Note :

• Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Introduction à l' niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles propres à votre environnement en nuage.

Sécuriser vos applications à l'aide du pare-feu de réseau OCI et de la périphérie de réseau WAF OCI avec le chiffrement des certificats

Présentation

Dans un paysage dominé par la transformation numérique omniprésente, assurer la sécurité de vos applications n'est pas seulement une considération, c'est une priorité sans compromis. Alors que les organisations migrent leurs charges de travail vers Oracle Cloud Infrastructure (OCI), une stratégie de défense robuste contre les cybermenaces devient indispensable. OCI fournit une suite complète d'outils pour renforcer vos applications. Dans ce tutoriel, nous vous guiderons tout au long du processus de sécurisation de vos ressources numériques à l'aide du pare-feu de réseau OCI et du pare-feu d'application Web (WAF) pour OCI.

Pourquoi ce tutoriel est-il essentiel?

À mesure que vos applications communiquent avec le monde extérieur, elles font face au défi toujours présent des menaces de cybersécurité. Ce tutoriel vous aide à créer une défense multicouche, en protégeant vos applications contre les menaces connues et émergentes en tirant parti de la puissance du pare-feu de réseau OCI et de la périphérie WAF d'OCI. Nous explorerons des concepts importants, notamment le support multi-domaines et la génération ou le renouvellement de certificats X.509 à l'aide d'outils standard. De plus, nous explorerons l'utilisation du service largement reconnu et gratuit Chiffrons. Grâce à cela, vous acquerrez une compréhension complète des pratiques essentielles pour sécuriser vos applications.

A qui s'adresse ce tutoriel?

Ce tutoriel est destiné aux architectes en nuage, aux professionnels de la sécurité et aux développeurs qui souhaitent une compréhension approfondie des fonctions de sécurité d'Oracle Cloud Infrastructure. Que vous soyez un praticien chevronné du nuage ou que vous commenciez tout juste votre aventure dans la sécurité infonuagique, ce tutoriel vous donnera les compétences nécessaires pour construire une défense robuste autour de vos applications.

Qu'est-ce que le pare-feu de réseau OCI?

Oracle Cloud Infrastructure Network Firewall représente un service de pare-feu géré de pointe construit à l'aide de Palo Alto Networks. Il s'agit d'une technologie de pare-feu de nouvelle génération (NGFW). Il offre des capacités de pare-feu alimentées par l'apprentissage automatique pour protéger vos charges de travail OCI et est facile à utiliser sur OCI. En tant qu'offre de pare-feu en tant que service native OCI, le pare-feu de réseau OCI vous permet de tirer parti des fonctions du pare-feu sans avoir à configurer et à gérer une infrastructure de sécurité supplémentaire. L'instance de pare-feu de réseau OCI est hautement évolutive avec une haute disponibilité intégrée et peut être créée dans un réseau en nuage virtuel (VCN) et un sous-réseau de votre choix.

Le service de pare-feu de réseau OCI fournit des informations détaillées sur le flux de données entrant dans vos environnements en nuage, traitant à la fois les communications entrantes et inter-sous-réseaux ou inter-VCN. Il offre essentiellement une visibilité sur le trafic réseau Nord-Sud et le trafic réseau Est-Ouest. Pour plus d'informations, voir Pare-feu de réseau OCI.

Qu'est-ce que la périphérie de réseau du pare-feu d'application Web pour OCI?

La périphérie WAF pour OCI est un service de pare-feu d'application Web basé sur le nuage. Il protège les applications Web contre les menaces en ligne telles que l'injection SQL et les attaques DDoS en filtrant le trafic malveillant à la périphérie du réseau, améliorant ainsi la sécurité. Pour plus d'informations, voir Pare-feu d'application Web OCI.

Architecture

Cette architecture proposée inclura une protection totale pour les charges de travail de la location à l'aide des composants suivants.

• Politiques de périphérie de réseau WAF pour OCI : Ce service WAF est une entité externe qui protégera tout point d'extrémité et toute origine d'adresse IP publique (dans la terminologie WAF, les serveurs Web cibles sont nommés Origines).

• Équilibreur de charge OCI : Cet équilibreur de charge recevra des demandes uniquement à partir des adresses IP publiques en périphérie de réseau WAF OCI. Par conséquent, vous devez configurer votre équilibreur de charge, vos serveurs ou vos origines pour accepter le trafic provenant des serveurs en périphérie de réseau WAF OCI. Voici l'intervalle CIDR public des serveurs en périphérie de réseau WAF pour OCI : Intervalles CIDR. Dans cette architecture, nous utiliserons le groupe de sécurité de réseau pour accepter uniquement le trafic public provenant de ces intervalles CIDR.

