Groupes de sécurité réseau

• Les groupes de sécurité réseau agissent comme des pare-feu virtuels pour vos instances de calcul et d'autres types de ressource. Un groupe de sécurité réseau est un ensemble de règles de sécurité entrantes et sortantes qui ne s'appliquent qu'à un ensemble de cartes d'interface réseau virtuelles de votre choix dans un seul réseau cloud virtuel (par exemple, toutes les instances de calcul qui agissent en tant que serveurs Web dans le niveau Web d'une application multiniveau de votre réseau cloud virtuel).
• Par rapport aux listes de sécurité, les groupes de sécurité réseau vous permettent de séparer l'architecture de sous-réseau du réseau cloud virtuel de vos exigences en matière de sécurité des applications. Reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.
• Vous pouvez utiliser les groupes de sécurité réseau avec certains types de ressource. Pour plus d'informations, reportez-vous à Prise en charge des groupes de sécurité réseau.
• Les règles de sécurité des groupes de sécurité réseau fonctionnent de la même manière que les règles des listes de sécurité. Toutefois, pour la source (règles entrantes) ou la destination (règles sortantes) d'une règle de sécurité de groupe de sécurité réseau, vous pouvez indiquer un groupe de sécurité réseau au lieu d'un CIDR. Cela signifie que vous pouvez facilement écrire des règles de sécurité afin de contrôler le trafic entre deux groupes de sécurité réseau au sein du même réseau cloud virtuel ou le trafic dans un seul groupe de sécurité réseau. Reportez-vous à Parties d'une règle de sécurité.
• Contrairement aux liste de sécurité, il n'existe pas de groupe de sécurité réseau par défaut pour le réseau cloud virtuel. De même, chaque groupe de sécurité réseau que vous créez est initialement vide. Il ne contient aucune règle de sécurité par défaut.
• Les groupes de sécurité réseau présentent des limites distinctes et différentes de celles des listes de sécurité. Reportez-vous à Limites des listes de sécurité.

Vous pouvez créer et utiliser des groupes de sécurité réseau. Toutefois, ils ne sont pas encore pris en charge par tous les services Oracle Cloud Infrastructure appropriés.

Actuellement, les types de ressource parent suivants prennent en charge l'utilisation des groupes de sécurité réseau :

• Instances Compute : lorsque vous créez une instance, vous pouvez indiquer des groupes de sécurité réseau pour la carte d'interface réseau virtuelle principale associée. Si vous ajoutez une carte d'interface réseau virtuelle secondaire à une instance, vous pouvez indiquer des groupes de sécurité réseau pour cette carte. Vous pouvez également mettre à jour les cartes d'interface réseau virtuelles existantes sur une instance de sorte qu'elles se trouvent dans des groupes de sécurité réseau.
• Equilibreurs de charge : lorsque vous créez un équilibreur de charge, vous pouvez indiquer des groupes de sécurité réseau pour celui-ci (et non l'ensemble de back-ends). Vous pouvez également mettre à jour un équilibreur de charge existant pour qu'il utilise des groupes de sécurité réseau.
• Systèmes de base de données : lorsque vous créez un système de base de données, vous pouvez indiquer des groupes de sécurité réseau. Vous pouvez également mettre à jour un système de base de données existant pour qu'il utilise des groupes de sécurité réseau.
• Bases de données autonomes : lorsque vous créez une base de données autonome sur une infrastructure Exadata dédiée, vous pouvez spécifier des groupes de sécurité réseau pour la ressource d'infrastructure. Vous pouvez également mettre à jour une instance d'infrastructure Exadata dédiée existante afin d'utiliser des groupes de sécurité réseau.
• Cibles de montage : lorsque vous créez une cible de montage pour un système de fichiers, vous pouvez indiquer des groupes de sécurité réseau. Vous pouvez également mettre à jour une cible de montage existante pour qu'elle utilise des groupes de sécurité réseau.
• Adresse de résolveur DNS : lorsque vous créez une adresse pour un résolveur DNS privé, vous pouvez indiquer des groupes de sécurité réseau. Vous pouvez également mettre à jour une adresse existante pour qu'elle utilise des groupes de sécurité réseau.
• Clusters Kubernetes : lorsque vous créez un cluster Kubernetes à l'aide de Container Engine for Kubernetes, vous pouvez indiquer des groupes de sécurité réseau pour contrôler l'accès à l'adresse d'API Kubernetes et aux noeuds de processus actif. Vous pouvez également spécifier des groupes de sécurité réseau lors de la définition d'un équilibreur de charge pour un cluster.
• Passerelles d'API : lorsque vous créez une passerelle d'API, vous pouvez indiquer des groupes de sécurité réseau pour contrôler l'accès à celle-ci.
• Fonctions : lorsque vous configurez une application dans OCI Functions, vous pouvez indiquer des groupes de sécurité réseau pour définir des règles entrantes et sortantes qui s'appliquent à toutes les fonctions de cette application.
• Déploiements GoldenGate : lorsque vous créez un déploiement GoldenGate, vous pouvez indiquer des groupes de sécurité réseau pour contrôler l'accès à celui-ci.
• Clusters Redis : lorsque vous créez un cluster Redis, vous pouvez indiquer des groupes de sécurité réseau pour contrôler l'accès au cluster Redis. Vous pouvez également mettre à jour un cluster existant pour utiliser des groupes de sécurité réseau

Pour les types de ressource qui ne prennent pas encore en charge les groupes de sécurité réseau, continuez à utiliser les listes de sécurité pour contrôler le trafic entrant et sortant de ces ressources parent.

