Grupos de seguridad de red

El servicio de Networking ofrece dos funciones de firewall virtual para controlar el tráfico en el nivel de paquete:

  • Grupos de seguridad de red: incluidos en este tema. Los grupos de seguridad de red se admiten solo para servicios específicos.
  • Listas de seguridad: tipo original de firewall virtual ofrecido por el servicio de Networking. Consulte Listas de seguridad.

Ambas funciones utilizan reglas de seguridad. Para obtener información importante sobre el funcionamiento de las reglas de seguridad y la comparación general de las listas de seguridad y los grupos de seguridad de red, consulte Reglas de seguridad.

Aspectos destacados

  • Los grupos de seguridad de red (NSG) actúan como un firewall virtual para sus instancias informáticas y otros tipos de recursos. Un NSG consta de un conjunto de reglas de seguridad de entrada y salida que se aplican solo a un conjunto de VNIC que se puede elegir en una única VCN (por ejemplo, todas las instancias informáticas que actúan como servidores web en la capa web de una aplicación de varios niveles en VCN).
  • En comparación con las listas de seguridad, los grupos de seguridad de red permiten separar la arquitectura de subred de la VCN de los requisitos de seguridad de su aplicación. Consulte Comparación de listas de seguridad y grupos de seguridad de red.
  • Puede utilizar grupos de seguridad de red con determinados tipos de recursos. Para obtener más información, consulte Soporte para grupos de seguridad de red.
  • Las reglas de seguridad NSG funcionan del mismo modo que las reglas de listas de seguridad. Sin embargo, para el origen de una regla de seguridad de un grupo de seguridad de red (para reglas de entrada) o el destino (para reglas de salida), puede especificar un grupo de seguridad de red en lugar de un CIDR. Esto significa que puede escribir con facilidad reglas de seguridad para controlar el tráfico entre dos grupos de seguridad de red en la misma VCN o el tráfico dentro de un solo grupo de seguridad de red. Consulte Partes de una regla de seguridad.
  • A diferencia de las listas de seguridad, la VCN no tiene ningún grupo de seguridad de red por defecto. Además, cada NSG que cree se encuentra inicialmente vacío. No tiene reglas de seguridad por defecto.
  • Los grupos de seguridad de red tienen límites diferentes e independientes en comparación con las listas de seguridad. Consulte Límites de lista de seguridad.

Soporte para grupos de seguridad de red

Existen grupos de seguridad de red disponibles para su creación y utilización. Sin embargo, aún no los admiten todos los servicios relevantes de Oracle Cloud Infrastructure.

Actualmente, los siguientes tipos de recursos principales admiten el uso de grupos de servicios de red:

  • Instancias de Compute: cuando crea una instancia, puede especificar uno o más grupos de servicios de red para la VNIC principal de la instancia. Si agrega una VNIC secundaria a una instancia, puede especificar uno o más grupos de servicios de red para esa VNIC. También puede actualizar VNIC existentes en una instancia para que se encuentren en uno o más NSG.
  • Equilibrios de carga: al crear un equilibrador de carga, puede especificar uno o más grupos de servicios de red para el equilibrador de carga (no el conjunto de backends). También puede actualizar un equilibrador de carga existente para utilizar uno o más grupos de servicios de red.
  • Sistemas de base de datos: cuando crea un sistema de base de datos, puede especificar uno o más grupos de servicios de red. También puede actualizar un sistema de base de datos existente para usar uno o más grupos de servicios de red.
  • Autonomous Database: cuando crea una Autonomous Database en una infraestructura exclusiva de Exadata, puede especificar uno o varios grupos de seguridad de red para el recurso de infraestructura. También puede actualizar una instancia de infraestructura exclusiva de Exadata existente para que utilice grupos de seguridad de red.
  • Destinos de montaje: cuando crea un destino de montaje para un sistema de archivos, puede especificar uno o más grupos de seguridad de red. También puede actualizar un destino de montaje existente para usar uno o más grupos de servicios de red.
  • Punto final de resolución de DNS: al crear un punto final para un solucionador de DNS privado, puede especificar uno o más NSG. También puede actualizar un punto final existente para usar uno o más grupos de servicios de red.
  • Kubernetes clusters: When you create a Kubernetes cluster using Container Engine for Kubernetes, you can specify one or more NSGs to control access to the Kubernetes API endpoint and to worker nodes. También puede especificar los NSG al definir un equilibrador de carga para un cluster.
  • Gateways de API: al crear un gateway de API, puede especificar uno o más NSG para controlar el acceso al gateway de API.
  • Funciones: al configurar una aplicación en Oracle Functions, puede especificar uno o más NSG para definir reglas de entrada y salida que se aplican a todas las funciones de esa aplicación en particular.
  • GoldenGate despliegues: al crear un despliegue GoldenGate, puede especificar uno o más NSG para controlar el acceso al despliegue.