• Pare-feu de réseau OCI : Il est également appelé pare-feu de prochaine génération, pare-feu de réseau OCI et WAF fonctionnant en tandem, créera une défense multicouche. Si une couche manque une menace, l'autre pourrait l'attraper, fournissant une posture de sécurité plus robuste.

Graphique du flux de données

Le flux de données réseau peut être facilement visible dans le diagramme de réseau suivant, les demandes entrantes en traits verts, les réponses en traits rouges.

Ce diagramme respecte les meilleures pratiques pour déployer le pare-feu de réseau OCI pour le trafic Nord-Sud. Au stade initial, le trafic entrant (indiqué en vert et fonctionnant à la couche 7) est dirigé au moyen du pare-feu de la couche 7 en périphérie du service WAF pour OCI. L'arête WAF pour OCI effectue l'arrêt et la réponse pour les connexions TLS/SSL, puis lance une connexion TLS/SSL secondaire vers OCI, en tant qu'agent utilisateur adossé.

Après le flux réseau, le trafic passe à la passerelle Internet OCI à partir de l'arête WAF OCI. Au sein de la passerelle Internet, une table de routage a été configurée pour rediriger le trafic vers une adresse IP privée où se trouve le pare-feu de réseau OCI. Il convient de noter que le pare-feu de réseau OCI reçoit le trafic de manière transparente sans mettre fin à la connexion TLS/SSL. Le pare-feu de réseau OCI applique des profils de déchiffrement pour déchiffrer le trafic TLS, ce qui permet une inspection approfondie des paquets. Pour plus d'informations, voir Utilisation du pare-feu de réseau OCI pour le déchiffrement SSL.

Une fois que le pare-feu de réseau OCI inspecte attentivement le trafic, il passe à l'équilibreur de charge OCI. L'équilibreur assume la responsabilité de mettre fin à la connexion TLS/SSL et d'y répondre. Il exécute le routage d'équilibrage de charge et lance ensuite une connexion secondaire vers le serveur dorsal sélectionné.

Pour le trafic de retour des serveurs dorsaux, les serveurs dorsaux répondent initialement à l'équilibreur de charge OCI (illustré en rouge et fonctionnant à la couche 7). Lorsque vous atteignez les équilibreurs de charge, une table de routage dans le sous-réseau de l'équilibreur de charge redirige le trafic vers une adresse IP privée où se trouve le pare-feu de réseau OCI. Cela permet au pare-feu de réseau OCI d'inspecter les réponses de manière complète. Une fois l'inspection terminée, le pare-feu de réseau OCI retourne à la passerelle Internet en fonction des commandes de table de routage associées au sous-réseau de pare-feu de prochaine génération (NGFW).

Par la suite, le trafic de retour atteint le bord WAF OCI pour l'inspection finale des réponses. Une fois que l'arête WAF pour OCI a terminé l'inspection, elle transmet le trafic à l'utilisateur sur Internet en toute sécurité.

Objectifs

L'objectif principal de ce tutoriel est de permettre aux utilisateurs de renforcer leurs charges de travail en nuage en configurant efficacement la périphérie WAF pour OCI en conjonction avec le pare-feu de réseau OCI. En intégrant des certificats X.509 signés de Let's Encrypt pour l'extrémité frontale du pare-feu d'application Web WAF pour OCI, les utilisateurs peuvent assurer une connexion sécurisée et validée. Le tutoriel guide en outre les utilisateurs dans la mise en oeuvre des meilleures pratiques de pare-feu de réseau OCI pour le trafic Nord-Sud, en déployant une application OCI Load Balancer. Notamment, cette configuration désigne stratégiquement l'arête WAF OCI comme seul composant à l'aide d'un certificat non auto-signé - Chiffrons le certificat, tandis que d'autres éléments utilisant le protocole TLS (Transport Layer Security) utilisent des certificats auto-signés sans tracas, qui sont plus faciles à gérer.

De plus, nous allons démontrer l'utilisation de plusieurs sous-domaines dans la périphérie WAF pour OCI et le pare-feu de réseau pour OCI, configurer la périphérie WAF pour OCI pour accepter les domaines avec caractères génériques et utiliser des domaines avec caractères génériques dans les certificats X.509.

• Tâche 1 : Déployer l'arête du pare-feu d'application Web (WAF) pour OCI.

