Documentación de Oracle Cloud Infrastructure

Solución de problemas de configuración básica

En este tema se muestran los procedimientos para solucionar los problemas de configuración comunes que afectan a la seguridad de los recursos de Oracle Cloud Infrastructure.

Volumen en bloque

Volumen en bloque desasociado de la instancia

Problema: asegúrese de que solo los administradores de Oracle Cloud Infrastructure pueden desconectar volúmenes en bloque de instancias.

Conceptos básicos: al desasociar un volumen en bloque, se disocia el volumen de la instancia asociada, lo que afecta a los datos disponibles en la instancia. Esto puede afectar la disponibilidad de los datos desde los datos críticos del negocio hasta la finalización correcta de las copias de seguridad planificada de los volúmenes. Para minimizar la pérdida de datos debido a desasociaciones involuntarias de volúmenes por parte de un usuario autorizado o desasociaciones maliciosas de volúmenes, debe restringir el permiso VOLUME_ATTACHMENT_DELETE a los administradores.

Para evitar la desasociación de volúmenes en bloque:

La siguiente política permite al grupo VolumeUsers gestionar volúmenes y asociaciones de volúmenes excepto desasociar volúmenes:

Allow group VolumeUsers to manage volumes in tenancy
Allow group VolumeUsers to manage volume-attachments in tenancy
    where request.permission!='VOLUME_ATTACHMENT_DELETE'

Este cambio impide que VolumeUsers desasocie volúmenes de las instancias.

Más información:

Recursos informáticos

Instancia creada basada en una imagen personalizada no aprobada

Problema: se ha creado una instancia de una imagen personalizada no admitida en su entorno.

Información básica: cuando los usuarios crean instancias, pueden seleccionar imágenes de plataforma, volúmenes de inicio a partir de instancias terminadas o imágenes personalizadas. Las imágenes personalizadas representan una amplia variedad de imágenes que pueden incluir imágenes que no están aprobadas para su entorno. Si utiliza etiquetas en el arrendamiento de Oracle Cloud Infrastructure para identificar imágenes aprobadas, compruebe si la imagen en la que se basa la instancia es una imagen aprobada y termine la instancia si es necesario.

Para verificar las etiquetas de la imagen desde la que se ha creado la instancia:

El siguiente procedimiento es para la Consola de Oracle Cloud Infrastructure.

  1. Abra el menú de navegación y seleccione Recursos informáticos. En Recursos informáticos, seleccione Instancias.
  2. Haga clic en la instancia que le interese.
  3. Haga clic en el enlace Imagen para ver la imagen de origen.
  4. Haga clic en el separador Etiquetas para ver las etiquetas aplicadas a esta imagen.

Si la imagen personalizada no tiene una etiqueta aprobada y es necesario terminar la instancia, consulte Finalización de una instancia.

Más información:

IAM

Un miembro del grupo de administradores ha utilizado claves de API

Problema: un usuario que es miembro del grupo de administradores ha accedido a los recursos mediante una clave de API.

Conceptos básicos:

  • Las claves de API son credenciales utilizadas para otorgar acceso mediante programación a Oracle Cloud Infrastructure.

  • Por motivos de seguridad y gobernanza, los usuarios solo deben tener acceso a los recursos con los que necesitan interactuar.

  • Para personas que sean miembros del grupo de administradores que también necesitan acceder a los recursos a través de la API, cree otro usuario en IAM al que pueda asociar las claves de API. Otorgue al usuario los permisos de claves de API solo para los recursos con los que necesite interactuar mediante programación.

Para crear un usuario, grupo y política con permisos limitados:

El siguiente conjunto de procedimientos muestra cómo configurar un usuario de ejemplo con permisos limitados. En este ejemplo, el usuario debe poder iniciar instancias en un compartimento específico.

El siguiente procedimiento es para la Consola de Oracle Cloud Infrastructure.

Creación de un usuario
  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios.
  2. Haga clic en Crear usuario.

  3. En el cuadro de diálogo Crear usuario:

    • Nombre: introduzca un nombre único o una dirección de correo electrónico para el nuevo usuario. El valor será el nombre que usa el usuario para acceder a la consola y debe ser único con respecto al resto de usuarios de su arrendamiento.
    • Descripción: introduzca una descripción (obligatorio).
  4. Haga clic en Crear.
Creación de un grupo

A continuación, cree el grupo (" InstanceLaunchers" ) para el que creará la política.

  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
  2. Haga clic Crear grupo.

  3. En el cuadro de diálogo Crear grupo:

    • Nombre: introduzca un nombre único para el grupo, por ejemplo,"InstanceLaunchers".

      Tenga en cuenta que el nombre no puede contener espacios.

    • Descripción: introduzca una descripción (necesaria).
  4. Haga clic en Crear.
Creación de una política

En este ejemplo, la política otorga a los miembros los permisos del grupo InstanceLaunchers para iniciar instancias en un compartimento específico (CompartmentA).

  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Políticas.
  2. Haga clic en Crear política.

  3. Introduzca un nombre único para la política, por ejemplo, "InstanceLaunchersPolicy".

    Tenga en cuenta que el nombre no puede contener espacios.

  4. Introduzca una descripción (obligatorio), por ejemplo, "Otorga a los usuarios permiso para iniciar instancias en CompartmentA".
  5. Haga clic en Mostrar editor manual e introduzca esta sentencia: 
    Allow group InstanceLaunchers to manage instance-family in compartment CompartmentA

    Esta sentencia otorga a los miembros permisos del grupo InstanceLaunchers para que inicien y gestionen instancias en el compartimento denominado CompartmentA.

  6. Haga clic en Crear.
Adición del usuario al grupo
  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios.
  2. En la lista Usuarios, busque el usuario y haga clic en el nombre.

  3. En la página de detalles del usuario, haga clic en Grupos (en la parte izquierda de la página). Aparece la lista de grupos a los que pertenece el usuario.

  4. Haga clic en Agregar usuario a grupo.
  5. En la lista Grupos, seleccione InstanceLaunchers.
  6. Haga clic en Agregar.
Carga de una clave de firma de API para el usuario

El siguiente procedimiento funciona para un usuario normal o un administrador. Los administradores pueden cargar una clave de API para otro usuario o para ellos mismos.

Importante

La clave de API debe ser una clave RSA con formato PEM (mínimo 2048 bits). El formato PEM es similar al siguiente:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——

Para obtener más información sobre la generación de una clave pública PEM, consulte Claves y OCID necesarios.

  1. Consulte los detalles del usuario:
    • Si está cargando una clave de API para usted mismo: en el menú de navegación, seleccione el menú Perfil Icono de menú de perfil y, a continuación, seleccione Configuración de usuario o Mi perfil, según la opción que vea.
    • Si es un administrador que está cargando una clave de API para otro usuario: en la consola, haga clic en Identidad y, a continuación, haga clic en Usuarios. Localice al usuario en la lista y, a continuación, haga clic en el nombre de usuario para ver los detalles.
  2. Haga clic en Agregar clave de API y, a continuación, seleccione Pegar clave de API.

  3. Pegue el valor de la clave en la ventana y haga clic en Agregar.

    Se agrega la clave y se muestra su huella (ejemplo, huella: d1:b2:32:53:d3:5f:cf:68:2d:6f:8b:5f:77:8f:07:13).

Más información:

La política otorga permisos amplios

Problema: una política otorga permisos de gestión completa para al menos un servicio en un compartimento o en el arrendamiento.

Conceptos básicos:

  • El acceso a los recursos se controla mediante políticas. Una política es un documento que especifica quién puede acceder a qué recursos de Oracle Cloud Infrastructure de la empresa y el método de acceso. Una política simplemente permite que un grupo  trabaje de determinadas formas con tipos específicos de recursos  en un compartimento  concreto.
  • Por motivos de seguridad y gobernanza, los usuarios solo deben tener acceso a los recursos que necesitan.
  • Plantéese detenidamente el nivel de acceso que requiere un usuario. El lenguaje de la política proporciona un conjunto por defecto de verbos (manage, use, read, inspect) que permiten fácilmente acotar los permisos de los usuarios a un grupo de tareas comunes. Por ejemplo, si un usuario necesita poder actualizar recursos, pero no necesita crearlos ni suprimirlos, otorgue el permiso use en lugar del permiso manage.

