Groupes de sécurité réseau

Le service Networking propose deux fonctionnalités de pare-feu virtuel pour contrôler le trafic au niveau du paquet :

  • Groupes de sécurité réseau : couverts dans cette rubrique. Les groupes de sécurité réseau sont pris en charge uniquement pour des services spécifiques.
  • Listes de sécurité : type d'origine du pare-feu virtuel offert par le service Networking. Reportez-vous à Listes de sécurité.

Ces deux fonctionnalités utilisent des règles de sécurité. Pour consulter des informations importantes sur le fonctionnement des règles de sécurité et obtenir une comparaison générale entre les listes de sécurité et les groupes de sécurité réseau, reportez-vous à Règles de sécurité.

Points clés

  • Les groupes de sécurité réseau agissent comme des pare-feu virtuels pour vos instances Compute et d'autres types de ressource. Un groupe de sécurité réseau est un ensemble de règles de sécurité entrantes et sortantes qui ne s'appliquent qu'à un ensemble de cartes d'interface réseau virtuelles de votre choix dans un seul réseau cloud virtuel (par exemple, toutes les instances Compute qui agissent en tant que serveurs Web dans le niveau Web d'une application multiniveau de votre réseau cloud virtuel).
  • Par rapport aux listes de sécurité, les groupes de sécurité réseau vous permettent de séparer l'architecture de sous-réseau du réseau cloud virtuel de vos exigences en matière de sécurité des applications. Reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.
  • Vous pouvez utiliser les groupes de sécurité réseau avec certains types de ressource. Pour plus d'informations, reportez-vous à Prise en charge des groupes de sécurité réseau.
  • Les règles de sécurité des groupes de sécurité réseau fonctionnent de la même manière que les règles des listes de sécurité. Toutefois, pour la source (règles entrantes) ou la destination (règles sortantes) d'une règle de sécurité de groupe de sécurité réseau, vous pouvez indiquer un groupe de sécurité réseau au lieu d'un CIDR. Cela signifie que vous pouvez facilement écrire des règles de sécurité afin de contrôler le trafic entre deux groupes de sécurité réseau au sein du même réseau cloud virtuel ou le trafic dans un seul groupe de sécurité réseau. Reportez-vous à Parties d'une règle de sécurité.
  • Contrairement aux liste de sécurité, il n'existe pas de groupe de sécurité réseau par défaut pour le réseau cloud virtuel. De même, chaque groupe de sécurité réseau que vous créez est initialement vide. Il ne contient aucune règle de sécurité par défaut.
  • Les groupes de sécurité réseau présentent des limites distinctes et différentes de celles des listes de sécurité. Reportez-vous à Limites des listes de sécurité.

Prise en charge des groupes de sécurité réseau

Vous pouvez créer et utiliser des groupes de sécurité réseau. Toutefois, ils ne sont pas encore pris en charge par tous les services Oracle Cloud Infrastructure appropriés.

Actuellement, les types de ressource parent suivants prennent en charge l'utilisation des groupes de sécurité réseau :

  • Instances Compute : lorsque vous créez une instance, vous pouvez indiquer des groupes de sécurité réseau pour la carte d'interface réseau virtuelle principale associée. Si vous ajoutez une carte d'interface réseau virtuelle secondaire à une instance, vous pouvez indiquer des groupes de sécurité réseau pour cette carte. Vous pouvez également mettre à jour les cartes d'interface réseau virtuelles existantes sur une instance de sorte qu'elles se trouvent dans des groupes de sécurité réseau.
  • Equilibreurs de charge : lorsque vous créez un équilibreur de charge, vous pouvez indiquer des groupes de sécurité réseau pour celui-ci (et non l'ensemble de back-ends). Vous pouvez également mettre à jour un équilibreur de charge existant pour qu'il utilise des groupes de sécurité réseau.
  • Systèmes de base de données : lorsque vous créez un système de base de données, vous pouvez indiquer des groupes de sécurité réseau. Vous pouvez également mettre à jour un système de base de données existant pour qu'il utilise des groupes de sécurité réseau.
  • Bases de données autonomes : lorsque vous créez une base de données autonome sur une infrastructure Exadata dédiée, vous pouvez spécifier des groupes de sécurité réseau pour la ressource d'infrastructure. Vous pouvez également mettre à jour une instance d'infrastructure Exadata dédiée existante afin d'utiliser des groupes de sécurité réseau.
  • Cibles de montage : lorsque vous créez une cible de montage pour un système de fichiers, vous pouvez indiquer des groupes de sécurité réseau. Vous pouvez également mettre à jour une cible de montage existante pour qu'elle utilise des groupes de sécurité réseau.

