Listas de seguridad

El servicio de Networking ofrece dos funciones de firewall virtual para controlar el tráfico en el nivel de paquete:

  • Listas de seguridad: cubiertas en este tema. Tipo original de firewall virtual ofrecido por el servicio de Networking.
  • Grupos de seguridad de red: otro tipo de firewall virtual que Oracle recomienda en las listas de seguridad. Consulte Grupos de seguridad de red.

Ambas funciones utilizan reglas de seguridad. Para obtener información importante sobre el funcionamiento de las reglas de seguridad y la comparación general de las listas de seguridad y los grupos de seguridad de red, consulte Reglas de seguridad.

Aspectos destacados

  • Las listas de seguridad actúan como cortafuegos virtuales para las instancias informáticas y otros tipos de recursos. Una lista de seguridad se compone de un conjunto de reglas de seguridad de entrada y salida que se aplican a todas las VNIC de cualquier subred con la que esté asociada la lista de seguridad. Esto significa que todas las VNIC de una subred determinada están sujetas al mismo conjunto de listas de seguridad. Consulte Comparación de listas de seguridad y grupos de seguridad de red.
  • Las reglas de las listas de seguridad funcionan del mismo modo que las reglas de los grupos de seguridad de red. Para obtener más información sobre los parámetros de reglas, consulte Partes de una regla de seguridad.
  • Cada VCN incluye una lista de seguridad predeterminada con varias reglas también predeterminadas para el tráfico esencial. Si no especifica ninguna lista de seguridad personalizada para una subred, la lista de seguridad predeterminada se utiliza automáticamente con esa subred. Puede agregar y eliminar reglas de la lista de seguridad predeterminada.
  • Las listas de seguridad tienen límites diferentes e independientes en comparación con los grupos de seguridad de red. Consulte Comparación de listas de seguridad y grupos de seguridad de red.

Visión general de listas de seguridad

Una lista de seguridad actúa como un firewall virtual para una instancia, con reglas de entrada y salida que especifican los tipos de tráfico permitidos que entran en la instancia y salen de esta. Cada lista de seguridad se aplica en el nivel de VNIC. Sin embargo, las listas de seguridad se configuran en el nivel de la subred, lo que significa que todas las VNIC de una subred específica están sujetas al mismo conjunto de las listas de seguridad. Las listas de seguridad se aplican a una VNIC determinada, ya sea que se comunique con otra instancia de la VCN o un host fuera de la VCN.

Cada subred puede tener varias listas de seguridad asociadas a ella y cada lista puede tener varias reglas (para conocer el número máximo, consulte Comparación de listas de seguridad y grupos de seguridad de red). Se permite un paquete en cuestión si alguna regla de las listas permite el tráfico (o si el tráfico forma parte de una conexión existente cuyo seguimiento se está realizando). Hay una excepción si las listas vienen a contener reglas con estado y sin estado que cubren el mismo tráfico. Para obtener más información, consulte Reglas con estado frente a sin estado.

Las listas de seguridad son entidades regionales. Para conocer los límites relacionados con las listas de seguridad, consulte Comparación de listas de seguridad y grupos de seguridad de red.

Las listas de seguridad pueden controlar el tráfico de IPv4 e IPv6. Las direcciones IPv6 y las reglas de lista de seguridad relacionadas se admiten en todas las regiones comerciales y gubernamentales. Para obtener más información, consulte Direcciones IPv6.

Lista de seguridad predeterminada

A diferencia de otras listas de seguridad, la lista de seguridad por defecto incluye un juego inicial de reglas con estado, que en la mayoría de los casos se debe cambiar para permitir solo el tráfico entrante de subredes autorizadas relevantes para la región que aloja esa VCN o subred. Puede encontrar una lista de rangos de subred autorizados relevantes para cada región en https://docs.cloud.oracle.com/iaas/tools/public_ip_ranges.json.

  • Entrada con estado: permita el tráfico TCP en el puerto de destino 22 (SSH) desde direcciones IP de origen autorizadas y cualquier puerto de origen. Esta regla facilita la creación de una nueva red en la nube y una subred pública, el inicio de una instancia de Linux y, a continuación, usar de inmediato el SSH para conectarse a esa instancia sin que el usuario tenga que escribir las reglas de la lista de seguridad.

    Importante

    La lista de seguridad por defecto no incluye ninguna regla que permita el acceso de RDP (protocolo de escritorio remoto). Si utiliza imágenes de Windows, asegúrese de agregar una regla de entrada con estado para el tráfico TCP en el puerto de destino 3389 desde las direcciones IP de origen autorizadas y cualquier puerto de origen.

