マネージドプライベートファイアウォール
マネージド・プライベート・ファイアウォール(MPF)は、拡張可能なファイアウォール容量と選択可能なファイアウォール機能を提供し、サイバー攻撃からインフラストラクチャを保護し、データへの不正アクセスを防止します。
ファイアウォール・ソリューションの導入と運用は、多くの企業にとって複雑です。アーキテクチャが分散化・多様化し、新たな脆弱性が導入され、ワークロードの境界が拡大するにつれ、セキュリティとネットワーキングはますます重要になっています。多くの企業がこの分野の課題に直面していますが、マネージド、仮想化、As-a-Service ソリューションを利用することで、運用の複雑性を軽減することができます。
マネージド・プライベート・ファイアウォールは、顧客によって設定された事前定義されたセキュ リティ・ルールに基づき、送受信されるネットワーク・トラフィックを監視・制御するネッ トワーク・セキュリティ・システムです。ファイアウォールは適切に設定されると、信頼できるネットワークと信頼できないネットワークの境界を確立します。専門のセキュリティ・プロフェッショナル、高度なテクノロジー、SLAに裏付けされた可用性、24時間365日の監視を組み合わせることで、サイバー攻撃に対する強固な防御を実現します。
主な特徴
- 24時間体制で継続的に監視し、優先的に対応します。
- マルウェア、フィッシング、その他のサイバー攻撃からネットワークを保護する脅威防御技術。
- 自動アップデートにより、ファイアウォール防御を最新の状態に保ちます。
- レポーティングにより、ネットワークのセキュリティ体制を可視化します。
- 技術の抽象化により複雑な手順を簡素化し、管理を容易にします。
- オプションサービスは、不要な支出を削減するために利用した場合のみ請求されます。
- サービスは、変化する要件に合わせて構成・調整し、必要に応じて拡張することができます。
- マネージド・プラットフォームを備えた分散型データセンターにより、グローバル環境をサポートします。
- 新興テクノロジーを追跡するスペシャリストによる監視。
- 規制コンプライアンスは、業界標準との整合によってサポートされます。
- 継続的な保護により、サイバー脅威やトラフィック集中時に重要なサービスを優先することで、ダウンタイムリスクを低減します。
マネージドプライベートファイアウォールへのアクセス
マネージドプライベートファイアウォール(MPF)にアクセスするには、エクイニクスカスタマーポータルにアクセスしてください。そこから以下にアクセスできます:
- Managed Solutions Portal (MSP) - チケットの発行、サービスリクエストの送信、MPFの使用状況の確認に使用します。
- 運用コンソール - MPFリソースの管理と運用に使用します。
マネージドプライベートファイアウォールの管理
ユーザー管理
運用コンソールのユーザーは、カスタマーポータルで管理されます。ユーザーとパスワードの管理 を参照してください。ユーザを追加したら、MPFテナントロールをユーザに割り当てるために、サービスリクエストを送信する必要があります。
別の ID ソースを使用するには、カスタマー・ポータルで ID フェデレーションを設定して、外部の ID プロバイダと統合します。これにより、ユーザは会社の認証情報を使用してサインインできます。
運用コンソール
運用コンソールは、MPF 環境の管理に必要なすべてのタスクを実行するためのポータルです。コンソールは、特定の地域内のMPFリソースへのアクセスを提供します。MPFは4つの地域で運用されています:南米、北米、ヨーロッパ、アジアです。特定の地域に MPF の配備がある場合、ページ上の 4 つのボタンのいずれかを使用して、対応する運用コンソールを利用できます。
管理者コンソール
標準サービスでは、技術的には管理ドメイン(ADOM)と定義される中央セルフサービス・ポータルを使用します。ADOMでは、お客様のファイアウォール管理者が、ファイアウォールルールやポリシーの作成、削除、変更、仮想アプライアンス固有の仮想プライベートネットワークの管理を行うことができます。
管理ドメイン
管理ドメイン(ADOM)は、運用コンソール内の顧客を定義します。ADOM は、ファイアウォール、ポリシーパッケージ、ポリシーオブジェクトなど、すべての MPF リソースをグループ化するコンテナとして機能します。お客様は複数のADOMを持つことができ、それぞれのADOMは、IBXの地理的な位置(アムステルダム、ロンドン、アッシュバーンなど)や特定の目的(プロダクション、テストなど)など、異なる特徴を持ちます。既存のファイアウォールの容量が不足している場合は、サービスデリバリーマネージャーまたはアカウントマネージャーにお問い合わせください。
ログ解析コンソール
標準サービスには、管理ドメイン(ADOM)からアクセス可能な中央ログアナライザが含まれます。ログアナライザーコンソールにより、ファイアウォール管理者はログ収集の管理、分析の実行、レポートの生成を行うことができます。このコンソールはネットワークコンソールとは別個のもので、自動化、オーケストレーション、およびログに記録されたイベントへの対応をサポートします。
