Documentation Oracle Cloud Infrastructure

Résolution des problèmes de configuration de base

Cette rubrique répertorie les procédures à suivre pour résoudre les problèmes de configuration courants qui ont une incidence sur la sécurité de vos ressources Oracle Cloud Infrastructure.

Block Volume

Volume de blocs détaché de l'instance

Incident : assurez-vous que seuls les administrateurs Oracle Cloud Infrastructure peuvent détacher les volumes de blocs des instances.

Notions de base : lorsque vous détachez un volume de blocs, ce volume est séparé de l'instance à laquelle il est associé, ce qui a une incidence sur les données disponibles pour l'instance. Cela pourrait avoir un impact sur la disponibilité des données critiques et sur l'exécution des sauvegardes de volume programmées. Pour minimiser les pertes de données dues à des détachements de volume involontaires par des utilisateurs autorisés ou des détachements de volume malveillants, limitez le droit d'accès VOLUME_ATTACHMENT_DELETE aux administrateurs.

Pour empêcher le détachement des volumes de blocs, procédez comme suit :

La stratégie suivante autorise le groupe VolumeUsers à gérer des volumes et des attachements de volume, mais pas à détacher des volumes :

Allow group VolumeUsers to manage volumes in tenancy
Allow group VolumeUsers to manage volume-attachments in tenancy
    where request.permission!='VOLUME_ATTACHMENT_DELETE'

Cette modification empêche le groupe VolumeUsers de détacher des volumes des instances.

Plus d'informations :

Compute

Instance créée à partir d'une image personnalisée non approuvée

Problème : une instance a été créée à partir d'une image personnalisée qui n'est pas prise en charge dans votre environnement.

Notions de base : lorsque les utilisateurs créent des instances, ils peuvent choisir des images de plate-forme, des volumes d'initialisation ou des images personnalisées. Il existe une grande variété d'images personnalisée, ce qui peut inclure des images non approuvées pour votre environnement. Si vous utilisez des balises dans votre location Oracle Cloud Infrastructure pour identifier les images approuvées, vérifiez si l'image sur laquelle l'instance est basée est une image approuvée et mettez fin à l'instance si nécessaire.

Pour vérifier les balises de l'image à partir de laquelle l'instance a été créée, procédez comme suit :

La procédure suivante s'applique à la console Oracle Cloud Infrastructure.

  1. Ouvrez le menu de navigation et sélectionnez Compute. Sous Compute, sélectionnez Instances.
  2. Cliquez sur l'instance qui vous intéresse.
  3. Cliquez sur le lien Image pour afficher l'image source.
  4. Cliquez sur l'onglet Balises pour afficher les balises appliquées à cette image.

Si l'image personnalisée ne comporte pas de balise approuvée et si vous devez mettre fin à l'instance, reportez-vous à Terminaison d'une instance.

Plus d'informations :

IAM

Un membre du groupe Administrateurs a utilisé des clés d'API

Problème : un utilisateur membre du groupe Administrateurs a accédé à des ressources à l'aide d'une clé d'API.

Notions de base :

  • Les clés d'API sont des informations d'identification permettant aux programmes d'accéder à Oracle Cloud Infrastructure.

  • Pour des raisons de sécurité et de gouvernance, les utilisateurs ne doivent avoir accès qu'aux ressources avec lesquelles ils ont besoin d'interagir.

  • Pour les membres du groupe Administrateurs qui ont également besoin d'accéder aux ressources via l'API, créez un autre utilisateur dans IAM auquel vous attachez les clés d'API. Accordez à l'utilisateur les droits d'accès aux clés d'API uniquement sur les ressources avec lesquelles ses programmes doivent interagir.

Pour créer un utilisateur, un groupe et une stratégie avec des droits d'accès limités, procédez comme suit :

L'ensemble de procédures suivant vous montre comment configurer un exemple d'utilisateur avec des droits d'accès limités. Dans cet exemple, l'utilisateur doit pouvoir lancer des instances dans un compartiment spécifique.

La procédure suivante s'applique à la console Oracle Cloud Infrastructure.

Création d'un utilisateur
  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Utilisateurs.
  2. Cliquez sur Créer un utilisateur.

  3. Dans la boîte de dialogue Créer un utilisateur, procédez comme suit :

    • Nom : saisissez le nom ou l'adresse électronique unique du nouvel utilisateur. La valeur correspond au nom de connexion de l'utilisateur sur la console et doit être unique parmi tous les autres utilisateurs de votre location.
    • Description : entrez une description (obligatoire).
  4. Cliquez sur Créer.
Création d'un groupe

Créez ensuite le groupe ("InstanceLaunchers") pour lequel vous allez créer la stratégie.

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  2. Cliquez sur Créer un groupe.

  3. Dans la boîte de dialogue Créer un groupe :

    • Nom : saisissez le nom unique du groupe ; par exemple, "InstanceLaunchers".

      Les espaces ne sont pas autorisés dans le nom.

    • Description : entrez une description (obligatoire).
  4. Cliquez sur Créer.
Création d'une stratégie

Dans cet exemple, la stratégie autorise les membres du groupe InstanceLaunchers à lancer des instances dans un compartiment donné (CompartmentA).

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Stratégies.
  2. Cliquez sur Créer une stratégie.

  3. Saisissez le nom unique de la stratégie, par exemple, "InstanceLaunchersPolicy".

    Les espaces ne sont pas autorisés dans le nom.

  4. Entrez une description (obligatoire), par exemple "Autorise les utilisateurs à lancer des instances dans CompartmentA".
  5. Cliquez sur Afficher l'éditeur manuel et entrez l'instruction suivante : 
    Allow group InstanceLaunchers to manage instance-family in compartment CompartmentA

    Cette instruction autorise les membres du groupe InstanceLaunchers à lancer et à gérer des instances dans le compartiment nommé CompartmentA.

  6. Cliquez sur Créer.
Ajout de l'utilisateur au groupe
  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Utilisateurs.
  2. Dans la liste Utilisateurs, recherchez l'utilisateur et cliquez sur son nom.

  3. Sur la page des détails de l'utilisateur, cliquez sur Groupes (sur le côté gauche de la page). La liste des groupes auxquels appartient l'utilisateur apparaît.

  4. Cliquez sur Ajouter un utilisateur à un groupe.
  5. Dans la liste Groupes, sélectionnez InstanceLaunchers.
  6. Cliquez sur Ajouter.
Téléchargement d'une clé de signature d'API pour l'utilisateur

La procédure suivante fonctionne pour un utilisateur standard ou un administrateur. Les administrateurs peuvent télécharger une clé d'API pour un autre utilisateur ou pour eux-mêmes.

Important

La clé d'API doit être une clé RSA au format PEM (2 048 bits minimum). Le format PEM ressemble à ce qui suit :

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——

Pour plus d'informations sur la génération d'une clé PEM publique, reportez-vous à Clés et OCID requis .

  1. Visualisez les détails de l'utilisateur :
    • Si vous téléchargez une clé d'API pour vous-même : dans le menu de navigation , sélectionnez le menu Profil Icône du menu Profil, puis sélectionnez Paramètres utilisateur.
    • Si vous téléchargez une clé d'API en tant qu'administrateur pour un autre utilisateur : dans la console, cliquez sur identité, puis sur utilisateurs. Localisez l'utilisateur dans la liste, puis cliquez sur son nom pour en afficher les détails.
  2. Cliquez sur Ajouter une clé d'API, puis sélectionnez Coller la clé d'API.

  3. Collez la valeur de la clé dans la fenêtre et cliquez sur Ajouter.

    La clé est ajoutée et son empreinte est affichée (exemple d'empreinte : d1:b2:32:53:d3:5f:cf:68:2d:6f:8b:5f:77:8f:07:13).

Plus d'informations :

La stratégie accorde des droits d'accès étendus

Problème : une stratégie accorde des droits de gestion complets pour au moins un service dans un compartiment ou dans la location.

Notions de base :

  • L'accès aux ressources est contrôlé par des stratégies. Une stratégie est un document précisant les personne pouvant accéder à une telle ou telle ressource Oracle Cloud Infrastructure dont dispose votre entreprise, ainsi que la façon d'y accéder. Une stratégie permet simplement à un groupe  de travailler d'une certaine façon avec des types spécifiques de ressource  dans un compartiment  donné.
  • Pour des raisons de sécurité et de gouvernance, les utilisateurs ne doivent avoir accès qu'aux ressources dont ils ont besoin.
  • Réfléchissez bien au niveau d'accès dont l'utilisateur a besoin. Le langage de stratégie fournit un ensemble de verbes par défaut (manage, use, read, inspect) permettant de déterminer facilement la portée des droits d'accès des utilisateurs pour un ensemble de tâches courantes. Par exemple, si un utilisateur doit être en mesure de mettre à jour des ressources, mais qu'il n'a pas besoin de les créer ou de les supprimer, affectez-lui le droit d'accès use plutôt que manage .

