Aperçu du service d'hôte bastion

Les concepts suivants sont essentiels à la compréhension du service Hôte bastion.

HÔTE BASTION

Les hôtes bastions sont des entités logiques qui fournissent un accès public sécurisé aux ressources cibles dans le nuage que vous ne pouvez pas atteindre autrement à partir d'Internet. Les hôtes bastions résident dans un sous-réseau public et établissent l'infrastructure de réseau nécessaire pour connecter un utilisateur à une ressource cible dans un sous-réseau privé . L'intégration au service IAM permet l'authentification et l'autorisation des utilisateurs. Les hôtes bastions fournissent une couche supplémentaire de sécurité au moyen de la configuration de listes d'autorisation de bloc CIDR. Les listes d'autorisation de bloc CIDR de client spécifient les adresses IP ou les intervalles d'adresses IP pouvant se connecter à une session hébergée par l'hôte bastion.

Pour en savoir plus sur les sous-réseaux privés, voir Options de connectivité.

SESSION

Les sessions d'hôte bastion permettent aux utilisateurs autorisés dotés de la clé privée d'une paire de clés SSH de se connecter à une ressource cible pendant une durée prédéterminée. Vous fournissez la clé publique de la paire de clés SSH au moment où vous créez la session, puis vous fournissez la clé privée lorsque vous vous connectez. Outre la présentation de la clé privée, un utilisateur autorisé doit tenter la connexion SSH à la ressource cible à partir d'une adresse IP dans l'intervalle autorisé par la liste d'autorisation de bloc CIDR de client de l'hôte bastion.

Pour en savoir plus, voir Types de session.

RESSOURCE CIBLE

Une ressource cible est une entité qui réside dans le réseau en nuage virtuel (VCN) de votre organisation, auquel vous pouvez vous connecter à l'aide d'une session hébergée sur un hôte bastion.

HÔTE CIBLE

Un hôte cible est un type spécifique de ressource cible qui fournit l'accès à un système d'exploitation Linux ou Windows à l'aide de SSH (port 22 par défaut). Les instances de calcul et les systèmes de base de données sur machine virtuelle sont des exemples d'hôtes cibles.

Le service d'hôte bastion reconnaît trois types de session. Le type de session que vous créez, ou auquel vous choisissez de vous connecter, dépend du type de ressource cible.

SESSION SSH GÉRÉE

Permet l'accès SSH à une instance de calcul répondant à toutes les exigences suivantes :

• L'instance doit exécuter une image de plate-forme Linux (Windows n'est pas pris en charge).
• L'instance doit exécuter un serveur OpenSSH.
• L'instance doit exécuter Oracle Cloud Agent.

• Le plugiciel de service bastion doit être activé dans Oracle Cloud Agent.

L'agent est activé par défaut sur les instances de calcul créées à partir de certaines images du service Calcul (en particulier celles fournies par Oracle). Dans d'autres cas, vous devez activer l'agent sur l'instance avant de créer une session. Le plugiciel de service Hôte bastion n'est pas activé par défaut et doit être activé avant de créer une session.

SESSION DE RÉACHEMINEMENT DE PORT SSH

Ne nécessite pas l'exécution d'un serveur OpenSSH ou d'Oracle Cloud Agent sur la ressource cible.

Le réacheminement de port (également appelé tunnelisation SSH) crée une connexion sécurisée entre un port spécifique sur l'ordinateur client et un port spécifique sur la ressource cible. Grâce à cette connexion, vous pouvez relayer d'autres protocoles. Vous pouvez tunneliser la plupart des services et protocoles TCP sur SSH, notamment les suivants :

• Protocole Remote Desktop (RDP)
• Oracle Net Services
• MySQL

Par exemple, vous pouvez utiliser une session de redirection de port SSH pour connecter Oracle SQL Developer au point d'extrémité privé d'une base de données Autonomous Database pour le traitement des transactions et les charges de travail mixtes.

