Règles de sécurité du système de base de données
Cet article liste les règles de sécurité à utiliser avec votre système de base de données. Les règles de sécurité contrôlent les types de trafic autorisés en entrée et en sortie des noeuds de calcul du système de base de données. Les règles sont divisées en deux sections.
Pour plus d'informations sur les règles de sécurité, voir Règles de sécurité. Pour plus d'informations sur les différentes façons de mettre en oeuvre ces règles, voir Comment mettre en oeuvre les règles de sécurité.
Note :
Vos instances exécutant des images de système de base de données fournies par Oracle comportent également des règles de pare-feu qui contrôlent l'accès à l'instance. Assurez-vous que les règles de sécurité et les règles de pare-feu de l'instance sont correctement définies. Voir aussi ouvrir des ports sur le système de base de données.Règles générales requises pour la connectivité de base
Les sections suivantes décrivent plusieurs règles générales qui autorisent la connectivité essentielle pour les hôtes du VCN.
Si vous utilisez des listes de sécurité pour mettre en œuvre vos règles de sécurité, sachez que les règles suivantes figurent dans la liste de sécurité par défaut. Mettez à jour ou remplacez la liste selon vos besoins de sécurité particuliers. Les deux règles ICMP (règles de trafic entrant générales 2 et 3) sont requises pour gérer correctement le trafic réseau dans l'environnement Oracle Cloud Infrastructure. Ajustez la règle de trafic entrant générale 1 (règle SSH) et la règle de trafic sortant générale 1 pour autoriser le trafic uniquement vers et depuis les hôtes qui ont besoin de communiquer avec les ressources de votre réseau VCN.
Pour plus d'informations sur la liste de sécurité par défaut, voir Listes de sécurité.
Règle de trafic entrant générale 1 : Autorise le trafic SSH à partir de n'importe où
- Sans état : Non (toutes les règles doivent être avec état)
- Type de source : CIDR
- CIDR source : 0.0.0.0/0 (IPv4), : :/0 (IPv6)
- Protocole IP : TCP
- Intervalle de ports sources : Tous
- Intervalle de ports de destination : 22
Note :
Le bloc CIDR IPv6 est requis uniquement si vous voulez utiliser l'adresse IPv6 pour vous connecter à SSH.Règle de trafic entrant générale 2 : Autorise les messages de fragmentation lors de la détection de MTU de chemin
Cette règle permet aux hôtes dans le VCN de recevoir des messages de fragmentation de détection d'unité de transmission maximale de chemin. Sans accès à ces messages, les hôtes dans le VCN peuvent avoir de la difficulté à communiquer avec des hôtes à l'extérieur du VCN.
- Sans état : Non (toutes les règles doivent être avec état)
- Type de source : CIDR
- CIDR source : 0.0.0.0/0 (IPv4), : :/0 (IPv6)
- Protocole IP : ICMP
- Type : 3
- Code : 4
Règle de trafic entrant générale 3 : Autorise les messages d'erreur de connectivité dans le VCN
Cette règle permet aux hôtes dans le VCN de recevoir des messages d'erreur de connectivité l'un de l'autre.
- Sans état : Non (toutes les règles doivent être avec état)
- Type de source : CIDR
- CIDR source : CIDR de votre VCN
- Protocole IP : ICMP
- Type : Tout
- Code : Tout
Règle de trafic sortant générale 1 : Autorise tout le trafic sortant
- Sans état : Non (toutes les règles doivent être avec état)
- Type de destination : CIDR
- CIDR de destination : 0.0.0.0/0 (IPv4), : :/0 (IPv6)
- Protocole IP : Tout
Note :
- Le bloc CIDR de destination IPv6 est requis uniquement pour la communication sortante vers les réseaux IPv6.
- Le bloc CIDR de destination peut être restreint.
Règles de sécurité personnalisées
Les règles suivantes sont nécessaires au fonctionnement du système de base de données.
Note :
Les règles de trafic entrant personnalisées 1 et 2 couvrent uniquement les connexions provenant du réseau VCN. Si vous avez un client qui réside en dehors du VCN, Oracle recommande de configurer deux règles similaires supplémentaires, pour lesquelles le CIDR source est réglé à l'adresse IP publique du client.Règle de trafic entrant personnalisée 1 : Autorise le trafic ONS et FAN depuis le VCN
Cette règle est recommandée et permet aux services d'avis Oracle (ONS) de communiquer sur les événements d'avis rapide des applications.
- Sans état : Non (toutes les règles doivent être avec état)
- Type de source : CIDR
- CIDR source : CIDR de votre IPv4 et du VCN IPv6
- Protocole IP : TCP
- Intervalle de ports sources : Tous
- Intervalle de ports de destination : 6200
- Description : Description facultative de la règle.
Règle de trafic entrant personnalisée 2 : Autorise le trafic SQL*NET depuis le VCN
Cette règle concerne le trafic SQL*NET et elle n'est requise que si vous devez activer les connexions de client à la base de données.