• Tâche 2 : Configurer le DNS pour la périphérie de réseau WAF pour OCI.

• Tâche 3 : Activer la prise en charge HTTPS pour l'arête WAF pour OCI.

• Tâche 4 : Signature du certificat du serveur avec Let's Encrypt.

• Tâche 5 : Configurer l'équilibreur de charge OCI.

• Tâche 6 : Configurer le pare-feu de réseau OCI.

• Tâche 7 : Configurer le routage OCI.

Préalables

• Une location OCI active. Vous devez disposer des autorisations nécessaires pour créer et gérer des ressources de réseau dans OCI.

• Une compréhension de base du système d'exploitation Linux, d'OCI et d'Oracle Linux, notamment comment installer et configurer des logiciels sous Linux.

• Bien comprendre comment utiliser la console OCI ou l'interface de ligne de commande d'Oracle Cloud Infrastructure pour créer et gérer des ressources de réseau.

• Bonne compréhension de l'utilisation et de la configuration du pare-feu de réseau OCI et de la périphérie WAF pour OCI.

• Une bonne compréhension de la technologie SSL/TLS et des certificats numériques X.509. Pour plus d'informations, consultez ce guide recommandé pour une analyse approfondie des certificats X.509 : Certificats X509 et SSL/TLS : Comprendre la technologie de chiffrement TLS/SSL.

Tâche 1 : Déployer la périphérie de réseau du pare-feu d'application Web (WAF) OCI

Le premier composant que nous allons déployer est la périphérie WAF.

1. Connectez-vous à la console OCI et cliquez sur Pare-feu d'application Web.

   

2. Dans Politiques, cliquez sur Créer une politique WAF et entrez les informations suivantes.

   

   Pour créer une arête WAF OCI, cliquez sur Utiliser le flux de travail existant ici si vous devez sécuriser vos applications Web non OCI. Par défaut, une politique WAF locale est créée, utile pour être attachée aux équilibreurs de charge. Ce tutoriel se concentre sur l'arête WAF OCI (connue sous le nom de WAF de flux de travail existant) qui est un élément externe à OCI qui permettra de protéger les origines OCI et non OCI (serveurs IP publics). Notez que la périphérie WAF pour OCI est un produit différent de celui de la politique locale WAF pour OCI avec des fonctions telles que la gestion des robots (identification Captcha, identification JavaScript, identification de l'interaction humaine, etc.) et les règles de mise en mémoire cache (semblables au mécanisme de mise en mémoire cache du réseau de diffusion de contenu).

3. Dans Créer une politique de périphérie de réseau, entrez les informations requises.

   

   À ce stade, deux concepts cruciaux nécessitent des éclaircissements.

   • Domaines : L'arête WAF Domaine indique le domaine Internet accessible au public pour accéder à votre service Web (par exemple : www.myexamplewebshop.com). Ce domaine sert de point de connexion principal pour tous les utilisateurs, y compris ceux qui utilisent des appareils mobiles et des ordinateurs portables. Ce domaine prend uniquement en charge les ports TCP http 80 https 443 par défaut.

     Dans les domaines, vous pouvez ajouter le domaine principal de votre site Web (par exemple : www.example.com) et continuer à ajouter d'autres domaines supplémentaires (app1.example.com, customer1.example.com, etc.). Si vous voulez ajouter un domaine avec caractères génériques, vous devrez utiliser l'interface de ligne de commande OCI pour l'ajouter manuellement. Le moyen le plus rapide d'accéder à l'interface de ligne de commande OCI se fait au moyen des outils de développement OCI, Cloud Shell, où vous aurez accès à un terminal basé sur un navigateur Web à partir de la console OCI, avec un interpréteur de commandes Linux préconfiguré avec la dernière version de l'interface de ligne de commande OCI et un certain nombre d'outils utiles. Pour plus d'informations, voir Interface de ligne de commande OCI et Cloud Shell pour OCI

     Pour ajouter un domaine avec caractères génériques en tant que domaine supplémentaire, ouvrez OCI Cloud Shell et exécutez.

     oci waas waas-policy update --additional-domains '["*.yourmaindomain.xxx"]' --waas-policy-id your-WAF-policy-ID
     
     ( You can get your policy ID from OCI Web Console->Web application firewall->Policies->Policy details -> Policy Information Tab -> OCID )
     

     En utilisant des domaines avec caractères génériques, votre politique WAF pourra recevoir des demandes http(s), y compris tout sous-domaine, tel que \*.example.com. Par exemple : myapp1.example.com, mycustomer2.example.com, etc.

