Skip to main content

Sécurité de la plate-forme

Cet article présente les politiques et procédures suivies par Equinix pour protéger votre matériel et vos données.

Les équipes et programmes suivants examinent, évaluent et améliorent les pratiques d'Equinix en matière de sécurité :

  1. Audits et conformité - Nous nous conformons formellement à diverses normes industrielles, telles que ISO 27001, SSAE16 et PCI DSS. Les attestations d'audit et les certificats sont fournis par des auditeurs tiers qualifiés. Ces auditeurs coordonnent les activités avec diverses équipes commerciales et technologiques telles que les services d'assurance commerciale, l'audit interne et les opérations.

  2. Équipe chargée de la sécurité de l'information - Travaillant en étroite collaboration avec l'organisation juridique, cette équipe est chargée de suivre les directives mondiales et celles de l'unité opérationnelle afin d'assurer la conformité avec les lois et réglementations locales et fédérales.

  3. Politiques de sécurité de l'information - L'équipe chargée de la sécurité de l'information gère et applique un ensemble complet d'informations internes confidentielles qui sont examinées et approuvées par la direction générale. Cette équipe veille à ce que les politiques internes aient une portée mondiale, en mettant l'accent sur les lois, les réglementations et les exigences commerciales propres à chaque pays et à chaque région.

    Les domaines couverts par ces politiques de sécurité interne sont les suivants

    • Utilisation acceptable de la technologie
    • Anti-virus et logiciels malveillants
    • Sauvegarde et conservation des données
    • Classification, étiquetage et traitement des données
    • Accès logique
    • Mots de passe
    • Gestion des correctifs
    • Appareils mobiles
    • Ordinateurs personnels
    • Accès à distance et VPN
    • Médias sociaux
note

Ces politiques internes sont rigoureusement appliquées. Elles font l'objet d'une révision annuelle afin d'en vérifier la pertinence et l'exactitude. De nouvelles politiques sont introduites si nécessaire.

Sécurité des services de la Fabric Equinix

Séparation du trafic

La Fabric utilise une technologie éprouvée pour assurer la séparation du trafic entre les clients. MPLS L3VPNs (VRFs) et EVPN L2 instances par client ou connexion client. Tout cela est provisionné à l'aide d'une configuration automatisée et sans aucun changement de configuration, aucune donnée n'est disponible en dehors des connexions Fabric du client. Tous les changements de configuration (aussi bien automatisés que manuels en cas de diagnostic de défaillance) sont enregistrés et surveillés pour détecter les anomalies. La configuration active de tous les dispositifs du réseau est constamment comparée à la configuration enregistrée et toute anomalie est signalée et corrigée.

Propriété et cryptage du trafic

Toutes les données transportées sur la plate-forme Fabric appartiennent au client et, comme Equinix n'a aucun moyen de savoir quelles données sont transportées et à quels cadres réglementaires ces données sont soumises, Equinix ne donne pas de conseils sur la manière de crypter les données transportées. Il incombe au client de traiter les données en transit conformément à ses exigences réglementaires. Equinix n'a déployé aucun mécanisme pour surveiller ou intervenir sur le trafic acheminé par les connexions Fabric.

Interfaces de gestion

Toutes les interfaces de gestion des dispositifs de réseau qui font partie de la plateforme Fabric sont connectées à notre infrastructure de gestion interne et aucune interface de gestion n'est exposée ou connectée à Internet.

Sécurité informatique des entreprises Equinix

  • Pare-feux Internet - Equinix déploie des pare-feux de nouvelle génération qui offrent des fonctions d'antivirus, de détection et de prévention des intrusions, de filtrage des URL et de contrôle des applications. Les événements détectés par les pare-feux sont introduits dans un système global de gestion des incidents et des événements de sécurité (SIEM).
  • Courrier électronique - Une passerelle antivirus et antispam assure la défense contre les menaces provenant du courrier électronique.

