Fournir des règles de sécurité pour le sous-réseau privé

Vous devez fournir des règles de sécurité pour autoriser l'accès à la passerelle de données distante (RDG), à Oracle GoldenGate et à Autonomous Data Warehouse dans le sous-réseau privé.

La passerelle de données distante (RDG) et Oracle GoldenGate utilisent des règles affectées à une liste de sécurité. Autonomous Data Warehouse utilise les règles affectées à un groupe de sécurité réseau (NSG).

  • Listes de sécurité : Définit un ensemble de règles de sécurité qui s'applique à toutes les cartes VNIC d'un sous-réseau entier. Pour utiliser une liste de sécurité donnée avec un sous-réseau particulier, vous associez la liste de sécurité au sous-réseau lors de la création du sous-réseau ou ultérieurement. Les cartes VNIC créées dans ce sous-réseau sont soumises aux listes de sécurité associées au sous-réseau.
  • Groupes de sécurité réseau (NSG) : Définit un ensemble de règles de sécurité applicables à un groupe de cartes VNIC (ressources, telles qu'Autonomous Data Warehouse) de votre choix. Pour utiliser un NSG donné, vous ajoutez les cartes VNIC d'intérêt au groupe ou affectez le NSG lors du provisionnement du service. Tous les services ne prennent pas en charge les NSG. Les cartes VNIC ajoutées à ce groupe sont soumises aux règles de sécurité de ce groupe.

Créer une liste de sécurité

Les listes de sécurité servent de pare-feu virtuel à l'aide d'un ensemble de règles de sécurité entrante et sortante qui s'appliquent à toutes les cartes d'interface réseau virtuelle (cartes VNIC) dans tout sous-réseau associé à la liste de sécurité.

  1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Réseaux et cliquez sur Réseaux cloud virtuels.
  2. Cliquez sur VCN qui vous intéresse.
  3. Sous Ressources, cliquez sur Listes de sécurité.
  4. Cliquez sur Créer une liste de sécurité.
  5. Entrez les informations suivantes :
    • Nom : nom descriptif de la liste de sécurité. Par exemple : my-domain-sec-list. Le nom ne doit pas être unique et ne peut pas être modifié ultérieurement dans la console (mais vous pouvez le modifier avec l'API). Evitez de saisir des informations confidentielles.
    • Créer dans le compartiment : compartiment dans lequel vous voulez créer la liste de sécurité, s'il est différent du compartiment dans lequel vous travaillez actuellement.
  6. Ajoutez des règles de sécurité d'entrée ou de sortie. Vous pouvez également ajouter, réviser et supprimer des règles de sécurité après avoir créé la liste de sécurité.
  7. Cliquez sur Créer une liste de sécurité.

Ajouter des règles d'entrée pour la passerelle de données distante

Une règle de sécurité permet un type particulier de trafic entrant ou sortant d'une carte d'interface réseau virtuelle (NVIC).

La passerelle de données distante (RDG) requiert le port 22 pour l'accès sécurisé au shell (SSH) à Linux et le port 8080 pour l'accès HTTP.

Pour ajouter des règles entrantes à une liste de sécurité afin d'autoriser l'accès à la passerelle de données distante :

  1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Réseaux et cliquez sur Réseaux cloud virtuels.
  2. Cliquez sur VCN qui vous intéresse.
  3. Sous Ressources, cliquez sur Listes de sécurité.
  4. Cliquez sur la liste de sécurité qui vous intéresse.
  5. Pour ajouter une règle permettant l'accès public à l'aide du shell sécurisé (SSH), par exemple pour migrer des sources de données sur site vers une base de données dans le cloud, procédez comme suit :
    1. Cliquez sur Ajouter une règle d'entrée.
    2. Indiquez 0.0.0.0/0 comme CIDR source (0.0.0.0/0 indique toutes les adresses IP).
    3. Sélectionnez SSH comme protocole IP.
    4. Indiquez 22 comme plage de ports de destination.
  6. Pour ajouter une règle permettant l'accès TCP à partir de serveurs ou d'applications dans un autre VCN, procédez comme suit :
    1. Cliquez sur Ajouter une règle d'entrée.
    2. Indiquez le bloc CIDR VCN en tant que CIDR source.
    3. Sélectionnez TCP comme protocole IP.
    4. Indiquez 8080 comme plage de ports de destination.

Ajouter une règle d'entrée pour Oracle GoldenGate

Une règle de sécurité permet un type particulier de trafic entrant ou sortant d'une carte d'interface réseau virtuelle (NVIC).

Oracle GoldenGate requiert le port 443 pour l'accès TCP.

  1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Réseaux et cliquez sur Réseaux cloud virtuels.
  2. Cliquez sur VCN qui vous intéresse.
  3. Sous Ressources, cliquez sur Listes de sécurité.
  4. Cliquez sur la liste de sécurité qui vous intéresse.
  5. Pour ajouter une règle autorisant l'accès TCP à Oracle GoldenGate à partir de serveurs ou d'applications dans un VCN différent, procédez comme suit :
    1. Cliquez sur Ajouter une règle d'entrée.
    2. Indiquez le bloc CIDR VCN en tant que CIDR source.
    3. Sélectionnez TCP comme protocole IP.
    4. Indiquez 443 comme plage de ports de destination.

Ajouter une liste de sécurité à un sous-réseau privé

Vous pouvez ajouter des listes de sécurité à un sous-réseau de réseau cloud virtuel (VCN) existant ou en enlever.

  1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Réseaux et cliquez sur Réseaux cloud virtuels.
  2. Cliquez sur Sous-réseaux.
  3. Cliquez sur VCN qui vous intéresse.
  4. Cliquez sur Sous-réseaux.
  5. Cliquez sur le sous-réseau privé qui vous intéresse. Vérifiez qu'il s'agit d'un sous-réseau privé en vérifiant la valeur répertoriée sous Accès au sous-réseau.
  6. Sous Ressources, cliquez sur Listes de sécurité.
  7. Pour ajouter une liste de sécurité, cliquez sur Ajouter une liste de sécurité, puis sélectionnez la liste de sécurité à utiliser par le sous-réseau.

    Si vous souhaitez enlever une liste de sécurité, cliquez sur l'icône Actions (trois points), puis cliquez sur Enlever. N'oubliez pas qu'au moins une liste de sécurité doit être associée à un sous-réseau.

    Les modifications prennent effet dans quelques secondes.

Créer un groupe de sécurité réseau (NSG) pour l'accès aux adresses privées

Les groupes de sécurité réseau (NSG) vous permettent de définir un ensemble de règles de sécurité s'appliquant à un groupe de cartes d'interface réseau virtuelles (ou ressources) de votre choix.

Lorsque vous provisionnez la ressource, telle qu'Oracle Autonomous Data Warehouse, vous pouvez affecter le groupe de sécurité réseau. Tous les services ne prennent pas en charge les NSG.

  1. Ouvrez le menu de navigation. Sous Infrastructure de base, accédez à Réseaux et cliquez sur Réseaux cloud virtuels.
  2. Cliquez sur VCN qui vous intéresse.
  3. Sous Ressources, cliquez sur Groupes de sécurité réseau.
  4. Cliquez sur Créer un groupe de sécurité réseau.
  5. Entrez les informations suivantes :
    • Nom : nom descriptif du groupe de sécurité réseau. Le nom ne doit pas nécessairement être unique et vous pourrez le modifier ultérieurement. Evitez de saisir des informations confidentielles.
    • Créer dans le compartiment : compartiment dans lequel vous voulez créer la liste de sécurité, s'il est différent du compartiment dans lequel vous travaillez actuellement.
  6. Cliquez sur Suivant.
  7. Pour la première règle de sécurité, entrez les éléments suivants :
    • Sans conservation de statut : laissez non sélectionné. Le suivi de connexion est utilisé pour le trafic correspondant à la règle.
    • Direction : sélectionnez Ingress (trafic entrant vers la carte VNIC).
    • Type de source : Sélectionnez CIDR.
    • CIDR source : indiquez le bloc CIDR du sous-réseau privé contenant le service, tel qu'Oracle Autonomous Data Warehouse.
    • Protocole IP : sélectionnez TCP.
    • Plage de ports source : indiquez 1522.
    • Plage de ports de destination : laissez vide (indique tous les ports).
  8. Lorsque vous avez terminé, cliquez sur Créer.