Seguridad para los servicios básicos

Oracle Cloud Infrastructure Compute permite aprovisionar y gestionar hosts de recursos informáticos, conocidos como instancias . Puede iniciar instancias según sea necesario para cumplir con los requisitos de los recursos informáticos y la aplicación. Después de iniciar una instancia, puede acceder a ella de forma segura desde su equipo, reiniciarla, conectar y desconectar volúmenes y terminarla cuando haya finalizado. Cualquier cambio realizado en las unidades locales de la instancia se pierde cuando la termina. Se conserva cualquier cambio guardado en los volúmenes asociados a la instancia.

Oracle Cloud Infrastructure ofrece tanto instancias de máquina virtual como con hardware dedicado:

Hardware dedicado

Una instancia informática ofrece acceso exclusivo al servidor físico para un mejor rendimiento y mayor aislamiento. Una vez que un cliente finaliza su instancia con hardware dedicado, el servidor se somete a un proceso automatizado de borrado de nivel de firmware y disco para garantizar el aislamiento entre los clientes.

Máquina Virtual

Una máquina virtual (VM) es un entorno informático independiente que se ejecuta en un hardware físico dedicado. La virtualización permite ejecutar varias máquinas virtuales que están aisladas unas de otras. Las máquinas virtuales son ideales para ejecutar aplicaciones que no requieren el rendimiento y los recursos (CPU, memoria, ancho de banda de red y almacenamiento) de un equipo físico completo.

Una instancia informática de VM de Oracle Cloud Infrastructure se ejecuta en el mismo hardware que una instancia con hardware dedicado, utilizando la misma infraestructura de hardware, firmware, pila de software y red optimizada para la nube.

Todas las instancias de Oracle Cloud Infrastructure utilizan shell seguro (SSH) basado en claves por defecto. Los clientes proporcionan claves SSH públicas a Oracle Cloud Infrastructure y utilizan las claves SSH privadas para acceder a las instancias. Oracle recomienda utilizar SSH basado en claves para acceder a las instancias de Oracle Cloud Infrastructure. Un SSH basado en contraseña podría ser susceptible de sufrir ataques de fuerza bruta y no se recomienda.

Las imágenes de Oracle Linux reforzadas con las actualizaciones de seguridad más recientes están disponibles para su ejecución en instancias de Oracle Cloud Infrastructure. Las imágenes de Oracle Linux ejecutan Unbreakable Enterprise Kernel (UEK) y admiten funciones de seguridad avanzadas, como Ksplice, para aplicar parches de seguridad sin reiniciar. Además de Oracle Linux, Oracle Cloud Infrastructure pone a disposición una lista de otras imágenes de plataforma de sistema operativo, como CentOS, Ubuntu y Windows Server. Todas las imágenes de plataforma vienen con valores por defecto seguros, incluidos los firewalls de nivel de sistema operativo activados por defecto.

También puede traer sus propias imágenes personalizadas. Sin embargo, determinadas políticas de zona de seguridad solo permiten el uso de imágenes de plataforma en compartimentos asociados con una zona de seguridad.

Utilice el servicio Vulnerability Scanning para comprobar de forma rutinaria las posibles vulnerabilidades de seguridad, como faltas de parches o puertos abiertos. El servicio genera informes con métricas y detalles sobre estas vulnerabilidades y asigna a cada uno un nivel de riesgo.

Para obtener más información, consulte:

• Visión general de Compute
• Protección de Compute

El servicio Oracle Cloud Infrastructure Networking permite definir una red privada personalizable (una VCN o red virtual en la nube), que aplique aislamiento lógico de sus recursos de Oracle Cloud Infrastructure. Al igual que con su red local en sus centros de datos, puede configurar una VCN con subredes, tablas de rutas, gateways y reglas de firewall.

A continuación se muestran los conceptos clave de red asociados a una VCN:

Subred

Subdivisión principal de una VCN. Las subredes pueden ser públicas o privadas. Una subred privada evita que los recursos iniciados en esa subred tengan direcciones IP públicas.

Gateway de Internet

Enrutador virtual que proporciona conectividad pública a Internet desde una VCN. Por defecto, una VCN creada recientemente no tiene conectividad a Internet.

Gateway de enrutamiento dinámico (DRG)

Enrutador virtual que proporciona una ruta de acceso para el tráfico privado entre una VCN y la red del centro de datos. Se utiliza un DRG con una VPN IPSec u Oracle Cloud Infrastructure FastConnect.

Gateway de traducción de direcciones de red (NAT)

Enrutador virtual que proporciona acceso a Internet a los recursos en la nube sin direcciones IP públicas sin exponer esos recursos a las conexiones de Internet entrantes.