Ordinateurs de bureau et portables du personnel d'Equinix

  • Durcissement - Les ordinateurs de bureau et les ordinateurs portables d'Equinix sont durcis. Les directives et les normes de durcissement d'Equinix sont documentées et appliquées lors de la construction des systèmes.
  • Anti-virus et logiciels malveillants - Les ordinateurs de bureau et portables Windows et Mac doivent être équipés d'un logiciel anti-virus et anti logiciels malveillants offrant une protection par balayage en temps réel des fichiers et des applications. Les fichiers infectés sont mis en quarantaine.
  • Contrôle à distance - Une technologie de contrôle à distance sécurisée est utilisée pour aider le personnel en cas de problèmes techniques.
  • Accès à distance VPN - Les membres du personnel qui accèdent à distance aux réseaux ou systèmes d'entreprise d'Equinix doivent utiliser des solutions d'accès à distance et VPN fournies par l'entreprise, avec une authentification à deux facteurs. Les systèmes clients se connectant aux serveurs de bureau à distance doivent être attribués et contrôlés par le service informatique de l'entreprise.
  • WiFi - Les réseaux WiFi sont séparés des réseaux d'entreprise d'Equinix. Un utilisateur connecté au WiFi peut accéder au réseau d'entreprise par le biais d'un VPN d'accès à distance.

Serveurs d'entreprise Equinix

  • Durcissement - Les directives et les normes de durcissement d'Equinix sont documentées et appliquées lors de la construction des systèmes.
  • Anti-virus et logiciels malveillants - Les serveurs Windows doivent exécuter des logiciels anti-virus et anti logiciels malveillants offrant une protection par analyse en temps réel des fichiers et des applications. Les fichiers infectés sont mis en quarantaine.
  • Analyses - Des analyses de vulnérabilité sont effectuées en interne chaque semaine et à la demande. Les applications doivent être soumises à des analyses complètes de vulnérabilité et de sécurité avant d'être mises à la disposition du public.
  • Journalisation - Les accès réussis ou non aux systèmes sont journalisés à des fins d'analyse. L'utilitaire standard SUDO est utilisé sur les systèmes UNIX. Les journaux sont introduits dans un SIEM et conservés pendant au moins 90 jours.

Sécurité physique du centre de données IBX

La sécurité physique de chaque centre de données IBX est une priorité opérationnelle élevée. Chaque centre de données utilise un ensemble d'équipements, de techniques et de procédures de sécurité pour surveiller l'installation et pour contrôler et enregistrer l'accès.

  • Accès - Le sous-système de contrôle d'accès permet aux utilisateurs autorisés de pénétrer dans le bâtiment et dans l'installation. Les dispositifs de sécurité biométriques, les cartes de proximité et d'autres technologies identifient les utilisateurs dans le système de contrôle d'accès et, après authentification, permettent aux contacts de naviguer dans l'IBX comme ils en ont l'autorisation.

  • Surveillance des alarmes et détection des intrusions - Le sous-système de surveillance des alarmes et de détection des intrusions surveille l'état de divers dispositifs associés au système de sécurité. Les dispositifs de surveillance comprennent les interrupteurs de position de porte, les détecteurs de bris de verre, les détecteurs de mouvement et les interrupteurs d'autoprotection. Si l'état d'un dispositif change par rapport à son état de sécurité, une alarme est activée, l'événement est enregistré et des mesures appropriées sont prises.

  • CCTV - Le sous-système de télévision en circuit fermé permet l'affichage, le contrôle, l'enregistrement et la lecture de vidéos en direct à partir de caméras situées dans l'ensemble de l'établissement, ainsi qu'à l'extérieur de l'établissement lorsque la loi l'autorise. Ce système est intégré au sous-système de surveillance des alarmes et de détection des intrusions, de sorte qu'en cas d'alarme, les caméras s'affichent automatiquement pour visualiser l'événement en temps réel.

    note

    La vidéosurveillance fonctionne et enregistre 24 heures sur 24, 7 jours sur 7 et 365 jours par an.

