Sicherheitsregeln
Auf Compute Cloud@Customer können Sie Sicherheitsregeln für Sicherheitslisten und Netzwerksicherheitsgruppen (NSGs) konfigurieren.
In diesem Abschnitt werden wichtige Aspekte von Sicherheitsregeln erläutert, die Sie zur Implementierung verstehen müssen. Wie Sie Sicherheitsregeln erstellen, verwalten und anwenden, ist bei Sicherheitslisten und Netzwerksicherheitsgruppen unterschiedlich.
Elemente einer Sicherheitsregel
Eine Sicherheitsregel ermöglicht bestimmten Traffictyp in oder aus einer VNIC. Beispiel: Eine häufig verwendete Sicherheitsregel ermöglicht den Inress-TCP-Port 22-Traffic zum Herstellen von SSH-Verbindungen zur Instanz. Ohne Sicherheitsregeln ist kein Traffic in die oder aus den VNICs im VCN zulässig.
Jede Sicherheitsregel gibt die folgenden Elemente an:
-
Richtung (Ingress oder Egress): "Ingress" ist eingehender Traffic zur VNIC. Egress ist ausgehender Traffic von der VNIC.
Das REST-API-Modell für Sicherheitslisten unterscheidet sich von den Netzwerksicherheitsgruppen. Bei Sicherheitslisten gibt es ein
IngressSecurityRule
-Objekt und ein separatesEgressSecurityRule
-Objekt. Bei Netzwerksicherheitsgruppen gibt es nur einSecurityRule
-Objekt, und dasdirection
-Attribut des Objekts bestimmt, ob die Regel für den Ingress- oder Egress-Traffic bestimmt ist. -
Zustandsbehaftet oder zustandslos: Wenn zustandsbehaftet, wird das Verbindungstracking für Traffic verwendet, der mit der Regel übereinstimmt. Bei "Zustandslos" wird kein Verbindungstracking verwendet. Weitere Informationen finden Sie unter "Zustandsbehaftete und zustandslose Regeln" in diesem Abschnitt.
-
Quelltyp und Quelle: Nur für Ingress-Regeln. Die angegebene Quelle hängt vom ausgewählten Quelltyp ab. Diese Quelltypen sind zulässig:
Quelltyp
Zulässige Quelle
CIDR
Der CIDR-Block, aus dem der Traffic stammt. Verwenden Sie 0.0.0.0/0, um alle IP-Adressen anzugeben. Das Präfix ist erforderlich. Beispiel: Geben Sie die /32 an, wenn Sie eine einzelne IP-Adresse angeben.
-
Zieltyp und Ziel: Nur für Egress-Regeln. Das angegebene Ziel hängt von dem gewählten Zieltyp ab. Folgende Zieltypen sind zulässig:
Zieltyp
Zulässiges Ziel
CIDR
Der CIDR-Block, für den der Traffic bestimmt ist. Verwenden Sie 0.0.0.0/0, um alle IP-Adressen anzugeben. Das Präfix ist erforderlich. Beispiel: Geben Sie die /32 an, wenn Sie eine einzelne IP-Adresse angeben.
-
IP-Protokoll: Entweder ein einzelnes IPv4-Protokoll oder "Alle" zur Abdeckung aller Protokolle.
-
Quellport: Der Port, von dem der Traffic stammt. Bei TCP oder UDP können Sie alle Quellports, optional eine einzelne Quellportnummer oder einen Bereich angeben.
-
Zielport: Der Port, für den der Traffic bestimmt ist. Bei TCP oder UDP können Sie alle Zielports, optional eine einzelne Zielportnummer oder einen Bereich angeben.
-
ICMP-Typ und -Code: Bei ICMP können Sie alle Typen und Codes oder optional einen einzelnen Typ mit einem optionalen Code angeben. Wenn der Typ über mehrere Codes verfügt, erstellen Sie eine separate Regel für jeden Code, den Sie zulassen möchten.