  • Le langage de stratégie est conçu pour vous permettre d'écrire des instructions simples impliquant uniquement des verbes et des types de ressource, sans avoir à indiquer les droits d'accès dans l'instruction. Pour un contrôle d'accès plus précis, vous pouvez combiner des conditions avec des droits ou des opérations d'API afin de réduire la portée des accès accordés par un verbe particulier.

  • Dans la mesure du possible, définissez l'accès aux compartiments spécifiques dont l'utilisateur a besoin plutôt qu'à l'ensemble de la location.

Conseils pour écrire des stratégies de moindre privilège :

Définition de la portée de la stratégie sur un compartiment plutôt que sur la location

Chaque stratégie se compose d'au moins une instruction qui respecte une syntaxe de base. Si possible, définissez la portée des stratégies sur des compartiments spécifiques plutôt que sur la location. Par exemple, mettez à jour une stratégie comme suit :

Allow group <group_name> to <verb>
                                    <resource-type> in tenancy

pour inclure uniquement les compartiments nécessaires :

Allow group <group_name> to <verb>
                                    <resource-type> in compartment <compartment_name>

Si l'utilisateur a besoin d'accéder à plusieurs compartiments, créez une instruction de stratégie pour chaque compartiment. Il est ainsi facile d'enlever l'accès à des compartiments individuels, si nécessaire.

Définition des droits d'accès requis pour exécuter une fonction

Oracle définit les verbes que vous pouvez utiliser dans vos stratégies. Voici un récapitulatif des verbes allant de l'accès le plus restreint au plus étendu :

Verbe Types d'accès couvert Utilisateur cible
inspect Possibilité de répertorier des ressources sans accéder aux informations confidentielles ou aux métadonnées spécifiées par l'utilisateur pouvant appartenir à ces ressources. Auditeurs tiers
read Inclut inspect ainsi que la possibilité d'obtenir les métadonnées spécifiées par l'utilisateur et la ressource elle-même. Auditeurs internes
use Inclut read ainsi que la possibilité d'utiliser les ressources existantes (les actions varient en fonction du type de ressource). En général, ce verbe n'inclut pas la possibilité de créer ou de supprimer ce type de ressource. Utilisateur final de ressources au quotidien
manage Inclut tous les droits d'accès relatifs à la ressource. Administrateurs

Les utilisateurs qui n'ont pas besoin de créer ou de supprimer des ressources n'ont généralement pas besoin de droits d'accès en gestion. Si la stratégie ressemble à ce qui suit 

Allow group <group_name> to manage <resource-type> in compartment <compartment_name>

mais que l'utilisateur ne sera jamais amené à créer ou à supprimer le type de ressource, envisagez de réécrire la stratégie comme suit : 

Allow group <group_name> to use <resource-type> in compartment <compartment_name>

La référence de stratégie inclut des détails sur les types de ressource spécifiques pour chaque service, et sur les combinaisons de verbe et de type de ressource qui donnent accès aux différentes opérations d'API.

Définition de la portée de l'accès à l'aide de conditions et d'opérations d'API pour un contrôle d'accès plus précis

Dans une instruction de stratégie, vous pouvez utiliser des conditions combinées avec des droits d'accès ou des opérations d'API afin de réduire la portée de l'accès accordé par un verbe particulier.

Par exemple, supposons que vous voulez que le groupe XYZ puisse répertorier, obtenir, créer ou mettre à jour des groupes (modifier leur description), mais pas les supprimer. Pour répertorier, obtenir, créer et mettre à jour des groupes, vous devez définir une stratégie avec le type de ressource et le verbe manage groups. Comme indiqué dans le tableau de la rubrique Détails des combinaisons de verbe et de type de ressource, les droits d'accès couverts sont les suivants :

  • GROUP_INSPECT
  • GROUP_UPDATE
  • GROUP_CREATE
  • GROUP_DELETE

Pour restreindre l'accès uniquement aux droits d'accès souhaités, vous pouvez ajouter une condition qui indique explicitement les droits à autoriser :

Allow group XYZ to manage groups in tenancy
                        
                        where any {request.permission='GROUP_INSPECT',
                        request.permission='GROUP_CREATE',
                        request.permission='GROUP_UPDATE'}

Sinon, vous pouvez opter pour une stratégie qui autorise tous les droits d'accès à l'exception de GROUP_DELETE :

Allow group XYZ to manage groups in tenancy where request.permission != 'GROUP_DELETE'

Une autre alternative consiste à écrire une condition basée sur des opérations d'API spécifiques. D'après le tableau de la rubrique Droits d'accès requis pour chaque opération d'API, ListGroups et GetGroup nécessitent uniquement le droit GROUP_INSPECT. La stratégie est la suivante :

Allow group XYZ to manage groups in tenancy
                        
                        where any {request.operation='ListGroups',  
                        request.operation='GetGroup',
                        request.operation='CreateGroup',
                        request.operation='UpdateGroup'}

Il peut s'avérer avantageux d'utiliser des droits d'accès plutôt que des opérations d'API dans les conditions. A l'avenir, si une nouvelle opération d'API est ajoutée et nécessite l'un des droits d'accès répertoriés dans la stratégie basée sur les droits ci-dessus, cette stratégie contrôlera déjà l'accès du groupe XYZ à cette nouvelle opération d'API.

Cependant, vous pouvez définir davantage la portée des droits d'accès d'un utilisateur en indiquant également une condition basée sur une opération d'API. Par exemple, vous pouvez accorder à un utilisateur l'accès à GROUP_INSPECT, puis ultérieurement uniquement à ListGroups. 

Allow group XYZ to manage groups in tenancy
                        
                        where all {request.permission='GROUP_INSPECT',  
                        request.operation='ListGroups'}

Plus d'informations :

Clés de signature d'API datant de plus de 90 jours

incident : les clés de signature d'API d'un utilisateur datent de plus de 90 jours. Oracle vous recommande d'effectuer la rotation des clés d'API au moins tous les 90 jours.

Notions de base :

  • Les clés d'API sont des informations d'identification permettant aux programmes d'accéder à Oracle Cloud Infrastructure.

  • La rotation régulière des clés d'API, au moins tous les 90 jours, est une exigence de conformité et fait partie des meilleures pratiques en matière d'ingénierie de la sécurité.

  • Veillez à tester les nouvelles clés avant de désactiver les anciennes.

Pour générer et télécharger de nouvelles clés d'API, procédez comme suit :

La procédure suivante s'applique à la console Oracle Cloud Infrastructure.

Génération de nouvelles clés d'API
Vous pouvez utiliser les commandes OpenSSL suivantes pour générer la paire de clés au format PEM requis. Si vous utilisez Windows, vous devez installer Git Bash pour Windows et exécuter les commandes avec cet outil.

  1. Si vous ne l'avez pas déjà fait, créez un répertoire .oci où stocker les informations d'identification :

    
mkdir ~/.oci

  2. Générez la clé privée à l'aide de l'une des commandes suivantes.

    • Recommandé : pour générer la clé cryptée avec une phrase de passe que vous indiquez lorsque vous y êtes invité, suivez l'exemple ci-après :

      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 2048

      Remarque : sous Windows, vous devrez peut-être insérer -passout stdin pour être invité à saisir une phrase de passe. L'invite apparaît simplement en tant que curseur clignotant, sans texte.

      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 -passout stdin 2048

    • Pour générer la clé sans phrase de passe, procédez comme suit :

      openssl genrsa -out ~/.oci/oci_api_key.pem 2048

  3. Vérifiez que vous seul pouvez lire le fichier de clés privées :

    chmod go-rwx ~/.oci/oci_api_key.pem

  4. Générez la clé publique :

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem

    Remarque : sous Windows, si vous avez généré la clé privée avec une phrase de passe, vous devrez peut-être insérer -passin stdin afin d'être invité à saisir la phrase de passe. L'invite apparaît simplement en tant que curseur clignotant, sans texte.

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem -passin stdin

  5. Copiez le contenu de la clé publique dans le presse-papiers à l'aide de pbcopy, xclip ou d'un outil similaire (vous devrez coller la valeur dans la console ultérieurement). Par exemple :

    cat ~/.oci/oci_api_key_public.pem | pbcopy
Vos demandes d'API seront signées avec votre clé privée et Oracle utilisera la clé publique pour vérifier l'authenticité de la demande. Vous devez charger la clé publique dans IAM (instructions ci-dessous).
Obtention de l'empreinte de la clé

Vous pouvez obtenir l'empreinte de la clé en utilisant la commande OpenSSL suivante.

Pour Linux et Mac OS X :

openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c
Windows :
Remarque

Si vous utilisez Windows, vous devez installer Git Bash for Windows et exécuter la commande avec cet outil.
openssl rsa -pubout -outform DER -in \.oci\oci_api_key.pem | openssl md5 -c

Lorsque vous téléchargez la clé publique dans la console, l'empreinte y est automatiquement affichée. Elle se présente comme suit : 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef

Téléchargement de la clé de signature d'API pour l'utilisateur
Vous pouvez télécharger la clé publique PEM dans la console, située à l'adresse https://cloud.oracle.com. Si vous ne disposez pas d'identifiant de connexion ni de mot de passe pour accéder à la console, contactez un administrateur.
  1. Ouvrez la console et connectez-vous.

