Configuración de reglas de seguridad de VCN para File Storage

Antes de montar un sistema de archivos, debe configurar reglas de seguridad para permitir el tráfico a la VNIC del destino de montaje mediante protocolos y puertos específicos. Las reglas de seguridad activan el tráfico para lo siguiente:

  • Protocolo de la utilidad rpcbind Open Network Computing Remote Procedure Call (ONC RPC)
  • Protocolo de sistema de archivos de red (NFS)
  • Protocolo de sistema de archivos de red (MOUNT)
  • Protocolo de administrador de bloqueo de red (NLM)

Escenarios de reglas de seguridad de File Storage

Existen tres escenarios básicos que requieren diferentes reglas de seguridad para File Storage:

Escenario A: Montar el destino y la instancia en la misma subred

En este caso, el destino de montaje que exporta el sistema de archivos está en la misma subred que la instancia en la que desea montar el sistema de archivos.

  • Entrada con estado de TODOS los puertos del bloque de CIDR de origen en los puertos TCP 111, 2048, 2049 y 2050.
  • Entrada con estado de TODOS los puertos del bloque de CIDR de origen en los puertos UDP 111 y 2048.
  • Salida con estado de TODOS los puertos TCP  a los puertos 111, 2048, 2049 y 2050 del bloque CIDR de destino.
  • Salida con estado de TODOS los puertos UDP  al puerto 111 del bloque CIDR de destino.
Importante

Oracle recomienda que los clientes NFS se limiten a puertos reservados. Para ello, defina el rango de puertos de origen en 1-1023. También puede configurar las opciones de exportación de un sistema de archivos para requerir que los clientes se conecten desde un puerto de origen con privilegios. Para obtener más información, consulte Trabajar con opciones de exportación NFS.

A continuación se muestra un ejemplo de las reglas para el escenario A configurado para una sola subred que contiene tanto el destino de montaje como la instancia. En este ejemplo, tanto el destino de montaje como la instancia están en el bloque de CIDR 10.0.0.0/24:

En esta imagen se muestran las reglas de entrada para el escenario A.

En esta imagen se muestran las reglas de salida para el escenario A.

Uso de una lista de seguridad

Las listas de seguridad se asocian a subredes. Puede configurar las reglas de seguridad necesarias en la lista de seguridad por defecto para la subred de destino de montaje o crear una nueva lista de seguridad. Las reglas de la lista de seguridad se aplican a todos los recursos de la subred.

Uso de un grupo de seguridad de red (NSG)

Otro método para aplicar reglas de seguridad es configurarlas en un grupo de seguridad de red (NSG) y, a continuación, agregar el destino de montaje al NSG. A diferencia de las reglas de la lista de seguridad que se aplican a todas las VNIC de la subred, los NSG se aplican solo a las VNIC del recurso que agregue al NSG.

Consulte Formas de activar las reglas de seguridad para File Storage para obtener una visión general de estos métodos e instrucciones sobre cómo usarlos para configurar reglas de seguridad.

Escenario B: Montar el destino y la instancia en distintas subredes

En este escenario, el destino de montaje que exporta el sistema de archivos está en otra subred que la instancia en la que desea montar el sistema de archivos. Las reglas de seguridad se deben configurar tanto para el destino de montaje como para la instancia en una lista de seguridad para cada subred, o en un grupo de seguridad de red (NSG) para cada recurso.

Configure las siguientes reglas de seguridad para el destino de montaje. Especifique la dirección IP de la instancia o el bloque de CIDR como origen para las reglas de entrada y el destino para las reglas de salida:

  • Entrada con estado de TODOS los puertos del bloque de CIDR de la instancia de origen a los puertos 111, 2048, 2049 y 2050 TCP.
  • Entrada con estado de TODOS los puertos del bloque de CIDR de la instancia de origen a los puertos 111 y 2048 UDP.
  • Salida con estado de los puertos 111, 2048, 2049 y 2050 TCP a TODOS los puertos del bloque de CIDR de la instancia de destino.
  • Salida con estado del puerto 111 UDP y TODOS los puertos del bloque de CIDR de la instancia de destino.
Importante

Oracle recomienda que los clientes NFS se limiten a puertos reservados. Para ello, defina el rango de puertos de origen en 1-1023. También puede configurar las opciones de exportación de un sistema de archivos para requerir que los clientes se conecten desde un puerto de origen con privilegios. Para obtener más información, consulte Trabajar con opciones de exportación NFS.