-
Beschreibung: NSG-Sicherheitsregeln enthalten ein optionales Attribut, das eine Beschreibung der Regel enthält. Dies wird derzeit für Sicherheitslistenregeln nicht unterstützt.
Zustands- und zustandsbehaftete Regeln
Wenn Sie eine Sicherheitsregel erstellen, wählen Sie aus, ob es sich um eine zustandsbehaftete oder zustandslose Regel handelt. Der Standard lautet "Zustandsabhängig". Regeln für zustandslosen Traffic werden empfohlen, wenn Sie über eine internetbasierte High-Volume-Website verfügen.
Wenn Sie eine Sicherheitsregel als zustandsfähig markieren, bedeutet dies, dass Sie das Verbindungstracking für jeden Traffic verwenden möchten, der dieser Regel entspricht. Das heißt, wenn eine Instanz Traffic empfängt, der mit der Regel für zustandsbehafteten Ingress übereinstimmt, wird die Antwort verfolgt und automatisch an den ursprünglichen Host zurückgegeben, unabhängig von den für die Instanz geltenden Egress-Regeln. Wenn eine Instanz Traffic sendet, der einer Regel für zustandsbehafteten Egress entspricht, wird die eingehende Antwort automatisch zugelassen, unabhängig von den Ingress-Regeln.
Wenn Sie eine Sicherheitsregel als zustandslos markieren, bedeutet dies, dass Sie das Verbindungstracking für jeden Traffic verwenden möchten, der dieser Regel entspricht. Das bedeutet, dass der Antworttraffic nicht automatisch zugelassen wird. Um den Antworttraffic für eine Regel für zustandslosen Ingress zu ermöglichen, müssen Sie eine entsprechende Regel für zustandslosen Egress erstellen.
Wenn Sie Regeln mit dem Status "Zustand" und "Zustandlos" verwenden und Traffic vorhanden ist, der sowohl mit einer Regel mit dem Status "Zustand" als auch einer Regel mit dem Status "Zustandlos" in einer bestimmten Richtung übereinstimmt, hat die Regel mit dem Status "Zustandlos" Vorrang, und die Verbindung wird nicht verfolgt. Sie benötigen eine entsprechende Regel in der anderen Richtung (zustandslos oder zustandslos), damit der Antworttraffic zugelassen wird.
Wenn Sie Sicherheitsregeln für zustandslosen Traffic verwenden, um Traffic an/von Endpunkten außerhalb des VCN zuzulassen, muss unbedingt eine Sicherheitsregel hinzugefügt werden, die Ingress-ICMP-Traffic vom 3. Code 4 von 0.0.0.0/0 und allen Quellports zulässt. Mit dieser Regel können Ihre Instanzen Path MTU Discovery-Fragmentierungsmeldungen erhalten. Diese Regel ist für den Aufbau einer Verbindung zu Ihren Instanzen wichtig. Ohne sie können Verbindungsprobleme auftreten.
Best Practices für Sicherheitsregeln
-
Netzwerk-Sicherheitsgruppen verwenden
Oracle empfiehlt die Verwendung von NSGs für Komponenten, die alle denselben Sicherheitsstatus aufweisen. In einer mehrstufigen Architektur würden Sie beispielsweise für jede Tier separate NSG haben. Alle VNICs einer Tier gehören zu der NSG dieser Tier.
Innerhalb einer Tier kann eine bestimmte Untergruppe der VNICs der Tier vorhanden sein, die zusätzliche besondere Sicherheitsanforderungen haben. Daher würden Sie für diese zusätzlichen Regeln eine weitere NSG erstellen und diese Untergruppe von VNICs sowohl in der NSG der Tier als auch in der NSG mit zusätzlichen Regeln platzieren.
-
Standardsicherheitslistenregeln verstehen
Jedes VCN verfügt automatisch über eine Standardsicherheitsliste, die mehrere Standardsicherheitsregeln enthält, um die ersten Schritte mit dem Networking-Service zu erleichtern. Es gibt diese Regeln, weil sie die grundlegende Verbindung ermöglichen.
