Listes de sécurité

Sur Compute Cloud@Customer, une liste de sécurité agit comme un pare-feu virtuel pour une instance, avec des règles entrantes et sortantes qui indiquent les types de trafic autorisés d'entrée et de sortie.

Chaque liste de sécurité est appliquée au niveau de la VNIC. Cependant, vous configurez vos listes de sécurité au niveau du sous-réseau, ce qui signifie que toutes les VNIC d'un sous-réseau particulier sont soumises au même ensemble de listes de sécurité.

Les listes de sécurité s'appliquent à une VNIC particulière, qu'elle communique avec une autre instance du VCN ou avec un hôte en dehors du VCN. Plusieurs listes de sécurité peuvent être associées à chaque sous-réseau, et chaque liste peut contenir plusieurs règles.

Chaque VCN est fourni avec une liste de sécurité par défaut. Si vous ne spécifiez pas de liste de sécurité personnalisée pour un sous-réseau, la liste de sécurité par défaut est automatiquement utilisée avec ce dernier. Vous pouvez ajouter des règles à la liste de sécurité par défaut et en enlever. Il dispose d'un ensemble initial de règles avec conservation de statut, qui doivent être modifiées pour autoriser uniquement le trafic entrant provenant de sous-réseaux autorisés. Les règles par défaut sont les suivantes :

• En entrée avec conservation de statut : autorisez le trafic TCP sur le port de destination 22 (SSH) à partir des adresses IP source autorisées et de n'importe quel port source.

  Cette règle vous permet de créer un réseau cloud et un sous-réseau public, de créer une instance Linux, puis d'utiliser immédiatement SSH pour la connexion à cette instance sans avoir à écrire de règles de liste de sécurité vous-même.

  La liste de sécurité par défaut n'inclut pas de règle autorisant l'accès RDP (Remote Desktop Protocol). Si vous utilisez des images Compute Cloud@Customer, ajoutez une règle entrante avec conservation de statut pour le trafic TCP sur le port de destination 33889 à partir des adresses IP source autorisées et de n'importe quel port source.

• Entrante avec conservation de statut : autorise le trafic ICMP de type 3 et de code 4 à partir des adresses IP source autorisées.

  Cette règle permet aux instances de recevoir des messages de fragmentation de repérage de MTU de chemin.

• Entrante avec conservation de statut : autorisez le trafic ICMP de type 3 (tous les codes) à partir de votre bloc CIDR VCN.

  Cette règle permet aux instances de recevoir des messages d'erreur de connectivité provenant d'autres instances du VCN.

• Sortante avec conservation de statut : autorise tout le trafic.

  Cela permet aux instances d'initialiser n'importe quel type de trafic vers n'importe quelle destination. Cela implique que les instances avec des adresses IP publiques peuvent communiquer avec n'importe quelle adresse IP Internet si le VCN dispose d'une passerelle Internet configurée. De plus, comme les règles de sécurité avec conservation de statut utilisent le suivi de connexion, le trafic de réponse est automatiquement autorisé indépendamment des règles entrantes.

Le processus général d'utilisation des listes de sécurité est le suivant :

1. Créez une liste de sécurité.

2. Ajoutez des règles de sécurité à la liste de sécurité.

3. Association de la liste de sécurité à des sous-réseaux.

4. Créez des ressources, telles que des instances de calcul, dans le sous-réseau.

   Les règles de sécurité s'appliquent à toutes les VNIC de ce sous-réseau.

Lorsque vous créez un sous-réseau, vous devez lui associer au moins une liste de sécurité. Il peut s'agir de la liste de sécurité par défaut du VCN ou d'une ou plusieurs autres listes de sécurité que vous avez déjà créées. Vous pouvez modifier les listes de sécurité utilisées par le sous-réseau à tout moment. Vous pouvez ajouter des règles à la liste de sécurité et en enlever. Il est possible qu'une liste de sécurité ne contienne aucune règle.

Pour plus d'informations, reportez-vous à Contrôle du trafic avec des listes de sécurité.