Pour les types de ressource qui ne prennent pas encore en charge les groupes de sécurité réseau, continuez à utiliser les listes de sécurité pour contrôler le trafic entrant et sortant de ces ressources parent.

Présentation des groupes de sécurité réseau

Un groupe de sécurité réseau fournit un pare-feu virtuel pour un ensemble de ressources cloud ayant toutes le même état de sécurité. Par exemple, un groupe d'instances Compute qui exécutent toutes les mêmes tâches et qui doivent donc utiliser le même ensemble de ports.

Un groupe de sécurité réseau est constitué de deux types d'élément (tel qu'illustré dans le diagramme suivant) :

  • Cartes d'interface réseau virtuelles : cartes d'interface réseau virtuelles (par exemple, les cartes d'interface réseau virtuelles attachées à l'ensemble d'instances Compute qui disposent toutes du même état de sécurité). Toutes les cartes d'interface réseau virtuelles doivent se trouver dans le réseau cloud virtuel auquel le groupe de sécurité réseau appartient. Reportez-vous également à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.
  • Règles de sécurité : règles de sécurité qui définissent les types de trafic autorisés vers et depuis les cartes d'interface réseau virtuelles du groupe. Par exemple : trafic SSH entrant sur le port TCP 22 à partir d'une source particulière.

Un groupe de sécurité réseau inclut des cartes d'interface réseau virtuelles et des règles de sécurité.

Si vous disposez de ressources avec différents états de sécurité dans le même réseau cloud virtuel, vous pouvez écrire des règles de sécurité de groupe de sécurité réseau pour contrôler le trafic entre les ressources en fonction de leur état de sécurité. Par exemple, dans le diagramme suivant, le groupe NSG1 dispose de cartes d'interface réseau virtuelles exécutées dans un seul niveau d'une application avec une architecture multiniveau. Le groupe NSG2 possède des cartes d'interface réseau virtuelles exécutées dans un deuxième niveau. Les deux groupes de sécurité réseau doivent appartenir au même réseau cloud virtuel. On considère que les deux groupes de sécurité réseau doivent initier des connexions vers l'autre groupe.

Pour NSG1, vous configurez des règles de sécurité sortantes qui indiquent NSG2 en tant que destination et des règles de sécurité entrantes qui indiquent NSG2 en tant que source. De même, pour NSG2, vous configurez des règles de sécurité sortantes qui indiquent NSG1 en tant que destination et des règles de sécurité entrantes qui indiquent NSG1 en tant que source. Dans cet exemple, les règles sont considérées comme étant des règles avec conservation de statut.

Vous pouvez configurer des règles de sécurité afin de contrôler le trafic entre deux groupes de sécurité réseau.

Le diagramme précédent suppose que chaque groupe de sécurité réseau doit initier des connexions vers l'autre groupe.

Le diagramme suivant suppose que vous voulez autoriser uniquement les connexions initiées à partir de NSG1 vers NSG2. Pour ce faire, enlevez la règle entrante de NSG1 et la règle sortante de NSG2. Les règles restantes n'autorisent pas les connexions initiées à partir de NSG2 vers NSG1.

Ces règles de sécurité autorisent les connexions initiées dans une seule direction : de NSG1 vers NSG2.

Le diagramme suivant suppose que vous souhaitez contrôler le trafic entre des cartes d'interface réseau virtuelles au sein du même groupe de sécurité réseau. Pour ce faire, définissez la source (pour l'entrée) ou la destination (pour la sortie) de la règle en tant que groupe de sécurité réseau de la règle.

Vous pouvez configurer des règles de sécurité afin de contrôler le trafic entre les cartes d'interface réseau virtuelles d'un même groupe de sécurité réseau.

Une carte d'interface réseau virtuelle peut se trouver dans cinq groupes de sécurité réseau au maximum. Un paquet donné est autorisé si une règle dans l'un des groupes de sécurité réseau de la carte autorise le trafic (ou si le trafic fait partie d'une connexion existante suivie). Un avertissement est émis si les listes contiennent à la fois des règles de sécurité avec conservation de statut et sans conservation de statut couvrant le même trafic. Pour plus d'informations, reportez-vous à Règles avec conservation de statut et sans conservation de statut.

