Affecter une sécurité de sous-réseau

Vous devez fournir des règles de sécurité permettant d'accéder à la passerelle de données distante (RDG) et aux sous-réseaux privés hébergeant le service Oracle Function et la base de données JSON autonome.

La passerelle de données distante (RDG) et les règles d'utilisation du sous-réseau privé Oracle Function sont affectées à une liste de sécurité. La base de données JSON autonome utilise les règles affectées à un groupe de sécurité réseau (NSG).

• Liste de sécurité : Définit un ensemble de règles de sécurité qui s'applique à toutes les cartes VNIC d'un sous-réseau entier. Pour utiliser une liste de sécurité donnée avec un sous-réseau particulier, vous associez la liste de sécurité au sous-réseau lors de la création du sous-réseau ou ultérieurement. Toutes les cartes VNIC créées dans ce sous-réseau sont soumises aux listes de sécurité associées au sous-réseau.

  Vous pouvez ajouter des règles à des listes de sécurité existantes et créer et affecter plusieurs listes de sécurité à un sous-réseau.

• Groupe de sécurité réseau (NSG) : Définit un ensemble de règles de sécurité applicables à un groupe de cartes d'interface réseau virtuelles (ressources, telles que la base de données JSON autonome) de votre choix. Pour utiliser un NSG donné, ajoutez les VNIC d'intérêt au groupe ou affectez le NSG lors du provisionnement du service. Tous les services ne prennent pas en charge les GNS. Les cartes VNIC ajoutées à ce groupe sont soumises aux règles de sécurité de ce groupe.

Créer une liste de sécurité

Les listes de sécurité agissent en tant que pare-feu virtuel à l'aide d'un ensemble de règles de sécurité entrantes et sortantes qui s'appliquent à toutes les cartes d'interface réseau virtuelle (cartes VNIC) de tout sous-réseau associé à la liste de sécurité.

1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Réseautage et cliquez sur Réseaux cloud virtuels.
2. Cliquez sur VCN qui vous intéresse.
3. Sous Ressources, cliquez sur Listes de sécurité.
4. Cliquez sur Créer une liste de sécurité.
5. Entrez les informations suivantes :
   • Nom : nom descriptif de la liste de sécurité. Par exemple : my-domain-sec-list. Le nom n'a pas besoin d'être unique et ne peut pas être modifié ultérieurement dans la console (mais vous pouvez le modifier avec l'API). Evitez de saisir des informations confidentielles.
   • Créer dans le compartiment : compartiment dans lequel vous souhaitez créer la liste de sécurité, si elle est différente du compartiment dans lequel vous travaillez actuellement.
6. Ajoutez des règles de sécurité entrantes ou sortantes. Vous pouvez également ajouter, réviser et supprimer des règles de sécurité après avoir créé la liste de sécurité.
7. Cliquez sur Créer une liste de sécurité.

Ajouter des règles entrantes pour Oracle Functions

Une règle de sécurité permet un type particulier de trafic entrant ou sortant d'une carte d'interface réseau virtuelle (NVIC).

Oracle Functions requiert un accès TCP pour un certain nombre de ports et de protocoles de message de contrôle Internet (ICMP) à partir de tous les ports

