Règles de sécurité pour le système de base de données
Cet article présente les règles de sécurité à utiliser avec votre système de base de données. Les règles de sécurité contrôlent les types de trafic autorisés à entrer et à sortir des noeuds de calcul du système de base de données. Les règles sont réparties en deux sections.
Pour plus d'informations sur les règles de sécurité, reportez-vous à Règles de sécurité. Pour plus d'informations sur les différentes façons d'implémenter ces règles, reportez-vous à Méthodes d'implémentation des règles de sécurité.
Remarques :
Les instances exécutant des images de système de base de données fournies par Oracle comportent également des règles de pare-feu qui contrôlent l'accès à l'instance. Assurez-vous que les règles de sécurité et les règles de pare-feu de l'instance sont définies correctement. Reportez-vous également à Ouverture de ports sur le système de base de données.Règles générales requises pour la connectivité de base
Les sections suivantes contiennent plusieurs règles générales qui activent la connectivité essentielle des hôtes dans le réseau cloud virtuel.
Si vous utilisez des listes de sécurité pour implémenter vos règles de sécurité, sachez que les règles suivantes sont incluses par défaut dans la liste de sécurité par défaut. Mettez à jour ou remplacez la liste pour qu'elle réponde à vos besoins en matière de sécurité. Les deux règles ICMP (règles entrantes générales 2 et 3) sont nécessaires au bon fonctionnement du trafic réseau au sein de l'environnement Oracle Cloud Infrastructure. Ajustez la règle entrante générale 1 (règle SSH) et la règle sortante générale 1 pour autoriser le trafic uniquement vers et depuis les hôtes qui nécessitent une communication avec les ressources de votre réseau cloud virtuel.
Pour plus d'informations sur la liste de sécurité par défaut, reportez-vous à Listes de sécurité.
Règle entrante générale 1 : autorise le trafic SSH de toute provenance
- Sans conservation de statut : non (toutes les règles doivent avoir la conservation de statut)
- Type de source : CIDR
- CIDR source : 0.0.0.0/0 (IPv4), : :/0 (IPv6)
- Protocole IP : TCP
- Plage de ports source : tous
- Plage de ports de destination : 22
Remarques :
Le CIDR IPv6 est requis uniquement si vous voulez utiliser l'adresse IPv6 pour vous connecter à SSH.Règle entrante générale 2 : autorise les messages de fragmentation de repérage du MTU d'un chemin
Cette règle permet aux hôtes du réseau cloud virtuel de recevoir des messages de fragmentation de repérage du MTU d'un chemin. Sans accès à ces messages, les hôtes du réseau cloud virtuel peuvent rencontrer des problèmes de communication avec les hôtes en dehors du réseau cloud virtuel.
- Sans conservation de statut : non (toutes les règles doivent avoir la conservation de statut)
- Type de source : CIDR
- CIDR source : 0.0.0.0/0 (IPv4), : :/0 (IPv6)
- Protocole IP : ICMP
- Type: 3
- Code : 4
Règle entrante générale 3 : autorise les messages d'erreur de connectivité dans le réseau cloud virtuel
Cette règle permet aux hôtes du réseau cloud virtuel de recevoir des messages d'erreur de connectivité de la part des autres.
- Sans conservation de statut : non (toutes les règles doivent avoir la conservation de statut)
- Type de source : CIDR
- CIDR source : CIDR de votre réseau cloud virtuel
- Protocole IP : ICMP
- Type : Tout
- Code : tous
Règle sortante générale 1 : autorise tout le trafic sortant
- Sans conservation de statut : non (toutes les règles doivent avoir la conservation de statut)
- Type de destination : CIDR
- CIDR de destination : 0.0.0.0/0 (IPv4), : :/0 (IPv6)
- Protocole IP : tous
Remarques :
- Le CIDR de destination IPv6 est requis uniquement pour la communication sortante vers les réseaux IPv6.
- Le CIDR de destination peut être restreint.
Règles de sécurité personnalisées
Les règles suivantes sont nécessaires pour que le système de base de données fonctionne.
Remarques :
Les règles entrantes personnalisées 1 et 2 couvrent uniquement les connexions initiées à partir du VCN. Si vous avez un client qui réside en dehors du réseau cloud virtuel, Oracle recommande de configurer deux règles similaires supplémentaires dont le CIDR source est défini sur l'adresse IP publique du client.Règle entrante personnalisée 1 : autorise le trafic ONS et FAN à partir du réseau cloud virtuel
Cette règle est recommandée et permet à ONS (Oracle Notification Services) de communiquer à propos des événements FAN (Fast Application Notification).
- Sans conservation de statut : non (toutes les règles doivent avoir la conservation de statut)
- Type de source : CIDR
- CIDR source : CIDR de votre IPv4 et de votre VCN IPv6
- Protocole IP : TCP
- Plage de ports source : tous
- Plage de ports de destination : 6200
- Description : description facultative de la règle.
Règle entrante personnalisée 2 : autorise le trafic SQL*NET à partir du réseau cloud virtuel
Cette règle est destinée au trafic SQL*NET et n'est requise que si vous avez besoin d'activer des connexions client à la base de données.
