Formas de proteger una red

OCI tiene varias formas de controlar la seguridad de una red en la nube y de las instancias informáticas:

• Subredes públicas y privadas: puede definir una subred para que sea privada, lo que significa que la instancia de la subred no puede tener direcciones IP públicas. Para obtener más información, consulte Subredes públicas frente a privadas.
• Reglas de seguridad: para controlar el tráfico de nivel de paquetes dentro y fuera de una instancia. Las reglas se configuran en la API o la consola de Oracle Cloud Infrastructure. Para implantar reglas de seguridad, puede utilizar grupos de seguridad de red o listas de seguridad. Para obtener más información, consulte Reglas de seguridad.
• Enrutamiento de paquetes de confianza cero: puede utilizar el enrutamiento de paquetes de confianza cero (ZPR) junto con grupos de seguridad de red o en lugar de ellos para gestionar el acceso de red a los recursos de OCI. Para ello, defina las políticas de ZPR que rigen la forma en que los recursos se comunican entre sí y, a continuación, agregue atributos de seguridad a esos recursos. Para obtener más información, consulte Zero Trust Packet Routing.
  Atención
  
  Si un punto final tiene un atributo de seguridad de enrutamiento de paquetes de confianza cero (ZPR), el tráfico al punto final debe cumplir las políticas de ZPR y también todas las reglas de NSG y lista de seguridad. Por ejemplo, si ya está utilizando NSG y agrega un atributo de seguridad a un punto final, todo el tráfico al punto final se bloquea. A partir de ese momento, una política ZPR debe permitir explícitamente el tráfico al punto final.
• Reglas del firewall: para controlar el tráfico de nivel de paquetes de entrada y salida de una instancia. Las reglas de firewall se configuran directamente en la propia instancia. Tenga en cuenta que las imágenes de plataforma que ejecutan Oracle Linux incluyen automáticamente reglas por defecto que permiten la entrada en el puerto TCP 22 para el tráfico SSH. Además, las imágenes de Windows incluyen reglas predeterminadas que permiten la entrada en el puerto 3389 de TCP para el acceso de escritorio remoto. Para obtener más información, consulte Imágenes de plataforma.
  Importante
  
  

  Las reglas de firewall y las reglas de seguridad funcionan a nivel de instancias. Sin embargo, las listas a nivel de subred se configuran en el nivel de seguridad, lo que significa que todos los recursos en una subred concreta tienen el mismo conjunto de reglas a las listas. Además, las reglas de seguridad de un grupo de seguridad de red solo se aplican a los recursos del grupo. Al solucionar problemas de acceso a una instancia, asegúrese de que todos los siguientes elementos estén configurados correctamente: los grupos de seguridad de red en los que se encuentra la instancia, las listas de seguridad asociadas a la subred de la instancia y las reglas de firewall de la instancia.

  Si una instancia está ejecutando Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 u Oracle Linux Cloud Developer 8, debe usar firewalld para interactuar con las reglas de iptables. A continuación se muestran los comandos para abrir un puerto (1521 en este ejemplo):

  sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
  								
  sudo firewall-cmd --reload

  Para instancias con un volumen de inicio iSCSI, el comando --reload anterior puede causar problemas. Para obtener información detallada y una solución alternativa, consulte Bloqueo del sistema de experiencias en instancias al ejecutar el firewall-cmd --reload.

• Gateways y tablas, para controlar la circulación de tráfico general desde una red en la nube a destinos ajenos (internet, la red local u otra VCN). Configure los gateways de la red en La nube y las tablas en la API o la consola de Oracle Cloud Infrastructure. Para obtener más información sobre los gateways, consulte Componentes de Networking. Para obtener más información sobre las tablas de rutas, consulte Tablas de rutas de VCN.
• políticas de IAM: para controlar quién tiene acceso a la API o la propia consola de Oracle Cloud Infrastructure. Puede controlar el tipo de acceso y los recursos en la nube a los que se puede acceder. Por ejemplo, puede controlar quién puede configurar las redes y los subredes o quién puede actualizar las tablas de rutas, los grupos del sistema de seguridad de red o la lista de seguridad. Las políticas Se configuran en la API o la consola de Oracle Cloud Infrastructure. Para obtener más información, consulte Control de acceso.
• zonas de seguridad: para asegurarse del cumplimiento por parte de la red y otros recursos de la nube de los principios de seguridad de Oracle y de las mejores prácticas, puede crearlos en una zona de seguridad. Una zona de seguridad está asociada a un compartimento y comprueba todas las operaciones de gestión de red con respecto a las políticas de zona de seguridad. Por ejemplo, las zonas de seguridad no permiten el uso de direcciones IP públicas y solo pueden contener subredes privadas. Para obtener más información, consulte Visión general de Security Zones.