Grupos de seguridad de red
El servicio de Networking ofrece dos funciones de firewall virtual para controlar el tráfico en el nivel de paquete:
- Grupos de seguridad de red: incluidos en este tema. Los grupos de seguridad de red (NSG) se admiten solo para servicios específicos.
- Listas de seguridad: tipo original de firewall virtual ofrecido por el servicio de Networking. Consulte Listas de seguridad.
Ambas funciones utilizan reglas de seguridad. Para obtener información importante sobre el funcionamiento de las reglas de seguridad y la comparación general de las listas de seguridad y los grupos de seguridad de red, consulte Reglas de seguridad.
Puede utilizar el enrutamiento de paquetes de confianza cero (ZPR) junto con grupos de seguridad de red o en lugar de ellos para controlar el acceso de red a los recursos de OCI mediante la aplicación de atributos de seguridad y la creación de políticas ZPR para controlar la comunicación entre ellos. Para obtener más información, consulte Zero Trust Packet Routing.
Si un punto final tiene un atributo de seguridad ZPR, el tráfico al punto final debe cumplir las reglas ZPR y también todas las reglas de NSG y lista de seguridad. Por ejemplo, si ya está utilizando NSG y aplica un atributo de seguridad a un punto final, tan pronto como se aplica el atributo, todo el tráfico al punto final se bloquea. A partir de ese momento, una política ZPR debe permitir el tráfico al punto final.
Aspectos destacados
- Los grupos de seguridad de la red (NSG) actúan como un firewall virtual para instancias informticas y otros tipos de recursos. Un NSG consta de un juego de Reglas de seguridad de entrada y salida que se aplican solo a un conjunto de VNIC que se puede seleccionar en una única VCN (por ejemplo, todas la instancias de Compute que actúan como servidores web en el nivel web de una aplicación de varios Niveles en una VCN).
- En comparación con las listas de seguridad, los NSG permiten separar una arquitectura de subred de la VCN de los requisitos del entorno de seguridad de la aplicación. Consulte Comparación de listas de seguridad y grupos de seguridad de red.
- Puede utilizar grupos de seguridad de red con determinados tipos de recursos. Para obtener más información, consulte Soporte para grupos de seguridad de red.
- Las reglas de seguridad NSG funcionan del mismo modo que las reglas de listas de seguridad. Sin embargo, para el origen de una regla de seguridad de un grupo de seguridad de red (para reglas de entrada) o el destino (para reglas de salida), puede especificar un grupo de seguridad de red en lugar de un CIDR. Esto significa que puede escribir con facilidad reglas de seguridad para controlar el tráfico entre dos grupos de seguridad de red en la misma VCN o el tráfico dentro de un solo grupo de seguridad de red. Consulte Partes de una regla de seguridad.
- A diferencia de lo que ocurre con las listas, la VCN no tiene un NSG por defecto. Además, cada NSG que cree se encuentra inicialmente vacío. No tiene reglas de seguridad por defecto.
- Los grupos de seguridad de red tienen límites diferentes e independientes en comparación con las listas de seguridad. Consulte Límites de lista de seguridad.
Soporte para grupos de seguridad de red
Existen grupos de seguridad de red disponibles para su creación y utilización. Sin embargo, aún no son compatibles con todos los servicios relevantes de Oracle Cloud Infrastructure.
Los siguientes tipos de recursos principales admiten el uso de grupos de servicios de red:
- Autonomous Recovery Service (subredes para Recovery Service): al registrar una subred de Recovery Service, puede asociar uno o más NSG (cinco como máximo) que contengan las reglas de entrada para Recovery Service.
- Instancias de Compute: cuando crea una instancia, puede especificar uno o más grupos de servicios de red para la VNIC principal de la instancia. Si agrega una VNIC secundaria a una instancia, puede especificar uno o más grupos de servicios de red para esa VNIC. También puede actualizar VNIC existentes en una instancia para que se encuentran en uno o más NSG.
- Equilibrios de cargas: al crear un equilibrador de cargas, puede especificar uno o más grupos de seguridad de seguridad de sistema para el equilibrador de cargas (no el juego de backends). También puede actualizar un equilibrador de cargamento existente para utilizar uno o más NSG.
- Sistemas de base de datos: cuando crea un sistema de base de datos, puede especificar uno o más grupos de servicios de red. También puede actualizar un sistema de base de datos existente para usar uno o más grupos de servicios de red.
- Bases de datos autónomas: cuando crea una instancia de Autonomous Database en una infraestructura de Exadata dedicada, puede especificar uno o varios NSG para el recurso del infraestructura.
- Destinos de montaje: cuando crea un destino de montaje para un sistema de archivos, puede especificar uno o más grupos de seguridad de red. También puede actualizar un destino de montaje existente para usar uno o más grupos de servicios de red.
