Sécurité

Aperçu

Les fonctions de sécurité disponibles sur Cloud Avenue sont intégrées à plusieurs niveaux :

  • niveau « sortie » de plateforme, via les services intégrés dans les connectivités internet et BVPN
  • niveau « Organisation / Tenant » vCD, à travers les produits vmware NSX-T et AVI.

Internet

L’accès internet est fournit par Orange Business, et intègre les services de protection suivants :

  • accès redondé
  • protection anti DDOS de type « blackhole », à la demande (suppression du traffic à destination d’une adresse IP publique).

En option, vous pouvez commander une solution plus avancée offrant le service Cleanpipe, qui consiste à rediriger le trafic vers un système de « nettoyage » des flux.

https://www.orange-business.com/fr/produits/ddos-protection

BVPN

Le réseau MPLS d’Orange Business est certifié EAL2+.

Protection des portails

Tous les portails exposés sur internet sont protégés par un WAF.

Pour renforcer un peu plus la sécurité, un Client peut demander la désactivation de l’exposition internet de l’url d’accès à son portail VCD. Il devra alors accéder au portail VCD (et aux API) via son accès BVPN.

NSX-T

Firewall périmétrique

La passerelle T1 embarque un firewall périmétrique, permettant de filtrer les flux nord-sud, exactement comme le fait un firewall physique. Il gère les règles de translation d’adresses (NAT) et permet ainsi de protéger les VM des réseaux d’organisation portés par la T1.

Firewall distribué

NSX-T permet également de déployer un firewall distribué, qui se gère au niveau de chaque vDC. Cette implémentation, réalisée au niveau des ESXi, permet de gérer les flux est-ouest entre les VM. Les règles peuvent s’appuyer sur des tag posés sur les VM, afin de faciliter la propagation des règles. Par exemple, les VM taggées DEV n’auront pas accès à internet, tandis que les VM taggées PROD y auront accès.

NSX-T permet de créer des tunnels sur internet de 2 types :

  • L2VPN
  • L3VPN (IPSEC),

Pour les 2 types de tunnel, la sécurité des transmissions est confiée à un algorithme de cryptage AES GCM 128, et Diffie-Hellman groupe 14 pour l’algorithme d’échange de clés.

Le VPN SSL  est désormais disponible sur NGP.

Template Orange

Les templates de VM disponibles dans les catalogues vCD (Orange et Linux) ont des OS « durcis » (ports et services désactivés), et intègrent un agent antivirus Sophos (template Windows uniquement). L’agent Sophos est régulièrement mis à jour via une console centralisée, non visible du Client.

Facturation

Les services de sécurités standards et intégrés à Cloud Avenue ne font l’objet d’aucune facturation spécifique.

SMTP

Par défaut, Cloud Avenue ne fournit pas de service SMTP. Il est possible de souscrire à Email protection Suite, un service d’Orange Business.

Découvrez notre nouveau plan d’assurance sécurité mis à jour ce début février 2024, à télécharger ici.