Serviços
Serviço padrão
O serviço padrão inclui o seguinte:
- Serviço de firewall gerenciado que consiste em um par de firewalls HA
- Registro padrão1, incluindo até 1 GB de dados de log por dia, cota de dados de log de até 10 GB e retenção de até 60 dias por par de FW2
- Configuração de duas interfaces de rede utilizáveis3
- Roteamento padrão: Border Gateway Protocol (BGP) ou roteamento estático
- Configuração do Portal de Autoatendimento e do Analisador, incluindo até três contas de usuário somente leitura/leitura/gravação criadas pela Equinix4
- Acesso à API do portal de autoatendimento
- Aplicação regular de patches e atualização do(s) firewall(s)
- Monitoramento 24x7 do(s) firewall(s)
- Gerenciamento e suporte de incidentes:
- Incidentes de prioridade 1: 24x7
- Incidentes de prioridade 2 e 3: Horário comercial
- Solicitações de serviço: Horário comercial
- A funcionalidade de Firewall está incluída em todas as subscrições. Oferece serviço de firewall padrão, que são descritos em detalhe em Opções de serviço.
Observação:
- O registro extensivo de dados (>10 GB) é oferecido como uma opção paga.
- Se o registro de logs estiver habilitado em uma Política de Firewall, mais logs serão gerados e, consequentemente, o período de retenção padrão de 60 dias para análises e a cota de 10 GB serão consumidos rapidamente. Isso pode ser resolvido selecionando com mais cuidado quais políticas têm o registro de logs habilitado ou expandindo a cota.
- A conectividade de acesso à Internet/WAN com duas conexões requer mais interfaces.
- Dependendo do caso de uso. Se o cliente gerenciar o firewall por conta própria, será criada uma configuração de acesso de leitura e gravação. Caso contrário, se a Equinix gerenciar o firewall, o cliente terá acesso somente leitura.
Variantes de serviço
O serviço de Firewall gerenciado está disponível nas duas variantes de serviço a seguir:
Firewall Gerenciado - Virtual (MFW-V)
Baseia-se em um par de aplicação virtuais ativo-passivo de alta disponibilidade, instalado sobre a plataforma de Nuvem Privada Gerenciada em um Equinix IBX. Oferecemos diferentes opções de desempenho para atender a diferentes requisitos de taxa de transferência. Esta variante de serviço inclui:
- Recursos de vCPU, vRAM e armazenamento necessários para a opção de desempenho solicitada
- Configuração dos recursos
- Instalação e configuração do par de firewalls virtuais HA em um IBX, conforme definido no pedido
- Acesso ao portal de autoatendimento e ao portal do Analyzer
Firewall gerenciado - físico (MFW-P)
Baseia-se em um par de aplicação físicos ativos-passivos de alta disponibilidade, instalado no seu Espaço Licenciado ou, opcionalmente, no Espaço Licenciado de Managed Solutions em um IBX. Oferecemos diferentes opções de desempenho para atender a diferentes requisitos de throughput. Esta variante inclui:
- Instalação e configuração do par de Firewall Físico HA em um IBX conforme estabelecido no pedido
- Cabeamento físico para switches de rede e firewalls (incluindo gerenciamento, etc.)
- Acesso ao portal de autoatendimento e ao portal do Analyzer
O MFW-V é a variante mais flexível e, frequentemente, a mais adequada. Em alguns casos de uso específicos, o MFW-P é uma opção melhor, por exemplo, devido à alta taxa de transferência ou a requisitos regulatórios. Além do desempenho, há apenas pequenas variações entre as variantes de serviço MFW-V e MFW-P. Portanto, para evitar duplicação nesta descrição de serviço, descreveremos o serviço com base no serviço MFW-V e, caso o serviço MFW-P apresente alguma divergência, isso será mencionado em texto inline ou em nota de rodapé, na medida do possível.
Opções de serviço
As opções de serviço são acréscimos opcionais ao serviço MFW que aprimoram seus recursos.