Para tipos de recursos que todavía no admiten grupos de servicios de red, continúe usando listas de seguridad para controlar el tráfico entrante y saliente de esos recursos principales.

Visión general de grupos de seguridad de red

Un grupo de seguridad de red (NSG) proporciona un firewall virtual para un conjunto de recursos en la nube que tienen la misma posición de seguridad. Por ejemplo, un grupo de instancias informáticas que realizan las mismas tareas y, por lo tanto, todas deben utilizar el mismo conjunto de puertos.

Un NSG consta de dos tipos de artículos:

  • VNIC: una o más VNIC (por ejemplo, las VNIC asociadas al conjunto de instancias informáticas que tienen la misma posición de seguridad). Todas las VNIC deben estar en la misma VCN que el NSG. Consulte también Comparación de listas de seguridad y grupos de seguridad de red.
  • Reglas de seguridad: las reglas de seguridad del NSG definen los tipos de tráfico permitido de entrada y salida de las VNIC en el grupo. Por ejemplo: tráfico de shell seguro del puerto 22 TCP de entrada desde un origen concreto.

Si tiene recursos con posiciones de seguridad diferentes en la misma VCN, puede escribir reglas de seguridad del grupo de seguridad de red para controlar el tráfico entre los recursos con una posición frente a otra. Por ejemplo, en el siguiente diagrama, NSG1 tiene las VNIC que se ejecutan en un nivel de una aplicación de arquitectura de varios niveles. NSG2 tiene las VNIC en ejecución en un segundo nivel. Ambos grupos de seguridad de red deben pertenecer a la misma VCN. La suposición es que ambos grupos de seguridad de red necesitan iniciar las conexiones con otros grupos de seguridad de red.

Para NSG1, se configuran las reglas de seguridad de salida que especifican NSG2 como destino, así como las reglas de seguridad de entrada que especifican NSG2 como origen. Del mismo modo, para NSG2, se configuran las reglas de seguridad de salida que especifican NSG1 como destino, y las reglas de seguridad de entrada que especifican NSG1 como origen. Se supone que las reglas se encuentran con estado en este ejemplo.

Puede configurar reglas de seguridad para controlar el tráfico entre dos grupos de seguridad de red.

El diagrama anterior supone que cada grupo de seguridad de red necesita iniciar conexiones con el otro.

En el siguiente diagrama se supone que en su lugar desea permitir conexiones iniciadas desde NSG1 a NSG2. Para ello, elimine la regla de entrada de NSG1 y la de salida de NSG2. Las reglas restantes no permiten conexiones iniciadas desde NSG2 a NSG1.

Estas reglas de seguridad permiten las conexiones iniciadas en una única dirección: de NSG1 a NSG2.

En el siguiente diagrama, se supone que se desea controlar el tráfico entre las VNIC en el mismo grupo de seguridad de red. Para ello, establezca el origen (para la entrada) o el destino (para la salida) de la regla como el grupo de seguridad de red propio.

Puede configurar reglas de seguridad para controlar el tráfico entre las VNIC en el mismo NSG.

Una VNIC puede tener un máximo de cinco grupos de seguridad de red. Se permite un paquete en cuestión si cualquier regla de cualquiera de los NSG de las VNIC permite el tráfico (o si el tráfico forma parte de una conexión existente cuyo seguimiento se está realizando). Hay una excepción si resulta que las listas contienen reglas de seguridad con estado y sin estado que cubren el mismo tráfico. Para obtener más información, consulte Reglas con estado frente a sin estado.

Los grupos de seguridad de red son entidades regionales. Para conocer los límites relacionados con los grupos de seguridad de red, consulte Comparación de listas de seguridad y grupos de seguridad de red.

Trabajar con grupos de seguridad de red

Proceso general para trabajar con grupos de seguridad de red

  1. Cree un grupo de seguridad de red.
  2. Agregue reglas de seguridad al grupo de seguridad de red.
  3. Agregue recursos principales (o más específicamente, VNIC) a los grupos de seguridad de red. Puede hacerlo cuando crea el recurso principal, o bien puede actualizar el recurso principal y agregarlo a uno o más grupos de seguridad de red. Cuando crea una instancia de Compute y la agrega a un grupo de seguridad de red, la VNIC principal de la instancia se agrega al grupo de seguridad de red. Por separado, puede crear VNIC secundarias y, opcionalmente, agregarlas a grupos de seguridad de red.

