Conanza

Seguridad, abilidad y privacidad de la informacin con los servicios a travs de la nube de Meraki
Introduccin
99,99% de abilidad con sus acuerdos de nivel de servicio
Autenticacin de dos factores
Arquitectura redundante de alta disponibilidad
Centros de datos auditados segn SAS 70 de tipo II
Meraki opera el mayor servicio de red a travs de la nube del sector.
Sus servicios hacen funcionar ms de 18.000 redes por todo el
mundo. Adems, Meraki cuenta con la mayor experiencia en la nube,
ya que sus servicios de produccin llevan cinco aos funcionando
ininterrumpidamente. Miles de profesionales de la informtica, desde
empresas a hospitales, bancos y comercios minoristas, confan en la
plataforma de red a travs de la nube de Meraki.
Este documento es el depsito central de informacin sobre
seguridad, privacidad y abilidad con relacin a los servicios
alojados en la red de Meraki. Aqu encontrar informacin sobre:
Nuestros centros de datos, procesos de seguridad y certicaciones.
Cmo salvaguardar datos.
Mejores prcticas para asegurar la red de su organizacin.
Cmo siguen funcionando las redes Meraki cuando se
desconectan de la nube.
Informacin de conformidad con PCI, herramientas y mejores
prcticas.
Acuerdo de nivel de servicio de 99,99% de tiempo de actividad
de Meraki.
Diseo de centros de datos Meraki
Los servicios Meraki estn organizados en centros de datos de nivel
1 certicados segn SAS70 tipo II. Estos centros de datos presentan las
medidas de seguridad fsica y de software ms modernas, as como
diseos de alta abilidad. Todos los servicios Meraki se replican a lo
largo de mltiples centros de datos independientes, de forma que,
en caso de un fallo catastrco del centro de datos, los servicios de
cliente efectan tolerancia a fallos rpidamente.
Seguimiento de disponibilidad
Acuerdo de nivel de servicio de 99,99% de tiempo de actividad
(menos de una hora al ao de inactividad).
Deteccin de fallos automatizada 24 horas: todos los servidores
se comprueban cada cinco minutos desde mltiples ubicaciones.
Procedimientos de escalado rpido a travs de mltiples equipos
de operaciones.
Sistema independiente de alerta por interrupciones con triple
redundancia
Redundancia
Cinco centros de datos dispersos geogrcamente.
Datos de cliente (conguracin de red y parmetros de uso)
replicados en tres centros de datos independientes.
Replicacin en tiempo real de datos entre centros (cada 60
segundos).
Archivado de copias de seguridad durante la noche.
Recuperacin en caso de desastre
Rpida tolerancia a fallos que conmuta en caliente en caso de fallo
de hardware o desastre natural.
La arquitectura fuera de banda mantiene la funcionalidad de la red
del usuario nal aunque la conectividad con los servicios a travs
de la nube de Meraki se vea interrumpida.
Los procedimientos de tolerancia a fallos se realizan semanalmente.
Seguridad de los servicios a travs de la nube
Deteccin de intrusiones automatizada 24 horas.
Proteccin mediante rewalls basados en puertos e IP.
Acceso remoto restringido por direccin IP y vericado por clave
pblica (RSA).
Sistemas sin acceso por contrasea.
Alerta automtica a administradores en caso de cambios de la
conguracin.
Meraki, Inc. | 32-38 Safron Hill, London, EC1N 8FN | +44 (0) 20 7871 2776 | sales@meraki.com 2
Arquitectura fuera de banda
En la nube solo se almacenan la conguracin de red y las
estadsticas de uso.
Los datos de usuarios nales no atraviesan el centro de datos.
Todos los datos sensibles (p. ej., contraseas) se almacenan en
formato cifrado.
Seguridad fsica
El acceso a las instalaciones se controla mediante lectores
biomtricos y un sistema de tarjetas codicadas de alta seguridad.
Todas las entradas, salidas y armarios estn sometidos a
videovigilancia.
Los guardias de seguridad vigilan 24 horas todo el trco entrante
y saliente de los centros de datos, garantizando el seguimiento de
los procesos de entrada.