  • Sous-système d'interphone audio et de radio bidirectionnelle - Le sous-système d'interphone audio assure les communications bidirectionnelles entre les visiteurs de l'établissement et l'agent de sécurité. Le sous-système radio bidirectionnel assure également les communications entre le gardien du hall d'entrée et le gardien de patrouille.

  • Tests d'intrusion - Des tests d'intrusion sont effectués périodiquement sans que le personnel du site en soit averti à l'avance.

  • Personnel de sécurité - Embauche et formation - Equinix fait appel à des fournisseurs et partenaires de premier plan pour gérer l'infrastructure physique de chaque centre de données IBX. Le personnel de sécurité fait l'objet d'une vérification de ses antécédents et de son casier judiciaire, et est tenu de suivre une formation à la sécurité lors de son embauche et périodiquement par la suite.

  • Protocoles d'urgence pour les clients et les visiteurs - En cas d'urgence, le personnel du centre de données IBX donne des instructions. Les clients et autres visiteurs sur les lieux sont tenus de suivre toutes les instructions données.

  • Enregistrement vidéo et photographie - Pour protéger l'installation et préserver l'anonymat de tous les clients du centre de données IBX, aucune photographie ou vidéographie n'est autorisée dans le centre de données IBX. Les clients disposant de cages sous licence peuvent demander des photographies de leurs cages et de leur équipement lorsqu'ils planifient une visite.

    note

    Toute photographie nécessite la présence d'un technicien d'Equinix.

  • Suivi des actifs - Les clients et leurs fournisseurs, entrepreneurs et sous-traitants livrent et retirent souvent des équipements d'un centre de données IBX en passant par le hall d'entrée. Les règles suivantes s'appliquent au suivi des équipements :

    • Les sacs et objets portés à la main peuvent faire l'objet d'une fouille dans la mesure où la loi le permet.
    • Les équipements retirés d'un centre de données IBX qui n'ont pas été apportés ce jour-là doivent être répertoriés sur le ticket de service en tant qu'équipements pouvant être retirés. La description des articles doit être claire pour permettre une identification précise de l'équipement.
    • Les équipements expédiés vers et depuis le centre sont traités par le service d'expédition et de réception, qui est séparé de la zone de colocalisation. Les clients doivent ouvrir un ticket de demande de service d'expédition pour recevoir du matériel.

  • Signalisation des cages - Equinix a pour politique de ne pas divulguer l'emplacement physique des cages de ses clients. Toutefois, les clients peuvent apposer des affiches sur les cages avec l'accord d'Equinix.

    note

    Les panneaux de cage sont limités aux cages privées et ne peuvent pas être utilisés dans les cages partagées ou les espaces revendeurs.

Entrées et sorties des visiteurs

  • Enregistrement - Tous les visiteurs entrant dans un centre de données IBX sont tenus de s'enregistrer via l'application mobile Customer Portal ou le kiosque situé dans le hall de sécurité. Tous les visiteurs devront se rendre au guichet de sécurité et présenter leur pièce d'identité délivrée par le gouvernement à l'agent de sécurité en service.

  • Biométrie - Un minimum de deux facteurs d'authentification tels que la biométrie et une carte de proximité sont nécessaires pour obtenir l'accès physique à un centre de données IBX. Ceci s'applique aux visiteurs et à tout le personnel du centre de données IBX.

  • Check-out - Tous les visiteurs peuvent utiliser l'application mobile du portail client Equinix ou le kiosque pour quitter l'IBX une fois leur visite terminée.

  • Privilèges d'accès - L'accès à IBX est accordé et maintenu par l'administrateur du portail client Equinix de votre société.

Permissions et rôles accordés par l'administrateur

Un administrateur client du portail client Equinix accorde à des personnes une ou plusieurs des autorisations de site suivantes au niveau du centre de données IBX ou de la cage :

  • Accès physique (invité non inscrit) - Un administrateur doit ouvrir une visite de travail pour permettre à un invité non inscrit d'entrer dans un centre de données IBX.