    Consulte Activación del acceso de RDP para obtener más información.

  • Entrada con estado: permita el tráfico de ICMP tipo 3 y código 4 desde las direcciones IP de origen autorizadas. Esta regla permite a las instancias recibir mensajes de fragmentación del descubrimiento de la MTU de la ruta.
  • Entrada con estado: permitir tráfico de ICMP del tipo 3 (todos los códigos) desde el bloque CIDR de la VCN. Esta regla facilita que las instancias reciban mensajes de error de conectividad procedentes de otras instancias de la VCN.
  • Entrada con estado: permite todo el tráfico. Esto permite a las instancias iniciar el tráfico de cualquier tipo a cualquier destino. Tenga en cuenta que esto significa que las instancias con direcciones IP públicas pueden comunicarse con cualquier dirección IP de internet si la VCN tiene configurado un gateway de internet. Además, como las reglas de seguridad con estado utilizan el seguimiento de conexiones, se permite el tráfico de respuesta automáticamente, con independencia de las reglas de entrada. Para obtener más información, consulte Reglas con estado frente a sin estado.

La lista de seguridad predeterminada no tiene ninguna regla sin estado. Sin embargo, siempre puede agregar o eliminar reglas de la lista de seguridad predeterminada.

Si su dirección de VCN está activada para IPv6, la lista de seguridad predeterminada contiene algunas reglas predeterminadas para el tráfico de IPv6. Para obtener más información, consulte Security Rules for IPv6 Traffic.

Activación de ping

La lista de seguridad predeterminada no incluye ninguna regla que permita solicitudes de ping. Si planea hacer ping a una instancia, consulte Reglas para gestionar paquetes UDP fragmentados.

Reglas de seguridad para el tráfico IPv6

Al igual que las tablas de rutas, los grupos de seguridad de red y las reglas de seguridad de las listas de seguridad de la VCN soportan las reglas de IPv4 e IPv6. Por ejemplo, un grupo de seguridad de red o una lista de seguridad puede tener estas reglas de seguridad:

  • Regla para permitir el tráfico SSH desde el CIDR IPv4 de la red local
  • Regla para permitir el tráfico de ping desde el CIDR IPv4 de la red local
  • Regla para permitir el tráfico SSH desde el CIDR IPv6 de la red local
  • Regla para permitir el tráfico de ping desde el CIDR IPv6 de la red local

La lista de seguridad por defecto en una VCN con IPv6 activado incluye las reglas de IPv4 por defecto y las siguientes reglas de IPv6 por defecto:

  • Entrada con estado: permitir el tráfico TCP IPv6 en el puerto de destino 22 (SSH) desde origen ::/0 y cualquier puerto de origen. Esta regla facilita la creación de una VCN con una subred pública y un gateway de Internet, la creación de una instancia de Linux, la adición de un IPv6 activado para acceder a Internet y la conexión inmediata con SSH a esa instancia sin necesidad de que tenga que escribir ninguna regla de seguridad.

    Importante

    La lista de seguridad por defecto no incluye ninguna regla que permita el acceso de RDP (protocolo de escritorio remoto). Si utiliza imágenes de Windows, agregue una regla de entrada con estado para el tráfico TCP en el puerto de destino 3389 desde el origen ::/0 y cualquier puerto de origen.

    Consulte Activación del acceso de RDP para obtener más información.

  • Entrada con estado: permitir el tipo de tráfico ICMPv6 2 código 0 (paquete demasiado grande) desde origen ::/0 y cualquier puerto de origen. Esta regla permite a las instancias recibir mensajes de fragmentación del descubrimiento de la MTU de la ruta.
  • Salida con estado: la opción de permitir todo el tráfico IPv6 permite que las instancias inicien el tráfico IPv6 de cualquier tipo en cualquier destino. Tenga en cuenta que las instancias con IPv6 con acceso a Internet pueden comunicarse con cualquier dirección IPv6 de Internet si la VCN tiene un gateway de internet configurado. Además, como las reglas de seguridad con estado utilizan el seguimiento de conexiones, se permite el tráfico de respuesta automáticamente, con independencia de las reglas de entrada. Para obtener más información, consulte Reglas con estado frente a sin estado.

Trabajar con listas de seguridad

Proceso general para trabajar con listas de seguridad

  1. Cree una lista de seguridad.
  2. Agregue reglas de seguridad a la lista de seguridad.
  3. Asocie la lista de seguridad a una o más subredes.
  4. Cree recursos en la subred (por ejemplo, cree instancias informáticas en la subred). Las reglas de seguridad se aplican a todas las VNIC de esa subred. Consulte Comparación de listas de seguridad y grupos de seguridad de red.