顧客の役割権限
運用コンソールでは、2つの定義済みロールをユーザーに割り当てることができます。
| Role | Manager Portal Permissions | Analyzer Portal Permissions |
|---|---|---|
| Customer‑Admin | • View device configuration • View routing table • Create policy objects • Create policy packs • Create firewall rules • Deploy policy packs to associated firewalls • Create VPN settings (IPsec and SSL VPN) | • View logs • Create and view reports • Schedule reports |
| Customer‑Read Only | • View device configuration • View routing table • View policy objects • View policy packs • View firewall rules • View VPN settings (IPsec and SSL VPN) | • View logs |
ポリシー設定の手順
- FortiManager GUIにログインします。
- Web ブラウザを開き、Managed Solutions Portal の Management Console に移動するか、FortiManager の URL に直接移動します。
- ユーザー名とパスワードを入力してください。
- 適切なADOMを選択します(複数のADOMが利用可能な場合にのみ適用されます)。
- 必要な環境に関連する ADOM を選択します。
- 必要に応じて、ADOM ドロップダウンメニューを使用して切り替えます。
- ポリシーとオブジェクトに移動します。
- Policy & Objects > IPv4 Policyに進みます。
- 新しいポリシーを作成します。
- 新規作成]をクリックしてポリシーを追加します。
- ポリシー名を定義します。
- ソースと宛先のインターフェイスを設定します(LANからWANなど)。
- 送信元アドレスと宛先アドレス(定義済みまたはカスタム)を指定します。
- サービスを選択します(例:HTTP、HTTPS)。
- アクション(許可または拒否)を選択します。
- ロギングやセキュリティプロファイルなどの追加オプションを設定します。
- ポリシーを保存
- OKをクリックします。
- ポリシーのアレンジ
- 新しいポリシーがポリシー リストに正しく配置されていることを確認します。FortiGateは、ポリシーを上から下に処理します。
- ポリシーをインストールします。
- インストールウィザードをクリックし、プロンプトに従ってください。
- インストールプレビューを使用して変更を確認し、Policy Package Diff を使用して差分を比較します。
- インストール]をクリックして、デプロイメントを完了します。
VPN設定の手順
- FortiManager GUIにログインします。
- Web ブラウザを開き、Managed Solutions Portal の Management Console に移動するか、FortiManager の URL に直接移動します。
- ユーザー名とパスワードを入力してください。
- 適切なADOMを選択します(複数のADOMが利用可能な場合にのみ適用されます)。
- 必要な環境に関連する ADOM を選択します。
- 必要に応じて、ADOM ドロップダウンメニューを使用して切り替えます。
- VPNに移動します。
- VPN > IPsec Wizardに進みます。
- 新しいVPNを作成します。
- 新規作成をクリックします。
- VPNタイプ(例:Site-to-Site)を選択します。
- VPN名を定義します。
- VPN設定を構成します。
- リモートゲートウェイのIPアドレスを設定します。
- 認証方法を選択し、該当する場合は事前共有キーを入力します。
- ローカルインターフェースを指定します。
- フェーズ1とフェーズ2の設定
- 暗号化と認証アルゴリズムの定義
- Diffie-Hellman グループと鍵のライフタイムを設定します。
- クイックモードセレクターの定義
- ローカルとリモートのサブネットを指定します。
- 保存して適用します。OKをクリックします。
- VPN設定をインストールします。
- インストールウィザードをクリックします。
- 必要に応じて、インストールプレビューとポリシーパッケージの差分を使用してください。
- インストールをクリックして、設定を適用します。
侵入防御システム(IPS)設定の手順
- FortiManager GUIにログインします。
- Web ブラウザを開き、Managed Solutions Portal の Management Console に移動するか、FortiManager の URL に直接移動します。
