À propos des règles des security groups

Un security group contient des règles qui peuvent être ajoutées ou retirées à tout moment.

Ces règles contrôlent l’accès aux instances avec lesquelles le security group est associé. Elles définissent quels flux entrants sont autorisés à atteindre les instances, et quels flux sortants sont autorisés à les quitter.

Informations générales

Les règles d’un security group ne peuvent pas explicitement interdire un accès. Un accès est interdit par défaut sauf si une règle de security group l’autorise explicitement.

Lorsque vous modifiez les règles d’un security group, ces modifications sont automatiquement et immédiatement appliquées à toutes les instances auxquelles ce security group est associé.

Les security groups sont à états, ce qui signifie que les réponses à des flux autorisés sont également autorisées. Ainsi, les flux de réponses à des requêtes envoyées depuis l’instance sont automatiquement autorisés indépendamment des règles pour les flux entrants de ses security groups. Dans un Virtual Private Cloud (VPC), les flux de réponse à des flux entrants autorisés sont également automatiquement autorisés indépendamment des règles pour les flux sortants des security groups de l’instance.

De la même manière que nous recommandons d’utiliser une instance pour un service uniquement, nous recommandons de créer un security group par service avec les règles appropriées, et d’associer ce security group avec toutes les instances dédiées à ce service. Vous pouvez ensuite autoriser les flux entrants et sortants entre vos security groups selon les services qui doivent communiquer entre eux pour appliquer ces règles à l’ensemble des instances concernées.

Caractéristiques

Lorsque vous créez une règle de security group, vous devez spécifier les quatre éléments suivants :

  • La direction des flux.

  • Le protocole des flux (TCP, UDP, ICMP, ou -1 pour tous les protocoles). Dans un VPC, cette valeur peut aussi être un numéro de protocole IP. Pour en savoir plus, voir le site IANA.org.

  • Le port ou la plage de ports, entre 1 et 65535 pour les protocoles TCP et UDP, ou le numéro de type ICMP. Vous pouvez spécifier tous les types ICMP avec -1.

    Évitez d’ouvrir des flux sur tous les ports (1-65535), car cela vous empêche de les contrôler efficacement. Ouvrez des flux uniquement sur les ports dont vous avez besoin.

    Dans Cockpit, vous pouvez sélectionner des services prédéfinis correspondant à des combinaisons spécifiques de protocoles de flux et de ports/numéros ICMP :

    Service Protocole Port

    SSH

    TCP

    22

    HTTP

    TCP

    80

    HTTPS

    TCP

    443

    DNS

    UDP

    53

    IMAP

    TCP

    143

    Secure IMAP

    TCP

    993

    POP3

    TCP

    110

    Secure POP3

    TCP

    995

    SMTP

    TCP

    25

    SMTPS

    TCP

    465

    LDAP

    TCP

    389

    MySQL

    TCP

    3306

    MS SQL

    TCP

    1433

    ICMP

    ICMP

    -1

    RDP

    TCP

    3389

  • La cible, c’est-à-dire l’une des options suivantes comme source des flux entrants ou comme destination des flux sortants :

    • Une adresse IP, en notation CIDR. Vous pouvez spécifier une adresse IP publique ou privée.

      Comme l’adresse IP publique change à chaque fois que vous arrêtez et démarrez votre instance, les règles de security group s’appuyant sur une adresse IP publique peuvent devenir caduques.

      Pour associer une IP publique à votre instance de manière persistante, même en cas d’arrêt et de redémarrage de l’instance##, vous pouvez utiliser un tag OUTSCALE spécifiant une adresse IP externe (EIP). Pour en savoir plus, voir À propos des EIP > Association des EIP.

    • Une plage d’adresses IP, en notation CIDR (par exemple 101.365.245.3/16).

      L’utilisation d’un préfixe /0 ouvre le port ou la plage de ports spécifiés à tout le monde. Nous vous déconseillons fortement son utilisation sur le port d’administration (port SSH 22 pour Linux, ou port RDP 3389 pour Windows), car cela peut exposer vos ressources à des attaques.

    • Un autre security group, pour autoriser les flux entrants ou sortants de toutes les instances auxquelles ce security group est associé :

      • Si votre security group est alloué au Cloud public, vous pouvez référencer un security group pour le Cloud public qui vous appartient ou qui appartient à un autre compte.

      • Si votre security group est alloué à un VPC, vous pouvez référencer un security group pour le même VPC.

        Pour autoriser à communiquer entre elles les instances associées à un même security group que vous avez créé, vous devez créer une règle qui autorise explicitement les flux entrants venant de ce security group.

        Par défaut, le trafic entre deux security groups est autorisé à travers à la fois les adresses IP publiques et les adresses IP privées. Pour le restreindre uniquement aux adresses IP privées, contactez notre équipe Support.

    • (flux sortants uniquement) L’ID d’une prefix list pour autoriser le trafic en provenance d’instances placée dans un VPC à accéder à un service (par exemple, des Object Storage Units). Pour en savoir plus, voir Obtenir des informations sur les prefix lists.

Pages connexes