Descripción de servicio. Firewall en Red de Nueva Generación Interoute, Walbrook Building, 195 Marsh Wall, London, E14 9SG, UK Tel: +800 4683 7681 Email: [email protected] © Interoute Communications Limited 1 Introducción Este documento describe las características del servicio de Firewall en Red de Nueva Generación y la propuesta de valor que este servicio ofrece al usuario y a nuestros clientes. Su intención es dar respuesta a todas las preguntas que planteen los clientes o que puedan llegar a surgir durante una llamada comercial. Si necesitan alguna aclaración adicional, rogamos contacten con nuestro Responsable de producto a cargo de los Servicios de seguridad. 2 Descripción general Actualmente, internet es para las empresas una herramienta fundamental de comunicación, investigación e interacción con los clientes. Interoute ofrece a sus clientes servicios de firewall diseñados para proteger a su empresa frente a posibles ataques. Históricamente, este tipo de protección ha estado basada en el control de los puertos TCP o de la posibilidad de establecer conexiones a través de internet. Sin embargo, los ciberdelincuentes y creadores de malware actuales son muy sofisticados, y raras veces intentan atacar directamente los puertos o controlar los recursos de la organización atacada. Los vectores de ataque que estos delincuentes cibernéticos modernos emplean suelen basarse más en el “envenenamiento” de las aplicaciones web a las que puedan estar accediendo los usuarios de las empresas. De ahí la imperiosa necesidad de monitorizar esas aplicaciones web y proteger a la organización frente a cualquier amenaza que puedan plantear a nivel de las aplicaciones web. Las empresas cada vez necesitan más información sobre el rendimiento de los dispositivos situados en la periferia de sus redes, y no sólo por su propia tranquilidad, sino también para cumplir con la normativa legal. Por eso un simple dispositivo de firewall que no proporcione información fácilmente y en un formato configurable ya no resulta aceptable para resolver las crecientes necesidades de las empresas. Interoute es muy consciente de estas nuevas necesidades, no sólo desde el punto de vista de la empresa, sino por la naturaleza cambiante de los posibles vectores de ataque. Y para resolverlas, Interoute ofrece ahora a sus clientes un nuevo Servicio de firewall en red de nueva generación, compuesto por un firewall Checkpoint con tarificación por caudal garantizado de procesamiento tráfico, que reside en nuestros centros de datos y queda asociado al acceso a internet de nuestros clientes. La plataforma de este servicio permitirá al cliente acceder a información en tiempo real sobre lo que está sucediendo en cada momento en el firewall, y obtener informes online, por correo electrónico, como archivos PDF o en otros formatos. El Centro de Operaciones de Seguridad (SOC) de Interoute prestará al cliente todo el apoyo técnico que necesite para la implementación de sus políticas de firewall, el mantenimiento y soporte técnico del dispositivo, y la aplicación de los cambios que puedan ser necesarios. © Interoute Communications Limited Version [1) 5_03_12 JMF Private and Confidential 3 El servicio de Firewall en Red de Nueva Generación Los Firewalls en Red de Nueva Generación son una herramienta fundamental para proteger a cualquier organización frente a las amenazas procedentes de Internet. Los firewalls proporcionan un punto centralizado a través del cual controlar el tráfico en función de muy diversas características: Dirección IP– de origen o de destino Número de puerto – de origen o de destino Dominio – integración con el servicio de nombres de dominio (DNS), para simplificar el acceso a recursos que resultarían más difíciles de definir por otros medios Tipo de aplicación – con técnicas de inspección profunda de paquetes, para controlar el funcionamiento de las aplicaciones web Traducción de direcciones IPv4 por NAT en sentido de salida, y acceso IPv6 nativo a Internet. Control del acceso remoto a redes corporativas. Nodo 1 Nodo 2 Internet oute Tráfico Firewall controlado InInternet UnTráfico controlado Nodo 3 Características técnicas del servicio El servicio de Firewall en Red de Nueva Generación de Interoute impone una política concreta que autoriza, bloquea y detecta el tráfico en la frontera con Internet, creando así una zona interna protegida. Se reservan además dos zonas desmilitarizadas (DMZ), una para los servidores que están accesibles desde Internet y otra para el acceso inalámbrico a la red corporativa, y el acceso remoto desde el exterior se configura en el momento de su instalación con un mecanismo de autorización mediante llaves software (“tokens” ), con lo cual se obtiene una solución integral que cubre todas las necesidades de acceso. La configuración predeterminada permite el acceso de salida IPv4 por NAT y el acceso Ipv6 nativo hacia Internet. El servicio de firewall ofrece una visibilidad absoluta sobre su funcionamiento e informes completos sobre lo que sucede en la periferia de la red, desde los accesos en tiempo real hasta informes mensuales o a demanda. Este servicio sólo puede instalarse en combinación con un servicio de acceso a internet suministrado por Interoute, pues es la única manera de conseguir la máxima protección