IBM Cloud Docs
Configuration des groupes de sécurité

Configuration des groupes de sécurité

Cette section de la documentation décrit la configuration des groupes de sécurité pour autoriser le flux de trafic requis. Trois groupes de sécurité ont été utilisés dans ce canevas de déploiement:

  • Bastion-Ces groupes de sécurité protègent les hôtes bastion.
  • AD-Ces groupes de sécurité protègent les serveurs AD.
  • SQL-Ces groupes de sécurité protègent les serveurs SQL.

Si vous déployez le canevas Dual MZR, vous disposez de deux ensembles de trois groupes de sécurité car les groupes de sécurité sont limités à un VPC

Les flux de trafic sont les suivants, étant donné que les groupes de sécurité sont avec état, seul le lancement du flux de trafic doit être autorisé:

  • Trafic RDP depuis Internet vers les hôtes bastion provenant des ordinateurs portables de l'administrateur.
  • Trafic RDP des hôtes bastion vers les serveurs virtuels.
  • Trafic HTTPS des hôtes bastion vers les ressources Internet pour le téléchargement.
  • Trafic SMB entre les serveurs Windows.
  • Trafic RPC entre les noeuds de cluster Windows.
  • Trafic de réplication entre les contrôleurs de domaine.
  • Trafic AD entre les serveurs membres et les contrôleurs de domaine
  • Trafic SQL sur TCP 1433 depuis les hôtes bastion vers les serveurs SQL.
  • Client SQL vers le programme d'écoute sur TCP 6789 à partir des hôtes bastion vers les serveurs SQL.
  • Toujours sur le trafic du groupe de disponibilité sur TCP 5022 entre les serveurs Microsoft SQL.
  • Trafic ICMP entre les ressources internes.
  • Trafic DNS sur UDP 53 vers les serveurs AD.
  • Trafic des noeuds finaux IBM Cloud :
    • Trafic du programme de résolution DNS sur UDP 53 vers les programmes de résolution DNS IBM 161.26.0.10 et 161.26.0.11.
    • Trafic DNS sur UDP 53 vers les serveurs AD.
    • Trafic NTP sur UDP 123 vers le serveur NTP IBM à 161.26.0.6.

Trafic RDP à partir d'Internet

< IP_Address > est l'adresse IP externe de la connexion de l'administrateur. S'il existe plusieurs adresses IP, envisagez d'utiliser le type de source CIDR.

  • Groupe de sécurité: Bastion
  • Règle: Entrant
  • Protocole : TCP
  • Type de source: Adresse IP
  • Source: < adresse_IP>
  • Valeur: Ports 3389

Trafic RDP à partir des hôtes bastion

  • Groupe de sécurité: Bastion

  • Règle: Sortante

  • Protocole : TCP

  • Type de destination: Tout

  • Destination: 0.0.0.0/0

  • Valeur: Ports 3389

  • Groupe de sécurité: SQL, AD

  • Règle: Entrant

  • Protocole : TCP

  • Type de source: CIDR

  • Source: < sous-réseau_bastion>

  • Valeur: Ports 3389

Trafic HTTPS à partir des hôtes bastion

En raison de l'adresse IP flottante, l'hôte bastion a accès à Internet pour télécharger des fichiers. Toutefois, le groupe de sécurité qui protège l'hôte bastion a la règle suivante:

  • Groupe de sécurité: Bastion
  • Règle: Sortante
  • Protocole : TCP
  • Type de destination: Tout
  • Destination: 0.0.0.0/0
  • Valeur: Ports 443

Trafic SMB entre les serveurs Windows

Ce trafic SMB est requis pour l'accès au domaine et les partages de fichiers.

  • Groupe de sécurité: Bastion, AD et SQL

  • Règle: Entrant

  • Protocole : TCP

  • Type de source: CIDR

  • Source: < préfixe_vpc_>

  • Valeur: Ports 139, 445

  • Groupe de sécurité: Bastion, AD et SQL

  • Règle: Entrant

  • protocol: UDP

  • Type de source: CIDR

  • Source: < préfixe_vpc_>

  • Valeur: Ports 137-138

  • Groupe de sécurité: SQL

  • Règle: Sortante

  • Protocole : TCP

  • Type de destination: Groupe de sécurité

  • Destination: Bastion

  • Valeur: Ports 139

  • Groupe de sécurité: Bastion, AD et SQL

  • Règle: Sortante

  • Protocole : TCP

  • Type de destination: CIDR

  • Destination: < préfixe_vpc_>

  • Valeur: Ports 445

  • Groupe de sécurité: Bastion, AD et SQL

  • Règle: Sortante

  • protocol: UDP

  • Type de destination: CIDR

  • Destination: < préfixe_vpc_>

  • Valeur: Ports 137-138

Trafic RPC entre les noeuds de cluster Windows.