- ユーザー名とパスワードを入力してください。
- 適切なADOMを選択します(複数のADOMが利用可能な場合にのみ適用されます)。
- 必要な環境に関連する ADOM を選択します。
- 必要に応じて、ADOM ドロップダウンメニューを使用して切り替えます。
- セキュリティプロファイルに移動します。
- Security Profiles > Intrusion Preventionに移動します。
- IPSセンサーの作成または編集
- Create New(新規作成)をクリックするか、既存のセンサーを選択します。
- センサー名を定義します。
- IPSシグネチャの追加
- リストから署名を追加し、必要に応じてフィルタを使用します。
- 各シグネチャのアクションを設定します(監視、ブロック)。
- IPS センサーをポリシーに適用します。
- Policy & Objects > IPv4 Policyに進みます。
- ターゲットポリシーを編集します。
- Security ProfilesでIPSを有効にし、設定されたセンサーを選択します。
- 保存して適用します。OKをクリックします。
ログレポートの手順
- FortiAnalyzer GUIにログインします。
- Webブラウザを開き、Managed Solutions PortalのAnalytics Consoleにアクセスするか、FortiAnalyzerのURLに直接アクセスします。
- ユーザー名とパスワードを入力してください。
- 適切なADOMを選択します(複数ある場合)。
- 必要な環境に関連する ADOM を選択します。
- 必要に応じて、ADOM ドロップダウンメニューを使用して切り替えます。
- FortiAnalyzerのログビューにアクセスします。
- ログビューへ
- ログの種類(トラフィック、イベント、セキュリティなど)を選択します。
- ソースIP、宛先IP、時間範囲などのフィルタを適用します。
- レポートの作成
- レポートに移動します。
- 新規作成]をクリックするか、既存のテンプレートを選択します。
- レポートの基準、期間、フィルタを設定します。
- レポートの実行またはスケジュール
- レポートのカスタマイズ
- テンプレートを修正し、チャート、テーブル、データ要素を調整します。
- テンプレートを保存して再利用
- レポートの表示とダウンロード
- レポートセクションで完了したレポートを開きます。
- PDFやCSVなどの形式でダウンロードできます。
- 自動レポートの設定
- レポート設定でスケジューリングオプションを構成します。
- 指定受信者へのメール配信を可能にします。
これらの手順を実行することで、お客様の管理者はFortiAnalyzerのADOMを通じてログを報告し、ネッ トワーク環境の管理とセキュリティ確保に必要な情報を得ることができます。
運用コンソールへのアクセス許可
他のユーザーにMPFサービスへのアクセスを許可するには
- エクイニクスカスタマーポータル(ECP)からユーザーアクセスをリクエストします。
- MPFへのアクセスに必要な権限を割り当てるには、チケットを開いてください。
- サービスカタログのCreate user in Operational Console オプションを使用して、セットアップを完了します。
サービス内容
マネージドプライベートファイアウォール(MPF)は高可用性ペアとして配備され、2つの仮想ドメイ ン(VDOM)を含んでいます。
-
Customer Domain - 信頼できるネットワークセグメントと信頼できないネットワークセグメント間のトラフィックを監視および制御します。このドメインは、アクセス・ポリシーを実施するアクティブなカスタマー・ファイアウォールです。
-
管理ドメイン - 管理目的のみに使用され、エクイニクスの管理環境のみに接続されます。このドメインをお客様のトラフィックが通過することはありません。
アプリケーションはマネージド・プライベート・クラウド上でホストされます。カスタマー・ドメインのファイアウォールは、セルフサービス・ポータルを通じて、または変更要求を通じて構成されたルールに基づいて、インターネット、WAN、およびマネージド・プライベート・クラウド内のネットワーク・セグメントとのアクセスを制御します。
セルフサービス・ポータルとアナライザー・ポータルを含む中央管理システムは、管理ADOMを使用してカスタマーVDOMを管理します。アナライザー・システムは、ログとイベントを収集し、オンラインとリアルタイムの可視性を提供します。オプションで、カスタマ・ドメインのログを外部のSIEMシステムに送信して、全体的なセキュリティ監視をサポートすることもできます。
スタンダード・サービス
標準サービスには以下が含まれる:
- 単一のIBXにアクティブ・フェイルオーバーの高可用性ペアでファイアウォールを導入し、99.95%以上の可用性をサポート。
- 標準ロギング。
- 2つの使用可能なネットワークインターフェースの構成。デュアルホームのインターネットまたはWAN接続には、追加のインターフェイスが必要です。
- BGPまたはスタティックルートによるルーティング
- セルフサービス・ポータルとアナライザー・ポータルのセットアップ。
