Documentation Oracle Cloud Infrastructure

Groupes de sécurité réseau

Sur Compute Cloud@Customer, un groupe de sécurité réseau fournit un pare-feu virtuel pour un ensemble de ressources cloud, au sein d'un seul VCN, qui ont toutes le même état de sécurité. Par exemple, un groupe d'instances de calcul qui exécutent toutes les mêmes tâches et qui doivent donc utiliser le même ensemble de ports.

Les règles d'un groupe de sécurité réseau sont appliquées aux cartes d'interface réseau virtuelles, mais leur appartenance au groupe de sécurité réseau est déterminée par le biais de leurs ressources parent. Les services cloud ne prennent pas tous en charge les groupes de sécurité réseau. Actuellement, les types de ressource parent suivants prennent en charge l'utilisation des groupes de sécurité réseau :

  • Instances Compute : lorsque vous créez une instance, vous pouvez indiquer des groupes de sécurité réseau pour la VNIC principale associée. Si vous ajoutez une carte d'interface réseau virtuelle secondaire à une instance, vous pouvez indiquer des groupes de sécurité réseau pour cette carte. Vous pouvez également modifier l'appartenance du groupe de sécurité réseau aux cartes d'interface réseau virtuelles existantes.

  • Equilibreurs de charges : lorsque vous créez un équilibreur de charge, vous pouvez indiquer des groupes de sécurité système pour l'équilibreur de charge (et non l'ensemble de back-ends). Vous pouvez également mettre à jour un équilibreur de charge existant pour qu'il utilise des groupes de sécurité réseau.

  • Cibles de montage : lorsque vous créez une cible de montage pour un système de fichiers, vous pouvez indiquer des groupes de sécurité réseau. Vous pouvez également mettre à jour une cible de montage existante pour qu'elle utilise des groupes de sécurité réseau.

Pour les types de ressource qui ne prennent pas encore en charge les groupes de sécurité réseau, continuez à utiliser les listes de sécurité pour contrôler le trafic vers et depuis ces ressources parent.

Remarque

Vous ne pouvez pas associer une passerelle Internet à un groupe de sécurité réseau.

Un groupe de sécurité réseau contient deux types d'élément :

  • NIC : au moins une carte d'interface réseau virtuelle, par exemple, les cartes d'interface réseau virtuelles attachées à l'ensemble d'instances de calcul qui disposent toutes du même état de sécurité. Toutes les cartes d'interface réseau virtuelles doivent se trouver dans le VCN auquel le groupe de sécurité réseau appartient. Une carte d'interface réseau virtuelle peut se trouver dans cinq groupes de sécurité réseau au maximum.

  • Règles de sécurité : règles qui définissent les types de trafic autorisés vers et depuis les VNIC du groupe. Par exemple : trafic SSH entrant sur le port TCP 22 à partir d'une source particulière.

Le processus général d'utilisation des groupes de sécurité réseau est le suivant :

  1. Créez un groupe de sécurité réseau.

    Lorsque vous créez un groupe de sécurité réseau, il est initialement vide, sans règle de sécurité ni carte d'interface réseau virtuelle. Une fois le groupe de sécurité réseau créé, vous pouvez ajouter ou enlever des règles de sécurité pour autoriser les types de trafic entrant et sortant requis par les VNIC du groupe.

  2. Ajoutez des règles de sécurité au groupe de sécurité réseau.

  3. Ajoutez des ressources parent, ou plus spécifiquement des cartes d'interface réseau virtuelles, au groupe de sécurité réseau.

    Lorsque vous gérez une appartenance à une carte d'interface réseau virtuelle de groupe de sécurité réseau, vous le faites dans le cadre de l'utilisation de la ressource parent, et non du groupe de sécurité réseau lui-même. Vous pouvez procéder ainsi lors de la création de la ressource parent, ou mettre à jour la ressource parent et l'ajouter à des groupes de sécurité réseau.

    Lorsque vous créez une instance de calcul et l'ajoutez à un groupe de sécurité réseau virtuelle principal de l'instance, celle-ci lui est ajoutée. Vous pouvez créer des VNIC secondaires séparément et les ajouter aux groupes de sécurité réseau.

Le modèle d'API REST présente des différences entre les groupes de sécurité et les listes de sécurité :

  • Les listes de sécurité contiennent un objet IngressSecurityRule et un objet EgressSecurityRule distinct. Les groupes de sécurité réseau contiennent uniquement un objet SecurityRule. L'attribut direction de l'objet détermine si la règle concerne le trafic entrant ou sortant.

  • Avec les listes de sécurité, les règles font partie de l'objet SecurityList et vous utilisez ces règles en appelant les opérations de liste de sécurité, par exemple : UpdateSecurityList. Avec les groupes de sécurité réseau, les règles ne font pas partie de l'objet NetworkSecurityGroup. Au lieu de cela, vous utilisez des opérations distinctes pour utiliser les règles d'un groupe de sécurité réseau particulier, par exemple UpdateNetworkSecurityGroupSecurityRules.

  • Le modèle de mise à jour des règles de sécurité existantes diffère entre les listes de sécurité et les groupes de sécurité réseau. Avec les groupes de sécurité réseau, chaque règle d'un groupe particulier possède un identificateur unique. Lorsque vous appelez UpdateNetworkSecurityGroupSecurityRules, vous indiquez les ID des règles spécifiques à mettre à jour. Avec les listes de sécurité, les règles n'ont pas d'identificateur unique. Lorsque vous appelez UpdateSecurityList, vous devez transmettre la liste complète des règles, y compris celles qui ne sont pas mises à jour lors de l'appel.

  • Il existe une limite de 25 règles lors de l'appel des opérations visant à ajouter, à enlever ou à mettre à jour des règles de sécurité.

Pour plus d'informations, reportez-vous à Contrôle du trafic avec les groupes de sécurité réseau.