- Sans état : Non (toutes les règles doivent être avec état)
- Type de source : CIDR
- CIDR source : CIDR de votre IPv4 et du VCN IPv6
- Protocole IP : TCP
- Intervalle de ports sources : Tous
- Intervalle de ports de destination : 1521
- Description : Description facultative de la règle.
Règle de trafic sortant personnalisée 1 : Autorise l'accès SSH sortant
Cette règle permet l'accès SSH entre les noeuds d'un système de base de données à 2 noeuds. Elle est redondante avec la règle de trafic sortant générale décrite dans Règles générales requises pour la connectivité de base (et figurant dans la liste de sécurité par défaut). Elle est facultative, mais recommandée si la règle générale (ou liste de sécurité par défaut) est modifiée par accident.
- Sans état : Non (toutes les règles doivent être avec état)
- Type de destination : CIDR
- CIDR de destination : 0.0.0.0/0 (IPv4), : :/0 (IPv6)
- Protocole IP : TCP
- Intervalle de ports sources : Tous
- Intervalle de ports de destination : 22
- Description : Description facultative de la règle.
Règle de trafic sortant personnalisée 2 : Autorise l'accès à Oracle Services Network
Cette règle permet au système de base de données de communiquer avec les services Oracle (pour le sous-réseau public avec la passerelle Internet) ou avec Oracle Services Network, qui inclut tous les services Oracle (pour le sous-réseau privé avec la passerelle de service). Elle est redondante avec la règle de trafic sortant générale décrite dans Règles générales requises pour la connectivité de base (et figurant dans la liste de sécurité par défaut). Elle est facultative, mais recommandée si la règle générale (ou liste de sécurité par défaut) est modifiée par accident. Les services OCI communiquent uniquement avec IPv4.
- Sans état : Non (toutes les règles doivent être avec état)
- Type de destination : Service
- Service de destination :
- Lors de l'utilisation d'un sous-réseau public IPv4 (avec passerelle Internet), utilisez le bloc CIDR
0.0.0.0/0
- Lors de l'utilisation du sous-réseau privé IPv4 (avec la passerelle de service), utilisez l'étiquette CIDR Tous les services <region> dans Oracle Services Network
- Lors de l'utilisation d'un sous-réseau public IPv4 (avec passerelle Internet), utilisez le bloc CIDR
- Protocole IP : TCP
- Intervalle de ports sources : Tous
- Intervalle de ports de destination : 443 (HTTPS)
- Description : Description facultative de la règle.
Pour plus d'informations sur le service de réseau, voir Aperçu du service de réseau.
Méthodes de mise en oeuvre des règles de sécurité
Le service de réseau offre deux façons pour mettre en oeuvre les règles de sécurité à l'intérieur de votre réseau VCN :
Pour une comparaison des listes de sécurité et des groupes de sécurité de réseau, voir Règles de sécurité.
Utiliser des groupes de sécurité de réseau
Si vous choisissez d'utiliser des groupes de sécurité de réseau, voici le processus recommandé :
- Créez un groupe de sécurité de réseau pour les systèmes de base de données. Ajoutez les règles de sécurité suivantes à ce groupe de sécurité de réseau :
- Les règles listées dans Règles générales requises pour la connectivité de base.
- Les règles listées dans Règles de sécurité personnalisées.
- Quand l'administrateur de base de données crée le système de base de données, il doit sélectionner plusieurs composants de réseau (par exemple, le VCN et le sous-réseau à utiliser). Il peut également choisir le ou les groupes de sécurité de réseau à utiliser. Assurez-vous qu'il sélectionne le groupe de sécurité de réseau que vous avez créé.
Sinon, vous pouvez créer un groupe de sécurité de réseau pour les règles générales et un autre pour les règles personnalisées. Ensuite, lorsque l'administrateur de base de données choisit les groupes de sécurité de réseau à utiliser pour le système de base de données, assurez-vous qu'il sélectionne les deux.
Utiliser des listes de sécurité
Voici la marche à suivre pour utiliser des listes de sécurité :
- Configurez le sous-réseau pour qu'il utilise les règles de sécurité requises :
- Créez une liste de sécurité personnalisée pour le sous-réseau et ajoutez les règles listées dans Règles de sécurité personnalisées.
- Associez les deux listes de sécurité suivantes au sous-réseau :
- La liste de sécurité par défaut du VCN avec toutes ses règles par défaut. Elle est automatiquement associée au VCN.
- La nouvelle liste de sécurité personnalisée que vous avez créée pour le sous-réseau.
- Ensuite, lorsque l'administrateur de base de données crée le système de base de données, il doit choisir plusieurs composants de réseau. Lorsqu'il sélectionne le sous-réseau que vous avez créé et configuré, les règles de sécurité sont mises en oeuvre automatiquement pour les noeuds de calcul créés dans le sous-réseau.
Attention :
Ne supprimez pas la règle de trafic sortant par défaut de la liste de sécurité par défaut. Si vous le faites, veillez à inclure à la place la règle de trafic sortant suivante dans la liste de sécurité personnalisée du sous-réseau :- Sans état : Non (toutes les règles doivent être avec état)
- Type de destination : CIDR
- CIDR de destination : 0.0.0.0/0
- Protocole IP : Tout