Descripción de servicio.
Firewall en Red de
1 Introducción
Este documento describe las características del servicio de Firewall en Red de Nueva Generación y la propuesta de valor que este servicio ofrece al usuario y a nuestros clientes. Su intención es dar respuesta a todas las preguntas que planteen los clientes o que puedan llegar a surgir durante una llamada comercial. Si necesitan alguna aclaración adicional, rogamos contacten con nuestro Responsable de producto a cargo de los Servicios de seguridad.
2 Descripción general
Actualmente, internet es para las empresas una herramienta fundamental de comunicación, investigación e interacción con los clientes. Interoute ofrece a sus clientes servicios de firewall diseñados para proteger a su empresa frente a posibles ataques. Históricamente, este tipo de protección ha estado basada en el control de los puertos TCP o de la posibilidad de establecer conexiones a través de internet.
Sin embargo, los ciberdelincuentes y creadores de malware actuales son muy sofisticados, y raras veces intentan atacar directamente los puertos o controlar los recursos de la organización atacada. Los vectores de ataque que estos delincuentes cibernéticos modernos emplean suelen basarse más en el “envenenamiento” de las aplicaciones web a las que puedan estar accediendo los usuarios de las empresas. De ahí la imperiosa necesidad de monitorizar esas aplicaciones web y proteger a la organización frente a cualquier amenaza que puedan plantear a nivel de las aplicaciones web.
Las empresas cada vez necesitan más información sobre el rendimiento de los dispositivos situados en la periferia de sus redes, y no sólo por su propia tranquilidad, sino también para cumplir con la normativa legal. Por eso un simple dispositivo de firewall que no proporcione información fácilmente y en un formato configurable ya no resulta aceptable para resolver las crecientes necesidades de las empresas.
Interoute es muy consciente de estas nuevas necesidades, no sólo desde el punto de vista de la empresa, sino por la naturaleza cambiante de los posibles vectores de ataque. Y para resolverlas, Interoute ofrece ahora a sus clientes un nuevo Servicio de firewall en red de nueva generación, compuesto por un firewall Checkpoint con tarificación por caudal garantizado de procesamiento tráfico, que reside en nuestros centros de datos y queda asociado al acceso a internet de nuestros clientes. La plataforma de este servicio permitirá al cliente acceder a información en tiempo real sobre lo que está sucediendo en cada momento en el firewall, y obtener informes online, por correo electrónico, como archivos PDF o en otros formatos.
El Centro de Operaciones de Seguridad (SOC) de Interoute prestará al cliente todo el apoyo técnico que necesite para la implementación de sus políticas de firewall, el mantenimiento y soporte técnico del dispositivo, y la aplicación de los cambios que puedan ser necesarios.
ute
In
Un o
3 El servicio de Firewall en Red de Nueva Generación
Los Firewalls en Red de Nueva Generación son una herramienta fundamental para
proteger a cualquier organización frente a las amenazas procedentes de Internet
.
Los firewalls proporcionan un punto centralizado a través del cual controlar el tráfico en función de muy diversas características:
Dirección IP– de origen o de destino
Número de puerto – de origen o de destino
Dominio – integración con el servicio de nombres de dominio (DNS), para simplificar el acceso a recursos que resultarían más difíciles de definir por otros medios
Tipo de aplicación – con técnicas de inspección profunda de paquetes, para controlar el funcionamiento de las aplicaciones web
Traducción de direcciones IPv4 por NAT en sentido de salida, y acceso IPv6 nativo a Internet.
Control del acceso remoto a redes corporativas. Nodo 1 Nodo 2 Tr áfico Internet Firewall Internet controlado Tráfico controlado Nodo 3
Características técnicas del servicio
El servicio de Firewall en Red de Nueva Generación de Interoute impone una política concreta que autoriza, bloquea y detecta el tráfico en la frontera con Internet, creando así una zona interna protegida. Se reservan además dos zonas desmilitarizadas (DMZ), una para los servidores que están accesibles desde Internet y otra para el acceso inalámbrico a la red corporativa, y el acceso remoto desde el exterior se configura en el momento de su instalación con un mecanismo de autorización mediante llaves software (“tokens” ), con lo cual se obtiene una solución integral que cubre todas las necesidades de acceso. La configuración predeterminada permite el acceso de salida IPv4 por NAT y el acceso Ipv6 nativo hacia Internet.