Les groupes de sécurité réseau sont des entités régionales. Pour connaître les limites relatives aux groupes de sécurité réseau, reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.

Utilisation des groupes de sécurité réseau

Avertissement

Evitez de saisir des informations confidentielles lors de l'affectation de descriptions, de balises ou de noms conviviaux aux ressources cloud via la console, l'API ou l'interface de ligne de commande Oracle Cloud Infrastructure.

Processus général pour l'utilisation des groupes de sécurité réseau

  1. Créez un groupe de sécurité réseau.
  2. Ajoutez des règles de sécurité au groupe de sécurité réseau.
  3. Ajoutez des ressources parent (ou plus spécifiquement, des cartes d'interface réseau virtuelles) au groupe de sécurité réseau. Vous pouvez réaliser cette opération lorsque vous créez la ressource parent, ou mettre à jour la ressource parent et l'ajouter à des groupes de sécurité réseau. Lorsque vous créez une instance Compute et l'ajoutez à un groupe de sécurité réseau, la carte d'interface réseau virtuelle principale de l'instance est ajoutée au groupe de sécurité réseau. Vous pouvez également créer des cartes d'interface réseau virtuelles secondaires et les ajouter aux groupes de sécurité réseau.

Avant de supprimer un groupe de sécurité réseau, vous devez enlever toutes les cartes d'interface réseau virtuelles associées.

Pour plus de détails, reportez-vous aux sections suivantes.

Création de groupes de sécurité réseau

Chaque réseau cloud virtuel possède une liste de sécurité par défaut qui comporte des règles de sécurité par défaut permettant d'activer la connectivité de base. Cependant, il n'existe pas de groupe de sécurité réseau par défaut dans le réseau cloud virtuel.

Lorsque vous créez un groupe de sécurité réseau, il est initialement vide, sans règle de sécurité ni carte d'interface réseau virtuelle. Si vous utilisez la console, vous pouvez ajouter des règles de sécurité au groupe de sécurité lors de sa création.

Vous pouvez éventuellement affecter un nom convivial au groupe de sécurité réseau lors de sa création. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Oracle affecte automatiquement au groupe de sécurité réseau un identificateur unique appelé OCID (Oracle Cloud ID) . Pour plus d'informations, reportez-vous à Identificateurs de ressource.

Dans le cadre du contrôle d'accès, vous devez indiquer le compartiment  dans lequel le groupe de sécurité réseau doit résider. En cas de doute sur le compartiment à utiliser, contactez un administrateur de votre organisation. Pour plus d'informations, reportez-vous à Contrôle d'accès.

Mise à jour des règles de sécurité et de l'appartenance aux groupes

Une fois le groupe de sécurité réseau créé, vous pouvez ajouter ou enlever des règles de sécurité pour autoriser les types de trafic entrant et sortant requis par les cartes d'interface réseau virtuelles du groupe.

Si vous connaissez les listes de sécurité et que vous utilisez l'API REST, sachez que le modèle de mise à jour des règles de sécurité existantes diffère entre les listes de sécurité et les groupes de sécurité réseau. Avec les groupes de sécurité réseau, chaque règle d'un groupe donné dispose d'un identificateur unique affecté par Oracle (exemple : 04ABEC). Lorsque vous appelez UpdateNetworkSecurityGroupSecurityRules, vous indiquez les ID des règles spécifiques à mettre à jour. A des fins de comparaison, les règles n'ont pas d'identificateur unique dans les listes de sécurité. Lorsque vous appelez UpdateSecurityList, vous devez transmettre la liste complète des règles, y compris celles qui ne sont pas mises à jour lors de l'appel.

Lorsque vous gérez l'appartenance à une carte d'interface réseau virtuelle d'un groupe de sécurité réseau, vous le faites dans le cadre de l'utilisation de la ressource parent, et non du groupe de sécurité réseau lui-même. Pour plus d'informations, reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.

