Skip to main content

Pare-feu privé géré

Le pare-feu privé géré (MPF) offre une capacité de pare-feu évolutive et un choix de fonctionnalités de pare-feu pour protéger l'infrastructure contre les cyberattaques et empêcher l'accès non autorisé aux données.

La mise en œuvre et l'exploitation de pare-feu s'avèrent complexes pour de nombreuses entreprises. La sécurité et le réseautage sont devenus des enjeux de plus en plus critiques à mesure que les architectures se diversifient et se distribuent, ce qui entraîne de nouvelles vulnérabilités et une augmentation des charges de travail. Face à ces défis, de nombreuses organisations peuvent s'appuyer sur des solutions gérées, virtualisées et proposées en tant que service (SaaS) afin de simplifier leurs opérations.

Un pare-feu privé géré est un système de sécurité réseau qui surveille et contrôle le trafic entrant et sortant selon des règles de sécurité prédéfinies par le client. Correctement configuré, il établit une frontière entre les réseaux de confiance et les réseaux non fiables. Des experts en sécurité, une technologie de pointe, une disponibilité garantie par un SLA et une surveillance continue (24h/24 et 7j/7) s'associent pour offrir une protection robuste contre les cyberattaques.

Managed Private Firewall

Caractéristiques principales

  • Surveillance continue 24 heures sur 24, 7 jours sur 7 avec réponse prioritaire.
  • Les technologies de prévention des menaces protègent le réseau contre les logiciels malveillants, l'hameçonnage et autres cyberattaques.
  • Les mises à jour automatiques assurent la mise à jour des défenses du pare-feu.
  • Les rapports permettent de voir l'état de sécurité du réseau.
  • L'abstraction technologique simplifie les procédures complexes pour une gestion plus aisée.
  • Les services optionnels ne sont facturés que lorsqu'ils sont utilisés pour réduire les dépenses inutiles.
  • Les services peuvent être configurés et adaptés pour répondre à l'évolution des besoins et évoluer en fonction des exigences.
  • Les environnements globaux sont pris en charge par des centres de données distribués dotés de plateformes gérées.
  • La supervision est assurée par des spécialistes qui suivent les technologies émergentes.
  • La conformité réglementaire est assurée par l'alignement sur les normes de l'industrie.
  • La protection continue réduit les risques d'interruption de service en priorisant les services critiques lors de cybermenaces ou de pics de trafic.

Accès au pare-feu privé géré

Pour accéder au pare-feu privé géré (MPF), rendez-vous sur le [Portail client. Vous pourrez ensuite accéder aux éléments suivants:

  • Portail de solutions gérées (MSP) – utilisé pour créer des tickets, soumettre des demandes de service et consulter les informations d'utilisation du MPF.
  • Console opérationnelle – utilisée pour gérer et exploiter les ressources MPF.

Gestion d'un pare-feu privé géré

Gestion des utilisateurs

Les utilisateurs de la console opérationnelle sont gérés par le portail client. Consultez la section Gestion des utilisateurs et des mots de passe. Une fois les utilisateurs ajoutés, une demande de service doit être soumise pour leur attribuer le rôle de locataire MPF.

Pour utiliser une autre source d'identité, la fédération d'identités peut être configurée dans le portail client afin de s'intégrer à un fournisseur d'identité externe. Cela permet aux utilisateurs de se connecter à l'aide de leurs identifiants d'entreprise.

Console opérationnelle

La console opérationnelle est le portail permettant d'effectuer toutes les tâches nécessaires à la gestion de l'environnement MPF. Elle donne accès aux ressources MPF d'une région spécifique. MPF est déployé dans quatre régions: Amérique du Sud, Amérique du Nord, Europe et Asie. Si un déploiement MPF existe dans une région donnée, la console opérationnelle correspondante est accessible via l'un des quatre boutons présents sur la page.

Console Administrateur

Le service standard utilise un portail centralisé en libre-service, techniquement défini comme un domaine administratif (ADOM). L'ADOM permet à l'administrateur du pare-feu du client de créer, supprimer et modifier les règles et politiques de pare-feu, ainsi que d'administrer les réseaux privés virtuels (VPN) propres à ses appliances virtuelles.

