平台安全与加固
本文概述了 Equinix 为保护您的设备和数据所遵循的政策和程序。
以下团队和项目审查、评估并加强 Equinix 的安全实践。
- 审核与合规 – 我们正式遵守各项行业标准,例如 ISO 27001、SSAE16 和 PCI DSS。审核证明和证书由合格的第三方审核员提供。这些审核员与业务保障服务、内部审计和运营等各个业务和技术团队协调合作。
- 信息安全团队 – 该团队与法务部门密切合作,负责遵循全球和业务部门的指导方针,以帮助确保遵守当地和联邦法律法规。
- 信息安全策略 – 信息安全团队负责管理和执行一套全面的内部机密信息策略,该策略经高级管理层审核和批准。该团队确保内部策略具有全球适用性,并特别关注特定国家和地区的法律、法规和业务需求。
这些内部安全政策所涵盖的领域包括。
* 可接受的技术使用
* 反病毒和恶意软件
* 数据备份和保留
* Data classification, labeling, and handling
* 逻辑访问
* 密码
* 补丁管理
* 移动设备
* 个人电脑
* 远程访问和VPN
* 社交媒体
这些内部政策得到严格执行。我们每年都会对它们进行审查,以确保其持续的相关性和准确性。我们会根据需要引入新政策。
Equinix Fabric 服务安全
流量分离
Fabric使用成熟的技术来确保客户之间的流量分离。每个客户或客户连接的MPLS L3VPNs(VRFs)和EVPN L2实例。这都是使用自动配置的,如果没有任何配置变化,在客户的Fabric连接之外就没有数据。所有的配置变化(包括自动配置和故障诊断时的手动配置)都被记录下来,并监测异常情况。所有网络设备中的活动配置不断与记录中的配置进行比较,任何异常情况都会被报告和纠正。
流量所有权和加密
在 Fabric 平台上传输的所有数据均由客户拥有,由于 Equinix 无法知道传输的是什么数据以及该数据受哪些监管框架的约束,因此 Equinix 不提供关于如何对传输数据进行加密的建议。按照客户的监管要求处理传输中的数据是客户的责任。Equinix 没有部署任何机制来监控或干预通过 Fabric 连接进行的流量
管理接口
作为Fabric平台一部分的网络设备的所有管理接口都连接到我们的内部管理基础设施,没有管理接口暴露在互联网上或连接到互联网。
企业IT安全
- 互联网防火墙Equinix部署了下一代防火墙,提供防病毒、入侵检测和防御、URL 过滤以及应用程序控制等功能。防火墙检测到的事件会被输入到全球安全事件和事件管理 (SIEM) 系统中。
- 电子邮件——防病毒和反垃圾邮件网关可防御通过电子邮件发起的威胁。
Equinix人员台式机和笔记本电脑
- 强化 – Equinix台式Equinix和笔记本电脑均经过强化。Equinix 强化指南和标准已记录在案,并在系统构建过程中严格执行。
- 防病毒和恶意软件 – Windows 和 Mac 台式机及笔记本电脑必须运行防病毒和防恶意软件,该软件具有实时扫描保护文件和应用程序的功能。受感染的文件将被隔离。
- 远程控制——使用安全的远程控制技术协助员工解决技术问题。
- 远程访问 VPN – 远程访问Equinix公司网络或系统的员工必须使用公司提供的远程访问和 VPN 解决方案,并采用双因素身份验证。连接到远程桌面服务器的客户端系统必须由公司 IT 部门分配和控制。
- WiFi – WiFi 网络与Equinix企业网络隔离。连接到 WiFi 的用户可以通过远程访问 VPN 访问企业网络。
Equinix企业服务器
- 强化Equinix强化指南和标准在系统构建期间记录并执行。
- 防病毒和恶意软件 - Windows 服务器需要运行防病毒和防恶意软件,该软件具有对文件和应用程序进行实时扫描保护的功能。受感染的文件将被隔离。
- 扫描 – 漏洞扫描每周在内部按需执行。应用程序必须通过全面的漏洞和应用程序安全扫描才能向公众发布。
- 日志记录 – 成功和失败的系统访问都会被记录下来以供分析。在 UNIX 系统上使用行业标准的 SUDO 实用程序。日志会被输入到 SIEM 中,并至少保留 90 天。
IBX 数据中心实体安全
每个IBX数据中心的实体安全都是运营的重中之重。每个数据中心都使用一系列安全设备、技术和程序来监控设施,并控制和记录访问。
-
访问——访问控制子系统允许授权用户进入建筑物内部和设施内。生物识别手掌几何形状或指纹读取器、感应卡和其他技术允许用户向系统进行身份验证,并在身份验证后获得设施内特定区域的访问权限。