Spécification d'un groupe de sécurité réseau dans une règle de sécurité

Comme indiqué précédemment dans Présentation des groupes de sécurité réseau, vous pouvez indiquer un groupe de sécurité réseau en tant que source (pour les règles entrantes) ou destination (pour les règles sortantes) dans la règle de sécurité d'un groupe donné. Les deux groupes de sécurité réseau doivent se trouver dans le même réseau cloud virtuel. Par exemple, si NSG1 et NSG2 appartiennent au même réseau cloud virtuel, vous pouvez ajouter une règle entrante à NSG1 qui répertorie NSG2 en tant que source. Si une personne supprime NSG2, la règle n'est plus valide. L'API REST utilise une valeur booléenne isValid dans l'objet SecurityRule pour transmettre ce statut.

Suppression de groupes de sécurité réseau

Pour pouvoir supprimer un groupe de sécurité réseau, celui-ci ne doit pas contenir de carte d'interface réseau virtuelle ni de ressource parent. Lorsqu'une ressource parent (ou une carte d'interface réseau virtuelle d'instance Compute) est supprimée, elle est automatiquement enlevée des groupes de sécurité réseau dans lesquels elle se trouvait. Vous n'êtes peut-être pas autorisé à supprimer une ressource parent particulière. Contactez l'administrateur pour déterminer le propriétaire d'une ressource donnée.

La console affiche la liste des ressources parent qui se trouvent dans un groupe de sécurité réseau, avec un lien vers chacune d'elles. Si la ressource parent est une instance Compute, la console affiche également les cartes d'interface réseau virtuelles de l'instance qui se trouvent dans le groupe de sécurité réseau.

Pour enlever une ressource parent de ses groupes de sécurité réseau sans la supprimer, affichez d'abord ses détails dans la console. La liste des groupes de sécurité réseau auxquels la ressource appartient y est affichée. Sur cette page, vous pouvez cliquer sur Modifier et enlever la ressource de tous les groupes de sécurité réseau. Si vous utilisez plutôt une instance Compute, affichez les détails de la carte d'interface réseau virtuelle spécifique à enlever des groupes de sécurité réseau.

Si vous utilisez l'API REST : ListNetworkSecurityGroupVnics répertorie les ressources parent et les cartes d'interface réseau virtuelles dans un groupe de sécurité réseau. Utilisez l'opération de mise à jour de la ressource pour enlever cette dernière des groupes de sécurité réseau. Par exemple, pour une instance Compute, utilisez l'opération UpdateVnic. Pour un équilibreur de charge, utilisez l'opération UpdateNetworkSecurityGroups, etc.

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, vous devez disposer du type d'accès requis dans une stratégie  écrite par un administrateur, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si vous essayez d'effectuer une action et qu'un message indique que vous n'y êtes pas autorisé, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment  dans lequel vous devez travailler.

Pour les administrateurs : la stratégie dans Autoriser les administrateurs réseau à gérer un réseau cloud couvre la gestion de tous les composants de Networking, y compris des groupes de sécurité réseau.

Si des administrateurs de la sécurité ont besoin de gérer des groupes de sécurité réseau mais pas d'autres composants du service Networking, vous pouvez écrire une stratégie plus restrictive :

Allow group NSGAdmins to manage network-security-groups in tenancy
			
Allow group NSGAdmins to manage vcns in tenancy 
      where ANY {request.operation = 'CreateNetworkSecurityGroup',
                 request.operation = 'DeleteNetworkSecurityGroup'}

Allow group NSGAdmins to read vcns in tenancy

Allow group NSGAdmins to use VNICs in tenancy

La première instruction permet au groupe NSGAdmins de créer et de gérer des groupes de sécurité réseau et leurs règles de sécurité.

La deuxième instruction est requise car la création ou la suppression d'un groupe de sécurité réseau a une incidence sur le réseau cloud virtuel dans lequel ce groupe réside. L'instruction restreint les droits d'accès liés au réseau cloud virtuel à ceux requis pour la création ou la suppression d'un groupe de sécurité réseau. L'instruction ne permet pas au groupe NSGAdmins de créer ou de supprimer des réseaux cloud virtuels, ni d'utiliser des ressources dans un réseau cloud virtuel, à l'exception des groupes de sécurité réseau.

La troisième instruction est requise pour répertorier les réseaux cloud virtuels, ce qui est un prérequis pour la création ou la suppression d'un groupe de sécurité réseau dans un réseau cloud virtuel. Afin de comprendre pourquoi les deuxième et troisième instructions sont requises, reportez-vous à Conditions.