  • El lenguaje de la política está diseñado para permitir escribir sentencias simples que incluyan solo verbos y tipos de recursos, sin tener que establecer los permisos en la sentencia. Para un control de acceso más detallado, puede utilizar condiciones combinadas con permisos u operaciones de API para reducir el ámbito de acceso otorgado por un verbo concreto.

  • Siempre que sea posible, acote el acceso a los compartimentos específicos a los que un usuario necesita acceso, en lugar de acotarlo al arrendamiento completo.

Consejos para escribir políticas con privilegios mínimos:

Acotar la política a un compartimento en lugar del arrendamiento

Cada política consta de una o más sentencias de política que siguen una sintaxis básica. En la medida de lo posible, acote las políticas a compartimentos en lugar de al arrendamiento. Por ejemplo, actualice una política de esta forma:

Allow group <group_name> to <verb><resource-type> in tenancy

para incluir solo los compartimentos necesarios:

Allow group <group_name> to <verb><resource-type> in compartment <compartment_name>

Si el usuario necesita acceder a varios compartimentos, cree una sentencia de política para cada compartimento. Si es necesario, es fácil eliminar el acceso a compartimentos individuales.

Acotar permisos a aquellos usuarios que tienen que realizar una función de puesto

Oracle define los posibles verbos que puede utilizar en sus políticas. A continuación se muestra un resumen de los verbos, desde un nivel de acceso mínimo hasta el máximo:

Verbo Tipo de acceso cubierto Usuario objetivo
inspect Capacidad para mostrar recursos, sin acceso a información confidencial o metadatos especificados por el usuario que pueden formar parte de ese recurso. Auditores externos
read Incluye inspect y la capacidad de obtener metadatos especificados por el usuario y el propio recurso. Auditores internos
use Incluye read y la capacidad de trabajar con recursos existentes (las acciones varían según el tipo de recurso). En general, este verbo no incluye la capacidad de crear o suprimir ese tipo de recurso. Usuarios finales diarios de recursos
manage Incluye todos los permisos para el recurso. Administradores

Los usuarios que no necesitan crear o suprimir recursos, por lo general, no necesitan permisos de gestión. Si tiene una política como esta: 

Allow group <group_name> to manage <resource-type> in compartment <compartment_name>

pero el usuario nunca creará o suprimirá el tipo de recurso, considere volver a escribir la política de este modo: 

Allow group <group_name> to use <resource-type> in compartment <compartment_name>

La referencia de política incluye detalles de los tipos de recursos específicos para cada servicio, y qué combinación de verbo + tipo de recurso proporciona acceso a qué operaciones de API.

Para un control de acceso detallado, acotar el acceso usando condiciones y operaciones de API

En una sentencia de política, puede utilizar condiciones combinadas con permisos u operaciones de API para reducir el ámbito de acceso otorgado por un verbo concreto.

Por ejemplo, supongamos que desea que el grupo XYZ pueda mostrar, obtener, crear o actualizar grupos (cambiar su descripción), pero no suprimirlos. Para mostrar, obtener, crear y actualizar grupos, necesita una política con manage groups como verbo y tipo de recurso. De acuerdo con la tabla de Detalles de combinaciones de verbos + tipo de recurso, los permisos cubiertos son:

  • GROUP_INSPECT
  • GROUP_UPDATE
  • GROUP_CREATE
  • GROUP_DELETE

Para restringir el acceso solo a los permisos deseados, puede agregar una condición que indique explícitamente los permisos que desea permitir:

Allow group XYZ to manage groups in tenancy
                        
                        where any {request.permission='GROUP_INSPECT',
                        request.permission='GROUP_CREATE',
                        request.permission='GROUP_UPDATE'}

Una alternativa sería una política que permita todos los permisos, excepto GROUP_DELETE:

Allow group XYZ to manage groups in tenancy where request.permission != 'GROUP_DELETE'

Otra alternativa sería escribir una condición basada en las operaciones de API específicas. Tenga en cuenta que, de acuerdo con la tabla de Permisos necesarios para cada operación de API, tanto ListGroups como GetGroup requieren solo el permiso GROUP_INSPECT. A continuación, se muestra la política:

Allow group XYZ to manage groups in tenancy
                        
                        where any {request.operation='ListGroups',  
                        request.operation='GetGroup',
                        request.operation='CreateGroup',
                        request.operation='UpdateGroup'}

Puede ser beneficioso utilizar permisos en lugar de operaciones de API en las condiciones. En el futuro, si se agrega una nueva operación de API que requiere uno de los permisos enumerados en la política basada en permisos anterior, dicha política ya controlará el acceso del grupo XYZ a esa nueva operación de API.

Sin embargo, tenga en cuenta que puede acotar aún más el acceso de un usuario a un permiso especificando también una condición basada en la operación API. Por ejemplo, puede dar a un usuario acceso a GROUP_INSPECT, pero solo a ListGroups. 

Allow group XYZ to manage groups in tenancy
                        
                        where all {request.permission='GROUP_INSPECT',  
                        request.operation='ListGroups'}

Más información:

Claves de firma de API con más de 90 días de antigüedad

Incidencia: las claves de firma de API de un usuario tienen más de 90 días de antigüedad. Oracle recomienda rotar las claves de API cada 90 días como mínimo.

Conceptos básicos:

  • Las claves de API son credenciales utilizadas para otorgar acceso mediante programación a Oracle Cloud Infrastructure.

  • Se trata de una práctica recomendada y requisito de conformidad de la ingeniería de seguridad para rotar las claves de API con regularidad cada 90 días o menos.

  • Asegúrese de probar las nuevas claves antes de desactivar las claves antiguas.

Para generar y cargar nuevas claves de API:

El siguiente procedimiento es para la Consola de Oracle Cloud Infrastructure.

Generar nuevas claves de API
Puede utilizar los siguientes comandos de OpenSSL para generar el par de claves en el formato PEM necesario. Si está utilizando Windows, tendrá que instalar Git Bash para Windows y ejecutar los comandos con esa herramienta.

  1. Si aún no lo ha hecho, cree un directorio .oci para almacenar las credenciales:

    
mkdir ~/.oci

  2. Genere la clave privada con uno de los siguientes comandos.

    • Recomendado: para generar la clave cifrada con una frase de contraseña que deberá introducir cuando se le solicite:

      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 2048

      Nota: Para Windows, debe insertar -passout stdin para que se solicite la contraseña. La solicitud consistirá en el parpadeo del cursor, no aparecerá texto alguno.

      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 -passout stdin 2048

    • Para generar la clave sin frase de contraseña.

      openssl genrsa -out ~/.oci/oci_api_key.pem 2048

  3. Compruebe que solo usted pueda leer el archivo de clave privada:

    chmod go-rwx ~/.oci/oci_api_key.pem

  4. Genere la clave pública:

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem

    Nota: Para Windows, si ha generado la clave privada con una contraseña, puede que tenga que insertar -passin stdin para que esta se solicite. La solicitud consistirá en el parpadeo del cursor, no aparecerá texto alguno.

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem -passin stdin

  5. Copie el contenido de la clave pública en el portapapeles con pbcopy, xclip o una herramienta similar (tendrá que pegar el valor en la consola más tarde). Por ejemplo:

    cat ~/.oci/oci_api_key_public.pem | pbcopy
Las solicitudes de API se firmarán con su clave privada y Oracle utilizará la clave pública para verificar la autenticidad de la solicitud. Para cargar la clave pública en IAM, consulte las siguientes instrucciones.
Obtener huella de la clave

Puede obtener la huella de la clave con el siguiente comando de OpenSSL.