Preparacin ante desastres
Los centros de datos cuentan con sosticados sistemas de asper-
sores con bloqueos para evitar la descarga accidental de agua.
Los generadores disel ofrecen alimentacin de respaldo en caso
de corte de corriente.
Los sistemas de alimentacin ininterrumpida proporcionan
alimentacin y garantizan el correcto apagado en caso de corte
total de la corriente.
Cada centro de datos disfruta del servicio de, al menos, dos
operadores de mximo nivel.
El suelo elevado, los armarios y los sistemas de apoyo cuentan
con tirantes antissmicos.
En caso de fallo catastrco de un centro de datos, la tolerancia
a fallos conmuta los servicios a otro centro de datos separado
geogrcamente.
Controles medioambientales
Nuestros sistemas de calefaccin, refrigeracin y ventilacin
sobredimensionados ofrecen control de la humedad y refrigeracin.
Los sistemas de suelo se encargan de la distribucin del aire.
Pruebas de penetracin peridicas
Todos los centros de datos Meraki se someten diariamente a
pruebas de penetracin realizadas por una empresa independiente.
Certicacin de centros de datos
Los centros de datos Meraki cuentan con la certicacin SAS70 de
tipo II.
Plano de control fuera de banda
El plano de control fuera de banda de Meraki separa los datos de
gestin de la red de los datos de usuario. Los datos de gestin
(p. ej., conguracin, estadsticas, seguimiento, etc.) pasan de los
dispositivos Meraki (routers y puntos de acceso inalmbricos) hasta
la nube de Meraki a travs de una conexin a Internet segura. Los
datos de usuario (navegacin web, aplicaciones internas, etc.) no
atraviesan la nube, sino que van directamente a su destino a travs
de la LAN o WAN.
Ventajas de un plano de control fuera de banda:
Escalabilidad
Rendimiento ilimitado: sin cuellos de botella de controladores
centralizados.
Agregue dispositivos o sitios sin tneles MPLS.
Fiabilidad
El servicio redundante a travs de la nube ofrece una alta
disponibilidad.
Funciones de red aunque el trco de gestin se vea interrumpido.
Seguridad
El trco de usuario no pasa por los centros de datos Meraki.
Conformidad total con HIPAA / PCI.
Qu sucede si mi red pierde la conectividad con Meraki
Cloud Controller?
Gracias a la arquitectura fuera de banda de Meraki, la mayora de
usuarios nales no se vern afectados si los routers y puntos de acceso
inalmbricos Meraki no pueden comunicarse con los servicios a travs
de la nube de Meraki (p. ej., debido a un fallo temporal de WAN):
Los usuarios pueden acceder a la red local (impresoras, archivos
compartidos, etc.).
Si hay conectividad WAN, los usuarios pueden acceder a Internet.
Las polticas de red (reglas de rewall, QoS, etc.) continan vigentes.
Los usuarios pueden autenticarse con 802.1X/RADIUS.
Los usuarios inalmbricos pueden cambiar de punto de acceso.
Los usuarios pueden iniciar y renovar asignaciones DHCP.
Los tneles VPN establecidos siguen funcionando.
Las herramientas de conguracin local estn disponibles (p. ej.,
conguracin IP de dispositivos).
Meraki, Inc. | 32-38 Safron Hill, London, EC1N 8FN | +44 (0) 20 7871 2776 | sales@meraki.com 3
Mientras la nube de Meraki est inaccesible, la gestin, el seguimiento
y los servicios de host dejarn de estar disponibles temporalmente:
Las herramientas de conguracin y diagnstico no estarn
disponibles.
Las estadsticas de uso quedarn almacenadas localmente hasta
que se restablezca la conexin con la nube; en ese momento se
subirn a la nube.
Las pginas de bienvenida alojadas localmente no sern afecta-
das, mientras las pginas de bienvenida alojadas a travs de la
nube de Meraki no sern disponibles.
