Documentation Oracle Cloud Infrastructure

Listes de sécurité

Le service Networking propose deux fonctionnalités de pare-feu virtuel pour contrôler le trafic au niveau du paquet :

  • Listes de sécurité : abordées dans cette rubrique. Il s'agit du type d'origine de pare-feu virtuel offert par le service Networking.
  • Groupes de sécurité réseau : autre type de pare-feu virtuel qu'Oracle recommande par rapport aux listes de sécurité. Reportez-vous à Groupes de sécurité réseau.

Ces deux fonctionnalités utilisent des règles de sécurité. Pour consulter des informations importantes sur le fonctionnement des règles de sécurité et obtenir une comparaison générale entre les listes de sécurité et les groupes de sécurité réseau, reportez-vous à Règles de sécurité.

Points clés

  • Les listes de sécurité servent de pare-feu virtuels pour vos instances de calcul et d'autres types de ressource. Une liste de sécurité se compose d'un ensemble de règles de sécurité entrantes et sortantes qui s'appliquent à toutes les cartes d'interface réseau virtuelles dans n'importe quel sous-réseau auquel la liste de sécurité est associée. Autrement dit, toutes les cartes d'interface réseau virtuelles d'un sous-réseau donné sont soumises au même ensemble de listes de sécurité. Reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.
  • Les règles de liste de sécurité fonctionnent comme les règles de groupe de sécurité réseau. Pour en savoir plus sur les paramètres des règles, reportez-vous à Parties d'une règle de sécurité.
  • Chaque réseau cloud virtuel comprend une liste de sécurité par défaut qui possède plusieurs règles par défaut pour le trafic essentiel. Si vous ne spécifiez pas de liste de sécurité personnalisée pour un sous-réseau, la liste de sécurité par défaut est automatiquement utilisée avec ce sous-réseau. Vous pouvez ajouter des règles à la liste de sécurité par défaut et en enlever.
  • Les listes de sécurité présentent des limites distinctes et différentes de celles des groupes de sécurité réseau. Reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.

Présentation des listes de sécurité

Une liste de sécurité agit comme un pare-feu virtuel pour une instance, avec des règles entrantes et sortantes qui indiquent les types de trafic entrant et sortant autorisés. Chaque liste de sécurité est appliquée au niveau de la carte d'interface réseau virtuelle. Toutefois, vous configurez vos listes de sécurité au niveau du sous-réseau, ce qui signifie que toutes les cartes d'interface réseau virtuelles d'un sous-réseau donné sont soumises au même ensemble de listes de sécurité. Les listes de sécurité s'appliquent à une carte d'interface réseau virtuelle donnée, que celle-ci communique avec une autre instance du réseau cloud virtuel ou avec un hôte situé en dehors du réseau cloud virtuel.

Plusieurs listes de sécurité peuvent être associées à chaque sous-réseau, et chaque liste peut contenir plusieurs règles (pour connaître le nombre maximal, reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau). Un paquet donné est autorisé si une des règles contenues dans les listes autorise le trafic (ou si le trafic fait partie d'une connexion existante suivie). Un avertissement est émis si les listes contiennent à la fois des règles avec conservation de statut et sans conservation de statut couvrant le même trafic. Pour plus d'informations, reportez-vous à Règles avec conservation de statut et sans conservation de statut.

Les listes de sécurité sont des entités régionales. Pour connaître les limites relatives aux listes de sécurité, reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.

Les listes de sécurité peuvent contrôler le trafic IPv4 et IPv6. L'adressage IPv6 et les règles de liste de sécurité associées sont pris en charge dans toutes les régions commerciales et gouvernementales. Pour plus d'informations, reportez-vous à Adresses IPv6.

Pour obtenir des informations sur les limites, reportez-vous à Limites des listes de sécurité et à Demande d'augmentation de limite de service.

Liste de sécurité par défaut

Contrairement aux autres listes de sécurité, la liste de sécurité par défaut est fournie avec un ensemble initial de règles avec conservation de statut, qui doivent dans la plupart des cas être modifiées afin de n'autoriser que le trafic entrant provenant de sous-réseaux autorisés pertinents pour la région hébergeant le réseau cloud virtuel ou le sous-réseau. La liste des plages de sous-réseau autorisées applicables à chaque région est disponible à l'adresse suivante : https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.json.

  • Entrante avec conservation de statut : autorise le trafic TCP sur le port de destination 22 (SSH) à partir des adresses IP source autorisées et de n'importe quel port source. Cette règle facilite la création d'un réseau cloud et d'un sous-réseau public, le lancement d'une instance Linux, puis l'utilisation immédiate de SSH pour la connexion à cette instance sans avoir à écrire de règles de liste de sécurité vous-même.