  2. Affichez les détails de l'utilisateur qui appellera l'API avec la paire de clés :

    • Si vous êtes connecté à la console en tant qu'utilisateur suivant : dans le menu de navigation , sélectionnez le menu Profil Icône du menu Profil, puis sélectionnez Paramètres utilisateur.
    • Si vous le faites en tant qu'administrateur pour un autre utilisateur : ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Utilisateurs. Recherchez l'utilisateur dans la liste, puis sélectionnez-le pour en afficher les détails.
  3. Sélectionnez Sélectionner des clés d'API.
  4. Sélectionnez Ajouter une clé d'API.
  5. Sélectionnez Coller une clé publique
  6. Collez le contenu de la clé publique PEM dans la boîte de dialogue et sélectionnez Ajouter.
L'empreinte de la clé s'affiche (par exemple, 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef). Une fois que vous avez téléchargé la première clé publique, vous pouvez également utiliser l'opération d'API UploadApiKey pour télécharger des clés supplémentaires. Un utilisateur peut avoir jusqu'à trois paires de clés d'API. Dans une demande d'API, spécifiez l'empreinte de la clé afin d'indiquer la clé que vous utilisez pour signer la demande.
Test de la nouvelle clé

Testez la clé dans un exemple d'appel d'API sur Oracle Cloud Infrastructure.

Suppression de l'ancienne clé
La procédure suivante fonctionne pour un utilisateur standard ou un administrateur. Les administrateurs peuvent supprimer une clé d'API pour un autre utilisateur ou pour eux-mêmes.
  1. Visualisez les détails de l'utilisateur :
    • Si vous supprimez une clé d'API pour vous-même : dans le menu de navigation , sélectionnez le menu Profil Icône du menu Profil, puis sélectionnez Paramètres utilisateur.
    • Si vous supprimez une clé d'API en tant qu'administrateur pour un autre utilisateur, ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Utilisateurs. Recherchez l'utilisateur dans la liste, puis sélectionnez-le pour en afficher les détails.
  2. Sélectionnez Clés d'API.
  3. Sélectionnez le menu Actions (trois points) de la clé d'API à supprimer, puis sélectionnez Supprimer.
  4. Confirmez l'opération lorsque vous y êtes invité.
La clé d'API n'est plus valide pour l'envoi de demandes d'API.

Plus d'informations :

Octroi du privilège d'administrateur de location à un groupe IAM

Problème : un groupe autre que le groupe Administrateurs dispose des privilèges d'administrateur.

Notions de base :

  • L'octroi du privilège d'administrateur de location (manage all-resources in tenancy) à un groupe donne aux membres de ce groupe un accès complet à toutes les ressources de la location.
  • Ce droit à des privilèges élevés doit être contrôlé et limité uniquement aux utilisateurs qui en ont besoin pour exercer leur fonction.
  • Vérifiez auprès de l'administrateur Oracle Cloud Infrastructure que cet octroi a été approuvé et que l'appartenance au groupe reste valide après l'octroi du privilège d'administrateur.
  • Au lieu de créer un autre groupe avec des privilèges d'administrateur, ajoutez les utilisateurs qui ont besoin des privilèges d'administrateur au groupe Administrateurs par défaut.

Pour résoudre ce problème, procédez comme suit :

Ajoutez les utilisateurs ayant besoin de privilèges d'administrateur au groupe Administrateurs :

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines.
  2. Dans la liste Groupes, sélectionnez Administrateurs.
  3. Sélectionnez Ajouter un utilisateur à un groupe.
  4. Dans la boîte de dialogue Ajouter un utilisateur à un groupe, sélectionnez l'utilisateur dans la liste Utilisateur.
  5. Choisissez Ajouter.

Enlevez la stratégie ou l'instruction de stratégie qui octroie les privilèges d'administration au groupe (autre que le groupe Administrateurs).

  1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Stratégies. La liste des stratégies du compartiment que vous visualisez apparaît.

    Si vous ne voyez pas la stratégie que vous recherchez, vérifiez que vous visualisez le compartiment approprié. Pour visualiser les stratégies attachées à un autre compartiment, sous Portée de la liste, sélectionnez ce compartiment dans la liste.

  2. Cliquez sur la stratégie à mettre à jour.

    Les détails et les instructions de la stratégie apparaissent.

  3. Recherchez l'instruction qui octroie des privilèges d'administrateur au groupe. Cette stratégie ressemble à ce qui suit :

    Allow group <group_name> to manage all-resources in tenancy

    Cliquez sur le menu Actions (trois points), puis sur Supprimer.

  4. Si la stratégie ne comporte aucune autre instruction, vous pouvez la supprimer en cliquant sur Supprimer en regard de son nom.

Plus d'informations :

Networking : réseau cloud virtuel, équilibreurs de charge et DNS

Aucune règle d'entrée dans les listes de sécurité

Problème : les listes de sécurité d'un réseau cloud virtuel ne contiennent pas de règles d'entrée. En d'autres termes, les instances dans le réseau cloud virtuel ne peuvent pas recevoir de trafic entrant.

Notions de base :

  • Les listes de sécurité fournissent des fonctionnalités de pare-feu avec et sans conservation d'état afin de contrôler l'accès réseau aux instances Compute.
  • Une liste de sécurité est configurée au niveau du sous-réseau et appliquée au niveau de l'instance.
  • Vous pouvez associer plusieurs listes de sécurité à un sous-réseau. Un paquet est autorisé s'il correspond à une règle dans les listes de sécurité utilisées par le sous-réseau.
  • S'il n'existe aucune règle entrante dans les listes de sécurité du sous-réseau, aucun trafic n'est autorisé vers les instances de ce sous-réseau.
  • Pour plus de sécurité, nous recommandons que les règles des listes de sécurité entrantes indiquent une source connue spécifique et non une source ouverte (0.0.0.0/0).
  • Vous pouvez configurer une exception dans Oracle CASB Cloud Service pour réduire les alertes à partir de listes de sécurité exemptées.

Pour ajouter une règle d'entrée à une liste de sécurité existante, procédez comme suit :

La procédure suivante s'applique à la console Oracle Cloud Infrastructure.

  1. Ouvrez le menu de navigation , sélectionnez Fonctions de réseau, puis Réseaux cloud virtuels.
  2. Vérifiez que vous visualisez le compartiment qui contient le réseau cloud qui vous intéresse.
  3. Cliquez sur le réseau cloud qui vous intéresse.
  4. Cliquez sur Listes de sécurité.
  5. Cliquez sur la liste de sécurité qui vous intéresse.
  6. Cliquez sur Règes entrantes.

  7. Ajoutez au moins une règle d'entrée :

    1. Cliquez sur Ajouter des règles d'entrée.
    2. Indiquez s'il s'agit d'une règle avec ou sans conservation de statut (reportez-vous à Règles avec conservation de statut et sans conservation de statut). Par défaut, les règles sont définies avec conservation de statut.
    3. Entrez le CIDR source. Les CIDR classiques que vous pouvez spécifier dans une règle correspondent au bloc CIDR de votre réseau sur site ou d'un sous-réseau particulier. Si vous configurez une règle de liste de sécurité de sorte à autoriser le trafic avec une passerelle de service , reportez-vous à Tâche 3 : (facultatif) mettre à jour les règles de sécurité.
    4. Sélectionnez le protocole (par exemple, TCP, UDP, ICMP, "Tous les protocoles", etc.).
    5. Entrez les détails supplémentaires selon le protocole :
      • Si vous avez choisi TCP ou UDP, saisissez une plage de ports source et une plage de ports de destination. Vous pouvez saisir "Tous" pour couvrir tous les ports. Pour autoriser un port spécifique, entrez le numéro du port (par exemple, 22 pour SSH ou 3389 pour RDP) ou une plage de ports (par exemple, 20-22).
      • Si vous choisissez ICMP, vous pouvez saisir "Tous" pour couvrir tous les types et tous les codes. Si vous souhaitez autoriser un type ICMP spécifique, entrez le type et un code facultatif séparés par une virgule (par exemple, 3,4). Si le type a plusieurs codes que vous voulez autoriser, créez une règle distincte pour chaque code.
  8. Lorsque vous avez terminé, cliquez sur Ajouter des règles d'entrée.

Cette modification permet l'accès entrant à partir du bloc CIDR source répertorié dans la règle. Ajoutez des règles supplémentaires si vous voulez autoriser l'entrée à partir d'autres sources connues.

Plus d'informations :

La liste de sécurité autorise le trafic à partir de n'importe quelle adresse IP (open source)

Problème : une liste de sécurité comporte au moins une règle ayant une source ouverte (0.0.0.0/0). Cela signifie que le trafic peut provenir de n'importe quelle source et n'est pas contrôlé.