Antes de borrar un grupo de seguridad de red, debe suprimir todas las VNIC.

Consulte la sección siguiente para obtener más información.

Creación de grupos de seguridad de red

Cada VCN incluye una lista de seguridad por defecto que, a su vez, incluye las reglas de seguridad por defecto para activar la conectividad básica. Sin embargo, no hay ningún grupo de seguridad de red por defecto en la VCN.

Al crear un grupo de seguridad de red, inicialmente está vacío, sin ninguna regla de seguridad ni VNIC. Si está utilizando la consola, puede agregar reglas de seguridad al grupo de seguridad de red durante la creación.

Opcionalmente, puede asignar un nombre fácil de recordar al grupo de seguridad de red durante la creación. No tiene que ser único y puede cambiarlo más adelante. Oracle asigna automáticamente el grupo de seguridad de red a un identificador exclusivo denominado Oracle Cloud ID (OCID). Para obtener más información, consulte Identificadores de recursos.

Para el control de acceso, debe especificar el compartimiento  donde desea que resida el grupo de seguridad de red. Consulte a un administrador de la organización si no está seguro del compartimiento que debe utilizar. Para obtener más información, consulte Control de acceso.

Actualización de las reglas de seguridad y los miembros de grupo

Una vez creado el grupo de servicios de red, se pueden sumar o eliminar reglas de seguridad para permitir los tipos de tráfico de entrada y salida que requieren las VNIC del grupo.

Si está familiarizado con las listas de seguridad y usa la API de REST, tenga en cuenta que el modelo para actualizar las reglas de seguridad existentes es diferente entre las listas de seguridad y los grupos de servicios de red. Con los grupos de servicios de red, cada regla de un grupo determinado tiene un identificador único asignado por Oracle (por ejemplo: 04ABEC). Al llamar a UpdateNetworkSecurityGroupSecurityRules, proporciona los identificadores de las reglas específicas que desea actualizar. En comparación, con las listas de seguridad, las reglas no tienen ningún identificador único. Al llamar a UpdateSecurityList, debe transferir toda la lista de reglas, incluidas las reglas que no se están actualizando en la operación.

Cuando gestiona la pertenencia de VNIC de un grupo de servicios de red, lo hace como parte del trabajo con el recurso principal, no como el propio grupo de servicios de red. Para obtener más información, consulte Comparación de listas de seguridad y grupos de seguridad de red.

Especificación de un grupo de servicios de red en una regla de seguridad

Como se ha mencionado con anterioridad en Visión general de grupos de servicios de red, puede especificar un grupo de servicios de red como origen (para reglas de entrada) o destino (para reglas de salida) en una determinada regla de seguridad de grupo de servicios de red. Los dos grupos de servicios de red deben estar en la misma VCN. Por ejemplo, si NSG1 y NSG2 pertenecen a la misma VCN, podría sumar una regla de entrada a NSG1 que muestre NSG2 como origen. Si alguien suprime NSG2, la regla deja de ser válida. La API de REST utiliza una expresión booleana isValid en el objeto SecurityRule para transmitir ese estado.

Supresión de grupos de seguridad de red

Para suprimir un grupo de seguridad de red, no debe contener ninguna VNIC ni recursos principales. Cuando se suprime un recurso principal (o una VNIC de instancia informática), se elimina automáticamente de los grupos de seguridad de red en los que se encontraba. Puede que no tenga permiso para suprimir un recurso principal concreto. Póngase en contacto con el administrador para determinar quién es el propietario de un recurso determinado.

La consola muestra una lista de recursos principales que están en un grupo de seguridad de red, con un enlace a cada recurso principal. Si el recurso principal es una instancia informática, la consola también muestra la VNIC de la instancia o las VNIC que están en el NSG.

Para suprimir un recurso principal de sus grupos de seguridad de red sin suprimir el recurso, en primer lugar vea los detalles del recurso principal en la consola. Puede ver una lista de los grupos de seguridad de red a los que pertenece el recurso. Desde allí, puede hacer clic en Editar y eliminar el recurso de todos los grupos de seguridad de red. Si, en cambio, está trabajando con una instancia informática, vea los detalles de la VNIC específica que desea eliminar de los grupos de seguridad de red.