A continuación, configure las siguientes reglas de seguridad para la instancia. Especifique la dirección IP del destino de montaje o el bloque de CIDR como origen para las reglas de entrada y destino para las reglas de salida:

  • Entrada con estado de los puertos 111, 2048, 2049 y 2050 TCP del bloque de CIDR del destino de montaje de origen a TODOS los puertos.
  • Entrada con estado del puerto 111 UDP del bloque de CIDR del destino de montaje de origen a TODOS los puertos.
  • Salida con estado de TODOS los puertos a los puertos 111, 2048, 2049 y 2050 TCP del bloque de CIDR del destino de montaje de destino.
  • Salida con estado de TODOS los puertos a los puertos 111 y 2048 UDP  del bloque de CIDR del destino de montaje de destino.

A continuación se muestra un ejemplo de las reglas para el escenario B configurado en las reglas de la lista de seguridad para la instancia y el destino de montaje. En este ejemplo, se muestran reglas para bloques de CIDR de origen y destino específicos.

Reglas de entrada para el NSG o la lista de seguridad de subred del destino de montaje. El bloque de CIDR de la instancia 10.0.0.0/24 es el origen:

En esta imagen se muestran las reglas de entrada para la subred de destino de montaje o NSG en el escenario B.

Reglas de salida para el NSG o lista de seguridad de subred del destino de montaje. El bloque de CIDR de la instancia 10.0.0.0/24 es el destino:

En esta imagen se muestran las reglas de salida para la subred de destino de montaje o NSG en el escenario B.

Reglas de entrada para el NSG o lista de seguridad de subred de la instancia. El bloque de CIDR del destino de montaje 10.0.1.0/24 es el origen:

En esta imagen se muestran las reglas de entrada para la subred de la instancia o NSG en el escenario B.

Reglas de salida para el NSB o lista de seguridad de subred de la instancia. El bloque de CIDR del destino de montaje 10.0.1.0/24 es el destino:

En esta imagen se muestran las reglas de salida para la subred de la instancia o NSG en el escenario B.

Uso de una lista de seguridad

Las listas de seguridad se asocian a subredes. Si utiliza listas de seguridad para configurar las reglas de seguridad, debe configurar las reglas de destino de montaje en la subred de destino de montaje y las reglas de instancia en la subred de instancia. Puede agregar las reglas a la lista de seguridad por defecto para cada subred o crear nuevas listas de seguridad.

Uso de un grupo de seguridad de red (NSG)

Otro método para aplicar reglas de seguridad es configurarlas en un grupo de seguridad de red (NSG) y, a continuación, agregar el destino de montaje a la instancia y al NSG. A diferencia de las reglas de la lista de seguridad que se aplican a todas las VNIC de la subred, los NSG se aplican solo a las VNIC del recurso que agregue al NSG.

Consulte Formas de activar las reglas de seguridad para File Storage para obtener una visión general de estos métodos e instrucciones sobre cómo usarlos para configurar reglas de seguridad.

Escenario C: El destino de montaje y la instancia utilizan cifrado en tránsito

En este escenario, el cifrado en tránsito protege los datos entre las instancias y los sistemas de archivos montados mediante el cifrado TLS v.1.2 (seguridad de capa de transporte). Consulte Uso del cifrado en tránsito para obtener más información.

Puede limitar el origen o el destino a la dirección IP o al bloque de CIDR que desee. También puede permitir el tráfico desde todos los orígenes o destinos.

Configure las siguientes reglas de seguridad para el destino de montaje:

  • Entrada con estado de TODOS los puertos del bloque de CIDR de origen al puerto TCP 2051.
  • Salida con estado del puerto 2051 TCP a TODOS los puertos del bloque de CIDR de destino.

En esta imagen se muestran las reglas de entrada para la subred del destino de montaje o NSG en el escenario C.

En esta imagen se muestran las reglas de salida para la subred del destino de montaje o NSG en el escenario C.

Uso de una lista de seguridad

Las listas de seguridad se asocian a subredes. Puede configurar las reglas de seguridad necesarias en la lista de seguridad por defecto para la subred de destino de montaje o crear una nueva lista de seguridad. Las reglas de la lista de seguridad se aplican a todos los recursos de la subred.

Uso de un grupo de seguridad de red (NSG)

Otro método para aplicar reglas de seguridad es configurarlas en un grupo de seguridad de red (NSG) y, a continuación, agregar el destino de montaje al NSG. A diferencia de las reglas de la lista de seguridad que se aplican a todas las VNIC de la subred, los NSG se aplican solo a las VNIC del recurso que agregue al NSG.

Consulte Formas de activar las reglas de seguridad para File Storage para obtener una visión general de estos métodos e instrucciones sobre cómo usarlos para configurar reglas de seguridad.