Implantação esticada (MFW-(V/P)-SD)
Por padrão, os firewalls são implantados em um par ativo-failover de alta disponibilidade em um único data center IBX, oferecendo pelo menos 99,9% de disponibilidade. Com esta opção, os firewalls são implantados em um par ativo-failover de alta disponibilidade em dois data centers IBX, oferecendo pelo menos 99,95% de disponibilidade.
Essa opção pode ser selecionada para suportar os seguintes casos de uso de alta disponibilidade aprimorada:
- WAN de site duplo, acesso à Internet ou conectividade Equinix Fabric
- MPC de local duplo
Essa opção de serviço também inclui a conectividade de rede necessária entre os dois data centers IBX (aplicável à variante de serviço MFW-V).
Assinatura de segurança
O Serviço Padrão é baseado na licença de Firewall. Como opção paga, a licença IPS ou o pacote ATP/UTP também podem ser selecionados. Esta tabela mostra os diferentes recursos desbloqueados por essas licenças.
| Attribute-Code | License | Description | Functionalities |
|---|---|---|---|
| Included | FW | Standard Service | * Firewall |
| MFW-(V/P)-(size)-IPS | IPS | Intrusion Prevention Services | * Firewall * IPS |
| MFW-(V/P)-(size)-ATP | ATP | Advanced Threat Protection | * Firewall * IPS * Advanced Malware Protection Service * App Control |
| MFW-(V/P)-(size)-UTP | UTP | Unified Threat Protection | * Firewall * IPS * Advanced Malware Protection Service * App Control * Web Security |
Firewall
A funcionalidade Firewall está incluída em todas as assinaturas e oferece as seguintes funções e características:
- Interfaces de rede
- Política/regras (regras de firewall)
- Perfis de segurança (perfis padrão "prontos para uso")
- VPN IPsec
- VPN SSL (Web e Túnel)
- NLB (balanceamento de carga de rede)
- Política de DoS (Anomalias L3/4)
- Registro em log (Analyzer)
IPS
O Intrusion Prevention Services protege contra vulnerabilidades novas e existentes e detecta e bloqueia ameaças conhecidas e de dia zero. Ele também ajuda na aplicação de patches virtuais com base na rede e detecta malware oculto, ransomware e outros ataques baseados em HTTPS.
Serviço Avançado de Proteção contra Malware
Antivírus, segurança de IP/domínio de botnet, segurança móvel, Sandbox na nuvem, proteção contra surtos de vírus e desarmamento e reconstrução de conteúdo.
Controle do aplicativo
O Application Control permite a criação rápida de políticas para permitir, negar ou restringir o acesso a aplicativos ou a categorias inteiras de aplicativos.
Segurança Web
O Web Content Filtering controla o acesso ao conteúdo da Web bloqueando páginas da Web que contenham palavras ou padrões específicos. Isso ajuda a impedir o acesso a páginas com material questionável. Palavras, frases, padrões, curingas e expressões regulares Perl podem ser especificados para corresponder ao conteúdo das páginas da Web.
Opções de desempenho
Você pode escolher entre uma série de opções de desempenho para as variantes de serviço MFW-V e MFW-P, para selecionar o tipo certo para a taxa de transferência necessária.
Opções de desempenho do MFW-V
O desempenho do firewall em termos de taxa de transferência de Gbps depende da licença selecionada, dos recursos de vRAM e vCPU atribuídos aos dispositivos virtuais e dos recursos ativados no firewall. As opções de desempenho variam de S a XL. A tabela abaixo fornece uma indicação do desempenho e dos recursos necessários.