- ファイアウォールの定期的なパッチ適用と更新。
- ファイアウォールのアップタイムを24時間365日監視。
- インシデント管理とサポート
- 優先順位1のインシデント:24/7.
- 優先度2および優先度3のインシデント営業時間
- サービスリクエスト営業時間
- すべてのサブスクリプションに含まれるファイアウォール機能。
仮想アプライアンス
MPFサービスは、エクイニクスのIBXにあるマネージドプライベートクラウドプラットフォーム上に配置された高可用性のアクティブ/パッシブ仮想アプライアンスペアを使用します。さまざまなスループット要件に対応するため、複数のパフォーマンスオプションが用意されています。
このバリアントには以下が含まれる:
- 選択したパフォーマンスオプションに必要なvCPU、vRAM、およびストレージリソース。
- リソースの構成
- 注文で指定された高可用性仮想ファイアウォールのペアのインストールと構成。
- セルフサービス・ポータルとアナライザー・ポータルへのアクセス。
デュアルサイト
デュアルサイトの展開が可能な場所では、2つの独立した高可用性ペアを展開し、サイト間で弾力性のある高可用性設計を形成することができます。
管理者コンソール
標準サービスは、管理ドメイン(ADOM)として定義された中央セルフサービスポータルを使用します。ADOMでは、顧客のファイアウォール管理者が、ファイアウォール・ルールやポリシーの作成、削除、変更、仮想アプライアンス固有の仮想プライベート・ネットワークの管理を行うことができます。
ログアナライザーコンソール
標準サービスには、管理ドメイン(ADOM)からアクセス可能な中央ログアナライザが含まれます。このコンソールにより、ファイアウォール管理者はログの収集を管理し、分析を実行し、レポートを生成することができます。ログアナライザーコンソールは、ネットワークコンソールとは別個のもので、自動化、オーケストレーション、およびログに記録されたイベントへの応答をサポートします。
サービスオプション
以下のマネージドプライベートファイアウォールサービスオプションをご注文いただけます。
標準サービスはFirewallライセンスに基づきます。有料オプションとして、IPS ライセンスまたは ATP/UTP バンドルを選択できます。各ライセンスでアンロックされる機能は下表のとおりです。
| License | Description | Features |
|---|---|---|
| FW | Standard Service | Firewall |
| IPS | Intrusion Prevention Services | Firewall Intrusion Prevention Services |
| ATP | Advanced Threat Protection | Firewall Intrusion Prevention Services Advanced Malware Protection Service App Control |
| UTP | Unified Threat Protection | Firewall Intrusion Prevention Services Advanced Malware Protection Service App Control Web Security |
ファイアウォール
ファイアウォール機能は、すべてのサブスクリプションに含まれています。ファイアウォール機能は、すべてのサブスクリプションに含まれています。
- ネットワーク・インターフェイス
- ポリシー/ルール(ファイアウォールルール)
- セキュリティプロファイル(デフォルトの「すぐに使える」プロファイル)
- VPN IPsec
- VPN SSL (ウェブとトンネル)
- NLB(ネットワーク負荷分散)
- DoSポリシー(L3/4異常)
- ロギング(アナライザー)
IPS
侵入防御サービス(IPS)は、脆弱性と脅威を検出してブロックします。また、ネットワークベースの仮想パッチ適用や、マルウェア、ランサムウェア、HTTPSベースの攻撃の検出もサポートします。
高度マルウェア保護サービス
高度なマルウェア対策には、アンチウイルス、ボットネットIP/ドメインセキュリティ、モバイルセキュリティ、サンドボックスクラウド、ウイルスアウトブレイク対策、コンテンツ解除と再構築が含まれます。
アプリコントロール
アプリケーション・コントロールは、アプリケーションやアプリケーション・カテゴリへのアクセスを許可、拒否、制限するポリシーの作成を可能にします。
ウェブセキュリティ
ウェブコンテンツフィルタリングは、特定の単語やパターンを含むページをブロックすることで、ウェブコンテンツへのアクセスを制御します。単語、フレーズ、パターン、ワイルドカード、および Perl 正規表現を使用してコンテンツをマッチングできます。
タイプ
必要なスループットに合わせて、さまざまな仮想マシンのリソースオプションを選択できます。
パフォーマンスオプション
ファイアウォールのパフォーマンス(Gbps)は、選択したライセンス、割り当てられた vRAM および vCPU リソース、有効な機能によって異なります。表は、目安となるパフォーマンスと必要なリソースを示しています。