Notions de base :

  • Les listes de sécurité fournissent des fonctionnalités de pare-feu avec et sans conservation d'état afin de contrôler l'accès réseau aux instances Compute.
  • Une liste de sécurité est configurée au niveau du sous-réseau et appliquée au niveau de l'instance.
  • Vous pouvez associer plusieurs listes de sécurité à un sous-réseau. Un paquet est autorisé s'il correspond à une règle dans les listes de sécurité utilisées par le sous-réseau.
  • S'il n'existe aucune règle entrante dans les listes de sécurité du sous-réseau, aucun trafic n'est autorisé vers les instances de ce sous-réseau.
  • Pour plus de sécurité, nous recommandons que les règles des listes de sécurité entrantes indiquent une source connue spécifique et non une source ouverte (0.0.0.0/0).
  • Vous pouvez configurer une exception dans Oracle CASB Cloud Service pour réduire les alertes à partir de listes de sécurité exemptées.

Pour modifier la source d'une règle de liste de sécurité, procédez comme suit :

La procédure suivante s'applique à la console Oracle Cloud Infrastructure.

  1. Ouvrez le menu de navigation , sélectionnez Fonctions de réseau, puis Réseaux cloud virtuels.
  2. Vérifiez que vous visualisez le compartiment qui contient le réseau cloud qui vous intéresse.
  3. Cliquez sur le réseau cloud qui vous intéresse.
  4. Cliquez sur Listes de sécurité.
  5. Cliquez sur la liste de sécurité qui vous intéresse.
  6. Cliquez sur Règes entrantes.
  7. Repérez la règle qui répertorie 0.0.0.0/0 comme CIDR source.
  8. Modifiez la règle et remplacez 0.0.0.0/0 par le bloc CIDR d'une source connue.

Cette modification limite l'entrée de sorte que les paquets sont autorisés uniquement à partir d'un bloc CIDR spécifique. Ajoutez des règles supplémentaires si vous voulez autoriser l'entrée à partir d'autres sources connues.

Plus d'informations :

La liste de sécurité autorise le trafic vers des ports sensibles

Problème : une liste de sécurité comporte au moins une règle permettant d'accéder à un port sensible.

Notions de base :

  • Les listes de sécurité fournissent des fonctionnalités de pare-feu avec et sans conservation d'état afin de contrôler l'accès réseau aux instances Compute.
  • Une liste de sécurité est configurée au niveau du sous-réseau et appliquée au niveau de l'instance.
  • Vous pouvez associer plusieurs listes de sécurité à un sous-réseau. Un paquet est autorisé s'il correspond à une règle dans les listes de sécurité utilisées par le sous-réseau.
  • S'il n'existe aucune règle entrante dans les listes de sécurité du sous-réseau, aucun trafic n'est autorisé vers les instances de ce sous-réseau.
  • Pour plus de sécurité, nous recommandons que les règles des listes de sécurité entrantes indiquent une source connue spécifique et non une source ouverte (0.0.0.0/0).
  • Vous pouvez configurer une exception dans Oracle CASB Cloud Service pour réduire les alertes à partir de listes de sécurité exemptées.

Recommandation : mettez à jour la liste de sécurité du sous-réseau afin de permettre l'accès aux instances via SSH (port TCP 22) ou RDP (port TCP 3389) de façon temporaire, si nécessaire, et uniquement à partir des blocs CIDR autorisés (et non 0.0.0.0/0). Pour effectuer des vérifications de l'état de l'instance, mettez à jour la liste de sécurité afin d'autoriser les commandes ping ICMP.

Pour modifier une liste de sécurité existante, procédez comme suit :

La procédure suivante s'applique à la console Oracle Cloud Infrastructure.

  1. Ouvrez le menu de navigation , sélectionnez Fonctions de réseau, puis Réseaux cloud virtuels.
  2. Vérifiez que vous visualisez le compartiment qui contient le réseau cloud qui vous intéresse.
  3. Cliquez sur le réseau cloud qui vous intéresse.
  4. Cliquez sur Listes de sécurité.
  5. Cliquez sur la liste de sécurité qui vous intéresse.
  6. Cliquez sur Règes entrantes.
  7. Vous pouvez effectuer les modifications suivantes :
    • Supprimer une règle existante.
    • Modifiez une règle existante dans la liste. Par exemple : remplacez la source 0.0.0.0/0 par le bloc CIDR d'une source connue.
    • Ajoutez une nouvelle règle.

Plus d'informations :

Passerelle Internet attachée à un réseau cloud virtuel

Problème : un réseau cloud virtuel a une passerelle Internet. La passerelle doit être autorisée à être attachée au réseau cloud virtuel et ne doit pas exposer par inadvertance des ressources sur le réseau Internet.

Notions de base :

  • Les passerelles fournissent une connectivité externe aux hôtes dans un réseau cloud virtuel. Par exemple, une passerelle Internet permet une connexion Internet directe pour les instances qui se trouvent dans un sous-réseau public et disposent d'une adresse IP publique. Une passerelle de routage dynamique (DRG) permet la connectivité avec le réseau sur site via un VPN site à site ou FastConnect.
  • Pour autoriser le trafic via la passerelle Internet à partir d'un sous-réseau particulier dans le réseau cloud virtuel, la table de routage du sous-réseau doit comporter une règle qui répertorie la passerelle Internet comme cible de routage. Pour supprimer la passerelle Internet du réseau cloud virtuel, vous devez d'abord supprimer toutes les règles de routage qui spécifient la passerelle Internet comme cible.
  • Vous pouvez configurer une exception dans Oracle CASB Cloud Service pour réduire le nombre d'alertes provenant des réseaux cloud virtuels exemptés.

Pour enlever une passerelle Internet d'un réseau cloud virtuel, procédez comme suit :

Prérequis : assurez-vous qu'aucune règle de routage ne spécifie la passerelle Internet comme cible.

La procédure suivante s'applique à la console Oracle Cloud Infrastructure.

  1. Ouvrez le menu de navigation , sélectionnez Fonctions de réseau, puis Réseaux cloud virtuels.
  2. Vérifiez que vous visualisez le compartiment qui contient le réseau cloud qui vous intéresse.
  3. Cliquez sur le réseau cloud qui vous intéresse.
  4. Cliquez sur Passerelles Internet.
  5. Cliquez sur le menu Actions (trois points) correspondant à la passerelle Internet, puis sur Mettre fin.
  6. Confirmez l'opération lorsque vous y êtes invité.

Cette modification désactive la connectivité Internet directe pour le réseau cloud virtuel.

Plus d'informations :

L'instance dispose d'une adresse IP publique

Problème : une instance a une adresse IP publique. Cela signifie que l'instance peut être adressable publiquement si les autres composants obligatoires sont présents et configurés correctement dans le réseau cloud virtuel.

Notions de base :

  • Réfléchissez attentivement avant d'autoriser l'accès Internet aux instances. Par exemple, n'autorisez pas accidentellement l'accès Internet aux systèmes de base de données sensibles.

  • Pour qu'une instance soit adressable publiquement, les critères suivants doivent être remplis :

    • L'instance doit disposer d'une adresse IP publique et résider dans un sous-réseau public du réseau cloud virtuel (les instances dans les sous-réseaux privés ne peuvent pas disposer d'adresses IP publiques).
    • La liste de sécurité du sous-réseau doit être configurée de manière à autoriser le trafic pour toutes les adresses IP (0.0.0.0/0) et tous les ports.
    • Le réseau cloud virtuel doit disposer d'une passerelle Internet et être configuré pour acheminer le trafic sortant du sous-réseau vers la passerelle Internet.
  • Une instance peut disposer de plusieurs adresses IP publiques. Une adresse IP publique donnée est affectée à une adresse IP privée sur une carte d'interface réseau virtuelle spécifique sur l'instance. Une instance peut avoir plusieurs cartes d'interface réseau virtuelles et chacune de ces cartes peut avoir plusieurs adresses IP privées.

Pour enlever une adresse IP publique d'une instance, procédez comme suit :

La procédure suivante s'applique à la console Oracle Cloud Infrastructure.

  1. Ouvrez le menu de navigation et sélectionnez Compute. Sous Compute, sélectionnez Instances.
  2. Vérifiez que vous visualisez le compartiment contenant l'instance qui vous intéresse.
  3. Cliquez sur l'instance pour en visualiser les détails.

  4. Cliquez sur VNIC attachées.

    La carte d'interface réseau virtuelle principale et toutes les cartes d'interface réseau virtuelles secondaires attachées à l'instance sont affichées.

  5. Cliquez sur le réseau cloud virtuel qui vous intéresse.

  6. Cliquez sur IPv4 Adresses.

    L'adresse IP privée principale et les adresses IP privées secondaires de la carte d'interface réseau virtuelle sont affichées.

  7. Pour l'adresse IP privée dont vous avez besoin, cliquez sur le menu Actions (trois points), puis sur Modifier.
  8. Dans la section Adresse IP publique, pour Type d'adresse IP publique, sélectionnez le bouton radio Aucune adresse IP publique.
  9. Cliquez sur Mettre à jour.

L'affectation de l'adresse IP publique à l'instance est annulée.

