Accès sécurisé à Fusion Applications
Contrôler l'accès réseau à Fusion Applications.
Les utilisateurs peuvent accéder à Fusion Applications à partir d'Internet tant qu'ils disposent d'informations d'identification utilisateur valides. Pour mieux contrôler l'accès à votre environnement, Fusion Applications prend en charge les options suivantes :
- Liste de contrôle d'accès (ACL) : autorisez l'accès à votre environnement uniquement à partir d'adresses IP publiques (CIDR) ou de réseaux cloud virtuels (VCN) sélectionnés à l'aide d'une liste de contrôle d'accès (ACL).
- Accès privé à partir de réseaux sur site : autorisez l'accès à votre environnement à partir de votre réseau sur site sans passer par Internet.
- Contrôle d'accès basé sur l'emplacement (LBAC) : permet aux utilisateurs d'accéder aux tâches et aux données en fonction de leurs rôles et de leurs adresses IP de calcul. Cette option est configurée dans la console de sécurité Fusion Applications par un administrateur doté du rôle Responsable de la sécurité informatique. Pour plus de détails, reportez-vous à Présentation de l'accès basé sur l'emplacement.
Ces cas d'utilisation ne s'excluent pas mutuellement et peuvent être pris en charge les uns avec les autres. Par exemple, vous pouvez configurer un accès privé à partir d'un réseau sur site et fournir un accès via Internet pour les adresses IP sélectionnées. Vous pouvez également activer LBAC avec un accès privé à partir d'un environnement sur site.
Présentation de l'accès privé à partir d'un réseau sur site
Fusion Application vous permet de définir une connectivité privée entre votre réseau sur site et Fusion Applications. Cette configuration implique :
-
Création et configuration de la connexion à partir de votre réseau sur site vers votre VCN et Fusion Application dans OCI.
- Mise à jour des paramètres réseau de l'environnement Fusion Applications.
Prérequis pour l'accès privé à partir d'une configuration sur site
Pour configurer l'accès privé à partir d'un réseau sur site vers Fusion Applications sur OCI, vous devez disposer des éléments suivants :
- Une location dans Oracle Cloud Infrastructure (OCI), où votre environnement Fusion Applications est provisionné.
- Un réseau cloud virtuel (VCN) dans votre location OCI.
- Connexion de votre réseau sur site à votre VCN. Il existe deux façons de se connecter à partir de votre réseau sur site à votre VCN dans OCI : VPN site à site ou FastConnect.
- VPN site à site : fournit une connexion IPSec site à site entre votre réseau sur site et votre réseau cloud virtuel (VCN). La suite de protocoles IPSec crypte le trafic IP avant le transfert des paquets de la source vers la destination. Elle décrypte également le trafic à son arrivée. Les instructions de cette rubrique vous guident tout au long de la configuration du VPN site à site. Pour plus d'informations, reportez-vous à VPN site à site.
- FastConnect : permet de créer une connexion privée dédiée entre le centre de données et OCI. FastConnect offre des options de bande passante plus élevée et des fonctions de réseau plus fiables et homogènes par rapport aux connexions Internet. Lors de la connexion via FastConnect, BGP est la seule option pour l'échange d'itinéraires. Pour plus d'informations sur sa configuration, reportez-vous au blog et à la documentation FastConnect.
- Vous devez avoir des limites de service pour vous permettre de provisionner le VCN et le VPN site à site (anciennement appelé VPN IPSec) ou FastConnect dans votre location.
Vous pouvez vérifier vos limites dans la console comme suit :
Ouvrez le menu de navigation et sélectionnez Administration et gouvernance. Sous Gestion des locations, sélectionnez Limites, quotas et utilisation.
Sélectionnez les éléments suivants dans la liste Service pour afficher la limite :
- Limites pour le VPN site à site : sélectionnez VPN, visualisez la limite pour le nombre de connexions IPSec.
- Limites relatives au VCN : sélectionnez Virtual Cloud Network.
- Limites pour FastConnect : sélectionnez Connexion rapide.
Pour demander l'augmentation des limites de service, reportez-vous à Demande d'augmentation de limite de service.
