Documentation Oracle Cloud Infrastructure

Sécurisation de Networking : réseau cloud virtuel, équilibreurs de charge et DNS

Recommandations de sécurité

Le service Networking dispose d'un ensemble de fonctionnalités pour appliquer le contrôle d'accès réseau et sécuriser le trafic VCN. Ces fonctionnalités sont présentées dans le tableau suivant.

Fonctionnalité de réseau cloud virtuel Description de la sécurité
Sous-réseaux publics et privés Vous pouvez partitionner le réseau cloud virtuel en sous-réseaux. Les sous-nets sont auparavant propres à un domaine de disponibilité, mais peuvent désormais être régionaux (couvrant tous les domaines de disponibilité de la région). Les instances dans les sous-réseaux privés ne peuvent pas disposer d'adresses IP publiques. Les instances dans les sous-réseaux publics peuvent éventuellement avoir des adresses IP publiques à votre discrétion.
Règles de sécurité Les règles de sécurité fournissent des fonctionnalités de pare-feu avec et sans conservation de statut afin de contrôler l'accès réseau aux instances. Pour implémenter des règles de sécurité dans votre réseau cloud virtuel, vous pouvez utiliser des groupes de sécurité réseau ou des listes de sécurité. Pour plus d'informations, reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.
Passerelles

Les passerelles permettent aux ressources dans un réseau cloud virtuel de communiquer avec des destinations situées en dehors du réseau cloud virtuel. Ces passerelles sont les suivantes :

  • Passerelle Internet : dédiée à la connexion Internet (pour les ressources dotées d'adresses IP publiques dans les sous-réseaux publics)
  • Passerelle NAT : dédiée à la connexion Internet sans exposer les ressources aux connexions Internet entrantes (pour les ressources dans les sous-réseaux privés)
  • Passerelle de routage dynamique (DRG) : pour la connectivité aux réseaux en dehors de la région du VCN (par exemple, votre réseau sur site via un VPNor FastConnect site à site ou un VCN appairé dans une autre région)
  • Passerelle de service : destinée à la connectivité privée aux services Oracle tels qu'Object Storage
  • Passerelle d'appairage local : dédiée à la connectivité à un réseau cloud virtuel appairé dans la même région
Règles de table de routage Les tables de routage contrôlent le mode d'acheminement du trafic à partir des sous-réseaux de votre réseau cloud virtuel vers des destinations situées hors du réseau cloud virtuel. Les cibles de routage peuvent être des passerelles de réseau cloud virtuel ou une adresse IP privée dans le réseau cloud virtuel.
Stratégies IAM pour virtual-network-family Les stratégies IAM spécifient l'accès et les actions autorisés par les groupes IAM sur les ressources d'un réseau cloud virtuel. Par exemple, les stratégies IAM peuvent accorder des privilèges d'administration aux administrateurs réseau qui gèrent les réseaux cloud virtuels, ainsi que des droits d'accès réduits aux utilisateurs standard.

Oracle vous recommande de surveiller périodiquement les journaux Oracle Cloud Infrastructure Audit pour vérifier les modifications apportées aux groupes de sécurité réseau VCN, aux listes de sécurité, aux règles de table de routage et aux passerelles VCN.

Segmentation du réseau : sous-réseaux du réseau cloud virtuel

  • Elaborez une stratégie de sous-réseau à plusieurs niveaux pour le réseau cloud virtuel afin de contrôler l'accès réseau. Un modèle de conception commun comporte les niveaux de sous-réseau suivants :

    1. Sous-réseau de zone démilitarisée pour les équilibreurs de charge
    2. Sous-réseau public pour les hôtes accessibles en externe, tels que les instances NAT, les systèmes de détection d'intrusion et les serveurs d'application Web.
    3. Sous-réseau privé pour les hôtes internes comme les bases de données

    Aucun routage spécial n'est requis pour les instances dans les différents sous-réseaux afin de communiquer. Vous pouvez cependant contrôler les types de trafic entre les différents niveaux à l'aide des listes de sécurité ou des groupes de sécurité réseau du réseau cloud virtuel.

  • Les instances dans le sous-réseau privé ne disposent que d'adresses IP privées et ne sont accessibles que par d'autres instances dans le réseau cloud virtuel. Oracle vous recommande de placer les hôtes sensibles à la sécurité (systèmes de base de données, par exemple) dans un sous-réseau privé et d'utiliser des règles de sécurité pour contrôler le type de connectivité aux hôtes dans un sous-réseau public. En plus des règles de sécurité du réseau cloud virtuel, configurez des pare-feu basés sur l'hôte comme iptables ou firewalld pour le contrôle d'accès réseau, en tant que mécanisme de défense en profondeur.
  • Vous pouvez ajouter une passerelle de service à votre VCN pour permettre aux systèmes de base de données du sous-réseau privé de sauvegarder directement dans Object Storage sans que le trafic ne traverse Internet. Vous devez configurer les règles de routage et de sécurité pour activer ce trafic. Pour plus d'informations sur les systèmes de base de données Bare Metal ou de machine virtuelle, reportez-vous à Configuration du réseau. Pour plus d'informations sur les systèmes de base de données Exadata, reportez-vous à Configuration réseau pour les instances Exadata Cloud Service.

