Skip to main content

Sécurité de la plate-forme

Cet article présente les politiques et procédures suivies par Equinix pour protéger vos équipements et vos données.

Les équipes et programmes suivants examinent, évaluent et améliorent les pratiques de sécurité d'Equinix :

  1. Audits et conformité – Nous respectons formellement diverses normes sectorielles, telles que ISO 27001, SSAE 16 et PCI DSS. Les attestations et certificats d'audit sont délivrés par des auditeurs tiers qualifiés. Ces auditeurs coordonnent les activités avec diverses équipes métiers et technologiques, telles que les services d'assurance, l'audit interne et les opérations.

  2. Équipe de sécurité de l’information – Travaillant en étroite collaboration avec l’organisation juridique, cette équipe est chargée de suivre les directives mondiales et des unités commerciales pour aider à garantir la conformité avec les lois et réglementations locales et fédérales.

  3. Politiques de sécurité de l'information – L'équipe de sécurité de l'information gère et applique un ensemble complet d'informations internes confidentielles, examinées et approuvées par la direction générale. Cette équipe veille à ce que les politiques internes soient d'envergure mondiale, en accordant une attention particulière aux lois, réglementations et exigences métier spécifiques à chaque pays et région.

    Les domaines couverts par ces politiques de sécurité interne comprennent :

    • Utilisation acceptable de la technologie
    • Anti-virus et logiciels malveillants
    • Sauvegarde et conservation des données
    • Classification, étiquetage et manipulation des données
    • Accès logique
    • Mots de passe
    • Gestion des correctifs
    • Dispositifs mobiles
    • Ordinateurs personnels
    • Accès à distance et VPN
    • Médias sociaux
remarque

Ces politiques internes sont rigoureusement appliquées. Elles sont revues chaque année pour en vérifier la pertinence et l'exactitude. De nouvelles politiques sont introduites au besoin.

Sécurité des services de la Fabric d'Equinix

Séparation du trafic

La structure utilise une technologie éprouvée pour assurer la séparation du trafic entre les clients. MPLS L3VPNs (VRFs) et EVPN L2 instances par client ou connexion client. Tout cela est provisionné à l'aide d'une configuration automatisée et sans aucun changement de configuration, aucune donnée n'est disponible en dehors des connexions Fabric du client. Tous les changements de configuration (aussi bien automatisés que manuels en cas de diagnostic de défaillance) sont enregistrés et surveillés pour détecter les anomalies. La configuration active de tous les dispositifs du réseau est constamment comparée à la configuration enregistrée et toute anomalie est signalée et corrigée.

Propriété et cryptage du trafic

Toutes les données transportées sur la plate-forme Fabric appartiennent au client et, comme Equinix n'a aucun moyen de savoir quelles données sont transportées et à quels cadres réglementaires ces données sont soumises, Equinix ne donne pas de conseils sur la manière de crypter les données transportées. Il incombe au client de traiter les données en transit conformément à ses exigences réglementaires. Equinix n'a déployé aucun mécanisme pour surveiller ou intervenir sur le trafic transporté par les connexions Fabric.

Interfaces de gestion

Toutes les interfaces de gestion des dispositifs de réseau qui font partie de la plate-forme Fabric sont connectées à notre infrastructure de gestion interne et aucune interface de gestion n'est exposée ou connectée à Internet.

Sécurité informatique d'entreprise Equinix

  • Pare-feu Internet – Equinix déploie des pare-feu de nouvelle génération offrant antivirus, détection et prévention des intrusions, filtrage des URL et contrôle des applications. Les événements détectés par les pare-feu sont transmis à un système mondial de gestion des incidents et des événements de sécurité (SIEM).
  • Courriel – Une passerelle antivirus et antispam protège contre les menaces provenant du courrier électronique.

Ordinateurs de bureau et portables Equinix Personnel

  • Renforcement – ​​Les ordinateurs de bureau et portables Equinix sont renforcés. Les directives et normes de renforcement Equinix sont documentées et appliquées lors de la construction des systèmes.
  • Antivirus et logiciels malveillants – Les ordinateurs de bureau et portables Windows et Mac doivent être équipés d'un logiciel antivirus et antimalware avec analyse en temps réel des fichiers et des applications. Les fichiers infectés sont mis en quarantaine.
  • Télécommande – La technologie de contrôle à distance sécurisée est utilisée pour aider le personnel en cas de problèmes techniques.
  • VPN d'accès à distance – Les employés qui accèdent à distance aux réseaux ou systèmes d'entreprise Equinix doivent utiliser les solutions d'accès à distance et VPN fournies par l'entreprise, avec authentification à deux facteurs. Les systèmes clients se connectant aux serveurs de bureau à distance doivent être attribués et contrôlés par le service informatique de l'entreprise.
  • Wi-Fi – Les réseaux Wi-Fi sont séparés des réseaux d'entreprise Equinix . Un utilisateur connecté au Wi-Fi peut accéder au réseau d'entreprise via un VPN d'accès à distance.

