Ir al contenido principal

Seguridad y endurecimiento de plataformas

Este artículo describe las políticas y procedimientos que sigue Equinix para proteger sus equipos y datos.

Los siguientes equipos y programas revisan, evalúan y mejoran las prácticas de seguridad de Equinix:

  1. Auditorías y conformidad - Cumplimos formalmente varias normas del sector, como ISO 27001, SSAE16 y PCI DSS. Los atestados y certificados de auditoría son proporcionados por auditores externos cualificados. Estos auditores coordinan las actividades con varios equipos empresariales y tecnológicos como los Servicios de Aseguramiento Empresarial, Auditoría Interna y Operaciones.
  2. Equipo de seguridad de la información - Trabajando en estrecha colaboración con la organización jurídica, este equipo se encarga de seguir las directrices globales y de la unidad de negocio para ayudar a garantizar el cumplimiento de las leyes y normativas locales y federales.
  3. Políticas de seguridad de la información - El equipo de seguridad de la información administra y aplica un amplio conjunto de información interna confidencial que es revisada y aprobada por la alta dirección. Este equipo se asegura de que las políticas internas tengan un alcance global, con especial atención a las leyes, reglamentos y requisitos empresariales específicos de cada país y región.

Las áreas cubiertas por estas políticas internas de seguridad incluyen:

* Uso aceptable de la tecnología
* Antivirus y malware
* Copia de seguridad y conservación de datos
* Data classification, labeling, and handling
* Acceso lógico
* Contraseñas
* Gestión de parches
* Dispositivos móviles
* Ordenadores personales
* Acceso remoto y VPN
* Medios de comunicación social
nota

Estas políticas internas se aplican rigurosamente. Se revisan anualmente para determinar si siguen siendo pertinentes y exactas. En caso necesario, se introducen nuevas políticas.

Seguridad del servicio Equinix Fabric

Separación del tráfico

Fabric utiliza tecnología probada para garantizar la separación del tráfico entre clientes. MPLS L3VPNs (VRFs) e instancias EVPN L2 por cliente o conexión de cliente. Todo ello se aprovisiona mediante configuración automatizada y sin ningún cambio de configuración no hay datos disponibles fuera de las conexiones Fabric del cliente. Todos los cambios de configuración (tanto automatizados como manuales en caso de diagnóstico de fallos) se registran y supervisan para detectar anomalías. La configuración activa en todos los dispositivos de red se compara constantemente con la configuración registrada y cualquier anomalía se notifica y corrige.

Propiedad del tráfico y encriptación

Todos los datos transportados a través de la plataforma Fabric son propiedad del cliente y, dado que Equinix no tiene forma de saber qué datos se transportan y a qué marcos normativos están sujetos, Equinix no ofrece asesoramiento sobre cómo cifrar los datos transportados. Es responsabilidad del cliente tratar los datos en tránsito de conformidad con sus exigencias normativas. Equinix no dispone de mecanismos para supervisar o intervenir en el tráfico transportado a través de conexiones Fabric.

Interfaces de gestión

Todas las interfaces de gestión de los dispositivos de red que forman parte de la plataforma Fabric están conectadas a nuestra infraestructura de gestión interna y ninguna interfaz de gestión está expuesta o conectada a Internet.

Seguridad informática empresarial

  • Cortafuegos de Internet: Equinix despliega cortafuegos de nueva generación que proporcionan antivirus, detección y prevención de intrusiones, filtrado de URL y control de aplicaciones. Los eventos detectados por los cortafuegos se introducen en un sistema global de Gestión de Incidentes y Eventos de Seguridad (SIEM).
  • Correo electrónico - Una pasarela antivirus y antispam defiende contra las amenazas que se originan a través del correo electrónico.