Etapes de configuration de la connectivité privée à l'aide d'un VPN site à site
Les étapes suivantes expliquent comment configurer la connectivité privée à l'aide d'un VPN site à site. Reportez-vous à la documentation du service OCI Networking à l'aide des valeurs spécifiques indiquées ci-dessous.
Créez un VCN et établissez une connexion à partir de votre réseau sur site vers votre VCN et Fusion Application dans OCI
- Créez le réseau cloud virtuel.
Pour créer le VCN, suivez les instructions de la documentation du service Networking : Creating a VCN. Assurez-vous que le bloc CIDR IPV4 que vous entrez ne chevauche pas votre plage d'adresses IP réseau sur site.
- Connectez le VCN au réseau sur site.
Au cours de cette étape, vous connectez le VCN à votre réseau sur site à l'aide d'un VPN site à site. Pour atteindre la connexion, vous devez créer et attacher une passerelle de routage dynamique (DRG) au VCN et configurer le routage entre le VCN et votre réseau sur site.
- Créez une passerelle de routage dynamique en suivant les instructions de la rubrique Création d'un DRG.
- Attachez votre VCN au DRG à l'aide des instructions de la rubrique Attachement d'un VCN à un DRG.
-
Suivez les instructions de la rubrique Configuration d'un VPN site à site pour définir votre équipement client-site et créer la connexion VPN site à site IPSec.
- Configurez le routage de transit en suivant les instructions de la rubrique : Options de routage de transit pour l'accès privé aux services Oracle. Suivez ces instructions pour configurer le routage de transit directement via les passerelles de service. Ou, si vous disposez de scénarios plus avancés, consultez les détails du routage via une adresse IP privée.
Mettre à jour les paramètres réseau de l'environnement Fusion Applications
Dans les dernières étapes, mettez à jour votre environnement Fusion Applications pour autoriser le trafic privé à partir de votre VCN. Pour bloquer l'accès à partir du réseau Internet public, vous devez vous assurer qu'aucune autre adresse IP publique n'est ajoutée à la liste de contrôle d'accès de l'environnement Fusion Applications.
En outre, Fusion Applications utilise la mise en cache basée sur le réseau CDN (Content Delivery Network) pour fournir du contenu plus rapidement aux utilisateurs. Vous devez désactiver l'accélération du contenu pour empêcher la mise en cache.
Créez la règle de contrôle d'accès pour autoriser uniquement votre VCN :
- Accédez à l'environnement : dans le répertoire de base des applications de la console, cliquez sur Fusion Applications. Sur la page Aperçu, recherchez la famille d'environnements de l'environnement, puis sélectionnez le nom de l'environnement.
- Sur la page de détails de l'environnement, sous Ressources, sélectionnez Fonctions de réseau.
- Sélectionnez Créer une règle.
- Pour Type de notation IP, sélectionnez Réseau cloud virtuel, puis, dans le champ suivant, sélectionnez votre VCN.
- Sélectionnez Créer une règle.
Désactivez le cache Internet (Accélération du contenu) :
- Toujours sous Fonctions de réseau, sélectionnez l'onglet Accélération de contenu.
- Sélectionnez Modifier.
- Définissez le commutateur Internet cache sur désactivé.
- Sélectionnez Enregistrer les modifications.
Contrôle d'accès basé sur l'emplacement (LBAC) avec connectivité privée sur site
LBAC est une autre fonctionnalité que Fusion Applications fournit pour contrôler l'accès des utilisateurs aux tâches et aux données en fonction de leurs rôles et de leurs adresses IP d'ordinateur.
LBAC est configuré dans la console de sécurité Fusion Applications. Pour activer l'accès basé sur l'emplacement et rendre un rôle public, vous devez disposer du rôle Responsable de la sécurité informatique. Vous ne pouvez rendre un rôle public que lorsque l'accès basé sur l'emplacement est activé. Pour activer l'accès basé sur l'emplacement, vous devez enregistrer les adresses IP des ordinateurs à partir desquels les utilisateurs se connectent généralement à l'application. Pour plus d'informations sur l'activation et la désactivation de LBAC, reportez-vous à la section Overview of Location-Based Access.
Pour configurer LBAC avec une connectivité sur site privée, vous devez également effectuer des demandes de support au support client Fusion Applications afin d'activer LBAC avec une connectivité sur site privée.