Contrôle d'accès réseau : règles de sécurité de réseau cloud virtuel

  • Utilisez les règles de sécurité de votre réseau cloud virtuel pour restreindre l'accès réseau aux instances. Une règle de sécurité est définie par défaut avec conservation de statut, mais elle peut également être configurée sans conservation de statut. Il est courant d'utiliser des règles sans conservation de statut pour les applications hautes performances. Dans le cas où le trafic réseau correspond à la fois à des listes de sécurité avec et sans conservation de statut, la règle sans conservation de statut est prioritaire. Pour plus d'informations sur la configuration des règles de sécurité de réseau cloud virtuel, reportez-vous à Règles de sécurité.
  • Pour empêcher les accès non autorisés ou les attaques sur les instances Compute, Oracle vous recommande d'utiliser une règle de sécurité VCN pour autoriser l'accès SSH ou RDP uniquement à partir de blocs CIDR autorisés plutôt que de les laisser ouverts sur Internet (0.0.0.0/0). Pour plus de sécurité, vous pouvez activer temporairement l'accès SSH (port 22) ou RDP (port 3389) en fonction des besoins à l'aide de l'API de réseau cloud virtuel UpdateNetworkSecurityGroupSecurityRules (si vous utilisez les groupes de sécurité réseau) ou UpdateSecurityList (si vous utilisez les listes de sécurité). Pour plus d'informations sur l'activation de l'accès RDP, reportez-vous à Procédure d'autorisation de l'accès RDP dans Création d'une instance. Pour effectuer des vérifications de l'état d'une instance, Oracle vous recommande de configurer les règles de sécurité de réseau cloud virtuel de façon à autoriser les commandes ping ICMP. Pour plus d'informations, reportez-vous à Règles pour autoriser la commande ping.
  • Les bastions sont des entités logiques qui fournissent un accès public sécurisé aux ressources cible dans le cloud que vous ne pouvez pas atteindre à partir d'Internet. Les bastions résident dans un sous-réseau public et établissent l'infrastructure réseau nécessaire pour connecter un utilisateur à une ressource cible dans un sous-réseau privé.
  • Les groupes de sécurité réseau VCN et les listes de sécurité permettent un contrôle d'accès réseau critique pour la sécurité des instances de calcul, et il est important d'empêcher toute modification involontaire ou non autorisée des groupes de sécurité réseau et des listes de sécurité. Pour éviter toute modification non autorisée, Oracle vous recommande d'utiliser des stratégies IAM de sorte à autoriser uniquement les administrateurs réseau à effectuer des modifications sur les groupes de sécurité réseau et les listes de sécurité.

Connectivité sécurisée : passerelles de réseau cloud virtuel et appairage FastConnect

  • Les passerelles de réseau cloud virtuel fournissent une connectivité externe (Internet, sur site ou réseau cloud virtuel appairé) aux hôtes de réseau cloud virtuel. Pour consulter la liste des types de passerelle, reportez-vous au tableau qui précède dans cette rubrique. Oracle vous recommande d'utiliser une stratégie IAM pour autoriser uniquement les administrateurs réseau à créer ou à modifier des passerelles de réseau cloud virtuel.

  • Réfléchissez attentivement avant d'autoriser l'accès Internet aux instances. Par exemple, évitez d'autoriser par inadvertance l'accès à des instances de bases de données confidentielles via Internet. Pour qu'une instance de réseau cloud virtuel soit accessible publiquement sur Internet, vous devez configurer les options de réseau cloud virtuel suivantes :

