Accès réseau sécurisé

Adoptez les meilleures pratiques suivantes pour sécuriser vos réseaux cloud virtuels, vos sous-réseaux, vos équilibreurs de charge et d'autres ressources réseau.

Implémenter des contrôles d'accès réseau

Architecte d'entreprise, architecte de sécurité, architecte de réseau

Utilisez des contrôles d'accès pour sécuriser votre réseau.
  • Définissez les stratégies IAM appropriées pour limiter l'accès aux ressources réseau aux seuls utilisateurs et groupes autorisés à gérer les ressources réseau.
  • Formuler une stratégie de sous-réseau hiérarchisé pour le VCN :
    • Sous-réseau DMZ pour les équilibreurs de charge.
    • Sous-réseaux publics pour les hôtes accessibles en externe, tels que les serveurs d'application Web et les instances qui exécutent des systèmes de détection d'intrusion.
    • Sous-réseaux privés pour les hôtes internes comme les bases de données.
  • Les instances de calcul attachées à un sous-réseau privé peuvent uniquement avoir des adresses IP privées.
  • Attachez des hôtes sensibles à la sécurité (systèmes de base de données, par exemple) à des sous-réseaux privés. Pour la connectivité de ces hôtes à Internet, utilisez une passerelle NAT. Pour permettre aux hôtes d'accéder à d'autres services Oracle Cloud Infrastructure, utilisez une passerelle de service.
  • Les groupes de sécurité réseau fournissent un contrôle affiné du trafic circulant entre vNICs contrôlé par le groupe de sécurité réseau.
  • Les listes de sécurité contrôlent le trafic qui peut circuler dans, à l'intérieur et à l'extérieur des sous-réseaux. Veillez à modifier ou à détacher la liste de sécurité par défaut pour empêcher le trafic SSH de l'adresse IP 0.0.0.0/0.
  • Configurez les listes de sécurité avec le minimum de ports requis.
  • Utilisez les groupes de sécurité réseau pour contrôler l'accès à vos ressources dans les sous-réseaux privés et publics :
    • Autorisez uniquement les flux réseau requis pour une charge globale en créant des groupes de sécurité pour chaque niveau de l'application.
    • Ne permettez pas un trafic latéral inutile à l'intérieur ou entre les niveaux d'application.
    • N'autorisez pas les niveaux d'application à communiquer avec d'autres niveaux, sauf si nécessaire.
  • Utilisez des règles de sécurité granulaires pour réguler la communication au sein du VCN, avec Internet, avec d'autres réseaux cloud virtuels connectés via des passerelles d'appairage et avec des hôtes sur site.
  • Pour configurer un système de détection d'intrusion et analyser tout le trafic sortant, utilisez la fonctionnalité de table de routage VCN.
  • Les journaux de flux de sous-réseau VCN consignent le trafic circulant au sein d'un VCN. Activez les journaux de flux de sous-réseau VCN et surveillez régulièrement leur contenu.
  • Lorsque vous utilisez plusieurs VCN, utilisez une passerelle de routage dynamique (DRG) pour créer un VCN de hub de DMZ afin d'analyser le trafic est/ouest et nord/sud. Pour ce faire, vous pouvez utiliser le pare-feu réseau OCI ou une appliance réseau tierce.
  • Activez Web Application Firewall pour les services HTTPS publics.
  • Empêchez tout accès non autorisé aux données en gérant la stratégie de sécurité réseau séparément de l'architecture réseau sous-jacente avec Oracle Cloud Infrastructure Zero Trust Packet Routing.
  • Implémentez une passerelle de service pour un accès sécurisé aux services OCI.

Sécuriser les équilibreurs de charge

Architecte d'entreprise, architecte de sécurité, architecte de réseau

Vous pouvez activer des connexions TLS de bout en bout entre les applications d'un client et le VCN d'un client à l'aide d'équilibreurs de charge.
  • Pour mettre fin à TLS sur l'équilibreur de charge, utilisez un équilibreur de charge HTTP. Pour mettre fin à TLS sur un serveur back-end, utilisez un équilibreur de charge TCP.
  • Vous pouvez configurer l'accès réseau aux équilibreurs de charge à l'aide de groupes de sécurité réseau ou de listes de sécurité.
  • Définissez des stratégies IAM pour limiter les droits d'accès permettant de gérer les équilibreurs de charge à un ensemble minimal d'utilisateurs et de groupes.

