Ir para o conteúdo principal

Segurança da plataforma

Este artigo descreve as políticas e os procedimentos seguidos pela Equinix para proteger seus equipamentos e dados.

As equipes e os programas a seguir analisam, avaliam e aprimoram as práticas de segurança da Equinix:

  1. Auditorias e conformidade – Cumprimos formalmente diversas normas do setor, como ISO 27001, SSAE16 e PCI DSS. As certificações e atestados de auditoria são fornecidos por auditores terceirizados qualificados. Esses auditores coordenam atividades com diversas equipes de negócios e tecnologia, como Serviços de Garantia de Negócios, Auditoria Interna e Operações.

  2. Equipe de Segurança da Informação – Trabalhando em estreita colaboração com a organização jurídica, esta equipe é encarregada de seguir as diretrizes globais e das unidades de negócios para ajudar a garantir a conformidade com as leis e regulamentações locais e federais.

  3. Políticas de Segurança da Informação – A equipe de Segurança da Informação administra e aplica um conjunto abrangente de informações internas confidenciais, revisadas e endossadas pela alta administração. Essa equipe garante que as políticas internas tenham escopo global, com foco especial em leis, regulamentos e requisitos comerciais específicos de cada país e região.

    As áreas cobertas por essas políticas de segurança interna incluem:

    • Uso aceitável da tecnologia
    • Anti-vírus e malware
    • Backup e retenção de dados
    • Classificação, etiquetagem e manuseio de dados
    • Acesso lógico
    • Senhas
    • Gerenciamento de patches
    • Dispositivos móveis
    • Computadores pessoais
    • Acesso remoto e VPN
    • Mídias sociais
observação

Essas políticas internas são rigorosamente aplicadas. Elas são revisadas anualmente para estabelecer sua relevância e precisão contínuas. Novas políticas são introduzidas conforme necessário.

Segurança do serviço de malha da Equinix

Separação de tráfego

O Fabric usa tecnologia comprovada para garantir a separação do tráfego entre os clientes. MPLS L3VPNs (VRFs) e instâncias EVPN L2 por cliente ou conexão de cliente. Tudo isso é provisionado por meio de configuração automatizada e, sem nenhuma alteração na configuração, nenhum dado fica disponível fora das conexões da rede de distribuição do cliente. Todas as alterações de configuração (tanto automatizadas quanto manuais, no caso de diagnósticos de falhas) são registradas e monitoradas quanto a anomalias. A configuração ativa em todos os dispositivos de rede é constantemente comparada com a configuração registrada e qualquer anomalia é relatada e corrigida.

Propriedade e Criptografia do Tráfego

Todos os dados transportados pela plataforma Fabric são de propriedade do cliente e, como a Equinix não tem como saber quais dados são transportados e a quais estruturas regulatórias esses dados estão sujeitos, a Equinix não fornece orientação sobre como criptografar os dados transportados. É responsabilidade do cliente tratar os dados em trânsito em conformidade com suas exigências regulatórias. A Equinix não possui mecanismos implantados para monitorar ou intervir no tráfego transportado pelas conexões Fabric

Interfaces de gestão

Todas as interfaces de gerenciamento dos dispositivos de rede que fazem parte da plataforma Fabric são conectadas à nossa infraestrutura de gerenciamento interna e nenhuma interface de gerenciamento é exposta ou conectada à Internet.

Segurança de TI empresarial Equinix

  • Firewalls de internet – A Equinix implementa firewalls de última geração que oferecem antivírus, detecção e prevenção de intrusões, filtragem de URLs e controle de aplicações. Os eventos detectados pelos firewalls são inseridos em um sistema global de Gerenciamento de Incidentes e Eventos de Segurança (SIEM).
  • E-mail – Um gateway antivírus e antispam defende contra ameaças originadas por e-mail.

Desktops e laptops Equinix Personnel

  • Proteção – Os desktops e laptops Equinix são protegidos. As diretrizes e os padrões de proteção da Equinix são documentados e implementados durante a construção dos sistema .
  • Antivírus e Malware – Desktops e laptops Windows e Mac precisam executar softwares antivírus e antimalware com proteção de varredura em tempo real para arquivos e aplicativos. Os arquivos infectados são colocados em quarentena.
  • Controle remoto – Tecnologia de controle remoto seguro é usada para auxiliar a equipe com problemas técnicos.
  • VPN de acesso remoto – Os funcionários que acesso remotamente as redes ou sistemas corporativos da Equinix devem utilizar soluções de acesso remoto e VPN fornecidas pela empresa, utilizando autenticação de dois fatores. Os sistemas clientes que se conectam a servidores de desktop remoto devem ser atribuídos e controlados pela TI corporativa.
  • Wi-Fi – As redes Wi-Fi são segregadas das redes empresa da Equinix . Um usuário conectado ao Wi-Fi pode acesso a rede empresa por meio de uma VPN de acesso remoto.