  • Accès à l'IBX/à la cage - Permet un accès sans escorte au centre de données de l'IBX sans visites d'ouverture, l'inscription au système de contrôle d'accès se fera lors de la première visite à l'IBX.

  • Supprimer l'accès - Supprime le(s) espace(s) sous licence ou le(s) centre(s) de données IBX dans son(leur) intégralité des contacts, selon les besoins.

  • Remove equipment - Autorise les personnes ayant un accès non accompagné au centre de données IBX à retirer du matériel de l'installation sans ticket sortant. Pour plus d'informations, voir Envois sortants d'un IBX.

  • Amener des invités - Autorise une personne ayant un accès sans escorte au centre de données IBX à amener des invités non enregistrés dans l'installation sans visite de travail.

    note

    Tous les invités entrant dans l'IBX doivent présenter une pièce d'identité valide délivrée par le gouvernement au service de sécurité.

    Si vous avez besoin d'aide pour localiser l'administrateur du portail de votre entreprise, consultez Localiser les administrateurs de votre entreprise

Privilèges de commande au niveau du centre de données IBX ou de la cage

  • Services de base - Octroi de privilèges de commande pour les visites de travail, les visites guidées, les salles de conférence et les scanners manuels.
  • Liaisons transversales - Accorde des privilèges de commande pour l'installation et la désinstallation de liaisons transversales.
  • Smart Hands - Accorde des privilèges de commande pour soumettre des Smart Hands et des tickets de demande de service.
  • Consulter l'historique des tickets de demande de service - Permet de consulter l'historique des commandes.

Envois

Tous les envois entrants et sortants doivent être planifiés à l'avance en ouvrant un ticket de demande de service ou en appelant Equinix directement. Les envois non programmés sont refusés.

Contrôle

Un système global surveille l'état des serveurs et de l'infrastructure de l'entreprise. Des alertes sont automatiquement générées et introduites dans un système SIEM.

Opérations

Équipe de gouvernance de la sécurité du centre de données IBX

L'équipe de gouvernance de la sécurité de Cloud Exchange est chargée de promouvoir la sensibilisation et la conformité aux politiques, procédures et normes de sécurité internes applicables aux déploiements d'Equinix Fabric.

Maintenance contrôlée

Les modifications de routine, d'urgence et de configuration apportées à l'infrastructure du réseau de services Equinix Infrastructure Services sont autorisées, enregistrées, testées, approuvées et documentées.

Demandes de modification

Les demandes de changement sont des documents formels archivés qui décrivent les modifications apportées à tout aspect de la Fabric d'Equinix ayant un impact sur le client.

Commission d'examen des modifications

Le comité de révision des modifications se réunit une fois par semaine pour examiner les documents de demande de modification. Il est composé des parties prenantes appropriées, notamment des experts des équipes techniques, des équipes de mise en production et des équipes de gestion de projet. Il classe les demandes de modification par ordre de priorité et leur assigne des délais spécifiques.

Modifier le retour en arrière

Les demandes de changement doivent inclure des plans de retour en arrière, au cas où le changement aurait un impact négatif sur l'environnement de production.

Gestion des problèmes

Les problèmes sont gérés et suivis de manière formelle, de la détection à la résolution, à l'aide d'un système de tickets.

Escalades

Des politiques et des processus opérationnels publiés sont en place pour les procédures d'escalade en contact avec les clients.

Sécurité du réseau Equinix Fabric Service

Bastion

L'accès administratif au réseau de service de la Fabric d'Equinix n'est possible que par l'intermédiaire d'un hôte bastion.

Authentification, autorisation et comptabilité (AAA)

Les appareils du réseau de services Equinix Fabric utilisent TACACS+ pour les services AAA. Les membres du personnel chargés de l'administration du réseau de services Equinix Fabric se voient accorder un accès basé sur le modèle du moindre privilège, leurs droits d'accès correspondant à leur fonction. Les tentatives d'accès aux dispositifs du réseau, réussies ou non, sont enregistrées à des fins d'analyse et d'alarme.