Si utiliza la API de REST: ListNetworkSecurityGroupVnics muestra los recursos principales y las VNIC de un grupo de seguridad de red. Utilice la operación de actualización del recurso para eliminar el recurso de los grupos de seguridad de red. Por ejemplo, para una instancia de Compute, utilice la operación UpdateVnic. Para un equilibrador de carga, utilice la operación UpdateNetworkSecurityGroups y así sucesivamente.

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso está requerido tanto si está utilizando la consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con su administrador qué tipo de acceso tiene y en qué compartimento  debe trabajar.

Para administradores: la política para permitir a los administradores de red gestionar una red en la nube abarca la gestión de todos los componentes de Networking, incluidos los grupos de seguridad de red.

Si tiene administradores de seguridad que necesitan gestionar grupos de seguridad de red, pero no otros componentes del servicio de Networking, puede crear una política más restrictiva:

Allow group NSGAdmins to manage network-security-groups in tenancy
			
Allow group NSGAdmins to manage vcns in tenancy 
      where ANY {request.operation = 'CreateNetworkSecurityGroup',
                 request.operation = 'DeleteNetworkSecurityGroup'}

Allow group NSGAdmins to read vcns in tenancy

Allow group NSGAdmins to use VNICs in tenancy

La primera sentencia permite al grupo NSGAdmins crear y gestionar los grupos de seguridad de red y sus reglas de seguridad.

La segunda sentencia es necesaria porque la creación o supresión de un grupo de seguridad de red afecta a la VCN en la que se encuentra dicho grupo. La sentencia restringe los permisos relacionados con la VCN a únicamente aquellos requeridos para crear o suprimir un grupo de seguridad de red. La sentencia no permite que el grupo NSGAdmins cree o suprima ninguna VCN ni que trabaje con ningún recurso en una VCN, a excepción de los grupos de seguridad de red.

La tercera sentencia es necesaria para mostrar las VCN, que es un requisito previo para crear o suprimir un grupo de seguridad de red de una VCN. Para obtener información sobre por qué son necesarias tanto la segunda como la tercera sentencia, consulte Condiciones.

La cuarta sentencia es necesaria si NSGAdmins debe colocar las VNIC en un grupo de seguridad de red. Quien quiera que cree el recurso principal de VNIC (por ejemplo, una instancia de Compute) debe tener este nivel de permiso para crear el recurso principal.

Para obtener más información sobre las políticas del servicio de redes, consulte Políticas de IAM para Networking.

Uso de la consola

Visualización de las reglas de seguridad y los recursos de un grupo de seguridad de red
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Grupos de seguridad de red.
  4. Haga clic en el grupo de seguridad de red cuyos detalles le interesa ver.

    Las reglas de seguridad del grupo de seguridad de red se muestran en la página. Desde allí puede agregar, editar o eliminar reglas.

  5. En Recursos, haga clic en VNIC para ver los recursos principales que pertenecen al grupo de seguridad de red.

    Si el recurso principal es una instancia informática, las VNIC correspondientes de esa instancia también se muestran en la página.

    Para otros tipos de recursos principales, el servicio relevante gestiona las VNIC en su nombre. Por lo tanto, solamente el recurso principal (y no sus VNIC correspondientes) se muestra en la página.

Creación de un grupo de seguridad de red

Previo necesario: familiarícese con las partes de las reglas de seguridad.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Grupos de seguridad de red.
  4. Haga clic en Crear grupo de seguridad de red.
  5. Introduzca lo siguiente:

    1. Nombre: nombre descriptivo del grupo de seguridad de red. El nombre no tiene por qué ser exclusivo y puede cambiarlo más adelante. Evite introducir información confidencial.
    2. Crear en compartimiento: compartimiento en el que desea crear el grupo de seguridad de red, si es diferente del compartimiento en el que está trabajando actualmente.
    3. Mostrar opciones de etiquetado: si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si debe aplicar etiquetas, omita esta opción (puede aplicar etiquetas más tarde) o consulte con el administrador.
  6. Haga clic en Siguiente.

    Si desea crear el grupo de seguridad de red sin ninguna regla aún, bastará con hacer clic en Crear. De lo contrario, vaya al paso siguiente.

