サービス内容
スタンダード・サービス
標準サービスには以下が含まれる:
- HAファイアウォールペアで構成されるマネージドファイアウォールサービス
- Standard1 ログ記録(1 日あたり最大 1GB のログデータ、最大 10GB のログデータクォータ、FW ペアあたり最大 60 日間の保存)
- 2つの使用可能なネットワークインターフェースの設定3
- デフォルトのルーティング:ボーダー・ゲートウェイ・プロトコル(BGP)またはスタティック・ルーティング
- Equinix が作成する最大 3 つの読み取り専用/読み取り/書き込みユーザーアカウントを含む、セルフサービスおよびアナライザーポータルの設定4
- セルフサービス・ポータルへのAPIアクセス
- ファイアウォールの定期的なパッチ適用と更新
- ファイアウォールの24時間365日の監視
- インシデント管理とサポート:
- 優先順位1のインシデント24x7
- 優先順位2および3のインシデント営業時間
- サービスリクエスト営業時間
- ファイアウォール機能は、すべてのサブスクリプションに含まれています。サービスオプション](#service-options)で詳しく説明されている標準的なファイアウォールサービスを提供します。
注
1 広範なロギング(10GB以上)は有料オプションとして提供されます。
2 ファイアウォールポリシーでロギングが有効になっている場合、より多くのロギングが生成され、デフォルトの60日間の分析と10GBクォータの保持はすぐに消費されます。これは、ロギングを有効にするポリシーをより注意深く選択するか、クォータを拡張することで解決できます。
3 デュアルホームのインターネットアクセス/WAN接続には、より多くのインターフェイスが必要です。
4 ユースケースによります。お客様がファイアウォールを自ら管理する場合は、読み書き可能なポリシーが作成されます。エクイニクスがファイアウォールを管理する場合、お客様は読み取り専用アクセスを取得できます。
サービスバリエーション
マネージドファイアウォールサービスは、次の 2 つのサービスバリエーションでご利用いただけます。
マネージドファイアウォール - バーチャル (MFW-V)
これは、Equinix IBX のマネージド・プライベート・クラウド・プラットフォーム上にインストールされた、高可用性のアクティブ・パッシブ仮想アプライアンスのペアに基づいています。さまざまなスループット要件に対応するため、さまざまなパフォーマンス・オプションをご用意しています。このサービスには、以下のものが含まれます。
- 注文したパフォーマンスオプションに必要な vCPU、vRAM、およびストレージリソース
- リソースの構成
- IBXへのHAバーチャルファイアウォールペアのインストールと設定。
- セルフサービス・ポータルとアナライザー・ポータルへのアクセス
マネージドファイアウォール - 物理 (MFW-P)
これは、お客様のライセンススペース、またはオプションで IBX の Managed Solutions ライセンススペースにインストールされる、高可用性のアクティブ/パッシブ物理アプライアンスのペアに基づいています。さまざまなスループット要件に対応するため、さまざまなパフォーマンスオプションをご用意しています。このバリエーションには、以下のものが含まれます。
- ご注文内容に従って、IBX への HA 物理ファイアウォールペアの設置および設定を行います。
- ネットワークスイッチおよびファイアウォールへの物理的なケーブル配線(管理など)
- セルフサービス・ポータルとアナライザー・ポータルへのアクセス
MFW-V は最も柔軟性が高く、多くの場合最も適したバリエーションです。特定の使用ケースでは、MFW-P がより適切な選択肢となる場合があります。例えば、高いスループットや規制要件が理由です。パフォーマンス以外の点では、MFW-V と MFW-P サービスバリエーションの間には僅かな違いしかありません。したがって、このサービス説明での重複を避けるため、MFW-V サービスに基づいてサービスを説明し、MFW-P サービスが異なる場合は、可能な限り本文中または脚注で明示します。
サービスオプション
サービスオプションとは、MFWサービスの機能を拡張するオプションのことです。
ストレッチド・デプロイメント(MFW-(V/P)-SD)
ファイアウォールは、標準で、単一の IBX データセンター内にアクティブ・フェイルオーバーの高可用性ペアとして導入され、99.9% 以上の可用性を提供します。このオプションでは、ファイアウォールは 2 つの IBX データセンターにアクティブ・フェイルオーバーの高可用性ペアとして導入され、99.95% 以上の可用性を提供します。
