Documentation Oracle Cloud Infrastructure

Façons de sécuriser un réseau

OCI vous permet de contrôler la sécurité d'un réseau cloud et des instances de calcul de plusieurs manières :

  • Sous-réseau public et privé : vous pouvez définir un sous-réseau en tant que privé, ce qui signifie que les instances du sous-réseau ne peuvent pas disposer d'adresses IP publiques. Pour plus d'informations, reportez-vous à Sous-réseaux publics et privés.
  • Règles de sécurité : permettent de contrôler le trafic vers et depuis une instance au niveau du paquet. Vous pouvez configurer les règles de sécurité dans l'API ou la console Oracle Cloud Infrastructure. Pour implémenter des règles de sécurité, vous pouvez utiliser des groupes de sécurité réseau ou des listes de sécurité. Pour plus d'informations, reportez-vous à Règles de sécurité.
  • Zero Trust Packet Routing : vous pouvez utiliser Zero Trust Packet Routing (ZPR) avec ou à la place des groupes de sécurité réseau pour contrôler l'accès réseau aux ressources OCI en leur appliquant des attributs de sécurité et en créant des stratégies ZPR pour contrôler la communication entre elles. Pour plus d'informations, reportez-vous à la section Zero Trust Packet Routing.
    Attention

    Si une adresse a un attribut de sécurité ZPR, le trafic vers l'adresse doit satisfaire les règles ZPR, ainsi que toutes les règles de groupe de sécurité réseau et de liste de sécurité. Par exemple, si vous utilisez déjà des groupes de sécurité réseau et que vous appliquez un attribut de sécurité à une adresse, dès que l'attribut est appliqué, tout le trafic vers l'adresse est bloqué. Ensuite, une stratégie ZPR doit autoriser le trafic vers l'adresse.
  • Règles de pare-feu : permettent de contrôler le trafic vers et depuis une instance au niveau du paquet. Vous configurez les règles de pare-feu directement sur l'instance elle-même. Les images de plate-forme qui exécutent Oracle Linux incluent automatiquement des règles par défaut qui autorisent l'entrée sur le port TCP 22 pour le trafic SSH. De même, les images Windows incluent des règles par défaut qui autorisent l'entrée sur le port TCP 3389 pour l'accès Bureau à distance. Pour plus d'informations, reportez-vous à Images de plate-forme.
    Important

    Les règles de pare-feu et les règles de sécurité fonctionnent au niveau de l'instance. Toutefois, vous configurez des listes d'accès sécurisé au niveau du sous-réseau, ce qui signifie que toutes les ressources d'un sous-réseau particulier disposent du même ensemble de règles d'accès sécurisé. De plus, les règles de sécurité d'un groupe de sécurité réseau s'appliquent uniquement aux ressources de ce groupe. Lors du dépannage de l'accès à une instance, assurez-vous que tous les éléments suivants sont définis correctement : les groupes de sécurité réseau dans lesquels l'instance se trouve, les listes de sécurité associées au sous-réseau de l'instance et les règles de pare-feu de l'instance.

    Si une instance exécute Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, vous devez utiliser firewalld pour interagir avec les règles iptables. Pour référence, voici les commandes permettant d'ouvrir un port (1521 dans cet exemple) :

    sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

    En ce qui concerne les instances comportant un volume d'initialisation iSCSI, la commande --reload précédente peut entraîner des problèmes. Pour obtenir des détails et une solution de contournement, reportez-vous à Le système se bloque après l'exécution de firewall-cmd --reload.

  • Passerelles et tables de routage : permet de contrôler le flux de trafic général d'un réseau cloud vers des destinations externes (Internet, un réseau sur site ou un autre VCN). Vous configurez la passerelle et la table de routage du réseau cloud dans l'API ou la console Oracle Cloud Infrastructure. Pour plus d'informations sur les passerelles, reportez-vous à Composants de Networking. Pour plus d'informations sur les tables de routage, reportez-vous à Tables de routage de réseau cloud virtuel.
  • Stratégies IAM : permet de contrôler qui a accès à l'API ou à l'interface de console Oracle Cloud Infrastructure. Vous pouvez contrôler le type d'accès et les ressources cloud accessibles. Par exemple, vous pouvez contrôler les personnes pouvant configurer les réseaux et les sous-réseaux, ou celles pouvant mettre à jour les tables de routage, les groupes de sécurité réseau ou les listes de sécurité. Vous configurez les stratégies dans la console ou l'API Oracle Cloud Infrastructure. Pour plus d'informations, reportez-vous à Contrôle d'accès.
  • Zones de sûreté : pour vous assurer que le réseau et d'autres ressources cloud sont conformes aux principes et aux meilleures pratiques de sûreté d'Oracle, vous pouvez les créer dans une zone de sûreté. Une zone de sécurité est associée à un compartiment et vérifie toutes les opérations de gestion de réseau par rapport à des stratégies de zone de sécurité. Par exemple, les zones de sécurité ne permettent pas l'utilisation d'adresses IP publiques et ne peuvent contenir que des sous-réseaux privés. Pour plus d'informations, reportez-vous à Présentation de Security Zones.