Detalles adicionales

Al crear una subred, debe asociarle al menos una lista de seguridad. Puede ser la lista de seguridad predeterminada de la VCN o una o más listas de seguridad que haya creado (para el número máximo, consulte Límites de servicio). Puede cambiar las listas de seguridad que utiliza la subred en cualquier momento.

Opcionalmente, puede asignar un nombre fácil de recordar a la lista de seguridad durante la creación. No tiene que ser único y puede cambiarlo más adelante. Oracle le asigna automáticamente a la lista de seguridad un identificador único denominado ID de Oracle Cloud (OCID). Para obtener más información, consulte Identificadores de recursos.

Para el control de acceso, debe especificar el compartimiento en el que vaya a residir la lista de seguridad. Consulte a un administrador de la organización si no está seguro del compartimiento que debe utilizar. Para obtener más información, consulte Control de acceso.

Puede mover listas de seguridad de un compartimiento a otro. Mover una lista de seguridad no afecta su asociación con una subred. Cuando mueve una lista de seguridad a un compartimiento nuevo, las políticas inherentes se aplican inmediatamente y afectan al acceso a la lista de seguridad. Para obtener más información, consulte Gestión de compartimientos.

Puede agregar y eliminar reglas de la lista de seguridad. Una lista de seguridad no puede tener reglas. Tenga en cuenta que, al actualizar una lista de seguridad en la API, el nuevo conjunto de reglas sustituye a todo el conjunto de reglas existente.

Para suprimir una lista de seguridad, no se debe asociar a ninguna subred. No se puede suprimir ninguna lista de seguridad predeterminada de una VCN.

Política de IAM necesaria

Para utilizar Oracle Cloud Infrastructure, un administrador debe otorgarle acceso de seguridad en una política . Este acceso está requerido tanto si está utilizando la consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con su administrador qué tipo de acceso tiene y en qué compartimento  debe trabajar.

Para administradores: la política para permitir a los administradores de red gestionar una red en la nube cubre la gestión de todos los componentes de Networking, incluidas las listas de seguridad.

Si tiene administradores de seguridad que necesitan gestionar listas de seguridad, pero no otros componentes de Networking, puede crear una política más restrictiva:

Allow group SecListAdmins to manage security-lists in tenancy

Allow group SecListAdmins to manage vcns in tenancy

Ambas sentencias son necesarias porque la creación de una lista de seguridad afecta a la VCN en la que se encuentra. El ámbito de la segunda sentencia también permite al grupo de SecListAdmins crear una VCN. Sin embargo, el grupo no puede crear subredes ni gestionar ningún otro componente relacionado con cualquiera de esas VCN (excepto las listas de seguridad), ya que serían necesarios otros permisos para esos recursos. El grupo tampoco puede suprimir ninguna VCN existente que ya tenga subredes, porque dicha acción requeriría permisos relacionados con subredes.

Para obtener más información, consulte Políticas de IAM para Networking.

Uso de la consola

Visualización de la lista de seguridad predeterminada de una VCN
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Listas de seguridad.
  4. Haga clic en la lista de seguridad predeterminada para ver sus detalles.

    En Recursos, puede hacer clic en Reglas de entrada o en Reglas de salida para cambiar entre los distintos tipos de reglas.

Actualización de reglas en una lista de seguridad existente
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Listas de seguridad.
  4. Haga clic en la lista de seguridad en la que está interesado.
  5. En Recursos, haga clic en Reglas de entrada o en Reglas de salida según el tipo de regla con la que desee trabajar.
  6. Si desea agregar una regla, haga clic en Agregar regla de entrada (o en Agregar regla de salida). Consulte los detalles para agregar una regla en Creación de una lista de seguridad.
  7. Si desea suprimir una regla existente, haga clic en el menú Acciones y, a continuación, en Eliminar.
  8. Si desea editar una regla existente, haga clic en el menú Acciones y, a continuación, en Editar.
Creación de una lista de seguridad
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Listas de seguridad.
  4. Haga clic en Crear lista de seguridad.
  5. Introduzca lo siguiente:

    1. Nombre: nombre descriptivo de la lista de seguridad. El nombre no tiene por qué ser único, pero no se puede cambiar posteriormente en la consola (si bien puede cambiarlo con la API). Evite introducir información confidencial.
    2. Crear en compartimiento: compartimiento en el que desea crear la lista de seguridad, si es diferente del compartimiento en el que está trabajando actualmente.
  6. Agregar una regla de entrada o una regla de salida (para ver ejemplos de reglas, consulte Escenarios de Networking):