| Size | vCPU | vRAM | FW (Gbps) | IPS (Gbps) | ATP/UTP (Gbps) |
|---|---|---|---|---|---|
| S (small) | 2 | 4 | 7 | 1.7 | 0.9 |
| M (medium) | 4 | 8 | 10.8 | 3.3 | 1.8 |
| L (large) | 8 | 12 | 14 | 5.9 | 3.4 |
| XL (extra-large) | 16 | 16 | 15.5 | 10.1 | 6.3 |
備考
- VMリソースはサービスに含まれます。
- 最大スループットとは、ファイアウォールが処理できる送受信トラフィックの合計値です。値はサプライヤーのテストデータに基づいています。実際の容量は、ルールセット、有効化された機能、特定の顧客トラフィックによって異なる場合があります。
- UDP(512バイト)パケットで測定されたファイアウォールのスループット。
- Enterprise Traffic Mixで測定されたIPSパフォーマンス。
- Enterprise Traffic Mixを使用したIPS、アプリケーションコントロール、マルウェアプロテクションによる脅威防御性能の測定。
ログストレージクォータ
標準ロギングには、Managed Private Firewallサービスペアごとに1日あたり最大1GB、合計最大10GBのログストレージが含まれます。ログの保存期間は最大60日間ですが、10GBのストレージ制限に早く達した場合は、それより短くなることがあります。追加のログストレージは、拡張ログとして注文できます。
サービス・デマケーションとイネーブリング・サービス
エクイニクスは、注文およびその後のサービスリクエストで定義された標準サービスおよびサービスオプションの組み合わせに責任を負います。エクイニクスは、サービスの管理や利用に必要なクライアントソフトウェアやインターネット接続について責任を負いません。
仮想ファイアウォールについては、以下のサービス境界が適用されます:
- 本番トラフィック用のファイアウォール上の論理ネットワーク・インターフェイス
- ネットワークおよびアナライザ・コンソールのUIとAPI
サービスの区分に関する詳細は、「役割と責任」(#roles-and-responsibilities)および「製品ポリシー」(https://www.equinix.com/resources/product-documents)をご覧ください。
マネージド・プライベート・ファイアウォールは、マネージド・プライベート・クラウド(MPC)とのみ注文可能で、ソリューション全体の中でセキュリティ・コンポーネントとして機能します。
料金の種類
マネージドプライベートファイアウォールサービスをご注文の際は、要件を満たすバリアントを選択してください。MPFサービスはベースライン値に基づいて課金されます。
- Baseline - 注文で定義されたサービスの単位量の比。
請求項目カタログ
| Category | Purchase Unit | UOM | Install Fee | Billing Method | Overage |
|---|---|---|---|---|---|
| MPF Service | Firewall type Firewall license Log storage quota | Each | Yes | Baseline | No |
役割と責任
オンボーディング - インストール
| Activities | Equinix | Customer |
|---|---|---|
| Schedule / execute project kickoff meeting | RA | CI |
| Schedule / execute customer onboarding | RA | CI |
| Virtual Machine resources (compute, storage, and networking) for the virtual firewall on MPC | RA | I |
| Virtual Firewall appliance software, licenses, and support | RA | I |
| Equinix management environment for firewall management including Network Console and Analyzer Console | RA | I |
オンボーディング - コンフィギュレーション
| Activities | Equinix | Customer |
|---|---|---|
| Firewall-appliance basic configuration, network interfaces, network settings, and hardening | RA | I |
| Set up firewall monitoring and logging to Analyzer Console | RA | I |
