Listes de sécurité

Sur Compute Cloud@Customer, une liste de sécurité sert de pare-feu virtuel à une instance, avec les règles entrantes et sortantes qui spécifient les types de trafic permis d'entrée et de sortie.

Chaque liste de sécurité est appliquée au niveau de la carte VNIC. En revanche, vous configurez vos listes de sécurité au niveau du sous-réseau, ce qui signifie que toutes les cartes vNIC d'un sous-réseau particulier sont soumises au même jeu de listes de sécurité.

Les listes de sécurité s'appliquent à une carte VNIC particulière, qu'elle communique avec une autre instance du VCN ou avec un hôte externe au VCN. Plusieurs listes de sécurité peuvent être associées à chaque sous-réseau et chaque liste peut comporter plusieurs règles.

Chaque réseau VCN est accompagné d'une liste de sécurité par défaut. Si vous ne spécifiez pas de liste de sécurité personnalisée pour un sous-réseau, la liste par défaut est automatiquement utilisée avec ce dernier. Vous pouvez ajouter et supprimer des règles dans la liste de sécurité par défaut. Il comporte un jeu initial de règles avec état, qui doit être modifié pour autoriser uniquement le trafic entrant provenant de sous-réseaux autorisés. Les règles par défaut sont les suivantes :

• Entrée avec état : Autorise le trafic TCP sur le port de destination 22 (SSH) depuis les adresses IP sources autorisées et tout port source.

  Cette règle vous permet de créer un réseau en nuage et un sous-réseau public, de créer une instance Linux et d'utiliser SSH immédiatement pour vous connecter à cette instance sans écrire de règle de liste de sécurité vous-même.

  La liste de sécurité par défaut n' comprend aucune règle autorisant l'accès au protocole RDP. Si vous utilisez des images Compute Cloud@Customer, ajoutez une règle de trafic entrant avec état pour le trafic TCP sur le port de destination 3389 à partir des adresses IP sources autorisées et de tout port source.

• Trafic entrant avec état : Permet au trafic ICMP de type 3 code 4 à partir des adresses IP sources autorisées.

  Cette règle permet aux instances de recevoir les messages de fragmentation de détection de MTU de chemin.

• Trafic entrant avec état : Autorise le trafic ICMP de type 3 ( tous les codes) à partir de votre bloc CIDR de VCN.

  Cette règle permet aux instances de recevoir les messages d'erreur de connectivité d'autres instances du VCN.

• Trafic sortant avec état : Autorise tout le trafic.

  Les instances peuvent ainsi lancer un trafic de tout type vers n'importe quelle destination. Cela implique que les instances ayant des adresses IP publiques peuvent parler à n'importe quelle adresse IP Internet si le VCN possède une passerelle Internet configurée. Puisque les règles de sécurité avec état utilisent le suivi de connexion, le trafic de réponse est autorisé automatiquement, peu importe les règles de trafic entrant.

Voici le processus général d'utilisation des listes de sécurité :

1. Créez une liste de sécurité.

2. Ajoutez-lui des règles de sécurité.

3. Associez la liste de sécurité à un ou plusieurs sous-réseaux.

4. Créez des ressources, telles que des instances de calcul, dans le sous-réseau.

   Les règles de sécurité s'appliquent à toutes les cartes vNIC de ce sous-réseau.

Lorsque vous créez un sous-réseau, vous devez l'associer à au moins une liste de sécurité. Il peut s'agir de la liste de sécurité par défaut du VCN ou d'une ou de plusieurs autres listes de sécurité que vous avez déjà créées. Vous pouvez modifier les listes de sécurité utilisées par le sous-réseau à tout moment. Vous pouvez ajouter et supprimer des règles dans la liste de sécurité. Il est possible qu'une liste de sécurité ne contienne aucune règle.

Pour plus d'informations, voir Contrôle du trafic à l'aide de listes de sécurité.