    1. Haga clic en Agregar regla de entrada o en Agregar regla de salida.
    2. Elija si se trata de una regla con estado o sin estado (consulte Reglas con estado frente a sin estado). Por defecto, las reglas tienen estado a menos que se especifique lo contrario.
    3. Introduzca el CIDR de origen (para la entrada) o el CIDR de destino (para la salida). Por ejemplo, utilice 0.0.0.0/0 para indicar todas las direcciones IP. Otros CIDR típicos que podría especificar en una regla son el bloque CIDR de la red local o de una subred concreta. Si se está configurando una regla de lista de seguridad para permitir el tráfico con un gateway de servicios, consulte Tarea 3: (Opcional) actualizar reglas de seguridad.

    4. Seleccione el protocolo IP (por ejemplo, TCP, UDP, ICMP, "Todos los protocolos", etc.).
    5. Introduzca más detalles según el protocolo:

      • Si ha seleccionado TCP o UDP, introduzca un rango de puertos de origen y un rango de puertos de destino. Puede introducir" Todos" para cubrir todos los puertos. Si se va a permitir un puerto específico, introduzca el número de puerto (por ejemplo, 22 para SSH o 3389 para RDP) o un rango de puertos (por ejemplo, 20-22).
      • Si se elige ICMP, puede introducir "Todos" para cubrir todos los tipos y códigos. Si se va a permitir un tipo de ICMP específico, introduzca el tipo y un código opcional separados por una coma (por ejemplo, 3,4). Si el tipo tiene varios códigos que desea permitir, cree una regla separada para cada código.
    6. Introduzca una descripción opcional de la regla para ayudar a gestionar las reglas de la lista de seguridad.
  7. Repita el paso anterior por cada regla que desee agregar a la lista.
  8. Etiquetas: si tiene permiso para crear un recurso, también tendrá permiso para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si debe aplicar etiquetas, omita esta opción (puede aplicar etiquetas más tarde) o consulte con el administrador.
  9. Cuando haya terminado, haga clic en Crear lista de seguridad.

La lista de seguridad se crea y se muestra en la página Listas de seguridad del compartimiento que se haya seleccionado. Ahora se puede especificar esta lista de seguridad al crear o actualizar una subred.

Al ver todas las reglas de una lista de seguridad, tenga en cuenta que cualquier regla sin estado de la lista se muestra sobre cualquier regla con estado. Las reglas sin estado de la lista tienen prioridad sobre las reglas con estado. Es decir, si hay tráfico que coincida tanto con una regla sin estado como con una regla con estado en todas las listas de seguridad asociadas a la subred, la regla sin estado tiene prioridad y no se realizará el seguimiento de la conexión.

Cambio de las listas de seguridad que utiliza una subred
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. Haga clic en Subredes.
  4. Haga clic en la subred que le interesa.
  5. En Recursos, haga clic en Listas de seguridad.
  6. Si se va a agregar una lista de seguridad, haga clic en Agregar lista de seguridad y seleccione la nueva lista de seguridad que desea que utilice la subred.
  7. Si desea eliminar una lista de seguridad, haga clic en el menú Acciones y, a continuación, haga clic en Eliminar. Recuerde que una subred siempre debe tener asociada al menos una lista de seguridad.

    Los cambios surten efecto en unos segundos.

Mover una lista de seguridad a un compartimiento diferente
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Listas de seguridad.
  4. Busque la lista de seguridad, haga clic en el menú Acciones y, a continuación, haga clic en Mover recurso.
  5. Seleccione el compartimiento de destino en la lista.
  6. Haga clic en Mover recurso.
Supresión de una lista de seguridad

Requisito: para suprimir una lista de seguridad, esta no se debe asociar a una subred. No puede suprimir la lista de seguridad por defecto de una VCN.

  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Listas de seguridad.
  4. Para la lista de seguridad que desea eliminar, haga clic en el menú Acciones y, a continuación, en Finalizar.
  5. Confirme cuando se le solicite.
Gestión de etiquetas de una lista de seguridad
  1. Abra el menú de navegación, haga clic en Red y, a continuación, haga clic en Red virtual en la nube.
  2. Haga clic en la VCN que le interesa.
  3. En Recursos, haga clic en Listas de seguridad.
  4. Haga clic en la lista de seguridad en la que está interesado.
  5. Haga clic en el separador Etiquetas para ver o editar las etiquetas existentes. O bien, haga clic en Agregar etiquetas para agregar etiquetas nuevas.

Para obtener más información, consulte Etiquetas de recursos.