Groupes de sécurité réseau

Le service Networking propose deux fonctionnalités de pare-feu virtuel pour contrôler le trafic au niveau du paquet :

  • Groupes de sécurité réseau : couverts dans cette rubrique. Les groupes de sécurité réseau sont pris en charge uniquement pour des services spécifiques.
  • Listes de sécurité : type d'origine du pare-feu virtuel offert par le service Networking. Reportez-vous à Listes de sécurité.

Ces deux fonctionnalités utilisent des règles de sécurité. Pour consulter des informations importantes sur le fonctionnement des règles de sécurité et obtenir une comparaison générale entre les listes de sécurité et les groupes de sécurité réseau, reportez-vous à Règles de sécurité.

Remarque

Vous pouvez utiliser Zero Trust Packet Routing (ZPR) avec ou à la place des groupes de sécurité réseau pour contrôler l'accès réseau aux ressources OCI en leur appliquant des attributs de sécurité et en créant des stratégies ZPR pour contrôler la communication entre elles. Pour plus d'informations, reportez-vous à la section Zero Trust Packet Routing.
Attention

Si une adresse a un attribut de sécurité ZPR, le trafic vers l'adresse doit satisfaire les règles ZPR, ainsi que toutes les règles de groupe de sécurité réseau et de liste de sécurité. Par exemple, si vous utilisez déjà des groupes de sécurité réseau et que vous appliquez un attribut de sécurité à une adresse, dès que l'attribut est appliqué, tout le trafic vers l'adresse est bloqué. Ensuite, une stratégie ZPR doit autoriser le trafic vers l'adresse.

Points clés

  • Les groupes de sécurité réseau agissent comme des pare-feu virtuels pour les instances Compute et d'autres types de ressources. Un groupe de sécurité réseau se compose d'un ensemble de règles de sécurité entrantes et sortantes qui s'appliquent uniquement à un ensemble de cartes d'interface réseau virtuelles dans un seul VCN (par exemple, toutes les instances Compute qui agissent en tant que serveurs Web dans le niveau Web d'une application à plusieurs niveaux dans un VCN).
  • Par rapport aux listes de sécurité, les groupes de sécurité réseau vous permettent de séparer l'architecture de sous-réseau d'un VCN des exigences de sécurité des applications. Reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.
  • Vous pouvez utiliser les groupes de sécurité réseau avec certains types de ressource. Pour plus d'informations, reportez-vous à Prise en charge des groupes de sécurité réseau.
  • Les règles de sécurité des groupes de sécurité réseau fonctionnent de la même manière que les règles des listes de sécurité. Toutefois, pour la source (règles entrantes) ou la destination (règles sortantes) d'une règle de sécurité de groupe de sécurité réseau, vous pouvez indiquer un groupe de sécurité réseau au lieu d'un CIDR. Cela signifie que vous pouvez facilement écrire des règles de sécurité afin de contrôler le trafic entre deux groupes de sécurité réseau au sein du même réseau cloud virtuel ou le trafic dans un seul groupe de sécurité réseau. Reportez-vous à Parties d'une règle de sécurité.
  • Contrairement aux listes de sécurité, le VCN n'a pas de groupe de sécurité réseau par défaut. De même, chaque groupe de sécurité réseau que vous créez est initialement vide. Il ne contient aucune règle de sécurité par défaut.
  • Les groupes de sécurité réseau présentent des limites distinctes et différentes de celles des listes de sécurité. Reportez-vous à Limites des listes de sécurité.

Prise en charge des groupes de sécurité réseau

Vous pouvez créer et utiliser des groupes de sécurité réseau. Toutefois, ils ne peuvent pas encore être pris en charge par tous les services Oracle Cloud Infrastructure appropriés.