La quatrième instruction est requise si le groupe NSGAdmins doit placer des cartes d'interface réseau virtuelles dans un groupe de sécurité réseau. Toute personne qui crée la ressource parent de la carte d'interface réseau virtuelle (par exemple, une instance Compute ) doit déjà disposer de ce niveau d'autorisation pour créer la ressource parent.

Pour plus d'informations sur les stratégies du service Networking, reportez-vous à Stratégies IAM pour Networking.

Utilisation de la console

Procédure d'affichage des règles de sécurité et des ressources d'un groupe de sécurité réseau
  1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Fonctions de réseau et cliquez sur Réseaux cloud virtuels.
  2. Cliquez sur le réseau cloud virtuel qui vous intéresse.
  3. Sous Ressources, cliquez sur Groupes de sécurité réseau.
  4. Cliquez sur le groupe de sécurité réseau qui vous intéresse pour afficher ses détails.

    Les règles de sécurité du groupe de sécurité réseau s'affichent sur la page. A partir de cet emplacement, vous pouvez ajouter, modifier ou enlever des règles.

  5. Sous Ressources, cliquez sur Cartes d'interface réseau virtuelles pour voir les ressources parent qui appartiennent au groupe de sécurité réseau.

    Si la ressource parent est une instance Compute, les cartes d'interface réseau virtuelles correspondant à cette instance sont également répertoriées sur la page.

    Pour les autres types de ressource parent, le service concerné gère les cartes d'interface réseau virtuelles en votre nom. Par conséquent, seule la ressource parent (et non les cartes d'interface réseau virtuelles correspondantes) est répertoriée sur la page.

Procédure de création d'un groupe de sécurité réseau

Prérequis : familiarisez-vous avec les parties des règles de sécurité.

  1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Fonctions de réseau et cliquez sur Réseaux cloud virtuels.
  2. Cliquez sur le réseau cloud virtuel qui vous intéresse.
  3. Sous Ressources, cliquez sur Groupes de sécurité réseau.
  4. Cliquez sur Créer un groupe de sécurité réseau.
  5. Entrez les informations suivantes :

    1. Nom : nom descriptif du groupe de sécurité réseau. Le nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Evitez de saisir des informations confidentielles.
    2. Créer dans le compartiment : compartiment dans lequel créer le groupe de sécurité réseau, s'il est différent du compartiment dans lequel vous travaillez actuellement.
    3. Afficher les options de balisage : si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain de devoir appliquer des balises, ignorez cette option (vous pouvez appliquer les balises ultérieurement) ou demandez à l'administrateur.
  6. Cliquez sur Suivant.

    Pour créer un groupe de sécurité réseau sans règle, cliquez seulement sur Créer. Sinon, passez à l'étape suivante.

  7. Pour la première règle de sécurité, saisissez les éléments suivants (pour obtenir des exemples de règle, reportez-vous à Scénarios de configuration réseau) :

    • Avec ou sans conservation de statut : s'il s'agit d'une règle avec conservation de statut, le suivi de connexion est utilisé pour le trafic correspondant à la règle. S'il s'agit d'une règle sans conservation de statut, aucun suivi de connexion n'est utilisé. Par défaut, il s'agit de règles avec conservation de statut, sauf indication contraire de votre part. Reportez-vous à Règles avec conservation de statut et sans conservation de statut.
    • Direction (entrée ou sortie) : l'entrée correspond au trafic entrant vers la carte d'interface réseau virtuelle et la sortie correspond au trafic sortant de celle-ci.
    • Type de source et Source (pour les règles entrantes uniquement) :

      Types de source autorisés
      Type de source Source autorisée
      CIDR Bloc CIDR d'où provient le trafic. Utilisez 0.0.0.0/0 pour indiquer toutes les adresses IP. Le préfixe est requis (par exemple, incluez /32 si vous indiquez une adresse IP individuelle).
      Service

      Uniquement pour les paquets provenant d'un service Oracle via une passerelle de service.

      Le service source correspond au libellé CIDR de service qui vous intéresse.

      Groupe de sécurité réseau

      Groupe de sécurité réseau situé dans le même réseau cloud virtuel que le groupe de sécurité réseau de cette règle.