Formas de activar reglas de seguridad para File Storage

El servicio Networking ofrece dos funciones de firewall virtual que utilizan reglas de seguridad para controlar el tráfico en el nivel de paquete. Estas dos funciones son:

Importante

Puede utilizar solo listas de seguridad, grupos de seguridad de red o ambos elementos juntos. Depende de sus necesidades de seguridad concretas.

Si decide utilizar tanto listas de seguridad como grupos de seguridad de red, el conjunto de reglas que se aplica a una VNIC de destino de montaje es la combinación de estos elementos:

  • Las reglas de seguridad de las listas de seguridad asociadas a la subred de la VNIC.
  • Las reglas de seguridad de todos los NSG en los que se encuentra la VNIC.

No importa el método que utilice para aplicar las reglas de seguridad a la VNIC de destino de montaje, los puertos para los protocolos necesarios para File Storage siempre deben estar configurados correctamente en las reglas aplicadas.

Consulte Reglas de seguridad, Listas de seguridad y Grupos de seguridad de red para obtener más información, ejemplos y escenarios sobre cómo interactúan estas funciones en la red. Visión general de Networking proporciona información general sobre Networking. Consulte Acerca de la seguridad para obtener información sobre cómo funcionan las reglas de seguridad con otros tipos de seguridad en File Storage.

Política del servicio IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso está requerido tanto si está utilizando la consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con su administrador qué tipo de acceso tiene y en qué compartimento  debe trabajar.

Para administradores: la política Permitir a los administradores de red gestionar una red en la nube cubre la gestión de todos los componentes de red, incluidas las listas de seguridad y los NSG. Consulte Referencia de políticas para obtener más información.

Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes.

Uso de la consola

Configuración de las reglas necesarias en una lista de seguridad

Puede agregar las reglas necesarias a una lista de seguridad existente asociada a una subred, como la lista de seguridad por defecto que se crea junto con la VCN. Consulte Para crear una lista de seguridad para obtener más información.

Para agregar reglas necesarias a una lista de seguridad
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. En la sección Ámbito, seleccione el compartimento que contiene la VCN en la que se encuentra la subred.

  3. Haga clic en el nombre de la VCN.
  4. En la página de detalles de la red en la nube, haga clic en Recursos y, a continuación, en Listas de seguridad.
  5. Haga clic en el nombre de la lista de seguridad que usa la subred.
  6. En Recursos, haga clic en Reglas de entrada.
  7. Haga clic en Agregar reglas de entrada.

    • Especifique que se trata de una regla con estado dejando la casilla de control desactivada. (Para obtener más información sobre las reglas con estado y sin estado, consulte Reglas con estado frente a sin estado). De forma predeterminada, las reglas tienen estado a menos que se especifique lo contrario.
    • Para permitir el tráfico desde la subred de la red en la nube, haga clic en Tipo de origen, elija CIDR y, a continuación, introduzca el bloque de CIDR para la subred. Por ejemplo, 10.0.0.0/24.
    • Haga clic en Protocolo IP y, a continuación, seleccione el protocolo. Por ejemplo, TCP.
    • En Rango de puertos de origen, especifique el rango de puertos desde el que desea permitir el tráfico. De manera alternativa, acepte el valor por defecto Todo para permitir el tráfico desde cualquier puerto de origen.

    • Haga clic en Rango de puertos de destino y, a continuación, introduzca los distintos puertos o un rango de puertos. Por ejemplo, 2048-2050.
  8. Haga clic en + Regla de entrada adicional para crear más reglas de entrada.
  9. Cuando haya terminado, haga clic en Agregar reglas de entrada.
  10. A continuación, cree las reglas de salida. En Recursos, haga clic en Reglas de salida.
  11. Haga clic en Agregar reglas de salida.

    • Especifique que se trata de una regla con estado dejando la casilla de control desactivada.
    • Haga clic en Tipo de destino, elija CIDR y, a continuación, introduzca el bloque de CIDR para la subred. Por ejemplo, 10.0.0.0/24.
    • Haga clic en Protocolo IP y, a continuación, seleccione el protocolo. Por ejemplo, TCP.
    • En Rango de puertos de origen y, a continuación, introduzca los distintos puertos o un rango de puertos. Por ejemplo, 2048-2050.

    • En Rango de puertos de destino, acepte el valor predeterminado Todo para permitir el tráfico a cualquier puerto de destino.
  12. Haga clic en + Regla de salida adicional para crear más reglas de salida.
  13. Cuando haya terminado, haga clic en Agregar reglas de salida.