  • Groupe de sécurité: SQL

  • Règle: Entrant

  • Protocole : TCP

  • Type de source: CIDR

  • Source: < sous-réseau_sql>

  • Valeur: Ports 135

  • Groupe de sécurité: SQL

  • Règle: Sortante

  • Protocole : TCP

  • Type de destination: CIDR

  • Destination: < sous-réseau_sql>

  • Valeur: Ports 135

  • Groupe de sécurité: SQL

  • Règle: Entrant

  • Protocole : TCP

  • Type de source: CIDR

  • Source: < sous-réseau_sql>

  • Valeur: Ports 49152-65535

  • Groupe de sécurité: SQL

  • Règle: Sortante

  • Protocole : TCP

  • Type de destination: CIDR

  • Destination: < sous-réseau_sql>

  • Valeur: Ports 49152-65535

  • Groupe de sécurité: SQL

  • Règle: Entrant

  • protocol: UDP

  • Type de source: CIDR

  • Source: < sous-réseau_sql>

  • Valeur: Ports 49152-65535

  • Groupe de sécurité: SQL

  • Règle: Sortante

  • protocol: UDP

  • Type de destination: CIDR

  • Destination: < sous-réseau_sql>

  • Valeur: Ports 49152-65535

Trafic de réplication entre les contrôleurs de domaine

Dans cet exemple, nous autorisons tous les ports entre les sous-réseaux Active Directory. Voir How to configure a firewall for Active Directory domains and trusts pour tous les ptotocols utilisés entre les contrôleurs de domaine afin de vous permettre de les verrouiller davantage si nécessaire.

  • Groupe de sécurité: AD

  • Règle: Entrant

  • Protocole: Tous

  • Type de destination: CIDR

  • Destination: <ad_subnet>

  • Valeur: tous les ports

  • Groupe de sécurité: AD

  • Règle: Sortante

  • Protocole: Tous

  • Type de destination: CIDR

  • Destination: <ad_subnet>

  • Valeur: tous les ports

Trafic AD entre les serveurs membres et les contrôleurs de domaine

  • Groupe de sécurité: Bastion

  • Règle: Sortante

  • Protocole : TCP

  • Type de destination: CIDR

  • Destination: <ad_subnet>

  • Valeur: Ports 464, 88, 389, 636, 3268, 3269, 135, 49152-65535

  • Groupe de sécurité: SQL

  • Règle: Sortante

  • Protocole : TCP

  • Type de destination: CIDR

  • Destination: <ad_subnet>

  • Valeur: Ports 464, 88, 389, 636, 3268, 3269, 135, 49152-65535

  • Groupe de sécurité: AD

  • Règle: Entrant

  • Protocole : TCP

  • Type de source: CIDR

  • Source: <bastion_subnet>, <sql_subnet>

  • Valeur: Ports 464, 88, 389, 636, 3268, 3269, 135, 49152-65535

  • Groupe de sécurité: Bastion

  • Règle: Sortante

  • protocol: UDP

  • Type de destination: CIDR

  • Destination: <ad_subnet>

  • Valeur: Ports 464, 88, 389, 49152-65535

  • Groupe de sécurité: SQL

  • Règle: Sortante

  • protocol: UDP

  • Type de destination: CIDR

  • Destination: <ad_subnet>

  • Valeur: Ports 464, 88, 389, 49152-65535

  • Groupe de sécurité: AD

  • Règle: Entrant

  • protocol: UDP

  • Type de source: CIDR

  • Source: <bastion_subnet>, <sql_subnet>

  • Valeur: Ports 464, 88, 389, 49152-65535

Trafic SQL sur TCP 1433 depuis les hôtes bastion vers les serveurs SQL

  • Groupe de sécurité: SQL

  • Règle: Entrant

  • Protocole : TCP

  • Type de source: CIDR

  • Source: <bastion_subnet>

  • Valeur: Ports 1433

  • Groupe de sécurité: Bastion

  • Règle: Sortante

  • Protocole : TCP

  • Type de destination: CIDR

  • Destination: <sql_subnet>

  • Valeur: Ports 1433

Client SQL vers le programme d'écoute sur TCP 6789 depuis les hôtes bastion vers les serveurs SQL