Personal de Equinix Ordenadores de sobremesa y portátiles

  • Fortalecimiento: los ordenadores de sobremesa y portátiles de Equinix están fortalecidos. Las directrices y normas de refuerzo de Equinix están documentadas y se aplican durante la construcción del sistema.
  • Antivirus y antimalware: los ordenadores de sobremesa y portátiles Windows y Mac deben ejecutar un software antivirus y antimalware que ofrezca protección de escaneado en tiempo real para archivos y aplicaciones. Los archivos infectados se ponen en cuarentena.
  • Control remoto - La tecnología de control remoto seguro se utiliza para ayudar al personal con problemas técnicos.
  • VPN de acceso remoto: los miembros del personal que accedan de forma remota a redes o sistemas corporativos de Equinix deben utilizar soluciones de acceso remoto y VPN suministradas por la empresa que utilicen autenticación de dos factores. Los sistemas cliente que se conecten a servidores de escritorio remoto deben ser asignados y controlados por el departamento de TI corporativo.
  • WiFi - Las redes WiFi están separadas de las redes empresariales de Equinix. Un usuario conectado a WiFi puede acceder a la red empresarial a través de una VPN de acceso remoto.

Servidores de empresa Equinix

  • Endurecimiento: las directrices y normas de endurecimiento de Equinix están documentadas y se aplican durante la construcción del sistema.
  • Antivirus y antimalware: los servidores Windows deben ejecutar un software antivirus y antimalware que ofrezca protección de escaneado en tiempo real para archivos y aplicaciones. Los archivos infectados se ponen en cuarentena.
  • Escaneos - Los escaneos de vulnerabilidad se realizan internamente de forma semanal y bajo demanda. Las aplicaciones deben superar análisis exhaustivos de vulnerabilidad y seguridad de las aplicaciones antes de hacerse públicas.
  • Registro - Los accesos a los sistemas, tanto exitosos como fallidos, se registran para su análisis. En los sistemas UNIX se utiliza la utilidad estándar SUDO. Los registros se introducen en un SIEM y se conservan durante al menos 90 días.

Seguridad física del centro de datos de IBX

La seguridad física de cada centro de datos de IBX es una alta prioridad operativa. Cada centro de datos utiliza una serie de equipos, técnicas y procedimientos de seguridad para supervisar las instalaciones y controlar y registrar el acceso.

  • Acceso - El subsistema de control de acceso permite a los usuarios autorizados entrar en el edificio y dentro de las instalaciones. Los lectores biométricos de geometría de la mano o de huellas dactilares, las tarjetas de proximidad y otras tecnologías permiten a los usuarios identificarse ante el sistema y, una vez autentificados, obtener acceso a zonas específicas dentro de las instalaciones.

  • Supervisión de alarmas y detección de intrusos - El subsistema de supervisión de alarmas y detección de intrusos supervisa el estado de varios dispositivos asociados al sistema de seguridad. Entre ellos se incluyen contactos de alarma, detectores de rotura de cristales, detectores de movimiento e interruptores antisabotaje. Si el estado de cualquiera de estos dispositivos cambia de su estado seguro, se activa una alarma, se registra el suceso y se toman las medidas oportunas.

  • CCTV - El subsistema de circuito cerrado de televisión proporciona la visualización, el control, la grabación y la reproducción de vídeo en directo de las cámaras de toda la instalación, así como del exterior de la misma donde esté legalmente permitido. Este sistema está integrado con el subsistema de supervisión de alarmas y detección de intrusos, por lo que en caso de alarma, las cámaras pueden activarse para grabar el suceso.

    nota

    La vídeovigilancia funciona las 24 horas del día, todos los días.

  • Subsistema de intercomunicación de audio y radio bidireccional - El subsistema de intercomunicación de audio proporciona comunicaciones bidireccionales entre los visitantes de las instalaciones y el agente de seguridad. El subsistema de radio bidireccional también proporciona comunicaciones entre el vigilante del vestíbulo principal y el vigilante de patrulla.

  • Pruebas de intrusión - Las pruebas de intrusión se realizan periódicamente sin previo aviso al personal del centro.