Serveurs d'entreprise Equinix

  • Durcissement – ​​Les directives et normes de renforcement Equinix sont documentées et appliquées lors des versions du système.
  • Antivirus et logiciels malveillants – Les serveurs Windows doivent exécuter un logiciel antivirus et antimalware avec analyse en temps réel des fichiers et des applications. Les fichiers infectés sont mis en quarantaine.
  • Analyses – Des analyses de vulnérabilité sont effectuées en interne chaque semaine et à la demande. Les applications doivent passer des analyses complètes de vulnérabilité et de sécurité applicative avant d'être publiées.
  • Journalisation – Les accès réussis et non réussis aux systèmes sont consignés à des fins d'analyse. L'utilitaire standard SUDO est utilisé sur les systèmes UNIX. Les journaux sont intégrés à un SIEM et conservés pendant au moins 90 jours.

Sécurité physique du centre de données IBX

La sécurité physique de chaque centre de données IBX est une priorité opérationnelle élevée. Chaque centre de données utilise un ensemble d'équipements, de techniques et de procédures de sécurité pour surveiller l'installation et pour contrôler et enregistrer les accès.

  • Accès – Le sous-système de contrôle d'accès autorise les utilisateurs autorisés à entrer dans le bâtiment et à l'intérieur de l'établissement. Des dispositifs de sécurité biométriques, des cartes de proximité et d'autres technologies identifient les utilisateurs auprès du système de contrôle d'accès et, après authentification, permettent aux contacts de naviguer dans l' IBX comme autorisé.

  • Surveillance des alarmes et détection d'intrusion – Le sous-système de surveillance des alarmes et de détection d'intrusion surveille l'état des différents dispositifs associés au système de sécurité. Ces dispositifs comprennent les interrupteurs de position de porte, les détecteurs de bris de glace, les détecteurs de mouvement et les interrupteurs anti-sabotage. Si l'état d'un dispositif change, une alarme se déclenche, l'événement est enregistré et les mesures appropriées sont prises.

  • CCTV – Le sous-système de télévision en circuit fermé assure l'affichage, le contrôle, l'enregistrement et la lecture des vidéos en direct des caméras installées dans l'établissement, ainsi qu'à l'extérieur, lorsque la loi l'autorise. Ce système est intégré au sous-système de surveillance des alarmes et de détection des intrusions. Ainsi, en cas d'alarme, les caméras s'affichent automatiquement pour visualiser l'événement en temps réel.

    remarque

    La vidéosurveillance fonctionne et enregistre 24 heures sur 24, 7 jours sur 7, 365 jours par an.

  • Sous-système d'interphone audio et de radio bidirectionnelle – Le sous-système d'interphone audio assure la communication bidirectionnelle entre les visiteurs de l'établissement et l'agent de sécurité. Il assure également la communication entre le gardien du hall d'entrée et le patrouilleur.

  • Tests d’intrusion – Les tests d’intrusion sont effectués périodiquement sans avertissement préalable au personnel du site.

  • Personnel de sécurité — Recrutement et formation – Equinix s'appuie sur des fournisseurs et partenaires leaders du secteur pour gérer l'infrastructure physique de chaque datacentre IBX . Le personnel de sécurité est soumis à des vérifications d'antécédents et de casier judiciaire, et est tenu de suivre une formation à la sécurité dès son embauche et régulièrement par la suite.

  • Protocoles d'urgence pour les clients et les visiteurs – En cas d'urgence, le personnel du centre de données IBX fournit des instructions. Les clients et autres visiteurs présents sur les lieux sont tenus de suivre les instructions données.

  • Enregistrement vidéo et photographie – Afin de protéger les installations et l'anonymat de tous les clients du centre de données IBX, aucune photographie ni vidéographie n'est autorisée dans le IBX . Les clients séjournant dans des cages agréées peuvent demander des photographies de leurs cages et de leur équipement lors de leur visite.

    remarque

    Toute prise de vue nécessite la présence d'un technicien Equinix .

  • Suivi des actifs – Les clients et leurs fournisseurs, prestataires et sous-traitants livrent et retirent souvent des équipements d'un centre de données IBX par le hall d'entrée. Les règles suivantes s'appliquent au suivi des actifs:

    • Les sacs et objets portés à la main peuvent faire l'objet d'une fouille dans la mesure où la loi le permet.
    • Les équipements retirés d'un centre de données IBX qui n'ont pas été apportés ce jour-là doivent figurer sur le ticket de service en tant qu'équipements pouvant être retirés. La description des éléments doit être claire pour permettre une identification précise de l'équipement.
    • Les équipements expédiés à destination et en provenance de l'établissement sont traités par le service d'expédition et de réception qui est distinct de la zone de colocation. Les clients doivent ouvrir un ticket de demande de service d'expédition pour recevoir du matériel.

