Documentation Oracle Cloud Infrastructure

Groupes de sécurité réseau

Sur Compute Cloud@Customer, un groupe de sécurité réseau fournit un pare-feu virtuel pour un ensemble de ressources cloud, au sein d'un seul VCN, qui ont toutes le même état de sécurité. Par exemple, un groupe d'instances de calcul qui exécutent toutes les mêmes tâches et qui doivent donc utiliser le même ensemble de ports.

Les règles d'un groupe de sécurité réseau sont appliquées aux cartes d'interface réseau virtuelles, mais leur appartenance au groupe de sécurité réseau est déterminée par leurs ressources parent. Tous les services cloud ne prennent pas en charge les groupes de sécurité réseau. Actuellement, les types de ressource parent suivants prennent en charge l'utilisation des groupes de sécurité réseau :

  • Instances Compute : lorsque vous créez une instance, vous pouvez indiquer des groupes de sécurité réseau pour la carte d'interface réseau virtuelle principale associée. Si vous ajoutez une carte d'interface réseau virtuelle secondaire à une instance, vous pouvez indiquer des groupes de sécurité réseau pour cette carte. Vous pouvez également modifier l'appartenance au groupe de sécurité réseau des cartes d'interface réseau virtuelles existantes.

  • Equilibreurs de charges : lorsque vous créez un équilibreur de charge, vous pouvez indiquer des groupes de sécurité système pour l'équilibreur de charge (et non l'ensemble de back-ends). Vous pouvez également mettre à jour un équilibreur de charge existant pour qu'il utilise des groupes de sécurité réseau.

  • Cibles de stockage : lorsque vous créez une cible de stockage pour un système de fichiers, vous pouvez indiquer des groupes de sécurité réseau. Vous pouvez également mettre à jour une cible de montage existante pour qu'elle utilise des groupes de sécurité réseau.

Pour les types de ressource qui ne prennent pas encore en charge les groupes de sécurité réseau, continuez à utiliser les listes de sécurité pour contrôler le trafic vers et depuis ces ressources parent.

Remarque

Vous ne pouvez pas associer une passerelle Internet à un groupe de sécurité réseau.

Un groupe de sécurité réseau contient deux types d'élément :

  • Carte(s) d'interface réseau virtuelle : carte(s) d'interface réseau virtuelle (par exemple, les cartes d'interface réseau virtuelles attachées à l'ensemble d'instances de calcul qui disposent toutes du même état d'intégrité). Toutes les cartes d'interface réseau virtuelles doivent se trouver dans le réseau cloud virtuel auquel le groupe de sécurité réseau appartient. Une carte d'interface réseau virtuelle peut se trouver dans cinq groupes de sécurité réseau au maximum.

  • Règles de Sécurité : règles qui définissent les types de trafic autorisés vers et depuis les cartes d'accès réseau virtuelles du groupe. Par exemple : trafic SSH entrant sur le port TCP 22 à partir d'une source particulière.

Le processus général pour l'utilisation des groupes de sécurité réseau est le suivant :

  1. Créez un groupe de sécurité réseau.

    Lorsque vous créez un groupe de sécurité réseau, il est initialement vide, sans règle de sécurité ni carte d'interface réseau virtuelle. Une fois le groupe de sécurité système créé, vous pouvez ajouter ou enlever les règles d'accès pour autoriser les types de trafic entrant et sortant requis pour les cartes d'interface réseau virtuelles du groupe.

  2. Ajoutez des règles de sécurité au groupe de sécurité réseau.

  3. Ajouter des ressources parent (ou plus spécifiquement, des cartes d'interface réseau virtuelles) au groupe de sécurité réseau.

    Lorsque vous gérez l'appartenance à une carte d'interface réseau virtuelle de groupes de sécurité réseau, vous le faites dans le cadre de l'utilisation de la ressource parent, et non du groupe lui-même. Vous pouvez réaliser cette opération lorsque vous créez la ressource parent, ou mettre à jour la ressource parent et l'ajouter à des groupes de sécurité réseau.

    Lorsque vous créez une instance de calcul et que vous l'ajoutez à un groupe de sécurité système, la carte d'adresse virtuelle principale de l'instance est ajoutée au groupe de sécurité système. Vous pouvez également créer des cartes d'interface réseau virtuelles secondaires et les ajouter aux groupes de sécurité réseau.

Le modèle d'API REST présente des différences entre les groupes de sécurité et les listes de sécurité :

  • Les listes de sécurité contiennent un objet IngressSecurityRule et un objet EgressSecurityRule distinct. Les groupes de sécurité réseau contiennent uniquement un objet SecurityRule. L'attribut direction de l'objet détermine si la règle concerne le trafic entrant ou sortant.

  • Avec les listes d'accès sécurisé, les règles font partie de l'objet SecurityList et vous les utilisez en appelant les opérations d'une liste de sécurité (par exemple, UpdateSecurityList). Avec les groupes de sécurité réseau, les règles n'appartiennent pas à l'objet NetworkSecurityGroup. A la place de cela, vous utilisez des opérations distinctes pour utiliser les règles d'un groupe d'éléments réseau donné (par exemple, UpdateNetworkSecurityGroupSecurityRules)

  • Le modèle de mise à jour des règles de sécurité existantes diffère entre les listes de sécurité et les groupes de sécurité réseau. Avec les groupes de sécurité réseau, chaque règle d'un groupe particulier possède un identificateur unique. Lorsque vous appelez UpdateNetworkSecurityGroupSecurityRules, vous indiquez les ID des règles spécifiques à mettre à jour. A des fins de liste de sécurité, les règles n'ont pas d'identificateur unique. Lorsque vous appelez UpdateSecurityList, vous devez transmettre la liste complète des règles, y compris les règles qui ne sont jamais mises à jour lors de l'appel.

  • Il existe une limite de 25 règles lors de l'appel des opérations visant à ajouter, à enlever ou à mettre à jour des règles de sécurité.

Pour plus d'informations, reportez-vous à Contrôle du trafic avec les groupes de sécurité réseau.