Documentation Oracle Cloud Infrastructure

Pare-feu virtuel

Sur Compute Cloud@Customer, le service Networking offre deux fonctionnalités de pare-feu virtuel qui utilisent des règles de sécurité pour contrôler le trafic au niveau du paquet : des listes de sécurité et des groupes de sécurité réseau. Ils offrent différentes façons d'appliquer des règles de sécurité à un ensemble de cartes d'interface réseau virtuelles (VNIC).

  • listes de sécurité :

    Une liste de sécurité définit des règles de sécurité au niveau du sous-réseau, ce qui signifie que toutes les VNIC d'un sous-réseau donné sont soumises aux mêmes règles. Chaque VCN est fourni avec une sécurité par défaut contenant des règles par défaut pour le trafic essentiel. La liste de sécurité par défaut est automatiquement utilisée avec tous les sous-réseaux, sauf si une liste de sécurité personnalisée est spécifiée. Un sous-réseau peut comporter jusqu'à cinq listes de sécurité associées.

  • Groupes de sécurité réseau :

    Un groupe de sécurité réseau définit les règles de sécurité en fonction de l'appartenance. Ses règles de sécurité s'appliquent aux ressources qui sont explicitement ajoutées au groupe de sécurité réseau. Une VNIC peut être ajoutée à cinq groupes de sécurité réseau au maximum. Un groupe de sécurité réseau est destiné à fournir un pare-feu virtuel pour un ensemble de ressources cloud présentant le même état de sécurité. Par exemple, un groupe d'instances qui exécutent les mêmes tâches et qui doivent donc utiliser le même ensemble de ports.

Oracle recommande d'utiliser des groupes de sécurité réseau au lieu de listes de sécurité, car ces derniers vous permettent de séparer l'architecture de sous-réseau VCN de vos exigences de sécurité d'application. Cependant, les groupes de sécurité réseau ne sont pris en charge que pour des services spécifiques. Il est possible d'utiliser à la fois des listes de sécurité et des groupes de sécurité réseau, en fonction de vos besoins de sécurité particuliers.

Si vous avez des règles de sécurité à appliquer pour toutes les cartes d'interface réseau virtuelles d'un VCN, la solution la plus simple consiste à placer les règles dans une liste de sécurité, puis à associer cette liste de sécurité à tous les sous-réseaux du VCN. De cette façon, vous pouvez vous assurer que les règles sont appliquées, indépendamment de la personne dans votre organisation qui crée une VNIC dans le VCN. Vous pouvez également ajouter les règles de sécurité requises à la liste de sécurité par défaut du VCN.

Si vous choisissez de combiner des listes de sécurité et des groupes de sécurité réseau, l'ensemble de règles qui s'applique à une VNIC particulière est l'union des éléments suivants :

  • Règles de sécurité des listes de sécurité associées au sous-réseau de la carte d'interface réseau virtuelle

  • Règles de sécurité de tous les groupes de sécurité réseau dans lesquels se trouve la carte d'interface réseau virtuelle

Un paquet donné est autorisé si une règle dans l'une des listes et des groupes pertinents autorise le trafic, ou si le trafic fait partie d'une connexion existante suivie en raison d'une règle avec conservation de statut.