    • L'instance doit se trouver dans un sous-réseau public de réseau cloud virtuel.
    • La passerelle Internet doit être activée et configurée dans le réseau cloud virtuel contenant l'instance pour servir de cible de routage au trafic sortant.
    • Une adresse IP publique doit être affectée à l'instance.
    • La liste de sécurité de réseau cloud virtuel pour le sous-réseau de l'instance doit être configurée de manière à autoriser le trafic entrant à partir de 0.0.0.0/0. Sinon, si vous utilisez des groupes de sécurité réseau, l'instance doit se trouver dans un groupe de sécurité réseau autorisant ce trafic.
  • VPN IPSec permet la connectivité entre le réseau sur site d'un client et le réseau cloud virtuel. Vous pouvez créer deux tunnels IPSec pour la haute disponibilité. Pour plus d'informations sur la création de tunnels VPN permettant de connecter un VCN DRG aux CPE client, reportez-vous à VPN site à site.
  • L'appairage FastConnect vous permet de connecter votre réseau sur site à votre VCN avec un circuit privé afin que le trafic ne traverse pas le réseau Internet public. Vous pouvez configurer de l'appairage privé (pour vous connecter à des adresses IP privées) ou de l'appairage public (pour vous connecter aux adresses publiques Oracle Cloud Infrastructure, par exemple pour Object Storage). Pour plus d'informations sur les options d'appairage FastConnect, reportez-vous à FastConnect.

Appliances de sécurité virtuelle dans un réseau cloud virtuel

  • Le service Networking vous permet d'implémenter des fonctions de sécurité réseau telles que la détection d'intrusion, les pare-feu au niveau de l'application et NAT (bien que vous puissiez plutôt utiliser une passerelle NAT avec votre VCN). Pour ce faire, acheminez l'ensemble du trafic du sous-réseau vers un hôte de sécurité réseau, à l'aide de règles de table de routage qui utilisent une adresse IP privée locale de réseau cloud virtuel en tant que cible. Pour plus d'informations, reportez-vous à Utilisation d'une adresse IP privée comme cible de routage. Pour optimiser la disponibilité, vous pouvez affecter une adresse IP privée secondaire à l'hôte de sécurité de passerelle, que vous pouvez déplacer vers une carte d'interface réseau virtuelle sur un hôte de secours en cas de défaillance de l'hôte principal. La capture complète des paquets réseau ou les journaux de flux de réseau peuvent être capturés sur les instances NAT à l'aide de tcpdump, et les journaux peuvent être téléchargés régulièrement dans un bucket Object Storage.

  • Les appliances de sécurité virtuelles peuvent être exécutées en tant que machines virtuelles sur un modèle BYOH (utilisation de votre propre hyperviseur ) sur une instance Bare Metal. Les machines virtuelles d'appliance de sécurité qui s'exécutent sur l'instance Bare Metal BYOH possèdent chacune leur propre carte d'interface réseau virtuelle secondaire, permettant ainsi une connectivité directe aux autres instances et services inclus dans le réseau cloud virtuel de la carte d'interface réseau virtuelle. Pour plus d'informations sur l'activation de BYOH sur une instance Bare Metal à l'aide d'un hyperviseur KVM open source, reportez-vous à Utilisation de votre propre système d'exploitation invité d'hyperviseur.
  • Les appliances de sécurité virtuelles peuvent également être installées sur des machines virtuelles de calcul où VMDK ou les images QCOW2 des appliances de sécurité peuvent être importées à l'aide de la fonctionnalité BYOI (utilisation de votre propre image). En raison de dépendances d'infrastructure, BYOI risque de ne pas fonctionner pour certaines appliances, auquel cas le modèle BYOH serait une autre option possible. Pour plus d'informations sur l'import des images d'appliance dans Oracle Cloud Infrastructure, reportez-vous à Utilisation de votre propre image (BYOI).

Equilibreurs de charge

  • Les équilibreurs de charge Oracle Cloud Infrastructure permettent des connexions TLS de bout en bout entre les applications d'un client et le VCN d'un client. Vous pouvez mettre fin à la connexion TLS via un équilibreur de charge HTTP ou sur un serveur back-end à l'aide d'un équilibreur de charge TCP. Par défaut, les équilibreurs de charge utilisent TLS1.2. Pour plus d'informations sur la configuration d'un processus d'écoute HTTPS, reportez-vous à Processus d'écoute pour les équilibreurs de charge. Vous pouvez également télécharger vos propres certificats TLS. Pour plus d'informations, reportez-vous à Attestations SSL pour les équilibreurs de charge.
  • Vous pouvez configurer l'accès réseau aux équilibreurs de charge en utilisant des groupes de sécurité ou des listes de sécurité de réseau cloud virtuel. Cette méthode offre une fonctionnalité semblable aux pare-feu traditionnels de l'équilibreur de charge. Pour les équilibreurs de charge publics, Oracle vous recommande d'utiliser un sous-réseau public régional (par exemple, un sous-réseau de zone dématérialisée) pour instancier les équilibreurs de charge dans une configuration hautement disponible sur deux domaines de disponibilité différents. Vous pouvez configurer les règles du pare-feu de l'équilibreur de charge en configurant les groupes de sécurité réseau de l'équilibreur de charge ou les listes de sécurité du sous-réseau. Pour plus d'informations sur la création des listes de sécurité d'équilibreur de charge, reportez-vous à Mise à jour des listes de sécurité de l'équilibreur de charge et autorisation du trafic Internet vers le processus d'écoute. De même, vous devez configurer les groupes de sécurité ou les listes de sécurité de réseau cloud virtuel pour les serveurs back-end afin de limiter le trafic uniquement à partir des équilibreurs de charge publics. Pour plus d'informations sur la configuration des listes de sécurité des serveurs back-end, reportez-vous à Mise à jour des règles pour limiter le trafic vers les serveurs back-end.

