Descripción del servicio de firewall de nueva generación

Descripción de servicio.
Firewall en Red de
Nueva Generación
Interoute, Walbrook Building, 195 Marsh Wall, London, E14 9SG, UK
Tel: +800 4683 7681
Email: [email protected]
© Interoute Communications Limited
1 Introducción
Este documento describe las características del servicio de Firewall en Red de Nueva Generación
y la propuesta de valor que este servicio ofrece al usuario y a nuestros clientes. Su intención es
dar respuesta a todas las preguntas que planteen los clientes o que puedan llegar a surgir
durante una llamada comercial. Si necesitan alguna aclaración adicional, rogamos contacten
con nuestro Responsable de producto a cargo de los Servicios de seguridad.
2 Descripción general
Actualmente, internet es para las empresas una herramienta fundamental de comunicación,
investigación e interacción con los clientes. Interoute ofrece a sus clientes servicios de firewall
diseñados para proteger a su empresa frente a posibles ataques. Históricamente, este tipo
de protección ha estado basada en el control de los puertos TCP o de la posibilidad de
establecer conexiones a través de internet.
Sin embargo, los ciberdelincuentes y creadores de malware actuales son muy sofisticados,
y raras veces intentan atacar directamente los puertos o controlar los recursos de la
organización atacada. Los vectores de ataque que estos delincuentes cibernéticos modernos
emplean suelen basarse más en el “envenenamiento” de las aplicaciones web a las que puedan
estar accediendo los usuarios de las empresas. De ahí la imperiosa necesidad de monitorizar esas
aplicaciones web y proteger a la organización frente a cualquier amenaza que puedan plantear
a nivel de las aplicaciones web.
Las empresas cada vez necesitan más información sobre el rendimiento de los dispositivos
situados en la periferia de sus redes, y no sólo por su propia tranquilidad, sino también para
cumplir con la normativa legal. Por eso un simple dispositivo de firewall que no proporcione
información fácilmente y en un formato configurable ya no resulta aceptable para resolver
las crecientes necesidades de las empresas.
Interoute es muy consciente de estas nuevas necesidades, no sólo desde el punto de vista de la
empresa, sino por la naturaleza cambiante de los posibles vectores de ataque. Y para resolverlas,
Interoute ofrece ahora a sus clientes un nuevo Servicio de firewall en red de nueva generación,
compuesto por un firewall Checkpoint con tarificación por caudal garantizado de procesamiento
tráfico, que reside en nuestros centros de datos y queda asociado al acceso a internet de nuestros
clientes. La plataforma de este servicio permitirá al cliente acceder a información en tiempo
real sobre lo que está sucediendo en cada momento en el firewall, y obtener informes
online, por correo electrónico, como archivos PDF o en otros formatos.
El Centro de Operaciones de Seguridad (SOC) de Interoute prestará al cliente todo el
apoyo técnico que necesite para la implementación de sus políticas de firewall, el
mantenimiento y soporte técnico del dispositivo, y la aplicación de los cambios que
puedan ser necesarios.
© Interoute Communications Limited
Version [1) 5_03_12 JMF
Private and Confidential
3 El servicio de Firewall en Red de Nueva Generación
Los Firewalls en Red de Nueva Generación son una herramienta fundamental para
proteger a cualquier organización frente a las amenazas procedentes de Internet.
Los firewalls proporcionan un punto centralizado a través del cual controlar el tráfico en función
de muy diversas características:
 Dirección IP– de origen o de destino
 Número de puerto – de origen o de destino
 Dominio – integración con el servicio de nombres de dominio (DNS), para simplificar el acceso a
recursos que resultarían más difíciles de definir por otros medios
 Tipo de aplicación – con técnicas de inspección profunda de paquetes, para controlar el
funcionamiento de las aplicaciones web
 Traducción de direcciones IPv4 por NAT en sentido de salida, y acceso IPv6 nativo a Internet.
 Control del acceso remoto a redes corporativas.
Nodo 1
Nodo 2
Internet oute
Tráfico
Firewall
controlado
InInternet
UnTráfico
controlado
Nodo 3
Características técnicas del servicio
El servicio de Firewall en Red de Nueva Generación de Interoute impone una política concreta que
autoriza, bloquea y detecta el tráfico en la frontera con Internet, creando así una zona interna protegida. Se
reservan además dos zonas desmilitarizadas (DMZ), una para los servidores que están accesibles desde
Internet y otra para el acceso inalámbrico a la red corporativa, y el acceso remoto desde el exterior se
configura en el momento de su instalación con un mecanismo de autorización mediante llaves software
(“tokens” ), con lo cual se obtiene una solución integral que cubre todas las necesidades de acceso. La
configuración predeterminada permite el acceso de salida IPv4 por NAT y el acceso Ipv6 nativo hacia
Internet.
El servicio de firewall ofrece una visibilidad absoluta sobre su funcionamiento e informes completos
sobre lo que sucede en la periferia de la red, desde los accesos en tiempo real hasta informes mensuales
o a demanda.
Este servicio sólo puede instalarse en combinación con un servicio de acceso a internet suministrado
por Interoute, pues es la única manera de conseguir la máxima protección y facilidad de gestión. El
servicio de firewall ofrece además las siguientes funcionalidades adicionales:
VPN SSL
Permite acceder a la red de forma remota desde una gran variedad de dispositivos, con la
protección adicional que proporcionan las llaves software (“tokens”).
Control y visibilidad de las aplicaciones web
Control y Visibilidad para Aplicaciones Web, Web 2.0
© Interoute Communications Limited
Version [1) 5_03_12 JMF
Private and Confidential
La metodología estructurada de Interoute para la implementación y operación de nuestros
servicios de firewall ha sido desarrollada por nuestros profesionales de seguridad, que cuentan con
una amplia experiencia en el campo de los firewalls de red. Esta metodología se basa en lo siguiente:
Configuración del firewall