Configuración de reglas necesarias en un grupo de seguridad de red (NSG)

El proceso general para configurar los NSG que funcionan con File Storage es el siguiente:

  1. Cree un NSG con las reglas de seguridad requeridas. (De manera alternativa, puede agregarlas a un NSG ya existente).
  2. Agregue el destino de montaje (o más específicamente, la VNIC del destino de montaje) al NSG. Puede hacerlo al crear el destino de montaje o puede actualizar el destino de montaje y agregarlo a uno o más NSG que contienen las reglas de seguridad requeridas.
  3. Si está configurando Escenario B: Montar el destino y la instancia en distintas subredes, debe agregar tanto el destino de montaje como la instancia a un NSG que contiene las reglas de seguridad necesarias.
Para crear un NSG con las reglas de seguridad necesarias

Requisito previo: familiarícese con las partes de las reglas de seguridad.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interese.
  3. En Recursos, haga clic en Grupos de seguridad de red.
  4. Haga clic en Crear grupo de seguridad de red.
  5. Introduzca lo siguiente:

    • Nombre: nombre descriptivo del grupo de seguridad de red. El nombre no tiene que ser único y puede cambiarlo más adelante. Evite introducir información confidencial.
    • Crear en compartimento: compartimento en el que desea crear el grupo de seguridad de red si es diferente del compartimento en el que está trabajando actualmente.
    • Mostrar opciones de etiquetado: si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si debe aplicar etiquetas, omita esta opción (puede aplicar etiquetas más tarde) o consulte con el administrador.
  6. Haga clic en Siguiente.

  7. Introduzca reglas de entrada.

    • Especifique que se trata de una regla con estado dejando la casilla de control desactivada. (Para obtener más información sobre las reglas con estado y sin estado, consulte Reglas con estado frente a sin estado). De forma predeterminada, las reglas tienen estado a menos que se especifique lo contrario.
    • En Dirección, seleccione Entrada.
    • Para permitir el tráfico desde la subred de la red en la nube, haga clic en Tipo de origen, elija CIDR y, a continuación, introduzca el bloque de CIDR para la subred. Por ejemplo, 10.0.0.0/24.
    • Haga clic en Protocolo IP y, a continuación, seleccione el protocolo. Por ejemplo, TCP.
    • En Rango de puertos de origen, especifique el rango de puertos desde el que desea permitir el tráfico. De manera alternativa, acepte el valor por defecto Todo para permitir el tráfico desde cualquier puerto de origen.

    • Haga clic en Rango de puertos de destino y, a continuación, introduzca los distintos puertos o un rango de puertos. Por ejemplo, 2048-2050.
  8. Haga clic en + Otra regla para crear más reglas de entrada.
  9. Introduzca reglas de salida.

    • Especifique que se trata de una regla con estado dejando la casilla de control desactivada.
    • En Dirección, seleccione Salida.
    • Haga clic en Tipo de destino, elija CIDR y, a continuación, introduzca el bloque de CIDR para la subred. Por ejemplo, 10.0.0.0/24.
    • Haga clic en Protocolo IP y, a continuación, seleccione el protocolo. Por ejemplo, TCP.
    • En Rango de puertos de origen y, a continuación, introduzca los distintos puertos o un rango de puertos. Por ejemplo, 2048-2050.

    • En Rango de puertos de destino, acepte el valor predeterminado Todo para permitir el tráfico a cualquier puerto de destino.
  10. Haga clic en + Otra regla para crear más reglas de salida.
  11. Cuando haya terminado, haga clic en Crear.
Para agregar un destino de montaje a un NSG
  • Al crear un destino de montaje junto con un sistema de archivos: consulte Para crear un sistema de archivos.
  • Al crear solo el destino de montaje: consulte Para crear un destino de montaje.
  • Para un destino de montaje existente:

    1. Abra el menú de navegación y haga clic en Almacenamiento. En File Storage, haga clic en Destinos de montaje.

    2. En la sección Ámbito de lista, seleccione un compartimento.

    3. Busque el destino de montaje que le interesa, haga clic en el menú Acciones y, a continuación, haga clic en Ver detalles de destinos de montaje.

    4. En el separador Información de destino de montaje, haga clic en el enlace Editar junto a Grupos de seguridad de red.

    5. Seleccione un compartimento y un NSG de la lista.
    6. Haga clic en Guardar.
Para agregar una instancia a un NSG

Consulte Para agregar o eliminar un recurso de un NSG para obtener instrucciones sobre cómo agregar una instancia a un NSG.