Plus d'informations :

L'équilibreur de charge ne comporte aucune règle entrante ni aucun processus d'écoute

Problème : les listes de sécurité de sous-réseau d'un équilibreur de charge ne contiennent pas de règle d'entrée, ou un équilibreur de charge ne comporte pas de processus d'écoute. Dans ce cas, l'équilibreur de charge ne peut pas recevoir de trafic entrant.

Notions de base :

  • Les équilibreurs de charge fournissent une répartition automatisée du trafic à partir d'un point d'entrée vers plusieurs serveurs accessibles depuis votre réseau cloud virtuel. Chaque équilibreur de charge existe dans un sous-réseau régi par des règles de liste de sécurité. Un équilibreur de charge reçoit le trafic de données entrant à partir de processus d'écoute.
  • Les listes de sécurité fournissent des fonctionnalités de pare-feu avec et sans conservation de statut afin de contrôler l'accès réseau aux serveurs back-end et à votre équilibreur de charge.
    • S'il n'existe aucune règle entrante dans les listes de sécurité du sous-réseau, aucun trafic n'est autorisé vers les instances de ce sous-réseau.
    • Pour plus de sécurité, les règles de liste de sécurité entrantes doivent indiquer une source connue spécifique et non une source ouverte (0.0.0.0/0).
  • Un processus d'écoute est une entité logique qui vérifie le trafic entrant sur l'adresse IP de l'équilibreur de charge.
    • Pour gérer les trafics TCP, HTTP et HTTPS, vous devez configurer au moins un processus d'écoute par type de trafic.
    • Vous pouvez appliquer des règles de routage par chemin à un processus d'écoute afin d'acheminer le trafic vers l'ensemble de back-ends approprié sans utiliser plusieurs processus d'écoute ou équilibreurs de charge. Un routage par chemin est une chaîne que le processus d'écoute met en correspondance avec un URI entrant pour déterminer l'ensemble de back-ends de destination approprié.
  • Assurez-vous que les équilibreurs de charge Oracle Cloud Infrastructure utilisent des règles entrantes ou des processus d'écoute pour autoriser l'accès qu'à partir de ressources connues.
  • Vous pouvez configurer des exceptions dans CASB afin de réduire le nombre d'alertes provenant des équilibreurs de charge exemptés.
Pour autoriser un processus d'écoute à accepter le trafic, procédez comme suit :

La procédure suivante s'applique à la console Oracle Cloud Infrastructure.

Pour qu'un processus d'écoute puisse accepter le trafic, vous devez mettre à jour les règles de liste de sécurité de votre réseau cloud virtuel :

  1. Ouvrez le menu de navigation , sélectionnez Fonctions de réseau, puis Réseaux cloud virtuels.
  2. Sous Portée de la liste, sélectionnez un compartiment dans lequel vous êtes autorisé à travailler. La liste des réseaux cloud virtuels du compartiment en cours apparaît.
  3. Sélectionnez le nom du VCN contenant votre équilibreur de charge, puis sélectionnez Groupes de sécurité réseau ou Listes de sécurité. La liste des groupes de sécurité ou des listes de sécurité dans le réseau cloud apparaît.
  4. Sélectionnez le nom de la liste de sécurité ou du groupe de sécurité réseau applicable à votre équilibreur de charge.
  5. Ajoutez des règles ou modifiez des règles existantes pour accorder l'accès à partir des ressources appropriées. Les règles de sécurité d'un groupe de sécurité réseau apparaissent sur la page Détails sur le groupe de sécurité réseau. A partir de là, vous pouvez ajouter, modifier ou enlever des règles. La page Détails de la liste de sécurité permet d'accéder à des tables distinctes dans lesquelles vous pouvez ajouter ou modifier des règles entrantes ou des règles sortantes. Pour plus d'informations sur la configuration des règles, reportez-vous à Règles de sécurité.

Pour créer un processus d'écoute :

Généralement, vous créez un processus d'écoute dans le cadre du workflow de création de l'équilibreur de charge. Afin de créer un processus d'écoute pour un équilibreur de charge existant, procédez comme suit :

  1. Sous Equilibreurs de charge, sélectionnez Equilibreur de charge.

    La page de liste Equilibreurs de charge s'ouvre. Toutes les ressources d'équilibreur de charge existantes dans le compartiment sélectionné sont affichées dans une table de liste.

  2. Pour visualiser les ressources dans un autre compartiment, utilisez le filtre Compartiment pour changer de compartiment.

    Vous devez être autorisé à travailler dans un compartiment pour voir les ressources qu'il contient. En cas de doute sur le compartiment à utiliser, contactez un administrateur. Pour plus d'informations, reportez-vous à Présentation des compartiments.

  3. Sélectionnez un état dans la liste pour limiter les équilibreurs de charge à cet état.
  4. Sélectionnez l'équilibreur de charge pour lequel vous souhaitez créer un processus d'écoute. La page Détails de l'équilibreur de charge apparaît.
  5. Sélectionnez Processus d'écoute sous Ressources. La liste Processus d'écoute apparaît. Tous les processus d'écoute sont répertoriés dans un tableau.
  6. Sélectionnez Créer un processus d'écoute. La boîte de dialogue Créer un processus d'écoute apparaît.
  7. Renseignez les champs suivants :
    • Nom : saisissez le nom convivial du processus d'écoute. Le nom doit être unique et ne peut pas être modifié.
    • Nom d'hôte : (facultatif) sélectionnez jusqu'à 16 noms d'hôte virtuel pour ce processus d'écoute.
      Remarque

      Pour appliquer un nom d'hôtes virtuel à un processus d'écoute, ce nom doit Faire partie de la configuration de l'équilibreurs de charge. Si aucun Nom d'hôte n'est associé à l'équilibreur de charge, vous pouvez le créer sur la page Noms d'hôte. Pour plus d'informations, reportez-vous à Noms d'hôte virtuel pour les équilibreurs de charge.
    • Protocole : indiquez le protocole à utiliser : HTTP, HTTP/2, TCP ou HTTPS.
    • Port : indiquez le port sur lequel écouter le trafic entrant.
    • Utiliser SSL : (obligatoire pour HTTP/2 et HTTPS, facultatif pour HTTP et TCP), sélectionnez cette option pour l'activer. Les paramètres suivants sont requis pour associer un groupe de certificats SSL au processus d'écoute afin d'activer le traitement SSL. Pour plus d'informations sur l'utilisation des certificats SSL avec des équilibreurs de charge, reportez-vous à Certificats SSL pour les équilibreurs de charge.

      L'équilibreur de charge détecte automatiquement les modifications et utilise la version en cours des entités de service Certificates (certificats, autorités de certification et packages d'autorité de certification) dans la configuration SSL. Pour plus d'informations sur les rotations de certificat automatisées, reportez-vous à Certificates.

      • Ressource de certificat : sélectionnez dans la liste le type de ressource de certificat :

        La méthode d'import du certificat varie en fonction du type de ressource de certificat sélectionné.

        Attestation gérée par le service de certificats : dans la liste Attestation, sélectionnez le certificat dans le compartiment indiqué. Sélectionnez Modifier le compartiment pour choisir un autre compartiment dans lequel sélectionner le certificat.

        • Des options avancées sont disponibles avec cette sélection. Sélectionnez Afficher les options avancées et cliquez sur l'onglet SSL avancé. Cette option est décrite plus loin dans cette rubrique.
        • Certificat géré par l'équilibreur de charge : sélectionnez l'une des options suivantes pour importer le certificat :

          Choisir le fichier de certificat SSL : faites glisser le fichier de certificat au format PEM dans le champ certificat SSL. Vous pouvez également sélectionner l'option Coller le certificat SSL pour coller un certificat directement dans ce champ. Si vous soumettez un certificat auto-signé pour SSL back-end, vous devez soumettre le même certificat dans le champ de certificat de l'autorité de certification correspondant.

          Indiquer une clé privée : (obligatoire pour la terminaison SSL, facultatif pour toutes les autres) cochez la case afin de fournir une clé privée pour le certificat.

          Sélectionner un fichier de clés privées : faites glisser la clé privée au format PEM dans le champ Clé privée. Vous pouvez également sélectionner l'option Coller la clé privée pour coller une clé privée directement dans ce champ.

          Entrer une phrase de passe de clé privée : (facultatif) indiquez-la.

        • Activer la reprise de session : sélectionnez cette option pour reprendre la session de cryptage précédente plutôt que de terminer une nouvelle connexion SSL avant chaque demande. L'activation de la reprise de session améliore les performances mais offre un niveau de sécurité inférieur. Désélectionnez la fonctionnalité pour forcer une nouvelle connexion SSL avant chaque demande. La désactivation de la reprise de session améliore la sécurité mais réduit les performances.
      • Vérifier le certificat homologue : (facultatif) sélectionnez cette option pour activer la vérification du certificat homologue. Pour plus d'informations, reportez-vous à Certificats SSL pour les équilibreurs de charge.

