Documentation sur Oracle Cloud Infrastructure

Groupes de sécurité de réseau

Sur Compute Cloud@Customer, un groupe de sécurité de réseau (NSG) fournit un pare-feu virtuel pour un jeu de ressources en nuage, dans un seul VCN, dont la situation en matière de sécurité est identique. Par exemple, un groupe d'instances de calcul qui exécutent toutes les mêmes tâches et qui doivent donc utiliser le même jeu de ports.

Les règles d'un groupe de sécurité de réseau sont appliquées aux cartes vNIC, mais leur appartenance au groupe est déterminée par leurs ressources parents. Tous les services en nuage ne prennent pas en charge les groupes de sécurité de réseau. Actuellement, les types de ressource parent suivants prennent en charge l'utilisation de groupes NSG :

  • instances de calcul : Lorsque vous créez une instance, vous pouvez spécifier un ou plusieurs groupes NSG pour sa carte VNIC principale. Si vous ajoutez une carte VNIC secondaire à une instance, vous pouvez spécifier un ou plusieurs groupes NSG pour cette carte. Vous pouvez également modifier l'appartenance des groupes de sécurité de réseau aux cartes vNIC existantes.

  • Équilibreurs de charge : Lorsque vous créez un équilibreur de charge, vous pouvez lui spécifier un ou plusieurs groupes NSG (et non pour le jeu dorsal). Vous pouvez également mettre à jour un équilibreur de charge pour qu'il utilise un ou plusieurs groupes NSG.

  • Cibles de montage : Lorsque vous créez une cible de montage pour un système de fichiers, vous pouvez spécifier un ou plusieurs groupes NSG. Vous pouvez également mettre à jour une cible de montage pour qu'elle utilise un ou plusieurs groupes NSG.

Pour les types de ressource qui ne prennent pas encore en charge les groupes de sécurité de réseau, continuez d'utiliser des listes de sécurité pour contrôler le trafic vers et depuis ces ressources parents.

Note

Vous ne pouvez pas associer une passerelle Internet à un groupe de sécurité de réseau.

Un groupe de sécurité de réseau contient deux types d'élément :

  • Cartes vNIC : Une ou plusieurs cartes, par exemple, les cartes associées au jeu d'instances de calcul ayant la même situation en matière de sécurité. Toutes les cartes vNIC doivent figurer dans le réseau VCN auquel le groupe NSG appartient. Une carte VNIC peut se trouver dans cinq groupes NSG au maximum.

  • Règles de sécurité : Règles qui définissent les types de trafic autorisés à entrer et à sortir des cartes vNIC du groupe. Par exemple : Le trafic SSH du port TCP 22 entrant provient d'une source particulière.

Voici le processus général d'utilisation des groupes de sécurité de réseau :

  1. Créez un groupe NSG.

    À la création, un NSG est initialement vide, sans règles de sécurité ni cartes vNIC. Une fois le groupe NSG créé, vous pouvez ajouter ou supprimer des règles de sécurité pour permettre les types de trafic entrant et sortant requis par les cartes vNIC du groupe.

  2. Ajoutez-lui des règles de sécurité.

  3. Ajoutez-lui des ressources parents ou, plus précisément, des cartes vNIC.

    Lorsque vous gérez l'appartenance d'une carte VNIC à un groupe NSG, vous utilisez la ressource parent et non le groupe lui-même. Pour ce faire, vous pouvez créer la ressource parent ou mettre à jour la ressource parent et l'ajouter à au moins un groupe de sécurité de réseau.

    Lorsque vous créez une instance de calcul et que vous l'ajoutez à un groupe NSG, la carte VNIC principale de l'instance l'est également. Vous pouvez créer des cartes vNIC secondaires séparément et, si nécessaire, les ajouter aux groupes NSG.

Le modèle d'API REST pour les groupes NSG présente quelques différences avec les listes de sécurité :

  • Dans le cas des listes de sécurité, il existe un objet IngressSecurityRule et un objet EgressSecurityRule distinct. Dans le cas des groupes de sécurité de réseau, il n'existe qu'un objet SecurityRule et l'attribut direction de l'objet détermine si la règle concerne le trafic entrant ou sortant.

  • Dans le cas des listes de sécurité, les règles font partie de l'objet SecurityList et, pour les utiliser, vous appelez les opérations de la liste de sécurité; par exemple : UpdateSecurityList. Dans le cas des groupes NSG, les règles ne font pas partie de l'objet NetworkSecurityGroup. Vous utilisez plutôt des opérations distinctes pour utiliser les règles d'un groupe NSG particulier; par exemple : UpdateNetworkSecurityGroupSecurityRules.

  • Le modèle pour la mise à jour des règles de sécurité existantes est différent entre les listes de sécurité et les groupes NSG. Avec les groupes de sécurité de réseau, chaque règle d'un groupe particulier a un identificateur unique. Lorsque vous appelez UpdateNetworkSecurityGroupSecurityRules, vous fournissez les ID des règles spécifiques à mettre à jour. Avec les listes de sécurité, les règles n'ont pas d'identificateur unique. Lorsque vous appelez UpdateSecurityList, vous devez transmettre la liste complète des règles, y compris les règles qui ne sont pas mises à jour lors de l'appel.

  • La limite est de 25 règles lors de l'appel des opérations d'ajout, de suppression ou de mise à jour des règles de sécurité.

Pour plus d'informations, voir Contrôle du trafic à l'aide des groupes de sécurité de réseau.