このオプションは、以下のような高可用性の強化されたユースケースをサポートするために選択することができる:
- デュアルサイトWAN、インターネット接続またはエクイニクスFabric接続
- デュアルサイトMPC
このサービス・オプションには、2つのIBXデータセンター間の必要なネットワーク接続も含まれます(MFW-Vサービス・バリアントに適用)。
セキュリティ・サブスクリプション
標準サービス](#standard-service)はFirewallライセンスをベースにしています。有料オプションとして、IPSライセンスまたはATP/UTPバンドルも選択できます。この表は、これらのライセンスによってアンロックされるさまざまな機能を示しています。
| Attribute-Code | License | Description | Functionalities |
|---|---|---|---|
| Included | FW | Standard Service | * Firewall |
| MFW-(V/P)-(size)-IPS | IPS | Intrusion Prevention Services | * Firewall * IPS |
| MFW-(V/P)-(size)-ATP | ATP | Advanced Threat Protection | * Firewall * IPS * Advanced Malware Protection Service * App Control |
| MFW-(V/P)-(size)-UTP | UTP | Unified Threat Protection | * Firewall * IPS * Advanced Malware Protection Service * App Control * Web Security |
ファイアウォール
ファイアウォール機能はすべてのサブスクリプションに含まれており、以下の機能を提供します。
- ネットワーク・インターフェイス
- ポリシー/ルール(ファイアウォールルール)
- セキュリティ・プロファイル(デフォルトの「すぐに使える」プロファイル)
- VPN IPsec
- VPN SSL(ウェブ&トンネル)
- NLB(ネットワーク負荷分散)
- DoSポリシー(L3/4異常)
- ロギング(アナライザー)
IPS
侵入防御サービスは、新規および既存の脆弱性から保護し、既知の脅威やゼロデイ脅威を検出してブロックします。また、ネットワークベースの仮想パッチ適用を支援し、隠れたマルウェア、ランサムウェア、その他のHTTPSベースの攻撃を検出します。
高度マルウェア保護サービス
ウイルス対策、ボットネット IP/ドメインセキュリティ、モバイルセキュリティ、Sandbox Cloud、ウイルス発生保護、コンテンツの無害化および再構築。
アプリコントロール
アプリケーション・コントロールでは、アプリケーションまたはアプリケーションのカテゴリ全体へのアクセスを許可、拒否、制限するポリシーをすばやく作成できます。
ウェブセキュリティ
ウェブコンテンツフィルタリングは、特定の単語やパターンを含むウェブページをブロックすることで、ウェブコンテンツへのアクセスを制御します。これにより、疑わしい内容のページへのアクセスを防ぐことができます。単語、フレーズ、パターン、ワイルドカード、Perl正規表現を指定して、ウェブページのコンテンツと一致させることができます。
パフォーマンス・オプション
MFW-VおよびMFW-Pのサービスバリエーションは、さまざまな性能オプションから、必要なスループットに適したタイプを選択できます。
MFW-Vパフォーマンス・オプション
Gbpsスループットにおけるファイアウォールのパフォーマンスは、選択したライセンス、仮想アプライアンスに割り当てられたvRAMおよびvCPUリソース、ファイアウォールで有効化された機能によって異なります。パフォーマンスオプションの範囲はSからXLまでです。以下の表は、パフォーマンスと必要なリソースの目安です。
| VM Resources1 | Maximum Throughput (Gbps)2 | ||||
|---|---|---|---|---|---|
| Attribute-Code | vCPU | vRAM (GB) | FW3 | IPS4 | ATP/UTP5 |
| MFW-V-S | 2 | 4 | 7 | 1.7 | 0.9 |
| MFW-V-M | 4 | 8 | 10.8 | 3.3 | 1.8 |
| MFW-V-L | 8 | 12 | 14 | 5.9 | 3.4 |
| MFW-V-XL | 16 | 16 | 15.5 | 10.1 | 6.3 |
注
1 VMリソースはサービスに含まれます。
