Documentation Oracle Cloud Infrastructure

Pare-feu virtuel

Sur Compute Cloud@Customer, le service Networking propose deux fonctionnalités de pare-feu virtuel qui utilisent toutes deux des règles de sécurité pour contrôler le trafic au niveau des paquets : les listes de sécurité et les groupes de sécurité réseau. Ils offrent différentes façons d'appliquer des règles de sécurité à un ensemble de cartes d'interface réseau virtuelles (VNIC).

  • Listes de sécurité :

    Une liste de sécurité définit les règles de sécurité au niveau du sous-réseau, ce qui signifie que toutes les cartes d'interface réseau virtuelles d'un sous-réseau donné sont soumises aux mêmes règles. Chaque VCN est fourni avec une sécurité par défaut contenant des règles par défaut pour le trafic essentiel. La liste de sécurité par défaut est automatiquement utilisée avec tous les sous-réseaux, sauf si une liste de sécurité personnalisée est spécifiée. Un sous-réseau peut avoir jusqu'à cinq listes de sécurité associées.

  • Groupes de sécurité réseau (GNS) :

    Un groupe de sécurité réseau définit les règles de sécurité en fonction de l'appartenance. Ses règles de sécurité s'appliquent aux ressources qui sont explicitement ajoutées au groupe de sécurité réseau. Une carte d'interface réseau virtuelle peut être ajoutée à cinq groupes de sécurité réseau au maximum. Un groupe de sécurité réseau est destiné à fournir un pare-feu virtuel pour un ensemble de ressources cloud présentant le même état de sécurité. Par exemple, un groupe d'instances qui exécutent les mêmes tâches et doivent donc utiliser le même ensemble de ports.

Oracle recommande d'utiliser des groupes de sécurité réseau au lieu de listes de sécurité car les groupes de sécurité réseau vous permettent de séparer l'architecture de sous-réseau VCN des exigences de sécurité de votre application. Toutefois, les groupes de sécurité réseau sont uniquement pris en charge pour des services spécifiques. Il est possible d'utiliser à la fois des listes de sécurité et des groupes de sécurité réseau, en fonction de vos besoins particuliers en matière de sécurité.

Si vous avez des règles de sécurité à appliquer pour toutes les cartes d'interface réseau virtuelles d'un VCN, la solution la plus simple consiste à placer les règles dans une liste de sécurité, puis à associer cette liste de sécurité à tous les sous-réseaux du VCN. De cette façon, vous pouvez vous assurer que les règles sont appliquées, quelle que soit la personne dans votre organisation qui crée une carte d'interface réseau virtuelle dans le réseau cloud virtuel. Vous pouvez également ajouter les règles de sécurité requises à la liste de sécurité par défaut du VCN.

Si vous choisissez de combiner des listes d'accès sécurisé et des groupes d'accès réseau, l'ensemble de règles qui s'applique à une carte d'interface carte d'interface réseau virtuelle particulière correspond aux éléments suivants :

  • Règles de sécurité dans les listes de sécurité associées au sous-réseau de la carte d'interface réseau virtuel

  • Règles de sécurité de tous les groupes de données réseau dans lesquels se trouve la carte d'interface réseau virtuelle

Un paquet donné est autorisé si une règle dans l'une des listes et groupes pertinents autorise le trafic ou si le trafic fait partie d'une connexion existante suivie en raison d'une règle avec conservation de statut.