    Important

    La liste de sécurité par défaut n'inclut pas de règle autorisant l'accès RDP (Remote Desktop Protocol). Si vous utilisez des images Windows, veillez à ajouter une règle entrante avec conservation de statut pour le trafic TCP sur le port de destination 3389 à partir des adresses IP source autorisées et de n'importe quel port source.

    Pour plus d'informations, reportez-vous à Procédure d'autorisation de l'accès RDP.

  • Entrante avec conservation de statut : autorise le trafic ICMP de type 3 et de code 4 à partir des adresses IP source autorisées. Cette règle permet à vos instances de recevoir des messages de fragmentation du repérage de MTU de chemin.
  • Entrante avec conservation de statut : autorise le trafic ICMP de type 3 (tous les codes) à partir du bloc CIDR de votre réseau cloud virtuel. Cette règle facilite la réception, par les instances, de messages d'erreur de connectivité en provenance d'autres instances du réseau cloud virtuel.
  • Sortante avec conservation de statut : autorise tout le trafic. Cela permet aux instances d'initier n'importe quel type de trafic vers n'importe quelle destination. Cela signifie que les instances avec des adresses IP publiques peuvent communiquer avec n'importe quelle adresse IP Internet si le réseau cloud virtuel comporte une passerelle Internet configurée. De plus, comme les règles de sécurité avec conservation de statut utilisent le suivi de connexion, le trafic de réponse est automatiquement autorisé indépendamment des règles entrantes. Pour plus d'informations, reportez-vous à Règles avec conservation de statut et sans conservation de statut.

La liste de sécurité par défaut ne comprend pas de règle sans conservation de statut. Toutefois, vous pouvez toujours ajouter des règles à la liste de sécurité par défaut et en enlever.

Si votre réseau cloud virtuel est compatible avec l'adressage IPv6, la liste de sécurité par défaut contient des règles par défaut pour le trafic IPv6. Pour plus d'informations, reportez-vous à Règles de sécurité pour le trafic IPv6.

Autorisation de la commande ping

La liste de sécurité par défaut n'inclut pas de règle autorisant les demandes ping. Si vous prévoyez d'envoyer une commande ping à une instance, reportez-vous à Règles de gestion des paquets UDP fragmentés.

Règles de sécurité pour le trafic IPv6

Comme les tables de routage, les groupes de sécurité réseau et les listes de sécurité du VCN prennent en charge les règles de sécurité IPv4 et IPv6. Par exemple, un groupe de sécurité réseau ou une liste de sécurité peut posséder les règles de sécurité suivantes :

  • Règle permettant d'autoriser le trafic SSH à partir du CIDR IPv4 du réseau sur site
  • Règle permettant d'autoriser le trafic ping à partir du CIDR IPv4 du réseau sur site
  • Règle permettant d'autoriser le trafic SSH à partir du préfixe IPv6 du réseau sur site
  • Règle permettant d'autoriser le trafic ping à partir du préfixe IPv6 du réseau sur site

La liste de sécurité par défaut d'un réseau cloud virtuel compatible IPv6 inclut des règles IPv4 par défaut ainsi que les règles IPv6 par défaut suivantes :

  • Entrante avec conservation de statut : autorise le trafic TCP IPv6 sur le port de destination 22 (SSH) à partir de la source ::/0 et n'importe quel port source. Cette règle facilite la création d'un réseau cloud virtuel avec un sous-réseau public et une passerelle Internet, la création d'une instance Linux, l'ajout d'une adresse IPv6 dotée d'un accès Internet, puis la connexion immédiate par le biais de SSH à cette instance sans qu'il soit nécessaire d'écrire vous-même des règles de sécurité.

    Important

    La liste de sécurité par défaut n'inclut pas de règle autorisant l'accès RDP (Remote Desktop Protocol). Si vous utilisez des images Windows, ajoutez une règle entrante avec conservation de statut pour le trafic TCP sur le port de destination 3389 à partir de la source ::/0 et de n'importe quel port source.

    Pour plus d'informations, reportez-vous à Procédure d'autorisation de l'accès RDP.

  • Entrante avec conservation de statut : autorise le trafic ICMPv6 de type 2, code 0 (Paquet trop volumineux) à partir de la source ::/0 et de tout port source. Cette règle permet à vos instances de recevoir des messages de fragmentation du repérage de MTU de chemin.
  • Sortante avec conservation de statut : choisir d'autoriser tout le trafic IPv6 permet aux instances de lancer n'importe quel type de trafic IPv6 vers n'importe quelle destination. Les instances avec une adresse IPv6 dotée d'un accès Internet peuvent communiquer avec n'importe quelle adresse IPv6 Internet si le réseau cloud virtuel dispose d'une passerelle Internet configurée. De plus, comme les règles de sécurité avec conservation de statut utilisent le suivi de connexion, le trafic de réponse est automatiquement autorisé indépendamment des règles entrantes. Pour plus d'informations, reportez-vous à Règles avec conservation de statut et sans conservation de statut.