Domaine administratif

Un domaine administratif (ADOM) définit le client dans la console opérationnelle. L'ADOM sert de conteneur pour toutes les ressources MPF, y compris les pare-feu, les ensembles de stratégies et les objets de stratégie. Un client peut avoir plusieurs ADOM, chacun présentant des caractéristiques différentes, comme la localisation géographique d'un IBX Equinix (par exemple, Amsterdam, Londres ou Ashburn) ou une finalité spécifique (par exemple, Production ou Test). Si la capacité du pare-feu existant est insuffisante, veuillez contacter le gestionnaire de la prestation de services ou le gestionnaire de compte.

Console Log Analyzer

Le service standard comprend un analyseur de journaux centralisé accessible via le domaine d'administration (ADOM). La console d'analyse des journaux permet aux administrateurs de pare-feu de gérer la collecte des journaux, d'effectuer des analyses et de générer des rapports. Cette console est distincte de la console réseau et prend en charge l'automatisation, l'orchestration et la réponse aux événements enregistrés.

Autorisations liées au rôle client

Dans la console opérationnelle, deux rôles prédéfinis peuvent être attribués aux utilisateurs.

RoleManager Portal PermissionsAnalyzer Portal Permissions
Customer‑Admin• View device configuration
• View routing table
• Create policy objects
• Create policy packs
• Create firewall rules
• Deploy policy packs to associated firewalls
• Create VPN settings (IPsec and SSL VPN)		• View logs
• Create and view reports
• Schedule reports
Customer‑Read Only• View device configuration
• View routing table
• View policy objects
• View policy packs
• View firewall rules
• View VPN settings (IPsec and SSL VPN)		• View logs

Étapes de la configuration des politiques

  1. Connectez-vous à l'interface graphique de FortiManager.
    • Ouvrez un navigateur Web et accédez à la console de gestion dans le portail des solutions gérées ou rendez-vous directement à l'URL de FortiManager.
    • Entrez votre nom d'utilisateur et votre mot de passe.
  2. Sélectionnez l'ADOM approprié (applicable uniquement lorsqu'il existe plusieurs ADOM).
    • Choisissez l'ADOM associé à l'environnement requis.
    • Utilisez le menu déroulant ADOM pour changer si nécessaire.
  3. Allez à la section « Politiques et objets ».
    • Accédez à la section Politiques et objets Politique IPv4.
  4. Créer une nouvelle politique.
    • Cliquez sur « Créer » pour ajouter une nouvelle politique.
    • Définissez le nom de la politique.
    • Définissez les interfaces source et de destination (par exemple, réseau local vers WAN).
    • Spécifiez les adresses source et de destination (prédéfinies ou personnalisées).
    • Sélectionnez le service (par exemple, HTTP, HTTPS).
    • Choisissez l'action (Autoriser ou Refuser).
    • Configurez les options supplémentaires comme la journalisation ou les profils de sécurité.
  5. Sauvegardez la police d'assurance.
    • Cliquez sur OK.
  6. Élaborer des politiques.
    • Assurez-vous que la nouvelle politique est correctement placée dans la liste des politiques. FortiGate traite les politiques de haut en bas.
  7. Installer les politiques.
    • Cliquez sur Assistant d'installation et suivez les instructions.
    • Utilisez l'aperçu de l'installation pour examiner les modifications et la comparaison des ensembles de stratégies afin de comparer les différences.
    • Cliquez sur Installer pour terminer le déploiement.

Étapes de configuration du VPN

  1. Connectez-vous à l'interface graphique de FortiManager.
    • Ouvrez un navigateur Web et accédez à la console de gestion dans le portail des solutions gérées ou rendez-vous directement à l'URL de FortiManager.
    • Entrez votre nom d'utilisateur et votre mot de passe.
  2. Sélectionnez l'ADOM approprié (applicable uniquement lorsqu'il existe plusieurs ADOM).
    • Choisissez l'ADOM associé à l'environnement requis.
    • Utilisez le menu déroulant ADOM pour changer si nécessaire.
  3. Allez au VPN.
    • Accédez au VPN Assistant IPsec.
  4. Créer un nouveau VPN.
    • Cliquez sur Créer.
    • Sélectionnez le type de VPN (par exemple, site à site).
    • Définissez le nom du VPN.
  5. Configurer les paramètres VPN.
    • Configurez l'adresse IP de la passerelle distante.
    • Sélectionnez la méthode d'authentification et entrez la clé prépartagée le cas échéant.
    • Spécifiez l'interface locale.
  6. Configurez les paramètres des phases 1 et 2.
    • Définir les algorithmes de chiffrement et d'authentification.
    • Définir le groupe Diffie-Hellman et les durées de vie clés.
  7. Définir les sélecteurs de mode rapide.
    • Précisez les sous-réseaux locaux et distants.
  8. Enregistrer et appliquer. Cliquez sur OK.
  9. Installez la configuration VPN.
    • Cliquez sur Assistant d'installation.
    • Utilisez l'aperçu de l'installation et la comparaison des ensembles de stratégies selon les besoins.
    • Cliquez sur Installer pour appliquer la configuration.

Étapes de la configuration d'un système de prévention des intrusions (IPS)

  1. Connectez-vous à l'interface graphique de FortiManager.
    • Ouvrez un navigateur Web et accédez à la console de gestion dans le portail des solutions gérées ou rendez-vous directement à l'URL de FortiManager.
    • Entrez votre nom d'utilisateur et votre mot de passe.
  2. Sélectionnez l'ADOM approprié (applicable uniquement lorsqu'il existe plusieurs ADOM).
    • Choisissez l'ADOM associé à l'environnement requis.
    • Utilisez le menu déroulant ADOM pour changer si nécessaire.
  3. Accédez à Profils de sécurité.
    • Accédez aux profils de sécurité Prévention des intrusions.
  4. Créer ou modifier un capteur IPS.
    • Cliquez sur Créer ou sélectionnez un capteur existant.
    • Définissez le nom du capteur.
  5. Ajouter des signatures IPS.
    • Ajoutez les signatures de la liste et utilisez les filtres si nécessaire.
    • Configurer les actions pour chaque signature (Surveiller, Bloquer).
  6. Appliquer le capteur IPS à une politique.
    • Accédez à la section Politiques et objets Politique IPv4.
    • Modifier la politique cible.
    • Activez le système IPS dans les profils de sécurité et sélectionnez le capteur configuré.
  7. Enregistrer et appliquer. Cliquez sur OK.

Étapes pour la création de rapports de journalisation

  1. Connectez-vous à l'interface graphique de FortiAnalyzer.
    • Ouvrez un navigateur Web et accédez à la console Analytics dans le portail Managed Solutions ou accédez directement à l'URL de FortiAnalyzer.
    • Entrez votre nom d'utilisateur et votre mot de passe.
  2. Sélectionnez l'ADOM approprié (si plusieurs sont disponibles).
    • Choisissez l'ADOM associé à l'environnement requis.
    • Utilisez le menu déroulant ADOM pour changer si nécessaire.
  3. Voir le journal d'accès sur FortiAnalyzer.
    • Accéder à la vue Journal.
    • Sélectionnez le type de journal (Trafic, Événement, Sécurité, etc.).
    • Appliquez des filtres tels que l'adresse IP source, l'adresse IP de destination ou la plage horaire.
  4. Générer des rapports.
    • Allez à la section Rapports.
    • Cliquez sur « Créer un nouveau modèle » ou sélectionnez un modèle existant.
    • Configurez les critères, la période et les filtres du rapport.
    • Exécutez le rapport ou planifiez-le.
  5. Personnalisez les rapports.
    • Modifiez les modèles pour ajuster les graphiques, les tableaux et les éléments de données.
    • Sauvegardez les modèles pour les réutiliser.
  6. Consultez et téléchargez les rapports.
    • Ouvrez les rapports terminés dans la section Rapports.
    • Télécharger en format PDF ou CSV.
  7. Configurer la génération de rapports automatisés.
    • Configurez les options de planification dans les paramètres des rapports.
    • Activer la distribution des courriels aux destinataires désignés.

En suivant ces étapes, les administrateurs clients peuvent générer des rapports de journaux via un ADOM dans FortiAnalyzer et obtenir les informations nécessaires pour gérer et sécuriser leurs environnements réseau.

Octroi d'accès à la console opérationnelle

Pour donner à un autre utilisateur l'accès au service MPF:

  • Demander l'accès pour l'utilisateur par le portail client Equinix.
  • Ouvrez un billet pour attribuer les autorisations requises pour accéder à MPF.
  • Utilisez l'option Créer un utilisateur dans la console opérationnelle du catalogue de services pour terminer la configuration.

Description du service

Le pare-feu privé géré (MPF) est déployé en tant que paire à haute disponibilité et contient deux domaines virtuels (VDOM).

  • Domaine client: Surveille et contrôle le trafic entre les segments de réseau de confiance et non fiables. Ce domaine constitue le pare-feu client actif qui applique les politiques d’accès.

  • Domaine de gestion - Utilisé exclusivement à des fins de gestion et connecté uniquement à l'environnement de gestion Equinix. Aucun trafic client ne transite par ce domaine.

Les applications sont hébergées sur le nuage privé géré. Le pare-feu du domaine client contrôle l'accès à Internet, au WAN et aux segments de réseau du nuage privé géré, selon des règles configurées par le portail libre-service ou par le biais d'une demande de modification.

Le système de gestion centralisé, qui comprend le portail libre-service et le portail d'analyse, utilise un ADOM de gestion pour administrer le VDOM client. Le système d'analyse recueille les journaux et les événements afin d'assurer une visibilité en ligne et en temps réel. En option, les journaux du domaine client peuvent être envoyés à un système SIEM externe pour une surveillance de sécurité globale.

Service standard

Le service standard comprend les éléments suivants :

  • Déploiement de pare-feu dans une paire haute disponibilité à basculement actif dans un seul IBX, prenant en charge une disponibilité d'au moins 99,95 %.
  • Journalisation standard.
  • Configuration de deux interfaces réseau utilisables. La connectivité Internet ou WAN à double connexion nécessite des interfaces supplémentaires.
  • Routage par BGP ou routes statiques.
  • Configuration du portail libre-service et du portail d'analyse.
  • Mise à jour régulière des pare-feu.
  • Surveillance continue (24 heures sur 24 et 7 jours sur 7) de la disponibilité du pare-feu.
  • Gestion et assistance en cas d'incident:
    • Incidents prioritaires 1: 24 heures sur 24, 7 jours sur 7.
    • Incidents de priorité 2 et de priorité 3: Heures ouvrables.
    • Demandes de service: Heures d'ouverture.
  • La fonctionnalité de pare-feu est incluse dans tous les abonnements, avec des options de service supplémentaires disponibles.

Appareil virtuel

Le service MPF utilise une paire d'appliances virtuelles actives et passives à haute disponibilité déployée sur la plateforme Managed Private Cloud dans un Equinix IBX. Plusieurs options de rendement sont offertes pour répondre à différents besoins en matière de débit.

Cette variante comprend :

  • Ressources vCPU, vRAM et de stockage requises pour l'option de performance sélectionnée.
  • Configuration des ressources.
  • Installation et configuration de la paire de pare-feu virtuels à haute disponibilité, conformément à la commande.
  • Accès au portail libre-service et au portail d'analyse.

Double site

Dans les endroits où les déploiements à double site sont disponibles, deux paires indépendantes de haute disponibilité peuvent être déployées pour former une conception résiliente et à haute disponibilité sur tous les sites.

Console d'administration

Le service standard utilise un portail libre-service centralisé, appelé domaine administratif (ADOM). L'ADOM permet aux administrateurs de pare-feu des clients de créer, supprimer et modifier les règles et politiques de pare-feu, ainsi que d'administrer les réseaux privés virtuels (VPN) spécifiques à leurs appliances virtuelles.

Console d'analyse des journaux

Le service standard comprend un analyseur de journaux centralisé accessible via le domaine d'administration (ADOM). Cette console permet aux administrateurs de pare-feu de gérer la collecte des journaux, d'effectuer des analyses et de générer des rapports. La console d'analyse des journaux est distincte de la console réseau et prend en charge l'automatisation, l'orchestration et la réponse aux événements enregistrés.

Options de service

Les options suivantes de service de pare-feu privé géré peuvent être commandées.

Le service standard repose sur la licence pare-feu. En option payante, vous pouvez choisir la licence IPS ou les forfaits ATP/UTP. Le tableau ci-dessous énumère les fonctionnalités incluses dans chaque licence.

LicenseDescriptionFeatures
FWStandard ServiceFirewall
IPSIntrusion Prevention ServicesFirewall
Intrusion Prevention Services
ATPAdvanced Threat ProtectionFirewall
Intrusion Prevention Services
Advanced Malware Protection Service
App Control
UTPUnified Threat ProtectionFirewall
Intrusion Prevention Services
Advanced Malware Protection Service
App Control
Web Security

Pare-feu

La fonctionnalité de pare-feu est incluse dans tous les abonnements. Elle offre les fonctions et caractéristiques suivantes.

  • Interfaces réseau
  • Politiques/règles (règles de pare-feu)
  • Profils de sécurité (profils par défaut « prêts à l'emploi »)
  • VPN IPsec
  • VPN SSL (Web et tunnel)
  • NLB (Équilibrage de charge réseau)
  • Politique DoS (Anomalies L3/4)
  • Enregistrement (analyseur)

IPS

Les services de prévention des intrusions (IPS) détectent et bloquent les vulnérabilités et les menaces. Ils prennent également en charge la mise à jour virtuelle du réseau et la détection des logiciels malveillants, des rançongiciels et des attaques HTTPS.

Service de protection avancée contre les logiciels malveillants

La protection avancée contre les logiciels malveillants comprend un antivirus, la sécurité des adresses IP/domaines des botnets, la sécurité mobile, le cloud sandbox, la protection contre les épidémies de virus, ainsi que la désactivation et la reconstruction du contenu.

Contrôle par application

Le contrôle des applications permet de créer des politiques pour autoriser, refuser ou restreindre l'accès aux applications ou à des catégories d'applications.

Sécurité Web

Le filtrage de contenu Web contrôle l'accès au contenu Web en bloquant les pages contenant des mots ou des motifs spécifiques. Il est possible d'utiliser des mots, des expressions, des motifs, des caractères génériques et des expressions régulières Perl pour filtrer le contenu.

Type

Il est possible de sélectionner différentes options de ressources de machine virtuelle afin de correspondre au débit requis.

Options de performance

Les performances du pare-feu en Gbit/s dépendent de la licence sélectionnée, des ressources vRAM et vCPU allouées et des fonctionnalités activées. Le tableau fournit des indications sur le rendement et les ressources requises.

SizevCPUvRAMFW (Gbps)IPS (Gbps)ATP/UTP (Gbps)
S (small)2471.70.9
M (medium)4810.83.31.8
L (large)812145.93.4
XL (extra-large)161615.510.16.3

Remarques

  1. Les ressources des machines virtuelles sont comprises dans le service.
  2. Le débit maximal correspond au trafic entrant et sortant combiné que le pare-feu peut traiter. Les valeurs indiquées sont basées sur les données de test du fournisseur. La capacité réelle peut varier selon les règles de configuration, les fonctions activées et le trafic spécifique du client.
  3. Débit du pare-feu mesuré avec des paquets UDP (512 octets).
  4. Performances IPS mesurées avec un mélange de trafic d'entreprise.
  5. Performances de protection contre les menaces mesurées avec IPS, contrôle des applications et protection contre les logiciels malveillants à l'aide d'Enterprise Traffic Mix.

Quota de stockage de données

La journalisation standard inclut jusqu'à 1 Go de données de journalisation par jour, avec un maximum de 10 Go de stockage total par paire de services de pare-feu privé géré. La durée de conservation des journaux est d'au plus 60 jours, mais peut être réduite si la limite de stockage de 10 Go est atteinte plus tôt. Un espace de stockage supplémentaire peut être commandé sous forme de journalisation étendue.

Démarcation des services et services habilitants

Equinix est responsable du service standard et de la combinaison des options de service définies dans la commande et les demandes de service ultérieures. Equinix n'est pas responsable des logiciels clients ni de la connectivité Internet nécessaires à la gestion ou à l'utilisation du service.

Pour les pare-feu virtuels, les limites de service suivantes s'appliquent:

  • Interfaces réseau logiques sur les pare-feu pour le trafic de production
  • Interface utilisateur et API pour les consoles réseau et analyseur

Vous trouverez plus d'informations sur les délimitations de service dans les Rôles et responsabilités et dans les [Politiques de produit.

Le pare-feu privé géré ne peut être commandé qu'avec le nuage privé géré (MPC) et fonctionne comme un composant de sécurité au sein de la solution globale.

Types de frais

Lors de la commande du service de pare-feu privé géré, sélectionnez la variante correspondant à vos besoins. Le service MPF est facturé selon des valeurs de base.

  • Référence - le volume spécifique de l'unité de mesure du service tel que défini dans la commande.

Catalogue des éléments de facturation

CategoryPurchase UnitUOMInstall FeeBilling MethodOverage
MPF ServiceFirewall type
Firewall license
Log storage quota		EachYesBaselineNo

Rôles et responsabilités

Intégration - Installation

ActivitiesEquinixCustomer
Schedule / execute project kickoff meetingRACI
Schedule / execute customer onboardingRACI
Virtual Machine resources (compute, storage, and networking) for the virtual firewall on MPCRAI
Virtual Firewall appliance software, licenses, and supportRAI
Equinix management environment for firewall management including Network Console and Analyzer ConsoleRAI

Intégration - Configuration

ActivitiesEquinixCustomer
Firewall-appliance basic configuration, network interfaces, network settings, and hardeningRAI
Set up firewall monitoring and logging to Analyzer ConsoleRAI
Set up customer accounts on portal for access to logging, reporting, and self-serviceRACI
Defining initial firewall rulesetCIRA
Loading initial firewall ruleset through Network consolesCIRA
Loading initial firewall ruleset through Service RequestRACI

Entrée en service

ActivitiesEquinixCustomer
Test access to MPF Product page on Managed Solutions PortalCIRA
Test access to MPF documentation on docs.equinix.comCIRA
Test access to MPF operational consoleCIRA
Testing the configuration and failover as part of operational managementRACI
Functional testingCIRA

Opérationnel

ActivitiesEquinixCustomer
Technical management of the service (overall)RACI
Functional management of the customer environment within the service (overall)IRAC
Service deskRACI
Maintenance of the firewall-appliance (infrastructure break / fix, software updates, security patches)RAI
24/7 uptime monitoring of the virtual firewall including health checksRAI
Back-up and management of log files and rule baseRAI
Submitting Service Request via the PortalCIRA
Implementation of changes in accordance with change process based on Service RequestsRACI
Interpretation of security eventsRA

RACI signifie Responsable, Responsable, Consulté et Informé.

Afin d'éviter toute ambiguïté, il incombe au client de configurer les règles et politiques du pare-feu, la connexion VPN (optionnelle) et l'équilibrage de charge des serveurs. Equinix n'effectue des modifications que sur instruction du client.

Gestion des incidents

La gestion des incidents est incluse dans le soutien technique. Tous les incidents sont traités par ordre de priorité. Cette priorité est déterminée après le signalement et l'évaluation de la panne par Equinix, en fonction des informations fournies.

PriorityImpact / UrgencyDescription
P1 HighUnforeseen unavailability of a service or environment delivered and managed by Equinix in accordance with the service description due to a disruption. The user cannot fulfill obligations towards users and suffers direct demonstrable damage due to the unavailability of this functionality.The service must be restored immediately. The production environments are unavailable, with platform-wide disruptions.
P2 MediumThe service does not offer full functionality or has partial functionality or reduced performance, impacting users. The user suffers direct demonstrable damage due to unavailability of the functionality. The service may be impacted due to limited availability.The service must be repaired the same working day. The management environment is not available.
P3 LowThe service functions with limited availability for one or more users and a workaround is in place.The moment of repair is determined in consultation with the reporting person.
remarque

La classification ci-dessus ne s'applique pas aux interruptions causées, par exemple, par des applications spécifiques à l'utilisateur, par des actions de l'utilisateur ou par des tiers. Les incidents peuvent être signalés par le portail client, dans la section « Solutions gérées ». Les incidents de niveau 1 doivent être signalés par téléphone.

Demandes de service

Les demandes de service servent à signaler les problèmes de service ou à demander de l'aide pour la mise en œuvre de modifications. Elles peuvent être utilisées pour les modifications de configuration qui ne peuvent pas être effectuées en libre-service via la console d'exploitation. L'assistance pour le pare-feu privé géré est disponible 24 heures sur 24, 7 jours sur 7. Deux types de demandes de service sont offerts:

  • Incluse - Les demandes de service qui relèvent de la portée du service et n'entraînent pas de frais supplémentaires.
  • Supplémentaire - Demandes de service qui ne relèvent pas de la portée du service et qui entraînent des frais supplémentaires.

En plus du service standard, et lorsque l'option de service appropriée a été sélectionnée, les fonctionnalités ou configurations suivantes peuvent être demandées lors de l'installation ou via une demande de service en tant qu'option payante.

  • Ajouter ou supprimer un réseau supplémentaire
    • Ajoutez des sous-réseaux supplémentaires au-delà des deux sous-réseaux standards, à des fins telles que la création d'une DMZ, la séparation des niveaux ou une connexion WAN supplémentaire.
  • Ajouter, supprimer ou modifier les politiques ou les règles
    • Modifiez la base de règles et/ou ajoutez un profil de sécurité. Au plus cinq règles peuvent être modifiées par requête.
  • Ajouter, supprimer ou modifier un profil de sécurité (supplémentaire ou personnalisé)
    • Configurez les profils de sécurité client (IPS, filtrage Web, etc.). Un abonnement valide est requis.
  • Ajouter, supprimer ou modifier les connexions VPN (site à site)
    • Configurez les connexions VPN IPsec pour établir une connectivité chiffrée entre les emplacements.
  • Ajouter, supprimer ou modifier les connexions VPN (SSL)
    • Configurez les connexions VPN SSL pour un accès sécurisé aux utilisateurs par Internet. L'authentification des utilisateurs est assurée par un système administré par le client ou un service d'assistance.
  • Ajouter, supprimer ou modifier un certificat SSL
    • Créez une demande de signature de certificat (CSR) et implémentez le certificat SSL.
  • Ajouter, supprimer ou modifier l'équilibrage de charge du serveur
    • Configurez l'équilibrage de charge de base du trafic entre les serveurs backend. Prend en charge les couches L3 (IP), L4 (TCP/UDP) et L7 (HTTP, HTTPS, SSL/TLS, IMAPS, POP3S, SMTPS), y compris le déchargement SSL/TLS jusqu'à TLS 1.3.
  • Ajouter, supprimer ou modifier la politique relative aux attaques par déni de service (DoS)
    • Configurez des politiques pour examiner le trafic à la recherche de schémas anormaux aux couches 3 et 4. Les seuils par défaut sont appliqués.

Certaines modifications peuvent être mises en œuvre en libre-service, comme indiqué dans le tableau ci-dessous, ou peuvent être demandées via le portail de services sous forme de demande de service.

Type of ChangeSelf-ServiceIncluded/Additional
Add or remove additional network (Interface)NoAdditional
Add, remove, or change policy or rules (maximum 5 rules per request)YesAdditional
Add, remove, or change security profile (additional or custom, subscription required)YesAdditional
Add, remove, or change VPN (IPsec/S2S) (maximum 3 VPN tunnels per request)YesAdditional
Add, remove, or change VPN SSL (certificate creation excluded, one change per request)YesAdditional
Add, remove, or change SSL certificateNoAdditional
Add, remove, or change server load balancing (maximum 3 rules per request)YesAdditional
Add, remove, or change DoS policyYesAdditional
Ask information about the productNoIncluded

Les clients peuvent demander des modifications non répertoriées dans le tableau en sélectionnant « Modification » dans le module « Demande de service » du portail des solutions gérées. Equinix effectue une analyse d'impact afin de déterminer la faisabilité, les coûts associés et le délai de réalisation.

Tous les frais liés aux demandes de service sont déduits du solde du régime d'assistance Premier ou, en cas de solde insuffisant, facturés à terme échu au tarif applicable.

Toute modification de la capacité de base, de la quantité commandée ou de toute autre modification ayant une incidence sur les frais de service mensuels doit être demandée auprès de l'équipe commerciale.

Rapports

Le client peut consulter et enregistrer des rapports sur le trafic réseau et les événements de sécurité via la console. Celui-ci offre un tableau de bord interactif et personnalisable affichant des graphiques du trafic réseau, des menaces, des applications et des données associées. Le système centralise les informations en temps réel et l'historique dans une vue d'ensemble unique.

Il est possible de générer des rapports de données personnalisés à l'aide de plus de 70 modèles intégrés et de plus de 2 000 ensembles de données, graphiques et macros combinés, pour des analyses telles que la détection d'anomalies et l'évaluation des menaces. Les rapports peuvent être exécutés à la demande ou programmés, avec des notifications automatiques par courriel (en option). Les formats de sortie pris en charge sont PDF, HTML, CSV, XML et JSON.

Managed Private Firewall

Événements liés à la sécurité

Les équipes de sécurité peuvent surveiller et gérer les alertes et les journaux d'événements du pare-feu. Les événements sont traités et corrélés dans un format adapté à l'analyse.

Niveaux de service

L'Accord sur le niveau de service (SLA) définit les niveaux de performance mesurables associés au service MPF et précise les recours disponibles si Equinix ne respecte pas ces niveaux. Les crédits de service mentionnés dans la politique produit constituent le seul recours en cas de non-respect des seuils définis.

Le contrat de niveau de service (SLA) concernant l'assistance s'applique à l'enregistrement et à la résolution des incidents.

PriorityResponse Time¹Resolution Time²Execution of WorkSLA³
P1< 30 min< 4 hours24/795%
P2< 60 min< 24 hours24/795%
P3< 120 min< 5 days24/795%

¹ Le temps de réponse est mesuré à partir du moment où le ticket d'incident est soumis jusqu'à ce qu'un spécialiste des solutions gérées émette une réponse formelle. ² Le temps de résolution est mesuré entre l'enregistrement et la fermeture ou l'annulation dans l'outil ITSM, ou le transfert au support IBX. ³ Le SLA s'applique au délai de réponse. Des renseignements supplémentaires sont disponibles dans la [Politique du produit.

Disponibilité

Le service MPF est considéré comme « indisponible » lorsque les politiques et les règles du pare-feu ne sont pas appliquées au trafic pendant plus de 5 minutes.

Availability Service LevelDescription
99.95%+Achieved by limiting unavailability of the Firewall Service to less than twenty-two (22) minutes per calendar month.

Un régime de crédit de service pour la disponibilité est défini dans la [Politique produit, y compris les méthodes de calcul et les exclusions applicables.

Processus d'exécution

Lorsqu'une commande MPF est passée, l'équipe de livraison d'Equinix accompagne l'équipe demanderesse tout au long du processus de livraison pour chaque site. Le processus de livraison comprend les actions suivantes:

  • La commande est évaluée en fonction des produits connexes, y compris le nuage privé géré le cas échéant.
  • Le point de contact principal pour MPF est confirmé.
  • L'accès des utilisateurs au portail client Equinix, au portail des solutions gérées et à toutes les autorisations requises pour l'administration MPF ​​est vérifié.
  • La connectivité requise pour la protection de l'environnement est vérifiée: elle est présente et opérationnelle.
  • Il est confirmé que le principal point de contact possède des identifiants équivalents à ceux d'un administrateur.

Lors du processus d'intégration MPF, les renseignements suivants sont fournis:

  • Nom de l'organisation.
  • Un ou plusieurs comptes clients auxquels est attribué l'un des rôles définis.
  • Pare-feu configurés et livrés conformément à la conception approuvée.
  • Détails de connectivité pour Internet, les fournisseurs de services infonuagiques, la colocation et les fournisseurs WAN.
Cette page vous a-t-elle été utile ?