Services
Service standard
Le service standard comprend les éléments suivants :
- Managed Services qui consiste en une paire de pare-feu HA
- Enregistrement standard, comprenant jusqu'à 1 Go de données de journalisation par jour, un quota de données de journalisation pouvant atteindre 10 Go et une conservation pouvant aller jusqu'à 60 jours par paire de pare-feu.
- Configuration de deux interfaces réseau utilisables
- Routage par défaut : Border Gateway Protocol (BGP) ou routage statique
- Configuration du portail libre-service et d'analyse, comprenant jusqu'à trois comptes utilisateurs en lecture seule/lecture-écriture créés par Equinix.
- Accès API au portail libre-service
- Corrections et mises à jour régulières du ou des pare-feu
- Surveillance 24 heures sur 24 et 7 jours sur 7 du ou des pare-feu
- Gestion des incidents et assistance :
- Incidents de priorité 1 : 24x7
- Incidents de priorité 2 et 3 Heures ouvrables
- Demandes de service : Heures d'ouverture
- La fonctionnalité de pare-feu est incluse dans tous les abonnements. Elle offre un service de pare-feu standard qui est décrit en détail dans [Options de service] (#options de service).
Note : Le site web d'Equinix est disponible en anglais :
1 La journalisation étendue (>10GB) est proposée en option payante.
2 Si la journalisation est activée sur une politique de pare-feu, plus de journaux sont générés, et la rétention des 60 jours d'analyse par défaut et du quota de 10 Go est rapidement consommée. Ce problème peut être résolu en sélectionnant plus soigneusement les politiques pour lesquelles la journalisation est activée ou en augmentant le quota.
3 La connectivité Internet Access/WAN à double foyer nécessite plus d'interfaces.
4 En fonction du cas d'utilisation. Si le client gère lui-même le pare-feu, l'écriture en lecture est créée. Dans le cas contraire, si Equinix gère le pare-feu, le client peut obtenir un accès en lecture seule.
Variantes de service
Le service Managed Firewall est disponible dans les deux variantes suivantes :
Pare-feu géré - Virtuel (MFW-V)
Ce service repose sur une paire d'appareils virtuels actifs-passifs à haute disponibilité, installés sur la plate-forme Managed Private Cloud dans un centre IBX Equinix. Nous proposons différentes options de performances pour répondre à divers besoins en termes de débit. Cette variante de service comprend :
- Ressources vCPU, vRAM et stockage requises pour l'option de performances commandée
- Configuration des ressources
- Installation et configuration de la paire de pare-feu virtuels HA dans un IBX comme indiqué dans la commande.
- Accès au portail libre-service et au portail de l'analyseur
Pare-feu géré - Physique (MFW-P)
Ceci repose sur une paire d'appareils physiques actifs-passifs hautement disponibles, installés soit dans votre espace sous licence, soit, en option, dans l'espace sous licence Managed Solutions dans un IBX. Nous proposons différentes options de performances pour répondre à différentes exigences en matière de débit. Cette variante comprend :
- Installation et configuration de la paire de pare-feu physiques HA dans un IBX, conformément à la commande.
- Câblage physique vers les commutateurs réseau et les pare-feu (y compris la gestion, etc.)
- Accès au portail libre-service et au portail de l'analyseur
Le MFW-V est la variante la plus flexible et souvent la plus adaptée. Dans certains cas d'utilisation spécifiques, le MFW-P est une meilleure option, par exemple en raison d'un débit élevé ou d'exigences réglementaires. Hormis les performances, il n'existe que de légères différences entre les variantes de service MFW-V et MFW-P. Par conséquent, afin d'éviter toute duplication dans cette description du service, nous décrirons le service sur la base du service MFW-V et, dans la mesure du possible, toute différence avec le service MFW-P sera signalée dans le texte ou dans une note de bas de page.
Options de service
Les options de service sont des ajouts facultatifs à votre service MFW qui améliorent ses capacités.