| VM Resources1 | Maximum Throughput (Gbps)2 | ||||
|---|---|---|---|---|---|
| Attribute-Code | vCPU | vRAM (GB) | FW3 | IPS4 | ATP/UTP5 |
| MFW-V-S | 2 | 4 | 7 | 1.7 | 0.9 |
| MFW-V-M | 4 | 8 | 10.8 | 3.3 | 1.8 |
| MFW-V-L | 8 | 12 | 14 | 5.9 | 3.4 |
| MFW-V-XL | 16 | 16 | 15.5 | 10.1 | 6.3 |
Observação:
O serviço inclui 1 recurso de máquina virtual. 2. A taxa de transferência máxima é a quantidade total de tráfego de entrada e saída ("taxa de transferência") que o firewall pode processar. Os valores exibidos são baseados em dados de teste fornecidos pelo fornecedor. Dependendo do conjunto de regras, das funcionalidades utilizadas e do tráfego específico do cliente, a capacidade máxima atingida pode variar. Trata-se de uma estimativa. 3. A taxa de transferência do firewall foi medida com pacotes UDP (512 bytes). O desempenho do IPS foi medido em 4 etapas com o Enterprise Traffic Mix. 5. O desempenho da proteção contra ameaças foi medido com IPS, controle de aplicativos e proteção contra malware, com base no mix de tráfego corporativo.
Opções de desempenho do MFW-P
O dimensionamento do firewall físico pode ser fornecido mediante solicitação e as suposições serão documentadas no documento de soluções.
Extensão de armazenamento de registros (MFW-LSE)
Até 1 GB de dados de registro por dia e 10 GB de armazenamento de dados de registro estão incluídos no serviço padrão por par de Managed Firewall Service. Esses dados de registro podem ser usados para fins de análise de segurança e/ou retenção. Se um cliente desejar armazenar mais dados de registro, isso pode ser solicitado como uma opção adicional.
Registro de log externo (MFW-EXL)
Por padrão, este serviço registra no Self-Service Analyzer. Se um destino de log externo for necessário, esta opção fornece feed do Self-Service Analyzer para um SIEM externo fornecido pelo cliente por meio de um Equinix Managed Log Gateway. Esta opção só pode ser adquirida em combinação com um Equinix Managed Log Gateway. Ela precisa ser adquirida separadamente, pois não faz parte do Managed Firewall Service.
Provedor de ID do cliente / autenticação (MFW-CPA)
Por padrão, o cliente pode adicionar usuários locais por meio do portal de autoatendimento. Opcionalmente, um provedor de identidade externo do cliente (autenticação fornecida pelo cliente) pode ser adicionado e usado para autenticação.
Portal dedicado (MFW-DSSP/DLAP)
Portal de autoatendimento dedicado (MFW-DSSP)
- O serviço padrão usa um portal central de autoatendimento.
- Opcionalmente, é possível solicitar um portal de gerenciamento dedicado . Por exemplo, caso sejam necessárias conformidade, leis e regulamentos não padronizados, etc., que não possam ser oferecidos com o portal central.
- Essa opção requer o Portal de Análise de Registros Dedicado.
Portal dedicado para análise de logs (MFW-DLAP)
- O serviço padrão usa um portal central de análise de registros.
- Opcionalmente, um portal dedicado à Análise de Logs pode ser solicitado. Por exemplo, se houver necessidade de conformidade, leis e regulamentos fora do padrão, se houver mais registros do que o serviço padrão pode fornecer, etc., que não podem ser oferecidos com o portal central.
Solicitações de serviços
Além do serviço padrão, e se a(s) opção(ões) de serviço apropriada(s) tiver(em) sido selecionada(s), as seguintes funcionalidades/ configuração podem ser solicitadas na instalação ou por meio de Solicitação de Serviço, como uma opção paga. As seguintes solicitações de serviço podem ser solicitadas. Algumas também estão disponíveis como autoatendimento:
- MFW-SR-ANW: Adicionar/Remover Rede Adicional – Por padrão, o firewall é configurado com até duas sub-redes. Com esta opção, sub-redes adicionais podem ser adicionadas, por exemplo, para fornecer uma DMZ adicional, firewall entre diferentes camadas ou uma conexão WAN adicional.
- MFW-SR-AVD: Adicionar/Remover VDOM adicional (somente MFW-P) – O firewall padrão é configurado com um VDOM para administração e um VDOM para tráfego (de produção). VDOMs adicionais podem ser configurados para oferecer maior separação, por exemplo, para separar ambientes de produção, teste e desenvolvimento e/ou para separar políticas de Internet e WAN por firewall.
- MFW-SR-AU: Adicionar/Remover Usuário Adicional no Portal de Autoatendimento – Por padrão, três contas de usuário criadas pela Equinix estão incluídas no serviço. Contas de usuário adicionais podem ser criadas mediante solicitação.
