Présentation de Bastion

Oracle Cloud Infrastructure Bastion fournit un accès restreint et limité dans le temps aux ressources cible qui ne disposent pas d'adresses publiques.

Les bastions permettent aux utilisateurs autorisés de se connecter à partir d'adresses IP spécifiques à des ressources cible à l'aide de sessions SSH (Secure Shell). Lorsqu'ils sont connectés, les utilisateurs peuvent interagir avec la ressource cible à l'aide de n'importe quel logiciel ou protocole pris en charge par SSH. Par exemple, vous pouvez utiliser RDP (Remote Desktop Protocol) pour vous connecter à un hôte Windows ou Oracle Net Services pour vous connecter à une base de données.

Les cibles peuvent inclure des ressources telles que les instances de calcul, les systèmes de base de données et les bases de données Autonomous Database pour le traitement des transactions et les charges globales mixtes.

Les bastions sont essentiels dans les locations avec des contrôles de ressources plus stricts. Par exemple, vous pouvez utiliser un bastion pour accéder aux instances Compute dans les compartiments associés à une zone de sécurité. Les instances d'une zone de sécurité ne peuvent pas avoir d'adresses publiques.

L'intégration à Oracle Cloud Infrastructure Identity and Access Management (IAM) vous permet de contrôler qui peut accéder à un bastion ou à une session et ce qu'ils peuvent faire avec ces ressources.

Conseil

Regardez une vidéo de présentation du service.

Concepts relatifs à Bastion


Le client se connecte à une session sur un bastion à l'aide d'un client SSH ou d'un tunnel SSH. Les deux sessions se connectent à une instance et à une base de données dans un sous-réseau privé. Le réseau cloud virtuel qui contient le sous-réseau privé dispose d'une passerelle de service.

Les concepts suivants sont essentiels pour comprendre le service Bastion.

Bastion
Les bastions sont des entités logiques qui fournissent un accès public sécurisé aux ressources cible dans le cloud que vous ne pouvez pas atteindre à partir d'Internet. Les bastions résident dans un sous-réseau public et établissent l'infrastructure réseau nécessaire pour connecter un utilisateur à une ressource cible dans un sous-réseau privé . L'intégration au service IAM fournit l'authentification et les autorisations utilisateur. Les bastions fournissent une couche supplémentaire de sécurité via la configuration des listes d'autorisation de bloc CIDR. Les listes d'autorisation de bloc CIDR client indiquent quelles adresses IP ou plages d'adresses IP peuvent se connecter à une session hébergée par le bastion.
Pour plus d'informations sur les sous-réseaux privés, reportez-vous à Options de connectivité.
Session
Les sessions de bastion permettent aux utilisateurs autorisés détenteurs de la clé privée dans une paire de clés SSH de se connecter à une ressource cible pendant une durée prédéterminée. Vous fournissez la clé publique dans la paire de clés SSH au moment de la création de la session, puis la clé privée lors de la connexion. En plus de présenter la clé privée, un utilisateur autorisé doit également tenter d'établir la connexion SSH à la ressource cible à partir d'une adresse IP figurant dans la plage autorisée par la liste d'autorisation de bloc CIDR client du bastion.
Pour en savoir plus, reportez-vous à Types de session.
Ressource cible
Une ressource cible est une entité qui réside dans le réseau cloud virtuel  de votre organisation, auquel vous pouvez vous connecter à l'aide d'une session hébergée sur un bastion.
Hôte cible
Un hôte cible est un type spécifique de ressource cible qui permet d'accéder à un système d'exploitation Linux ou Windows via SSH (port 22 par défaut). Les instances  de calcul et les systèmes de base de données  de machine virtuelle sont des exemples d'hôte cible.
Remarque

Un bastion est associé à un seul réseau cloud virtuel. Vous ne pouvez pas créer de bastion dans un VCN, puis l'utiliser pour accéder aux ressources cible dans un autre VCN.

Types de session

Le service Bastion reconnaît trois types de session. Le type de session que vous créez ou auquel vous choisissez de vous connecter dépend du type de ressource cible.

Session SSH gérée

Autorise l'accès SSH à une instance de calcul qui répond à toutes les exigences suivantes :

  • L'instance doit exécuter une image de plate-forme Linux (Windows n'est pas pris en charge).
  • L'instance doit exécuter un serveur OpenSSH.
  • L'instance doit exécuter l'agent Oracle Cloud.
  • Le module d'extension Bastion doit être activé sur l'agent Oracle Cloud.

L'agent est activé par défaut sur les instances de calcul créées à partir de certaines images Compute (en particulier celles fournies par Oracle). Dans certains cas, vous devez activer l'agent sur l'instance avant de créer une session. Le module d'extension Bastion n'est pas activé par défaut et doit être activé avant de créer une session.

Session de transmission de port SSH

Aucun serveur OpenSSH ou agent Oracle Cloud ne doit être exécuté sur la ressource cible.

La transmission de port (également appelée tunneling SSH) crée une connexion sécurisée entre un port spécifique sur l'ordinateur client et un port spécifique sur la ressource cible. A l'aide de cette connexion, vous pouvez relayer d'autres protocoles. Vous pouvez créer un tunnel pour la plupart des services et protocoles TCP via SSH, notamment :

  • RDP (Remote Desktop Protocol)
  • Oracle Net Services
  • MySQL

Par exemple, vous pouvez utiliser une session de transmission de port SSH pour connecter Oracle SQL Developer à l'adresse privée d'une base de données Autonomous Database pour le traitement des transactions et les charges globales mixtes.

La connexion étant cryptée à l'aide de SSH, la transmission de port peut également être utile pour transmettre des informations qui utilisent un protocole non crypté tel que VNC (Virtual Network Computing).

