Sécurité
Aperçu
Les fonctions de sécurité disponibles sur Cloud Avenue sont intégrées à plusieurs niveaux :
- niveau « sortie » de plateforme, via les services intégrés dans les connectivités internet et BVPN
- niveau « Organisation / Tenant » vCD, à travers les produits vmware NSX-T et AVI.
Internet
L’accès internet est fournit par Orange Business, et intègre les services de protection suivants :
- accès redondé
- protection anti DDOS de type « blackhole », à la demande (suppression du traffic à destination d’une adresse IP publique).
En option, vous pouvez commander une solution plus avancée offrant le service Cleanpipe, qui consiste à rediriger le trafic vers un système de « nettoyage » des flux.
https://www.orange-business.com/fr/produits/ddos-protection
BVPN
Le réseau MPLS d’Orange Business est certifié EAL2+.
Protection des portails
Tous les portails exposés sur internet sont protégés par un WAF.
Pour renforcer un peu plus la sécurité, un Client peut demander la désactivation de l’exposition internet de l’url d’accès à son portail VCD. Il devra alors accéder au portail VCD (et aux API) via son accès BVPN.
NSX-T
Firewall périmétrique
La passerelle T1 embarque un firewall périmétrique, permettant de filtrer les flux nord-sud, exactement comme le fait un firewall physique. Il gère les règles de translation d’adresses (NAT) et permet ainsi de protéger les VM des réseaux d’organisation portés par la T1.
Firewall distribué
NSX-T permet également de déployer un firewall distribué, qui se gère au niveau de chaque vDC. Cette implémentation, réalisée au niveau des ESXi, permet de gérer les flux est-ouest entre les VM. Les règles peuvent s’appuyer sur des tag posés sur les VM, afin de faciliter la propagation des règles. Par exemple, les VM taggées DEV n’auront pas accès à internet, tandis que les VM taggées PROD y auront accès.
VPN
NSX-T permet de créer des tunnels sur internet de 2 types :
- L2VPN
- L3VPN (IPSEC),
Pour les 2 types de tunnel, la sécurité des transmissions est confiée à un algorithme de cryptage AES GCM 128, et Diffie-Hellman groupe 14 pour l’algorithme d’échange de clés.
Le VPN SSL (mauvais lien) est désormais disponible sur NGP.
Template Orange
Les templates de VM disponibles dans les catalogues vCD (Orange et Linux) ont des OS « durcis » (ports et services désactivés), et intègrent un agent antivirus Sophos (template Windows uniquement). L’agent Sophos est régulièrement mis à jour via une console centralisée, non visible du Client.
Facturation
Les services de sécurités standards et intégrés à Cloud Avenue ne font l’objet d’aucune facturation spécifique.
SMTP
Par défaut, Cloud Avenue ne fournit pas de service SMTP. Il est possible de souscrire à Email protection Suite, un service d’Orange Business.
L’accès internet proposé est un accès mutualisé pour l’ensemble des clients de la plateforme Cloud Avenue et localisé sur chaque datacenter. Le raccordement à internet est partageable par l’ensemble des vDC de l’Organisation (voir schéma sur cette page) . Le raccordement à Internet se fait sur une passerelle T0 (mauvais lien) VRF (ou T0).
Plan d’Assurance Sécurité (PAS)
Découvrez notre nouveau plan d’assurance sécurité mis à jour ce début février 2024, à télécharger ici