Limitation de l'accès à l'aide de sources réseau

Architecte d'entreprise, architecte de sécurité, architecte de réseau

Une source réseau est un ensemble d'adresses IP définies. Les adresses IP peuvent être publiques ou issues de réseaux cloud virtuels de la location.
Après avoir créé une source réseau, vous pouvez la référencer dans la stratégie ou dans les paramètres d'authentification de votre location pour contrôler l'accès en fonction de l'adresse IP d'origine.

Les ressources réseau peuvent uniquement être créées dans la location (ou le compartiment racine) et, comme d'autres ressources Identity, résident dans la région d'origine.

Vous pouvez utiliser les sources réseau pour sécuriser votre location de l'une des manières suivantes :

  • Indiquez la source réseau dans une stratégie IAM pour limiter l'accès aux ressources. Lorsqu'elle est indiquée dans une stratégie, IAM vérifie que les demandes d'accès à une ressource proviennent d'une adresse IP autorisée. Par exemple, vous pouvez limiter l'accès aux buckets Object Storage de la location aux utilisateurs connectés à Oracle Cloud Infrastructure via le réseau d'entreprise. Vous pouvez également autoriser uniquement les ressources appartenant à des sous-réseaux spécifiques d'un VCN spécifique à effectuer des demandes sur une passerelle de service.
  • Indiquez la source réseau dans les paramètres d'authentification de votre location pour limiter la connexion à la console. Vous pouvez configurer la stratégie d'authentification de votre location pour autoriser la connexion à la console uniquement à partir des adresses IP spécifiées dans votre source réseau. Les utilisateurs qui tentent de se connecter à partir d'une adresse IP ne figurant pas sur la liste autorisée dans votre source réseau ne pourront pas accès.

Enregistrements et zones DNS sécurisés

Architecte d'entreprise, architecte de sécurité, architecte de réseau

Des mises à jour incorrectes ou des suppressions non autorisées de zones et d'enregistrements DNS peuvent entraîner des interruptions de service.

Définissez des stratégies IAM pour limiter les utilisateurs pouvant modifier les zones et les enregistrements DNS.

Exploitation des zones de sécurité dans Oracle Cloud Infrastructure

Architecte d'entreprise, architecte de sécurité, architecte de réseau

Oracle Security Zones vous aide à minimiser le risque de stratégies de sécurité inappropriées.

Lorsque vous démarrez un nouveau projet et créez une nouvelle solution, il existe de nombreuses recommandations sur les meilleures pratiques, provenant de nombreuses sources différentes, telles que :

  • Recommandations du fournisseur
  • Normes et politiques organisationnelles
  • Cadres externes
  • conformité réglementaire
  • Architectures de référence

Ces meilleures pratiques couvrent généralement une gamme de sujets de sécurité différents, notamment l'authentification, le cryptage, le stockage, le contrôle d'accès, etc. Toutefois, dans de nombreux cas, les conseils sur les meilleures pratiques sont ignorés. Nous l'avons tous vu à de nombreuses reprises : les échéanciers des projets, les contraintes budgétaires, les lacunes dans les connaissances et les environnements commençant par la non-production peuvent tous signifier que les meilleures pratiques pertinentes ne sont pas suivies, ce qui entraîne un environnement non sécurisé et une posture de sécurité faible.

Oracle Security Zones vise à vous aider à minimiser ce risque. Une zone de sécurité est un contrôle préventif, qui, par nature, contient des données et des ressources sensibles, est restrictif de par sa conception. Par exemple, Oracle Security Zones sera disponible avec une stratégie de sécurité maximale activée. Cela suppose que l'accès public ne soit pas autorisé et que les données sensibles soient séparées d'Internet autant que possible. La stratégie de sécurité applique cette position en vous empêchant, en temps réel, de créer des ressources qui enfreindraient cette stratégie.