   • Origine WAF : nous avons l'origine de l'arête WAF. L'origine (s) fait référence au(x) serveur(s) Web réel(s) situé(s) derrière le WAF. Dans la terminologie WAF, l'origine signifie que les serveurs de destination finaux sont protégés. Ces origines doivent communiquer exclusivement avec les serveurs en périphérie WAF responsables de leur protection. Il est impératif de s'assurer que cette protection est assurée par les serveurs d'origine, généralement obtenue dans OCI au moyen de listes de sécurité ou de groupes de sécurité de réseau (NSG) qui permettent exclusivement l'accès à partir d'adresses IP sources en périphérie de réseau WAF OCI désignées. Pour plus d'informations, voir Sécurisation de votre service WAF. En général, vous entrez ici les adresses IP publiques ou les noms de domaine complets de vos serveurs Web ou origines réels. Toutefois, dans ce tutoriel, nous utiliserons l'adresse IP publique de l'équilibreur de charge flexible. Si un équilibreur de charge a déjà été créé, vous pouvez utiliser son adresse IP publique en tant qu'origine WAF. Sinon, vous pouvez initialement ajouter une adresse IP et la mettre à jour plus tard après avoir créé l'équilibreur de charge public.

     Vous pourrez créer différents groupes d'origines avec plusieurs origines par groupe et effectuer un équilibrage de charge entre eux (IP_Hash, Round_robin, Sticky_Cookie), y compris des vérifications d'état périodiques. Pour plus d'informations, voir Gestion de l'origine. En outre, sous les options d'origine avancées, vous pourrez modifier les ports TCP http 80 https 443 par défaut (uniquement pour les origines, et non pour les domaines).

4. Cliquez sur Créer une politique de périphérie de réseau. Cela prendra environ 2 minutes et nous verrons Création. Après cela, nous serons actifs, afin de continuer à configurer le service WAF pour OCI.

Tâche 2 : Configurer le DNS pour la périphérie de réseau WAF pour OCI

Maintenant, nous avons une configuration de base de la périphérie WAF pour OCI en cours d'exécution. Afin de s'assurer que les domaines principal et supplémentaire (y compris les caractères génériques) sont redirigés vers les serveurs en périphérie WAF pour OCI, nous devons configurer le serveur DNS hébergeant le domaine avec le CNAME correspondant affiché dans la console.

Dans ce tutoriel, nous utilisons le serveur DNS public OCI, en ajoutant CNAME pour la valeur proposée, comme illustré dans l'image suivante.

Une fois configurée et publiée, toute tentative de connexion à \*.example.com sera redirigée vers les serveurs en périphérie de réseau WAF OCI pour l'inspection de couche 7 à l'adresse www-example-com.o.waas.oci.oraclecloud.net. Une fois l'inspection terminée, la périphérie WAF pour OCI équilibrera la charge vers les origines configurées avec un trafic propre après l'inspection WAF.

Tâche 3 : Activer la prise en charge HTTPS pour l'arête WAF pour OCI

Dans cette tâche, nous activerons la prise en charge HTTPS sur notre périphérie WAF pour OCI. De nos jours, presque tous les services Web nécessitent une implémentation HTTP ou HTTPS sécurisée, en s'appuyant sur des connexions SSL/TLS. Il est crucial d'avoir une solide compréhension des concepts TLS/SSL, y compris la gestion X.509, pour permettre efficacement la prise en charge HTTPS non seulement en périphérie OCI WAF, mais également sur les composants logiciels à venir discutés dans ce tutoriel.

1. Allez à la console OCI et sous Politique de périphérie de réseau, cliquez sur Paramètres.

   

2. Pour activer HTTPS, cliquez sur Activer la prise en charge HTTPS.

   

Ici, vous devez charger le certificat du serveur avec sa clé privée. Ce certificat représentera le domaine principal et les domaines supplémentaires que vous choisissez lors de la création de l'arête WAF OCI. Il est donc essentiel que les champs de nom commun et de nom de remplacement de sujet (SAN) du certificat incluent ces domaines. Pour plus d'informations, voir Quel est le nom de remplacement du sujet du certificat SSL?

