Documentation sur Oracle Cloud Infrastructure

Façons de sécuriser un réseau

OCI offre plusieurs façons de contrôler la sécurité d'un réseau en nuage et des instances de calcul :

  • Sous-réseaux publics et privés : Vous pouvez définir un sous-réseau privé, ce qui signifie que les instances du sous-réseau ne peuvent pas avoir d'adresses IP publiques. Pour plus d'informations, voir Sous-réseaux publics et privés.
  • Règles de sécurité : Pour contrôler le trafic au niveau des paquets en direction ou en provenance d'une instance. Vous configurez les règles de sécurité dans l'API Oracle Cloud Infrastructure ou la console. Pour mettre en oeuvre des règles de sécurité, vous pouvez utiliser des groupes de sécurité de réseau ou des listes de sécurité. Pour plus d'informations, voir Règles de sécurité.
  • Routage de paquets avec confiance nulle : Vous pouvez utiliser le routage de paquets avec confiance nulle (ZPR) avec ou à la place de groupes de sécurité de réseau pour gérer l'accès au réseau aux ressources OCI. Pour ce faire, définissez des politiques ZPR qui régissent la façon dont les ressources communiquent entre elles, puis ajoutez des attributs de sécurité à ces ressources. Pour plus d'informations, voir Routage de paquets Zéro confiance.
    Attention

    Si un point d'extrémité a un attribut de sécurité ZPR (Zero Trust Packet Routing), le trafic vers le point d'extrémité doit satisfaire aux politiques ZPR ainsi qu'à toutes les règles de groupe de sécurité de réseau et de liste de sécurité. Par exemple, si vous utilisez déjà des groupes de sécurité de réseau et que vous ajoutez un attribut de sécurité à un point d'extrémité, tout le trafic vers ce point d'extrémité est bloqué. À partir de là, une politique ZPR doit autoriser explicitement le trafic vers le point d'extrémité.
  • Règles de pare-feu : Pour contrôler le trafic au niveau des paquets en direction ou en provenance d'une instance. Vous configurez les règles de pare-feu directement sur l'instance elle-même. Notez que les images de plate-forme qui exécutent Oracle Linux incluent automatiquement des règles par défaut qui permettent l'entrée du trafic SSH sur le port TCP 22. De plus, les images Windows comprennent des règles par défaut qui permettent l'accès au Bureau à distance sur le port TCP 3389. Pour plus d'informations, voir Images de plate-forme.
    Important

    Les règles de pare-feu et de sécurité fonctionnent toutes les deux au niveau de l'instance. Toutefois, vous configurez les listes de sécurité au niveau du sous-réseau, ce qui signifie que toutes les ressources d'un sous-réseau particulier ont le même jeu de règles de liste de sécurité. En outre, les règles de sécurité d'un groupe de sécurité de réseau s'appliquent uniquement aux ressources de ce groupe. Lors du dépannage de l'accès à une instance, assurez-vous que tous les éléments suivants sont définis correctement : groupes de sécurité de réseau où se trouve l'instance, listes de sécurité associées au sous-réseau de l'instance et règles de pare-feu de celle-ci.

    Si une instance exécute Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, vous devez utiliser firewalld pour interagir avec les règles iptables. À titre de référence, voici les commandes d'ouverture d'un port (1521 dans cet exemple) :

    sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

    Pour les instances dotées d'un volume de démarrage iSCSI, la commande --reload précédente peut provoquer des problèmes. Pour plus d'informations et une solution de rechange, voir Le système des instances se bloque après l'exécution de firewall-cmd --reload.

  • Passerelles et tables de routage : Pour contrôler le flux de trafic général d'un réseau en nuage vers des destinations externes (Internet, réseau sur place ou autre VCN). Vous configurez les passerelles et les tables de routage du réseau en nuage dans l'API ou la console Oracle Cloud Infrastructure. Pour plus d'informations sur les passerelles, voir Composants de réseau. Pour plus d'informations sur les tables de routage, voir Tables de routage de VCN.
  • Politiques IAM : Pour contrôler qui a accès à l'API ou à la console Oracle Cloud Infrastructure elle-même. Vous pouvez contrôler le type d'accès et définir les ressources en nuage accessibles. Par exemple, vous pouvez contrôler qui peut configurer les réseaux et les sous-réseaux, ou mettre à jour les tables de routage, les groupes de sécurité de réseau ou les listes de sécurité. La configuration des politiques s'effectue dans l'API ou la console Oracle Cloud Infrastructure. Pour plus d'informations, voir Contrôle de l'accès.
  • Zones de sécurité : Pour garantir que le réseau et les autres ressources en nuage sont conformes aux principes de sécurité et aux meilleures pratiques Oracle, vous pouvez les créer dans une zone de sécurité. Une zone de sécurité est associée à un compartiment et vérifie toutes les opérations de gestion de réseau par rapport aux politiques de zone de sécurité. Par exemple, une zone de sécurité ne permet pas l'utilisation d'adresses IP publiques et ne peut contenir que des sous-réseaux privés. Pour plus d'informations, voir Aperçu des zones de sécurité.