  • Personal de seguridad - Contratación y formación - Equinix recurre a proveedores y socios líderes del sector para ayudar a gestionar la infraestructura física de cada centro de datos IBX. El personal de seguridad se somete a comprobaciones de antecedentes y penales, y debe recibir formación en materia de seguridad cuando se le contrata y, posteriormente, de forma periódica.

  • Protocolos de Emergencia para Clientes y Visitantes - En caso de emergencia, los miembros del personal del centro de datos IBX proporcionan instrucciones. Los clientes y otros visitantes en las instalaciones están obligados a seguir las instrucciones dadas.

  • Grabación de vídeo y fotografía - Para salvaguardar las instalaciones y preservar el anonimato de todos los clientes del centro de datos IBX, no se permite la fotografía ni la videografía dentro del centro de datos IBX. Los clientes en jaulas con licencia pueden solicitar fotografías de sus jaulas y sus equipos cuando programen una visita.

    nota

    Cualquier fotografía requiere la presencia de un técnico de Equinix.

  • Seguimiento de activos - Los clientes y sus proveedores, contratistas y subcontratistas suelen entregar y retirar equipos de un centro de datos IBX a través del vestíbulo. Se aplican las siguientes reglas para el seguimiento de activos:

    • Los bolsos y objetos que se lleven en la mano están sujetos a registro según lo permita la ley.
    • Los equipos retirados de un centro de datos IBX que no se hayan traído ese día deben figurar en el ticket de servicio como equipos que se pueden retirar. La descripción de los artículos debe ser clara para una identificación precisa del equipo.
    • Los equipos que se envían desde y hacia las instalaciones son gestionados por el departamento de envío y recepción, que está separado del área de co-ubicación. Los clientes deben abrir un ticket de solicitud de servicio de envío para recibir los equipos.

  • Señalización de jaulas - La política de Equinix es no divulgar la ubicación física de las jaulas de los clientes. Sin embargo, los clientes pueden colocar carteles en las jaulas previa aprobación de Equinix.

    nota

    Los carteles de jaula se limitan a jaulas privadas y no pueden utilizarse en jaulas compartidas o espacios para revendedores.

Operaciones

Equipo de gobernanza de la seguridad del centro de datos de IBX

El equipo de Cloud Exchange Security Governance es responsable de promover el conocimiento y el cumplimiento de las políticas, procedimientos y normas de seguridad interna aplicables a las implementaciones de Equinix Fabric, como Network Edge.

Mantenimiento controlado

Los cambios rutinarios, de emergencia y de configuración de la infraestructura de red de servicios de Equinix se autorizan, registran, prueban, aprueban y documentan.

Solicitudes de cambio

Las solicitudes de cambio son documentos formales archivados que describen las modificaciones de cualquier aspecto de Equinix Fabric o Network Edge que afecten a los clientes.

Junta de Revisión de Cambios

La junta de revisión de cambios convoca una revisión semanal de los documentos de solicitud de cambios. La junta está formada por las partes interesadas adecuadas, incluidos los expertos de los equipos técnicos, de lanzamiento y de gestión de proyectos. La junta prioriza las solicitudes de cambio y asigna plazos específicos para los cambios.

Reversión de cambios

Las solicitudes de cambio deben incluir planes de reversión, en caso de que el cambio tenga un impacto negativo en el entorno de producción.

Gestión de problemas

Los problemas se gestionan formalmente y se hace un seguimiento desde su detección hasta su resolución con la ayuda de un sistema de tickets.

Escalaciones

Existen políticas y procesos operativos publicados para los procedimientos de escalamiento de cara al cliente.

Equinix Fabric y Network Edge Servicio de seguridad de red

Network Edge utiliza la red y la plataforma Equinix Fabric para su interconexión. A menos que se indique lo contrario a continuación, se aplican las mismas reglas a ambas líneas de productos.

Bastión

El acceso administrativo a la red de servicios Equinix Fabric sólo está disponible a través de un host bastión.