y facilidad de gestión. El servicio de firewall ofrece además las siguientes funcionalidades adicionales: VPN SSL Permite acceder a la red de forma remota desde una gran variedad de dispositivos, con la protección adicional que proporcionan las llaves software (“tokens”). Control y visibilidad de las aplicaciones web Control y Visibilidad para Aplicaciones Web, Web 2.0 © Interoute Communications Limited Version [1) 5_03_12 JMF Private and Confidential La metodología estructurada de Interoute para la implementación y operación de nuestros servicios de firewall ha sido desarrollada por nuestros profesionales de seguridad, que cuentan con una amplia experiencia en el campo de los firewalls de red. Esta metodología se basa en lo siguiente: Configuración del firewall Configuración de los aspectos de administración, ajuste, monitorización y alertas. Instalación del juego de reglas recomendado Proceso de adaptación preliminar Implementación de las reglas de firewall específicas del entorno del cliente Proceso de postinstalación Habilitación de las funciones de alerta y emisión de informes Nuestra metodología estructurada nos permite introducir el firewall en su red de una manera controlada, garantizando que quede perfectamente configurado y no bloquee su conectividad ni el tráfico de sus usuarios. Requisitos del cliente El servicio de Firewall en Red de Interoute tiene como objetivo proteger la red interna del cliente, la cual tendrá su espacio privado de direcciones, por lo que necesitaremos los siguientes datos del cliente para implementar correctamente el servicio: Datos del servidor de correo y otras reglas para tráfico “entrante” Emails de contacto para el envío de informes y la administración del servicio Persona de contacto para la administración de las llaves software (“tokens”) Servidor concreto donde se instalará el software de gestión (ver notas) El cliente deberá facilitar todos estos datos en el momento de realizar el pedido. Para ello, deberá enviar el formulario de captura de datos (DCF, Data Capture Form) asociado al servicio de firewall en red de nueva generación. Interoute se encargará de todos los aspectos asociados a la configuración del firewall, lo cual incluye: Su mantenimiento y la implementación de modificaciones. Las actualizaciones de la plataforma, que incluyen la instalación mensual de parches y actualizaciones de versiones. El horario concreto de aplicación de las actualizaciones se acordará con el cliente. © Interoute Communications Limited Version [1) 5_03_12 JMF Private and Confidential Informes Interoute proporcionará al cliente in informe mensual sobre el funcionamiento del servicio de Firewall en Red de Nueva Generación, con los siguientes datos: Servicios más utilizados Principales fuentes de tráfico Reglas más aplicadas Aplicaciones más utilizadas Eventos relacionados con la seguridad Una de las principales ventajas del servicio de Firewall en Red de Nueva Generación de Interoute es que ofrece a los clientes una visión directa del funcionamiento de sus firewalls, es decir, un acceso en tiempo real al entorno de gestión del firewall, que proporciona una mayor visibilidad e informes más completos acerca de la red, como: Riesgos y grado de utilización de las aplicaciones: Reglas y grado de utilización del firewall: Reglas y grado de utilización de las aplicaciones: © Interoute Communications Limited Version [1) 5_03_12 JMF Private and Confidential Registros cronológicos sobre actividad del firewall: Aplicaciones más utilizadas / Nodos de mayor tráfico © Interoute Communications Limited Version [1) 5_03_12 JMF Private and Confidential La tecnología en la que se basa el servicio de Firewall en Red de Nueva Generación simplifica la administración de los aspectos de seguridad de la red, al permitir a sus administradores programar la emisión periódica de informes sin necesidad de intervenir constantemente en la plataforma o recurrir una y otra vez al Centro de Operaciones de Seguridad (SOC) de Interoute. Es posible mantener varios calendarios de emisión de informes, lo que proporciona la flexibilidad necesaria para atender las necesidades más exigentes en materia de informes, los cuales pueden distribuirse automáticamente a usuarios concretos, bien por correo electrónico o por FTP, o a través de una web. Los informes pueden generarse en formato PDF o en HTML. La posibilidad de generar informes automáticamente permite a las organizaciones usuarias capturar de la forma más cómoda y de manera ininterrumpida toda la información que necesitan acerca del funcionamiento de la red y de su seguridad. Además, los clientes pueden generar informes globales de auditoría o sobre la seguridad de la red. Estadísticas de rendimiento Interoute se encargará de monitorizar el funcionamiento del firewall y, en caso de que el dispositivo no responda a alguno de los mensaje periódicos de verificación de actividad, o que se detecte un error, investigará el problema y lo corregirá para que el firewall vuelva a funcionar con normalidad. Interoute captura también datos sobre el estado general de funcionamiento del firewall instalado, registrándolos en un sistema de gestión centralizado que se encarga de su monitorización, coordinación y control. Opciones disponibles en el servicio Caudal garantizado (CIR) seleccionable entre 1 Gbps y 10 Gbps (no obstante, si el cliente lo solicita, pueden ofrecerse capacidades de hasta 40 Gbps o incluso superiores en configuraciones a medida) Dispositivos de Firewall Virtual para clientes con VMware alojado en centros de datos de Interoute, con caudales garantizados (CIR) de hasta 500 Mbps. Nota: el Control de Aplicaciones no está disponible para esta plataforma. Servicio completamente gestionado, con acceso para el cliente a determinadas áreas de las plataformas de gestión del servicio Posibilidad de definir informes y alertas personalizadas, si el cliente contrata nuestros servicios profesionales Acceso a la plataforma de gestión e informes sobre el servicio por nombres de usuario y contraseñas. Acceso de sólo lectura a la plataforma de gestión, a través de una herramienta de software propia Funcionalidad SSL integrada en la plataforma, que permite a los usuarios la conexión por SSL, cualquiera que sea el dispositivo que utilicen. llaves software (“tokens”) para el acceso al servicio incluidas en el paquete; pueden contratarse por separado llaves software adicionales Configuraciones de alta disponibilidad en clúster © Interoute Communications Limited Version [1) 5_03_12 JMF Private and Confidential Opciones de servicio no disponibles Interoute ha especificado las características y funcionalidades de sus servicio de firewall tras un estudio muy detallado basado en su experiencia práctica y en pruebas realizadas. Algunas funcionalidades del firewall incrementan la complejidad y la carga del servicio hasta tal punto que pueden llegar a comprometer su funcionamiento, por lo que no están disponibles en el producto estándar: Acceso entrante a través de NAT a servicios del usuario (por ejemplo, a un servidor web); esta funcionalidad queda cubierta por la zona desmilitarizada (DMZ) cuya dirección se hace pública VPN IPsec (disponible para casos especiales, aunque se recomienda utilizar la tecnología de VPN SSL, que ofrece más posibilidades) Servidores de seguridad Funciones no relacionadas con el Firewall/NAT, control de aplicaciones web, VPN SSL/acceso desde móviles Soporte técnico para los dispositivos de usuario final empleados para el acceso remoto y el acceso de administración del servicio. Códigos de producto Los servicios de Firewall en Red de Nueva Generación de Interoute se seleccionan especificando un determinado caudal garantizado. Volumen Pequeño Medio Grande Virtual © Interoute Communications Limited Version [1) 5_03_12 JMF Caudal Garantizado (CIR) Código de producto 1 Gbps 3 Gbps 10 Gbps Hasta 500 Mbps CON‐CPAP‐SG2207 CON‐CPAP‐SG4407 CON‐CPAP‐SG12207 CON‐ CPSG‐P107 Private and Confidential 4 Aspectos comerciales, niveles de servicio y soporte técnico Precio del servicio El Firewall en Red de Nueva Generación es un Interoute es un servicio que se tarifica por caudal garantizado, equivalente al del servicio de acceso a internet contratado por el cliente. El coste del servicio incluye su administración, la interfaz de gestión y el portal de generación de informes. Opciones de tarificación Interoute ofrece los siguientes planes de tarificación para los servicios Symantec.cloud que comercializa: Cuota inicial no recurrente Cuota fija mensual durante todo el período de vigencia del contrato La cuota no recurrente es un importe fijo que paga cada cliente. Es importante señalar que esta cuota se paga en el momento de aceptar el pedido, y no es reembolsable. Contratación El servicio se contrata a través de un formulario online, con unas condiciones generales de servicio. Para que el pedido sea tramitado correctamente, deberá rellenarse en el momento de realizarlo un Formulario de Captura de Datos (DCF, Data Capture Form). El plazo de provisión de un pedido completamente nuevo y con su correspondiente DCF oscila entre 10 y 20 días laborables, dependiendo de la disponibilidad de los dispositivos. Soporte técnico Todos los servicios cuenta con el apoyo técnico del Centro de Operaciones de Seguridad (SOC, Security Operations Centre) de Interoute, cuyo horario normal de funcionamiento es de 08:00 a 18:00 de lunes a domingo. Durante este horario, el SOC atenderá todas las llamadas de los clientes solicitando asistencia técnica y actuará como punto de contacto para cualquier incidencia relacionada. Fuera de este horario, el SOC estará atendido por personal de guardia. © Interoute Communications Limited Version [1) 5_03_12 JMF Private and Confidential 5 Opciones no estándar Cualquier solución particular solicitada por un cliente que se desvíe de la topología estándar se considerará como servicio a medida. Para solicitar este tipo de servicios, el cliente deberá enviar un Documento de Diseño del Cliente (Customer Design Document) a través de su responsable de cuenta, o de un Ingeniero de sistemas asociado a su cuenta. Notas: Requisitos del software de gestión: Requisitos de la consola del software de gestión En esta tabla se detallan los requisitos mínimos de hardware para las aplicaciones de consola: Componente Windows CPU Procesador Intel Pentium E2140 o procesador equivalente de 2 GHz Memoria 1024 MB Espacio de disco disponible 900MB Adaptador de vídeo © Interoute Communications Limited Version [1) 5_03_12 JMF Resolución mínima: 1024 x 768 Private and Confidential