        L'authentification mTLS n'est pas prise en charge pour la communication entre un équilibreur de charge et ses serveurs back-end. Vous pouvez utiliser l'authentification mTLS pour la communication entre les équilibreurs de charge et les utilisateurs.

      • Vérifier la profondeur : (facultatif) indiquez la profondeur maximale pour la vérification de la chaîne de certificat. Pour plus d'informations, reportez-vous à Certificats SSL pour les équilibreurs de charge.
    • Ensemble de back-ends : indiquez l'ensemble de back-ends par défaut vers lequel le processus d'écoute route le trafic.
    • Délai d'expiration en secondes : (facultatif) indiquez la durée maximale d'expiration en secondes. Ce paramètre s'applique au temps autorisé entre deux opérations d'entrée/de sortie réseau successives de réception ou d'envoi lors de la phase demande-réponse HTTP. La valeur maximale est de 7 200 secondes. Pour plus d'informations, reportez-vous à Paramètres de délai d'expiration de connexion d'équilibreur de charge.
    • (Facultatif) Sélectionnez l'onglet Protocole proxy pour activer et configurer le protocole proxy sur l'équilibreur de charge. Pour plus d'informations sur cette fonctionnalité, reportez-vous à la section Proxy Protocol.
      1. Sélectionnez Activer le protocole proxy pour activer cette fonctionnalité.
      2. Sélectionnez la version de protocole proxy à utiliser :
        • Version 1 : prend en charge un format d'en-tête (texte) lisible par l'utilisateur et correspond généralement à une seule ligne d'une entrée de journal. Utilisez cette option pour le débogage lors de la phase d'adoption précoce lorsqu'il existe peu d'implémentations.
        • Version 2 : combine la prise en charge de l'en-tête lisible par l'utilisateur à partir de la version 1 avec un codage binaire de l'en-tête pour une plus grande efficacité dans la production et l'analyse. Utilisez cette option pour les adresses IPv6, qui sont difficiles à générer et à analyser sous forme ASCII. La version 2 prend également mieux en charge les extensions personnalisées. Par défaut, l'option PP2 Type Authority est sélectionnée comme seule option Version 2 disponible.
    • Sélectionnez une stratégie de acheminement ou un ensemble de routages par chemin
      • Stratégie de routage : (facultatif) indiquez le nom de la stratégie de routage qui s'applique au trafic de ce processus d'écoute.
      • Ensemble de routages par chemin : (facultatif) indiquez le nom de l'ensemble de règles de routage basées sur un chemin qui s'applique au trafic de ce processus d'écoute.

        Pour appliquer un ensemble de routage par chemin à un processus d'écoute, il doit faire partie de la configuration de l'équilibreur de charge.

        Pour enlever un ensemble de routages par chemin d'un processus d'écoute existant, sélectionnez Aucun pour l'option Ensemble de routages par chemin. L'ensemble de routages par chemin reste disponible pour d'autres processus d'écoute sur cet équilibreur de charge.

    • Ensembles de règles : (facultatif) sélectionnez un ensemble de règles à appliquer au trafic du processus d'écoute. Pour appliquer un ensemble de règles à un processus d'écoute, l'ensemble doit faire partie de la configuration de l'équilibreur de charge. Pour enlever un ensemble de règles de la liste, sélectionnez la zone rouge correspondante. L'ensemble de règles reste disponible pour d'autres processus d'écoute sur cet équilibreur de charge.
    • Afficher les options avancées : sélectionnez cette option pour afficher les options suivantes :
      • SSL avancé : présent uniquement si la ressource de certificat Certificat géré par le service de certificats est sélectionnée. sélectionnez l'une de ces options si vous avez choisi Certificat géré par le service de certificats lors de la sélection de la ressource de certificat pour le processus d'écoute.

        Package d'autorité de certification : dans la liste, sélectionnez le package d'autorité de certification dans le compartiment indiqué. Sélectionnez Modifier le compartiment pour choisir un autre compartiment dans lequel sélectionner le package d'autorité de certification.

        Autorité de certification : sélectionnez l'autorité de certification dans le compartiment indiqué dans la liste. Sélectionnez Modifier le compartiment pour choisir un autre compartiment dans lequel sélectionner le package d'autorité de certification.

      • Version TLS : indiquez les versions de protocole TLS (Transport Layer Security) : 1.0, 1.1, 1.2 (recommandé) et 1.3.

        Vous pouvez sélectionner n'importe quelle combinaison de versions. Choisissez celles que vous voulez dans la liste Si vous n'indiquez pas les versions de protocole TLS, la version de protocole TLS par défaut est la version 1.2 uniquement.

        Sélectionner un mécanisme de cryptage : sélectionnez un ensemble de mécanismes de cryptage dans la liste. (Par défaut. Toutes les options présentées dans la liste ont au moins un mécanisme de cryptage associé à chaque version de protocole TLS sélectionnée.

        Créez un certificat SSL à l'aide de l'algorithme de signature fondé sur les cryptages activés pour votre stratégie de sécurité.

      • Afficher les détails du mécanisme de cryptage : sélectionnez cette option pour afficher les cryptages que contient le mécanisme de cryptage sélectionné.
      • Préférence d'ordre de serveur : sélectionnez Activer pour donner la préférence aux mécanismes de cryptage du serveur par rapport à ceux du client.
  8. Sélectionnez Créer un processus d'écoute.

Lorsque vous créez un processus d'écoute, vous devez également mettre à jour la liste de sécurité du réseau cloud virtuel pour autoriser le trafic vers ce processus d'écoute.

Plus d'informations :

L'équilibreur de charge ne contient aucun ensemble de back-ends

Problème : un équilibreur de charge ne comporte pas d'ensemble de back-ends. Dans ce cas, l'équilibreur de charge n'a pas de place pour distribuer les données entrantes et aucun moyen de surveiller l'état du serveur back-end.

Notions de base :

  • Un ensemble de back-ends est une entité logique définie par une stratégie d'équilibrage de charge, une stratégie de vérification de l'état et une liste de serveurs back-end.
  • L'ensemble de back-ends détermine la stratégie de répartition du trafic de l'équilibreur de charge, par exemple :
    • Hachage d'adresse IP
    • Nombre minimal de connexions
    • Tour de rôle pondéré
  • Indiquez les paramètres de test pour confirmer l'état des serveurs back-end lorsque vous créez un ensemble de back-ends.
  • Si vous disposez déjà d'un équilibreur de charge sans ensemble de back-ends, vous pouvez indiquer les serveurs back-end qui reçoivent le trafic à partir de l'équilibreur de charge après avoir créé un ensemble de back-ends.
  • Vous pouvez configurer une exception dans Oracle CASB Cloud Service afin de réduire le nombre d'alertes provenant des équilibreurs de charge exemptés.

Pour créer un ensemble de back-ends, procédez comme suit :

La procédure suivante s'applique à la console Oracle Cloud Infrastructure.

Généralement, vous créez un ensemble de back-ends dans le cadre du workflow de création de l'équilibreur de charge. Pour créer un ensemble de back-ends pour un équilibreur de charge existant, procédez comme suit :

  1. Sous Equilibreurs de charge, sélectionnez Equilibreur de charge.

    La page de liste Equilibreurs de charge s'ouvre. Toutes les ressources d'équilibreur de charge existantes dans le compartiment sélectionné sont affichées dans une table de liste.

  2. Pour visualiser les ressources dans un autre compartiment, utilisez le filtre Compartiment pour changer de compartiment.

    Vous devez être autorisé à travailler dans un compartiment pour voir les ressources qu'il contient. En cas de doute sur le compartiment à utiliser, contactez un administrateur. Pour plus d'informations, reportez-vous à Présentation des compartiments.

  3. Sélectionnez un état dans la liste pour limiter les équilibreurs de charge à cet état.
  4. Sélectionnez l'équilibreur de charge auquel ajouter un ensemble de back-ends. La page Détails de l'équilibreur de charge apparaît.
  5. Sélectionnez Ensembles de back-ends sous Ressources. La liste des ensembles de back-ends apparaît. Tous les ensembles de back-ends sont répertoriés dans un tableau.
  6. Sélectionnez Créer un ensemble de back-ends. La boîte de dialogue Créer un ensemble de back-ends apparaît.

  7. Renseignez les champs suivants :

    • Nom : saisissez le nom convivial de l'ensemble de back-ends. Elle doit être unique au sein de l'équilibreur de charge et ne peut pas être modifiée. Les noms d'ensemble de back-ends valides incluent uniquement des caractères alphanumériques, des tirets et des traits de soulignement. Les noms d'ensemble de back-ends ne peuvent pas contenir d'espaces.
    • Stratégie de distribution du trafic : sélectionnez la stratégie d'équilibreur de charge de l'ensemble de back-ends. Les options disponibles sont les suivantes :
      • Hachage d'adresse IP
      • Nombre minimal de connexions
      • Tour de rôle pondéré

      Vous ne pouvez pas ajouter un serveur back-end désigné comme un serveur de sauvegarde à un ensemble de back-ends qui utilise la stratégie de hachage d'adresse IP. Pour plus d'informations sur ces stratégies, reportez-vous à Stratégies d'équilibreur de charge.