  • Groupe de sécurité: SQL

  • Règle: Entrant

  • Protocole : TCP

  • Type de source: CIDR

  • Source: <bastion_subnet>

  • Valeur: Ports 6789

  • Groupe de sécurité: Bastion

  • Règle: Sortante

  • Protocole : TCP

  • Type de destination: CIDR

  • Destination: <sql_subnet>

  • Valeur: Ports 6789

Toujours sur le trafic du groupe de disponibilité sur TCP 5022 entre les serveurs Microsoft SQL

  • Groupe de sécurité: SQL

  • Règle: Entrant

  • Protocole : TCP

  • Type de source: CIDR

  • Source: <sql_subnet>

  • Valeur: Ports 5022

  • Groupe de sécurité: SQL

  • Règle: Sortante

  • Protocole : TCP

  • Type de destination: CIDR

  • Destination: <sql_subnet>

  • Valeur: Ports 5022

Trafic ICMP entre les ressources internes

  • Groupe de sécurité: Bastion, SQL et AD

  • Règle: Sortante

  • Protocole: ICMP

  • Type de destination: Tout

  • Destination: 0.0.0.0/0

  • Valeur: Type: Tout, Code: Tout

  • Groupe de sécurité: Bastion, SQL et AD

  • Règle: Entrant

  • Protocole: ICMP

  • Type de source : Toute

  • Source: 0.0.0.0/0

  • Valeur: Type: Tout, Code: Tout

Trafic DNS sur UDP 53 vers les serveurs AD

  • Groupe de sécurité: AD

  • Règle: Entrant

  • protocol: UDP

  • Type de source: CIDR

  • Source: <sql_subnet>, <bastion_subnet> et <ad_subnet>

  • Valeur: Ports 53

  • Groupe de sécurité: SQL et Bastion

  • Règle: Sortante

  • protocol: UDP

  • Type de destination: CIDR

  • Destination: <ad_subnet>

  • Valeur: Ports 53

Trafic des noeuds finaux IBM Cloud

A partir de votre VPC, vous pouvez accéder à trois types de noeuds finaux IBM Cloud :

  • Noeuds finaux de service-Egalement appelés noeuds finaux PaaS (Platform as a service), ces noeuds finaux permettent une connexion sécurisée aux services IBM Cloud sur le réseau privé IBM Cloud . Ces noeuds finaux sont disponibles via des noms DNS dans le domaine cloud.ibm.com et se résolvent en plage d'adresses 166.8.0.0/16.
  • Noeuds finaux d'infrastructure-Les services d'infrastructure sont disponibles à l'aide de certains noms DNS du domaine adn.networklayer.com et sont résolus dans l'espace adresse 161.26.0.0/16. Les services incluent: les programmes de résolution DNS, NTP, IBM Cloud Object Storage et les miroirs Ubuntu et Debian. Les protocoles autorisés doivent inclure UDP 53 (DNS), UDP 123 (NTP), TCP 80 (HTTP) et TCP 443 (HTTPS).
  • Noeuds finaux virtuels-Les noeuds finaux virtuels vous permettent de vous connecter aux services IBM Cloud pris en charge à l'aide des adresses IP allouées à partir d'un sous-réseau dans votre VPC.

Pour plus d'informations sur les noeuds finaux, voir Noeuds finaux disponibles et A propos des passerelles de noeuds finaux privés virtuels .

Noeuds finaux d'infrastructure

  • Groupe de sécurité: Bastion, AD et SQL
  • Règle: Sortante
  • Protocole : TCP
  • Type de destination: CIDR
  • Destination: 161.26.0.0/16
  • Valeur: Ports 443

Trafic du résolveur DNS

Le trafic du programme de résolution DNS est requis depuis les serveurs AD vers les programmes de résolution DNS IBM :

  • Groupe de sécurité: AD
  • Règle: Sortante
  • protocol: UDP
  • Type de destination: IP
  • Destination: 161.26.0.10, 161.26.0.11
  • Valeur: Ports 53

Trafic NTP

Le trafic NTP est requis depuis les serveurs AD vers les serveurs NTP IBM :

  • Groupe de sécurité: AD
  • Règle: Sortante
  • protocol: UDP
  • Type de destination: IP
  • Destination: 161.26.0.6
  • Valeur: Ports 123