Configuración de los aspectos de administración, ajuste, monitorización y alertas.

Instalación del juego de reglas recomendado
Proceso de adaptación preliminar

Implementación de las reglas de firewall específicas del entorno del cliente
Proceso de postinstalación

Habilitación de las funciones de alerta y emisión de informes
Nuestra metodología estructurada nos permite introducir el firewall en su red de una
manera controlada, garantizando que quede perfectamente configurado y no bloquee su
conectividad ni el tráfico de sus usuarios.
Requisitos del cliente
El servicio de Firewall en Red de Interoute tiene como objetivo proteger la red interna del
cliente, la cual tendrá su espacio privado de direcciones, por lo que necesitaremos los siguientes
datos del cliente para implementar correctamente el servicio:

Datos del servidor de correo y otras reglas para tráfico “entrante”

Emails de contacto para el envío de informes y la administración del servicio

Persona de contacto para la administración de las llaves software (“tokens”)

Servidor concreto donde se instalará el software de gestión (ver notas)
El cliente deberá facilitar todos estos datos en el momento de realizar el pedido. Para
ello, deberá enviar el formulario de captura de datos (DCF, Data Capture Form) asociado
al servicio de firewall en red de nueva generación.
Interoute se encargará de todos los aspectos asociados a la configuración del firewall, lo cual
incluye:

Su mantenimiento y la implementación de modificaciones.