SESSION DYNAMIC PORT FORWARDING (SOCKS5)

Une session de transfert de port dynamique (SOCKS5) présente les mêmes avantages qu'une session de transfert de port SSH, mais vous permet de vous connecter dynamiquement à n'importe quelle ressource cible dans un sous-réseau privé. Contrairement aux autres types de session que vous configurez pour vous connecter à une ressource cible spécifique (adresse IP ou nom DNS), à l'aide d'une session de transfert de port dynamique (SOCKS5), vous créez un tunnel vers un sous-réseau cible et le client décide de la ressource et du port auxquels vous connecter.

Régions et domaines de disponibilité

Bastion est disponible dans toutes les régions commerciales Oracle Cloud Infrastructure. Reportez-vous à A propos des régions et des domaines de disponibilité afin d'obtenir la liste des régions disponibles pour Oracle Cloud Infrastructure, ainsi que les emplacements associés, les identificateurs de région, les clés de région et les domaines de disponibilité.

Identificateurs de ressource

Le service Bastion prend en charge les bastions et les sessions en tant que ressources Oracle Cloud Infrastructure. La plupart des types de ressource possèdent un identificateur unique affecté par Oracle appelé ID Oracle Cloud (OCID). Pour plus d'informations sur le format OCID et les autres moyens d'identifier vos ressources, reportez-vous à Identificateurs de ressource.

Méthodes d'accès à Bastion

Vous pouvez accéder à Bastion à l'aide de la console (interface basée sur un navigateur), de l'interface de ligne de commande ou de l'API REST. Les instructions concernant la console, l'interface de ligne de commande et l'API sont incluses dans les rubriques de ce guide.

Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Pour accéder à la page de connexion à la console, ouvrez le menu de navigation en haut de cette page et cliquez sur Console Infrastructure. Vous êtes invité à saisir votre locataire cloud, votre nom utilisateur et votre mot de passe.

Pour obtenir la liste des kits SDK disponibles, reportez-vous à Kits SDK et interface de ligne de commande. Pour obtenir des informations générales sur l'utilisation des API, reportez-vous à la documentation relative à l'API REST.

Authentification et autorisation

Chaque service d'Oracle Cloud Infrastructure s'intègre à IAM pour l'authentification et l'autorisation, sur toutes les interfaces (consolekit SDK ou interface de ligne de commande, et API REST).

Un administrateur de votre organisation doit configurer des groupes , des compartiments  et des stratégies  qui déterminent quels utilisateurs peuvent accéder à tels services et à telles ressources, ainsi que le type d'accès. Par exemple, les stratégies déterminent qui peut créer des utilisateurs, créer et gérer le réseau cloud, lancer des instances, créer des buckets, télécharger des objets, etc. Pour plus d'informations, reportez-vous à Introduction aux stratégies.

Si vous êtes un utilisateur standard (et non un administrateur) et que vous avez besoin des ressources Oracle Cloud Infrastructure de votre entreprise, contactez l'administrateur afin qu'il configure pour vous un ID utilisateur. L'administrateur peut confirmer les compartiments que vous devez utiliser.

Sécurité

En plus de la création de stratégies IAM, il existe d'autres meilleures pratiques de sécurité pour Bastion.

Par exemple :

  • Optimiser la sécurité SSH
  • Intégrer des instances cible avec IAM et activer l'authentification à plusieurs facteurs
  • Effectuer un audit de sécurité des opérations Bastion

Reportez-vous à Sécurisation de Bastion.

Surveillance

Les bastions sont des services gérés par Oracle. Vous utilisez un bastion pour créer des sessions SSH (Secure Shell) qui permettent d'accéder à d'autres ressources privées. Toutefois, vous ne pouvez pas vous connecter directement à un bastion via SSH et l'administrer ou le surveiller comme un hôte traditionnel.

Pour surveiller l'activité de vos bastions, le service Bastion s'intègre aux autres services dans Oracle Cloud Infrastructure.

  • Le service Audit enregistre automatiquement les appels vers toutes les adresses d'API Bastion publiques en tant qu'entrées de journal. Reportez-vous à Présentation d'Audit.
  • Le service Monitoring vous permet de surveiller vos ressources Bastion à l'aide d'alarmes et de mesures. Reportez-vous à Mesures de Bastion.
  • Le service Events permet à vos équipes de développement à réagir automatiquement lorsqu'une ressource Bastion change d'état. Reportez-vous à Evénements Bastion.

Limites

Les bastions ont des limites de service, mais n'entraînent pas de coûts.

Reportez-vous à Limites de service pour obtenir la liste des limites applicables et des instructions de demande d'augmentation de limite.

Pour obtenir des instructions sur la consultation de votre niveau d'utilisation par rapport aux limites de ressource de la location, reportez-vous à Visualisation de l'utilisation, des quotas et des limites de service.

Introduction

Une fois les étapes préalables terminées, créez un bastion et une session.

Avant de créer un bastion, vous devez avoir accès à une ressource cible sans adresse publique, telle qu'une base de données ou une instance Compute qui se trouve sur un sous-réseau privé.

  1. Créez la stratégie IAM requise.

    Si vous n'avez pas le statut d'administrateur, vous devez avoir accès au service Bastion dans une stratégie (IAM) écrite par un administrateur.

  2. Choisissez un type de session.

    Avant de créer une session SSH gérée, vérifiez les informations suivantes :

  3. Créez un bastion.
  4. Vérifiez que la ressource cible autorise le trafic entrant à partir du bastion.
  5. Créez une session pour la ressource cible.
  6. Connectez-vous à la session.

    Les étapes spécifiques dépendent du type de session et du type de ressource cible.

Si vous rencontrez un problème, reportez-vous à Dépannage de Bastion.