    • Type de destination et Destination (pour les règles sortantes uniquement) :

      Types de destination autorisés
      Type de destination Destination autorisée
      CIDR Bloc CIDR auquel le trafic est destiné. Utilisez 0.0.0.0/0 pour indiquer toutes les adresses IP. Le préfixe est requis (par exemple, incluez /32 si vous indiquez une adresse IP individuelle).
      Service

      Uniquement pour les paquets destinés à un service Oracle via une passerelle de service.

      Le service de destination correspond au libellé CIDR de service qui vous intéresse.

      Groupe de sécurité réseau

      Groupe de sécurité réseau situé dans le même réseau cloud virtuel que le groupe de sécurité réseau de cette règle.

    • Protocole IP : protocole IPv4 unique (par exemple, TCP ou ICMP) ou "Tous" pour couvrir tous les protocoles.
    • Plage de ports source : port d'où provient le trafic. Pour TCP ou UDP, vous pouvez indiquer tous les ports source, ou éventuellement un numéro de port source unique ou une plage.
    • Plage de ports de destination : port auquel le trafic est destiné. Pour TCP ou UDP, vous pouvez indiquer tous les ports de destination, ou éventuellement un numéro de port de destination unique ou une plage.
    • Type et code ICMP : pour ICMP, vous pouvez indiquer tous les types et tous les codes, ou un seul type avec un code facultatif. Si le type a plusieurs codes, créez une règle distincte pour chaque code à autoriser.
  8. Pour ajouter une autre règle de sécurité, cliquez sur + Autre règle et entrez les informations de la règle. Répétez cette opération pour chaque règle à ajouter.
  9. Lorsque vous avez terminé, cliquez sur Créer.

Le groupe de sécurité réseau est créé, puis affiché sur la page Groupe de sécurité réseau dans le compartiment choisi. Vous pouvez désormais indiquer ce groupe de sécurité réseau lors de la création ou de la gestion d'instances ou d'autres types de ressource parent.

Lorsque vous affichez toutes les règles de sécurité d'un groupe de sécurité réseau, vous pouvez filtrer la liste selon l'entrée ou la sortie.

Procédure d'ajout ou de suppression d'une ressource dans un groupe de sécurité réseau

En général, vous gérez l'appartenance des ressources d'un groupe de sécurité réseau au niveau de la ressource parent, et non du groupe lui-même. En d'autres termes, pour ajouter une ressource parent à un groupe de sécurité réseau, vous exécutez l'action sur la ressource parent (en indiquant les groupes de sécurité réseau auxquels la ressource parent doit être ajoutée). Vous n'exécutez pas l'action sur le groupe de sécurité réseau (en indiquant les cartes d'interface réseau virtuelles ou les ressources parent à ajouter au groupe de sécurité réseau). De même, pour enlever une carte d'interface réseau virtuelle d'un groupe de sécurité réseau, vous exécutez cette action en mettant à jour la ressource parent, et non le groupe de sécurité réseau. Pour obtenir la liste des ressources parent qui prennent en charge l'utilisation des groupes de sécurité réseau, reportez-vous à Prise en charge des groupes de sécurité réseau.

Exemple : instances Compute
  • Lors de la création d'une instance : dans la section Configuration du réseau, cochez la case Utiliser les groupes de sécurité réseau pour contrôler le trafic, puis indiquez des groupes de sécurité réseau. La carte d'interface réseau virtuelle principale de l'instance est ajoutée aux groupes de sécurité réseau. Reportez-vous à la procédure décrite dans Création d'une instance.
  • Pour une instance existante : l'ajout d'une instance existante à un groupe de sécurité réseau signifie également l'ajout de sa carte d'interface réseau virtuelle principale. Vous pouvez également ajouter une carte d'interface réseau virtuelle secondaire à un groupe de sécurité réseau. Reportez-vous à Procédure d'ajout ou de suppression d'une carte d'interface réseau virtuelle dans un groupe de sécurité réseau.
Exemple : systèmes de base de données Exadata
Procédure de suppression d'un groupe de sécurité réseau

Prérequis : pour pouvoir supprimer une liste de sécurité, celle-ci ne doit pas être associée à un sous-réseau. Vous ne pouvez pas supprimer la liste de sécurité par défaut d'un réseau cloud virtuel.