Les types de ressource parent suivants prennent en charge l'utilisation des groupes de sécurité réseau :

  • Autonomous Recovery Service (sous-réseaux pour Recovery Service) : lorsque vous inscrivez un sous-réseau de service de récupération, vous pouvez associer des groupes de sécurité réseau (cinq au maximum) contenant les règles entrantes pour Recovery Service.
  • Instances Compute : lorsque vous créez une instance, vous pouvez indiquer des groupes de sécurité réseau pour la carte d'interface réseau virtuelle principale associée. Si vous ajoutez une carte d'interface réseau virtuelle secondaire à une instance, vous pouvez indiquer des groupes de sécurité réseau pour cette carte. Vous pouvez également mettre à jour les cartes d'interface réseau virtuelles existantes sur une instance pour qu'elles se retrouvent dans des groupes de sécurité réseau.
  • Equilibreurs de charges : lorsque vous créez un équilibreur de charges, vous pouvez indiquer des groupes de sécurité système pour l'équilibreur de charge (et non l'ensemble de back-ends). Vous pouvez également mettre à jour un équilibreur de charges existant pour qu'il utilise des groupes de sécurité réseau.
  • Systèmes de base de données : lorsque vous créez un système de base de données, vous pouvez indiquer des groupes de sécurité réseau. Vous pouvez également mettre à jour un système de base de données existant pour qu'il utilise des groupes de sécurité réseau.
  • Bases de données autonomes : lorsque vous créez une instance Autonomous Database sur une infrastructure Exadata dédiée, vous pouvez indiquer des groupes de sécurité réseau pour la ressource d'infrastructure.
  • Cibles de montage : lorsque vous créez une cible de montage pour un système de fichiers, vous pouvez indiquer des groupes de sécurité réseau. Vous pouvez également mettre à jour une cible de montage existante pour qu'elle utilise des groupes de sécurité réseau.
  • Adresse de résolution DNS : lorsque vous créez une adresse pour un résolveur DNS privé, vous pouvez indiquer des groupes de sécurité réseau ou plusieurs. Vous pouvez également mettre à jour une adresse existante pour qu'elle utilise des groupes de sécurité réseau.
  • Clusters Kubernetes : lorsque vous créez un cluster Kubernetes à l'aide de Kubernetes Engine, vous pouvez indiquer des groupes de sécurité réseau pour contrôler l'accès à l'adresse d'API Kubernetes et aux noeuds de processus actif. Vous pouvez également spécifier des groupes de sécurité réseau lors de la définition d'un équilibreur de charge pour un cluster.
  • Passerelles d'API : lorsque vous créez une passerelle d'API, vous pouvez indiquer des groupes de sécurité réseau pour contrôler l'accès à celle-ci.
  • Fonctions : lorsque vous configurez une application dans OCI Functions, vous pouvez indiquer des groupes de sécurité réseau pour définir des règles entrantes et sortantes qui s'appliquent à toutes les fonctions de cette application.
  • Déploiements GoldenGate : lorsque vous créez un déploiement GoldenGate, vous pouvez indiquer des groupes de sécurité système pour contrôler l'accès à celui-là.
  • Clusters Redis : lorsque vous créez un cluster Redis, vous pouvez indiquer des groupes de sécurité réseau pour contrôler l'accès au cluster Redis. Vous pouvez également mettre à jour un cluster existant pour qu'il utilise des groupes de sécurité réseau

Pour les types de ressource qui ne prennent plus en charge de groupes de sécurité système, continuez à utiliser les listes de sécurité pour contrôler le trafic entrant et sortant de ces ressources parent.

Présentation des groupes de sécurité réseau

Un groupe de sécurité réseau fournit un pare-feu virtuel pour un ensemble de ressources cloud ayant toutes la même posture de sécurité. Par exemple, un groupe d'instances Compute qui exécutent toutes les mêmes tâches, qui doivent donc utiliser le même ensemble de ports.

Un groupe de sécurité réseau est constitué de deux types d'élément :

  • Cartes d'interface réseau virtuelles : cartes d'interface réseau virtuelles (par exemple, les cartes d'interface réseau virtuelles attachées à l'ensemble d'instances Compute qui disposent toutes de la même posture de sécurité). Toutes les cartes d'interface réseau virtuelles doivent se trouver dans le réseau cloud virtuel du groupe de sécurité réseau. Reportez-vous également à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.
  • Règles de sécurité : les règles de sécurité du groupe de noeuds définissent les types de trafic autorisés vers et depuis les VNIC du groupe. Par exemple : trafic SSH entrant sur le port TCP 22 à partir d'une source particulière.