- Punto final de solucionador de DNS: cuando crea un punto final para un solucionador de DNS privado, puede especificar uno o más NSG. También puede actualizar un punto final existente para usar uno o más NSG.
- Cluster de Kubernetes: cuando crea un cluster de Kubernetes mediante Kubernetes Engine, puede especificar uno o más NSG para controlar el acceso al punto final de API de Kubernetes y a los nodos de trabajador. También puede especificar los NSG al definir un equilibrador de carga para un cluster.
- Gateways de API: al crear un gateway de API, puede especificar uno o más NSG para controlar el acceso al gateway de API.
- Functions: al configurar una aplicación en OCI Functions, puede especificar uno o más NSG para definir reglas de entrada y salida que se aplican a todas las funciones de esa aplicación en particular.
- Despliegues de GoldenGate: al crear un despliegue de GoldenGate, puede especificar uno o más NSG para controlar el acceso al despliegue.
- Clusters de Redis: al crear un cluster de Redis, puede especificar uno o más NSG para controlar el acceso al cluster de Redis. También puede actualizar un cluster existente para usar uno o más NSG.
Para tipos de recursos que aún no admiten grupos de seguridad de redes, continúe utilizando listas del sistema para controlar el tráfico entrante y saliente de esos recursos principales.
Visión general de grupos de seguridad de red
Un grupo de seguridad de red (NSG) proporciona un firewall virtual para un conjunto de recursos en la nube que tienen la misma posición de seguridad. Por ejemplo, un grupo de instancias de Compute que realizan las mismas tareas y, por lo tanto, todas deben utilizar el mismo conjunto de puertos.
Un NSG consta de dos tipos de elementos:
- VNIC: una o más VNIC (por ejemplo, las VNIC asociadas al conjunto de instancias de Compute que tienen la misma posición que la seguridad). Todas las VNIC deben estar en la misma VCN que el NSG. Consulte también Comparación de listas de seguridad y grupos de seguridad de red.
- Reglas de seguridad: las reglas de seguridad del NSG definen los tipos de tráfico permitidos de entrada y salida de las VNIC en el grupo. Por ejemplo: tráfico de shell seguro del puerto 22 TCP de entrada desde un origen concreto.
Si tiene recursos con posturas de seguridad diferentes en la misma VCN, puede escribir reglas de seguridad del NSG para controlar el tráfico entre los recursos con una postura frente a otra. Por ejemplo, en el siguiente diagrama, NSG1 tiene VNIC que se ejecutan en una capa de una aplicación en arquitectura de varios capas. NSG2 tiene las VNIC en ejecución en un segundo nivel. Ambos grupos de seguridad de red deben pertenecer a la misma VCN. La suposición es que ambos NSG necesitan iniciar las conexiones con otros NSG.
Para NSG1, se configuran las reglas de seguridad de salida que especifican NSG2 como destino, así como las reglas de seguridad de entrada que especifican NSG2 como origen. Del mismo modo, para NSG2, se configuran las reglas de seguridad de salida que especifican NSG1 como destino, y las reglas de seguridad de entrada que especifican NSG1 como origen. Se supone que las reglas se encuentran con estado en este ejemplo.
El diagrama anterior supone que cada NSG necesita iniciar conexiones con el otro NSG.
En el siguiente diagrama se supone que, en su lugar, solo desea permitir conexiones iniciadas desde NSG1 a NSG2. Para ello, elimine la regla de entrada de NSG1 y la de salida de NSG2. Las reglas restantes no permiten conexiones iniciadas de NSG2 a NSG1.
En el siguiente diagrama, se supone que se desea controlar el tráfico entre las VNIC en el mismo grupo de seguridad de red. Para ello, establezca el origen (para la entrada) o el destino (para la salida) de la regla como el grupo de seguridad de red propio.
Una VNIC puede tener un máximo de cinco grupos de seguridad de red. Se permite un paquete en cuestión si cualquier regla de cualquiera de los NSG de la VNIC permite el tráfico (o si el tráfico es parte de una conexión existente de la que se está realizando un seguimiento), a menos que las listas contengan reglas de seguridad con estado y sin estado que cubran el mismo tráfico. Para obtener más información, consulte Stateful Compared to Stateless Rules.
Los grupos de seguridad de red son entidades regionales. Para conocer los límites relacionados con los grupos de seguridad de red, consulte Comparación de listas de seguridad y grupos de seguridad de red.
Consulte Límites de grupo de seguridad de red y Solicitud de aumento del límite de servicio para obtener información relacionada con los límites.
Reglas de seguridad
Si aún no está familiarizado con los conceptos básicos de las reglas de seguridad de un grupo de seguridad de red, consulte estas secciones en el tema sobre reglas de seguridad:
Uso de la API
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.