Si vous utilisez un certificat auto-inscrit, qui n'est pas signé par une autorité de certification publique, sélectionnez Certificat auto-inscrit. Lorsque vous chargez un certificat signé par une autorité de certification publique, il est important de s'assurer que vous chargez l'ensemble du certificat en chaîne. Un certificat de chaîne se compose d'une liste de certificats, commençant généralement par un certificat d'entité finale, votre certificat de serveur et sa clé publique, suivie d'un ou de plusieurs certificats d'autorité de certification (intermédiaires) et se terminant éventuellement par un certificat d'autorité de certification racine (auto-signé).

Tâche 4 : Certificat du serveur de signature avec Let's Encrypt

Dans ce tutoriel, nous utiliserons un service CA public gratuit appelé Let's Encrypt pour signer notre certificat de serveur. Par conséquent, le certificat de chaîne apparaîtra comme suit :

1.-End-user Certificate - Issued to: *.example.com; Issued By: Let’s Encrypt R3
2.-Intermediate Certificate 1 - Issued to: Let’s Encrypt R3 (RSA 2048, O = Let's Encrypt, CN = R3); Issued By: Signed by ISRG Root X1:ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
3.-Root certificate - Issued by and to: ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1) , Selfsigned

In PEM format:

-----BEGIN CERTIFICATE-----
MDIxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQswCQYDVQQD
EwJSMzAeFw0yNDAxMTUxNjAyMTNaFw0yNDA0MTQxNjAyMTJaMBgxFjAUBgNVBAMM
DSouZnd0ZXN0LnNpdGUwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC1
3NkuEB3r0m/cIWjYBvXEg8QAcib3QjkGO2YwDRu9IwjyxTYTqiWp0F8ZYh2hM1zP
...xxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
oIEdyb3VwMRUwEwYDVQQDEwxJU1JHIFJvb3QgWDEwHhcNMjAwOTA0MDAwMDAw
WhcNMjUwOTE1MTYwMDAwWjAyMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNTGV0J3Mg
RW5jcnlwdDELMAkGA1UEAxMCUjMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK
AoIBAQC7AhUozPaglNMPEuyNVZLD+ILxmaZ6QoinXSaqtSu5xUyxr45r+XXIo9cP
R5QUVTVXjJ6oojkZ9YI8QqlObvU7wy7bjcCwXPNZOOftz2nwWgsbvsCUJCWH+jdx
sxPnHKzhm+/b5Dt....XXXX
-----BEGIN CERTIFICATE-----
oOFTJOwT2e4ZvxCzSow/iaNhUd6shweU9GNx7C7ib1uYgeGJXDR5
bHbvO5BieebbpJovJsXQEOEO3tkQjhb7t/eo98flAgeYjzYIlefiN5YNNnWe+w5y
sR2bvAP5SQXYgd0FtCrWQemsAXaVCg/Y39W9Eh81LygXbNKYwagJZHduRze6zqxZ
Xmidf3LWicUGQSk+WT7dJvUsWqNMQB9GoZm1pzpRboY7nn1ypxIFeFntPlF4
FQsDj43QLwWyPntKHEtzBRL8xurgUBN8Q5N0s8p0544fAQjQMNRbcTa0B7rBMDBc
SLeCO5imfWCKoqMpgsy6vYMEG6KDA0Gh1gXxG8K28Kh8hjtGqEgqiNx2mna/H2ql
PRmP6zjzZN7IKw0KKP/32+IVQtQi0Cdd4Xn+GOd....xxx
-----END CERTIFICATE-----

Donc, avant d'utiliser Let's Encrypt, nous devons installer certains logiciels qui nous aideront à créer notre certificat Let's Encrypt ou à signer un CSR à signer. Pour plus d'informations, voir Chiffrement.

Pour la signature, nous allons utiliser certbot de Let's Encrypt. Pour plus d'informations sur les instructions de configuration, voir Instructions de configuration. Pour l'installer sur Oracle Linux, voir Chiffrer - Certificats gratuits sur Oracle Linux (CertBot).

Une fois que vous avez installé certbot, vous pouvez facilement créer un certificat x.509 signé en exécutant la commande suivante.

sudo certbot certonly --manual --preferred-challenges=dns --email YOUR EMAIL ADDRESS --server https://acme-v02.api.letsencrypt.org/directory --agree-tos -d *.example.com --key-type rsa

Comme nous utilisons un domaine générique (_.example.com), certbot nécessite un défi de vérification pour confirmer la propriété de _.example.com. Nous choisissons l'identification DNS à l'aide de l'option -preferred-challenges=dns. Lors de l'exécution de l'agent de certification, nous recevrons un message concernant l'identification DNS, comme illustré dans l'image suivante.

