Présentation de Bastion

Les concepts suivants sont essentiels pour comprendre le service Bastion.

Bastion

Les bastions sont des entités logiques qui fournissent un accès public sécurisé aux ressources cible dans le cloud que vous ne pouvez pas atteindre à partir d'Internet. Les bastions résident dans un sous-réseau public et établissent l'infrastructure réseau nécessaire pour connecter un utilisateur à une ressource cible dans un sous-réseau privé . L'intégration au service IAM fournit l'authentification et les autorisations utilisateur. Les bastions fournissent une couche supplémentaire de sécurité via la configuration des listes d'autorisation de bloc CIDR. Les listes d'autorisation de bloc CIDR client indiquent quelles adresses IP ou plages d'adresses IP peuvent se connecter à une session hébergée par le bastion.

Pour plus d'informations sur les sous-réseaux privés, reportez-vous à Options de connectivité.

Session

Les sessions de bastion permettent aux utilisateurs autorisés détenteurs de la clé privée dans une paire de clés SSH de se connecter à une ressource cible pendant une durée prédéterminée. Vous fournissez la clé publique dans la paire de clés SSH au moment de la création de la session, puis la clé privée lors de la connexion. En plus de présenter la clé privée, un utilisateur autorisé doit également tenter d'établir la connexion SSH à la ressource cible à partir d'une adresse IP figurant dans la plage autorisée par la liste d'autorisation de bloc CIDR client du bastion.

Pour en savoir plus, reportez-vous à Types de session.

Ressource cible

Une ressource cible est une entité qui réside dans le réseau cloud virtuel  de votre organisation, auquel vous pouvez vous connecter à l'aide d'une session hébergée sur un bastion.

Hôte cible

Un hôte cible est un type spécifique de ressource cible qui permet d'accéder à un système d'exploitation Linux ou Windows via SSH (port 22 par défaut). Les instances  de calcul et les systèmes de base de données  de machine virtuelle sont des exemples d'hôte cible.

Le service Bastion reconnaît trois types de session. Le type de session que vous créez ou auquel vous choisissez de vous connecter dépend du type de ressource cible.

Session SSH gérée

Autorise l'accès SSH à une instance de calcul qui répond à toutes les exigences suivantes :

• L'instance doit exécuter une image de plate-forme Linux (Windows n'est pas pris en charge).
• L'instance doit exécuter un serveur OpenSSH.
• L'instance doit exécuter l'agent Oracle Cloud.

• Le module d'extension Bastion doit être activé sur l'agent Oracle Cloud.

L'agent est activé par défaut sur les instances de calcul créées à partir de certaines images Compute (en particulier celles fournies par Oracle). Dans certains cas, vous devez activer l'agent sur l'instance avant de créer une session. Le module d'extension Bastion n'est pas activé par défaut et doit être activé avant de créer une session.

Session de transmission de port SSH

Aucun serveur OpenSSH ou agent Oracle Cloud ne doit être exécuté sur la ressource cible.

La transmission de port (également appelée tunneling SSH) crée une connexion sécurisée entre un port spécifique sur l'ordinateur client et un port spécifique sur la ressource cible. A l'aide de cette connexion, vous pouvez relayer d'autres protocoles. Vous pouvez créer un tunnel pour la plupart des services et protocoles TCP via SSH, notamment :

• RDP (Remote Desktop Protocol)
• Oracle Net Services
• MySQL

Par exemple, vous pouvez utiliser une session de transmission de port SSH pour connecter Oracle SQL Developer à l'adresse privée d'une base de données Autonomous Database pour le traitement des transactions et les charges globales mixtes.

La connexion étant cryptée à l'aide de SSH, la transmission de port peut également être utile pour transmettre des informations qui utilisent un protocole non crypté tel que VNC (Virtual Network Computing).

SESSION DYNAMIC PORT FORWARDING (SOCKS5)

Une session de transfert de port dynamique (SOCKS5) présente les mêmes avantages qu'une session de transfert de port SSH, mais vous permet de vous connecter dynamiquement à n'importe quelle ressource cible dans un sous-réseau privé. Contrairement aux autres types de session que vous configurez pour vous connecter à une ressource cible spécifique (adresse IP ou nom DNS), à l'aide d'une session de transfert de port dynamique (SOCKS5), vous créez un tunnel vers un sous-réseau cible et le client décide de la ressource et du port auxquels vous connecter.

Bastion est disponible dans toutes les régions commerciales Oracle Cloud Infrastructure. Reportez-vous à A propos des régions et des domaines de disponibilité afin d'obtenir la liste des régions disponibles pour Oracle Cloud Infrastructure, ainsi que les emplacements associés, les identificateurs de région, les clés de région et les domaines de disponibilité.

Le service Bastion prend en charge les bastions et les sessions en tant que ressources Oracle Cloud Infrastructure. La plupart des types de ressource possèdent un identificateur unique affecté par Oracle appelé ID Oracle Cloud (OCID). Pour plus d'informations sur le format OCID et les autres moyens d'identifier vos ressources, reportez-vous à Identificateurs de ressource.

Vous pouvez accéder à Bastion à l'aide de la console (interface basée sur un navigateur), de l'interface de ligne de commande ou de l'API REST. Les instructions concernant la console, l'interface de ligne de commande et l'API sont incluses dans les rubriques de ce guide.

Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Pour accéder à la page de connexion à la console, ouvrez le menu de navigation en haut de cette page et cliquez sur Console Infrastructure. Vous êtes invité à saisir votre locataire cloud, votre nom utilisateur et votre mot de passe.

Pour obtenir la liste des kits SDK disponibles, reportez-vous à Kits SDK et interface de ligne de commande. Pour obtenir des informations générales sur l'utilisation des API, reportez-vous à la documentation relative à l'API REST.

En plus de la création de stratégies IAM, il existe d'autres meilleures pratiques de sécurité pour Bastion.

Par exemple :

• Optimiser la sécurité SSH
• Intégrer des instances cible avec IAM et activer l'authentification à plusieurs facteurs
• Effectuer un audit de sécurité des opérations Bastion

Reportez-vous à Sécurisation de Bastion.

Les bastions sont des services gérés par Oracle. Vous utilisez un bastion pour créer des sessions SSH (Secure Shell) qui permettent d'accéder à d'autres ressources privées. Toutefois, vous ne pouvez pas vous connecter directement à un bastion via SSH et l'administrer ou le surveiller comme un hôte traditionnel.

Pour surveiller l'activité de vos bastions, le service Bastion s'intègre aux autres services dans Oracle Cloud Infrastructure.

• Le service Audit enregistre automatiquement les appels vers toutes les adresses d'API Bastion publiques en tant qu'entrées de journal. Reportez-vous à Présentation d'Audit.
• Le service Monitoring vous permet de surveiller vos ressources Bastion à l'aide d'alarmes et de mesures. Reportez-vous à Mesures de Bastion.
• Le service Events permet à vos équipes de développement à réagir automatiquement lorsqu'une ressource Bastion change d'état. Reportez-vous à Evénements Bastion.

Les bastions ont des limites de service, mais n'entraînent pas de coûts.

Reportez-vous à Limites de service pour obtenir la liste des limites applicables et des instructions de demande d'augmentation de limite.

Pour obtenir des instructions sur la consultation de votre niveau d'utilisation par rapport aux limites de ressource de la location, reportez-vous à Visualisation de l'utilisation, des quotas et des limites de service.