-
报警监控和入侵检测——报警监控和入侵检测子系统监控与安防系统相关的各种设备的状态。这些设备包括报警触点、玻璃破碎探测器、运动探测器和防篡改开关。如果任何设备的状态偏离其安全状态,则会触发警报,记录事件并采取适当的措施。
-
CCTV——闭路电视子系统提供设施内以及法律允许的设施外部摄像机的实时视频的显示、控制、录制和回放。该系统与报警监控和入侵检测子系统集成,因此在发生报警时,可以启动摄像机记录事件。
注意闭路电视每天24小时都在运行。
-
音频对讲和双向无线电子系统——音频对讲子系统为设施访客和安保人员提供双向通信。双向无线电子系统还为前厅保安和巡逻保安提供通信。
-
入侵测试——入侵测试定期进行,无需提前向现场工作人员发出警告。
-
安保人员——招聘和培训Equinix利用行业领先的供应商和合作伙伴来帮助管理每个IBX数据中心的物理基础设施。安保人员必须接受背景调查和犯罪记录审查,并在登录时以及登录后定期接受安全培训。
-
客户和访客紧急情况处理方案 – 紧急情况下, IBX数据中心工作人员将提供指导。客户和其他访客必须遵守所有指示。
-
录像和摄影 - 为了保障设施安全并保护所有IBX数据中心客户的隐私, IBX数据中心内禁止拍照或摄像。持有机笼许可证的客户可以在预约参观时申请拍摄机笼及其设备的照片。
注意任何摄影都需要Equinix技术人员在场。
-
资产追踪——客户及其供应商、承包商和分包商通常通过大厅向IBX数据中心交付和移除设备。资产追踪适用以下规则:
- 在法律允许的情况下,手提的袋子和物品要接受搜查。
- 从 IBX 数据中心移走的设备,如果不是当天运来的,必须在服务票据上注明可以移走的设备。物品的描述应明确,以便准确识别设备。
- 运入和运出该设施的设备由运输和接收部门处理,该部门与联合办公区分开。客户必须开具运输服务申请单来接收设备。
-
机笼标识 – Equinix 的政策是不会泄露任何客户机笼的实际位置。但是,客户可以在获得Equinix批准后张贴机笼标识。
注意机笼标志仅限于专用机笼,不能用于共享机笼或转售空间。
运营
IBX 数据中心安全治理团队
Cloud Exchange 安全治理团队负责促进对适用于Equinix Fabric部署(例如Network Edge)的内部安全政策、程序和标准的认识和遵守。
控制性维护
Equinix服务网络基础设施的常规、紧急和配置变更都经过授权、记录、测试、批准和记录。
更改请求
变更请求是正式的存档文档,描述对Equinix Fabric或Network Edge的任何影响客户的方面的修改。
变更审查委员会
变更审查委员会每周召开一次变更请求文件的审查会。该委员会由适当的利益相关者组成,包括来自技术、发布和项目管理团队的专家。委员会对变更请求进行优先排序,并为变更指定具体的时间窗口。
变更回滚
如果变更对生产环境产生负面影响,变更请求必须包括回滚计划。
问题管理
在票据系统的帮助下,问题从发现到解决都得到了正式的管理和跟踪。
升级
已公布的业务政策和流程,用于面向客户的升级程序。
Equinix Fabric 和Network Edge服务网络安全
Network Edge使用Equinix Fabric网络和平台进行互连。除非下文另有说明,否则两个产品线均适用相同的规则。
堡垒
仅可通过堡垒主机进行对Equinix Fabric服务网络的管理访问。
认证、授权和会计(AAA)
Equinix Fabric服务网络上的设备使用 TACACS+ 提供 AAA 服务。参与管理Equinix Fabric服务网络的工作人员将根据“最小权限”模型获得访问权限,其访问权限与其工作职责相符。所有访问网络设备的成功和失败尝试都会被记录下来,用于分析和报警。
网络边缘基础设施(包括计算资源和虚拟机管理程序资源)也遵循同样的模型。在所有需要管理编排访问权限的基础设施和虚拟设备上,TACAC 和 LDAP 访问权限都被限制在命令级别。
管理工具
服务管理工具要受到AAA控制。它们所管理的配置是受修订控制的,有时间标记并有记录。
只有源自虚拟设备的会话才能访问外部工具;并且只允许同一会话的返回流量返回。对于内部编排和管理工具,只有源自 Equinix OSS 的会话才能访问虚拟设备。Equinix 服务管理网络仅使用私有的 RFC 1918 地址空间。
为了验证许可证,虚拟设备可能需要调用私有网络外部的地址。只有从该设备发起的有状态出口会话才能访问由该设备供应商授权的特定地址。
