Formas de proteger la red

Hay varias formas de controlar la seguridad de la red en la nube y las instancias de recursos informáticos:

  • Subredes públicas frente a privadas: puede designar una subred como privada, lo que significa que las instancias de la subred no pueden tener direcciones IP públicas. Para obtener más información, consulte Subredes públicas frente a privadas.
  • Reglas de seguridad: para controlar el tráfico de nivel de paquetes dentro y fuera de una instancia. Las reglas de seguridad se configuran en la API de Oracle Cloud Infrastructure o en la Consola. Para implantar reglas de seguridad, puede utilizar grupos de seguridad de red o listas de seguridad. Para obtener más información, consulte Reglas de seguridad.
  • Reglas del firewall: para controlar el tráfico de nivel de paquetes de entrada y salida de una instancia. Las reglas de firewall se configuran directamente en la propia instancia. Tenga en cuenta que las imágenes de plataforma que ejecutan Oracle Linux incluyen automáticamente reglas por defecto que permiten la entrada en el puerto TCP 22 para el tráfico SSH. Además, las imágenes de Windows incluyen reglas predeterminadas que permiten la entrada en el puerto 3389 de TCP para el acceso de escritorio remoto. Para obtener más información, consulte Imágenes de plataforma.
    Importante

    Las reglas de firewall y las reglas de seguridad funcionan a nivel de instancias. Sin embargo, las listas de seguridad se configuran en el nivel de subred, lo que significa que todos los recursos de una subred determinada tienen el mismo conjunto de reglas de listas de seguridad. Además, las reglas de seguridad de un grupo de seguridad de red solo se aplican a los recursos del grupo. Al solucionar problemas de acceso a una instancia, asegúrese de que todos los siguientes elementos estén configurados correctamente: los grupos de seguridad de red en los que se encuentra la instancia, las listas de seguridad asociadas a la subred de la instancia y las reglas de firewall de la instancia.

    Si la instancia está ejecutando Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 u Oracle Linux Cloud Developer 8, debe usar firewalld para interactuar con las reglas de iptables. A continuación se muestran los comandos para abrir un puerto (1521 en este ejemplo):

    sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
    								
    sudo firewall-cmd --reload

    Para instancias con un volumen de inicio iSCSI, el comando --reload anterior puede causar problemas. Para obtener información detallada y una solución alternativa, consulte Bloqueo del sistema de experiencias en instancias al ejecutar el firewall-cmd --reload.

  • Gateways y tablas de rutas: para controlar el flujo de tráfico general de la red en la nube a destinos externos (internet, la red local u otra VCN). Configure los gateways de la red en la nube y las tablas de rutas en la API de Oracle Cloud Infrastructure o la Consola. Para obtener más información sobre los gateways, consulte Componentes de Networking. Para obtener más información sobre las tablas de rutas, consulte Tablas de rutas de VCN.
  • Políticas de IAM: para controlar quién tiene acceso a la API de Oracle Cloud Infrastructure o a la propia Consola. Puede controlar el tipo de acceso y los recursos en la nube a los que se puede acceder. Por ejemplo, puede controlar quién puede configurar la red y las subredes o quién puede actualizar las tablas de rutas, los grupos de seguridad de red o las listas de seguridad. Las políticas se configuran en la API de Oracle Cloud Infrastructure o en la Consola. Para obtener más información, consulte Control de acceso.
  • Zonas de seguridad: para asegurarse de que la red y otros recursos en la nube cumplen los principios de seguridad y las mejores prácticas de Oracle, puede crearlos en una zona de seguridad. Una zona de seguridad está asociada a un compartimento y comprueba todas las operaciones de gestión de red con respecto a las políticas de zona de seguridad. Por ejemplo, una zona de seguridad no permite el uso de direcciones IP públicas y solo puede contener subredes privadas. Para obtener más información, consulte Visión general de Security Zones.