Outils de gestion

Les outils de gestion des services sont soumis aux contrôles AAA. Les configurations qu'ils régissent font l'objet d'un contrôle des révisions, sont horodatées et enregistrées.

Plan de gestion des équipements de réseau

Les contrôles du plan de gestion comprennent l'utilisation de services AAA. Les sessions d'administration à distance sont cryptées à l'aide de SSH et sont interrompues après une période d'inactivité appropriée. Les accès de l'administrateur et les changements de configuration sont enregistrés. Les listes de contrôle d'accès (ACL) limitent le trafic aux adresses IP source et destination requises. Les configurations par défaut des fournisseurs sont modifiées conformément aux recommandations de sécurité du fabricant.

Plan de contrôle des dispositifs du réseau

Les contrôles du plan de contrôle comprennent la limitation du débit du trafic destiné à l'appareil lui-même (ICMP, ARP, BGP, SSH, SNMP) et aux principaux protocoles d'application tels que le DNS afin de se défendre contre les attaques par déni de service. Le trafic en provenance et à destination de réseaux non autorisés et non valides est bloqué. L'authentification MD5 est utilisée pour les échanges de messages et les mises à jour de protocoles (IGP/LDP/BGP).

Dispositif de réseau Plan de transfert

Les plans d'acheminement des clients sont isolés dans leurs propres tables de routage et d'acheminement virtuels (VRF) et dans les réseaux privés virtuels (VPN) de couches 2 et 3. Les limites maximales de préfixes BGP et les limites du nombre maximal d'adresses physiques (MAC) sont utilisées pour protéger les ressources et se défendre contre les attaques par déni de service.

Portail client et interfaces de programmation d'applications (API)

Identity Access Management

Equinix fournit à ses clients des capacités de gestion des identités limitées au champ d'application du portail client d'Equinix et du portail Cloud Exchange. Dans le cadre du processus d'approvisionnement, Equinix crée un compte d'administrateur principal pour le client. L'administrateur principal peut ensuite créer, modifier, désactiver et supprimer des comptes d'utilisateur client selon les besoins, y compris d'autres administrateurs principaux. Les administrateurs principaux attribuent des rôles et des privilèges aux comptes utilisateurs des clients en fonction des besoins de ces derniers. Bien que les fournisseurs de services en nuage puissent proposer leurs propres systèmes d'Identity & Access Management, ils sont distincts de ceux proposés par Equinix.

Interfaces de programmation d'applications (API)

Equinix propose une API Equinix Fabric dont les fonctionnalités comprennent la récupération d'informations sur les ports et les connexions virtuelles Equinix Fabric et l'exécution d'opérations sur ces ports et connexions. L'authentification et l'autorisation sont réalisées à l'aide de la norme OAuth 2.0. Bien que les fournisseurs de services cloud puissent proposer leurs propres API, celles-ci sont distinctes de celles proposées par Equinix.

Accès aux données des clients

Equinix n'accède pas et n'accèdera pas aux données de transit des clients d'Equinix Fabric, qu'elles soient en mouvement ou au repos. Des contrôles physiques et logiques empêchent, surveillent et détectent tout accès ou tentative d'accès non autorisé aux données de transit des clients.

Sécurité des données, cycle de vie de l'information, chiffrement et gestion des clés

Equinix Fabric fournit une connectivité réseau directe entre les clients du cloud et les fournisseurs de services cloud sans accéder aux données, les inspecter, les manipuler ou les copier. Les clients sont responsables de la sécurisation de tous les aspects des données transitant par Equinix Fabric conformément à leurs besoins en matière de sécurité, à leurs politiques et à toutes les exigences réglementaires et/ou légales applicables.

Cette page vous a-t-elle été utile ?