网络设备管理平面
管理平面控制包括使用AAA服务。远程管理会话是加密的(例如,使用SSH),并在适当的非活动期后超时。管理员的访问和配置更改都会被记录下来。访问控制列表(ACL)限制流量只流向/来自需要的源和目的IP地址。根据制造商的安全建议,修改供应商的默认配置。
不允许有根基访问。
Network Edge虚拟设备可及性
用户或客户可通过 SSH 或厂商认证软件(例如 SD-WAN 的 SaaS 门户)访问设备,所有设备的访问权限均细化到命令行级别。设备访问权限和凭证完全由设备用户/所有者自行决定。SSH 凭证由用户通过门户或 API 进行管理。Equinix 人员在任何情况下均无权添加、删除或更改虚拟设备所有者设置的凭证。
要通过 SSH 访问设备,必须使用 Equinix 提供的公共互联网接口或客户提供的网络接口。用户必须将所有需要访问的 IP 地址和子网添加到允许列表中,否则 Network Edge 平台将拒绝连接请求。
SSH会话的数量被限制在5个,并且适用5分钟的空闲超时。
网络设备控制平面
控制平面控制包括对发往设备本身(ICMP、ARP、BGP、SSH、SNMP)以及 DNS 等核心应用协议的流量进行速率限制,订购防御拒绝服务攻击。来自未经授权和无效网络的流量将被阻止。协议消息交换和更新(IGP/LDP/BGP)采用 MD5 身份验证。
网络设备转发平面
客户转发平面被隔离到他们自己的虚拟路由和转发(VRF)表以及第2层和/或第3层VPN中。BGP最大前缀限制以及最大物理(MAC)地址数的限制被用来保护资源和防御拒绝服务攻击。
Equinix 不会对数据包进行任何压缩或去重。Equinix Fabric 上不使用前向纠错 (FEC),仅使用流量负载均衡,因此不会出现任何需要进行数据包检查的数据包重排序情况。
Network Edge基础设施
所有与Network Edge服务有关的服务都有有限的开放端口,而且管理程序和协调是基于容器的。
Network Edge Internet Access
所有面向互联网的流量都需经过 Equinix 互联网接入服务的互联网网关和基础设施。该服务包含高级 DDoS 防护和远程触发黑洞防护功能。
只有虚拟设备可以通过提供的互联网接口向外界发起会话,包括虚拟设备和任何其他地点之间的VPN隧道。
客户门户和应用程序编程接口 (API)
Identity and Access Management
Equinix为客户提供的身份管理功能仅限于 ECP 和云交换门户的范围。作为配置流程的一部分, Equinix会为客户创建一个主管理员帐户。主管理员可以根据需要创建、修改、禁用和删除客户用户帐户,包括其他主管理员帐户。主管理员会根据客户需求为客户用户帐户分配角色和权限。虽然云服务提供商可能会提供自己的身份和访问管理系统,但这些系统与 ECP 提供的系统是相互独立的。
应用程序编程接口(API)。
Equinix提供Network EdgeAPI,其功能包括检索Equinix Fabric端口和虚拟连接的信息并执行相关操作。身份验证和授权使用 OAuth 2.0 标准完成。虽然云服务提供商可能会提供自己的 API,但这些 API 与Equinix提供的 API 是相互独立的。
访问客户数据
Equinix不会也不应该访问任何Network Edge或Equinix Fabric客户传输数据,无论其处于动态还是静态状态。如本文档所述,我们已采取物理和逻辑控制措施,以防止、监控和检测任何未经授权的第三方访问或试图访问客户传输数据。
数据安全、信息生命周期、加密和密钥管理
Equinix Fabric和Network Edge为云客户和云服务提供商提供直接的网络连接,无需访问、检查、操作或复制数据。客户有责任根据其安全需求、政策以及任何适用的法规或法律要求,确保通过Equinix Fabric传输的数据安全无虞。
Network Edge配置数据
Equinix维护每个投入服务的虚拟设备的当前版本和完整配置的历史记录。这包括设备操作系统和设置、接口寻址以及其他详细信息。
Network Edge事件数据
Equinix会持续记录每台设备记录的所有变更管理和管理事件。这些事件包括设备、门户和 API 的登录和注销成功与失败记录、用户或Equinix编排系统对配置进行的更改、接口状态的更改以及其他常见事件。用户可以直接从设备访问这些信息,也可以向Equinix人员索取。这些数据绝不会与用户访问权限数据(例如完整的用户名和密码)关联。