SLB: Añadir/eliminar/cambiar el equilibrio de carga del servidor - Admite el equilibrio de carga de tráfico básico a través de múltiples servidores backend, basado en múltiples programas de equilibrio de carga, incluyendo: Estático (failover), Round robin, Ponderado. Admite L3 (IP), L4 (TCP/UDP), L7 (HTTP, HTTPS, SSL/TLS, IMAPS, POP3S, SMTPS). SLB descarga la mayoría de las versiones SSL/TLS hasta TLS 1.3.
- MFW-SR-DP(-E): Añadir/eliminar/cambiar política de denegación de servicio (DoS) - Se puede activar una política de denegación de servicio (DoS) para examinar el tráfico de red que llega a un cortafuegos en busca de patrones anómalos en las capas 3 y 4, lo que suele indicar un ataque. Al seleccionar esta opción, se configurarán los Umbrales predeterminados.
- MFW-QT-FVP: Cambio del rendimiento de la variante del cortafuegos - Opción para cambiar el rendimiento de la variante.
- MFW-QT-LSE: Cambio de la ampliación del almacenamiento de registros - Opción para ampliar el almacenamiento estándar de datos de registro. El servicio estándar incluye hasta 1 GB de datos de registro al día y 10 GB de almacenamiento de datos de registro almacenados con fines de análisis de seguridad y/o retención por cada par de servicios de cortafuegos gestionados. Si un cliente desea almacenar más datos de registro, puede solicitarlo como opción adicional.
Algunos cambios pueden implementarse a través del autoservicio, como se indica en la tabla siguiente, o puede solicitarse su implementación a Equinix a través del portal de servicios como una Solicitud de Servicio.
| Code | Type of Change | Self Service | Service Request | Request Type |
|---|---|---|---|---|
| MFW-SR-ANW | Add/Remove Additional Network (Interface) | - | ✓ | SR |
| MFW-SR-AVD | Add/Remove Additional VDOM (only MFW-P) | - | ✓ | SR |
| MFW-SR-AU | Add/Remove Additional User on Self-Service Portal | - | ✓ | SR |
| MFW-SR-PR | Add/Remove/Change Policy/Rule(s) (Maximum 5 rules per service request) | ✓ | ✓ | SR |
| MFW-SR-SPC | Add/Remove/Change Security Profile (Additional/Custom) (Subscription needed) | ✓ | ✓ | SR |
| MFW-SR-S2S | Add/Remove/Change VPN (IPsec/S2S) | ✓ | ✓ | SR |
| MFW-SR-C2S | Add/Remove/Change VPN (SSL) (Creation of certificate excluded) | ✓ | ✓ | SR |
| MFW-SR-CERT | Add/Remove/Change SSL Certificate | - | ✓ | SR |
| MFW-SR-SLB | Add/Remove/Change Server Load Balancing | ✓ | ✓ | SR |
| MFW-SR-DP | Add/Remove/Change DoS Policy | ✓ | ✓ | SR |
| MFW-QT-FVP | Change of Firewall Variant Performance (only MFW-V) | - | ✓1 | Quote |
| MFW-QT-LSE | Change in higher amount of log data (extensive logging) | - | ✓1 | Quote |
Nota:
1 Se puede solicitar una vez al mes.
Si las solicitudes de servicio no aparecen en la tabla anterior, el cliente puede solicitarlas seleccionando "otras" en el módulo de solicitud de servicio. Equinix realizará un análisis de impacto para determinar si el cambio se puede implementar, los costes asociados y el plazo de entrega, que se compartirá con el solicitante para su aprobación.
Demarcación de servicios y servicios de habilitación
La variante de servicio MFW-V solo se puede solicitar en combinación con Managed Private Cloud (MPC) y, como tal, actúa como componente de seguridad en una solución. La variante de servicio MFW-P solo se puede solicitar como parte de una solución gestionada que incluya MPC y/u otros productos de Equinix.
Equinix es el único responsable del Servicio Estándar y de la combinación de Opciones de Servicio establecidas en los Pedidos y en las Solicitudes de Servicio posteriores. Equinix no se hace responsable de ningún software del cliente ni de la conectividad a Internet del cliente para gestionar o utilizar el Servicio.
MFW-V Demarcaciones y servicios de habilitación
Para los cortafuegos virtuales se aplican los siguientes límites de servicio:
- Interfaces de red lógicas en los cortafuegos para el tráfico de producción
- Interfaz de usuario y API para los portales Management y Analyzer
MFW-V Opción estirada
- Además del servicio MPC, el cliente debe haber solicitado la opción de servicio MPC ampliado como servicio habilitador.
MFW-P Demarcaciones y servicios de habilitación
Las interfaces de red físicas en el cortafuegos son la demarcación desde la perspectiva del servicio de cortafuegos gestionado, incluidos los cables de alimentación y de red para conectarse a la infraestructura de alimentación y de red del cliente según las especificaciones proporcionadas por Equinix.
Despliegue en el espacio con licencia del cliente
Un MFW-P sólo puede solicitarse en combinación con los siguientes servicios de habilitación:
- Conmutador gestionado (al menos para la consola y la conectividad de gestión)
- Opción de servicio de red externa MPC (si se incluye MPC)
- Cross Connects a la plataforma de gestión Equinix Managed Solutions
El cliente debe proporcionar:
- Licencia Espacio y energía para alojar los cortafuegos en el IBX
- PDU duales en el rack del cliente según las especificaciones proporcionadas por Equinix
- Puertos de conmutación para conectar equipos Equinix según las especificaciones proporcionadas por Equinix.
Implantación en el espacio con licencia de Equinix Managed Solutions
Un MFW-P sólo puede solicitarse en combinación con los siguientes servicios de habilitación:
- Opción de servicio de red externa MPC (si se incluye MPC)
- Infraestructuras portuarias
MFW-P Opción estirada
- El cliente necesita haber pedido conectividad entre el espacio con licencia del cliente como un Servicio de Habilitación.
- Otros requisitos determinados individualmente en cada caso.
Unidades de compra
MFW-V/MFW-P
| Attribute-Code | Description | UOM | NRC | MRC |
|---|---|---|---|---|
| MFW-(V/P)-(S,M,L,XL) | FW | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-IPS | FW + IPS | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-ATP | FW + ATP | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-UTP | FW + UTP | FW pair | ✓ | ✓ |
| MFW-SD | Stretched Deployment | FW pair | ✓ | ✓ |
| MFW-LSE | Log storage extension | FW pair | ✓ | ✓ |
| MFW-EL | External logging | FW pair | ✓ | ✓ |
| MFW-CPA | Customer Provided Authentication | FW pair | ✓ | ✓ |
| MFW-DSSP | Dedicated Self-Service Portal | Appliance | ✓ | ✓ |
| MFW-DLAP | Dedicated Log Analyzing Portal | Appliance | ✓ | ✓ |
| Premier Support Plan | Service Request Pre-Paid Hours | Hour | - | ✓ |
Nota: UOM - Unidad de medida