Para Linux y Mac OS X:

openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c
Para Windows:
Nota

Si va a utilizar Windows, debe instalar Git Bash para Windows y ejecutar el comando con esa herramienta.
openssl rsa -pubout -outform DER -in \.oci\oci_api_key.pem | openssl md5 -c

Al cargar la clave pública en la consola, la huella también se muestra automáticamente allí. Puede ser algo como esto: 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef

Cargar la clave de firma de API para el usuario
Puede cargar la clave pública de PEM en la consola, que se encuentra en https://cloud.oracle.com. Si no tiene una conexión y una contraseña para la consola, póngase en contacto con un administrador.
  1. Abra la consola e inicie sesión.

  2. Visualice los detalles del usuario que llamará a la API con el par de claves:

    • Si ha iniciado sesión en la consola como este usuario: en el menú de navegación, seleccione el menú Perfil Icono de menú de perfil y, a continuación, seleccione Configuración de usuario o Mi perfil, según la opción que vea.
    • Si es un administrador que hace esto para otro usuario: abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios. Localice al usuario en la lista y, a continuación, seleccione el nombre de usuario para ver los detalles.
  3. Seleccione Seleccionar claves de API.
  4. Seleccione Agregar clave de API.
  5. Seleccione Pegar clave pública
  6. Pegue el contenido de la clave pública de PEM en el cuadro de diálogo y seleccione Agregar.
Se muestra la huella de la clave (por ejemplo, 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef). Tenga en cuenta que después de cargar la primera clave pública, también puede utilizar la operación de API UploadApiKey para cargar claves adicionales. Puede tener hasta tres pares de claves de API por usuario. En una solicitud de API, especifique la huella de la clave para indicar qué clave está utilizando para firmar la solicitud.
Probar la nueva clave

Compruebe la clave en una llamada de API de ejemplo con Oracle Cloud Infrastructure.

Suprimir la antigua clave
El siguiente procedimiento funciona para un usuario normal o un administrador. Los administradores pueden suprimir una clave de API para otro usuario o para ellos mismos.
  1. Consulte los detalles del usuario:
    • Si va a suprimir una clave de API para usted mismo: en el menú de navegación, seleccione el menú Perfil Icono de menú de perfil y, a continuación, seleccione Configuración de usuario o Mi perfil, según la opción que vea.
    • Si es un administrador que va a suprimir una clave de API para otro usuario: abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Usuarios. Localice al usuario en la lista y, a continuación, seleccione el nombre de usuario para ver los detalles.
  2. Seleccione Claves de API.
  3. Seleccione el menú Acciones Menú Acciones de la clave de API que desea suprimir y, a continuación, seleccione Suprimir.
  4. Confirme cuando se le solicite.
La clave de API ya no es válida para el envío de solicitudes de API.

Más información:

Privilegio de administrador de arrendamiento otorgado a un grupo de IAM

Problema: se han otorgado privilegios de administrador a un grupo distinto del grupo de administradores.

Conceptos básicos:

  • Al otorgar el privilegio de administrador de arrendamiento (manage all-resources in tenancy) a un grupo, los miembros tendrán acceso completo a todos los recursos del arrendamiento.
  • Este derecho de alto privilegio debe estar controlado y restringido solo para los usuarios que lo necesitan para realizar su función de trabajo.
  • Verifique con el administrador de Oracle Cloud Infrastructure que este derecho se ha sancionado y que la pertenencia del grupo sigue siendo válida después de otorgar el privilegio de administrador.
  • En lugar de crear un grupo alternativo con privilegios de administrador, considere la posibilidad de agregar usuarios que necesitan privilegios de administrador al grupo de administradores por defecto.

Para resolver este problema:

Agregue usuarios que necesitan privilegios de administrador al grupo de administradores:

  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios.
  2. En la lista Grupos, seleccione Administradores.
  3. Seleccione Agregar Usuario a Grupo.
  4. En el cuadro de diálogo Agregar usuario a grupo, seleccione el usuario en la lista Usuario.
  5. Haga clic en Agregar.

Elimine la política o sentencia de política que otorga privilegios de administración de grupo (no administradores).

  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Políticas. Se muestra una lista de políticas en el compartimento que está visualizando.

    Si no ve la política que está buscando, verifique que está viendo el compartimento correcto. Para ver las políticas asociadas a un compartimento diferente, en Ámbito de lista, seleccione ese compartimento en la lista.

  2. Haga clic en la política que desea actualizar.

    Se muestran los detalles y las sentencias de la política.

  3. Busque la sentencia que otorga privilegios de administrador al grupo. Esta política será similar a la siguiente:

    Allow group <group_name> to manage all-resources in tenancy

    Haga clic en el menú Acciones Menú Acciones y, a continuación, en Suprimir.

  4. Si la política no tiene otras sentencias, puede suprimirla haciendo clic en Suprimir junto al nombre de la política.

Más información:

Networking: VCN, equilibradores de carga y DNS

No hay reglas de entrada en las listas de seguridad

Problema: las listas de seguridad de una VCN no tienen reglas de entrada. Esto significa que las instancias en la VCN no pueden recibir tráfico entrante.

Conceptos básicos:

  • Las listas de seguridad proporcionan capacidad de firewall con estado y sin estado para controlar el acceso de red a las instancias.
  • Una lista de seguridad se configura en el nivel de subred y se aplica en el nivel de instancia.
  • Puede asociar varias listas de seguridad a una subred. Se permite un paquete si coincide con cualquier regla de cualquiera de las listas de seguridad utilizadas por la subred.
  • Si no hay reglas de entrada en ninguna de las listas de seguridad de la subred, no se permite el tráfico a las instancias de esa subred.
  • Para mayor seguridad, las reglas de la lista de seguridad de entrada deben indicar un origen conocido específico y no un origen abierto (0.0.0.0/0).
  • Puede configurar una excepción en Oracle CASB Cloud Service para reducir las alertas de las listas de seguridad exentas.

Para agregar una regla de entrada a una lista de seguridad existente:

El siguiente procedimiento es para la Consola de Oracle Cloud Infrastructure.

  1. Abra el menú de navegación , seleccione Red y, a continuación, seleccione Redes virtuales en la nube.
  2. Confirme que está visualizando el compartimento que contiene la red en la nube que le interesa.
  3. Haga clic en la red en la nube que le interesa.
  4. Haga clic en Listas de seguridad.
  5. Haga clic en la lista de seguridad que le interesa.
  6. Haga clic en Reglas de entrada.

  7. Agregue al menos una regla de entrada:

    1. Haga clic en Agregar reglas de entrada.
    2. Elija si es una regla con estado o sin estado (consulte Reglas con estado frente a sin estado). Por defecto, las reglas tienen estado a menos que se especifique lo contrario.
    3. Introduzca el CIDR de origen. Los CIDR típicos que puede especificar en una regla son el bloque de CIDR de la red local o una subred concreta. Si está configurando una regla de lista de seguridad para permitir el tráfico con un gateway de servicio , consulte Tarea 3: (opcional) actualizar reglas de seguridad.
    4. Seleccione el protocolo (por ejemplo, TCP, UDP, ICMP, "Todos los protocolos", etc.).
    5. Introduzca más detalles según el protocolo:
      • Si ha seleccionado TCP o UDP, introduzca un rango de puertos de origen y un rango de puertos de destino. Puede introducir "Todo" para cubrir todos los puertos. Si desea permitir un puerto específico, introduzca el número de puerto (por ejemplo, 22 para SSH o 3389 para RDP) o un rango de puertos (por ejemplo, 20-22).
      • Si elige ICMP, puede introducir "Todo" para cubrir todos los tipos y códigos. Si desea permitir un tipo de ICMP específico, introduzca el tipo y un código opcional separados por una coma (por ejemplo: 3,4). Si el tipo tiene varios códigos que desea permitir, cree una regla independiente para cada código.
  8. Cuando haya terminado, haga clic en Agregar reglas de entrada.

Este cambio permite el acceso de entrada desde el bloque de CIDR de origen que se muestra en la regla. Agregue reglas adicionales si desea permitir la entrada desde otros orígenes conocidos.