Déploiement étendu (MFW-(V/P)-SD)
En standard, les pare-feu sont déployés en binôme haute disponibilité actif-secours dans un seul centre de données IBX, offrant une disponibilité d'au moins 99,9 %. Avec cette option, les pare-feu sont déployés en binôme haute disponibilité actif-secours dans deux centres de données IBX, offrant une disponibilité d'au moins 99,95 %.
Cette option peut être choisie pour prendre en charge les cas d'utilisation de la haute disponibilité améliorée suivants :
- Connectivité WAN double site, accès Internet ou Equinix Fabric
- MPC à deux sites
Cette option de service inclut également la connectivité réseau requise entre les deux centres de données IBX (applicable à la variante de service MFW-V).
Abonnement à la sécurité
Le Service standard est basé sur la licence Pare-feu. En option payante, la licence IPS ou l'offre groupée ATP/UTP peuvent également être sélectionnées. Ce tableau montre les différentes fonctionnalités qui sont débloquées par ces licences.
| Attribute-Code | License | Description | Functionalities |
|---|---|---|---|
| Included | FW | Standard Service | * Firewall |
| MFW-(V/P)-(size)-IPS | IPS | Intrusion Prevention Services | * Firewall * IPS |
| MFW-(V/P)-(size)-ATP | ATP | Advanced Threat Protection | * Firewall * IPS * Advanced Malware Protection Service * App Control |
| MFW-(V/P)-(size)-UTP | UTP | Unified Threat Protection | * Firewall * IPS * Advanced Malware Protection Service * App Control * Web Security |
Pare-feu
La fonctionnalité Pare-feu est incluse dans tous les abonnements et offre les fonctions et caractéristiques suivantes :
- Interfaces réseau
- Politique/règles (règles de pare-feu)
- Profils de sécurité (profils par défaut "prêts à l'emploi")
- VPN IPsec
- VPN SSL (Web & Tunnel)
- NLB (Network Load Balancing)
- Politique de déni de service (anomalies L3/4)
- Journalisation (Analyseur)
IPS
Les services de prévention des intrusions protègent contre les vulnérabilités nouvelles et existantes et détectent et bloquent les menaces connues et celles du jour zéro. Il contribue également à l'application de correctifs virtuels basés sur le réseau et détecte les logiciels malveillants cachés, les ransomwares et autres attaques transmises par HTTPS.
Service de protection avancée contre les logiciels malveillants
Antivirus, sécurité IP/domaine Botnet, sécurité mobile, Sandbox Cloud, protection contre les épidémies virales et désarmement et reconstruction de contenu.
App Control
Le contrôle des applications permet de créer rapidement des règles pour autoriser, refuser ou restreindre l'accès à des applications ou à des catégories entières d'applications.
Sécurité du Web
Le filtrage du contenu web contrôle l'accès au contenu web en bloquant les pages web contenant des mots ou des motifs spécifiques. Cela permet d'empêcher l'accès à des pages au contenu douteux. Des mots, des phrases, des motifs, des caractères génériques et des expressions régulières Perl peuvent être spécifiés pour faire correspondre le contenu des pages web.
Options de performance
Vous pouvez choisir parmi une série d'options de performance pour les variantes de service MFW-V et MFW-P, afin de sélectionner le type approprié pour le débit requis.
Options de performance du MFW-V
Les performances du pare-feu en termes de débit en Gbps dépendent de la licence sélectionnée, des ressources vRAM et vCPU attribuées aux appliances virtuelles et des fonctionnalités activées sur le pare-feu. Les options de performance vont de S à XL. Le tableau ci-dessous donne une indication des performances et des ressources requises.
| VM Resources1 | Maximum Throughput (Gbps)2 | ||||
|---|---|---|---|---|---|
| Attribute-Code | vCPU | vRAM (GB) | FW3 | IPS4 | ATP/UTP5 |
| MFW-V-S | 2 | 4 | 7 | 1.7 | 0.9 |
| MFW-V-M | 4 | 8 | 10.8 | 3.3 | 1.8 |
| MFW-V-L | 8 | 12 | 14 | 5.9 | 3.4 |
| MFW-V-XL | 16 | 16 | 15.5 | 10.1 | 6.3 |
Note : Le site web d'Equinix est disponible en anglais :
1 Les ressources VM sont incluses dans le service.
2 Le débit maximum est la quantité totale de trafic entrant et sortant ("débit") que le pare-feu peut gérer. Les valeurs affichées sont basées sur les données de test du fournisseur. La capacité maximale atteinte peut varier en fonction de l'ensemble des règles, des fonctionnalités utilisées et du trafic spécifique du client. Il s'agit d'une estimation.