Herramientas de seguridad y mejo-
res prcticas para administradores
Adems de la arquitectura fuera de banda segura y los centros de
datos reforzados de Meraki, la marca ofrece una serie de herramientas
para que los administradores puedan maximizar la seguridad de sus
implantaciones de red. El uso de estas herramientas proporciona
una proteccin, visibilidad y control ptimos de la red Meraki. Desde
esta pgina podr aumentar de forma rpida y sencilla la seguridad
de sus cuentas meraki.com y consultar las mejores prcticas
recomendadas para controlar y auditar cuentas. Para ms
informacin, consulte el manual de Meraki Cloud Controller.
Habilitacin de la autenticacin de dos factores
La autenticacin de dos factores agrega una capa de seguridad
extra a la red de una organizacin al solicitar acceso al telfono del
administrador, adems de su nombre de usuario y contrasea, para
iniciar la sesin en los servicios a travs de la nube de Meraki. La
implementacin de autenticacin de dos factores de Meraki utiliza
la tecnologa SMS de forma segura, cmoda y econmica: tras
introducir el nombre de usuario y la contrasea, el administrador
recibe un cdigo de acceso de un solo uso por SMS, que deber
introducir para completar la autenticacin. Aunque un hacker
adivinara o descubriera la contrasea de un administrador, no podra
acceder a la cuenta de la organizacin, ya que no tendra acceso
al telfono del administrador. Meraki incluye autenticacin de dos
factores para todos los usuarios de empresa sin coste adicional.
Endurezca sus polticas de contrasea
Puede congurar las polticas de seguridad de su organizacin de
forma que las cuentas Meraki protejan an mejor el acceso al panel
de gestin Meraki. En Organization -> Congure (Organizacin ->
Congurar), es posible:
Forzar el cambio peridico de las contraseas (p. ej., cada 90 das).
Exigir una longitud y complejidad mnimas para las contraseas.
Bloquear a los usuarios tras una serie de intentos de inicio de
sesin fallidos.
No permitir usar la misma contrasea.
Restringir el inicio de sesin por direccin IP.
Implante el principio de privilegios mnimos con la
administracin basada en roles
La administracin basada en roles permite nombrar administradores
para subconjuntos concretos de su organizacin y especicar si
tendrn acceso de solo lectura a informes y herramientas de
solucin de problemas, si podrn administrar el acceso de visitantes
gestionados a travs de Meraki Lobby Ambassador o cambiar la
conguracin de la red. La administracin basada en roles reduce la
probabilidad de errores de conguracin accidentales o maliciosos,
y limita los errores a partes aisladas de la red.
Habilitacin de alertas por correo electrnico de cambios
en la conguracin
El sistema Meraki permite enviar automticamente alertas por correo
electrnico con texto perfectamente legible si se realizan cambios
en la conguracin de red, lo que permite a toda la organizacin
de TI estar al da de las nuevas polticas. Las alertas de cambios
son especialmente importantes en las organizaciones de TI de gran
tamao o distribuidas.
Auditora peridica de la conguracin y los inicios de
sesin
Meraki registra la hora, la IP y la ubicacin aproximada (ciudad,
provincia) de los administradores que inician una sesin. Adems,
Meraki ofrece un registro de cambios de conguracin con funcin
de bsqueda en el que podr ver qu cambios se realizaron, quin
los realiz y en qu parte de la organizacin tuvo lugar el cambio.
Esta capacidad de auditar la informacin de conguracin e inicio de
sesin ofrece una gran visibilidad de la red.
Vericacin de certicados SSL
Las cuentas Meraki solo estn accesibles a travs de https, lo que
garantiza que toda la comunicacin entre el navegador de un
administrador y los servicios a travs de la nube de Meraki est
cifrada. Al igual que sucede con los servicios web seguros, no inicie
una sesin si su navegador muestra una advertencia de certicado,
ya que podra tratarse de un ataque de suplantacin de identidad.
Desconexin del servidor por inactividad
30 segundos antes de la desconexin, los usuarios reciben una
noticacin que les permitir ampliar su sesin. Una vez transcurrido
este plazo, se les pedir que vuelvan a iniciar la sesin.