Más información:

La lista de seguridad permite el tráfico desde cualquier dirección IP (origen abierto)

Problema: una lista de seguridad tiene al menos una regla con un origen abierto (0.0.0.0/0). Esto significa que el tráfico podría provenir de cualquier origen y no está controlado.

Conceptos básicos:

  • Las listas de seguridad proporcionan capacidad de firewall con estado y sin estado para controlar el acceso de red a las instancias.
  • Una lista de seguridad se configura en el nivel de subred y se aplica en el nivel de instancia.
  • Puede asociar varias listas de seguridad a una subred. Se permite un paquete si coincide con cualquier regla de cualquiera de las listas de seguridad utilizadas por la subred.
  • Si no hay reglas de entrada en ninguna de las listas de seguridad de la subred, no se permite el tráfico a las instancias de esa subred.
  • Para mayor seguridad, las reglas de la lista de seguridad de entrada deben indicar un origen conocido específico y no un origen abierto (0.0.0.0/0).
  • Puede configurar una excepción en Oracle CASB Cloud Service para reducir las alertas de las listas de seguridad exentas.

Para cambiar el origen de una regla de lista de seguridad:

El siguiente procedimiento es para la Consola de Oracle Cloud Infrastructure.

  1. Abra el menú de navegación , seleccione Red y, a continuación, seleccione Redes virtuales en la nube.
  2. Confirme que está visualizando el compartimento que contiene la red en la nube que le interesa.
  3. Haga clic en la red en la nube que le interesa.
  4. Haga clic en Listas de seguridad.
  5. Haga clic en la lista de seguridad que le interesa.
  6. Haga clic en Reglas de entrada.
  7. Localice la regla que muestra 0.0.0.0/0 como CIDR de origen.
  8. Edite la regla y cambie 0.0.0.0/0 en el bloque de CIDR de un origen conocido.

Este cambio restringe la entrada para que los paquetes solo se permitan desde un bloque de CIDR específico. Agregue reglas adicionales si desea permitir la entrada desde otros orígenes conocidos.

Más información:

La lista de seguridad permite el tráfico a puertos sensibles

Problema: una lista de seguridad tiene al menos una regla que permite el acceso a un puerto sensible.

Conceptos básicos:

  • Las listas de seguridad proporcionan capacidad de firewall con estado y sin estado para controlar el acceso de red a las instancias.
  • Una lista de seguridad se configura en el nivel de subred y se aplica en el nivel de instancia.
  • Puede asociar varias listas de seguridad a una subred. Se permite un paquete si coincide con cualquier regla de cualquiera de las listas de seguridad utilizadas por la subred.
  • Si no hay reglas de entrada en ninguna de las listas de seguridad de la subred, no se permite el tráfico a las instancias de esa subred.
  • Para mayor seguridad, las reglas de la lista de seguridad de entrada deben indicar un origen conocido específico y no un origen abierto (0.0.0.0/0).
  • Puede configurar una excepción en Oracle CASB Cloud Service para reducir las alertas de las listas de seguridad exentas.

Recomendación: actualice la lista de seguridad de la subred para permitir el acceso a instancias a través de SSH (puerto TCP 22) o RDP (puerto TCP 3389) según sea necesario y de manera temporal, y solo desde bloques de CIDR autorizados (no 0.0.0.0/0). Para realizar comprobaciones de estado de instancias, actualice la lista de seguridad para permitir pings ICMP.

Para cambiar una lista de seguridad existente:

El siguiente procedimiento es para la Consola de Oracle Cloud Infrastructure.

  1. Abra el menú de navegación , seleccione Red y, a continuación, seleccione Redes virtuales en la nube.
  2. Confirme que está visualizando el compartimento que contiene la red en la nube que le interesa.
  3. Haga clic en la red en la nube que le interesa.
  4. Haga clic en Listas de seguridad.
  5. Haga clic en la lista de seguridad que le interesa.
  6. Haga clic en Reglas de entrada.
  7. Realice uno o más de estos cambios:
    • Suprimir una regla existente.
    • Cambie una regla existente de la lista. Por ejemplo, cambie el origen de 0.0.0.0/0 al bloque de CIDR de un origen conocido.
    • Agregue una nueva regla.

Más información:

Gateway de Internet asociado a la VCN

Problema: una VCN tiene un gateway de Internet. El gateway debe estar autorizado para asociarse a la VCN y no debe exponer de forma involuntaria los recursos a la red de Internet.

Conceptos básicos:

  • Los gateways proporcionan conectividad externa a los hosts en una VCN. Por ejemplo, un gateway de Internet permite la conectividad directa a Internet para instancias que están en una subred pública y tienen una dirección IP pública. Un gateway de enrutamiento dinámico (DRG) permite la conectividad con la red local a través de una VPN de sitio a sitio o FastConnect.
  • Para permitir el tráfico a través del gateway de Internet desde una subred concreta de la VCN, debe haber una regla en la tabla de rutas de la subred que muestre el gateway de Internet como destino de la ruta. Para suprimir el gateway de Internet de la VCN, primero debe suprimir cualquier regla de ruta que especifique el gateway de Internet como destino.
  • Puede configurar una excepción en Oracle CASB Cloud Service para reducir las alertas de VCN exentas.

Para eliminar un gateway de Internet de una VCN:

Requisito previo: asegúrese de que no hay reglas de ruta que especifiquen el gateway de Internet como destino.

El siguiente procedimiento es para la Consola de Oracle Cloud Infrastructure.

  1. Abra el menú de navegación , seleccione Red y, a continuación, seleccione Redes virtuales en la nube.
  2. Confirme que está visualizando el compartimento que contiene la red en la nube que le interesa.
  3. Haga clic en la red en la nube que le interesa.
  4. Haga clic en Gateways de Internet.
  5. Haga clic en el menú Acciones Menú Acciones del gateway de internet y, a continuación, haga clic en Terminar.
  6. Confirme cuando se le solicite.

Este cambio desactiva la conectividad directa a Internet para la VCN.

Más información:

La instancia tiene una dirección IP pública

Problema: una instancia tiene una dirección IP pública. Esto significa que la instancia puede tener una dirección pública si hay otros componentes necesarios presentes y configurados correctamente en la VCN.

Conceptos básicos:

  • Considere detenidamente permitir el acceso a Internet a cualquier instancia. Por ejemplo, no permita accidentalmente el acceso a Internet a sistemas de base de datos confidenciales.

  • Para que una instancia tenga una dirección pública:

    • La instancia debe tener una dirección IP pública y residir en una subred pública en la VCN (las instancias en subredes privadas no pueden tener direcciones IP públicas).
    • La lista de seguridad de la subred se debe configurar para permitir el tráfico para todas las direcciones IP (0.0.0.0/0) y todos los puertos.
    • La VCN debe tener un gateway de Internet y estar configurada para dirigir el tráfico saliente de la subred al gateway de Internet.
  • Una instancia puede tener más de una dirección IP pública. Se asigna una dirección IP pública determinada a una dirección IP privada en una VNIC determinada de la instancia. Una instancia puede tener más de una VNIC, y cada VNIC puede tener más de una dirección IP privada.

Para eliminar una dirección IP pública de una instancia:

El siguiente procedimiento es para la Consola de Oracle Cloud Infrastructure.

  1. Abra el menú de navegación y seleccione Recursos informáticos. En Recursos informáticos, seleccione Instancias.
  2. Confirme que está visualizando el compartimento que contiene la instancia que le interesa.
  3. Haga clic en la instancia para ver sus detalles.

  4. Haga clic en VNIC asociadas.

    Se muestran la VNIC primaria y cualquier VNIC secundaria asociada a la instancia.

  5. Haga clic en la VNIC que le interese.

  6. Haga clic en IPv4 Addresses.

    Se muestran la dirección IP privada primaria de la VNIC y cualquier dirección IP privada secundaria.

  7. En la IP privada en la que le interese, haga clic en el menú Acciones Menú Acciones y, a continuación, en Editar.
  8. En la sección Dirección IP pública, para Tipo de IP pública, seleccione el botón de radio para Sin IP pública.
  9. Haga clic en Actualizar.