3 Le débit du pare-feu a été mesuré avec des paquets UDP (512 octets).
4 Les performances de l'IPS ont été mesurées avec Enterprise Traffic Mix.
5 Les performances de la protection contre les menaces ont été mesurées avec l'IPS, le contrôle des applications et la protection contre les logiciels malveillants, sur la base du mélange de trafic d'entreprise.
Options de performance du MFW-P
Le dimensionnement du pare-feu physique peut être fourni sur demande et les hypothèses seront documentées dans le document de solutions.
Extension du stockage des journaux (MFW-LSE)
Jusqu'à 1 Go de données de journal par jour et 10 Go de stockage de données de journal sont inclus dans le service standard par paire de Managed Services Firewall. Ces données peuvent être utilisées à des fins d'analyse de la sécurité et/ou de conservation. Si un client souhaite stocker davantage de données de journalisation, il peut le commander en tant qu'option supplémentaire.
Enregistrement externe (MFW-EXL)
Par défaut, ce service enregistre les informations dans Self-Service Analyzer. Si une cible de journalisation externe est nécessaire, cette option permet de transférer les informations de Self-Service Analyzer vers un SIEM externe fourni par le client via une passerelle de journalisation gérée par Equinix. Cette option ne peut être commandée qu'en combinaison avec une passerelle de journalisation gérée par Equinix. Elle doit être commandée séparément, car elle ne fait pas partie du service Managed Firewall.
Fournisseur d'identifiant client / Authentification (MFW-CPA)
Par défaut, le client peut ajouter des utilisateurs locaux via le portail en libre-service. En option, un fournisseur d'identité externe du client (Customer Provided Authentication) peut être ajouté et utilisé pour l'authentification.
Portail dédié (MFW-DSSP/DLAP)
Portail libre-service dédié (MFW-DSSP)
- Le service standard utilise un portail central en libre-service.
- En option, un portail de gestion dédié peut être commandé. Par exemple, si des exigences non standard en matière de conformité, de législation et de réglementation, etc. sont requises et ne peuvent être satisfaites par le portail central.
- Cette option nécessite le portail d'analyse des journaux dédié.
Portail dédié à l'analyse des journaux (MFW-DLAP)
- Le service standard utilise un portail central d'analyse des journaux.
- En option, un portail dédié à l'analyse des journaux peut être commandé. Par exemple, si une conformité non standard, des lois et réglementations, ou un niveau de journalisation supérieur à celui offert par le service standard sont nécessaires et ne peuvent être fournis par le portail central.
Demandes de service
En plus du service standard et si les options de service appropriées ont été sélectionnées, les fonctionnalités/configurations suivantes peuvent être demandées soit lors de l'installation, soit via une demande de service en tant qu'option payante. Les demandes de service suivantes peuvent être commandées. Certaines sont également disponibles en libre-service :
- MFW-SR-ANW: Add/Remove Additional Network - En standard, le pare-feu est configuré avec un maximum de deux sous-réseaux. Avec cette option, des sous-réseaux supplémentaires peuvent être ajoutés, par exemple pour fournir une DMZ supplémentaire, un pare-feu entre différents niveaux ou une connexion WAN supplémentaire.
- MFW-SR-AVD: Ajouter/supprimer un VDOM supplémentaire (uniquement MFW-P) - Le pare-feu standard est configuré avec un VDOM pour l'administration et un VDOM pour le trafic (de production). Des VDOM supplémentaires peuvent être configurés pour offrir une séparation supplémentaire, par exemple, pour séparer les environnements de production, de test et de développement et/ou pour séparer les politiques Internet et WAN par pare-feu.