- MFW-SR-SPC: Adicionar/Remover/Alterar Perfil de Segurança (Adicional/Personalizado) – Criação de perfis de segurança do cliente (IPS, filtragem da Web, etc.). Requer uma assinatura válida.
- MFW-SR-S2S: Adicionar/Remover/Alterar conexões VPN (site a site) – Para estabelecer uma conexão segura (criptografada) pela Internet entre dois locais ou sites por meio de VPN IP-SEC Gateway-to-Gateway.
- MFW-SR-C2S: Adicionar/Remover/Alterar conexões VPN (SSL) – Acesso seguro do usuário pela Internet a sistemas protegidos por firewall usando uma VPN SSL. A autenticação do usuário precisa ser fornecida por um sistema administrado pelo cliente ou por um serviço de suporte.
- MFW-SR-CERT: Adicionar/Remover/Alterar Certificado SSL – Criação de uma Solicitação de Assinatura de Certificado (CSR) e implementação do certificado.
- MFW-SR-SLB: Adicionar/Remover/Alterar Balanceamento de Carga do Servidor – Suporta balanceamento de carga de tráfego básico em vários servidores de backend, com base em vários agendamentos de balanceamento de carga, incluindo: Estático (failover), Round robin e Ponderado. Suporta L3 (IP), L4 (TCP/UDP) e L7 (HTTP, HTTPS, SSL/TLS, IMAPS, POP3S, SMTPS). O SLB descarrega a maioria das versões SSL/TLS até TLS 1.3.
- MFW-SR-DP(-E): Adicionar/Remover/Alterar Política de DoS – Uma política de Negação de Serviço (DoS) pode ser ativada para examinar o tráfego de rede que chega a um firewall em busca de padrões anômalos nas camadas 3 e 4, que geralmente indicam um ataque. Ao selecionar esta opção, os Limiares Padrão serão configurados.
- MFW-QT-FVP: Alteração do desempenho da variante do firewall – Opção para alterar o desempenho da variante.
- MFW-QT-LSE: Extensão de Armazenamento de Logs – Opção para estender o armazenamento padrão de dados de log. O serviço padrão inclui até 1 GB de dados de log por dia e 10 GB de armazenamento de dados de log para análise de segurança e/ou fins de retenção por par de Serviços de Firewall Gerenciado. Caso o cliente deseje armazenar mais dados de log, isso pode ser solicitado como uma opção adicional.
Algumas alterações podem ser implementadas por meio de autoatendimento, conforme indicado na tabela abaixo, ou podem ser solicitadas para implementação pela Equinix por meio do portal de serviços como uma Solicitação de serviço.
| Code | Type of Change | Self Service | Service Request | Request Type |
|---|---|---|---|---|
| MFW-SR-ANW | Add/Remove Additional Network (Interface) | - | ✓ | SR |
| MFW-SR-AVD | Add/Remove Additional VDOM (only MFW-P) | - | ✓ | SR |
| MFW-SR-AU | Add/Remove Additional User on Self-Service Portal | - | ✓ | SR |
| MFW-SR-PR | Add/Remove/Change Policy/Rule(s) (Maximum 5 rules per service request) | ✓ | ✓ | SR |
| MFW-SR-SPC | Add/Remove/Change Security Profile (Additional/Custom) (Subscription needed) | ✓ | ✓ | SR |
| MFW-SR-S2S | Add/Remove/Change VPN (IPsec/S2S) | ✓ | ✓ | SR |
| MFW-SR-C2S | Add/Remove/Change VPN (SSL) (Creation of certificate excluded) | ✓ | ✓ | SR |
| MFW-SR-CERT | Add/Remove/Change SSL Certificate | - | ✓ | SR |
| MFW-SR-SLB | Add/Remove/Change Server Load Balancing | ✓ | ✓ | SR |
| MFW-SR-DP | Add/Remove/Change DoS Policy | ✓ | ✓ | SR |
| MFW-QT-FVP | Change of Firewall Variant Performance (only MFW-V) | - | ✓1 | Quote |
| MFW-QT-LSE | Change in higher amount of log data (extensive logging) | - | ✓1 | Quote |
Observação:
1 Pode ser solicitado uma vez por mês.
Se as solicitações de serviço não estiverem listadas na tabela acima, elas poderão ser solicitadas pelo cliente selecionando outro no módulo de solicitação de serviço. A Equinix realizará uma análise de impacto para determinar se a alteração pode ser implementada, os custos associados e o tempo de espera, que serão compartilhados com o solicitante para aprovação.