2 最大スループットとは、ファイアウォールが処理できる送受信トラフィックの総量(「スループット」)です。表示される値は、サプライヤーからのテストデータに基づいています。ルールセット、使用される機能、およびお客様の特定のトラフィックによって、達成される最大容量は異なる場合があります。これは推定値です。
3 ファイアウォールのスループットは、UDP(512バイト)パケットで測定されています。
4 IPSのパフォーマンスはEnterprise Traffic Mixで測定されています。
5 脅威防御性能は、Enterprise Traffic Mixに基づき、IPSおよびアプリケーション制御とマルウェア防御で測定されています。
MFW-Pのパフォーマンス・オプション
物理ファイアウォールのサイジングはご要望に応じて提供可能であり、前提条件はソリューション・ドキュメントに文書化されます。
ログストレージ拡張 (MFW-LSE)
マネージドファイアウォールサービス1ペアにつき、1日最大1GBのログデータと10GBのログデータストレージが標準サービスに含まれます。このログデータは、セキュリティ分析および/または保存の目的で使用することができます。お客様がより多くのログデータの保存を希望される場合は、追加オプションとしてご注文いただけます。
外部ロギング (MFW-EXL)
デフォルトでは、このサービスはセルフサービスアナライザーにログを記録します。外部ログターゲットが必要な場合、このオプションは、Equinix Managed Log Gateway 経由で、セルフサービスアナライザーから顧客が提供する外部 SIEM にフィードを提供します。このオプションは、Equinix Managed Log Gateway と組み合わせてのみご注文いただけます。これはマネージドファイアウォールサービスの一部ではないため、別途ご注文いただく必要があります。
カスタマーIDプロバイダ/認証 (MFW-CPA)
デフォルトでは、顧客はセルフサービス・ポータルを通じてローカル・ユーザを追加できる。オプションとして、外部の顧客 ID プロバイダ(Customer Provided Authentication)を追加し、認証に使用することもできます。
専用ポータル(MFW-DSSP/DLAP)
専用セルフサービスポータル(MFW-DSSP)
- 標準サービスでは、中央のセルフサービス・ポータルを使用する。
- オプションで、専用の管理ポータルを注文することもできます。たとえば、非標準のコンプライアンス、法律、規制などが必要で、中央ポータルでは提供できない場合などです。
- このオプションを使用するには、ログ分析専用ポータルが必要です。
専用ログ解析ポータル(MFW-DLAP)
- 標準サービスでは、中央ログ分析ポータルを使用する。
- オプションで、専用のログ分析ポータルを注文することもできます。たとえば、非標準のコンプライアンス、法律や規制、標準サービスで提供できる以上のログ記録などが必要で、中央ポータルでは提供できない場合などです。
サービスリクエスト
標準サービスに加え、適切なサービスオプションが選択されている場合、以下の機能/設定は、インストール時またはサービスリクエストを通じて、有料オプションとしてご依頼いただけます。以下のサービスリクエストをご注文いただけます。一部はセルフサービスでもご利用いただけます。
- MFW-SR-ANW: 追加ネットワークの追加/削除 - 標準では、ファイアウォールは最大 2 つのサブネットで構成されます。このオプションを使用すると、追加のDMZ、異なる階層間のファイアウォール、追加のWAN接続などを提供するために、追加のサブネットを追加することができます。
- MFW-SR-AVD :追加 VDOM の追加/削除(MFW-P のみ) - 標準のファイアウォールには、管理用の VDOM と(本番)トラフィック用の VDOM が 1 つずつ設定されています。追加の VDOM を設定することで、本番環境、テスト環境、開発環境を分離したり、ファイアウォールごとにインターネットと WAN のポリシーを分離したりすることができます。
- MFW-SR-AU: セルフサービスポータルの追加ユーザー追加/削除 - 標準では、エクイニクスが作成した3つのユーザーアカウントがサービスに含まれています。ご要望に応じてユーザーアカウントを追加することも可能です。
- MFW-SR-SPC :セキュリティ・プロファイルの追加/削除/変更(追加/カスタム) - お客様のセキュリティ・プロファイル(IPS、Webフィルタリングなど)を作成します。有効なサブスクリプションが必要です。
- MFW-SR-S2S :VPN(サイト間)接続の追加/削除/変更 - Gateway-to-Gateway IP-SEC VPNを使用して、2つの場所またはサイト間でインターネットを介した安全な(暗号化された)接続を確立します。