Un groupe de sécurité réseau fournit un pare-feu virtuel pour un ensemble de ressources cloud ayant toutes le même état de sécurité. Par exemple, un groupe d'instances de calcul qui exécutent toutes les mêmes tâches et qui doivent donc utiliser le même ensemble de ports.

Un groupe de sécurité réseau est constitué de deux types d'élément :

• Cartes d'interface réseau virtuelles : au moins une carte d'interface réseau virtuelle (par exemple, les cartes d'interface réseau virtuelles attachées à l'ensemble d'instances de calcul qui disposent toutes du même état de sécurité). Toutes les cartes d'interface réseau virtuelles doivent se trouver dans le réseau cloud virtuel du groupe de sécurité réseau. Reportez-vous également à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.
• Règles de sécurité : les règles de sécurité du groupe de sécurité réseau définissent les types de trafic autorisés vers et depuis les cartes d'interface réseau virtuelles du groupe. Par exemple : trafic SSH entrant sur le port TCP 22 à partir d'une source particulière.

Si vous disposez de ressources avec différents états de sécurité dans le même réseau cloud virtuel, vous pouvez écrire des règles de sécurité de groupe de sécurité réseau pour contrôler le trafic entre les ressources en fonction de leur état de sécurité. Par exemple, dans le diagramme suivant, le groupe NSG1 dispose de cartes d'interface réseau virtuelles exécutées dans un seul niveau d'une application avec une architecture multiniveau. Le groupe NSG2 possède des cartes d'interface réseau virtuelles exécutées dans un deuxième niveau. Les deux groupes de sécurité réseau doivent appartenir au même réseau cloud virtuel. On considère que les deux groupes de sécurité réseau doivent initier des connexions vers l'autre groupe.

Pour NSG1, vous configurez des règles de sécurité sortantes qui indiquent NSG2 en tant que destination et des règles de sécurité entrantes qui indiquent NSG2 en tant que source. De même, pour NSG2, vous configurez des règles de sécurité sortantes qui indiquent NSG1 en tant que destination et des règles de sécurité entrantes qui indiquent NSG1 en tant que source. Dans cet exemple, les règles sont considérées comme étant des règles avec conservation de statut.

Le diagramme précédent suppose que chaque groupe de sécurité réseau doit initier des connexions vers l'autre groupe.

Le diagramme suivant suppose que vous voulez autoriser uniquement les connexions initiées à partir de NSG1 vers NSG2. Pour ce faire, enlevez la règle entrante de NSG1 et la règle sortante de NSG2. Les règles restantes n'autorisent pas les connexions initiées à partir de NSG2 vers NSG1.

Le diagramme suivant suppose que vous souhaitez contrôler le trafic entre des cartes d'interface réseau virtuelles au sein du même groupe de sécurité réseau. Pour ce faire, définissez la source (pour l'entrée) ou la destination (pour la sortie) de la règle en tant que groupe de sécurité réseau de la règle.

Une carte d'interface réseau virtuelle peut se trouver dans cinq groupes de sécurité réseau au maximum. Un paquet donné est autorisé si une règle dans l'un des groupes de sécurité réseau de la carte autorise le trafic (ou si le trafic fait partie d'une connexion existante suivie). Un avertissement est émis si les listes contiennent à la fois des règles de sécurité avec conservation de statut et sans conservation de statut couvrant le même trafic. Pour plus d'informations, reportez-vous à Règles avec conservation de statut et sans conservation de statut.

Les groupes de sécurité réseau sont des entités régionales. Pour connaître les limites relatives aux groupes de sécurité réseau, reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.

Pour obtenir des informations sur les limites, reportez-vous à Limites des groupes de sécurité réseau et à Demande d'augmentation de limite de service.

Si vous ne connaissez pas encore les bases des règles de sécurité de groupe de sécurité réseau, reportez-vous aux sections suivantes de la rubrique Règles de sécurité :

• Parties d'une règle de sécurité
• Règles avec conservation de statut et sans conservation de statut

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Pour plus d'informations sur l'utilisation de l'API et la signature des demandes, reportez-vous à la documentation relative à l'API REST et à Informations d'identification de sécurité. Pour plus d'informations sur les kits SDK, reportez-vous à Kits SDK et interface de ligne de commande.