Las actualizaciones de la plataforma, que incluyen la instalación mensual de
parches y actualizaciones de versiones. El horario concreto de aplicación de
las actualizaciones se acordará con el cliente.
© Interoute Communications Limited
Version [1) 5_03_12 JMF
Private and Confidential
Informes
Interoute proporcionará al cliente in informe mensual sobre el funcionamiento del servicio de
Firewall en Red de Nueva Generación, con los siguientes datos:

Servicios más utilizados




Principales fuentes de tráfico
Reglas más aplicadas
Aplicaciones más utilizadas
Eventos relacionados con la seguridad
Una de las principales ventajas del servicio de Firewall en Red de Nueva Generación de
Interoute es que ofrece a los clientes una visión directa del funcionamiento de sus firewalls, es
decir, un acceso en tiempo real al entorno de gestión del firewall, que proporciona una
mayor visibilidad e informes más completos acerca de la red, como:
Riesgos y grado de utilización de las aplicaciones:
Reglas y grado de utilización del firewall:
Reglas y grado de utilización de las aplicaciones:
© Interoute Communications Limited
Version [1) 5_03_12 JMF
Private and Confidential
Registros cronológicos sobre actividad del firewall:
Aplicaciones más utilizadas / Nodos de mayor tráfico
© Interoute Communications Limited
Version [1) 5_03_12 JMF
Private and Confidential
La tecnología en la que se basa el servicio de Firewall en Red de Nueva Generación simplifica
la administración de los aspectos de seguridad de la red, al permitir a sus administradores
programar la emisión periódica de informes sin necesidad de intervenir constantemente en la
plataforma o recurrir una y otra vez al Centro de Operaciones de Seguridad (SOC) de Interoute.
Es posible mantener varios calendarios de emisión de informes, lo que proporciona la
flexibilidad necesaria para atender las necesidades más exigentes en materia de informes,
los cuales pueden distribuirse automáticamente a usuarios concretos, bien por correo
electrónico o por FTP, o a través de una web. Los informes pueden generarse en formato
PDF o en HTML.
La posibilidad de generar informes automáticamente permite a las organizaciones usuarias
capturar de la forma más cómoda y de manera ininterrumpida toda la información que
necesitan acerca del funcionamiento de la red y de su seguridad. Además, los clientes pueden
generar informes globales de auditoría o sobre la seguridad de la red.
Estadísticas de rendimiento
Interoute se encargará de monitorizar el funcionamiento del firewall y, en caso de que el
dispositivo no responda a alguno de los mensaje periódicos de verificación de actividad, o
que se detecte un error, investigará el problema y lo corregirá para que el firewall vuelva a
funcionar con normalidad. Interoute captura también datos sobre el estado general de
funcionamiento del firewall instalado, registrándolos en un sistema de gestión centralizado que se
encarga de su monitorización, coordinación y control.
Opciones disponibles en el servicio

Caudal garantizado (CIR) seleccionable entre 1 Gbps y 10 Gbps (no obstante, si el
cliente lo solicita, pueden ofrecerse capacidades de hasta 40 Gbps o incluso
superiores en configuraciones a medida)

Dispositivos de Firewall Virtual para clientes con VMware alojado en centros de datos
de Interoute, con caudales garantizados (CIR) de hasta 500 Mbps. Nota: el Control
de Aplicaciones no está disponible para esta plataforma.

Servicio completamente gestionado, con acceso para el cliente a determinadas
áreas de las plataformas de gestión del servicio

Posibilidad de definir informes y alertas personalizadas, si el cliente contrata
nuestros servicios profesionales

Acceso a la plataforma de gestión e informes sobre el servicio por nombres de
usuario y contraseñas.

Acceso de sólo lectura a la plataforma de gestión, a través de una herramienta de
software propia
Funcionalidad SSL integrada en la plataforma, que permite a los usuarios la conexión por
SSL, cualquiera que sea el dispositivo que utilicen.


llaves software (“tokens”) para el acceso al servicio incluidas en el paquete;
pueden contratarse por separado llaves software adicionales