| Set up customer accounts on portal for access to logging, reporting, and self-service | RA | CI |
| Defining initial firewall ruleset | CI | RA |
| Loading initial firewall ruleset through Network consoles | CI | RA |
| Loading initial firewall ruleset through Service Request | RA | CI |
サービス開始
| Activities | Equinix | Customer |
|---|---|---|
| Test access to MPF Product page on Managed Solutions Portal | CI | RA |
| Test access to MPF documentation on docs.equinix.com | CI | RA |
| Test access to MPF operational console | CI | RA |
| Testing the configuration and failover as part of operational management | RA | CI |
| Functional testing | CI | RA |
運用
| Activities | Equinix | Customer |
|---|---|---|
| Technical management of the service (overall) | RAC | I |
| Functional management of the customer environment within the service (overall) | I | RAC |
| Service desk | RA | CI |
| Maintenance of the firewall-appliance (infrastructure break / fix, software updates, security patches) | RA | I |
| 24/7 uptime monitoring of the virtual firewall including health checks | RA | I |
| Back-up and management of log files and rule base | RA | I |
| Submitting Service Request via the Portal | CI | RA |
| Implementation of changes in accordance with change process based on Service Requests | RA | CI |
| Interpretation of security events | RA |
RACIとは、Responsible(責任ある)、Accountable(説明できる)、Consulted(相談された)、Informed(知らされた)の頭文字をとったもの。
誤解を避けるため、ファイアウォールのルールセットとポリシー、オプションのVPN接続設定、サーバーのロードバランシング設定はお客様の責任となります。エクイニクスは、お客様の指示に基づいてのみ変更を実施します。
インシデント管理
インシデント管理はサービスサポートに含まれます。すべてのインシデントは優先順位に基づいて処理されます。優先順位は、障害が報告され、提供された情報に基づいてエクイニクスが評価した後に決定されます。
| Priority | Impact / Urgency | Description |
|---|---|---|
| P1 High | Unforeseen unavailability of a service or environment delivered and managed by Equinix in accordance with the service description due to a disruption. The user cannot fulfill obligations towards users and suffers direct demonstrable damage due to the unavailability of this functionality. | The service must be restored immediately. The production environments are unavailable, with platform-wide disruptions. |