Servidores Equinix Enterprise

  • Proteção – As diretrizes e padrões de proteção da Equinix são documentados e executados durante as compilações do sistema .
  • Antivírus e Malware – Servidores Windows precisam executar softwares antivírus e antimalware com proteção de varredura em tempo real para arquivos e aplicativos. Arquivos infectados são colocados em quarentena.
  • Varreduras – As varreduras de vulnerabilidades são realizadas internamente semanalmente e sob demanda. Os aplicativos devem passar por varreduras abrangentes de vulnerabilidades e segurança de aplicativos antes de serem disponibilizados ao público.
  • Registro – Os acesso bem-sucedidos e malsucedidos aos sistemas são registrados para análise. O utilitário SUDO, padrão da indústria, é usado em sistemas UNIX. Os registros são inseridos em um SIEM e armazenados por pelo menos 90 dias.

Segurança física do data center da IBX

A segurança física de cada data center da IBX é uma alta prioridade operacional. Cada data center utiliza uma série de equipamentos, técnicas e procedimentos de segurança para monitorar as instalações e controlar e registrar o acesso.

  • Acesso – O subsistema de controle de acesso permite a entrada de usuários autorizados no construção e nas instalações. Dispositivos de segurança biométricos, cartões de proximidade e outras tecnologias identificam os usuários no sistema de controle de acesso e, após a autenticação, permitem que os contatos naveguem no IBX conforme permitido.

  • Monitoramento de Alarmes e Detecção de Intrusão – O subsistema de monitoramento de alarmes e detecção de intrusão monitora o status de vários dispositivos associados ao sistema de segurança. Os dispositivos de monitoramento incluem interruptores de posição de porta, detectores de quebra de vidro, detectores de movimento e interruptores de violação. Se o status de qualquer dispositivo mudar de seu estado seguro, um alarme é ativado, o evento é registrado e as medidas apropriadas são tomadas.

  • CFTV – O subsistema de circuito fechado de televisão permite a exibição, o controle, a gravação e a reprodução de vídeos ao vivo de câmeras em todas as instalações, bem como em ambientes externos, onde permitido por lei. Este sistema é integrado ao subsistema de monitoramento de alarmes e detecção de intrusão, de modo que, em caso de alarme, as câmeras são exibidas automaticamente para visualização do evento em tempo real.

    observação

    O CFTV opera e grava 24 horas por dia, 7 dias por semana, 365 dias por ano.

  • Subsistema de Intercomunicação de Áudio e Rádio Bidirecional – O subsistema de intercomunicação de áudio fornece comunicação bidirecional entre os visitantes da instalação e o agente de segurança. O subsistema de rádio bidirecional também fornece comunicação entre o guarda do saguão e o guarda de patrulha.

  • Teste de intrusão – Os testes de intrusão são realizados periodicamente, sem aviso prévio à equipe do local.

  • Equipe de Segurança — Contratação e Treinamento – A Equinix conta com fornecedores e parceiros líderes do setor para ajudar a gerenciar a infraestrutura física em cada data center IBX . A equipe de segurança passa por verificações de antecedentes e criminais e é obrigada a receber treinamento de segurança no momento da contratação e periodicamente a partir de então.

  • Protocolos de Emergência para Clientes e Visitantes – Em caso de emergência, a equipe do data center do IBX fornece orientações. Clientes e outros visitantes nas instalações devem seguir todas as instruções fornecidas.

  • Gravação de Vídeo e Fotografia - Para proteger as instalações e preservar o anonimato de todos os clientes do data center IBX, não é permitido fotografar ou filmar dentro do data center IBX . Clientes em cages licenciadas podem solicitar fotos de suas cages e equipamentos ao agendar uma visita.

    observação

    Qualquer fotografia requer a presença de um técnico da Equinix .

  • Rastreamento de Ativos – Clientes e seus fornecedores, contratados e subcontratados frequentemente entregam e retiram equipamentos de um data center IBX pelo saguão. As seguintes regras se aplicam ao rastreamento de ativos:

    • Bolsas e itens transportados à mão estão sujeitos a revista, conforme permitido por lei.
    • Os equipamentos removidos de um data center IBX que não foram trazidos naquele dia devem ser listados no tíquete de serviço como equipamentos que podem ser removidos. A descrição dos itens deve ser clara para a identificação precisa do equipamento.
    • Os equipamentos enviados para e das instalações são gerenciados pelo departamento de remessa e recebimento, que é separado da área de co-localização. Os clientes devem abrir um tíquete de solicitação de serviço de remessa para receber o equipamento.