- Sans conservation de statut : non (toutes les règles doivent avoir la conservation de statut)
- Type de source : CIDR
- CIDR source : CIDR de votre IPv4 et de votre VCN IPv6
- Protocole IP : TCP
- Plage de ports source : tous
- Plage de ports de destination : 1521
- Description : description facultative de la règle.
Règle sortante personnalisée 1 : autorise l'accès SSH sortant
Cette règle active l'accès SSH entre les noeuds dans un système de base de données à deux noeuds. Elle est redondante par rapport à la règle générale sortante dans Règles générales requises pour la connectivité de base (et dans la liste de sécurité par défaut). Elle est facultative, mais recommandée, au cas où la règle générale (ou la liste de sécurité par défaut) serait modifiée par inadvertance.
- Sans conservation de statut : non (toutes les règles doivent avoir la conservation de statut)
- Type de destination : CIDR
- CIDR de destination : 0.0.0.0/0 (IPv4), : :/0 (IPv6)
- Protocole IP : TCP
- Plage de ports source : tous
- Plage de ports de destination : 22
- Description : description facultative de la règle.
Règle sortante personnalisée 2 : autorise l'accès à Oracle Services Network
Cette règle permet au système de base de données de communiquer avec les services Oracle (pour un sous-réseau public avec une passerelle Internet) ou avec Oracle Services Network, qui inclut tous les services Oracle (pour un sous-réseau privé avec une passerelle de service). Elle est redondante par rapport à la règle générale sortante dans Règles générales requises pour la connectivité de base (et dans la liste de sécurité par défaut). Elle est facultative, mais recommandée, au cas où la règle générale (ou la liste de sécurité par défaut) serait modifiée par inadvertance. Les services OCI communiquent uniquement avec IPv4.
- Sans conservation de statut : non (toutes les règles doivent avoir la conservation de statut)
- Type de destination : service
- Service de destination :
- Lors de l'utilisation d'un sous-réseau public IPv4 (avec une passerelle Internet), utilisez le bloc CIDR
0.0.0.0/0
. - En cas d'utilisation d'un sous-réseau privé IPv4 (avec une passerelle de service), utilisez le libellé CIDR Tous les services <region> dans Oracle Services Network.
- Lors de l'utilisation d'un sous-réseau public IPv4 (avec une passerelle Internet), utilisez le bloc CIDR
- Protocole IP : TCP
- Plage de ports source : tous
- Plage de ports de destination : 443 (HTTPS)
- Description : description facultative de la règle.
Pour plus d'informations sur les fonctions de réseau, reportez-vous à Présentation de Networking.
Méthodes d'implémentation des règles de sécurité
Le service Networking propose deux méthodes d'implémentation des règles de sécurité dans votre réseau cloud virtuel :
Pour comparer les listes de sécurité et les groupes de sécurité réseau, reportez-vous à Règles de sécurité.
Utilisation des groupes de sécurité réseau
Si vous choisissez d'utiliser des groupes de sécurité réseau, le processus recommandé est le suivant :
- Créez un groupe de sécurité réseau pour les systèmes de base de données. Ajoutez les règles de sécurité suivantes à ce groupe de sécurité réseau :
- Règles répertoriées dans Règles générales requises pour la connectivité de base
- Règles répertoriées dans Règles de sécurité personnalisées
- Lorsque l'administrateur de base de données crée le système de base de données, il doit choisir plusieurs composants de fonctions de réseau (par exemple, le réseau cloud virtuel et le sous-réseau à utiliser). Il peut également choisir les groupes de sécurité réseau à utiliser. Assurez-vous qu'il choisit le groupe de sécurité réseau que vous avez créé.
Au lieu de cela, vous pouvez créer un groupe de sécurité réseau pour les règles générales et un groupe de sécurité réseau distinct pour les règles personnalisées. Dans ce cas, lorsque l'administrateur de base de données choisit les groupes de sécurité réseau à utiliser pour le système de base de données, assurez-vous qu'il choisit les deux.
Utilisation des listes de sécurité
Si vous choisissez d'utiliser des listes de sécurité, le processus recommandé est le suivant :
- Configurez le sous-réseau de manière à ce qu'il utilise les règles de sécurité requises :
- Créez une liste de sécurité personnalisée pour le sous-réseau et ajoutez les règles répertoriées dans Règles de sécurité personnalisées.
- Associez les deux listes de sécurité suivantes au sous-réseau :
- La liste de sécurité par défaut du réseau cloud virtuel avec toutes ses règles par défaut. Elle est automatiquement incluse avec le réseau cloud virtuel.
- La liste de sécurité personnalisée créée pour le sous-réseau.
- Ensuite, lorsque l'administrateur de base de données crée le système de base de données, il doit choisir plusieurs composants de fonctions de réseau. Lorsqu'il sélectionne le sous-réseau que vous avez déjà créé et configuré, les règles de sécurité sont automatiquement appliquées aux noeuds de calcul créés dans ce sous-réseau.
Attention :
N'enlevez pas la règle sortante par défaut de la liste de sécurité par défaut. Si vous le faites, veillez à inclure à sa place la règle sortante suivante dans la liste de sécurité personnalisée du sous-réseau :- Sans conservation de statut : non (toutes les règles doivent avoir la conservation de statut)
- Type de destination : CIDR
- CIDR de destination : 0.0.0.0/0
- Protocole IP : tous