Prisma

  • Tipologia: SaaS
  • ID Scheda: SA-568
  • Stato corrente: QUALIFICATA
  • Azienda fornitrice: Palo Alto Networks Italia S.R.L.
  • Referente commerciale: Mauro Palmigiani
  • Data di qualificazione: 26-09-2019 13:54

Descrizione generale del servizio

Palo Alto Networks Prisma Access (GlobalProtect Cloud Services GPCS) è un servizio gestito che assicura l'accesso al cloud per filiali (branch office) ed utenti mobili in qualsiasi parte del mondo con un'architettura scalabile e nativa per il cloud. Prisma Access unisce la sicurezza di livello aziendale fornita attraverso la componente GlobalProtect integrata nel Next Generation Firewall con una rete scalabile a livello globale disponibile in oltre 100 località. Con il servizio cloud Prisma Access, Palo Alto Networks implementa e gestisce l'infrastruttura di sicurezza a livello globale per proteggere le reti remote e gli utenti mobili.

Caratteristiche funzionali del servizio

  •  Plugin dei servizi cloud: plug-in Panorama che abilita sia il servizio cloud Prisma Access che Cortex Data Lake. Questo plug-in fornisce un'interfaccia semplice e familiare per la configurazione e la visualizzazione dello stato dei Servizi Cloud Prisma Access. È possibile creare modelli e gruppi di dispositivi oppure sfruttare modelli e gruppi di dispositivi che potrebbero essere già stati creati, per far applicare rapidamente politiche di sicurezza coerenti in tutte le località.
  •  Infrastruttura di servizio: il servizio Cloud utilizza un'infrastruttura di servizio interna per proteggere la rete dell'organizzazione. Fornisce una sottorete per l'infrastruttura ed il servizio cloud Prisma Access utilizza gli indirizzi IP all'interno di questa sottorete per stabilire una connessione tra la rete remota, gli utenti mobili e le connessioni di servizio alle risorse di rete interne. La comunicazione interna all'interno del cloud viene stabilita mediante il routing dinamico
  •  Utenti mobili: selezionando le locations nel servizio Cloud (che funzionano come cloud Gateway Prisma Access) è possibile proteggere gli utenti mobili. Per configurare questo servizio, è sufficiente designare uno o più pool di indirizzi IP per consentire al servizio di assegnare indirizzi IP ai tunnel VPN client
  •  Service Connection: la licenza del servizio Cloud Prisma Access include l'opzione per stabilire tunnel IPSec necessari alla comunicazione tra risorse interne della rete e utenti mobili ed utenti nelle reti remote. Ad esempio, è possibile creare una connessione di servizio a un server di autenticazione nella propria sede principale o nel proprio datacenter
  •  Remote Networks: utilizzate per proteggere le locations delle reti remote, come filiali e utenti in quei settori con firewall di nuova generazione basati su Cloud. È possibile abilitare l'accesso alle sotto reti in ciascuna location di rete remota utilizzando route statiche, routing dinamico tramite BGP o una combinazione di routing statico e dinamico. Tutte le posizioni di rete remote sono completamente meshed

Benefici offerti dal servizio

  • • Supporto globale – gli utenti possono scegliere la regione più vicina al proprio ufficio remoto;
  • • Auto scaling per supportare in automatico una crescita di attività lato utenti mobili;
  • • Velocità nelle implementazioni globali, attraverso l’aggiunta rapida di siti ed utenti;
  • • Riduzione del peso dell’infrastruttura IT presso le reti remote, attraverso l’utilizzo di router o SD-WAN device;
  • • Modello di tipo Predictable OPEX, con costi fissi ogni anno.

Piattaforma Cloud attraverso la quale è erogato il servizio

Amazon AWS

Cloud Deployment Model

Public Cloud

Specificare altra rete pubblica

  • Altra rete pubblica (specificare) (NA)

Infrastruttura Cloud su cui è basato il servizio

  • Infrastruttura di un fornitore terzo qualificato come CSP
    • AMAZON WEB SERVICES EMEA SARL

Eventuali servizi correlati già qualificati nel Marketplace

  • CORTEX

Sono richiesti prerequisiti?