  7. Para la primera regla de seguridad, introduzca los siguientes elementos (para ver ejemplos de reglas, consulte Escenarios de Networking):

    • Con estado o sin estado: si se tiene estado, se utiliza el seguimiento de conexión para el tráfico que coincide con la regla. Si no tiene estado, no se utiliza ningún seguimiento de conexión. Por defecto, las reglas tienen estado a menos que se especifique lo contrario. Consulte Reglas con estado frente a sin estado.
    • Dirección (entrada o salida): el tráfico de entrada es el que se recibe y el de salida, el que se envía desde la VNIC.
    • Tipo de origen y Origen (solo para reglas de entrada):

      Tipos de orígenes permitidos
      Tipo de origen Origen permitido
      CIDR Bloque CIDR desde el que se origina el tráfico. Utilice 0.0.0.0/0 para indicar todas las direcciones IP. El prefijo es necesario (por ejemplo, incluya el /32 si especifica una dirección IP individual).
      Servicio

      Solo para los paquetes que provienen de un servicio de Oracle mediante un gateway de servicio.

      El servicio de origen es la etiqueta CIDR del servicio en la que está interesado.

      Grupo de seguridad de red

      Grupo de seguridad de red que está en la misma VCN que el grupo de seguridad de red de esta regla.

    • Tipo de destino y Destino (solo para reglas de salida):

      Tipos de destino permitidos
      Tipo de destino Destino permitido
      CIDR Bloque CIDR al que se dirige el tráfico. Utilice 0.0.0.0/0 para indicar todas las direcciones IP. El prefijo es necesario (por ejemplo, incluya el /32 si especifica una dirección IP individual).
      Servicio

      Solo para paquetes que pasan a un servicio de Oracle mediante un gateway de servicio.

      El servicio de destino es la etiqueta CIDR del servicio en la que está interesado.

      Grupo de seguridad de red

      Grupo de seguridad de red que está en la misma VCN que el grupo de seguridad de red de esta regla.

    • Protocolo IP: un solo protocolo IPv4 (por ejemplo, TCP o ICMP) o "todos" para cubrir todos los protocolos.
    • Rango de puertos de origen: puerto desde el que se origina el tráfico. Para TCP o UDP, puede especificar todos los puertos de origen u, opcionalmente, especificar un único número de puerto de origen o un rango.
    • Rango de puertos de destino: puerto al que se dirige el tráfico. Para TCP o UDP, puede especificar todos los puertos de destino u, opcionalmente, especificar un único número de puerto de destino o un rango.
    • Tipo y código ICMP: para ICMP, puede especificar todos los tipos y códigos o especificar de manera opcional un solo tipo con un código opcional. Si el tipo tiene varios códigos, cree una regla independiente para cada código que desee permitir.
  8. Para agregar otra regla de seguridad, haga clic en + Otra regla e introduzca la información de la regla. Repita el proceso por cada regla que desee agregar.
  9. Cuando haya terminado, haga clic en Crear.

Se crea el grupo de seguridad de red y se muestra en la página Grupo de seguridad de red del compartimiento que haya elegido. Ahora puede especificar este grupo de seguridad de red al crear o gestionar instancias u otros tipos de recursos principales.

Cuando se visualizan todas las reglas de seguridad en un grupo de seguridad de red, se puede filtrar la lista por entrada o salida.

Adición o eliminación de un recurso de un grupo de seguridad de red

En general, la afiliación de recursos de un grupo de seguridad de red se gestiona en el recurso principal y no en el propio grupo de seguridad de red. En otras palabras, para agregar un recurso principal a un grupo de seguridad de red, puede ejecutar la acción en el recurso principal (mediante la especificación de los grupos de seguridad de red a los que se debe agregar el recurso principal). No se ejecuta la acción en el grupo de seguridad de red (mediante la especificación de qué VNIC o recursos principales se deben agregar al grupo de seguridad de red). De manera similar, para eliminar una VNIC de un grupo de seguridad de red, puede ejecutar esa acción actualizando el recurso principal, no el grupo de seguridad de red. Para obtener una lista de los recursos principales que admiten el uso de grupos de seguridad de red, consulte Soporte para grupos de seguridad de red.

