Chez Free Pro, la sécurité est un état d’esprit qui s’efforce en permanence de visualiser les multiples couches de menaces, de vulnérabilités et de faiblesses qui pourraient être exploitées par un attaquant pour prendre pied. La surface d’attaque en constante évolution (charge de travail et proximité de la menace) est bien réelle et propre à l’environnement moderne des centres de données/cloud.
La valeur fondamentale de la solution de sécurité Free Pro est de réduire la surface d’attaque et d’empêcher la prolifération de la menace qui passe inaperçue. La sécurité est un effort à multiples facettes. Un produit ou une pratique à lui seul ne suffit pas à répondre à l’appel de la sécurité. La sécurité doit être réalisée avec des couches de pratiques prises en charge par des produits en réponse aux besoins de l’entreprise.
En réponse à ce besoin de sécurité à multiples facettes, Free Pro fourni un service de Firewall en tant que service à la demande (FWaaS).
La Gateway Firewall et le Distributed Firewall font tous deux partie de la famille de produits VMware vDefend et possèdent des composants similaires. Cependant, le pare-feu distribué est conçu pour gérer le trafic réseau est-ouest (trafic interne). Le pare-feu de passerelle complète le pare-feu distribué pour protéger le trafic est-ouest dans des cas particuliers tels que la sécurisation des charges de travail physiques.
Gateway Firewall (GFW) #
Le pare-feu de passerelle aussi connu sous le nom de Edge Gateway est un pare-feu qui surveille le trafic Nord-Sud.
Le service est disponible en trois configurations. Il est possible d’avoir au maximum quatre GFW au sein d’une même organisation afin de répartir la charge, les rôles et les responsabilités.
Configuration 1 Accès Public | Configuration 2 Accès Privé | Configuration 3 Accès Public et Privé |
La passerelle de service possède plusieurs fonctionnalités (liste non exhaustive):
- Public Gateway (iGW) : est un service d’accès Internet
- Private Gateway (pGW) : est un service qui permet d’interconnecter votre réseau d’entreprise à vos services Cloud XPR au travers d’un ou plusieurs liens fibres dédiées
- Service Gateway (sGW) : fournit des services d’exploitations tels que NTP, DNS, KMS, Mirroirs Linux, etc.
- VPN IPSec : service qui permet de configurer un accès distant site à site.
- VPN SSL : service qui permet de configurer un accès distant client à site.
- Passerelle NAT (Network Address Translation) : fournit aux sous-réseaux un accès direct aux adresses publiques sur Internet. Les connexions peuvent être initiées depuis le sous-réseau ou depuis Internet.
- IPv6 : permet d’utiliser un plan d’adressage IPv6 dans son réseau.
Le service de Firewall Gateway est disponible en 4 tailles. La facturation s’effectue selon le nombre de GFW et de leur taille de configuration.
Les spécifications de bande passante s’appliquent au trafic entrant et sortant du service de Firewall Gateway. Par exemple, si la GFW est limitée à 1 Gbit/s de bande passante, cela signifie qu’elle dispose jusqu’à 1 Gbit/s de bande passante de trafic entrant et jusqu’à 1 Gbit/s de trafic sortant.
Référence | Configuration | Haute Disponibilité | Bande Passante |
nsx_gfw_ha_small | small | Oui | 100 Mbps |
nsx_gfw_ha_medium | medium | Oui | 1 Gbps |
nsx_gfw_ha_large | large | Oui | 10 Gbps |
nsx_gfw_ha_xlarge | xlarge | Oui | 25 Gbps |
Toutes les passerelles de pare-feu fonctionnent en standard en haute disponibilité et redondées (actif/passif) sur deux sites.
Dans le cas d’une configuration bi-accès (Public et Privé), la limite de la bande passante est la somme utilisée des accès.
Le nombre de ports par GFW est limité à 8.
Distributed Firewall (DFW) #
Le pare-feu distribué est un pare-feu qui surveille le trafic Est-Ouest. Le DFW inspecte chaque paquet entrant et sortant d’une machine virtuelle au travers de sa carte réseau virtuelle (VNIC). Les règles du DFW se déplacent avec la machine virtuelle pendant les événements vMotion. Cela signifie que l’état du flux de trafic est préservé, quel que soit l’hôte vers lequel une machine virtuelle se déplace.
Public Gateway (IGW) #
Le service Public Gateway/Internet est une extension du service Gateway Firewall (GFW) et il permet d’interconnecter son environnement Cloud XPR à un service d’accès Internet. Le client peut créer des règles d’accès (flux) et de NAT en libre-service depuis le portail Cloud XPR. Le service IGW est redondé (haute disponibilité) sur deux sites et mutualisé « by design ».