Si vous disposez de ressources avec des postures de sécurité différentes dans le même VCN, vous pouvez écrire des règles de sécurité de groupe de sécurité réseau pour contrôler le trafic entre les ressources avec une posture par rapport à une autre. Par exemple, dans le diagramme suivant, le groupe NSG1 dispose de carte d'interface réseau virtuelle exécutées dans un seul niveau d'une application avec architecture multiniveau. Le groupe NSG2 possède des cartes d'interface réseau virtuelles exécutées dans un deuxième niveau. Les deux groupes de sécurité réseau doivent appartenir au même réseau cloud virtuel. On considère que les deux groupes de sécurité réseau doivent démarrer des connexions vers l'autre groupe.

Pour NSG1, vous configurez des règles de sécurité sortantes qui indiquent NSG2 en tant que destination et des règles de sécurité entrantes qui indiquent NSG2 en tant que source. De même, pour NSG2, vous configurez des règles de sécurité sortantes qui indiquent NSG1 en tant que destination et des règles de sécurité entrantes qui indiquent NSG1 en tant que source. Dans cet exemple, les règles sont considérées comme étant des règles avec conservation de statut.

Vous pouvez configurer des règles de sécurité afin de contrôler le trafic entre deux groupes de sécurité réseau.

Le diagramme précédent suppose que chaque groupe de sécurité réseau doit démarrer des connexions vers l'autre groupe.

Le diagramme suivant suppose que vous voulez autoriser uniquement les connexions démarrées à partir de NSG1 vers NSG2. Pour ce faire, enlevez la règle entrante de NSG1 et la règle sortante de NSG2. Les règles restantes n'autorisent pas les connexions démarrées entre NSG2 et NSG1.

Ces règles de sécurité autorisent le démarrage des connexions dans une seule direction : de NSG1 à NSG2.

Le diagramme suivant suppose que vous souhaitez contrôler le trafic entre des cartes d'interface réseau virtuelles au sein du même groupe de sécurité réseau. Pour ce faire, définissez la source (pour l'entrée) ou la destination (pour la sortie) de la règle en tant que groupe de sécurité réseau de la règle.

Vous pouvez configurer des règles de sécurité afin de contrôler le trafic entre les cartes d'interface réseau virtuelles d'un même groupe de sécurité réseau.

Une carte d'interface réseau virtuelle peut se trouver dans cinq groupes de sécurité réseau au maximum. Un paquet donné est autorisé si une règle dans l'un des groupes de sécurités réseau de la VNIC autorise le trafic (ou si le trafic fait partie d'une connexion existante suivie), sauf si les listes contiennent des règles de sécurités avec et sans conservation de statut qui couvrent le même trafic. Pour plus d'informations, reportez-vous à Par rapport avec les règles sans conservation de statut.

Les groupes de sécurité réseau sont des entités régionales. Pour connaître les limites relatives aux groupes de sécurité réseau, reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.

Pour obtenir des informations sur les limites, reportez-vous à Limites des groupes de sécurité réseau et à Demande d'augmentation de limite de service.

Utilisation de l'API

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la Documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la Documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Différences entre le modèle d'API REST pour les groupes de sécurité réseau et les listes de sécurité :

  • Les listes de sécurité disposent d'un objet IngressSecurityRule et d'un objet EgressSecurityRule distinct. Les groupes de sécurité réseau ont uniquement un objet SecurityRule et l'attribut direction de l'objet indique si la règle concerne le trafic entrant ou sortant.
  • Avec les listes de sécurité, les règles font partie de l'objet SecurityList et vous utilisez ces règles en appelant les opérations de liste de sécurité (telles que UpdateSecurityList). Avec les groupes de sécurité réseau, les règles n'appartiennent pas à l'objet NetworkSecurityGroup. Au lieu de ça, vous utilisez des opérations distinctes pour utiliser les règles d'un groupe de sécurité réseau particulier (par exemple,UpdateNetworkSecurityGroupSecurityRules).
  • Le modèle de mise à jour des règles de sécurité existantes diffère entre les listes de sécurité et les groupes de sécurité réseau. Avec les groupes de sécurité système, chaque règle d'un groupe particulier dispose d'un identificateur unique affecté par Oracle (exemple : 04ABEC). Lorsque vous appelez UpdateNetworkSecurityGroupSecurityRules, vous indiquez les ID des règles spécifiques à mettre à jour. A des fins de comparaison, les règles n'ont pas d'identificateur unique dans les listes de sécurité. Lorsque vous appelez UpdateSecurityList, vous devez transmettre la liste complète des règles, y compris celle qui n'est pas mise à jour lors de l'appel.
  • La sécurité règle une limite de 25 règles lors de l'appel des opérations visant à ajouter, enlever ou mettre à jour.