Ejemplo: instancias de recursos informáticos
  • Al crear una instancia: en la sección Red, en las opciones avanzadas, seleccione la casilla de control Usar grupos de seguridad de red para controlar el tráfico. A continuación, especifique uno o más NSG. La VNIC principal  de la instancia se agrega a los grupos de seguridad de red. Consulte el procedimiento descrito en Creación de una instancia.
  • Para una instancia existente: agregar una instancia existente a un grupo de seguridad de red significa agregar su VNIC principal al grupo de seguridad de red. También puede agregar una VNIC secundaria a un grupo de seguridad de red. Consulte Adición o eliminación de una VNIC de un grupo de seguridad de red.
Ejemplo: cluster de VM de Exadata Cloud
  • Al crear un cluster de VM en la nube de Exadata: en la sección Información de red, puede configurar la red de cliente y la red de copia de seguridad. Para cada red, seleccione la casilla de control Usar grupos de seguridad de red para controlar el tráfico y, a continuación, especifique uno o más grupos de seguridad de red para la red específica. Consulte Creación de un recurso de cluster de VM en la nube. Consulte también Configuración de red para instancias de Exadata Cloud Service.
  • Para una instancia de Exadata Cloud Service existente: los detalles de un cluster de VM en la nube de Exadata incluyen una lista de los NSG a los que pertenece la red del cliente (si los hay) y una lista de los NSG a los que pertenece la red de copia de seguridad (si procede). Junto a los grupos de seguridad de red relevantes, haga clic en Editar para cambiar la lista.
Eliminación de un grupo de seguridad de red

Requisito: para suprimir una lista de seguridad, esta no se debe asociar a una subred. No puede suprimir la lista de seguridad por defecto de una VCN.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Grupos de seguridad de red.
  4. Para el grupo de seguridad de red que desea eliminar, haga clic en el menú Acciones y, a continuación, en Finalizar.
  5. Confirme cuando se le solicite.
Gestión de reglas de seguridad para un grupo de seguridad de red
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Grupos de seguridad de red.
  4. Haga clic en el grupo de seguridad de red cuyos detalles le interesa ver.

    Las reglas de seguridad del grupo de seguridad de red se muestran en la página. Desde allí puede agregar, editar o eliminar reglas.

Gestión de etiquetas para un grupo de seguridad de red
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Grupos de seguridad de red.
  4. Haga clic en el grupo de seguridad de red en que esté interesado.
  5. Haga clic en el separador Etiquetas para ver o editar las etiquetas existentes. O bien, haga clic en Agregar etiquetas para agregar etiquetas nuevas.

Para obtener más información, consulte Etiquetas de recursos.

Mover un grupo de seguridad de red a un compartimiento diferente

Puede mover un grupo de seguridad de red de un compartimiento a otro. Cuando mueve un NSG a un compartimiento nuevo, las políticas inherentes se aplican de inmediato.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Grupos de seguridad de red.
  4. Haga clic en el menú Acciones del NSG y, a continuación, en Mover recurso.
  5. Seleccione el compartimiento de destino en la lista.
  6. Haga clic en Mover recurso.

Para obtener más información sobre el uso de compartimientos y políticas para controlar el acceso a su red en la nube, consulte Control de acceso. Para obtener información general sobre compartimientos, consulte Gestión de compartimientos.

Uso de la API

Para obtener más información sobre el uso de la API y las solicitudes de firma, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.

Para gestionar los grupos de seguridad de red de una VCN, utilice estas operaciones:

Existen algunas diferencias en el modelo de API de REST para los grupos de seguridad de red en comparación con las listas de seguridad:

  • Con las listas de seguridad, hay un objeto IngressSecurityRule y otro objeto EgressSecurityRule independiente. Con los grupos de seguridad de red, solo hay un objeto SecurityRule y el atributo direction del objeto determina si la regla es para el tráfico de entrada o salida.
  • Con las listas de seguridad, las reglas forman parte del objeto SecurityList y se trabaja con las reglas llamando a las operaciones de la lista de seguridad (como UpdateSecurityList). Con los grupos de seguridad de red, las reglas no forman parte del objeto NetworkSecurityGroup. En su lugar, se utilizan operaciones independientes para trabajar con las reglas para un grupo de seguridad de red determinado (por ejemplo: UpdateNetworkSecurityGroupSecurityRules).
  • El modelo para actualizar reglas de seguridad existentes es diferente entre listas de seguridad y grupos de seguridad de red. Con los grupos de servicios de red, cada regla de un grupo determinado tiene un identificador único asignado por Oracle (por ejemplo: 04ABEC). Al llamar a UpdateNetworkSecurityGroupSecurityRules, proporciona los identificadores de las reglas específicas que desea actualizar. En comparación, con las listas de seguridad, las reglas no tienen ningún identificador único. Al llamar a UpdateSecurityList, debe transferir toda la lista de reglas, incluidas las reglas que no se están actualizando en la operación.
  • Hay un límite de 25 reglas al ejecutar operaciones que agreguen, eliminen o actualicen reglas de seguridad.