  1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Fonctions de réseau et cliquez sur Réseaux cloud virtuels.
  2. Cliquez sur le réseau cloud virtuel qui vous intéresse.
  3. Sous Ressources, cliquez sur Listes de sécurité.
  4. Pour la liste de sécurité à supprimer, cliquez sur l'icône Actions (trois points), puis sur Mettre fin.
  5. Confirmez l'opération lorsque vous y êtes invité.
Procédure de gestion des règles de sécurité pour un groupe de sécurité réseau
  1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Fonctions de réseau et cliquez sur Réseaux cloud virtuels.
  2. Cliquez sur le réseau cloud virtuel qui vous intéresse.
  3. Sous Ressources, cliquez sur Groupes de sécurité réseau.
  4. Cliquez sur le groupe de sécurité réseau qui vous intéresse pour afficher ses détails.

    Les règles de sécurité du groupe de sécurité réseau s'affichent sur la page. A partir de cet emplacement, vous pouvez ajouter, modifier ou enlever des règles.

Procédure de gestion des balises pour un groupe de sécurité réseau
  1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Fonctions de réseau et cliquez sur Réseaux cloud virtuels.
  2. Cliquez sur le réseau cloud virtuel qui vous intéresse.
  3. Sous Ressources, cliquez sur Groupes de sécurité réseau.
  4. Cliquez sur le groupe de sécurité réseau qui vous intéresse.
  5. Cliquez sur l'onglet Balises pour afficher ou modifier les balises existantes. Vous pouvez également cliquer sur Ajouter des balises pour en ajouter de nouvelles.

Pour plus d'informations, reportez-vous à Balises de ressource.

Procédure de déplacement d'un groupe de sécurité réseau vers un autre compartiment

Vous pouvez déplacer un groupe de sécurité réseau d'un compartiment vers un autre. Lorsque vous déplacez un groupe de sécurité réseau vers un nouveau compartiment, les stratégies inhérentes s'appliquent immédiatement.

  1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Fonctions de réseau et cliquez sur Réseaux cloud virtuels.
  2. Cliquez sur le réseau cloud virtuel qui vous intéresse.
  3. Sous Ressources, cliquez sur Groupes de sécurité réseau.
  4. Cliquez sur l'icône Actions (trois points) correspondant au groupe de sécurité réseau, puis sur Déplacer la ressource.
  5. Choisissez le compartiment de destination dans la liste.
  6. Cliquez sur Déplacer la ressource.

Pour plus d'informations sur l'utilisation des compartiments et des stratégies afin de contrôler l'accès à votre réseau cloud, reportez-vous à Contrôle d'accès. Pour obtenir des informations générales sur les compartiments, reportez-vous à Gestion des compartiments.

Utilisation de l'API

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Pour gérer les groupes de sécurité réseau d'un réseau cloud virtuel, utilisez les opérations suivantes :

Le modèle d'API REST présente des différences entre les groupes de sécurité et les listes de sécurité :

  • Les listes de sécurité contiennent un objet IngressSecurityRule et un objet EgressSecurityRule distinct. Les groupes de sécurité réseau contiennent uniquement un objet SecurityRule. L'attribut direction de l'objet détermine si la règle concerne le trafic entrant ou sortant.
  • Avec les listes de sécurité, les règles font partie de l'objet SecurityList et vous utilisez ces règles en appelant les opérations de liste de sécurité (telles que UpdateSecurityList). Avec les groupes de sécurité réseau, les règles ne font pas partie de l'objet NetworkSecurityGroup. Au lieu de cela, vous utilisez des opérations distinctes pour employer les règles d'un groupe de sécurité réseau donné (par exemple, UpdateNetworkSecurityGroupSecurityRules).
  • Le modèle de mise à jour des règles de sécurité existantes diffère entre les listes de sécurité et les groupes de sécurité réseau. Avec les groupes de sécurité réseau, chaque règle d'un groupe donné dispose d'un identificateur unique affecté par Oracle (exemple : 04ABEC). Lorsque vous appelez UpdateNetworkSecurityGroupSecurityRules, vous indiquez les ID des règles spécifiques à mettre à jour. A des fins de comparaison, les règles n'ont pas d'identificateur unique dans les listes de sécurité. Lorsque vous appelez UpdateSecurityList, vous devez transmettre la liste complète des règles, y compris celles qui ne sont pas mises à jour lors de l'appel.
  • Il existe une limite de 25 règles lors de l'appel des opérations visant à ajouter, à enlever ou à mettre à jour des règles de sécurité.