Utilisation des groupes de sécurité réseau

Processus général pour l'utilisation des groupes de sécurité réseau

  1. Créez un groupe de sécurité réseau.
  2. Ajoutez des règles de sécurité au groupe de sécurité réseau.
  3. Ajouter des ressources parent (telles que des cartes d'interface réseau virtuelles) au groupe de sécurité réseau. Vous pouvez réaliser cette opération lorsque vous créez la ressource parent, ou mettre à jour la ressource parent et l'ajouter à des groupes de sécurité réseau. Lorsque vous créez une instance Compute et que vous l'ajoutez à un groupe de sécurité système, la carte d'accès réseau virtuelle principale de l'instance est ajoutée au groupe de sécurité système. Vous pouvez également créer des cartes d'interface réseau virtuelles secondaires et les ajouter aux groupes de sécurité réseau.

Suppression de groupes de sécurité réseau

Pour supprimer un groupe de sécurité système, celui-ci ne doit pas contenir de carte d'interface réseau virtuelle ou de ressource parent. Lorsqu'une ressource parent (ou une carte d'interface réseau virtuelle d'une instance Compute) est supprimée, elle l'est automatiquement des groupes de sécurité système dans lesquels elle se trouvait. Vous n'êtes peut-être pas autorisé à supprimer une ressource parent particulière. Contactez l'administrateur de location pour connaître le propriétaire d'une ressource particulière.

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.

Pour les administrateurs : la stratégie dans Autoriser les administrateurs réseau à gérer un réseau cloud couvre la gestion de tous les composants de Networking, y compris des NSG.

Si des administrateurs de la sécurité ont besoin de gérer des groupes de sécurité réseau mais pas d'autres composants du service Networking, vous pouvez écrire une stratégie plus restrictive :

Allow group NSGAdmins to manage network-security-groups in tenancy
			
Allow group NSGAdmins to manage vcns in tenancy 
      where ANY {request.operation = 'CreateNetworkSecurityGroup',
                 request.operation = 'DeleteNetworkSecurityGroup'}

Allow group NSGAdmins to read vcns in tenancy

Allow group NSGAdmins to use VNICs in tenancy

La première instruction permet au groupe NSGAdmins de créer et de gérer des groupes de sécurité réseau et leurs règles de sécurité.

La deuxième instruction est requise car la création ou la suppression d'un groupe de sécurité réseau a une incidence sur le réseau cloud virtuel dans lequel ce groupe réside. L'instruction restreint les droits d'accès liés au réseau cloud virtuel à ceux requis pour la création ou la suppression d'un groupe de sécurité réseau. L'instruction n'autorise pas le groupe NSGAdmins à créer ou à supprimer des réseaux cloud virtuels, ni à utiliser des ressources dans un VCN à l'exception des groupes de sécurité réseau.

La troisième instruction est requise pour répertorier les réseaux cloud virtuels, ce qui est un prérequis pour la création ou la suppression d'un groupe de sécurité réseau dans un réseau cloud virtuel. Afin de comprendre pourquoi les deuxième et troisième instructions sont requises, reportez-vous à Conditions.

La quatrième instruction est requise si le groupe NSGAdmins doit placer des cartes d'interface réseau virtuelles dans un groupe de sécurité réseau. Toute personne créant la ressource parent de la VNIC (par exemple, une instance Compute) doit déjà disposer de ce niveau d'autorisation pour créer la ressource parent.

Pour plus d'informations sur les stratégies du service Networking, reportez-vous à Stratégies IAM pour Networking.