    • Utiliser SSL : sélectionnez cette option pour associer une ressource de certificat SSL à l'ensemble de back-ends.

      L'équilibreur de charge détecte automatiquement les modifications et utilise la version en cours des entités de service Certificates (certificats, autorités de certification et packages d'autorité de certification) dans la configuration SSL. Pour plus d'informations sur les rotations de certificat automatisées, reportez-vous à Certificates.

      Si aucune ressource de certificat n'est attachée à l'équilibreur de charge, cette option est désactivée.

      Ressource de certificat : sélectionnez dans la liste le type de ressource de certificat :

      La méthode d'import du certificat varie en fonction du type de ressource de certificat sélectionné. Pour plus d'informations sur la façon dont les équilibreurs de charge utilisent les certificats SSL, reportez-vous à Certificats SSL pour les équilibreurs de charge.

      Reportez-vous à Certificates pour obtenir des informations générales sur l'utilisation de SSL avec la stratégie de pare-feu d'application Web.

      • Certificat géré par le service de certificats

        Sélectionnez l'option Paquet d'autorité de certification ou Autorité de certification, puis sélectionnez votre choix dans la liste associée. Sélectionnez Modifier le compartiment pour choisir un autre compartiment dans lequel sélectionner le package d'autorité de certification ou l'autorité de certification.

        Des options avancées sont disponibles avec cette sélection. Sélectionnez Afficher les options avancées et cliquez sur l'onglet SSL avancé. Cette option est décrite plus loin dans cette rubrique.

      • Certificat géré par l'équilibreur de charge : sélectionnez l'une des options suivantes pour importer le certificat :

        Choisir le fichier de certificat SSL : faites glisser le fichier de certificat au format PEM dans le champ certificat SSL. Vous pouvez également sélectionner l'option Coller le certificat SSL pour coller un certificat directement dans ce champ.

        Si vous soumettez un certificat auto-signé pour SSL back-end, vous devez soumettre le même certificat dans le champ de certificat de l'autorité de certification correspondant.

        Indiquer une clé privée : (obligatoire pour la terminaison SSL). Sélectionnez cette option pour fournir une clé privée pour le certificat.

        Sélectionner un fichier de clés privées : faites glisser la clé privée au format PEM dans le champ Clé privée.

        Entrer une phrase de passe de clé privée : indiquez la phrase de passe de clé privée. Vous pouvez également sélectionner l'option Coller la clé privée pour coller une clé privée directement dans ce champ.

        Vérifier le certificat homologue : sélectionnez cette option pour activer la vérification du certificat homologue. Pour plus d'informations, reportez-vous à Certificats SSL pour les équilibreurs de charge.

        Profondeur de vérification : facultatif. Indiquez la profondeur maximale pour la vérification de la chaîne de certificat. Pour plus d'informations, reportez-vous à Certificats SSL pour les équilibreurs de charge.

    • Persistance de session : indiquez la façon dont l'équilibreur de charge gère la persistance de session. Pour obtenir des informations importantes sur la configuration de ces paramètres, reportez-vous à Persistance de session d'équilibreur de charge.
      • Supprimer la persistance de session : choisissez cette option pour désactiver la persistance de session basée sur un cookie.
      • Activer la persistance de cookie d'application : choisissez cette option pour activer les sessions persistantes à partir d'un seul client logique lorsque la réponse d'un serveur d'applications back-end inclut un en-tête Set-cookie avec le nom de cookie indiqué.
        • Nom de cookie : : nom de cookie utilisé pour activer la persistance de session. Indiquez * pour renvoyer tous les noms de cookie.
        • Désactiver le basculement : cochez cette case pour désactiver le basculement lorsque le serveur d'origine est indisponible.
      • Activer la persistance de cookie d'équilibreur de charge : choisissez cette option pour activer les sessions persistantes basées sur un cookie inséré par l'équilibreur de charge.
        • Nom de cookie : indiquez le nom du cookie utilisé pour activer la persistance de session. Si cette valeur est vide, le nom de cookie par défaut est X-Oracle-BMC-LBS-Route.

          Assurez-vous que les noms de cookie utilisés sur les serveurs d'application back-end sont différents du nom de cookie utilisé sur l'équilibreur de charge.

        • Désactiver le basculement : cochez cette case pour désactiver le basculement lorsque le serveur d'origine est indisponible.
        • Nom de domaine : indiquez le domaine dans lequel le cookie est valide.

          Cet attribut n'a pas de valeur par défaut. Si vous n'indiquez aucune valeur, l'équilibreur de charge n'insère pas l'attribut de domaine dans l'en-tête Set-cookie.

        • Chemin : indiquez le chemin dans lequel le cookie est valide. La valeur par défaut est /.
        • Période d'expiration en secondes : indiquez la durée de validité du cookie. Si cette valeur est vide, le cookie expire à la fin de la session client.
        • Attributs

          Sécurité : : Indiquez si l'en-tête Set-cookie contient l'attribut Secure. Si cette option est sélectionnée, le client envoie le cookie uniquement à l'aide d'un protocole sécurisé.

          Si vous activez ce paramètre, vous ne pouvez pas associer l'ensemble de back-ends correspondant à un processus d'écoute HTTP.

          HTTP uniquement : : indiquez si l'en-tête Set-cookie contient l'attribut HttpOnly. Si cette option est sélectionnée, le cookie est limité aux demandes HTTP. Le client omet le cookie lorsqu'il fournit l'accès aux cookies via des API non HTTP, comme les canaux JavaScript.

    • Vérification de l'état : indiquez les paramètres de test permettant de vérifier l'état des serveurs back-end.
      • Protocole : indiquez le protocole à utiliser (HTTP ou TCP). Configurez le protocole de vérification de l'état pour qu'il corresponde à votre application ou service. Pour plus d'informations, reportez-vous à Vérifications de l'état pour les équilibreurs de charge.
      • Port : (facultatif) indiquez le port du serveur back-end sur lequel exécuter la vérification de l'état. Vous pouvez saisir la valeur 0 pour que la vérification de l'état utilise le port de trafic du serveur back-end.
      • Forcer les vérifications de l'état en texte brut : (HTTP uniquement) (facultatif) cochez cette case pour envoyer la vérification de l'état au serveur back-end sans SSL. Cette option est disponible uniquement lorsque le protocole du serveur back-end est défini sur HTTP. Cela n'a aucun effet lorsque SSL n'est pas activé sur le serveur back-end. Lorsque SSL est désactivé, les vérifications de l'état sont toujours en texte brut.
      • Intervalle en millisecondes : (facultatif) indiquez la fréquence d'exécution de la vérification de l'état, en millisecondes. La valeur par défaut est 10 000 (10 secondes).
      • Expiration en millisecondes : (facultatif) indiquez la durée maximale d'attente d'une réponse à une vérification de l'état, en millisecondes. La vérification de l'état est réussie uniquement si une réponse est renvoyée avant ce délai d'expiration. La valeur par défaut est 3 000 (3 secondes).
      • Nombre de nouvelles tentatives : (facultatif) indiquez le nombre de nouvelles tentatives à effectuer avant de considérer un serveur back-end comme étant en mauvais état. Ce nombre s'applique également lors de la récupération d'un serveur à l'état fonctionnel. La valeur par défaut est 3.
      • Code de statut : (HTTP uniquement) (facultatif) indiquez le code de statut qu'un serveur back-end en bon état doit renvoyer.
      • Chemin d'URL (URI) : (HTTP uniquement) indiquez l'adresse URL sur laquelle exécuter la vérification de l'état.
      • Expression régulière de corps de réponse : (HTTP uniquement) (facultatif) indiquez une expression régulière pour analyser le corps de réponse à partir du serveur back-end.
    • Afficher les options avancées : sélectionnez ce lien pour accéder à d'autres options. Sélectionnez l'onglet correspondant à la fonctionnalité :
      • Onglet SSL avancé : présent uniquement si la ressource de certificat Certificat géré par le service de certificats est sélectionnée. sélectionnez l'une de ces options si vous avez choisi Certificat géré par le service de certificats lors de la sélection de la ressource de certificat pour le processus d'écoute. Pour plus d'informations sur la façon dont les équilibreurs de charge utilisent les certificats SSL, reportez-vous à Certificats SSL pour les équilibreurs de charge.

        Package d'autorité de certification : dans la liste, sélectionnez le package d'autorité de certification dans le compartiment indiqué. Sélectionnez Modifier le compartiment pour choisir un autre compartiment dans lequel sélectionner le package d'autorité de certification.

        Autorité de certification : sélectionnez l'autorité de certification dans le compartiment indiqué dans la liste. Sélectionnez Modifier le compartiment pour choisir un autre compartiment dans lequel sélectionner le package d'autorité de certification.

      • Version TLS : option facultative. Indiquez les versions de TLS (Transport Layer Security) : 1.0, 1.1, 1.2 (recommandé) et 1.3

        Vous pouvez sélectionner n'importe quelle combinaison de versions. Choisissez celles que vous voulez dans la liste Si vous n'indiquez pas les versions de TLS, la version de TLS par défaut est la version 1.2 uniquement.