El servicio de firewall ofrece una visibilidad absoluta sobre su funcionamiento e informes completos sobre lo que sucede en la periferia de la red, desde los accesos en tiempo real hasta informes mensuales o a demanda.
Este servicio sólo puede instalarse en combinación con un servicio de acceso a internet suministrado por Interoute, pues es la única manera de conseguir la máxima protección y facilidad de gestión. El servicio de firewall ofrece además las siguientes funcionalidades adicionales:
VPN SSL
La metodología estructurada de Interoute para la implementación y operación de nuestros servicios de firewall ha sido desarrollada por nuestros profesionales de seguridad, que cuentan con una amplia experiencia en el campo de los firewalls de red. Esta metodología se basa en lo siguiente:
Configuración del firewall
Configuración de los aspectos de administración, ajuste, monitorización y alertas.
Instalación del juego de reglas recomendado
Proceso de adaptación preliminar
Implementación de las reglas de firewall específicas del entorno del cliente
Proceso de postinstalación
Habilitación de las funciones de alerta y emisión de informes
Nuestra metodología estructurada nos permite introducir el firewall en su red de una manera controlada, garantizando que quede perfectamente configurado y no bloquee su conectividad ni el tráfico de sus usuarios.
Requisitos del cliente
El servicio de Firewall en Red de Interoute tiene como objetivo proteger la red interna del cliente, la cual tendrá su espacio privado de direcciones, por lo que necesitaremos los siguientes datos del cliente para implementar correctamente el servicio:
Datos del servidor de correo y otras reglas para tráfico “entrante”
Emails de contacto para el envío de informes y la administración del servicio
Persona de contacto para la administración de las llaves software (“tokens”)
Servidor concreto donde se instalará el software de gestión (ver notas) El cliente deberá facilitar todos estos datos en el momento de realizar el pedido. Para ello, deberá enviar el formulario de captura de datos (DCF, Data Capture Form) asociado al servicio de firewall en red de nueva generación.
Interoute se encargará de todos los aspectos asociados a la configuración del firewall, lo cual incluye:
Su mantenimiento y la implementación de modificaciones.
Las actualizaciones de la plataforma, que incluyen la instalación mensual de parches y actualizaciones de versiones. El horario concreto de aplicación de las actualizaciones se acordará con el cliente.
Informes
Interoute proporcionará al cliente in informe mensual sobre el funcionamiento del servicio de Firewall en Red de Nueva Generación, con los siguientes datos:
Servicios más utilizados
Principales fuentes de tráfico
Reglas más aplicadas
Aplicaciones más utilizadas
Eventos relacionados con la seguridad
Una de las principales ventajas del servicio de Firewall en Red de Nueva Generación de Interoute es que ofrece a los clientes una visión directa del funcionamiento de sus firewalls, es decir, un acceso en tiempo real al entorno de gestión del firewall, que proporciona una mayor visibilidad e informes más completos acerca de la red, como:
Riesgos y grado de utilización de las aplicaciones:
Reglas y grado de utilización del firewall:
Registros cronológicos sobre actividad del firewall:
La tecnología en la que se basa el servicio de Firewall en Red de Nueva Generación simplifica la administración de los aspectos de seguridad de la red, al permitir a sus administradores
programar la emisión periódica de informes sin necesidad de intervenir constantemente en la plataforma o recurrir una y otra vez al Centro de Operaciones de Seguridad (SOC) de Interoute.
Es posible mantener varios calendarios de emisión de informes, lo que proporciona la flexibilidad necesaria para atender las necesidades más exigentes en materia de informes, los cuales pueden distribuirse automáticamente a usuarios concretos, bien por correo electrónico o por FTP, o a través de una web. Los informes pueden generarse en formato PDF o en HTML.
La posibilidad de generar informes automáticamente permite a las organizaciones usuarias capturar de la forma más cómoda y de manera ininterrumpida toda la información que necesitan acerca del funcionamiento de la red y de su seguridad. Además, los clientes pueden generar informes globales de auditoría o sobre la seguridad de la red.
Estadísticas de rendimiento
Interoute se encargará de monitorizar el funcionamiento del firewall y, en caso de que el dispositivo no responda a alguno de los mensaje periódicos de verificación de actividad, o que se detecte un error, investigará el problema y lo corregirá para que el firewall vuelva a funcionar con normalidad. Interoute captura también datos sobre el estado general de
funcionamiento del firewall instalado, registrándolos en un sistema de gestión centralizado que se encarga de su monitorización, coordinación y control.