Hay varias diferencias en el modelo del API de REST para el NSG, en comparación con las lista de seguridad:
- Con las listas de seguridad hay un objeto de
IngressSecurityRule
y un objeto deEgressSecurityRule
independiente. Los grupos de seguridad de red solo tienen un objetoSecurityRule
y el atributodirection
del objeto muestra si la regla es para el tráfico de entrada o de salida. - Con las listas de seguridad, las reglas forman parte del objeto
SecurityList
y se trabaja con las reglas llamando a las operaciones de la lista de seguridad (comoUpdateSecurityList
). Con los grupos de seguridad de red, las reglas que forman parte del objetoNetworkSecurityGroup
. En su lugar, se utilizan operaciones independientes para trabajar con las reglas para un NSG determinado (por ejemplo:UpdateNetworkSecurityGroupSecurityRules
). - El modelo para actualizar reglas de seguridad existentes es diferente entre listas de seguridad y grupos de seguridad de red. Con los grupos de servicios de red, cada regla de un grupo concreto tiene un identificador asignado por Oracle único (por ejemplo: 04ABEC). Al llamar a
UpdateNetworkSecurityGroupSecurityRules
, proporciona los identificadores de las reglas específicas que desea actualizar. En comparación, con las listas de seguridad, las reglas no tienen ningún identificador único. Al llamar aUpdateSecurityList
, debe transferir toda la lista de reglas, incluidas aquellas reglas que no se estén actualizando en la operación. - La seguridad establece un límite de 25 reglas al llamar a las operaciones para agregar, eliminar o actualizar.
Trabajar con grupos de seguridad de red
Proceso general para trabajar con grupos de seguridad de red
- Cree un grupo de seguridad de red.
- Agregue reglas de seguridad al grupo de seguridad de red.
- Agregue recursos principales (como VNIC) al grupo de seguridad de red. Puede hacerlo cuando crea el recurso principal, o bien puede actualizar el recurso principal y agregarlo a uno o más grupos de seguridad de red. Cuando se crea una instancia de Compute y se agrega a un NSG, la VNIC principal de la instancia se agrega al NSG. Por separado, puede crear VNIC secundarias y, opcionalmente, agregarlas a grupos de seguridad de red.
Supresión de grupos de seguridad de red
Para suprimir un grupo de seguridad de red, no debe contener ninguna VNIC ni recursos principales. Cuando se suprimirá un recurso principal (o una VNIC del instancia informática) se eliminará automáticamente de los NSG en los que estaba. Puede que no tenga permiso para suprimir un recurso principal concreto. Póngase en contacto con el administrador del arrendamiento para buscar quién es el propietario de un recurso concreto.
Política de IAM necesaria
Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que se le haya otorgado acceso de seguridad en una política por parte de un administrador de arrendamiento. Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indique que no tiene permiso o no está autorizado, verifique con su administrador de arrendamiento el tipo de acceso y el compartimento en el que funciona su acceso.
Para administradores: la política para permitir a los administradores de red gestionar una red en la nube abarca la gestión de todos los componentes de Networking, incluidos los grupos de red.
Si tiene administradores de seguridad que necesitan gestionar grupos de seguridad de red, pero no otros componentes del servicio de Networking, puede crear una política más restrictiva:
Allow group NSGAdmins to manage network-security-groups in tenancy
Allow group NSGAdmins to manage vcns in tenancy
where ANY {request.operation = 'CreateNetworkSecurityGroup',
request.operation = 'DeleteNetworkSecurityGroup'}
Allow group NSGAdmins to read vcns in tenancy
Allow group NSGAdmins to use VNICs in tenancy
La primera sentencia permite al grupo NSGAdmins crear y gestionar los grupos de seguridad de red y sus reglas de seguridad.
La segunda sentencia es necesaria porque la creación o supresión de un grupo de seguridad de red afecta a la VCN en la que se encuentra dicho grupo. La sentencia restringe los permisos relacionados con la VCN a únicamente aquellos requeridos para crear o suprimir un grupo de seguridad de red. La sentencia no permite que el grupo NSGAdmins cree o suprima redes virtuales en la nube, ni que trabaje con ningún recurso de una VCN, excepto los NSG.
La tercera sentencia es necesaria para mostrar las VCN, que es un requisito previo para crear o suprimir un grupo de seguridad de red de una VCN. Para obtener información sobre por qué son necesarias tanto la segunda como la tercera sentencia, consulte Condiciones.
La cuarta sentencia es necesaria si NSGAdmins debe colocar las VNIC en un grupo de seguridad de red. Cualquiera que cree el recurso principal de VNIC (por ejemplo, una instancia de Compute) debe tener este nivel de permiso para crear el recurso principal.
Para obtener más información sobre las políticas del servicio de redes, consulte Políticas de IAM para Networking.