Configuraciones de alta disponibilidad en clúster
© Interoute Communications Limited
Version [1) 5_03_12 JMF
Private and Confidential
Opciones de servicio no disponibles
Interoute ha especificado las características y funcionalidades de sus servicio de firewall tras un
estudio muy detallado basado en su experiencia práctica y en pruebas realizadas. Algunas
funcionalidades del firewall incrementan la complejidad y la carga del servicio hasta tal punto que
pueden llegar a comprometer su funcionamiento, por lo que no están disponibles en el producto
estándar:
 Acceso entrante a través de NAT a servicios del usuario (por ejemplo, a un servidor
web); esta funcionalidad queda cubierta por la zona desmilitarizada (DMZ) cuya
dirección se hace pública
 VPN IPsec (disponible para casos especiales, aunque se recomienda utilizar la tecnología
de VPN SSL, que ofrece más posibilidades)



Servidores de seguridad
Funciones no relacionadas con el Firewall/NAT, control de aplicaciones web, VPN
SSL/acceso desde móviles
Soporte técnico para los dispositivos de usuario final empleados para el acceso
remoto y el acceso de administración del servicio.
Códigos de producto
Los servicios de Firewall en Red de Nueva Generación de Interoute se seleccionan
especificando un determinado caudal garantizado.
Volumen
Pequeño
Medio
Grande
Virtual
© Interoute Communications Limited
Version [1) 5_03_12 JMF
Caudal Garantizado (CIR)
Código de producto
1 Gbps
3 Gbps
10 Gbps
Hasta 500 Mbps
CON‐CPAP‐SG2207
CON‐CPAP‐SG4407
CON‐CPAP‐SG12207
CON‐ CPSG‐P107
Private and Confidential
4 Aspectos comerciales, niveles de servicio y
soporte técnico
Precio del servicio
El Firewall en Red de Nueva Generación es un Interoute es un servicio que se tarifica por
caudal garantizado, equivalente al del servicio de acceso a internet contratado por el cliente. El
coste del servicio incluye su administración, la interfaz de gestión y el portal de generación de
informes.
Opciones de tarificación
Interoute ofrece los siguientes planes de tarificación para los servicios Symantec.cloud que
comercializa:


Cuota inicial no recurrente
Cuota fija mensual durante todo el período de vigencia del contrato
La cuota no recurrente es un importe fijo que paga cada cliente. Es importante señalar que
esta cuota se paga en el momento de aceptar el pedido, y no es reembolsable.
Contratación
El servicio se contrata a través de un formulario online, con unas condiciones generales de
servicio. Para que el pedido sea tramitado correctamente, deberá rellenarse en el momento
de realizarlo un Formulario de Captura de Datos (DCF, Data Capture Form). El plazo de
provisión de un pedido completamente nuevo y con su correspondiente DCF oscila entre 10 y 20
días laborables, dependiendo de la disponibilidad de los dispositivos.
Soporte técnico
Todos los servicios cuenta con el apoyo técnico del Centro de Operaciones de Seguridad
(SOC, Security Operations Centre) de Interoute, cuyo horario normal de funcionamiento es
de 08:00 a 18:00 de lunes a domingo. Durante este horario, el SOC atenderá todas las llamadas
de los clientes solicitando asistencia técnica y actuará como punto de contacto para cualquier
incidencia relacionada. Fuera de este horario, el SOC estará atendido por personal de guardia.
© Interoute Communications Limited
Version [1) 5_03_12 JMF
Private and Confidential
5 Opciones no estándar
Cualquier solución particular solicitada por un cliente que se desvíe de la topología estándar
se considerará como servicio a medida. Para solicitar este tipo de servicios, el cliente deberá
enviar un Documento de Diseño del Cliente (Customer Design Document) a través de su
responsable de cuenta, o de un Ingeniero de sistemas asociado a su cuenta.
Notas:
Requisitos del software de gestión:
Requisitos de la consola del software de gestión
En esta tabla se detallan los requisitos mínimos de hardware para las aplicaciones de consola:
Componente
Windows
CPU
Procesador Intel Pentium E2140 o procesador
equivalente de 2 GHz
Memoria
1024 MB
Espacio de disco disponible 900MB
Adaptador de vídeo
© Interoute Communications Limited
Version [1) 5_03_12 JMF
Resolución mínima: 1024 x 768
Private and Confidential