  • Signalisation des cages – La politique Equinix est de ne pas divulguer l'emplacement physique des cages des clients. Cependant, les clients peuvent afficher une signalisation sur leur cage après approbation d' Equinix.

    remarque

    Les panneaux de cage sont limités aux cages privées et ne peuvent pas être utilisés dans les cages partagées ou les espaces revendeurs.

Entrée et sortie des visiteurs

  • Enregistrement – Tous les visiteurs entrant dans un centre de données IBX doivent s'enregistrer via l'application mobile du Portail Client ou la borne située dans le hall de sécurité. Ils devront ensuite se présenter au comptoir de sécurité et présenter une pièce d'identité officielle à l'agent de sécurité de service.

  • Biométrie – Un minimum de deux facteurs d'authentification, tels que la biométrie et une carte de proximité, sont requis pour accéder physiquement à un centre de données IBX . Ceci s'applique aux visiteurs et à tout le personnel du centre de données IBX .

  • Départ – Tous les visiteurs peuvent utiliser l'application mobile du Equinix Customer Portal ou le kiosque pour quitter l' IBX une fois leur visite terminée.

  • Privilèges d'accès – L'accès IBX est accordé et géré par l'administrateur du Equinix Customer Portal de votre entreprise.

Permissions et rôles accordés par l'administrateur

Un administrateur client du portail client Equinix accorde à des personnes une ou plusieurs des autorisations de site suivantes au niveau du centre de données IBX ou de la cage :

  • Accès physique (invité non inscrit) – Un administrateur doit ouvrir une visite de travail pour autoriser un invité non inscrit à accéder à un centre de données IBX .

  • Accès IBX/Cage – Permet un accès sans escorte au centre de données IBX sans ouvrir de visites de travail, l'inscription au système de contrôle d'accès se fera lors de la première visite à l' IBX.

  • Supprimer l'accès – Supprime les espaces sous licence ou les centres de données IBX dans leur intégralité des contacts selon les besoins.

  • Retrait de matériel – Autorise les personnes ayant un accès non accompagné au centre de données IBX à retirer du matériel de l'installation sans autorisation de sortie. Pour plus d'informations, consultez Expéditions sortantes depuis un IBX.

  • Amener des invités – Autorise une personne disposant d'un accès sans escorte au centre de données IBX à amener des invités non enregistrés dans l'établissement sans visite professionnelle.

    remarque

    Tous les invités qui entrent dans l'IBX doivent présenter une pièce d'identité valide émise par le gouvernement à la sécurité.

    Si vous avez besoin d'aide pour trouver l'administrateur du portail de votre entreprise, consultez Locating Your Company Administrators

Privilèges de commande au niveau du centre de données IBX ou de la cage

  • Services de base – Accorde des privilèges de commande pour les visites de travail, les visites guidées, les salles de conférence et les numérisations de mains.
  • Connexions croisées – Accorde des privilèges de commande pour installer et désinstaller des connexions croisées.
  • Smart Hands – Accorde des privilèges de commande pour soumettre des Smart Hands et des tickets de demande de service.
  • Afficher l’historique des tickets de demande de service – Accorde des privilèges pour consulter l’historique des commandes.

Expéditions

Toutes les expéditions entrantes et sortantes doivent être planifiées à l'avance en ouvrant un ticket de demande de service ou en appelant directement Equinix . Les expéditions non planifiées sont refusées.

Surveillance

Un système global surveille la santé des serveurs et de l'infrastructure de l'entreprise. Des alertes sont automatiquement générées et introduites dans un système SIEM.

Opérations

Équipe de gouvernance de la sécurité des centres de données d'IBX

L'équipe de gouvernance de la sécurité de Cloud Exchange est chargée de promouvoir la sensibilisation et le respect des politiques, procédures et normes de sécurité internes applicables aux déploiements Equinix Fabric .

Entretien contrôlé

Les modifications de routine, d'urgence et de configuration apportées à l'infrastructure du réseau de service Equinix Fabric sont autorisées, enregistrées, testées, approuvées et documentées.

Demandes de changement

Les demandes de modification sont des documents formels et archivés qui décrivent les modifications apportées à tout aspect d' Equinix Fabric ayant un impact sur le client.

Commission d'examen des modifications

Le comité de révision des changements se réunit chaque semaine pour examiner les documents de demande de changement. Le comité est composé de parties prenantes appropriées, notamment d'experts des équipes techniques, de gestion des versions et de gestion de projet. Le comité hiérarchise les demandes de changement et attribue des délais spécifiques pour les changements.

Change Rollback

Les demandes de changement doivent inclure des plans de retour en arrière, au cas où le changement aurait un impact négatif sur l'environnement de production.

Gestion des problèmes

Les problèmes sont gérés de manière formelle et suivis depuis leur détection jusqu'à leur résolution à l'aide d'un système de billetterie.

Escalades

Des politiques et processus opérationnels publiés sont en place pour les procédures d'escalade en contact avec les clients.

Sécurité du réseau de services Equinix Fabric

Bastion

L'accès administratif au réseau de services Equinix Fabric n'est disponible que via un hôte bastion.

Authentification, autorisation et comptabilité (AAA)

Les appareils du réseau de services Equinix Fabric utilisent TACACS+ pour les services AAA. Les membres du personnel chargés de l'administration du réseau de services Equinix Fabric bénéficient d'un accès basé sur le modèle du moindre privilège, leurs droits d'accès étant proportionnels à leur fonction. Les tentatives d'accès, réussies ou non, aux appareils du réseau sont enregistrées à des fins d'analyse et de génération d'alertes.

Outils de gestion

Les outils de gestion des services sont soumis à des contrôles AAA. Les configurations qu'ils régissent sont contrôlées au niveau des révisions, horodatées et enregistrées.

Plan de gestion des périphériques réseau

Les contrôles du plan de gestion incluent l'utilisation des services AAA. Les sessions d'administration à distance sont cryptées par SSH et sont interrompues après une période d'inactivité appropriée. L'accès de l'administrateur et les changements de configuration sont enregistrés. Les listes de contrôle d'accès (ACL) limitent le trafic vers/depuis les adresses IP source et destination requises. Les configurations par défaut des fournisseurs sont modifiées conformément aux recommandations de sécurité du fabricant.

Plan de contrôle des périphériques réseau

Les contrôles du plan de contrôle comprennent la limitation du débit du trafic destiné à l'appareil lui-même (ICMP, ARP, BGP, SSH, SNMP) et aux principaux protocoles d'application tels que le DNS afin de se défendre contre les attaques par déni de service. Le trafic en provenance et à destination de réseaux non autorisés et non valides est bloqué. L'authentification MD5 est utilisée pour les échanges de messages et les mises à jour de protocoles (IGP/LDP/BGP).

Dispositif de réseau Plan de transfert

Les plans de transfert des clients sont isolés dans leurs propres tables de routage et de transfert virtuels (VRF) et dans les VPN de couche 2 et de couche 3. Les limites de préfixe maximum de BGP ainsi que les limites sur le nombre maximum d'adresses physiques (MAC) sont utilisées pour protéger les ressources et se défendre contre les attaques par déni de service.

Portail client et interfaces de programmation d'applications (API)

Identity Access Management

Equinix offre à ses clients des fonctionnalités de gestion des identités limitées au Equinix Customer Portal et au Portail Cloud Exchange. Lors du provisionnement, Equinix crée un compte administrateur principal pour chaque client. Cet administrateur peut ensuite créer, modifier, désactiver et supprimer les comptes utilisateurs des clients selon ses besoins, y compris ceux des autres administrateurs principaux. Les administrateurs principaux attribuent des rôles et des privilèges aux comptes utilisateurs des clients en fonction de leurs besoins. Bien que les fournisseurs de services cloud puissent fournir leurs propres systèmes de gestion des identités et des accès, ceux-ci sont distincts de ceux proposés par Equinix.

Interfaces de programmation d'applications (API)

Equinix propose une API Equinix Fabric permettant de récupérer des informations sur les ports et connexions virtuelles Equinix Fabric et d'effectuer des opérations sur ceux-ci. L'authentification et l'autorisation sont réalisées selon la norme OAuth 2.0. Bien que les fournisseurs de services cloud puissent proposer leurs propres API, celles-ci sont distinctes de celles proposées par Equinix.

Accès aux données des clients

Equinix n'accède pas et n'accédera pas aux données de transit des clients Equinix Fabric, qu'elles soient en mouvement ou au repos. Des contrôles physiques et logiques empêchent, surveillent et détectent tout accès ou tentative d'accès non autorisé aux données de transit des clients.

Sécurité des données, cycle de vie de l'information, cryptage et gestion des clés

Equinix Fabric assure une connectivité réseau directe entre les clients cloud et les fournisseurs de services cloud, sans accès, inspection, manipulation ni copie des données. Les clients sont responsables de la sécurisation de tous les aspects des données transitant par Equinix Fabric, conformément à leurs besoins de sécurité, à leurs politiques et à toute exigence réglementaire et/ou légale applicable.

Cette page vous a-t-elle été utile ?