Comme nous utilisons un service DNS OCI, il suffit de créer un enregistrement txt dans la zone example.com.

Maintenant, certbot devrait terminer le processus, vous permettant d'obtenir le certificat de l'utilisateur final, avec la chaîne AC complète, et sa clé privée correspondante. Vous pouvez ensuite les charger dans le menu HTTPS du service WAF pour OCI de la tâche 3.

Une fois que vous avez chargé les certificats juste signés dans la tâche 3, vous verrez un message Vous avez 1 modification non publiée. Cliquez sur Tout publier, ce qui peut prendre environ 20 à 30 minutes.

À ce stade, votre périphérie WAF pour OCI est configurée pour recevoir le trafic HTTPS. Plus tard, lors de la création de l'équilibreur de charge OCI, vous devrez obtenir l'adresse IP publique de l'équilibreur de charge et la définir dans l'origine de la périphérie de réseau WAF pour OCI.

Tâche 5 : Configurer l'équilibreur de charge OCI

Après avoir terminé la configuration de la périphérie WAF pour OCI, notre prochain objectif consiste à déployer l'équilibreur de charge OCI de la couche 4 à 7, également appelé équilibreur de charge flexible OCI, pour servir d'origine de service orienté public pour la périphérie WAF pour OCI. Il est important de noter que l'équilibreur de charge OCI permet d'activer et d'attacher un service WAF OCI interne ou régional, fournissant des fonctions WAF. Toutefois, il convient de mentionner que cette région du service WAF pour OCI est un produit distinct avec son propre jeu unique de fonctions. Ce tutoriel porte spécifiquement sur la mise en oeuvre de la périphérie WAF pour OCI.

1. Ouvrez la console OCI, cliquez sur Réseau et sur Équilibreur de charge.

   

2. Cliquez sur Créer un équilibreur de charge, entrez les informations suivantes et cliquez sur Suivant.

   • Nom de l'équilibreur de charge : Entrez le nom de l'équilibreur de charge.
   • Sélectionner un type de visibilité : Sélectionnez l'équilibreur de charge Public. N'oubliez pas que l'arête WAF pour OCI protège uniquement les origines d'adresse IP publique.
   • Bande passante : Sélectionnez la forme de l'équilibreur de charge et d'autres détails de configuration.
   • Sélectionner un réseau : Sélectionnez un VCN avec au moins deux sous-réseaux publics, l'un pour l'équilibreur de charge OCI et l'autre pour le pare-feu de réseau OCI.

   Comme décrit dans Architecture, assurez-vous que l'équilibreur de charge accepte uniquement le trafic provenant de l'intervalle de serveurs en périphérie de réseau WAF OCI, voir Intervalles CIDR.

   Pour ce faire, appliquez des règles de pare-feu dans le groupe de sécurité de réseau, cliquez sur Utiliser les groupes de sécurité de réseau pour contrôler le trafic et utilisez un groupe de sécurité de réseau ou en configurant la liste de sécurité du sous-réseau de l'équilibreur de charge.

   

3. Ignorez la section Sélectionner des serveurs dorsaux, car nous ajouterons des serveurs dorsaux plus tard une fois l'équilibreur de charge créé, puis cliquez sur Suivant.

4. Dans Configurer le module d'écoute, entrez les informations suivantes et cliquez sur Suivant.

   

   Nous configurerons les modules d'écoute d'équilibreur de charge des demandes entrantes, essentiellement le point d'entrée principal pour l'équilibreur de charge où nous recevons toutes les connexions du monde extérieur. Nous aurons besoin de configurer HTTPS pour HTTP sécurisé sur le port par défaut 443, ce qui nécessite inévitablement l'utilisation de certificats X.509 (certificats SSL). En utilisant HTTPS, nous veillerons à ce que toutes les connexions soient chiffrées en toute sécurité.

   Dans un scénario type où l'équilibreur de charge public sert de point d'entrée principal pour les utilisateurs finaux sur Internet, il est impératif de charger des certificats SSL signés par une autorité de certification publique réputée, telle que Digicert, Global Sign, Let's Encrypt, etc. En outre, ces certificats exposés à Internet doivent être renouvelés vers leurs dates d'expiration afin de s'assurer que les clients ne rencontrent pas de messages inutiles tels que Votre connexion n'est pas privée!! ERR_CERT_DATE_INVALID.