Demarcação de serviços e serviços de habilitação
A Variante de Serviço MFW-V só pode ser encomendada em combinação com a Nuvem Privada Gerenciada (MPC) e, como tal, atua como um componente de segurança em uma solução. A Variante de Serviço MFW-P só pode ser encomendada como parte de uma solução gerenciada que inclua MPC e/ou outros produtos Equinix .
A Equinix é a única responsável pelo Serviço Padrão e pela combinação de Opções de Serviço, conforme estabelecido no(s) Pedido(s) e nas Solicitações de Serviço subsequentes. A Equinix não se responsabiliza por nenhum software cliente ou pela conectividade de internet do cliente para gerenciar ou utilizar o Serviço.
Demarcações MFW-V e serviços de habilitação
Para os Firewalls Virtuais, aplicam-se os seguintes limites de serviço:
- Interfaces de rede lógicas nos firewalls para tráfego de produção
- UI e API para os portais Management e Analyzer
Opção esticada MFW-V
- Além do Serviço MPC, o cliente precisa ter solicitado uma Opção de Serviço MPC Estendido como um Serviço Habilitador.
Demarcações MFW-P e serviços de habilitação
As interfaces de rede física no firewall são a demarcação da perspectiva do serviço de firewall gerenciado, incluindo cabos de energia e de rede para conexão com a infraestrutura de rede e energia do cliente, de acordo com as especificações fornecidas pela Equinix.
Implantação em espaço licenciado pelo cliente
Um MFW-P só pode ser solicitado em combinação com os seguintes serviços de habilitação:
- Switch gerenciado (pelo menos para conectividade de console e gerenciamento)
- Opção de serviço de rede externa MPC (se o MPC estiver incluído)
- Cross Connects à Plataforma de Gerenciamento de Equinix Managed Solutions
O cliente deve fornecer:
- Espaço licenciado e energia para hospedar os firewalls no IBX
- PDUs duplas no rack do cliente, de acordo com as especificações fornecidas pela Equinix
- Portas de switch para conectar equipamentos da Equinix de acordo com as especificações fornecidas pela Equinix
Implantação no Espaço Licenciado de Soluções Gerenciadas da Equinix
Um MFW-P só pode ser solicitado em combinação com os seguintes serviços de habilitação:
- Opção de serviço de rede externa MPC (se o MPC estiver incluído)
- Portos de infraestrutura
Opção esticada MFW-P
- O cliente precisa ter solicitado a conectividade entre o espaço licenciado do cliente como um serviço de habilitação.
- Outros requisitos determinados individualmente, caso a caso.
Unidades de compra
MFW-V/MFW-P
| Attribute-Code | Description | UOM | NRC | MRC |
|---|---|---|---|---|
| MFW-(V/P)-(S,M,L,XL) | FW | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-IPS | FW + IPS | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-ATP | FW + ATP | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-UTP | FW + UTP | FW pair | ✓ | ✓ |
| MFW-SD | Stretched Deployment | FW pair | ✓ | ✓ |
| MFW-LSE | Log storage extension | FW pair | ✓ | ✓ |
| MFW-EL | External logging | FW pair | ✓ | ✓ |
| MFW-CPA | Customer Provided Authentication | FW pair | ✓ | ✓ |
| MFW-DSSP | Dedicated Self-Service Portal | Appliance | ✓ | ✓ |
| MFW-DLAP | Dedicated Log Analyzing Portal | Appliance | ✓ | ✓ |
| Premier Support Plan | Service Request Pre-Paid Hours | Hour | - | ✓ |
Nota: UOM - Unidade de medida