Conformidad con PCI
Meraki ofrece una completa solucin para garantizar que los
entornos inalmbricos cumplan la conformidad con PCI segn los
exigentes estndares de una auditora PCI de nivel 1 (el nivel de
auditora ms estricto). El potente conjunto de funciones de seguridad
de Meraki cumple todos los estndares de seguridad de datos de
PCI, ayudando a los clientes a crear y mantener una red segura,
proteger los datos de los titulares de tarjetas, mantener un programa
de gestin de las vulnerabilidades, implementar medidas de control
de acceso estrictas y hacer un seguimiento de la seguridad de la red.
Meraki, Inc. | 32-38 Safron Hill, London, EC1N 8FN | +44 (0) 20 7871 2776 | sales@meraki.com 4
A diferencia de las LAN inalmbricas tradicionales, la infraestructura
de seguridad inteligente de Meraki elimina las complejidades de
gestin, las pruebas manuales y los problemas de mantenimiento
que provocan las vulnerabilidades. Las caractersticas de seguridad
intuitivas y econmicas de Meraki resultan ideales para los
administradores de red, mientras que sus potentes y ecaces
herramientas de administracin, proteccin de cuentas, auditora
y gestin de cambios son perfectas para los responsables de la
seguridad informtica.
Gracias a la gestin centralizada a travs de la nube, Meraki permite
implantar, vigilar y vericar de forma sencilla y econmica las funciones
WiFi conformes a PCI en redes distribuidas de cualquier tamao.
Acuerdo de nivel de servicio Meraki
Durante el plazo de vigencia de la licencia de Meraki Cloud
Controller (el acuerdo), la interfaz web de Meraki Cloud Controller
estar operativa y disponible para el cliente al menos el 99,99% del
tiempo de cualquier mes natural (el acuerdo de nivel de servicio
Meraki). Si Meraki no cumple este acuerdo de nivel de servicio y
el cliente cumple las obligaciones adquiridas en virtud de dicho
acuerdo, el cliente tendr derecho a recibir los crditos de servicio
descritos a continuacin. El acuerdo de nivel de servicio Meraki
establece esta nica y exclusiva compensacin para el cliente en caso
de que Meraki no cumpla dicho acuerdo de nivel de servicio Meraki.
Deniciones
Las siguientes deniciones son de aplicacin en el Acuerdo de nivel
de servicio Meraki.
Como tiempo de inactividad se entiende ms de un cinco por
ciento de ndice de error para el usuario. El tiempo de inactividad se
mide en funcin del ndice de error en el servidor.
Como servicios cubiertos por Meraki se entiende el servicio de
Meraki Cloud Controller para cualquier producto Meraki.
Como porcentaje de tiempo de actividad mensual se entiende el
nmero total de minutos en un mes natural menos el nmero de
minutos de inactividad sufridos durante dicho mes natural, dividido
por el nmero total de minutos de dicho mes natural.
Como Crdito de servicio se entiende que Meraki agregar un
nmero determinado de das de servicio al nalizar el plazo de
vigencia de la licencia sin coste alguno para el cliente.
El cliente debe solicitar el crdito de servicio
Para recibir cualquiera de los crditos de servicio anteriormente
descritos, el cliente deber noticrselo a Meraki treinta das antes
del momento en que el cliente tenga derecho a recibir el crdito de
servicio. Si no cumpliera este requisito, el cliente perder su derecho
a recibir el crdito de servicio.
Crdito de servicio mximo
El nmero total mximo de crditos de servicio que Meraki otorgar
al cliente por todo el tiempo de inactividad acaecido en un mes
natural no exceder los 15 das de servicio, aadidos al trmino del
servicio al cliente (o el valor de 15 das de servicio en forma de crdito
monetario en la cuenta de un cliente con facturacin mensual). Los
crditos de servicio no pueden intercambiarse ni convertirse en
cantidades monetarias.
Exclusiones del acuerdo de nivel de servicio Meraki
El acuerdo de nivel de servicio Meraki no se aplica a ningn servicio
excluido expresamente de este acuerdo de nivel de servicio Meraki
(segn lo indicado en la documentacin de tales servicios) ni a
ningn problema de rendimiento: (i) causado por fuerza mayor
o (ii) consecuencia de los equipos del cliente o de los equipos de
terceros, o de ambos (fuera del control principal de Meraki).