- MFW-SR-AU: Ajout/suppression d'un utilisateur supplémentaire sur le portail en libre-service - En standard, trois comptes utilisateur créés par Equinix sont inclus dans le service. Des comptes utilisateurs supplémentaires peuvent être créés sur demande.
- MFW-SR-SPC: Ajouter/supprimer/modifier un profil de sécurité (supplémentaire/personnel) - Création de profils de sécurité client (IPS, filtrage Web, etc.). Nécessite un abonnement valide.
- MFW-SR-S2S: Ajouter/supprimer/modifier des connexions VPN (site à site) - Pour établir une connexion sécurisée (cryptée) sur Internet entre deux emplacements ou sites via un VPN IP-SEC de passerelle à passerelle.
- MFW-SR-C2S: Ajouter/supprimer/modifier des connexions VPN (SSL) - Sécurisez l'accès des utilisateurs par Internet aux systèmes protégés par le pare-feu à l'aide d'un VPN SSL. L'authentification de l'utilisateur doit être assurée par un système administré par le client ou par un service d'assistance.
- MFW-SR-CERT: Add/Remove/Change Add SSL Certificate - Creation of a Certificate Signing Request (CSR) and implementation of the certificate.
- MFW-SR-SLB: Add/Remove/Change Server Load Balancing - Prend en charge l'équilibrage de la charge du trafic de base entre plusieurs serveurs dorsaux, sur la base de plusieurs programmes d'équilibrage de la charge, y compris : Statique (basculement), Round robin, Pondéré. Prend en charge L3 (IP), L4 (TCP/UDP), L7 (HTTP, HTTPS, SSL/TLS, IMAPS, POP3S, SMTPS). SLB décharge la plupart des versions SSL/TLS jusqu'à TLS 1.3.
- MFW-SR-DP(-E): Add/Remove/Change DoS Policy - Une politique de déni de service (DoS) peut être activée pour examiner le trafic réseau arrivant à un pare-feu à la recherche de schémas anormaux au niveau des couches 3 et 4, ce qui indique généralement une attaque. Lorsque vous sélectionnez cette option, les seuils par défaut sont configurés.
- MFW-QT-FVP: Change of Firewall Variant Performance - Option pour changer la performance de la variante.
- MFW-QT-LSE: Change of Log Storage Extension - Option permettant d'étendre le stockage standard des données de connexion. Le service standard comprend jusqu'à 1 Go de données de log par jour et 10 Go de stockage de données de log stockées à des fins d'analyse de sécurité et/ou de conservation par paire de Managed Solutions Firewall Service. Si un client souhaite stocker davantage de données de journalisation, il peut le faire en tant qu'option supplémentaire.
Certains changements peuvent être mis en œuvre en libre-service, comme indiqué dans le tableau ci-dessous, ou peuvent faire l'objet d'une demande de service auprès d'Equinix via le portail de services.
| Code | Type of Change | Self Service | Service Request | Request Type |
|---|---|---|---|---|
| MFW-SR-ANW | Add/Remove Additional Network (Interface) | - | ✓ | SR |
| MFW-SR-AVD | Add/Remove Additional VDOM (only MFW-P) | - | ✓ | SR |
| MFW-SR-AU | Add/Remove Additional User on Self-Service Portal | - | ✓ | SR |
| MFW-SR-PR | Add/Remove/Change Policy/Rule(s) (Maximum 5 rules per service request) | ✓ | ✓ | SR |
| MFW-SR-SPC | Add/Remove/Change Security Profile (Additional/Custom) (Subscription needed) | ✓ | ✓ | SR |
| MFW-SR-S2S | Add/Remove/Change VPN (IPsec/S2S) | ✓ | ✓ | SR |
| MFW-SR-C2S | Add/Remove/Change VPN (SSL) (Creation of certificate excluded) | ✓ | ✓ | SR |
| MFW-SR-CERT | Add/Remove/Change SSL Certificate | - | ✓ | SR |
| MFW-SR-SLB | Add/Remove/Change Server Load Balancing | ✓ | ✓ | SR |
| MFW-SR-DP | Add/Remove/Change DoS Policy | ✓ | ✓ | SR |
| MFW-QT-FVP | Change of Firewall Variant Performance (only MFW-V) | - | ✓1 | Quote |
| MFW-QT-LSE | Change in higher amount of log data (extensive logging) | - | ✓1 | Quote |
Note : Le site web d'Equinix est disponible en anglais :
1 Peut être demandé une fois par mois.
Si les demandes de service ne figurent pas dans le tableau ci-dessus, elles peuvent être demandées par le client en sélectionnant autre chose dans le module de demande de service. Equinix effectuera une analyse d'impact pour déterminer si le changement peut être mis en œuvre, les coûts associés et le délai d'exécution, qui sera partagée avec le demandeur pour approbation.