Se ha anulado la asignación de la dirección IP de la instancia.

Más información:

El equilibrador de carga no tiene reglas de entrada ni listeners

Problema: las listas de seguridad de la subred de un equilibrador de carga no tienen reglas de entrada o un equilibrador de carga no tiene ningún listener. En este caso, el equilibrador de carga no puede recibir tráfico entrante.

Conceptos básicos:

  • Los equilibradores de carga proporcionan una distribución automática de tráfico desde un punto de entrada hasta varios servidores a los que puede acceder desde la red virtual en la nube (VCN). Cada equilibrador de carga se encuentra en una subred regida por reglas de la lista de seguridad. Un equilibrador de carga recibe tráfico de datos entrantes de uno o más listeners.
  • Las listas de seguridad proporcionan una capacidad de firewall con estado y sin estado para controlar el acceso de red al equilibrador de carga y a los servidores backend.
    • Si no hay reglas de entrada en ninguna de las listas de seguridad de la subred, no se permite el tráfico a las instancias de esa subred.
    • Para mayor seguridad, configure las reglas de la lista de seguridad de entrada para que indiquen un origen conocido específico y no un origen abierto (0.0.0.0/0).
  • Un listener es una entidad lógica que busca el tráfico entrante en la dirección IP del equilibrador de carga.
    • Para gestionar el tráfico de TCP, HTTP y HTTPS, debe configurar al menos un listener por tipo de tráfico.
    • Puede aplicar reglas de ruta de acceso a un listener para dirigir el tráfico al juego de backends correcto sin utilizar varios listeners o equilibradores de carga. Una ruta de acceso es una cadena que el listener hace coincidir con un URI entrante para determinar el juego de backends de destino adecuado.
  • Asegúrese de que los equilibradores de carga de Oracle Cloud Infrastructure utilizan reglas de entrada o listeners para permitir el acceso solo desde recursos conocidos.
  • Las excepciones se pueden configurar en CASB para reducir las alertas de los equilibradores de carga exentos.
Para permitir que un listener acepte tráfico:

El siguiente procedimiento es para la Consola de Oracle Cloud Infrastructure.

Para permitir que un listener acepte tráfico, debe actualizar las reglas de la lista de seguridad de su VCN:

  1. Abra el menú de navegación , seleccione Red y, a continuación, seleccione Redes virtuales en la nube.
  2. En Ámbito de lista, seleccione un compartimento en el que tenga permiso para trabajar. Aparece la lista de las VCN en el compartimento actual.
  3. Seleccione el nombre de la VCN que contiene el equilibrador de carga y, a continuación, seleccione Grupos de seguridad de red o Listas de seguridad. Aparece una lista de los grupos de seguridad o las listas de la red en la nube.
  4. Seleccione el nombre de la lista de seguridad o NSG que aplica al equilibrador de carga.
  5. Agregue o edite reglas existentes para otorgar acceso desde los recursos adecuados. Las reglas de seguridad de NSG aparecen en la página Detalles de grupo de seguridad de red. Desde allí puede agregar, editar o eliminar reglas. La página Detalles de lista de seguridad proporciona acceso a tablas independientes en las que puede agregar o editar reglas de entrada o reglas de salida. Para obtener información sobre la configuración de reglas, consulte Reglas de seguridad.

Para crear un listener:

Normalmente, se crea un listener como parte del flujo de trabajo de creación del equilibrador de carga. Para crear un listener para un equilibrador de carga existente:

  1. En Equilibradores de carga, seleccione Equilibrador de carga.

    Se abre la página de lista Equilibradores de carga. Todos los recursos de equilibrador de carga existentes en el compartimento seleccionado se muestran en una tabla de lista.

  2. Para ver los recursos en un compartimento diferente, utilice el filtro Compartimento para cambiar de compartimento.

    Debe tener permiso para trabajar en un compartimento para ver los recursos que contiene. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Descripción de los compartimentos.

  3. Seleccione un estado en la lista para limitar a ese estado los equilibradores de carga que se muestran.
  4. Seleccione el equilibrador de carga para el que desea crear un listener. Aparece la página Detalles del equilibrador de carga.
  5. Seleccione Listeners en Resources. Aparece la lista Listeners. Todos los listeners se muestran en formato tabular.
  6. Seleccione Crear listener. Aparece el cuadro de diálogo Crear listener.
  7. Complete lo siguiente:
    • Nombre: introduzca un nombre fácil de recordar para el listener. El nombre debe ser único y no se puede cambiar.
    • Nombre de host: (opcional) seleccione hasta 16 nombres de host virtuales para este listener.
      Nota

      Para aplicar un Nombre de Host Virtual a un Listener, el nombre debe ser parte de la configuración del equilibrador. Si el equilibrador de carga no tiene nombres de host asociados, puede crearlo en la página Nombres del host. Consulte Nombres de host virtuales para el equilibrador de carga para obtener más información.
    • Protocolo: especifique el protocolo que se va a utilizar: HTTP, HTTP/2, TCP o HTTPS.
    • Puerto: especifique el puerto en el que recibir el tráfico entrante.
    • Usar SSL: (necesario para HTTP/2 y HTTPS, opcional para HTTP y TCP) seleccione para activar. La siguiente configuración es necesaria para asociar un grupo de certificados SSL al listener a fin de activar el manejo de SSL. Consulte Certificados SSL para equilibradores de carga para obtener más información sobre el uso de certificados SSL con equilibradores de carga.

      El equilibrador de carga detecta automáticamente los cambios y consume la versión actual de las entidades del servicio Certificates (certificados, autoridades de certificación y grupos de autoridades de certificación) para su uso en la configuración de SSL. Consulte Certificados para obtener más información sobre las rotaciones de certificados automatizadas.

      • Recurso de certificado: seleccione el tipo de recurso de certificado en la lista:

        El método de importación del certificado varía según el tipo de recurso de certificado que seleccione.

        Certificado gestionado de servicio de certificado: seleccione en la lista Certificado el certificado del compartimento especificado. Seleccione Cambiar compartimento para seleccionar un compartimento diferente del que seleccionar el certificado.

        • Las opciones avanzadas están disponibles con esta selección. Seleccione Mostrar opciones avanzadas y seleccione el separador SSL avanzado. Esta opción se describe más adelante en este tema.
        • Certificado gestionado de equilibrador de carga: seleccione una de estas opciones para importar el certificado:

          Seleccionar archivo de certificado SSL: arrastre el archivo de certificado, en formato PEM, al campo Certificado SSL. También puede seleccionar la opción Pegar certificado SSL para pegar un certificado directamente en este campo. Si envía un certificado autofirmado para SSL de backend, deberá enviar el mismo certificado en el campo Certificado de CA correspondiente.

          Especificar clave privada: (necesario para la terminación de SSL, opcional para todo lo demás) Seleccione la casilla para proporcionar una clave privada para el certificado.

          Seleccionar archivo de clave privada: arrastre la clave privada, en formato PEM, al campo C clave privada. También puede seleccionar la opción Pegar clave privada para pegar una clave privada directamente en este campo.

          Introducir contraseña de clave privada: (opcional) especifique la contraseña de clave privada.

        • Activar reanudación de sesión: seleccione esta opción para reanudar la sesión de cifrado anterior en lugar de completar una nueva conexión SSL antes de cada solicitud. La activación de la reanudación de sesiones mejora el rendimiento, pero proporciona un nivel inferior de seguridad. Anule la selección de la función para forzar una nueva conexión SSL antes de cada solicitud. La desactivación de la reanudación de la sesión mejora la seguridad, pero reduce el rendimiento.
      • Verificar certificado de par: (opcional) seleccione esta opción para activar la verificación del certificado de par. Consulte Certificados SSL para equilibradores de carga para obtener más información.

        La TLS mutua (mTLS) no está soportada para la comunicación entre un equilibrador de carga y sus servidores backend. Puede utilizar mTLS para la comunicación entre los equilibradores de carga y los usuarios.