- MFW-SR-C2S :VPN(SSL)接続の追加/削除/変更 - SSL VPNを使用して、ファイアウォールで保護されたシステムへのインターネット経由のユーザーアクセスを保護します。ユーザー認証は、顧客が管理するシステムまたはサポートサービスによって提供される必要があります。
- MFW-SR-CERT: SSL 証明書の追加/削除/変更 - 証明書署名要求(CSR)の作成と証明書の実装。
- MFW-SR-SLB: Add/Remove/Change Server Load Balancing - 複数のバックエンドサーバにまたがる基本的なトラフィックの負荷分散をサポートします:スタティック(フェイルオーバー)、ラウンドロビン、ウェイト。L3(IP)、L4(TCP/UDP)、L7(HTTP、HTTPS、SSL/TLS、IMAPS、POP3S、SMTPS)をサポート。SLBは、TLS 1.3までのほとんどのSSL/TLSバージョンをオフロードします。
- mfw-sr-dp(-e) :DoS ポリシーの追加/削除/変更 - サービス拒否(DoS)ポリシーを有効にすると、ファイアウォー ルに到着するネットワークトラフィックをレイヤー 3 とレイヤー 4 で異常なパターンがない か検査できます。このオプションを選択すると、デフォルトしきい値が設定されます。
- MFW-QT-FVP: Change of Firewall Variant Performance - バリアントパフォーマンスを変更するオプションです。
- MFW-QT-LSE: ログストレージ拡張の変更 - 標準のログデータストレージを拡張するオプションです。標準サービスでは、1日あたり最大1GBのログデータが含まれ、マネージドファイアウォールサービス1ペアにつき、セキュリティ分析および/または保存目的で10GBのログデータストレージが保存されます。お客様がより多くのログデータの保存を希望される場合は、追加オプションとしてご注文いただけます。
一部の変更は、以下の表に示すようにセルフサービスで実施するか、サービスリクエストとしてサービスポータルを通じてエクイニクスに実施を依頼することができます。
| Code | Type of Change | Self Service | Service Request | Request Type |
|---|---|---|---|---|
| MFW-SR-ANW | Add/Remove Additional Network (Interface) | - | ✓ | SR |
| MFW-SR-AVD | Add/Remove Additional VDOM (only MFW-P) | - | ✓ | SR |
| MFW-SR-AU | Add/Remove Additional User on Self-Service Portal | - | ✓ | SR |
| MFW-SR-PR | Add/Remove/Change Policy/Rule(s) (Maximum 5 rules per service request) | ✓ | ✓ | SR |
| MFW-SR-SPC | Add/Remove/Change Security Profile (Additional/Custom) (Subscription needed) | ✓ | ✓ | SR |
| MFW-SR-S2S | Add/Remove/Change VPN (IPsec/S2S) | ✓ | ✓ | SR |
| MFW-SR-C2S | Add/Remove/Change VPN (SSL) (Creation of certificate excluded) | ✓ | ✓ | SR |
| MFW-SR-CERT | Add/Remove/Change SSL Certificate | - | ✓ | SR |
| MFW-SR-SLB | Add/Remove/Change Server Load Balancing | ✓ | ✓ | SR |
| MFW-SR-DP | Add/Remove/Change DoS Policy | ✓ | ✓ | SR |
| MFW-QT-FVP | Change of Firewall Variant Performance (only MFW-V) | - | ✓1 | Quote |
| MFW-QT-LSE | Change in higher amount of log data (extensive logging) | - | ✓1 | Quote |
注
1 月に 1 回ご依頼いただけます。