Démarcation des services et services habilitants
La variante de service MFW-V ne peut être commandée qu'en combinaison avec Managed Private Cloud (MPC) et agit ainsi comme un composant de sécurité dans une solution. La variante de service MFW-P ne peut être commandée que dans le cadre d'une solution gérée qui comprend MPC et/ou d'autres produits Equinix.
Equinix est seul responsable du Service Standard et de la combinaison des Options de Service telle que définie dans la ou les Commandes et les Demandes de Service ultérieures. Equinix n'est pas responsable des logiciels du client ou de la connectivité Internet du client pour gérer ou utiliser le Service.
Démarcations et services d'habilitation MFW-V
Les limites de service suivantes s'appliquent aux pare-feu virtuels :
- Interfaces de réseau logiques sur les pare-feu pour le trafic de production
- Interface utilisateur et API pour les portails de gestion et d'analyse
Option étirée MFW-V
- En plus du service MPC, le client doit avoir commandé une option de service MPC étendu en tant que service d'activation.
Démarcations et services d'habilitation MFW-P
Les interfaces réseau physiques du pare-feu constituent la démarcation du point de vue du service de pare-feu géré, y compris les câbles d'alimentation et de réseau pour se connecter à l'infrastructure d'alimentation et de réseau du client, conformément aux spécifications fournies par Equinix.
Déploiement dans l'espace sous licence du client
Un MFW-P ne peut être commandé qu'en combinaison avec les services d'appui suivants :
- Commutateur géré (au moins pour la connectivité de la console et de la gestion)
- Option de service de réseau externe MPC (si le MPC est inclus)
- Connexions croisées vers la plateforme de gestion Equinix Managed Solutions
Le client doit fournir :
- Espace et alimentation sous licence pour héberger les pare-feux dans l'IBX
- Deux PDU dans le rack du client, conformément aux spécifications fournies par Equinix.
- Ports de commutation pour connecter l'équipement Equinix conformément aux spécifications fournies par Equinix
Déploiement dans l'espace sous licence Equinix Managed Solutions
Un MFW-P ne peut être commandé qu'en combinaison avec les services d'appui suivants :
- Option de service de réseau externe MPC (si le MPC est inclus)
- Infrastructure Ports
Option étirée MFW-P
- Le client doit avoir commandé la connectivité entre les espaces sous licence du client en tant que service d'habilitation.
- Autres exigences déterminées au cas par cas.
Unités d'achat
MFW-V/MFW-P
| Attribute-Code | Description | UOM | NRC | MRC |
|---|---|---|---|---|
| MFW-(V/P)-(S,M,L,XL) | FW | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-IPS | FW + IPS | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-ATP | FW + ATP | FW pair | ✓ | ✓ |
| MFW-(V/P)-(S,M,L,XL)-UTP | FW + UTP | FW pair | ✓ | ✓ |
| MFW-SD | Stretched Deployment | FW pair | ✓ | ✓ |
| MFW-LSE | Log storage extension | FW pair | ✓ | ✓ |
| MFW-EL | External logging | FW pair | ✓ | ✓ |
| MFW-CPA | Customer Provided Authentication | FW pair | ✓ | ✓ |
| MFW-DSSP | Dedicated Self-Service Portal | Appliance | ✓ | ✓ |
| MFW-DLAP | Dedicated Log Analyzing Portal | Appliance | ✓ | ✓ |
| Premier Support Plan | Service Request Pre-Paid Hours | Hour | - | ✓ |
Note : UOM - Unité de mesure