Enregistrements et zones DNS

Les enregistrements et zones DNS sont essentiels pour l'accessibilité des propriétés Web. Des mises à jour incorrectes ou des suppressions non autorisées via les noms DNS peuvent entraîner une interruption des services. Oracle vous recommande de limiter les utilisateurs IAM pouvant modifier les zones et les enregistrements DNS.

Stratégies de pilotage relatives à Traffic Management DNS

Des mises à jour incorrectes ou des suppressions non autorisées des stratégies de pilotage de la gestion du trafic DNS peuvent entraîner une interruption des services en raison d'une mauvaise direction du trafic ou d'un échec du basculement. Oracle vous recommande de limiter les utilisateurs IAM pouvant modifier les stratégies de pilotage de la gestion du trafic DNS.

Exemples de stratégie de sécurité

Autoriser les utilisateurs à afficher uniquement les listes de sécurité

Les administrateurs réseau sont les employés qui doivent pouvoir créer et gérer les groupes de sécurité réseau et les listes de sécurité.

Cependant, il est possible que certains utilisateurs réseau aient besoin de connaître les règles de sécurité présentes dans un groupe de sécurité réseau ou une liste de sécurité spécifique.

Dans l'exemple de stratégie suivant, la première ligne permet au groupe NetworkUsers d'afficher les listes de sécurité et leur contenu. Cette stratégie ne permet pas au groupe de créer, d'attacher, de supprimer ou de modifier des listes de sécurité.

La deuxième ligne permet au groupe NetworkUsers d'afficher les règles de sécurité dans des groupes de sécurité réseau et d'afficher également les cartes d'interface réseau virtuelles et les ressources parent contenues dans des groupes de sécurité réseau. La deuxième ligne ne permet pas au groupe NetworkUsers de modifier les règles de sécurité dans des groupes de sécurité réseau.

Allow group NetworkUsers to inspect security-lists in tenancy
Allow group NetworkUsers to use network-security-groups in tenancy

Méthode pour empêcher les utilisateurs de créer une connexion externe au réseau Internet

Dans certains cas, vous pouvez être amené à empêcher les utilisateurs de créer une connexion Internet externe à leur réseau cloud virtuel. Dans l'exemple de stratégie suivant, le groupe NetworkUsers n'est pas autorisé à créer une passerelle Internet.

Allow group NetworkUsers to manage internet-gateways in tenancy
 where request.permission!='INTERNET_GATEWAY_CREATE'

Méthode pour empêcher les utilisateurs de mettre à jour les enregistrements et les zones DNS

Dans l'exemple de stratégie suivant, le groupe NetworkUsers n'est pas autorisé à supprimer ni à mettre à jour les zones et enregistrements DNS.

Allow group NetworkUsers to manage dns-records in tenancy
 where all {request.permission!='DNS_RECORD_DELETE', 
            request.permission!='DNS_RECORD_UPDATE'} 
Allow group NetworkUsers to manage dns-zones in tenancy
 where all {request.permission!='DNS_ZONE_DELETE', 
            request.permission!='DNS_ZONE_UPDATE'}

Commandes utiles de l'interface de ligne de commande

Dans tous les exemples suivants, les variables d'environnement $T, $C et $VCN sont définies sur l'OCID de location, l'OCID de compartiment et l'OCID de réseau cloud virtuel, respectivement.

Répertorier les listes de sécurité ouvertes dans un réseau cloud virtuel

# list open (0.0.0.0/0) security lists in VCN $VCN in compartment $C 
oci network security-list list -c $C --vcn-id $VCN | grep "source" | grep "\"0.0.0.0/0\""

Répertorier les passerelles dans un réseau cloud virtuel

# list all internet gateways in VCN $VCN in compartment $C 
oci network internet-gateway list -c $C --vcn-id $VCN 
# list all DRGs in compartment $C 
oci network drg list -c $C 
# list all local peering gateways in vcn $VCN in compartment $C 
oci network local-peering-gateway list -c $C --vcn-id $VCN

Répertorier les règles de table de routage dans un réseau cloud virtuel

# list route table rules in VCN $VCN in compartment $C 
oci network route-table list -c $C --vcn-id $VCN