Autenticación, autorización y contabilidad (AAA)

Los dispositivos de la red de servicios Equinix Fabric utilizan TACACS+ para los servicios AAA. A los miembros del personal que participan en la administración de la red de servicios Equinix Fabric se les concede acceso basándose en el modelo de "mínimo privilegio", con sus derechos de acceso acordes a su función laboral. Los intentos exitosos y fallidos de acceder a los dispositivos de la red se registran con fines de análisis y alarma.

Este mismo modelo se sigue para la infraestructura Network Edge, incluidos los recursos informáticos y de hipervisor. El acceso TACAC y LDAP está restringido hasta el nivel de comandos en toda la infraestructura y dispositivos virtuales en los que es necesario el acceso de orquestación administrativa.

Herramientas de gestión

Las herramientas de gestión de servicios están sujetas a controles AAA. Las configuraciones que gobiernan están controladas por revisión, con sello de tiempo y registradas.

Sólo las sesiones que se originen en el dispositivo virtual podrán acceder a las herramientas externas; y sólo se permitirá el retorno del tráfico de la misma sesión. Con las herramientas internas de orquestación y gestión, sólo se permitirá el acceso al dispositivo virtual a las sesiones originadas en el OSS de Equinix. La red de gestión de servicios de Equinix utiliza únicamente el espacio de direcciones privado RFC 1918.

Para validar las licencias, es posible que el dispositivo virtual tenga que llamar fuera de la red privada. Sólo se permitirán las sesiones originadas por la salida de estado del dispositivo a direcciones permitidas específicas sancionadas por el proveedor de dicho dispositivo.

Plano de gestión de dispositivos de red

Los controles del plano de gestión incluyen el uso de servicios AAA. Las sesiones de administración remota se cifran (por ejemplo, mediante SSH) y se desconectan tras un periodo de inactividad adecuado. El acceso del administrador y los cambios de configuración se registran. Las listas de control de acceso (ACL) limitan el tráfico a/desde sólo las direcciones IP de origen y destino requeridas. Las configuraciones por defecto de los proveedores se modifican de acuerdo con las recomendaciones de seguridad del fabricante.

El acceso a la raíz no está permitido.

Accesibilidad del dispositivo virtual Network Edge

El acceso de los usuarios o clientes a los dispositivos se realiza a través de SSH o de software autenticado por el proveedor (como un portal SaaS para SD-WAN), y se gestiona hasta el nivel de comandos para todos los dispositivos. El acceso al dispositivo y las credenciales quedan a la entera discreción del usuario/propietario de ese dispositivo. Las credenciales SSH son gestionadas por el usuario desde el portal o la API. En ningún momento el personal de Equinix tiene autoridad o capacidad para añadir, eliminar o cambiar las credenciales establecidas por el propietario del dispositivo virtual.

El acceso al dispositivo mediante SSH debe realizarse a través de la interfaz de Internet pública proporcionada por Equinix o de la interfaz de red proporcionada por el cliente. Los usuarios deben permitir que se enumere cualquier dirección IP y subred que requiera acceso, o la plataforma Network Edge rechazará la solicitud de conexión.

El número de sesiones SSH está limitado a 5 y se aplica un tiempo de espera de 5 minutos.

Plano de control del dispositivo de red

Los controles del plano de control incluyen la limitación de la velocidad del tráfico destinado al propio dispositivo (ICMP, ARP, BGP, SSH, SNMP) y a protocolos de aplicaciones básicas como DNS para defenderse de ataques de denegación de servicio. Se bloquea el tráfico hacia y desde redes no autorizadas y no válidas. La autenticación MD5 se utiliza para los intercambios y actualizaciones de mensajes de protocolo (IGP/ LDP/ BGP).

Dispositivo de red Plano de reenvío

Los planos de reenvío de los clientes están aislados en sus propias tablas de enrutamiento y reenvío virtuales (VRF) y en las VPN de capa 2 y/o capa 3. Los límites de prefijos máximos de BGP, así como los límites del número máximo de direcciones físicas (MAC), se utilizan para proteger los recursos y defenderse de los ataques de denegación de servicio.

