Sécurité

Aperçu

Les fonctions de sécurité disponibles sur Cloud Avenue sont intégrées à plusieurs niveaux :

niveau « sortie » de plateforme, via les services intégrés dans les connectivités internet et BVPN
niveau « Organisation / Tenant » vCD, à travers les produits vmware NSX-T et AVI.

Internet

L’accès internet est fournit par Orange Business, et intègre les services de protection suivants :

accès redondé
protection anti DDOS de type « blackhole », à la demande (suppression du traffic à destination d’une adresse IP publique).

En option, le client peut commander une solution plus avancée offrant en plus le service Cleanpipe, consistant à rediriger le trafic vers un système de « nettoyage » des flux.

https://www.orange-business.com/fr/produits/ddos-protection (mauvais lien)

BVPN

Le réseau MPLS d’Orange Business est certifié EAL2+.

Protection des portails

Tous les portails exposés sur internet sont protégés par un WAF.

Pour renforcer un peu plus la sécurité, un Client peut demander la désactivation de l’exposition internet de l’url d’accès à son portail VCD. Il devra alors accéder au portail VCD (et aux API) via son accès BVPN.

NSX-T

Firewall périmétrique

La passerelle T1 embarque un firewall périmétrique, permettant de filtrer les flux nord-sud, exactement comme le fait un firewall physique. Il gère les règles de translation d’adresses (NAT) et permet ainsi de protéger les VM des réseaux d’organisation portés par la T1.

Firewall distribué

NSX-T permet également de déployer un firewall distribué, qui se gère au niveau de chaque vDC. Cette implémentation, réalisée au niveau des ESXi, permet de gérer les flux est-ouest entre les VM. Les règles peuvent s’appuyer sur des tag posés sur les VM, afin de faciliter la propagation des règles. Par exemple, les VM taggées DEV n’auront pas accès à internet, tandis que les VM taggées PROD y auront accès.

VPN

NSX-T permet de créer des tunnels sur internet de 2 types :

L2VPN
L3VPN (IPSEC),

Pour les 2 types de tunnel, la sécurité des transmissions est confiée à un algorithme de cryptage AES GCM 128, et Diffie-Hellman groupe 14 pour l’algorithme d’échange de clés.

Le VPN SSL (mauvais lien) est désormais disponible sur NGP.

Template Orange

Les templates de VM disponibles dans les catalogues vCD (Orange et Linux) ont des OS « durcis » (ports et services désactivés), et intègrent un agent antivirus Sophos (template Windows uniquement). L’agent Sophos est régulièrement mis à jour via une console centralisée, non visible du Client.

Facturation

Les services de sécurités standards et intégrés à Cloud Avenue ne font l’objet d’aucune facturation spécifique.

SMTP

Par défaut, Cloud Avenue ne fournit pas de service SMTP. Il est possible de souscrire à Email protection Suite (mauvais lien), un service d’Orange Business.

L’accès internet proposé est un accès mutualisé pour l’ensemble des clients de la plateforme Cloud Avenue et localisé sur chaque datacenter. Le raccordement à internet est partageable par l’ensemble des vDC de l’Organisation (voir schéma sur cette page) (mauvais lien). Le raccordement à Internet se fait sur une passerelle T0 (mauvais lien) VRF (ou T0).

Plan d’Assurance Sécurité (PAS)

Découvrez notre nouveau plan d’assurance sécurité mis à jour ce début février 2024, à télécharger ici

Accueil

Listes des Services (NGP)

Fiches Pratiques

Espace Client Cloud

Aide et Expertise

Documents Contractuels

L'aide en ligne

Le Support

Les Consoles Techniques

Les Ressources Virtual Data Center

Les Rôles et Utilisateurs

Q&R