  • Sinalização das Gaiolas – A política da Equinix é não divulgar a localização física de nenhuma cage do cliente. No entanto, os clientes podem afixar a sinalização das cage mediante aprovação da Equinix.

    observação

    As placas de gaiola são limitadas apenas a gaiolas particulares e não podem ser usadas em gaiolas compartilhadas ou espaços de revenda.

Entrada e saída de visitantes

  • Check-in – Todos os visitantes que entrarem em um data center da IBX deverão fazer o check-in pelo aplicativo móvel do Portal do Cliente ou pelo totem de autoatendimento localizado no saguão de segurança. Todos os visitantes deverão se dirigir à janela de segurança e apresentar um documento de identificação emitido pelo governo ao agente de segurança de plantão.

  • Biometria – São necessários, no mínimo, dois fatores de autenticação, como biometria e um cartão de proximidade, para obter acesso físico a um data center IBX . Isso se aplica a visitantes e a todos os funcionários do data center IBX .

  • Check-out – Todos os visitantes podem usar o aplicativo móvel do Portal do Cliente Equinix (ECP) ou o Quiosque para fazer o check-out do IBX após a conclusão da visita.

  • Privilégios de acesso – o acesso IBX é concedido e mantido pelo administrador do Portal do Cliente Equinix (ECP) da sua empresa.

Permissões e funções atribuídas aos administradores

Um administrador de clientes do Equinix Customer Portal concede a indivíduos uma ou mais das seguintes permissões de site no nível do data center ou da gaiola do IBX:

  • acesso físico (convidado não inscrito) – Um administrador deve abrir uma visita de trabalho para permitir que um convidado não inscrito entre em um data center IBX .

  • Acesso IBX/Cage – Permite acesso sem escolta ao data center IBX sem necessidade de abertura de visitas técnicas, o registro no sistema de controle de acesso ocorrerá na primeira visita ao IBX.

  • Remover acesso – remove todo o(s) espaço(s) licenciado(s) ou data center (s) IBX dos Contatos, conforme necessário.

  • Remover equipamento – Autoriza indivíduos com acesso sem acompanhamento ao centro de dados IBX a remover hardware das instalações sem um bilhete de saída. Para mais informações, consulte Envios de saída de um IBX.

  • Trazer convidados – Autoriza um indivíduo com acesso desacompanhado ao data center IBX a trazer convidados não registrados para as instalações sem uma visita de trabalho.

    observação

    Todos os convidados que entrarem no IBX deverão apresentar um documento de identidade válido emitido pelo governo para a segurança.

    Se precisar de ajuda para localizar o administrador do portal da sua empresa, consulte Localizando os administradores da sua empresa

Privilégios de pedido no centro de dados IBX ou no nível do Cage

  • serviços básicos – Concede privilégios para pedindo de visitas técnicas, passeios, salas de conferencia e exames de mãos.
  • Conexões cruzadas – Concede privilégios de pedindo para instalar e desinstalar cross connects.
  • Smart Hands – Concede privilégios de pedindo para enviar Smart Hands e tickets de solicitar de serviço.
  • Exibir histórico de tickets de solicitar de serviço – Concede privilégios para revisar o histórico de pedindo .

Envios

Todos os envios de entrada e saída devem ser agendados com antecedência, abrindo um chamado de solicitar de serviço ou ligando diretamente para a Equinix . Envios não agendados serão recusados.

Monitoramento

Um sistema global monitora a integridade dos servidores e da infraestrutura da empresa. Os alertas são gerados automaticamente e alimentados em um sistema SIEM.

Operações

Equipe de governança de segurança do data center da IBX

A equipe de Governança de Segurança do Cloud Exchange é responsável por promover a conscientização e a conformidade com as políticas, procedimentos e padrões de segurança interna aplicáveis ​​às implantações do Equinix Fabric .

Manutenção Controlada

Alterações de rotina, emergência e configuração na infraestrutura de rede de serviços do Equinix Fabric são autorizadas, registradas, testadas, aprovadas e documentadas.

Pedidos de mudança

Solicitações de mudança são documentos formais e arquivados que descrevem modificações em qualquer aspecto do Equinix Fabric que impacte o cliente.

Conselho de Revisão de Mudanças

O Comitê de Revisão de Mudanças faz uma revisão semanal dos documentos de solicitação de mudanças. O conselho é composto pelas partes interessadas apropriadas, incluindo especialistas das equipes técnicas, de liberação e de gerenciamento de projetos. O conselho prioriza as solicitações de alteração e atribui prazos específicos para as alterações.