Opciones disponibles en el servicio
Caudal garantizado (CIR) seleccionable entre 1 Gbps y 10 Gbps (no obstante, si el cliente lo solicita, pueden ofrecerse capacidades de hasta 40 Gbps o incluso superiores en configuraciones a medida)
Dispositivos de Firewall Virtual para clientes con VMware alojado en centros de datos de Interoute, con caudales garantizados (CIR) de hasta 500 Mbps. Nota: el Control
de Aplicaciones no está disponible para esta plataforma.
Servicio completamente gestionado, con acceso para el cliente a determinadas áreas de las plataformas de gestión del servicio
Posibilidad de definir informes y alertas personalizadas, si el cliente contrata nuestros servicios profesionales
Acceso a la plataforma de gestión e informes sobre el servicio por nombres de usuario y contraseñas.
Acceso de sólo lectura a la plataforma de gestión, a través de una herramienta de software propia
Funcionalidad SSL integrada en la plataforma, que permite a los usuarios la conexión por SSL, cualquiera que sea el dispositivo que utilicen.
Opciones de servicio no disponibles
Interoute ha especificado las características y funcionalidades de sus servicio de firewall tras un estudio muy detallado basado en su experiencia práctica y en pruebas realizadas. Algunas
funcionalidades del firewall incrementan la complejidad y la carga del servicio hasta tal punto que pueden llegar a comprometer su funcionamiento, por lo que no están disponibles en el producto estándar:
Acceso entrante a través de NAT a servicios del usuario (por ejemplo, a un servidor web); esta funcionalidad queda cubierta por la zona desmilitarizada (DMZ) cuya dirección se hace pública
VPN IPsec (disponible para casos especiales, aunque se recomienda utilizar la tecnología de VPN SSL, que ofrece más posibilidades)
Servidores de seguridad
Funciones no relacionadas con el Firewall/NAT, control de aplicaciones web, VPN SSL/acceso desde móviles
Soporte técnico para los dispositivos de usuario final empleados para el acceso remoto y el acceso de administración del servicio.
Códigos de producto
Los servicios de Firewall en Red de Nueva Generación de Interoute se seleccionan especificando un determinado caudal garantizado.
Volumen Caudal Garantizado (CIR) Código de producto
Pequeño 1 Gbps CON‐CPAP‐SG2207
Medio 3 Gbps CON‐CPAP‐SG4407
Grande 10 Gbps CON‐CPAP‐SG12207
4 Aspectos comerciales, niveles de servicio y
soporte técnico
Precio del servicio
El Firewall en Red de Nueva Generación es un Interoute es un servicio que se tarifica por caudal garantizado, equivalente al del servicio de acceso a internet contratado por el cliente. El coste del servicio incluye su administración, la interfaz de gestión y el portal de generación de informes.
Opciones de tarificación
Interoute ofrece los siguientes planes de tarificación para los servicios Symantec.cloud que comercializa:
Cuota inicial no recurrente
Cuota fija mensual durante todo el período de vigencia del contrato
La cuota no recurrente es un importe fijo que paga cada cliente. Es importante señalar que esta cuota se paga en el momento de aceptar el pedido, y no es reembolsable.
Contratación
El servicio se contrata a través de un formulario online, con unas condiciones generales de servicio. Para que el pedido sea tramitado correctamente, deberá rellenarse en el momento de realizarlo un Formulario de Captura de Datos (DCF, Data Capture Form). El plazo de provisión de un pedido completamente nuevo y con su correspondiente DCF oscila entre 10 y 20 días laborables, dependiendo de la disponibilidad de los dispositivos.
Soporte técnico
Todos los servicios cuenta con el apoyo técnico del Centro de Operaciones de Seguridad (SOC, Security Operations Centre) de Interoute, cuyo horario normal de funcionamiento es de 08:00 a 18:00 de lunes a domingo. Durante este horario, el SOC atenderá todas las llamadas de los clientes solicitando asistencia técnica y actuará como punto de contacto para cualquier incidencia relacionada. Fuera de este horario, el SOC estará atendido por personal de guardia.
5 Opciones no estándar
Cualquier solución particular solicitada por un cliente que se desvíe de la topología estándar se considerará como servicio a medida. Para solicitar este tipo de servicios, el cliente deberá enviar un Documento de Diseño del Cliente (Customer Design Document) a través de su responsable de cuenta, o de un Ingeniero de sistemas asociado a su cuenta.
Notas:
Requisitos del software de gestión:
