1. Protégez vos ressources cloud à l'aide d'un pare-feu virtuel
  2. Protégez vos ressources Cloud à l'aide d'un pare-feu virtuel

Protégez vos ressources Cloud à l'aide d'un pare-feu virtuel

Bien qu'Oracle Cloud Infrastructure offre des contrôles de sécurité réseau via des listes de sécurité et des groupes de sécurité réseau, dans certains scénarios, différents types de sécurité réseau sont requis. Pour ces scénarios, Oracle Cloud Infrastructure utilise les réseaux cloud virtuels (VCN) et les sous-réseaux pour placer les différents segments du réseau et le pare-feu pour gérer les contrôles de sécurité.

Le déploiement d'un pare-feu pour contrôler le flux réseau offre les avantages suivants :
  • Contrôles d'accès centralisés
  • Filtrage du contenu
  • Traduction d'adresse réseau entrante et sortante (NAT) et traduction d'adresse de port (PAT)
  • Stratégies de trafic avancées
  • Cohérence des procédures via différents environnements (sur site et autres fournisseurs de cloud), ce qui simplifie également la migration et l'expansion vers le cloud car les mêmes outils sont utilisés
  • Capacités de conception étendues pour des scénarios complexes

Architecture

Dans cette architecture, un pare-feu virtuel contrôle le trafic nord-sud et le trafic est-ouest. L'architecture montre comment concevoir le réseau et où placer le pare-feu.

Le trafic Nord-Sud est le trafic qui provient d'Internet (via la passerelle Internet) ou de l'environnement sur site (via la passerelle de routage dynamique) aux réseaux cloud virtuels. Le trafic est-ouest est le trafic entre les réseaux cloud virtuels de votre location.

Le diagramme suivant illustre cette architecture de référence.

Description de l'image firewall-oci.png
Description de l'illustration firewall-oci.png

firewall-oci-oracle.zip

Dans le diagramme, les cartes d'interface réseau virtuelles connectent les sous-réseaux à un pare-feu virtuel (par exemple, un pare-feu Palo Alto Networks VM-Series). Les sous-réseaux prennent les rôles suivants dans l'architecture :
  1. Le sous-réseau public de gestion dans VCN1 (CIDR 10.0.1.0/24) fournit à l'administrateur réseau l'accès à la console du pare-feu virtuel via SSH et HTTPS.
  2. Le sous-réseau public non sécurisé dans VCN1 (CIDR 10.0.2.0/24) permet aux clients d'accéder à des sous-réseaux privés à partir d'Internet avec le contrôle de Palo Alto Firewall.
  3. Le sous-réseau privé sécurisé dans VCN1 (CIDR 10.0.3.0/24) fait office de zone démilitarisée.
  4. Le sous-réseau privé sécurisé dans VCN2 (CDIR 10.1.1.0/24) permet de masquer les ressources privées.

L'architecture comporte les composants suivants :

  • Région

    Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres et de grandes distances peuvent les séparer (elles peuvent se trouver dans des pays voire des continents différents).

  • Domaines de disponibilité

    Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui permet de tolérer les pannes. Les domaines de disponibilité ne partagent pas d'infrastructure comme l'alimentation ou le refroidissement, ou le réseau de domaine de disponibilité interne. Il est donc peu probable qu'un échec dans un domaine de disponibilité affecte les autres domaines de disponibilité de la région.

  • Domaines d'erreur

    Un domaine de disponibilité est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes avec une alimentation et un matériel indépendants. Lorsque vous distribuez des ressources entre plusieurs domaines de pannes, les applications peuvent tolérer les pannes de serveur physique, de maintenance système et d'alimentation au sein d'un domaine de pannes.

  • Réseau cloud virtuel (VCN) et sous-réseaux

    Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de centre de données traditionnels, les réseaux cloud virtuels vous donnent un contrôle total sur votre environnement réseau. Un VCN peut contenir plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être ciblés sur une région ou sur un domaine de disponibilité. Chaque sous-réseau se compose d'une plage d'adresses contiguës qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  • Passerelle Internet

    La passerelle Internet autorise le trafic entre les sous-réseaux publics d'un VCN et le réseau Internet public.

  • Passerelle de routage dynamique

    Le DRG est un routeur virtuel qui fournit un chemin pour le trafic de réseau privé entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure, un réseau sur site ou un réseau dans un autre fournisseur cloud.

  • Table de routage

    Les tables de routage virtuelles contiennent des règles pour acheminer le trafic des sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles.

  • Listes de sécurité

    Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic qui doivent être autorisés dans et hors du sous-réseau.