Gateway de servicio

Enrutador virtual que proporciona a los recursos en la nube acceso privado a los servicios de Oracle como Object Storage sin utilizar un gateway de Internet o gateway de NAT.

Tabla de ruta

Tablas de rutas virtuales que tienen reglas para enrutar el tráfico desde subredes hasta destinos fuera de la VCN mediante gateways o instancias informáticas especialmente configuradas.

Lista de seguridad

Reglas de firewall virtual que especifican los tipos de tráfico (protocolo y puerto) permitidos dentro y fuera de los recursos. Las reglas individuales se pueden definir como con estado o sin estado y afectan a todos los recursos de la subred de destino.

Grupo de seguridad de red

Reglas de firewall virtual que definen la entrada y salida permitidas a los recursos que son miembros del grupo. Se pueden definir reglas individuales con estado o sin estado.

Utilice listas de seguridad, grupos de seguridad de red o una combinación de ambos para controlar el tráfico de entrada y salida de paquetes de los recursos de la VCN. Por ejemplo, puede permitir el tráfico SSH entrante desde cualquier lugar a una subred o grupo de instancias configurando una regla de entrada con estado con CIDR 0.0.0.0/0 de origen y el puerto 22 de TCP de destino. Cada VCN tiene una lista de seguridad por defecto que solo permite SSH y determinados tipos de tráfico de entrada ICMP importante, y permite todo el tráfico de salida.

Cree subredes privadas para asegurarse de que los recursos de la subred no tengan acceso a internet, incluso si la VCN tiene un gateway de Internet en funcionamiento, e incluso si las reglas de seguridad y las reglas de firewall permiten el tráfico. Determinadas políticas de zona de seguridad solo permiten el uso de subredes privadas. Puede utilizar el servicio Bastion para crear sesiones SSH temporales y seguras desde Internet hasta los recursos de una subred privada.

Una VCN se puede configurar para la conectividad a Internet o conectarse a su centro de datos privado a través de un sitio a sitio VPNor FastConnect. FastConnect ofrece una conexión privada entre el enrutador de borde de una red existente y los DRG. El tráfico no pasa por Internet.

Para obtener más información, consulte:

• Formas de proteger la red
• Control de acceso
• Reglas de seguridad
• Protección de Networking: VCN, equilibradores de carga y DNS

Oracle Cloud Infrastructure ofrece varias soluciones de almacenamiento para satisfacer sus requisitos de rendimiento y durabilidad:

Almacenamiento Local

Almacenamiento con copia de seguridad NVMe en instancias informáticas con muchas IOPS.

Volumen en bloque

Volúmenes de almacenamiento conectados a red que se pueden asociar a instancias informáticas.

Almacenamiento de objetos

Servicio regional para almacenar grandes cantidades de datos como objetos, lo que proporciona una coherencia y durabilidad sólidas. Los objetos se organizan mediante cubos.

File Storage

Sistema de archivos de red duradero que admite el protocolo del sistema de archivos de red versión 3.0 (NFSv3).

El servicio Oracle Cloud Infrastructure Block Volume proporciona un almacenamiento persistente que se puede asociar a instancias informáticas mediante el protocolo iSCSI. Los volúmenes se almacenan en un almacenamiento de red de alto rendimiento y admiten capacidades de instantáneas y copias de seguridad automatizadas. Los volúmenes y sus copias de seguridad solo son accesibles desde la VCN de un cliente y se cifran cuando están inactivos mediante claves únicas. Para mayor seguridad, puede ser necesaria la autenticación CHAP de iSCSI por volumen.

El servicio Oracle Cloud Infrastructure Object Storage proporciona un almacenamiento duradero, consistente y con grandes posibilidades de ampliación para los objetos. Las llamadas de API a través de HTTPS ofrecen un acceso de alto rendimiento a los datos. Todos los objetos se cifran en reposo mediante claves únicas y, por defecto, el acceso a cubos y objetos dentro de ellos requiere autenticación.

Las políticas de zona de seguridad necesitan que cifre volúmenes, objetos y sistemas de archivos mediante claves gestionadas por el cliente en el servicio Vault. También puede utilizar Security Advisor para crear rápidamente recursos de almacenamiento y las claves necesarias en una sola interfaz.

Utilice las políticas de seguridad de IAM para otorgar acceso a los usuarios y grupos a los cubos de Object Storage. Para permitir el acceso a los cubos para los usuarios que no tienen credenciales de IAM, el propietario del cubo (o un usuario con privilegios necesarios) puede crear solicitudes autenticadas previamente. Las solicitudes autenticadas previamente permiten acciones autorizadas en cubos u objetos durante un período de tiempo especificado.