   Dans ce tutoriel, nous utilisons la périphérie WAF pour OCI comme point d'entrée principal pour les utilisateurs accédant aux services Web sur Internet. Les équilibreurs de charge publics, qui sont à l'origine de nos services, seront positionnés derrière la périphérie WAF pour OCI, ce qui signifie qu'ils ne recevront que le trafic provenant des noeuds de bordure WAF pour OCI. En raison de cette configuration, il n'est pas nécessaire de charger un certificat SSL d'une autorité de certification publique vers l'équilibreur de charge. Au lieu de cela, nous pouvons facilement installer un certificat SSL auto-signé sans date d'expiration ou très long, ce qui simplifie la gestion.

   Il est important de noter que la périphérie du service WAF pour OCI n'inspectera pas les détails des certificats SSL reçus de l'équilibreur de charge, tels que le nom commun ou l'autre nom du sujet, et qu'elle n'inspectera pas non plus la signature du certificat. Néanmoins, il établira toujours une connexion sécurisée et chiffrée entre l'arête WAF pour OCI et l'origine cible de l'équilibreur de charge pour OCI.

   Nous avons créé un certificat auto-signé à l'aide de n'importe quel outil externe tel que openssl ou XCA. Vous pouvez également utiliser le service géré de certificats Oracle qui est intégré à l'équilibreur de charge OCI. Dans ce tutoriel, nous avons utilisé XCA pour créer le certificat auto-signé et le charger manuellement dans l'équilibreur de charge OCI, avec sa clé privée. Le certificat auto-signé chargé utilise n'importe quel nom commun ou SAN et a un délai d'expiration de 50 ans. Le service WAF pour OCI n'inspectera pas ces informations.

5. L'option Gérer la journalisation est une configuration facultative qui ne fait pas partie de la portée de ce tutoriel. Cliquez sur Soumettre.

6. Après un certain temps, votre équilibreur de charge sera créé. Maintenant, nous devons configurer les serveurs dorsaux. Comme SSL sera utilisé pour les serveurs dorsaux, nous devons d'abord créer au moins un certificat dans la section de certificat de l'équilibreur de charge qui sera utilisée pour configurer la connexion SSL vers les serveurs dorsaux. Comme décrit ci-dessus, cet ensemble de certificats peut être créé manuellement à l'aide d'outils de tierce partie ou vous pouvez utiliser le service de gestion des certificats OCI. Pour ce tutoriel, nous allons utiliser l'outil XCA.

   Allez à Réseau, Équilibreurs de charge, Équilibreur de charge, Détails de l'équilibreur de charge et Certificats.

7. Dans la section Certificat, sélectionnez Ressource de certificat Gestion du certificat par l'équilibreur de charge et cliquez sur Ajouter un certificat.

   

   Ajoutez le certificat AC racine ou intermédiaire public que vous avez utilisé pour signer les certificats SSL du serveur dorsal. Pour rappel, nous avons utilisé des certificats auto-signés avec un nom et un SAN communs, et sans date d'expiration. Vous n'avez pas besoin d'installer de certificats de serveur ici, car l'équilibreur de charge n'utilisera que l'autorité de certification racine pour la validation des certificats de serveur dorsal.

   

8. Pour créer les serveurs dorsaux, sélectionnez BackEnd jeux et cliquez sur Créer un jeu dorsal.

   

9. Dans Créer un jeu dorsal, entrez les informations suivantes.

   • Nom du jeu dorsal : Entrez le nom du jeu dorsal.
   • Sélectionnez SSL.
   • Sélectionnez Équilibreur de charge gérer le certificat.
   • Ajoutez le certificat que vous avez créé à l'étape 7. Pour vous assurer que l'équilibreur de charge vérifie la signature de certificat SSL reçu, cliquez sur Vérifier le certificat pair.
   • Vérifications d'état :
     • Protocole : Sélectionnez HTTP.
     • Port : Sélectionnez le port 443.
     • Intervalles et temporisation : Conserver l'intervalle et la temporisation par défaut (10000 et 3000 ms).
     • Pour la réponse de la vérification de l'état, sélectionnez 200.
     • Chemin de l'URL (URI) : Ajoutez toute ressource à partir de l'URL qui existe sur le serveur Web. Par exemple : index.html, mainpage.html, etc.

   

Tâche 6 : Configurer le pare-feu de réseau OCI

Une fois l'équilibreur de charge OCI configuré, notre objectif est de configurer un pare-feu de réseau OCI pour protéger le trafic Nord-Sud. Le pare-feu sera positionné entre l'équilibreur de charge nouvellement configuré et la passerelle Internet. Pour poursuivre la configuration du pare-feu de réseau OCI, voir Utiliser le pare-feu de réseau OCI pour le mandataire de transmission SSL et l'inspection entrante à l'aide de la règle de déchiffrement et effectuer les opérations suivantes.