Equinix no realiza ningún tipo de compresión o desduplicación de paquetes de datos. Equinix no emplea FEC en el Equinix Fabric y sólo utiliza el equilibrio de carga de flujos, por lo que nunca se produce una reordenación de paquetes que requiera la inspección de los mismos.

Infraestructura Network Edge

Todos los servicios relacionados con el servicio Network Edge tienen puertos abiertos limitados, y el hipervisor y la orquestación se basan en contenedores.

Network Edge Internet Access

Todo el tráfico orientado a Internet pasa por la pasarela de Internet y la infraestructura del servicio Equinix Internet Access. Este servicio incluye protección DDoS avanzada y protecciones contra agujeros negros de activación remota.

Sólo el dispositivo virtual puede originar una sesión con el mundo exterior a través de la interfaz de Internet proporcionada, incluidos los túneles VPN entre el dispositivo virtual y cualquier otra ubicación.

Portal del cliente e interfaces de programación de aplicaciones (API)

Identity and Access Management

Equinix proporciona a los clientes capacidades de gestión de identidades limitadas al ámbito del ECP y del Cloud Exchange Portal. Como parte del proceso de aprovisionamiento, Equinix crea una cuenta de administrador primario para el cliente. A continuación, el administrador primario puede crear, modificar, desactivar y eliminar cuentas de usuario del cliente según sea necesario, incluidos otros administradores primarios. Los administradores primarios asignan funciones y privilegios a las cuentas de usuario del cliente según las necesidades de éste. Aunque los proveedores de servicios en nube pueden proporcionar sus propios sistemas de gestión de identidad y acceso, son independientes de los que ofrece ECP.

Interfaces de programación de aplicaciones (API)

Equinix ofrece una API Network Edge cuya funcionalidad incluye la recuperación de información y la realización de operaciones en puertos y conexiones virtuales de Equinix Fabric. La autenticación y la autorización se llevan a cabo mediante el estándar OAuth 2.0. Aunque los proveedores de servicios en la nube pueden proporcionar sus propias API, estas son independientes de las ofrecidas por Equinix.

Acceso a los datos de los clientes

Equinix no accede ni accederá a ningún dato en tránsito de Network Edge o Equinix Fabric, ya sea en movimiento o en reposo. Tal y como se describe a lo largo de este documento, se han implementado controles físicos y lógicos para impedir, supervisar y detectar cualquier acceso o intento de acceso no autorizado a los datos en tránsito de los clientes.

Seguridad de los datos, ciclo de vida de la información, cifrado y gestión de claves

Equinix Fabric y Network Edge proporcionan conectividad de red directa entre los clientes de la nube y los proveedores de servicios en la nube sin acceder, inspeccionar, manipular ni copiar los datos. Los clientes son responsables de proteger todos los aspectos de los datos que transitan por Equinix Fabric de acuerdo con sus necesidades de seguridad, políticas y cualquier requisito legal o normativo aplicable.

Red EdgeDatos de configuración

Equinix mantiene un registro histórico y de construcción actual de toda la configuración de cada dispositivo virtual puesto en servicio. Esto incluye el sistema operativo y la configuración del dispositivo, el direccionamiento de la interfaz y otros detalles.

Datos de eventos de Network Edge

Equinix mantiene un registro continuo de todos los eventos administrativos y de gestión de cambios que se registran con cada dispositivo. Esto incluye los éxitos y fracasos de inicio y cierre de sesión en el dispositivo, el portal y las API, los cambios en la configuración realizados por los usuarios o administrativamente por la orquestación de Equinix, los cambios en el estado de las interfaces y otros eventos comunes. Los usuarios pueden acceder a estos datos directamente desde el dispositivo o solicitarlos al personal de Equinix. En ningún momento estos datos están asociados a los datos de privilegios de acceso de los usuarios (como el nombre de usuario y la contraseña completos).

¿Fue útil esta página?