| P2 Medium | The service does not offer full functionality or has partial functionality or reduced performance, impacting users. The user suffers direct demonstrable damage due to unavailability of the functionality. The service may be impacted due to limited availability. | The service must be repaired the same working day. The management environment is not available. |
| P3 Low | The service functions with limited availability for one or more users and a workaround is in place. | The moment of repair is determined in consultation with the reporting person. |
上記の分類は、たとえば、ユーザー固有のアプリケーション、ユーザーによる操作、またはサードパーティに依存して発生した障害には適用されません。インシデントは、カスタマーポータルの Managed Solutions セクションから提出できます。P1インシデントは電話による提出が必要です。
サービスリクエスト
サービスリクエストは、サービスの問題を報告したり、変更の実装や支援を要求するために使用されます。サービスリクエストは、オペレーショナルコンソールのセルフサービスでは実装できない設定変更に対して発行できます。マネージドプライベートファイアウォールサービスのサポートは24時間利用可能です。サービスリクエストには 2 つのタイプがあります:
- Included - サービスの範囲内であり、追加料金が発生しないサービスリクエスト。
- 追加 - サービスの範囲外で追加料金が発生するサービスリクエスト。
標準サービスに加え、適切なサービスオプションが選択されている場合、インストール時またはサービスリクエストを通じて、以下の機能または構成を有料オプションとしてリクエストできます。
- ネットワークの追加と削除
- DMZ、階層分離、または追加のWAN接続などの目的で、標準の2つのサブネット以外に追加のサブネットを追加します。
- ポリシーやルールの追加、削除、変更
- ルールベースの変更および/またはセキュリティプロファイルの追加。リクエストごとに最大 5 つのルールを変更できます。
- セキュリティプロファイルの追加、削除、変更(追加またはカスタム)
- 顧客のセキュリティプロファイル(IPS、Webフィルタリングなど)を設定します。有効なサブスクリプションが必要です。
- VPN(サイト間)接続の追加、削除、変更
- IPsec VPN接続を設定して、拠点間の暗号化接続を確立します。
- VPN(SSL)接続の追加、削除、変更
- インターネットを介した安全なユーザーアクセスのための SSL VPN 接続を構成します。ユーザー認証は、お客様が管理するシステムまたはサポートサービスによって提供されます。
- SSL証明書の追加、削除、変更
- 証明書署名要求(CSR)を作成し、SSL証明書を実装します。
- サーバーロードバランシングの追加、削除、変更
- バックエンドサーバー間の基本的なトラフィック負荷分散を設定します。TLS1.3までのSSL/TLSオフロードを含む、L3(IP)、L4(TCP/UDP)、L7(HTTP、HTTPS、SSL/TLS、IMAPS、POP3S、SMTPS)をサポート。
- DoSポリシーの追加、削除、変更
- レイヤ3とレイヤ4で異常なパターンのトラフィックを検査するポリシーを構成します。デフォルトのしきい値が適用されます。
以下の表に示すように、一部の変更はセルフサービスで実施できます。また、サービス・リクエストとしてサービス・ポータルからリクエストすることもできます。
| Type of Change | Self-Service | Included/Additional |
|---|---|---|
| Add or remove additional network (Interface) | No | Additional |
| Add, remove, or change policy or rules (maximum 5 rules per request) | Yes | Additional |
| Add, remove, or change security profile (additional or custom, subscription required) | Yes | Additional |
| Add, remove, or change VPN (IPsec/S2S) (maximum 3 VPN tunnels per request) | Yes | Additional |
| Add, remove, or change VPN SSL (certificate creation excluded, one change per request) | Yes | Additional |
| Add, remove, or change SSL certificate | No | Additional |