      • Verificar profundidad: (opcional) especifique la profundidad máxima para la verificación de la cadena de certificados. Consulte Certificados SSL para equilibradores de carga para obtener más información.
    • Juego de backends: especifique el juego de backends por defecto al que el listener envía el tráfico.
    • Timeout de inactividad en segundos: (opcional) especifique el tiempo de inactividad máximo en segundos. Este valor se aplica al tiempo permitido entre dos operaciones de entrada/salida de red de envío o recepción sucesivas durante la fase de solicitud-respuesta HTTP. El valor máximo es 7200 segundos. Para obtener más información, consulte Configuración de la conexión de timeout del equilibrador de carga.
    • (Opcional) Seleccione el separador Protocolo de proxy para activar y configurar el protocolo de proxy en el equilibrador de carga. Consulte Proxy Protocol para obtener más información sobre esta función.
      1. Seleccione Activar Protocolo de Proxy para activar esta función.
      2. Seleccione la versión de protocolo de proxy que desea utilizar:
        • Versión 1: soporta un formato de cabecera legible por el usuario (texto) y suele ser una sola línea de una entrada de log. Utilice esta opción para la depuración durante la etapa de adopción temprana cuando existan pocas implantaciones.
        • Versión 2: Combina el soporte para la cabecera legible por el usuario de la versión 1 con una codificación binaria de la cabecera para una mayor eficacia en la producción y el análisis. Utilice esta opción para las direcciones IPv6, que son difíciles de generar y analizar en formato ASCII. La versión 2 también admite extensiones personalizadas. Por defecto, PP2 Type Authority está seleccionada como la única opción de versión 2 disponible.
    • Seleccione una política de enrutamiento o un juego de rutas de acceso.
      • Política de enrutamiento: (opcional) especifique el nombre de la política de enrutamiento que se aplica al tráfico de este listener.
      • Juego de rutas de acceso: (opcional) especifique el nombre del juego de reglas de enrutamiento basadas en ruta de acceso que se aplica al tráfico de este listener.

        Para aplicar un juego de rutas de acceso a un listener, el juego de rutas de acceso debe formar parte de la configuración del equilibrador de carga.

        Para eliminar un juego de rutas de acceso de un listener existente, seleccione Ninguno como opción de Juego de rutas de acceso. El juego de rutas de acceso sigue estando disponible para que lo utilicen otros listeners en este equilibrador de carga.

    • Juegos de reglas: (opcional) seleccione un juego de reglas para aplicarlo al tráfico de este listener. Para aplicar un juego de reglas a un listener, el juego debe formar parte de la configuración del equilibrador de carga. Para eliminar un juego de reglas de la lista, seleccione el cuadro rojo correspondiente. El juego de reglas permanece disponible para que lo utilicen otros listeners en este equilibrador de carga.
    • Mostrar opciones avanzadas: seleccione esta opción para mostrar las siguientes opciones:
      • SSL avanzado: (solo está presente si el recurso Certificado gestionado de servicio de certificado está seleccionado). Seleccione una de estas opciones si ha elegido Certificado gestionado de servicio de certificado al seleccionar el recurso de certificado para el listener.

        Grupo de autoridades de certificación: seleccione el grupo de autoridades de certificación en el compartimento especificado de la lista. Seleccione Cambiar compartimento para seleccionar un compartimento diferente en el que seleccionar el grupo de autoridades de certificación.

        Autoridad de certificación: seleccione en la lista la autoridad de certificación del compartimento especificado. Seleccione Cambiar compartimento para seleccionar un compartimento diferente en el que seleccionar el grupo de autoridades de certificación.

      • Versión de TLS: especifique las versiones de seguridad de capa de transporte (TLS): 1.0, 1.1, 1.2 (recomendado) y 1.3.

        Puede seleccionar cualquier combinación de versiones. Seleccione las que desee en la lista. Si no especifica las versiones de TLS, la versión de TLS por defecto es solo la versión 1.2.

        Seleccione el conjunto de cifrado: seleccione un juego de conjuntos de cifrado en la lista (por defecto). Todas las opciones presentes en la lista tienen al menos un cifrado asociado a cada versión de TLS seleccionada.

        Cree un certificado SSL utilizando el algoritmo de firma basado en los ciphers activados para la política de seguridad.

      • Show cipher suite details: seleccione esta opción para mostrar los cifrados individuales que contiene el conjunto de cifrado seleccionado.
      • Preferencia de orden de servidor: seleccione Activar para dar preferencia a los cifrados de servidor sobre el cliente.
  8. Seleccione Crear listener.

Al crear un listener, también debe actualizar las reglas de la lista de seguridad de su VCN para permitir el tráfico a dicho listener.

Más información:

El equilibrador de carga no tiene ningún juego de backends

Problema: un equilibrador de carga no tiene ningún juego de backends. En este caso, el equilibrador de carga no tiene ningún lugar para distribuir los datos entrantes ni ningún medio para supervisar el estado del servidor de backend.

Conceptos básicos:

  • Un juego de backends es una entidad lógica definida por una política de equilibrio de carga, una política de comprobación de estado y una lista de servidores backend.
  • El juego de backends determina la política de distribución de tráfico del equilibrador de carga, como:
    • Hash de IP
    • Conexiones mínimas
    • Asignación en Rueda (Round-Robin) Ponderada
  • Especifique los parámetros de prueba para confirmar el estado de los servidores backend al crear un juego de backends.
  • Si tiene un equilibrador de carga existente sin ningún juego de backends, puede especificar los servidores backend que reciben tráfico del equilibrador de carga después de crear un juego de backends.
  • Puede configurar una excepción en Oracle CASB Cloud Service para reducir las alertas de los equilibradores de carga exentos.

Para crear un juego de backends:

El siguiente procedimiento es para la Consola de Oracle Cloud Infrastructure.

Normalmente, se crea un juego de backends como parte del flujo de trabajo de creación del equilibrador de carga. Para crear un juego de backends para un equilibrador de carga existente:

  1. En Equilibradores de carga, seleccione Equilibrador de carga.

    Se abre la página de lista Equilibradores de carga. Todos los recursos de equilibrador de carga existentes en el compartimento seleccionado se muestran en una tabla de lista.

  2. Para ver los recursos en un compartimento diferente, utilice el filtro Compartimento para cambiar de compartimento.

    Debe tener permiso para trabajar en un compartimento para ver los recursos que contiene. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Descripción de los compartimentos.

  3. Seleccione un estado en la lista para limitar a ese estado los equilibradores de carga que se muestran.
  4. Seleccione el equilibrador de carga al que desea agregar un juego de backends. Aparece la página Detalles del equilibrador de carga.
  5. Seleccione Juegos de backends en Recursos. Aparece la lista Juegos de backends. Todos los juegos de backends se muestran en formato tabular.
  6. Seleccione Crear juego de backends. Aparece el cuadro de diálogo Crear juego de backends.

  7. Complete lo siguiente:

    • Nombre: introduzca un nombre fácil de recordar para el juego de backends. Debe ser único en el equilibrador de carga y no se puede cambiar. Los nombres de juegos de backends válidos incluyen solo caracteres alfanuméricos, guiones y guiones bajos. Los nombres de juegos de backends no pueden contener espacios.
    • Política de distribución de tráfico: seleccione la política del equilibrador de carga para el juego de backends. Las opciones disponibles son:
      • Hash de IP
      • Conexiones mínimas
      • Asignación en rueda ponderada

      No se puede agregar un servidor backend marcado como copia de seguridad a un juego de backends que utilice la política hash IP. Para obtener más información sobre estas políticas, consulte Políticas del equilibrador de carga.

    • Usar SSL: seleccione esta opción para asociar un recurso de certificado SSL al juego de backends.

      El equilibrador de carga detecta automáticamente los cambios y consume la versión actual de las entidades del servicio Certificates (certificados, autoridades de certificación y grupos de autoridades de certificación) para su uso en la configuración de SSL. Consulte Certificados para obtener más información sobre las rotaciones de certificados automatizadas.