        Sélectionner un mécanisme de cryptage : sélectionnez un ensemble de mécanismes de cryptage dans la liste. Toutes les options présentées dans la liste ont au moins un mécanisme de cryptage associé à chaque version de protocole TLS sélectionnée.

  8. Choisissez Créer.

Une fois que l'ensemble de back-ends est provisionné, vous devez indiquer les serveurs back-end qui composent cet ensemble. Pour plus d'informations, reportez-vous à Serveurs back-end pour les équilibreurs de charge.

Plus d'informations :

Le certificat SSL de l'équilibreur de charge expire dans X jours

Problème : le certificat SSL d'un équilibreur de charge expire bientôt. A l'expiration du certificat, le trafic de données peut être interrompu et la sécurité compromise.

Notions de base :

  • Pour garantir la continuité de la sécurité et de l'utilisation, les certificats SSL doivent faire l'objet d'une rotation de temps en temps.
  • Vous pouvez configurer une exception dans Oracle CASB Cloud Service afin de réduire le nombre d'alertes provenant des équilibreurs de charge exemptés.

Pour effectuer la rotation du groupe de certificats d'un équilibreur de charge, procédez comme suit :

La procédure suivante s'applique à la console Oracle Cloud Infrastructure.

  1. Mettez à jour le serveur client ou back-end pour qu'il utilise un nouveau groupe de certificats.
    Remarque

    La procédure de mise à jour d'un serveur client ou back-end dépend de votre système.
  2. Téléchargement du nouveau groupe de certificats SSL vers l'équilibreur de charge:
    1. Sous Equilibreurs de charge, sélectionnez Equilibreur de charge. La page équilibreurs de charge apparaît.
    2. Sélectionnez le nom du compartiment contenant l'équilibreur de charge à modifier, puis le nom de l'équilibreur de charge.
    3. Sélectionnez l'équilibreur de charge à configurer. La page Détails de l'équilibreur de charge apparaît.
    4. Sélectionnez Certificats sous Ressources. La liste des certificats apparaît. Tous les certificats sont répertoriés dans un tableau.
    5. Renseignez les champs suivants :
      • Nom de certificat : entrez un nom convivial pour le groupe de certificats. Il doit être unique dans l'équilibreur de charge et ne peut pas être modifié dans la console. (Il peut être modifié à l'aide de l'API.)
      • Choisir le fichier de certificat SSL : faites glisser le fichier de certificat au format PEM dans le champ certificat SSL.

        Vous pouvez également sélectionner l'option Coller le certificat SSL pour coller un certificat directement dans ce champ.

        Important

        Si vous soumettez un certificat auto-signé pour SSL back-end, vous devez soumettre le même certificat dans le champ Certificat de l'autorité de certification correspondant.
      • Indiquer un certificat d'autorité de certification : (recommandé pour les configurations de terminaison SSL back-end). Cochez cette case pour fournir un certificat CA.
        • Choisir le fichier de certificat de l'AC : faites glisser le fichier de certificat de l'AC au format PEM dans le champ Certificat de l'AC.

          Vous pouvez également sélectionner l'option Coller le certificat de l'autorité de certification pour coller un certificat directement dans ce champ.

      • Indiquer une clé privée : (obligatoire pour la terminaison SSL). Sélectionnez cette option pour fournir une clé privée pour le certificat.
        • Sélectionner un fichier de clés privées : faites glisser la clé privée au format PEM dans le champ Clé privée.

          Vous pouvez également sélectionner l'option Coller la clé privée pour coller une clé privée directement dans ce champ.

        • Entrer une phrase de passe de clé privée : (facultatif) indiquez-la.
    6. Sélectionnez Ajouter un certificat. Modifiez ensuite chaque processus d'écoute ou ensemble de back-ends applicable (si nécessaire) pour qu'il utilise le nouveau groupe de certificats :

  3. Modifiez le processus d'écoute :

    1. Sous Equilibreurs de charge, sélectionnez Equilibreur de charge.
    2. Choisissez le compartiment contenant l'équilibreur de charge à modifier, puis sélectionnez le nom de l'équilibreur de charge.
    3. Sélectionnez Processus d'écoute sous Ressources. La liste Processus d'écoute s'affiche. Tous les processus d'écoute sont répertoriés dans un tableau.
    4. Sélectionnez le menu Actions (trois points) en regard du processus d'écoute à modifier, puis sélectionnez Modifier le processus d'écoute.
    5. Dans la liste Nom de certificat, sélectionnez le nouveau groupe de certificats.
    6. Sélectionnez Soumettre.
  4. Modifier un ensemble de back-ends :
    Important

    La mise à jour de l'ensemble de back-ends interrompt temporairement les échanges et peut supprimer des connexions actives.
    1. Sous Equilibreurs de charge, sélectionnez Equilibreur de charge.

      La page de liste Equilibreurs de charge s'ouvre. Toutes les ressources d'équilibreur de charge existantes dans le compartiment sélectionné sont affichées dans une table de liste.

    2. Pour visualiser les ressources dans un autre compartiment, utilisez le filtre Compartiment pour changer de compartiment.

      Vous devez être autorisé à travailler dans un compartiment pour voir les ressources qu'il contient. En cas de doute sur le compartiment à utiliser, contactez un administrateur. Pour plus d'informations, reportez-vous à Présentation des compartiments.

    3. Sélectionnez un état dans la liste pour limiter les équilibreurs de charge à cet état.
    4. Sélectionnez l'équilibreur de charge dont vous souhaitez modifier l'ensemble de back-ends. La page Détails de l'équilibreur de charge apparaît.
    5. Sélectionnez Ensembles de back-ends sous Ressources. La liste des ensembles de back-ends apparaît. Tous les ensembles de back-ends sont répertoriés dans un tableau.
    6. Sélectionnez le nom de l'ensemble de back-ends à modifier. La page Détails de l'ensemble de back-ends apparaît.
    7. Sélectionnez Modifier l'ensemble de back-ends. La boîte de dialogue Modifier l'ensemble de back-ends apparaît.
    8. Sélectionnez Utiliser SSL.
    9. Dans la liste Nom de certificat, sélectionnez le nouveau groupe de certificats.
    10. Sélectionnez Enregistrer les modifications.

  5. (Facultatif) Suppression du groupe de certificats SSL en cours d'expiration.

    Remarque

    Vous ne pouvez pas supprimer un groupe de certificats SSL associé à un processus d'écoute ou à un ensemble de back-ends. Enlevez le groupe de tous les autres processus d'écoute ou ensembles de back-ends avant la suppression.
    1. Sous Equilibreurs de charge, sélectionnez Equilibreur de charge.
    2. Sélectionnez le nom du compartiment contenant l'équilibreur de charge à modifier, puis le nom de l'équilibreur de charge.
    3. Sélectionnez l'équilibreur de charge à configurer.
    4. Dans le menu Ressources, sélectionnez Certificats.
    5. Pour le certificat à supprimer, sélectionnez le menu Actions (trois points), puis Supprimer.
    6. Confirmez l'opération lorsque vous y êtes invité.

Plus d'informations :

Object Storage

Buckets publics détectés

Problème : des buckets publics ont été détectés dans votre location. Vérifiez que la création de chaque bucket public est intentionnelle et autorisée. Si le bucket n'est pas approuvé pour l'accès public, suivez la procédure permettant de modifier la visibilité d'un bucket afin de le rendre privé.

Notions de base :

  • Evaluez soigneusement les exigences métier pour l'accès public à un bucket. Lorsque vous activez l'accès anonyme à un bucket, les utilisateurs peuvent obtenir les métadonnées d'objet, télécharger des objets de bucket et éventuellement répertorier le contenu de bucket.
  • La modification du type d'accès est bidirectionnelle. Vous pouvez remplacer l'accès public d'un bucket par un accès privé ou inversement.
  • La modification du type d'accès n'a pas d'influence sur les demandes préauthentifiées existantes. Les demandes préauthentifiées existantes fonctionnent toujours.

Pour modifier la visibilité d'un bucket (privé ou public), procédez comme suit :

La procédure suivante s'applique à la console Oracle Cloud Infrastructure.

  1. Sur la page de liste Buckets, recherchez le bucket Object Storage à utiliser. Si vous avez besoin d'aide pour trouver la page de liste ou le bucket, reportez-vous à Liste des buckets.
  2. Dans le menu Actions du bucket souhaité, sélectionnez Modifier la visibilité.

    Le panneau Modifier la visibilité s'ouvre.

  3. Sélectionnez Public ou Privé.

    Si vous sélectionnez Public pour activer l'accès public, indiquez si vous autorisez les utilisateurs à répertorier le contenu du bucket. Pour définir la visibilité des listes d'objets de bucket, sélectionnez Autoriser les utilisateurs à répertorier les objets de ce bucket.

  4. Sélectionnez Mettre à jour.

Plus d'informations :