サービスリクエストが上記の表に記載されていない場合は、サービスリクエストモジュールで「その他」を選択し、お客様からリクエストすることができます。エクイニクスは影響分析を実施し、変更の実施可否、関連コスト、リードタイムを判断します。
サービス・デマケーションとイネーブリング・サービス
MFW-V サービスバリエーションは、マネージド・プライベート・クラウド(MPC)と組み合わせてのみご注文いただけます。MFW-P サービスバリエーションは、MPC および/またはその他のエクイニクス製品を含むマネージド・ソリューションの一部としてのみご注文いただけます。
Equinix は、注文書およびその後のサービスリクエストに記載された標準サービスおよびサービスオプションの組み合わせについてのみ責任を負います。Equinix は、サービスの管理または使用に関するお客様のソフトウェアまたはお客様のインターネット接続について責任を負いません。
MFW-V デマケーション&イネーブリング・サービス
仮想ファイアウォールについては、以下のサービス境界が適用される:
- 本番トラフィック用ファイアウォールの論理ネットワークインターフェース
- 管理ポータルとアナライザー・ポータルのUIとAPI
MFW-Vストレッチ・オプション
- MPC サービスに加えて、お客様は、有効化サービスとしてストレッチ MPC サービスオプションを注文する必要があります。
MFW-P デマケーション&イネーブリング・サービス
ファイアウォールの物理ネットワークインターフェースは、マネージドファイアウォールサービスの観点からの境界であり、エクイニクスが提供する仕様に従って、お客様の電源およびネットワークインフラストラクチャに接続するための電源およびネットワークケーブルを含みます。
お客様のライセンススペースでの展開
MFW-Pは、以下のイネーブルサービスとの組み合わせでのみご注文いただけます:
- マネージド・スイッチ(少なくともコンソールと管理接続用)
- MPC外部ネットワークサービスオプション(MPCを含む場合)
- Equinix Managed Solutions 管理プラットフォームへの Cross Connect
お客様は、以下をご用意ください。
- IBXのファイアウォールをホストするためのライセンススペースと電源
- エクイニクスが提供する仕様に準拠したデュアルPDUを顧客ラックに設置
- エクイニクス提供の仕様に従ってエクイニクス機器を接続するためのスイッチポート
Equinix Managed Solutionsライセンススペースでの展開
MFW-Pは、以下のイネーブルサービスとの組み合わせでのみご注文いただけます:
- MPC外部ネットワークサービスオプション(MPCを含む場合)
- インフラストラクチャ港湾
MFW-P ストレッチ・オプション
- 顧客は、Enabling Serviceとして、顧客のライセンススペース間の接続を注文する必要がある。
- ケースバイケースで個別に決定されるその他の要件。
購入単位
MFW-V/MFW-P
| Attribute-Code | Description | UOM | NRC | MRC |
|---|---|---|---|---|
| MFW-(V/P)-(S,M,L,XL) | FW | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-IPS | FW + IPS | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-ATP | FW + ATP | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-UTP | FW + UTP | FW pair | ✓ | ✓ |
| MFW-SD | Stretched Deployment | FW pair | ✓ | ✓ |
| MFW-LSE | Log storage extension | FW pair | ✓ | ✓ |
| MFW-EL | External logging | FW pair | ✓ | ✓ |
| MFW-CPA | Customer Provided Authentication | FW pair | ✓ | ✓ |
| MFW-DSSP | Dedicated Self-Service Portal | Appliance | ✓ | ✓ |
| MFW-DLAP | Dedicated Log Analyzing Portal | Appliance | ✓ | ✓ |
| Premier Support Plan | Service Request Pre-Paid Hours | Hour | - | ✓ |
注: UOM - 測定単位