Listes de sécurité

Sur Compute Cloud@Customer, les listes de sécurité agissent comme des pare-feu virtuels pour une instance, avec les règles entrantes et sortantes qui indiquent les types de trafic entrants et sortants autorisés.

Chaque liste de sécurité est appliquée au niveau de la carte d'interface réseau virtuelle. Toutefois, vous configurez vos listes d'interface réseau virtuelles au niveau du sous-réseau, ce qui signifie que toutes les cartes d'interface réseau virtuelles d'un sous-réseau particulier sont soumises au même ensemble de listes d'accès sécurisé.

Les listes de sécurité s'appliquent à une VNIC particulière, qu'elle communique avec une autre instance du VCN ou avec un hôte en dehors du VCN. Chaque sous-réseau peut être associé à plusieurs listes de sécurité, et chaque liste peut en avoir plusieurs.

Chaque VCN est fourni avec une liste de sécurité par défaut. Si vous ne spécifiez pas de liste de sécurité personnalisée pour un sous-réseau, la liste de sécurité par défaut est automatiquement utilisée avec ce sous-réseau. Vous pouvez ajouter et enlever des règles dans la liste des règles de sécurité par défaut. Il dispose d'un ensemble initial de règles avec conservation de statut, qui doivent être modifiées pour autoriser uniquement le trafic entrant à partir de sous-réseaux autorisés. Les règles par défaut sont :

• Entrante avec conservation de statuts : autorisez le trafic TCP sur le port 22 de destination (SSH) à partir des adresses IP source autorisées et de n' importe quel port source.

  Cette règle permet de créer un réseau cloud et un sous-réseau public, de créer une instance Linux, puis d'utiliser immédiatement SSH pour la connexion à cette instance sans avoir à écrire de règles de liste

  La liste d'accès par défaut n'inclut aucune règle autorisant l'accès RDP (Remote Desktop Protocol). Si vous utilisez des images Compute Cloud@Customer, ajoutez une règle entrante avec conservation de état pour le trafic TCP sur le port 3389 de destination à partir des adresses IP source autorisées et de n' importe quel port source.

• Entrante avec conservation de statut : autorise le trafic ICMP de type 3 et de code 4 à partir des adresses IP source autorisées.

  Cette règle permet aux instances de recevoir des messages de fragmentation de repérage du MTU de chemins.

• Entrante avec conservation de statut : autorisez le trafic ICMP de type 3 (tous les codes) à partir de votre bloc CIDR VCN.

  Cette règle permet aux instances de recevoir des messages d'erreur de connectivité d'autres instances du VCN.

• Sortante avec conservation de statut : autorise tout le trafic.

  Cela permet aux instances d'initier n'importe quel type de trafic vers n'importe quelle destination. Cela implique que les instances avec des adresses IP publiques peuvent communiquer avec n'importe quelle adresse IP Internet si le VCN dispose d'une passerelle Internet configurée. De plus, comme les règles de sécurité avec conservation de statut utilisent le suivi de connexion, le trafic de réponse est automatiquement autorisé indépendamment des règles entrantes.

Le processus général d'utilisation des listes de sécurité est le suivant :

1. Créez une liste de sécurité.

2. Ajoutez des règles de sécurité à la liste de sécurité.

3. Associez la liste de sécurité à des sous-réseaux.

4. Créez des ressources, telles que des instances de calcul, dans le sous-réseau.

   Les règles de sécurité s'appliquent à toutes les cartes d'interface réseau virtuelles de ce sous-réseau.

Lorsque vous créez un sous-réseau, vous devez lui associer au moins une liste de sécurité. Il peut s'agir de la liste de sécurité par défaut du VCN ou d'une ou plusieurs autres listes de sécurité que vous avez déjà créées. Vous pouvez modifier les listes de sécurité utilisées par le sous-réseau à tout moment. Vous pouvez ajouter et enlever des règles dans la liste. Une liste de sécurité peut ne contenir aucune règle.

Pour plus d'informations, reportez-vous à Contrôle du trafic avec des listes de sécurité.