También se pueden hacer públicos los cubos, lo que permite el acceso no autenticado y anónimo. Object Storage permite verificar que un objeto no se ha dañado accidentalmente; para ello, se envía un total de control MD5 con el objeto y se devuelve tras una carga correcta Este total de control se puede utilizar para validar la integridad del objeto. Dado el riesgo de seguridad de la revelación accidental de información, Oracle recomienda que tenga en cuenta el caso de negocio antes de hacer que un cubo sea público. Determinadas políticas de zona de seguridad prohíben la creación de cubos públicos.

El servicio Oracle Cloud Infrastructure File Storage permite gestionar recursos como sistemas de archivos, destinos de montaje y juegos de exportación. Puede utilizar políticas de IAM para definir el acceso a estos recursos. Se admite el estilo AUTH_UNIX de autenticación y comprobación de permisos para solicitudes de cliente NFS remoto a un sistema de archivos.

Para obtener más información, consulte:

• Protección de Block Volumes
• Protección de Object Storage
• Protección de File Storage

El servicio Oracle Cloud Infrastructure Database ofrece soluciones de Oracle Database en la nube autónomas y gestionadas conjuntamente. Para ambos tipos de soluciones de base de datos, tiene acceso completo a las funciones y operaciones disponibles en la base de datos, pero Oracle posee y gestiona la infraestructura.

• Las bases de datos autónomas son entornos preconfigurados y completamente gestionados que son adecuados para el procesamiento de transacciones o para las cargas de trabajo del almacén de datos.
• Las soluciones gestionadas conjuntamente son sistemas con hardware dedicado, de máquina virtual y de base de datos Exadata que se pueden personalizar con los recursos y la configuración que satisfagan sus necesidades.

Solo se puede acceder a los sistemas de base de datos desde la VCN, y puede configurar grupos de seguridad de red o listas de seguridad para controlar el acceso de red a las bases de datos. El servicio Database está integrado con IAM para controlar qué usuarios pueden iniciar y gestionar sistemas de base de datos. Por defecto, los datos se cifran cuando están inactivos mediante el cifrado de datos transparente (TDE) de Oracle con las claves maestras almacenadas en Oracle Wallet en cada sistema de base de datos.

Las copias de seguridad de RMAN de sistemas de base de datos se cifran y se almacenan en cubos del cliente en el servicio Object Storage. Determinadas políticas de zona de seguridad requieren la configuración de copias de seguridad de la base de datos.

La aplicación de parches de seguridad de bases de datos de Oracle (actualizaciones de parches críticos de Oracle) es necesaria para mitigar los problemas conocidos de seguridad y Oracle recomienda mantener los parches actualizados. Los juegos de parches y las actualizaciones de juegos de parches (PSU) se lanzan trimestralmente. Estas versiones de parches contienen correcciones de seguridad y otras correcciones de errores críticos de alto impacto o de bajo riesgo.

Para obtener más información, consulte Protección de Base de Datos.

Oracle Cloud Infrastructure Load Balancer proporciona una distribución automatizada del tráfico desde un punto de entrada a varios servidores a los que se puede acceder desde la red virtual en la nube (VCN). El servicio ofrece un equilibrador de carga con una dirección IP pública o privada, y ancho de banda aprovisionado. Un equilibrador de carga privado tiene una dirección IP de la subred de host, que solo es visible dentro de su VCN.

Se pueden aplicar las siguientes configuraciones SSL al equilibrador de carga:

SSL TERMINATION

El equilibrador de carga gestiona el tráfico SSL entrante y transfiere la solicitud no cifrada a un servidor backend.

SSL DE PUNTO A PUNTO

El equilibrador de carga finaliza la conexión SSL con un cliente de tráfico entrante y, a continuación, inicia una conexión SSL a un servidor backend.

SSL TUNNELING

Si se configura el listener del equilibrador de carga para el tráfico TCP, el equilibrador de carga realiza túneles de las conexiones SSL entrantes a los servidores de aplicaciones.

El servicio Load Balancer admite TLS 1.2 por defecto y prioriza los siguientes cifrados de confidencialidad directa en el conjunto de cifrado de TLS:

• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-RSA-AES256-SHA384
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-RSA-AES128-SHA256
• DHE-RSA-AES256-GCM-SHA384
• DHE-RSA-AES256-SHA256
• DHE-RSA-AES128-GCM-SHA256
• DHE-RSA-AES128-SHA256

Puede configurar el acceso de red para equilibradores de carga mediante listas de seguridad de red o grupos de seguridad de red de VCN.

Para obtener más información, consulte Protección de Networking: VCN, equilibradores de carga y DNS.