Le modèle d'API REST présente des différences entre les groupes de sécurité et les listes de sécurité :

• Les listes de sécurité contiennent un objet IngressSecurityRule et un objet EgressSecurityRule distinct. Les groupes de sécurité réseau contiennent uniquement un objet SecurityRule. L'attribut direction de l'objet détermine si la règle concerne le trafic entrant ou sortant.
• Avec les listes de sécurité, les règles font partie de l'objet SecurityList et vous utilisez ces règles en appelant les opérations de liste de sécurité (telles que UpdateSecurityList). Avec les groupes de sécurité réseau, les règles ne font pas partie de l'objet NetworkSecurityGroup. Au lieu de cela, vous utilisez des opérations distinctes pour employer les règles d'un groupe de sécurité réseau donné (par exemple, UpdateNetworkSecurityGroupSecurityRules).
• Le modèle de mise à jour des règles de sécurité existantes diffère entre les listes de sécurité et les groupes de sécurité réseau. Avec les groupes de sécurité réseau, chaque règle d'un groupe donné dispose d'un identificateur unique affecté par Oracle (exemple : 04ABEC). Lorsque vous appelez UpdateNetworkSecurityGroupSecurityRules, vous indiquez les ID des règles spécifiques à mettre à jour. A des fins de comparaison, les règles n'ont pas d'identificateur unique dans les listes de sécurité. Lorsque vous appelez UpdateSecurityList, vous devez transmettre la liste complète des règles, y compris celles qui ne sont pas mises à jour lors de l'appel.
• Il existe une limite de 25 règles lors de l'appel des opérations visant à ajouter, à enlever ou à mettre à jour des règles de sécurité.

Processus général pour l'utilisation des groupes de sécurité réseau

1. Créez un groupe de sécurité réseau.
2. Ajoutez des règles de sécurité au groupe de sécurité réseau.
3. Ajoutez des ressources parent (ou plus spécifiquement, des cartes d'interface réseau virtuelles) au groupe de sécurité réseau. Vous pouvez réaliser cette opération lorsque vous créez la ressource parent, ou mettre à jour la ressource parent et l'ajouter à des groupes de sécurité réseau. Lorsque vous créez une instance Compute et l'ajoutez à un groupe de sécurité réseau, la carte d'interface réseau virtuelle principale de l'instance est ajoutée au groupe de sécurité réseau. Vous pouvez également créer des cartes d'interface réseau virtuelles secondaires et les ajouter aux groupes de sécurité réseau.

Suppression de groupes de sécurité réseau

Pour supprimer un groupe de sécurité réseau, celui-ci ne doit pas contenir de carte d'interface réseau virtuelle ni de ressource parent. Lorsqu'une ressource parent (ou une carte d'interface réseau virtuelle d'instance de calcul) est supprimée, elle est automatiquement enlevée des groupes de sécurité réseau dans lesquels elle se trouvait. Vous n'êtes peut-être pas autorisé à supprimer une ressource parent particulière. Contactez l'administrateur pour déterminer le propriétaire d'une ressource donnée.

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie. Cet accès est requis que vous utilisiez la console ou l'API REST avec un kit SDK, l'interface de ligne de commande ou un autre outil. Si un message vous indique que vous ne disposez pas des droits d'accès ou des autorisations nécessaires, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment  dans lequel vous devez travailler.

Pour les administrateurs : la stratégie dans Autoriser les administrateurs réseau à gérer un réseau cloud couvre la gestion de tous les composants de Networking, y compris des groupes de sécurité réseau.

Si des administrateurs de la sécurité ont besoin de gérer des groupes de sécurité réseau mais pas d'autres composants du service Networking, vous pouvez écrire une stratégie plus restrictive :

Allow group NSGAdmins to manage network-security-groups in tenancy
			
Allow group NSGAdmins to manage vcns in tenancy 
      where ANY {request.operation = 'CreateNetworkSecurityGroup',
                 request.operation = 'DeleteNetworkSecurityGroup'}

Allow group NSGAdmins to read vcns in tenancy

Allow group NSGAdmins to use VNICs in tenancy

La première instruction permet au groupe NSGAdmins de créer et de gérer des groupes de sécurité réseau et leurs règles de sécurité.

La deuxième instruction est requise car la création ou la suppression d'un groupe de sécurité réseau a une incidence sur le réseau cloud virtuel dans lequel ce groupe réside. L'instruction restreint les droits d'accès liés au réseau cloud virtuel à ceux requis pour la création ou la suppression d'un groupe de sécurité réseau. L'instruction ne permet pas au groupe NSGAdmins de créer ou de supprimer des réseaux cloud virtuels, ni d'utiliser des ressources dans un réseau cloud virtuel, à l'exception des groupes de sécurité réseau.

La troisième instruction est requise pour répertorier les réseaux cloud virtuels, ce qui est un prérequis pour la création ou la suppression d'un groupe de sécurité réseau dans un réseau cloud virtuel. Afin de comprendre pourquoi les deuxième et troisième instructions sont requises, reportez-vous à Conditions.

La quatrième instruction est requise si le groupe NSGAdmins doit placer des cartes d'interface réseau virtuelles dans un groupe de sécurité réseau. Toute personne qui crée la ressource parent de la carte d'interface réseau virtuelle (par exemple, une instance Compute ) doit déjà disposer de ce niveau d'autorisation pour créer la ressource parent.

Pour plus d'informations sur les stratégies du service Networking, reportez-vous à Stratégies IAM pour Networking.