I prerequisiti riguardano altri servizi Cloud?

No

Eventuali altri prerequisiti

  • E’ necessario l’impiego di Panorama che rappresenta lo strumento di configurazione del servizio Prisma Access e Cortex come elemento di collecting dei log provenienti dalla suite di sicurezza di Palo Alto Networks per l’invio dei dati al Data Lake.

Esistono dipendenze?

Le dipendenze riguardano servizi Cloud?

No

Eventuali standard e certificazioni

SOC 2 Type II

Canali disponibili per il supporto tecnico

  • E-mail: Disponibile
  • Ore supporto: Tutti i giorni, 24 ore al giorno
  • Telefono: Disponibile
  • Ore supporto: Tutti i giorni, 24 ore al giorno
  • Sistema di on-line ticketing: Disponibile
  • Ore supporto: Tutti i giorni, 24 ore al giorno
  • Web chat: Non Disponibile
  • Assistenza on-site: Non Disponibile
  • Assistenza remota: Disponibile
  • Ore supporto: Tutti i giorni, 24 ore al giorno
  • Eventuale altro canale (specificare): Non disponibile

Tempi di attivazione e disattivazione del servizio

  • Tempo di attivazione: 1 ora
  • Tempo di disattivazione: 1 ora

Modalità e processo di attivazione

Il processo di attivazione decorre dalla sottoscrizione contrattuale e prevede l'attivazione dell'istanza applicativa (nel caso di prima fornitura della soluzione), l'abilitazione dei servizi acquisiti e la trasmissione dei codici di autorizzazione (credenziali) previsti per il primo accesso. Il processo di attivazione prevede la registrazione della licenza presso il portale del Supporto ed il retrieve della licenza presso l’applicazione Panorama

Modalità e processo di disattivazione

Il processo di disattivazione del servizio si disattiva a seguito di esplicita richiesta del cliente al Supporto di Palo Alto Networks o naturalmente al termine contrattuale. Esistono due opzioni possibili: 1) Supponendo che non esista alcuna licenza (scadenza della licenza) + i dati non in arrivo verranno automaticamente eliminati 2) In qualsiasi momento si può aprire il ticket ed il Supporto di Palo Alto Networks eliminerà l'istanza con tutti i dati.

Estrazione dei dati a seguito di disattivazione

Palo Alto Networks elaborerà e conserverà i Dati personali non più del necessario per gli scopi per i quali viene elaborato in conformità con il DPA e l'EULA. Allo scadere delle licenze, Palo Alto Networks, a seguito della richiesta dell'utente finale, cancellerà i Dati dell'utente finale che non sono più necessari per l'esecuzione di una delle finalità del DPA, in conformità con le procedure di cancellazione di Palo Alto Networks. Se un cliente desidera estrarre i suoi dati, dovrebbe farlo prima di disconnettere la propria istanza. La tempistica è immediata: Il Cliente apre un ticket al Supporto di Palo Alto Networks e entro le otto ore lavorative previste per la Severity 4 si ottiene la disattivazione.

Dati esportabili

  • Formato dei dati esportabili: Syslog forwarding, CSV
  • Dati derivati (configurazioni, template, log, ecc.): NA

Formati in cui è possibile estrarre i dati

Syslog forwarding, CSV

Estrazione e formati di altri asset (in seguito a disattivazione)

NA

Indicare quali delle seguenti modalità di fruizione del servizio sono supportate

  • Web Browser
  • Applicazione Desktop da installare
  • App Mobile

Specificare i browser supportati

  • Explorer (- MS Internet Explorer 11)
  • Firefox (- Firefox 3.6)
  • Chrome (- Chrome 11)
  • Safari (- Safari 5)
  • - MS Internet Explorer 11- Firefox 3.6- Safari 5- Chrome 11