      Si no existe ningún recurso de certificado asociado al equilibrador de carga, esta opción está desactivada.

      Recurso de certificado: seleccione el tipo de recurso de certificado en la lista:

      El método de importación del certificado varía según el tipo de recurso de certificado que seleccione. Consulte Certificados SSL para equilibradores de carga para obtener información sobre cómo utilizan los equilibradores de carga los certificados SSL.

      Consulte Certificados para obtener información general sobre el uso de SSL con la política de firewall de aplicación web.

      • Certificado gestionado de servicio de certificado

        Seleccione la opción Grupo de autoridades de certificación o Autoridad de certificación y, a continuación, seleccione su opción en la lista asociada. Seleccione Cambiar compartimento para seleccionar un compartimento diferente del que seleccionar el grupo de autoridades de certificación o la autoridad de certificación.

        Las opciones avanzadas están disponibles con esta selección. Seleccione Mostrar opciones avanzadas y seleccione el separador SSL avanzado. Esta opción se describe más adelante en este tema.

      • Certificado gestionado de equilibrador de carga: seleccione una de estas opciones para importar el certificado:

        Seleccionar archivo de certificado SSL: arrastre el archivo de certificado, en formato PEM, al campo Certificado SSL. También puede seleccionar la opción Pegar certificado SSL para pegar un certificado directamente en este campo.

        Si envía un certificado autofirmado para SSL de backend, deberá enviar el mismo certificado en el campo Certificado de CA correspondiente.

        Especificar clave privada: (necesario para la terminación SSL). Seleccione esta opción para proporcionar una clave privada para el certificado.

        Seleccionar archivo de clave privada: arrastre la clave privada, en formato PEM, al campo Clave privada.

        Enter private key passphrase (Introducir contraseña de clave privada): especifique la contraseña de la clave privada. Como alternativa, puede seleccionar la opción Pegar clave privada para pegar una clave privada directamente en este campo.

        Verificar certificado de par: seleccione esta opción para activar la verificación del certificado de par. Consulte Certificados SSL para equilibradores de carga para obtener más información.

        Verificar profundidad: opcional. Especifique la profundidad máxima para la verificación de la cadena de certificados. Consulte Certificados SSL para equilibradores de carga para obtener más información.

    • Persistencia de sesión: especifique cómo gestiona el equilibrador de carga la persistencia de sesiones. Consulte Persistencia de sesiones del equilibrador de carga para obtener información importante sobre la configuración de estos valores.
      • Disable session persistence: seleccione esta opción para desactivar la persistencia de sesión basada en cookie.
      • Activar persistencia de cookie de aplicación: seleccione esta opción para activar las sesiones persistentes desde un único cliente lógico cuando la respuesta de un servidor de aplicaciones backend incluya una cabecera Set-cookie con el nombre de cookie especificado.
        • Nombre de cookie: el nombre de cookie utilizado para activar la persistencia de sesiones. Especifique * para buscar la coincidencia con cualquier nombre de cookie.
        • Desactivar reserva: active esta casilla para desactivar la reserva cuando el servidor original no esté disponible.
      • Activar persistencia de cookie de equilibrador de carga: seleccione esta opción para activar las sesiones persistentes basadas en una cookie insertada por el equilibrador de carga.
        • Nombre de cookie: especifique el nombre de la cookie utilizada para activar la persistencia de sesiones. Si se deja en blanco, el nombre de cookie se define por defecto como X-Oracle-BMC-LBS-Route.

          Asegúrese de que los nombres de cookie utilizados en los servidores de aplicaciones backend son diferentes del nombre de cookie utilizado en el equilibrador de carga.

        • Desactivar reserva: active esta casilla para desactivar la reserva cuando el servidor original no esté disponible.
        • Nombre de dominio: especifique el dominio en el que la cookie es válida.

          Este atributo no tiene valor predeterminado. Si no especifica un valor, el equilibrador de carga no inserta el atributo de dominio en la cabecera Set-cookie.

        • Ruta: especifique la ruta en la que la cookie es válida. El valor por defecto es /.
        • Período de caducidad en segundos: especifique la cantidad de tiempo que la cookie sigue siendo válida. Si se deja en blanco, la cookie caduca al final de la sesión del cliente.
        • Atributos

          Seguro: especifique si la cabecera Set-cookie contiene el atributo Secure. Si se selecciona, el cliente envía la cookie solo mediante un protocolo seguro.

          Si activa este valor, no podrá asociar el juego de backends correspondiente a un listener HTTP.

          Solo HTTP: especifique si la cabecera Set-cookie contiene el atributo HttpOnly. Si se selecciona, la cookie se limita a las solicitudes HTTP. El cliente omite la cookie al proporcionar acceso a cookies a través de API que no son HTTP, como canales de JavaScript.

    • Comprobación del sistema: especifique los parámetros de prueba para confirmar el estado de los servidores backend.
      • Protocolo: especifique el protocolo que se va a utilizar: HTTP o TCP. Configure el protocolo de comprobación del sistema para que coincida con su aplicación o servicio. Consulte Comprobaciones del sistema para equilibradores de carga para obtener más información.
      • Puerto: (opcional) especifique el puerto del servidor backend en el que se va a ejecutar la comprobación del sistema. Puede introducir el valor 0 para que la comprobación del sistema utilice el puerto de tráfico del servidor de backend.
      • Forzar comprobaciones del sistema de texto sin formato: (solo HTTP) (opcional) compruebe para enviar la comprobación del sistema al servidor de backend sin SSL. Esta opción solo está disponible cuando el servidor de backend tiene su protocolo definido en HTTP. No tiene ningún efecto cuando el servidor de backend no tiene SSL activado. Cuando SSL está desactivado, las comprobaciones del sistema siempre son de texto sin formato.
      • Intervalo en milisegundos: (opcional) especifique la frecuencia con la que desea ejecutar la comprobación del sistema, en milisegundos. El valor predeterminado es 10.000 (10 segundos).
      • Tiempo de espera en milisegundos: (opcional) especifique el tiempo máximo en milisegundos que se debe esperar una respuesta a una comprobación del sistema. Una comprobación de estado solo se realiza correctamente si se devuelve una respuesta dentro de este periodo de timeout. El valor predeterminado es 3000 (3 segundos).
      • Número de intentos: (opcional) especifique el número de intentos que se deben realizar antes de que un servidor backend se considere "en mal estado". Este número también se aplica al devolver un servidor al estado "buen estado". El valor por defecto es '3'.
      • Código de estado: (solo HTTP) (opcional) especifique el código de estado que debe devolver un servidor backend en buen estado.
      • Ruta de acceso de URL (URI): (solo HTTP) especifique un punto final de URL en el que ejecutar la comprobación del sistema.
      • Expresión regular de cuerpo de respuesta: (solo HTTP) (opcional) proporcione una expresión regular para analizar el cuerpo de respuesta del servidor backend.
    • Mostrar opciones avanzadas: seleccione este enlace para acceder a más opciones. Seleccione el separador de la funcionalidad correspondiente:
      • Separador SSL avanzado: (solo está presente si el recurso Certificado gestionado de servicio de certificado está seleccionado). Seleccione una de estas opciones si ha elegido Certificado gestionado de servicio de certificado al seleccionar el recurso de certificado para el listener. Consulte Certificados SSL para equilibradores de carga para obtener información sobre cómo utilizan los equilibradores de carga los certificados SSL.

        Grupo de autoridades de certificación: seleccione el grupo de autoridades de certificación en el compartimento especificado de la lista. Seleccione Cambiar compartimento para seleccionar un compartimento diferente en el que seleccionar el grupo de autoridades de certificación.

        Autoridad de certificación: seleccione en la lista la autoridad de certificación del compartimento especificado. Seleccione Cambiar compartimento para seleccionar un compartimento diferente en el que seleccionar el grupo de autoridades de certificación.

