Assurer l'accès sécurisé au réseau
Adoptez les meilleures pratiques suivantes pour sécuriser vos réseaux en nuage virtuels, vos sous-réseaux, vos équilibreurs de charge et vos autres ressources de réseau.
Mettre en oeuvre les contrôles d'accès au réseau
Architecte d'entreprise, architecte de sécurité, architecte de réseau
- Définissez des politiques IAM appropriées pour limiter l'accès aux ressources de réseau aux seuls utilisateurs et groupes autorisés à gérer les ressources de réseau.
- Formulez une stratégie de sous-réseaux à niveau pour le réseau VCN :
- Sous-réseau DMZ pour les équilibreurs de charge.
- Sous-réseaux publics pour les hôtes accessibles de l'extérieur, tels que les serveurs d'applications Web et les instances qui exécutent des systèmes de détection d'intrusion.
- Sous-réseaux privés pour les hôtes internes, par exemple les bases de données.
- Les instances de calcul attachées à un sous-réseau privé ne peuvent avoir que des adresses IP privées.
- Attachez des hôtes sensibles à la sécurité (systèmes de base de données, par exemple) à des sous-réseaux privés. Pour la connectivité de ces hôtes à Internet, utilisez une passerelle NAT. Pour permettre aux hôtes d'accéder à d'autres services Oracle Cloud Infrastructure, utilisez une passerelle de service.
- Les groupes de sécurité de réseau fournissent un contrôle détaillé du flux de trafic entre vNICs contrôlé par le groupe de sécurité de réseau.
- Les listes de sécurité contrôlent le trafic qui peut circuler dans, à l'intérieur et à l'extérieur des sous-réseaux. Veillez à modifier ou détacher la liste de sécurité par défaut pour empêcher le trafic SSH de l'adresse IP 0.0.0.0/0.
- Configurez les listes de sécurité avec le nombre minimal de ports requis.
- Utilisez des groupes de sécurité de réseau pour contrôler l'accès à vos ressources dans les sous-réseaux privés et publics :
- Autoriser uniquement les flux de réseau requis pour une charge de travail en créant des groupes de sécurité pour chaque niveau de l'application.
- Ne pas autoriser le trafic latéral inutile à l'intérieur ou entre les niveaux d'application.
- N'autorisez pas les niveaux d'application à communiquer avec d'autres niveaux, sauf si nécessaire.
- Utilisez des règles de sécurité granulaires pour réguler la communication au sein du VCN, avec Internet, avec d'autres réseaux en nuage virtuels connectés au moyen de passerelles d'appairage et d'hôtes sur place.
- Pour configurer un système de détection d'intrusion et balayer tout le trafic sortant, utilisez la fonction de table de routage de VCN.
- Le flux de sous-réseau de VCN enregistre le flux de trafic dans un VCN. Activez les journaux de flux du sous-réseau VCN et surveillez régulièrement leur contenu.
- Lors de l'utilisation de plusieurs VCN, utilisez une passerelle de routage dynamique (DRG) pour créer un VCN central DMZ afin d'analyser le trafic est/ouest et nord/sud. Pour ce faire, vous pouvez utiliser le pare-feu de réseau OCI ou un boîtier de réseau de tierce partie.
- Activer le pare-feu d'application Web pour les services HTTPS publics.
- Empêchez l'accès non autorisé aux données en gérant la politique de sécurité de réseau séparément de l'architecture de réseau sous-jacente avec le routage de paquetage sans confiance pour Oracle Cloud Infrastructure.
- Mettez en oeuvre une passerelle de service pour un accès sécurisé aux services OCI.
Sécuriser les équilibreurs de charge
Architecte d'entreprise, architecte de sécurité, architecte de réseau
- Pour arrêter TLS au niveau de l'équilibreur de charge, utilisez un équilibreur de charge HTTP. Pour mettre fin à TLS sur un serveur dorsal, utilisez un équilibreur de charge TCP.
- Vous pouvez configurer l'accès réseau aux équilibreurs de charge en utilisant des groupes de sécurité de réseau ou des listes de sécurité.