  • Carte d'interface réseau virtuelle (VNIC)

    Une carte d'interface réseau virtuelle permet à une instance de se connecter à un VCN et détermine comment l'instance se connecte à des adresses à l'intérieur et à l'extérieur de VCN. Chaque instance est automatiquement livrée avec une carte VNIC principale, et vous pouvez en ajouter des secondaires.

  • Pare-feu

    Le pare-feu contrôle le flux entre les segments de votre environnement. Les fonctionnalités avancées varient d'un fournisseur à l'autre.

Recommandations

Vos exigences peuvent différer de l'architecture décrite ici. Utilisez les recommandations suivantes comme point de départ.

  • VCN

    Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux du VCN. Utilisez des blocs CIDR se trouvant dans l'espace d'adresses IP privées standard.

    Sélectionnez une plage d'adresses qui ne chevauche pas votre réseau sur site, afin de pouvoir configurer une connexion entre le VCN et votre réseau sur site, si nécessaire.

    Après avoir créé un VCN, vous pouvez modifier, ajouter et enlever ses blocs CIDR.

    Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de fonctionnalité et de sécurité. Attachez toutes les instances de calcul appartenant au même niveau ou rôle au même sous-réseau.

    Utilisez des sous-réseaux régionaux.

  • Listes de sécurité

    Bien que tout le trafic circule à travers le pare-feu, des listes de sécurité sont toujours requises pour le trafic à l'intérieur et entre les sous-réseaux.

  • Pare-feu

    Si votre environnement est essentiel à la mission, assurez-vous que le pare-feu que vous implémentez prend en charge un déploiement hautement disponible pour éviter les pannes inattendues.

    Lorsque vous utilisez un pare-feu de secours, déployez-le sur un domaine d'erreur différent.

    Comme le pare-feu n'est pas géré dans le cadre d'Oracle Cloud Infrastructure, assurez-vous que ses patches sont toujours appliqués.

    Le pare-feu nécessite plusieurs cartes VNIC pour connecter les différents segments de votre environnement. Choisissez une forme d'instance qui fournit suffisamment de cartes VNIC.

Remarques

  • Performances

    En tant que point central de communication, l'instance de pare-feu doit disposer de suffisamment de cartes VNIC pour connecter les segments existants. Dans la plupart des cas, l'UC n'est pas un facteur limitatif. Dans Oracle Cloud Infrastructure, le nombre de VNIC et la bande passante associée augmentent avec le nombre d'OCPU de la forme de l'instance.

  • Sécurité

    Le pare-feu n'est pas géré dans le cadre d'Oracle Cloud Infrastructure. Mettre en œuvre des procédures sécurisées pour assurer un accès sécurisé à la gestion et une bonne politique d'application des patches.

  • Disponibilité

    Le pare-feu est le point central où toutes les communications circulent. Le pare-feu que vous choisissez doit pouvoir fonctionner en mode haute disponibilité pour éviter les impacts en cas de panne imprévue.

  • Coût

    Le coût d'utilisation de cette architecture est basé sur la taille de la forme d'instance utilisée pour le pare-feu. Si vous choisissez une solution de pare-feu payante, les coûts de licence devraient également être pris en considération.

Déployer

Le code Terraform pour cette architecture de référence est disponible sous forme d'exemple de pile dans Oracle Cloud Infrastructure Resource Manager. Vous pouvez également télécharger le code à partir de GitHub et le personnaliser en fonction de vos besoins.

  • Déployer à l'aide d'Oracle Cloud Infrastructure Resource Manager :
    1. Cliquez sur Déploiement vers Oracle Cloud.

      Si vous n'êtes pas encore connecté, entrez les informations d'identification de la location et de l'utilisateur.

    2. Consulter et accepter les conditions générales.
    3. Sélectionnez la région de déploiement de la pile.
    4. Suivez les invites à l'écran et les instructions pour créer la pile.
    5. Après avoir créé la pile, cliquez sur Actions Terraform et sélectionnez Plan.
    6. Attendez que le travail soit terminé et vérifiez le plan.

      Pour apporter des modifications, revenez à la page Détails de la pile, cliquez sur Modifier la pile et apportez les modifications requises. Exécutez ensuite à nouveau l'action Plan.

    7. Si aucune autre modification n'est nécessaire, revenez à la page Détails de la pile, cliquez sur Actions Terraform, puis sélectionnez Appliquer.
  • Effectuer un déploiement à l'aide du code Terraform dans GitHub :
    1. Accédez à GitHub.
    2. Clonez ou téléchargez le référentiel sur votre ordinateur local.
    3. Suivez les instructions du document README.

Voir plus

Modifier le journal

Ce journal répertorie les modifications importantes :