      • Versión de TLS: opcional. Especifique las versiones de seguridad de capa de transporte (TLS): 1.0, 1.1, 1.2 (recomendado) y 1.3

        Puede seleccionar cualquier combinación de versiones. Seleccione las que desee en la lista. Si no especifica las versiones de TLS, la versión de TLS por defecto es solo la versión 1.2.

        Select cipher suite: seleccione un juego de conjuntos de cifrado en la lista. Todas las opciones presentes en la lista tienen al menos un cifrado asociado a cada versión de TLS seleccionada.

  8. Haga clic en Crear.

Después de aprovisionar el juego de backends, debe especificar los servidores backend para el juego. Consulte Servidores de backend para equilibradores de carga para obtener más información.

Más información:

El certificado SSL del equilibrador de carga caduca en X días

Problema: el certificado SSL del equilibrador de carga caduca pronto. Cuando caduca el certificado, el tráfico de datos se puede interrumpir y la seguridad se puede ver afectada.

Conceptos básicos:

  • Para garantizar una seguridad y facilidad de uso continuas, los certificados SSL se deben rotar de manera oportuna.
  • Puede configurar una excepción en Oracle CASB Cloud Service para reducir las alertas de los equilibradores de carga exentos.

Para rotar un grupo de certificados del equilibrador de carga:

El siguiente procedimiento es para la Consola de Oracle Cloud Infrastructure.

  1. Actualice el servidor backend o cliente para que funcione con un nuevo grupo de certificados.
    Nota

    Los pasos para actualizar el servidor backend o cliente son exclusivos de su sistema.
  2. Cargar el nuevo grupo de certificados SSL en el equilibrador de carga:
    1. En Equilibradores de carga, seleccione Equilibrador de carga. Aparece la página Equilibradores de carga.
    2. Seleccione el nombre del compartimento que contiene el equilibrador de carga que desea cambiar y, a continuación, seleccione el nombre del equilibrador de carga.
    3. Seleccione el equilibrador de carga que desea configurar. Aparece la página Detalles del equilibrador de carga.
    4. Seleccione Certificados en Recursos. Aparece la lista Certificados. Todos los certificados se muestran en formato tabular.
    5. Complete lo siguiente:
      • Nombre de certificado: introduzca un nombre fácil de recordar para el grupo de certificados. Debe ser exclusivo en el equilibrador de carga y no se puede cambiar en la consola. (Se puede cambiar mediante la API).
      • Seleccionar archivo de certificado SSL: arrastre el archivo de certificado, en formato PEM, al campo Certificado SSL.

        También puede seleccionar la opción Pegar certificado SSL para pegar un certificado directamente en este campo.

        Importante

        Si envía un certificado autofirmado para SSL de backend, debe enviar el mismo certificado en el campo Certificado de CA correspondiente.
      • Especificar certificado de CA: (recomendado para configuraciones de terminación SSL de backend). Seleccione esta opción para proporcionar un certificado de CA.
        • Seleccionar archivo de certificado de CA: arrastre el archivo de certificado de CA, en formato PEM, al campo Certificado de CA.

          También puede seleccionar la opción Pegar certificado de CA para pegar un certificado directamente en este campo.

      • Especificar clave privada: (necesario para la terminación SSL). Seleccione esta opción para proporcionar una clave privada para el certificado.
        • Seleccionar archivo de clave privada: arrastre la clave privada, en formato PEM, al campo Clave privada.

          También puede seleccionar la opción Pegar clave privada para pegar una clave privada directamente en este campo.

        • Introducir contraseña de clave privada: (opcional) especifique la contraseña de clave privada.
    6. Seleccione Agregar certificado. A continuación, edite cada uno de los listeners o juegos de backend aplicables (según sea necesario) para que utilicen el nuevo grupo de certificados:

  3. Edite el listener:

    1. En Equilibradores de carga, seleccione Equilibrador de carga.
    2. Seleccione el compartimento que contiene el equilibrador de carga que desea cambiar y, a continuación, seleccione el nombre del equilibrador de carga.
    3. Seleccione Listeners en Resources. Aparece la lista Listeners. Todos los listeners se muestran en formato tabular.
    4. Seleccione el menú Acciones Menú Acciones junto al listener que desea editar y, a continuación, seleccione Editar listener.
    5. En la lista Nombre de certificado, seleccione el nuevo grupo de certificados.
    6. Seleccione Enviar.
  4. Editar un juego de backends:
    Importante

    Al actualizar un juego de backends, el tráfico se interrumpe temporalmente y es posible que las conexiones activas se eliminen.
    1. En Equilibradores de carga, seleccione Equilibrador de carga.

      Se abre la página de lista Equilibradores de carga. Todos los recursos de equilibrador de carga existentes en el compartimento seleccionado se muestran en una tabla de lista.

    2. Para ver los recursos en un compartimento diferente, utilice el filtro Compartimento para cambiar de compartimento.

      Debe tener permiso para trabajar en un compartimento para ver los recursos que contiene. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Descripción de los compartimentos.

    3. Seleccione un estado en la lista para limitar a ese estado los equilibradores de carga que se muestran.
    4. Seleccione el equilibrador de carga cuyo juego de backends desea editar. Aparece la página Detalles del equilibrador de carga.
    5. Seleccione Juegos de backends en Recursos. Aparece la lista Juegos de backends. Todos los juegos de backends se muestran en formato tabular.
    6. Seleccione el nombre del juego de backends que desea editar. Aparece la página Detalles del juego de backends.
    7. Seleccione Editar juego de backends. Aparece el cuadro de diálogo Editar juego de backends.
    8. Seleccione Usar SSL.
    9. En la lista Nombre de certificado, seleccione el nuevo grupo de certificados.
    10. Seleccione Guardar cambios.

  5. (Opcional) Suprimir el grupo de certificados SSL que va a vencer.

    Nota

    No puede suprimir un grupo de certificados SSL asociado a un listener o juego de backends. Elimine el grupo de cualquier otro listener o juego de backends antes de suprimirlo.
    1. En Equilibradores de carga, seleccione Equilibrador de carga.
    2. Seleccione el nombre del compartimento que contiene el equilibrador de carga que desea cambiar y, a continuación, seleccione el nombre del equilibrador de carga.
    3. Seleccione el equilibrador de carga que desea configurar.
    4. En el menú Recursos, seleccione Certificados.
    5. Para el certificado que desea suprimir, seleccione el menú Acciones Menú Acciones y, a continuación, seleccione Suprimir.
    6. Confirme cuando se le solicite.

Más información:

Almacenamiento de objetos

Cubos públicos detectados

Problema: se detectaron cubos públicos en su arrendamiento. Confirme que la creación de cada cubo público es intencionada y está autorizada. Si el cubo no está sancionado para el acceso público, siga el procedimiento para cambiar la visibilidad de un cubo y convertirlo en privado.

Conceptos básicos:

  • Evalúe detenidamente el requisito de negocio para el acceso público a un cubo. Cuando se activa el acceso anónimo a un cubo, los usuarios pueden obtener metadatos de objetos, descargar objetos del cubo y mostrar de forma opcional el contenido del cubo.
  • El cambio del tipo de acceso es bidireccional. Puede cambiar el acceso de un cubo de público a privado o de privado a público.
  • El cambio del tipo de acceso no afecta las solicitudes autenticadas previamente existentes. Las solicitudes autenticadas previamente existentes siguen funcionando.

Para cambiar la visibilidad de un cubo (privado o público):

El siguiente procedimiento es para la Consola de Oracle Cloud Infrastructure.

  1. En la página de lista Cubos, seleccione el cubo de Object Storage con el que desea trabajar. Si necesita ayuda para buscar la página de lista o el cubo de Object Storage, consulte Enumeración de cubos de Object Storage.

  2. En la página de detalles del cubo, busque Visibilidad y seleccione Editar.

  3. Seleccione Público o Privado.

    Si selecciona Público para activar el acceso público, decida si desea permitir que los usuarios muestren el contenido del cubo. Para definir la visibilidad de las listas de objetos del cubo, seleccione Permitir a los usuarios mostrar objetos de este cubo.

  4. Seleccione Guardar cambios.

Más información: