Services
Service standard
Le service standard comprend les éléments suivants :
- Managed Services qui consiste en une paire de pare-feu HA
- Journalisation standard1, incluant jusqu'à 1 Go de données de journal par jour, jusqu'à 10 Go de quota de données de journal et jusqu'à 60 jours de conservation par paire de micrologiciels2
- Configuration de deux interfaces réseau utilisables3
- Routage par défaut : Border Gateway Protocol (BGP) ou routage statique
- Configuration du portail libre-service et d'analyse, incluant jusqu'à trois comptes utilisateurs en lecture seule/lecture-écriture créés par Equinix4
- Accès API au portail libre-service
- Corrections et mises à jour régulières du ou des pare-feu
- Surveillance 24 heures sur 24 et 7 jours sur 7 du ou des pare-feu
- Gestion des incidents et assistance :
- Incidents de priorité 1 : 24x7
- Incidents de priorité 2 et 3 Heures ouvrables
- Demandes de service : Heures d'ouverture
- La fonctionnalité de pare-feu est incluse dans tous les abonnements. Elle offre un service de pare-feu standard décrit en détail dans Options de service.
Remarque:
- L'enregistrement étendu (>10 Go) est offert en option payante.
- Si la journalisation est activée dans une règle de pare-feu, le volume de données générées augmente, et la période de conservation par défaut de 60 jours pour les analyses et le quota de 10 Go sont rapidement atteints. Pour résoudre ce problème, il est conseillé de choisir soigneusement les règles pour lesquelles la journalisation est activée ou d'augmenter le quota.
- La connectivité Internet/WAN à double connexion nécessite plus d'interfaces.
- Selon le cas d'utilisation. Si le client gère lui-même le pare-feu, un accès en lecture-écriture est créé. Sinon, si Equinix gère le pare-feu, le client a un accès en lecture seule.
Variantes de service
Le service de pare-feu géré est disponible dans les deux variantes de service suivantes:
Pare-feu géré - Virtuel (MFW-V)
Ce service repose sur une paire d'appliances virtuelles actives-passives à haute disponibilité, installées sur la plateforme de cloud privé géré d'un IBX Equinix . Nous proposons différentes options de performance pour répondre à différents besoins de débit. Cette variante de service comprend:
- vCPU, vRAM et ressources de stockage requises pour l'option de performance commandée
- Configuration des ressources
- Installation et configuration de la paire de pare-feu virtuel HA dans un IBX tel qu'indiqué dans l'ordre
- Accès au portail libre-service et au portail analyseur
Pare-feu géré - Physique (MFW-P)
Cette solution repose sur une paire d'appliances physiques actives-passives à haute disponibilité, installées soit dans votre espace sous licence, soit, en option, dans l'espace sous Managed Solutions gérées d'un IBX. Nous proposons différentes options de performance pour répondre à différents besoins de débit. Cette variante comprend:
- Installation et configuration de la paire de pare-feu physique HA dans un IBX comme indiqué dans la commande
- Câblage physique vers les commutateurs réseau et les pare-feu (y compris la gestion, etc.)
- Accès au portail libre-service et au portail analyseur
Le MFW-V est la variante la plus flexible et souvent la plus adaptée. Dans certains cas d'utilisation spécifiques, le MFW-P constitue une meilleure option, par exemple en raison d'un débit élevé ou d'exigences réglementaires. Hormis les performances, les variations entre les variantes de service MFW-V et MFW-P sont minimes. Par conséquent, afin d'éviter toute redondance dans cette description de service, nous la décrirons en nous basant sur le service MFW-V. Si le service MFW-P diffère, cela sera précisé dans le texte ou dans une note de bas de page, dans la mesure du possible.
Options de service
Les options de service sont des ajouts optionnels à votre service MFW qui améliorent ses capacités.
Déploiement étiré (MFW- (V/P) -SD)
Par défaut, les pare-feu sont déployés en paire haute disponibilité avec basculement actif dans un seul centre de données IBX, offrant une disponibilité d'au moins 99,9 %. Avec cette option, les pare-feu sont déployés en paire haute disponibilité avec basculement actif sur deux centres de données IBX, offrant une disponibilité d'au moins 99,95 %.
Cette option pourrait être sélectionnée pour prendre en charge les cas d'utilisation à haute disponibilité améliorée suivants :
- Connectivité WAN à deux sites, accès Internet ou connectivité Equinix Fabric
- MPC à deux sites
Cette option de service comprend également la connectivité réseau requise entre les deux centres de données IBX (applicable à la variante de service MFW-V).
Abonnement à la sécurité
Le service standard est basé sur la licence pare-feu. En option payante, vous pouvez aussi choisir la licence IPS ou le forfait ATP/UTP. Le tableau ci-dessous présente les différentes fonctionnalités déverrouillées par ces licences.
| Attribute-Code | License | Description | Functionalities |
|---|---|---|---|
| Included | FW | Standard Service | * Firewall |
| MFW-(V/P)-(size)-IPS | IPS | Intrusion Prevention Services | * Firewall * IPS |
| MFW-(V/P)-(size)-ATP | ATP | Advanced Threat Protection | * Firewall * IPS * Advanced Malware Protection Service * App Control |
| MFW-(V/P)-(size)-UTP | UTP | Unified Threat Protection | * Firewall * IPS * Advanced Malware Protection Service * App Control * Web Security |
Pare-feu
La fonctionnalité Pare-feu est incluse dans tous les abonnements et offre les fonctions et caractéristiques suivantes:
- Interfaces réseau
- Politiques/règles (règles de pare-feu)
- Profils de sécurité (profils « prêt à l'emploi » par défaut)
- VPN IPsec
- VPN SSL (Web et tunnel)
- NLB (Équilibrage de charge réseau)
- Politique DoS (Anomalies L3/4)
- Enregistrement (analyseur)
IPS
Les Services de prévention des intrusions protègent contre les vulnérabilités nouvelles et existantes et détectent et bloquent les menaces connues et zero-day. Il aide également à appliquer des correctifs virtuels sur le réseau et détecte les logiciels malveillants cachés, les rançongiciels et autres attaques véhiculées par HTTPS.
Service de protection avancée contre les logiciels malveillants
Antivirus, sécurité IP/domaine Botnet, sécurité mobile, Sandbox Cloud, protection contre les épidémies de virus et désarmement et reconstruction de contenu.
Contrôle par application
Le contrôle des applications permet de créer rapidement des politiques pour autoriser, refuser ou restreindre l'accès aux applications ou à des catégories entières d'applications.
Sécurité Web
Le filtrage du contenu Web contrôle l'accès au contenu Web en bloquant les pages Web contenant des mots ou des modèles spécifiques. Cela aide à empêcher l'accès aux pages contenant du matériel douteux. Des mots, des phrases, des modèles, des caractères génériques et des expressions régulières Perl peuvent être spécifiés pour correspondre au contenu des pages Web.
Options de rendement
Vous pouvez choisir parmi une gamme d'options de performance pour les variantes de service MFW-V et MFW-P, afin de sélectionner le type approprié pour le débit requis.
Options de performance du MFW-V
Les performances du pare-feu en termes de débit Gbps dépendent de la licence sélectionnée, des ressources vRAM et vCPU attribuées aux dispositifs virtuels et des fonctionnalités activées sur le pare-feu. Les options de performance vont de S à XL. Le tableau ci-dessous donne une indication du rendement et des ressources nécessaires.
| VM Resources1 | Maximum Throughput (Gbps)2 | ||||
|---|---|---|---|---|---|
| Attribute-Code | vCPU | vRAM (GB) | FW3 | IPS4 | ATP/UTP5 |
| MFW-V-S | 2 | 4 | 7 | 1.7 | 0.9 |
| MFW-V-M | 4 | 8 | 10.8 | 3.3 | 1.8 |
| MFW-V-L | 8 | 12 | 14 | 5.9 | 3.4 |
| MFW-V-XL | 16 | 16 | 15.5 | 10.1 | 6.3 |
Remarque:
1 ressource VM est incluse dans le service. 2. Le débit maximal correspond au volume total de trafic entrant et sortant (« débit ») que le pare-feu peut gérer. Les valeurs affichées sont basées sur des données de test fournies par le fournisseur. Selon les règles de configuration, les fonctionnalités utilisées et le trafic spécifique du client, la capacité maximale atteinte peut varier. Il s'agit d'une estimation. 3 Le débit du pare-feu a été mesuré avec des paquets UDP (512 octets). Les performances de 4 IPS ont été mesurées avec un mélange de trafic d'entreprise. 5 Les performances de protection contre les menaces ont été mesurées avec IPS et contrôle des applications et protection contre les logiciels malveillants, sur la base du mélange de trafic de l'entreprise.
Options de rendement du MFW-P
Le dimensionnement du pare-feu physique peut être fourni sur demande et les hypothèses seront documentées dans le document de solutions.
Extension de stockage des journaux (MFW-LSE)
Jusqu'à 1 Go de données de journal par jour et 10 Go de stockage de données de journal sont inclus dans le service standard par paire de services de pare-feu gérés. Ces données de journal peuvent être utilisées à des fins d'analyse de sécurité et/ou de conservation. Si un client souhaite stocker plus de données de journal, cette option peut être commandée comme option supplémentaire.
Enregistrement externe (MFW-EXL)
Par défaut, ce service enregistre les journaux dans l'analyseur libre-service. Si une cible de journal externe est nécessaire, cette option alimente un SIEM externe fourni par le client depuis l'analyseur libre-service via une passerelle de journaux gérée par Equinix . Cette option ne peut être commandée qu'avec une passerelle de journaux gérée par Equinix . Elle doit être commandée séparément, car elle ne fait pas partie du service de pare-feu géré.
Fournisseur d'identification/authentification du client (MFW-CPA)
Par défaut, le client peut ajouter des utilisateurs locaux via le portail libre-service. En option, un fournisseur d'identité client externe (authentification fournie par le client) peut être ajouté et utilisé pour l'authentification.
Portail dédié (MFW-DSSP/DLAP)
Portail libre-service dédié (MFW-DSSP)
- Le service standard utilise un portail libre-service central.
- En option, un portail de gestion dédié peut être commandé. Par exemple, si des exigences de conformité, des lois et réglementations non standard, etc., sont requises et ne peuvent être prises en charge via le portail central.
- Cette option nécessite le portail dédié à l'analyse des journaux.
Portail consacré à l'analyse des journaux (MFW-DLAP)
- Le service standard utilise un portail central d'analyse des journaux.
- Un portail d'analyse des journaux dédié peut être commandé en option. Par exemple, si des exigences de conformité, des lois et réglementations non standard, ou si une journalisation supérieure à celle offerte par le service standard, etc., sont requises et ne peuvent être prises en charge par le portail central.
Demandes de service
En plus du service standard et si les options appropriées ont été sélectionnées, les fonctionnalités/configurations suivantes peuvent être demandées lors de l'installation ou via une demande de service (option payante). Les demandes de service suivantes peuvent être commandées. Certaines sont également disponibles en libre-service:
- MFW-SR-ANW: Ajout/Suppression de réseau supplémentaire – Par défaut, le pare-feu est configuré avec jusqu’à deux sous-réseaux. Cette option permet d’ajouter des sous-réseaux supplémentaires, par exemple pour créer une DMZ additionnelle, assurer la séparation entre différents niveaux de pare-feu ou ajouter une connexion WAN.
- MFW-SR-AVD: Ajout/Suppression de VDOM supplémentaires (MFW-P uniquement) – Le pare-feu standard est configuré avec un VDOM pour l’administration et un autre pour le trafic de production. Des VDOM supplémentaires peuvent être configurés pour une meilleure séparation, par exemple pour séparer les environnements de production, de test et de développement, et/ou pour appliquer des politiques distinctes aux flux Internet et WAN par pare-feu.
- MFW-SR-AU: Ajout/Suppression d’utilisateurs supplémentaires sur le portail libre-service – Par défaut, trois comptes utilisateurs créés par Equinix sont inclus dans le service. Des comptes supplémentaires peuvent être créés sur demande.
- MFW-SR-SPC: Ajouter/Supprimer/Modifier un profil de sécurité (supplémentaire/personnalisé) – Création de profils de sécurité client (IPS, filtrage Web, etc.). Nécessite un abonnement valide.
- MFW-SR-S2S: Ajouter/Supprimer/Modifier des connexions VPN (site à site) – Pour établir une connexion sécurisée (cryptée) sur Internet entre deux emplacements ou sites via un VPN IP-SEC de passerelle à passerelle.
- MFW-SR-C2S: Ajout/Suppression/Modification de connexions VPN (SSL) – Sécurisez l’accès des utilisateurs par Internet aux systèmes protégés par pare-feu à l’aide d’un VPN SSL. L’authentification des utilisateurs doit être assurée par un système administré par le client ou un service d’assistance.
- MFW-SR-CERT: Ajouter/Supprimer/Modifier Ajouter un certificat SSL – Création d’une demande de signature de certificat (CSR) et mise en œuvre du certificat.
- MFW-SR-SLB: Gestion de l’équilibrage de charge serveur (ajout, suppression, modification) – Prend en charge l’équilibrage de charge de base du trafic entre plusieurs serveurs backend, selon différents modèles: statique (basculement), round robin et pondéré. Compatible avec les protocoles L3 (IP), L4 (TCP/UDP) et L7 (HTTP, HTTPS, SSL/TLS, IMAPS, POP3S et SMTPS). L’équilibrage de charge prend en charge la plupart des versions SSL/TLS jusqu’à TLS 1.3.
- MFW-SR-DP(-E): Ajouter/Supprimer/Modifier la politique de protection contre les attaques par déni de service (DoS) – Une politique de protection contre les attaques par déni de service (DoS) peut être activée afin d’analyser le trafic réseau arrivant au pare-feu et de détecter les anomalies aux couches 3 et 4, généralement synonymes d’attaque. Lorsque cette option est sélectionnée, les seuils par défaut sont configurés.
- MFW-QT-FVP: Modification des performances de la variante du pare-feu – Option permettant de modifier les performances de la variante.
- MFW-QT-LSE: Extension du stockage des journaux – Option permettant d’étendre le stockage standard des données de journalisation. Le service standard inclut jusqu’à 1 Go de données de journalisation par jour et 10 Go de stockage pour l’analyse de sécurité et/ou la conservation des données par paire de pare-feu gérés. Si un client souhaite stocker plus de données de journalisation, cette option peut être commandée en supplément.
Certains changements peuvent être mis en œuvre en libre-service, comme indiqué dans le tableau ci-dessous, ou peuvent faire l'objet d'une demande de service auprès d'Equinix via le portail de services.
| Code | Type of Change | Self Service | Service Request | Request Type |
|---|---|---|---|---|
| MFW-SR-ANW | Add/Remove Additional Network (Interface) | - | ✓ | SR |
| MFW-SR-AVD | Add/Remove Additional VDOM (only MFW-P) | - | ✓ | SR |
| MFW-SR-AU | Add/Remove Additional User on Self-Service Portal | - | ✓ | SR |
| MFW-SR-PR | Add/Remove/Change Policy/Rule(s) (Maximum 5 rules per service request) | ✓ | ✓ | SR |
| MFW-SR-SPC | Add/Remove/Change Security Profile (Additional/Custom) (Subscription needed) | ✓ | ✓ | SR |
| MFW-SR-S2S | Add/Remove/Change VPN (IPsec/S2S) | ✓ | ✓ | SR |
| MFW-SR-C2S | Add/Remove/Change VPN (SSL) (Creation of certificate excluded) | ✓ | ✓ | SR |
| MFW-SR-CERT | Add/Remove/Change SSL Certificate | - | ✓ | SR |
| MFW-SR-SLB | Add/Remove/Change Server Load Balancing | ✓ | ✓ | SR |
| MFW-SR-DP | Add/Remove/Change DoS Policy | ✓ | ✓ | SR |
| MFW-QT-FVP | Change of Firewall Variant Performance (only MFW-V) | - | ✓1 | Quote |
| MFW-QT-LSE | Change in higher amount of log data (extensive logging) | - | ✓1 | Quote |
Remarque:
1 Peut être demandé une fois par mois.
Si les demandes de service ne figurent pas dans le tableau ci-dessus, elles peuvent être demandées par le client en sélectionnant autre chose dans le module de demande de service. Equinix effectuera une analyse d'impact pour déterminer si le changement peut être mis en œuvre, les coûts associés et le délai d'exécution, qui sera partagée avec le demandeur pour approbation.
Démarcation des services et services habilitants
La variante de service MFW-V ne peut être commandée qu'avec le Cloud Privé Géré (MPC) et constitue ainsi un composant de sécurité au sein d'une solution. La variante de service MFW-P ne peut être commandée que dans le cadre d'une solution gérée incluant MPC et/ou d'autres produits Equinix .
Equinix est seul responsable du Service Standard et de la combinaison d'Options de Service, telles que définies dans la ou les Commandes et les Demandes de Service ultérieures. Equinix n'est pas responsable des logiciels clients ni de la connectivité Internet nécessaire à la gestion ou à l'utilisation du Service.
Délimitation MFW-V et services habilitants
Pour les pare-feu virtuels, les limites de service suivantes s'appliquent :
- Interfaces réseau logiques sur les pare-feu pour le trafic de production
- Interface utilisateur et API pour les portails Management et Analyzer
Option étirée MFW-V
- En plus du service MPC, le client doit avoir commandé une option de service MPC étendu en tant que service d'activation.
Délimitation MFW-P et services habilitants
Les interfaces réseau physiques sur le pare-feu constituent la démarcation du point de vue du service de pare-feu géré, y compris les câbles d'alimentation et de réseau pour se connecter à l'alimentation et à l'infrastructure réseau du client conformément aux spécifications fournies par Equinix.
Déploiement dans l'espace sous licence du client
Un MFW-P ne peut être commandé qu'en combinaison avec les services habilitants suivants :
- Commutateur géré (au moins pour la connectivité de la console et de la gestion)
- Option de service réseau externe MPC (si MPC est inclus)
- Cross Connects à la plateforme de gestion des Equinix Managed Solutions
Le client doit fournir:
- Espace sous licence et puissance pour héberger les pare-feu dans l'IBX
- Deux PDU dans le rack client selon les spécifications fournies par Equinix
- Ports de commutation pour connecter l'équipement Equinix conformément aux spécifications fournies par Equinix
Déploiement dans l'espace sous licence des solutions gérées Equinix
Un MFW-P ne peut être commandé qu'en combinaison avec les services habilitants suivants :
- Option de service réseau externe MPC (si MPC est inclus)
- Ports d'infrastructure
Option étirée MFW-P
- Le client doit avoir commandé la connectivité entre l'espace sous licence du client en tant que service habilitant.
- Autres exigences déterminées individuellement au cas par cas.
Unités d'achat
MFW-V/MFW-P
| Attribute-Code | Description | UOM | NRC | MRC |
|---|---|---|---|---|
| MFW-(V/P)-(S,M,L,XL) | FW | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-IPS | FW + IPS | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-ATP | FW + ATP | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-UTP | FW + UTP | FW pair | ✓ | ✓ |
| MFW-SD | Stretched Deployment | FW pair | ✓ | ✓ |
| MFW-LSE | Log storage extension | FW pair | ✓ | ✓ |
| MFW-EL | External logging | FW pair | ✓ | ✓ |
| MFW-CPA | Customer Provided Authentication | FW pair | ✓ | ✓ |
| MFW-DSSP | Dedicated Self-Service Portal | Appliance | ✓ | ✓ |
| MFW-DLAP | Dedicated Log Analyzing Portal | Appliance | ✓ | ✓ |
| Premier Support Plan | Service Request Pre-Paid Hours | Hour | - | ✓ |
Remarque: UOM – Unité de mesure