• Déployer la politique de pare-feu de réseau OCI pour le mode d'inspection entrante SSL. Pour plus d'informations, voir Utilisation du pare-feu de réseau OCI pour le déchiffrement SSL.

• Lors de la création de la clé secrète mappée pour le profil de déchiffrement, utilisez le certificat auto-signé identique (contenant à la fois des clés publiques et privées) qui a été précédemment chargé dans le module d'écoute de l'équilibreur de charge OCI. Nous vous recommandons de suivre ce tutoriel pour la création de fichiers JSON. Voir Créer des modèles JSON entièrement compatibles à partir de certificats PEM personnalisés pour le pare-feu de réseau OCI.

• Déployez le pare-feu de réseau OCI dans le sous-réseau de publication GNFW (192.168.5.0/24) tout en attachant la politique de pare-feu de réseau OCI créée précédemment. Cette action affectera une adresse IP privée du sous-réseau mentionné au pare-feu de réseau OCI, qui sera nécessaire pour acheminer la configuration plus tard.

Tâche 7 : Configurer le routage OCI

Le pare-feu de réseau OCI a été déployé. Nous devons nous assurer que le trafic Nord-Sud le traverse dans les deux sens. La première chose à faire est de créer une table de routage dédiée pour la passerelle Internet associée au VCN où se trouve le pare-feu de réseau OCI.

1. Créez la table de routage dans le VCN et ajoutez une entrée de Type de cible en tant que private IP, Destination en tant que bloc CIDR, introduisant le bloc CIDR du sous-réseau de l'équilibreur de charge, pour ce tutoriel 192.168.6.0/24 et Cible en tant qu'adresse IP privée affectée au pare-feu de réseau OCI déployé dans la tâche 6.

   

2. Associez la table de routage à la passerelle Internet, cliquez sur trois points et Associer une table de routage, puis sélectionnez la table de routage.

   

3. Une fois cette table de routage associée à la passerelle Internet, tout le trafic dirigé vers l'équilibreur de charge public 192.168.6.0/24 sera initialement redirigé vers l'adresse IP privée 192.168.5.78, où réside le pare-feu de réseau OCI.

   À partir de l'adresse IP privée 192.168.5.78 du pare-feu de réseau OCI, après l'inspection des paquets à partir du pare-feu de réseau OCI, le paquet continuera son parcours vers l'équilibreur de charge OCI. De là, ils sont dirigés vers leur destination finale parmi les serveurs dorsaux sélectionnés, déterminés par la configuration d'acheminement de l'équilibreur de charge.

   Maintenant, il est essentiel de s'assurer que les paquets retournant aux utilisateurs d'Internet suivent le même chemin dans l'ordre inverse, en traversant le pare-feu de réseau OCI pour l'inspection des réponses. Nous devons créer une table de routage pour le sous-réseau public de l'équilibreur de charge afin d'acheminer les réponses des serveurs dorsaux au moyen de l'adresse IP privée 192.168.5.78 du pare-feu de réseau OCI, comme illustré dans l'image suivante.

   

À partir du sous-réseau du pare-feu de réseau OCI, nous devons nous assurer que les réponses sont acheminées vers la passerelle Internet, en ajoutant une route 0.0.0.0/0 à la passerelle Internet.

Après avoir atteint la passerelle Internet, les ensembles sont réacheminés vers leur source, la périphérie du service WAF pour OCI, pour inspection finale des réponses, avant d'être dirigés vers les utilisateurs d'Internet.

Liens connexes

• Aperçu du pare-feu de réseau OCI

• Configuration de l'authentification avec certificat

• Utilisation du pare-feu de réseau OCI pour le déchiffrement SSL

• Pare-feu de réseau OCI - concepts et déploiement

• Équilibreur de charge OCI

• Pare-feu d'application Web OCI (WAF)

Confirmation

• Auteurs - Luis Catalán Hernández (spécialiste du réseau en nuage OCI et multinuage), Sachin Sharma (spécialiste du réseau en nuage OCI)

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur la page docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal YouTube d'Oracle Learning. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.

---

Titre et droits d'auteur

Secure Your Applications using OCI Network Firewall and OCI WAF Edge with Let's Encrypt Certificates

F94465-01

March 2024

Copyright © 2024, Oracle and/or its affiliates.