Par défaut, le passerelle publique est limitée à la bande passante autorisé par la taille du Firewall (GFW). Pour dépasser la limite, il faut souscrire à la taille supérieure du Firewall. Lorsque le trafic dépasse les limites de la bande passante configurées, le trafic est abandonné (« droppé »).
Schéma logique type:
Facturation
Le service de passerelle public (IGW) est facturé à l’usage.
Référence | Transit | Haute Disponibilité | Bande Passante |
---|---|---|---|
nsx_igw_shared_ha_mbps | mutualisé | oui | La bande passante est facturée à l’usage. La bande passante retenue pour la facturation est l’utilisation réelle constatée et calculée sur la base du 95th percentile. La limite de la bande passante est celle du Firewall (GFW). |
Adresse IP externe
Free Pro met à disposition de ses clients des adresses IPv4 externes pour communiquer avec Internet. Ces adresses sont annoncées publiquement, ce qui signifie qu’elles sont accessibles par n’importe quel hôte sur Internet.
Une fois les adresses IP importées et configurées dans la Public Gateway, le client peut les attacher à ses ressources de :
- Load Balancer
- Instance virtuelle (VM)
- VPN IPSec
- Cluster Kubernetes
Les clients peuvent demander (mode projet) à transférer leurs propres adresses IP (BYOIP) à Free Pro. Les adresses BYOIP (Bring your own IP) vous permettent de provisionner et d’utiliser vos propres adresses IPv4 publiques avec les ressources Cloud XPR.
Les IP externes sont provisionnées par Free Pro. Veuillez effectuer votre demande auprès du support (Voir la procédure dans la page Gestion des Quotas, en précisant le nombre d’IP souhaité).
Pour les IP supplémentaires ajoutées après la commande initiale, Free Pro ne garantit pas que les nouvelles IP seront contiguës au plan initial.
Anti-DDoS (IP Protect)
Tous les clients Cloud XPR bénéficient des protections automatiques avec le service IP Protect Standard, sans frais supplémentaires. IP Protect Standard protège contre les attaques de déni de services DDoS les plus courantes et les plus fréquemment rencontrées sur les couches de réseau et de transport qui ciblent vos applications ou vos sites web.
- DNS
- ICMP
- Ip fragmentation, Null et Private
- TCP Null, RST, SYN, ACK
- UDP
IP Protect Standard assure une surveillance continue du flux du réseau qui inspecte le trafic entrant vers les services Cloud XPR et applique une combinaison de signatures de trafic, d’algorithmes d’anomalie et d’autres techniques d’analyse pour détecter le trafic malveillant en temps réel. Free Pro fixe des seuils statiques pour les types de ressources Cloud XPR, mais ne fournit pas de protection personnalisée à vos applications.
La protection DDoS Standard n’est pas prise en charge pour les clients ayant amené leurs propres adresses IP externes (BYOIP), seul les niveaux Avancé et Expert sont disponibles.
Pour obtenir des niveaux de protection supérieurs contre les attaques ciblant vos applications s’exécutant sur des ressources Cloud XPR, vous pouvez souscrire à l’offre IP Protect (Avancé ou Expert). Les clients ont également accès à la Console pour suivre le monitoring du trafic dans ce niveau de protection. Pour plus d’information sur les niveaux Avancé et Expert, veuillez consulter la documentation de l’offre IP Protect.
Private Gateway (PGW) #
Le service Private Gateway (Direct Connect) est une extension du service Gateway Firewall (GFW). Il permet d’interconnecter votre réseau d’entreprise à vos services Cloud XPR et d’isoler vos réseaux privés. Lors de son acheminement, votre trafic réseau reste sur le réseau (backbone) Free Pro et ne passe jamais sur l’Internet public. Ce service est la meilleure solution pour obtenir de faible latence. La passerelle de réseau privé vous permet de construire des infrastructures privées multi-service au sein de Free Pro. Vous pouvez également exposer votre passerelle à Internet pour rendre vos services accessibles publiquement.
La passerelle permet de répondre à plusieurs configurations d’interconnections. Voici un tableau présentant les interconnections croisées possibles:
On Premise | Cloud XPR | Serveurs hébergés | Internet | |
De On-Premise vers | non | oui | oui | oui |
De Cloud XPR vers | oui | oui | oui | oui |
De Serveurs hébergés vers | oui | oui | oui | oui |
Les clients peuvent interconnecter leur réseau d’entreprise aux services Cloud XPR et isoler leurs réseaux privés. Il est ainsi possible de créer des réseaux privés étendus de niveau 2 ou 3 jusqu’à ses services Cloud XPR ou d’hébergements.