La connexion étant chiffrée à l'aide de SSH, le réacheminement de port peut également être utile pour transmettre des informations qui utilisent un protocole non chiffré tel que Virtual Network Computing (VNC).

SESSION DYNAMIC PORT FORWARDING (SOCKS5)

Une session de transfert de port dynamique (SOCKS5) présente les mêmes avantages qu'une session de transfert de port SSH, mais vous permet de vous connecter dynamiquement à n'importe quelle ressource cible d'un sous-réseau privé. Contrairement aux autres types de session que vous configurez pour vous connecter à une ressource cible spécifique (adresse IP ou nom DNS), avec une session de transfert de port dynamique (SOCKS5), vous créez un tunnel vers un sous-réseau cible et le client décide de la ressource et du port auxquels se connecter.

Ce service est disponible dans toutes les régions commerciales d'Oracle Cloud Infrastructure. Voir À propos des régions et des domaines de disponibilité pour obtenir la liste des régions disponibles pour Oracle Cloud Infrastructure, avec les emplacements associés, les identificateurs de région, les clés de région et les domaines de disponibilité.

Le service Hôte base prend en charge les hôtes bastions et les sessions en tant que ressources Oracle Cloud Infrastructure. La plupart des types de ressource ont un identificateur unique affecté par Oracle, appelé un OCID (identificateur Oracle Cloud). Pour plus d'informations sur le format des OCID et sur les autres moyens d'identifier vos ressources, voir Identificateurs de ressource.

Vous pouvez accéder au service Hôte bastion à l'aide de la console (une interface basée sur un navigateur), de l'interface de ligne de commande (CLI) ou de l'API REST. Les instructions relatives à la console, à l'interface CLI et à l'API sont incluses dans les rubriques de ce guide.

Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Pour aller à la page de connexion de la console, ouvrez le menu de navigation en haut de cette page et cliquez sur Console Infrastructure. Vous êtes invité à entrer votre location Oracle Cloud, votre nom d'utilisateur et votre mot de passe.

Pour obtenir la liste des trousses SDK disponibles, voir Trousses SDK et interface de ligne de commande. Pour des informations générales sur l'utilisation des API, voir la documentation sur les API REST.

En plus de créer des politiques IAM, il existe d'autres meilleures pratiques de sécurité pour l'hôte bastion.

Par exemple :

• Maximiser la sécurité SSH
• Intégrer les instances cibles au service IAM et activer l'authentification multifacteur
• Effectuer une vérification de sécurité des opérations du service Hôte base

Voir Sécurisation du service d'hôte bastion.

Les hôtes bastions sont des services gérés par Oracle. Vous utilisez un hôte bastion pour créer des sessions SSH (Secure Shell) qui permettent d'accéder à d'autres ressources privées. Mais vous ne pouvez pas vous connecter directement à un hôte bastion avec SSH et l'administrer ou le surveiller comme un hôte traditionnel.

Pour surveiller l'activité sur des hôtes bastions, le service Hôte bastion s'intègre à ces autres services d'Oracle Cloud Infrastructure.

• Le service Vérification enregistre automatiquement les appels à tous les points d'extrémité publics d'API du service Hôte bastion comme entrées de journal. Voir Aperçu du service de vérification.
• Le service Surveillance vous permet de surveiller les ressources du service Hôte bastion à l'aide de mesures et d'alarmes. Voir Mesures du service d'hôte bastion.
• Le service Événements permet aux équipes de développement de répondre automatiquement lorsqu'une ressource du service Hôte base change d'état. Voir Événements du service d'hôte bastion.

Les hôtes bastions ont des limites de service, mais n'entraînent pas de coûts.

Voir Limites de service pour obtenir la liste des limites applicables et les instructions de demande d'augmentation de service.

Pour des instructions permettant de voir votre niveau d'utilisation par rapport aux limites de ressource de la location, voir Consultation de vos limites de service, de voss quotas et de votre utilisation.