Mudança de Rollback

É necessário que as solicitações de alteração incluam planos de reversão, caso a alteração tenha um impacto negativo no ambiente de produção.

Gerenciamento de problemas

Os problemas são gerenciados e rastreados formalmente, desde a detecção até a resolução, com o auxílio de um sistema de emissão de tíquetes.

Escalações

As políticas e processos operacionais publicados estão em vigor para os procedimentos de escalonamento voltados para o cliente.

Segurança de rede do serviço Equinix Fabric

Bastião

O acesso administrativo à rede de serviços do Equinix Fabric só está disponível por meio de um bastion host.

Autenticação, Autorização e Contabilidade (AAA)

Os dispositivos na rede de serviços Equinix Fabric usam o TACACS+ para serviços AAA. Os funcionários envolvidos na administração da rede de serviços Equinix Fabric recebem acesso com base no modelo de privilégios mínimos, com direitos de acesso compatíveis com suas funções. As tentativas bem-sucedidas e malsucedidas de acesso aos dispositivos da rede são registradas para fins de análise e alarme.

Ferramentas de gestão

As ferramentas de gerenciamento de serviços estão sujeitas a controles AAA. As configurações que elas controlam são controladas por revisão, com registro de data e hora e registradas.

Plano de Gerenciamento de Dispositivos de Rede

Os controles do plano de gerenciamento incluem o uso de serviços AAA. As sessões de administração remota são criptografadas usando SSH e são encerradas após um período adequado de inatividade. O acesso do administrador e as alterações de configuração são registrados. As listas de controle de acesso (ACLs) limitam o tráfego de/para apenas os endereços IP de origem e destino necessários. As configurações padrão dos fornecedores são modificadas de acordo com as recomendações de segurança do fabricante.

Plano de Controle de Dispositivos de Rede

Os controles do plano de controle incluem limitação de taxa no tráfego destinado ao próprio dispositivo (ICMP, ARP, BGP, SSH, SNMP) e protocolos de aplicativos principais, como o DNS, para defender-se contra ataques de negação de serviço. O tráfego de e para redes não autorizadas e inválidas é bloqueado. A autenticação MD5 é usada para trocas e atualizações de mensagens de protocolo (IGP/LDP/BGP).

Avião de encaminhamento de dispositivos de rede

Os planos de encaminhamento do cliente são isolados em suas próprias tabelas de encaminhamento e roteamento virtual (VRF) e VPNs de camada 2 e camada 3. Tanto os limites máximos de prefixo do BGP quanto os limites do número máximo de endereços físicos (MAC) são usados para proteger os recursos e se defender contra ataques de negação de serviço.

Portal do cliente e interfaces de programação de aplicações (APIs)

Gestão de Acesso à Identidade

A Equinix oferece aos clientes capacidades de gerenciamento de identidade limitados ao escopo do Portal do Cliente Equinix (ECP) e do Portal do Cloud Exchange. Como parte do processo de provisionamento, a Equinix cria uma conta de administrador principal para o cliente. O administrador principal pode então criar, modificar, desabilitar e excluir contas de usuário do cliente, conforme necessário, incluindo outros administradores principais. Os administradores principais atribuem funções e privilégios às contas de usuário do cliente de acordo com as necessidades do cliente. Embora os provedores de serviço de cloud possam fornecer seus próprios sistemas de gerenciamento de Identidade e acesso, eles são separados daqueles oferecidos pela Equinix.

Interfaces de Programação de Aplicações (APIs)

A Equinix oferece uma API do Equinix Fabric cuja funcionalidade inclui recuperar informações e executar operações em portas e conexões virtuais do Equinix Fabric . A autenticação e a autorização são realizadas usando o padrão OAuth 2.0. Embora os provedores de serviço de cloud possam fornecer suas próprias APIs, elas são separadas daquelas oferecidas pela Equinix.

Acesso aos dados do cliente

A Equinix não acessa e não acesso quaisquer dados de trânsito de clientes do Equinix Fabric, sejam eles em movimento ou parados. Controles físicos e lógicos impedem, monitoram e detectam qualquer acesso não autorizado ou tentativa de acesso aos dados de trânsito de clientes.

Segurança de dados, ciclo de vida da informação, criptografia e gerenciamento de chaves

O Equinix Fabric fornece conectividade de rede direto entre clientes e provedores de serviço de cloud, sem a necessidade de acessar, inspecionar, manipular ou copiar os dados. Os clientes são responsáveis ​​por proteger todos os aspectos dos dados que transitam Equinix Fabric, de acordo com suas necessidades de segurança, políticas e quaisquer requisitos regulatórios e/ou legais aplicáveis.

Esta página foi útil?