Differenze nella fruizione del servizio tra la versione Mobile e la versione Desktop

Nessuna differenza

Documentazione tecnica

La documentazione tecnica è accessibile attraverso link pubblico e descrive l'architettura della soluzione e tutte le funzionalità offerte. E' inoltre disponibile il servizio di supporto di Palo Alto Networks come di seguito descritto. Seguono URL dai quali potere attingere la documentazione tecnica del servizio: https://docs.paloaltonetworks.com/prisma/prisma-access.html https://docs.paloaltonetworks.com/panorama/9-0/panorama-admin.html

Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)

  • Disponibile e navigabile su Web (https://docs.paloaltonetworks.com/prisma/prisma-access.html)
  • Disponibile in formato/i consultabile/i offline (PDF)

Elenco delle lingue in cui è disponibile la documentazione

  • Inglese

API di tipo REST/SOAP disponibili per il servizio

  • E' disponibile l'endpoint REST (https://<firewall>/api)
  • Sono presenti meccanismi di autenticazione per le API (SI Token API)
  • Viene fornita la documentazione delle API in formato Web (https://docs.paloaltonetworks.com/content/dam/techdocs/en_US/pdf/pan-os/9-0/pan-os-panorama-api/pan-os-panorama-api.pdf )
  • Viene fornita la documentazione delle API in altri formati (PDF)
  • E' presente un ambiente di test delle API (No)

Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API

Show and Manage users Automatically check and install content updates Retrieve logs

Specificare le piattaforme abilitanti supportate dal servizio

  • Altro (specificare) (NA)

Elenco di procedure per garantire la reversibilità del servizio SaaS.

  • Prisma Access fornisce funzionalità di Network Security per mobile users off-premise e per Branch Office. Prisma Access utilizza una infrastruttura di sicurezza di tipo cloud-based come alternativa all’installazione e alla gestione di firewall a livello globale ed elimina il bisogno di riportare il traffico cloud verso un firewall centrale. La configurazione di Prisma Access avviene tramite la console di gestione Panorama che permette l’export della configurazione a carico del cliente in un formato Comma-separated (CSV). I logs Prisma Access sono temporaneamente memorizzati nel Cloud prima di essere trasferiti verso Cortex Data Lake. Dopo il trasferimento, i log sono “routinely deleted“. I dati sono processati da Prisma Access in modalità automatica e l’accesso da parte di Palo Alto Networks avviene esclusivamente quando richiesto per attività di Troubleshooting. Tutti gli accessi privilegiati sono gestiti dal Palo Alto Networks Customer Support e l’Engineering leadership, oltre ad essere sottoposti a audit per identificare eventuali violazioni di privilegi di accesso. Durante l'erogazione del servizio il cliente ha la possibilità di salvare la configurazione in formato CSV. Al cessare del servizio, i log saranno mantenuti disponibili per almeno 30 giorni, con la possibilità da parte del cliente di accedervi.

Scalabilità del servizio

  • E' prevista la scalabilità del servizio:
  • La scalabilità del servizio è di tipo automatico: No

Modalità e condizioni previste per la scalabilità del servizio

Prisma Access offre un metodo scalabile e sicuro per estendere la sicurezza agli utenti mobili. Prisma Access fornisce un'ispezione del traffico in linea completa con le funzionalità di sicurezza utilizzate nella piattaforme Next Generation Firewall. È possibile ottenere una sicurezza costante indipendentemente dalla posizione ed estendere alll'utente politiche di gruppo in tutta la propria organizzazione. Poiché Prisma Access è offerto come servizio, Palo Alto Networks gestisce l'implementazione e la manutenzione dell’infrastruttura, mentre il cliente si preoccupa di gestire le politiche. Tutte le politiche e il monitoraggio sono gestiti centralmente tramite Panorama e Cortex Data Lake, che consentono di utilizzare un unico sistema di gestione. Palo Alto Networks ridimensiona automaticamente il servizio quando vengono aggiunte connessioni di servizio o reti remote o quando altri utenti mobili accedono uno o più gateway in una singola regione.

Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio

Attraverso la console di gestione (Palo Alto Networks Panorama) sono disponibili sia strumenti di monitoraggio sia report. Panorama offre il monitoraggio dello stato della rete on-premise ed il monitoraggio dello stato del servizio. Prisma Access inoltre effettua il forwarding dei log verso Cortex Data Lake. E’ inoltre possibile visualizzare i log ed i report tramite Panorama per una vista aggregata della rete remota e del traffico utente mobile.

Metriche e statistiche disponibili

E’ possibile monitorare lo stato e l’utilizzo del servizio attraverso l’interfaccia di gestione Panorama. I parametri che possono essere monitorati sono: Service Connection, Remote Networks, Mobile Users, Logging Service.

Report disponibili

- Attraverso Panorama e Cortex Data Lake è possibile generare report circa lo stato e l’utilizzo del servizio.

Livelli di servizio garantiti da dichiarare obbligatoriamente

  • Availability (in percentuale): 99.5
  • Maximum First Support Response Time (in minuti): 60

Monitoraggio dello stato del servizio e notifiche

  • E' disponibile il monitoraggio in tempo reale dello stato del servizio?:
  • Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?:

Controllo dell'Acquirente sulla gestione dei dati

  • L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?:
  • L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?:

Meccanismi di autenticazione degli utenti supportati

2 Factor Authentication (2FA) è una procedura opzionale al fine di accedere ai dati contenuti nel Cloud

Possibilità di configurazione/customizzazione dei meccanismi di autenticazione

  • Descrizione: NA

Disponibilità di autenticazione a 2 fattori

Politiche di accesso alle informazioni in audit

  • In tempo reale: No
  • Differenziata tra utilizzatori e fornitore: No
  • Tempo minimo di conservazione delle informazioni di audit: NA
  • Tempo massimo di conservazione delle informazioni di audit: NA
  • Tempo minimo di conservazione dei log di servizio: NA
  • Tempo massimo di conservazione dei log di servizio: NA

Elementi che concorrono alla determinazione del prezzo (parametri)

Nome parametro Unità di misura Quantità minima
Parametro 1 Banda di traffico Mbit/secondo 200-999
Parametro 2 Numero di utenti utenti 200-999

Prezzo base del servizio

  • Prezzo base in euro (in euro): 173
  • Eventuale costo di attivazione (in euro): NA

Esecuzione dei test OWASP

  • Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?: No
  • Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità: No

Tempistiche per la presa in carico e gestione delle segnalazioni

Il tempo di risposta è immediato e segue l’apertura del ticket da parte del Cliente attraverso uno degli strumenti messi a dispozione (Web, mail, Tel, etc..). In questo caso Palo Alto Networks prende subito in carico la gestione del ticket del Cliente, sin dal livello di Severity 4. Si definiscono quattro livelli per l’identificazione del guasto:  Severity1: sistema compromesso nell’esercizio delle proprie funzioni e/o blocco di un servizio ritenuto critico;  Severity2: sistema parzialmente compromesso nell’esercizio delle proprie funzioni, che risultano degradate, ma con disponibilità dei servizi o perdita di ridondanza nei componenti del sistema;  Severity3: sistema soggetto a malfunzionamenti o anomalie occasionali che non impattano sui servizi erogati, o attività di implementazione di nuovi servizi la cui messa in produzione richiede una certa urgenza;  Severity4: attività riguardanti configurazioni particolari o implementazione Tempi di intervento: meno di 1 ora per Severity 1 - “critical level”. Tra 2 e 8 ore per Severity level 2,3 e 4 Follow up response time: Ogni 4 ore (Severity 1; Una volta al giorno (Severity 2); Ogni 3 giorni (Severity 3); una volta a settimana (Severity 4)