| Add, remove, or change server load balancing (maximum 3 rules per request) | Yes | Additional |
| Add, remove, or change DoS policy | Yes | Additional |
| Ask information about the product | No | Included |
お客様は、マネージドソリューションポータルのサービスリクエストモジュールで「変更」を選択することにより、表に記載されていない変更をリクエストできます。エクイニクスは影響度分析を実施し、実現可能性、関連コスト、リードタイムを判断します。
サービスリクエストに関連する料金は、プレミアサポートプランの残高から差し引かれるか、残高不足の場合は適用される料金で後払い請求されます。
ベースライン容量、注文数量の変更、または月額サービス料金に影響する変更は、営業チームを通じて申請する必要があります。
報告
顧客は、コンソールを介してネットワーク・トラフィックとセキュリティ・イベントのレポートを表示および保存できます。コンソールは、ネットワーク・トラフィック、脅威、アプリケーション、関連データのグラフを表示するカスタマイズ可能なインタラクティブ・ダッシュボードを提供します。システムは、リアルタイム情報と履歴情報を単一の概要に統合します。
70種類以上の組み込みテンプレートと2000種類以上のデータセット、チャート、マクロを使用して、異常検知や脅威評価などの分析用のカスタムデータレポートを作成できます。レポートは、オンデマンドで実行することも、オプションの自動電子メール通知を使用してスケジュールすることもできます。サポートされる出力形式には、PDF、HTML、CSV、XML、JSONが含まれます。
セキュリティイベント
セキュリティチームは、ファイアウォールからアラートとイベントログを監視および管理できます。イベントは分析に適した形式で処理され、関連付けられます。
サービスレベル
サービスレベル合意書(SLA)は、MPFサービスに関連する測定可能なパフォーマンスレベルを定義し、エクイニクスがこれらのレベルを満たさない場合に利用可能な救済措置を規定しています。製品ポリシーに記載されているサービスクレジットは、定義されたしきい値を満たさない場合の唯一の救済措置です。
サポートのSLAは、インシデントの登録と解決に適用されます。
| Priority | Response Time¹ | Resolution Time² | Execution of Work | SLA³ |
|---|---|---|---|---|
| P1 | < 30 min | < 4 hours | 24/7 | 95% |
| P2 | < 60 min | < 24 hours | 24/7 | 95% |
| P3 | < 120 min | < 5 days | 24/7 | 95% |
レスポンス・タイムは、トラブル・チケットが提出されてから、マネージド・ソリューションズのスペシャリストが正式な回答を発行するまでの時間です。
² 解決時間は、登録からITSMツールでのクローズまたはキャンセル、またはIBXサポートへの引き渡しまでの時間です。
応答時間には³SLAが適用されます。詳細については、製品ドキュメントをご覧ください。
可用性
ファイアウォールのポリシーとルールが5分以上トラフィックに適用されない場合、MPFサービスは「利用不可」と見なされます。
| Availability Service Level | Description |
|---|---|
| 99.95%+ | Achieved by limiting unavailability of the Firewall Service to less than twenty-two (22) minutes per calendar month. |
可用性に関するサービスクレジット制度は、計算方法および適用除外を含め、製品ドキュメントに定義されています。
フルフィルメント・プロセス
MPFの注文が入ると、エクイニクスのデリバリーチームが各拠点のフルフィルメントプロセスを案内します。配信ワークフローには次のようなアクションが含まれます:
- この注文は、該当する場合、マネージド・プライベート・クラウドを含む関連製品について評価されます。
- MPFの主な連絡先を確認しました。
- エクイニクスカスタマーポータル、マネージドソリューションポータルへのユーザーアクセス、およびMPF管理に必要なすべての権限が検証されています(ECP)。
- 環境保護に必要な接続が存在し、運用可能であることが確認されています。
- プライマリ・コンタクト・ポイントは、管理者相当の資格を持っていることが確認されています。
MPFのオンボーディング・プロセスでは、以下の情報が提供されます:
- 組織名
- 定義されたロールの1つが割り当てられた1つ以上の顧客アカウント。
- 承認された設計に従って提供されるプロビジョニングされたファイアウォール。
- インターネット、クラウドサービスプロバイダー、コロケーション、WANプロバイダーの接続詳細。