1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Réseautage et cliquez sur Réseaux cloud virtuels.
2. Cliquez sur VCN qui vous intéresse.
3. Sous Ressources, cliquez sur Listes de sécurité.
4. Cliquez sur la liste de sécurité qui vous intéresse.
5. Pour ajouter une règle autorisant le trafic ICMP à partir de tous les ports :
   1. Cliquez sur Ajouter une règle d'entrée.
   2. Indiquez 0.0.0.0/0 comme CIDR source.
   3. Sélectionnez ICMP comme protocole IP.
   4. Laissez la plage de ports de destination vide pour indiquer tous les ports.
6. Pour ajouter une règle qui autorise l'accès TCP à Oracle Functions à partir de serveurs ou d'applications d'un autre VCN à l'aide de la plage de ports 443:
   1. Cliquez sur Ajouter une règle d'entrée.
   2. Indiquez le bloc CIDR VCN en tant que CIDR source.
   3. Sélectionnez TCP comme protocole IP.
   4. Indiquez 443 comme plage de ports de destination.
7. Pour ajouter une règle permettant à TCP d'accéder à Oracle Functions à partir de serveurs ou d'applications d'un autre VCN à l'aide de la plage de ports 1521:
   1. Cliquez sur Ajouter une règle d'entrée.
   2. Indiquez le bloc CIDR VCN en tant que CIDR source.
   3. Sélectionnez TCP comme protocole IP.
   4. Indiquez 1521 comme plage de ports de destination.
8. Pour ajouter une règle qui autorise l'accès TCP à Oracle Functions à partir de serveurs ou d'applications d'un autre VCN à l'aide de la plage de ports 6200:
   1. Cliquez sur Ajouter une règle d'entrée.
   2. Indiquez le bloc CIDR VCN en tant que CIDR source.
   3. Sélectionnez TCP comme protocole IP.
   4. Indiquez 6200 comme plage de ports de destination.
9. Pour ajouter une règle qui autorise l'accès TCP à Oracle Functions à partir de serveurs ou d'applications d'un autre VCN à l'aide de la plage de ports 2484:
   1. Cliquez sur Ajouter une règle d'entrée.
   2. Indiquez le bloc CIDR VCN en tant que CIDR source.
   3. Sélectionnez TCP comme protocole IP.
   4. Indiquez 2484 comme plage de ports de destination.

Ajouter une liste de sécurité à un sous-réseau privé

Vous pouvez ajouter des listes de sécurité ou supprimer des listes de sécurité d'un sous-réseau cloud virtuel (VCN) existant.

1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Réseautage et cliquez sur Réseaux cloud virtuels.
2. Cliquez sur Sous-réseaux.
3. Cliquez sur VCN qui vous intéresse.
4. Cliquez sur Sous-réseaux.
5. Cliquez sur le sous-réseau privé qui vous intéresse. Vérifiez qu'il s'agit d'un sous-réseau privé en vérifiant la valeur répertoriée sous Accès sous-réseau.
6. Sous Ressources, cliquez sur Listes de sécurité.
7. Pour ajouter une liste de sécurité, cliquez sur Ajouter une liste de sécurité, puis sélectionnez la liste de sécurité à utiliser par le sous-réseau.

   Si vous souhaitez enlever une liste de sécurité, cliquez sur l'icône Actions (trois points), puis sur Enlever. Rappelez-vous qu'au moins une liste de sécurité doit toujours être associée à un sous-réseau.

   Les modifications prennent effet dans quelques secondes.

Créer un groupe de sécurité réseau (NSG) pour l'accès aux adresses privées

Les groupes de sécurité réseau (NSG) vous permettent de définir un ensemble de règles de sécurité qui s'appliquent à un groupe de cartes d'interface réseau virtuelles (ou de ressources) de votre choix.

Lorsque vous provisionnez la ressource, comme Oracle Autonomous Data Warehouse, vous pouvez affecter le groupe de sécurité réseau. Tous les services ne prennent pas en charge les GNS.

1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Réseautage et cliquez sur Réseaux cloud virtuels.
2. Cliquez sur VCN qui vous intéresse.
3. Sous Ressources, cliquez sur Groupes de sécurité réseau.
4. Cliquez sur Créer un groupe de sécurité réseau.
5. Entrez les informations suivantes :
   • Nom : nom descriptif du groupe de sécurité réseau. Le nom ne doit pas nécessairement être unique et vous pouvez le modifier ultérieurement. Evitez de saisir des informations confidentielles.
   • Créer dans le compartiment : compartiment dans lequel vous souhaitez créer la liste de sécurité, si elle est différente du compartiment dans lequel vous travaillez actuellement.
6. Cliquez sur Suivant.
7. Pour la première règle de sécurité, entrez les éléments suivants :
   • Apatride : Ne pas choisir. Le suivi de connexion est utilisé pour le trafic correspondant à la règle.
   • Direction : sélectionnez Ingress (trafic entrant vers la carte VNIC).
   • Type de source : sélectionnez CIDR.
   • CIDR source : indiquez le bloc CIDR du sous-réseau privé contenant le service, tel qu'Oracle Autonomous Data Warehouse.
   • Protocole IP : sélectionnez TCP.
   • Plage de ports source : indiquez 1522.
   • Plage de ports de destination : laissez vide (indique tous les ports).
8. Lorsque vous avez terminé, cliquez sur Créer.