- Définissez des politiques IAM pour limiter les autorisations de gestion des équilibreurs de charge à un jeu minimal d'utilisateurs et de groupes.
Limiter l'accès à l'aide des sources de réseau
Architecte d'entreprise, architecte de sécurité, architecte de réseau
Une source de réseau est un jeu d'adresses IP définies. Les adresses IP peuvent être des adresses IP publiques ou des adresses IP de réseaux en nuage virtuels dans votre location.Les ressources de réseau peuvent uniquement être créées dans la location (ou le compartiment racine) et, comme les autres ressources de gestion des identités, dans la région principale.
Vous pouvez utiliser des sources de réseau pour sécuriser votre location comme suit :
- Spécifiez la source de réseau dans une politique IAM pour restreindre l'accès aux ressources. Lorsqu'il est spécifié dans une politique, IAM valide que les demandes d'accès à une ressource proviennent d'une adresse IP autorisée. Par exemple, vous pouvez restreindre l'accès aux seaux de stockage d'objets de votre location uniquement aux utilisateurs connectés à Oracle Cloud Infrastructure au moyen de votre réseau d'entreprise. Ou, vous pouvez autoriser uniquement les ressources appartenant à des sous-réseaux spécifiques d'un VCN spécifique à effectuer des demandes sur une passerelle de service.
- Spécifiez la source de réseau dans les paramètres d'authentification de votre location pour limiter la connexion à la console. Vous pouvez configurer la politique d'authentification de votre location pour autoriser la connexion à la console à partir des seules adresses IP spécifiées dans votre source de réseau. Les utilisateurs qui tentent de se connecter à partir d'une adresse IP qui ne figure pas dans la liste autorisée de votre source de réseau se verront refuser l'accès.
Enregistrements et zones DNS sécurisés
Architecte d'entreprise, architecte de sécurité, architecte de réseau
Définir des politiques IAM afin de limiter les utilisateurs autorisés à modifier les zones et les enregistrements DNS.
Tirez parti des zones de sécurité dans Oracle Cloud Infrastructure
Architecte d'entreprise, architecte de sécurité, architecte de réseau
Lorsque vous démarrez un nouveau projet et que vous créez une nouvelle solution, il existe de nombreux conseils sur les meilleures pratiques, provenant de nombreuses sources différentes, telles que :
- Recommandations de fournisseurs
- Normes et politiques organisationnelles
- Cadres externes
- Conformité réglementaire
- Architectures de référence
Ces meilleures pratiques couvrent généralement une gamme de sujets de sécurité différents, notamment l'authentification, le chiffrement, le stockage, le contrôle d'accès, etc. Cependant, dans de nombreux cas, les conseils sur les meilleures pratiques sont ignorés. Nous l'avons tous vu à maintes reprises : les échéanciers des projets, les contraintes budgétaires, les lacunes dans les connaissances et les environnements commençant comme non-production peuvent tous signifier que les meilleures pratiques pertinentes ne sont pas suivies, ce qui conduit à un environnement non sécurisé et à une posture de sécurité faible.
Oracle Security Zones vise à vous aider à minimiser ce risque. Une zone de sécurité est un contrôle préventif qui, par nature, contient des données et des ressources sensibles, est restrictif de par sa conception. Par exemple, Oracle Security Zones sera lancé avec une politique de sécurité maximale activée. Cela suppose que l'accès public ne devrait pas être autorisé et que les données sensibles devraient être séparées autant que possible de l'Internet. La politique de sécurité applique ce poste en vous empêchant, en temps réel, de créer des ressources qui enfreindraient cette politique.
En savoir plus
- Meilleures pratiques de sécurité
- Sécurisation du service de réseau : VCN, équilibreurs de charge et DNS
- Utilisation d'une adresse IP privée comme cible de routage
- Gestion des modules d'écoute d'équilibreur de charge
- Architectures communes de la zone démilitarisée OCI (blogue)
- Pare-feu de réseau OCI - Inspection du trafic hub et satellite (blogue)