Vue d’ensemble (logique) des possibilités d’interconnections:
Les bénéfices du service de Gateway Firewall:
- Une console en libre-service (FWaaS)
- Une console unifiée pour tous vos services chez Free Pro
- Les POP/Edge (point de présence) Free Pro sont multi-opérateurs
- Des services de passerelles mutualisés ou dédiés
- Faible latence
- Facturation prédictible ou à l’usage
- Protection DDoS Standard incluse pour vos accès Internet
Services Hébérgés
Le service Private Gateway permet l’interconnection avec vos serveurs hébergés dans les datacenters de Free Pro et vos services Cloud XPR, avec ou sans transit vers votre Entreprise.
Le service de passerelle privé est disponible dans les datacenters de Paris, Lyon et Marseille.
Configuration (Port)
Le service Private Gateway est disponible en deux types de configuration de connectivité cloud hybride : mutualisé et dédié. L’offre étant basée sur des besoins différents pour les entreprises:
Ports | Description |
---|---|
Port Mutualisé (bande passante) | Le port mutualisé signifie que la bande passante peut être mutualisée entre plusieurs clients. Le trafique est malgré tout sécurisé et isolé via des VXLAN. Le Port mutualisé est facturé en fonction de l’usage moyen (95th percentile) de la bande passante sur une période d’un mois. Les ports mutualisés sont limités à 1 Gbps. |
Port Dédié | Avec un port dédié, la bande passante est garantie. Le port est facturé selon la vitesse du port. Idéal pour : besoins en capacité supérieure à 1 Gbit/s, contrôle et sécurité maximum, connexion à plusieurs points de terminaison finaux. |
Facturation
Le service de passerelle privé (PGW) est facturé à l’usage ou à la souscription.
Référence | Transit | Haute Disponibilité | Bande Passante | Facturation |
---|---|---|---|---|
nsx_pgw_shared_mono_port-mbps | mutualisé | oui | 1 Gbps | Usage |
nsx_pgw_dedicated_mono_port-1g | dédié | oui | 1 Gbps | abonnement |
nsx_pgw_dedicated_mono_port-10g | dédié | oui | 10 Gbps | abonnement |
nsx_pgw_dedicated_mono_port-25g | dédié | oui | 25 Gbps | abonnement |
Service Gateway (SGW) #
Le service Service Gateway est une passerelle privée qui permet aux clients d’avoir accès à des services d’infrastructures managés par Free Pro et mise à disposition de ses clients. Le client peut donc accéder à des services sans passer par Internet tels que le DNS, NTP, mirroir Linux, Microsoft Key Management services, etc. Le service SGW n’est pas facturé aux clients.
Virtual Private Network (VPN) #
VPN IPSec
Le service de GFW permet de configurer des tunnels cryptés pour établir des communications confidentielles et sécurisées entre différents réseaux. Les communications site-à-site peuvent se faire entre deux sites ou clouds.
Les points de terminaison rattachés au VPN IPSec peuvent être matériel ou logiciel tant qu’ils sont compatibles avec les paramètres ci-dessous:
Paramètres IPSEC | Valeurs supportées |
---|---|
Encryption Algorithm | AES 256, AES 128, AES GCM 128 |
Authentication | PSK, Certificate |
Diffie-Hellman Group | DH2, DH5, DH14, DH15, DH16 |
Digest Algorithm | SHA1, SHA256 |
IKE Option | IKE v1, IKE v2, IKE Flex |
Session Type | Policy-Based Session |
VPN SSL
Cloud XPR n’offre pas de service VPN SSL nativement. Le Client est libre d’installer une solution qui lui conviennent ou demander à Free Pro de lui fournir une solution managée.
Exemple d’architecture | Description |
Une Appliance virtuelle faisant office de VPN SSL est installée en stand alone ou en haute-disponibilité dans l’environnement Cloud du Client. Dans cette architecture, la Gateway Firewall est configurée en mode « pass-through », c’est à dire que les requêtes sont routées sans traitement, directement à l’appliance virtuelle de VPN SSL. |
Network Address Translation (NAT) #
Le service de GFW prend en charge la translation d’adresse réseau (NAT). Il est ainsi possible de faire correspondre une une adresse externe publique visible sur Internet à une adresse IP ou un sous-réseau d’un réseau privé, afin de pallier à l’épuisement des adresses IPv4 publiques.
Cloud XPR prend en charge les configurations de NAT source (SNAT), destination (DNAT) et réflexive.
Réseau IPv6 #
Sur demande, Free Pro peut fournir un environnement Cloud avec des adresses IPv6.