Selbst wenn Sie keine Sicherheitslisten oder Standardsicherheitsliste verwenden, machen Sie sich mit den Regeln vertraut, damit Sie die Traffictypen besser verstehen, die Ihre vernetzten Cloud-Ressourcen benötigen. Möglicherweise möchten Sie diese Regeln in Ihren NSGs oder benutzerdefinierten Sicherheitslisten verwenden, die Sie einrichten.
Es gibt keine Standardregel, die Ping-Anforderungen zulässt. Wenn Sie eine Instanz pingen möchten, fügen Sie eine Regel für zustandsbehafteten Ingress hinzu, um speziell den ICMP-Traffic vom Typ 8 aus dem Quellnetzwerk zuzulassen, von dem aus gepingt werden soll. Um den Ping-Zugriff vom Internet aus zu ermöglichen, verwenden Sie 0.0.0.0/0 als Quelle. Beachten Sie, dass sich diese Regel für das Pingen von den ICMP-bezogenen Standardregeln der Standardsicherheitsliste unterscheidet. Diese Regeln dürfen nicht entfernt werden.
-
Löschen Sie Standardsicherheitsregeln nicht wahllos
Das VCN verfügt möglicherweise über Subnetze, die standardmäßig die Standardsicherheitsliste verwenden. Löschen Sie keine der Standardsicherheitsregeln der Liste, es sei denn, Sie haben zuerst bestätigt, dass Ressourcen in Ihrem VCN diese nicht benötigen. Andernfalls kann die VCN-Verbindung unterbrochen werden.
-
Fügen Sie bei Bedarf Regeln hinzu, um Ping-Anforderungen zuzulassen
Es gibt keine Standardregel, die Ping-Anforderungen zulässt. Wenn Sie eine Instanz pingen möchten, fügen Sie eine Regel für zustandsbehafteten Ingress hinzu, um speziell den ICMP-Traffic vom Typ 8 aus dem Quellnetzwerk zuzulassen, von dem aus gepingt werden soll. Um den Ping-Zugriff vom Internet aus zu ermöglichen, verwenden Sie 0.0.0.0/0 als Quelle. Beachten Sie, dass sich diese Regel für das Pingen von den ICMP-bezogenen Standardregeln der Standardsicherheitsliste unterscheidet. Diese Regeln dürfen nicht entfernt werden.
-
Fügen Sie gegebenenfalls Regeln hinzu, um fragmentierte UDP-Pakete zu verarbeiten
Instanzen können UDP-Verkehr senden oder empfangen. Wenn ein UDP-Paket zu groß für die Verbindung ist, wird es fragmentiert. Allerdings enthält nur das erste Fragment aus dem Paket die Protokoll- und Portinformationen. Wenn die Sicherheitsregeln, die diesen Ingress- oder Egress-Traffic zulassen, eine bestimmte (Quell- oder Ziel-)Portnummer angeben, werden die Fragmente nach dem ersten gelöscht. Wenn Sie erwarten, dass Ihre Instanzen große UDP-Pakete senden oder empfangen, setzen Sie sowohl die Quell- als auch die Zielports für die entsprechenden Sicherheitsregeln auf "ALL" anstelle einer bestimmten Portnummer.
-
BS-Firewallregeln mit Sicherheitsregeln ausrichten
Ihre Instanzen, auf denen Images ausgeführt werden, die mit Compute Cloud@Customer bereitgestellt werden, verfügen auch über Firewallregeln des Betriebssystems, die den Zugriff auf die Instanz kontrollieren. Wenn Sie den Zugriff auf eine Instanz beheben, stellen Sie sicher, dass alle folgenden Elemente korrekt festgelegt sind:
-
Die Regeln in den Netzwerksicherheitsgruppen, in denen sich die Instanz befindet
-
Die Regeln in den Sicherheitslisten, die dem Subnetz der Instanz zugeordnet sind
-
Die Firewallregeln des Betriebssystems der Instanz
-