Documentación de Oracle Cloud Infrastructure

Acceso seguro a Fusion Applications

Controlar el acceso de red a Fusion Applications.

Los usuarios pueden acceder a Fusion Applications desde Internet siempre que tengan credenciales de usuario válidas. Para controlar aún más el acceso a su entorno, Fusion Applications soporta las siguientes opciones:

  • Lista de control de acceso (ACL): permite el acceso a su entorno solo desde IP públicas (CIDR) o redes virtuales en la nube (VCN) seleccionadas mediante una lista de control de acceso (ACL).
  • Acceso privado desde redes locales: permita el acceso a su entorno desde su red local sin pasar por Internet.
  • Control de acceso basado en ubicación (LBAC): permite a los usuarios acceder a tareas y datos en función de sus roles y las direcciones IP de cálculo. Esta opción la configura un administrador con el rol Mánager de seguridad de TI en la consola de seguridad de Fusion Applications. Para obtener más información, consulte Visión general del acceso basado en ubicación.

Estos casos de uso no se excluyen mutuamente y se pueden admitir entre sí. Por ejemplo, puede configurar el acceso privado desde una red local y también proporcionar acceso a través de Internet para las IP seleccionadas; o bien, puede activar LBAC con acceso privado desde la ubicación local.

Visión general del acceso privado desde una red local

Fusion Application le permite definir la conectividad privada de la red local a Fusion Applications. En un nivel superior, esta configuración implica:

  • Creación y configuración de la conexión desde la red local a la VCN y Fusion Application en OCI.

  • Actualizando la configuración de red del entorno de Fusion Applications.

Requisitos para el acceso privado desde entornos locales

Para configurar el acceso privado desde una red local a Fusion Applications en OCI, debe tener lo siguiente:

  • Arrendamiento en Oracle Cloud Infrastructure (OCI), donde se aprovisiona el entorno de Fusion Applications.
  • Una red virtual en la nube (VCN) en su arrendamiento de OCI.
  • Una conexión de la red local a la VCN. Hay dos formas de conectarse desde la red local a la VCN en OCI: VPN de sitio a sitio o FastConnect.
    • VPN de sitio a sitio: proporciona una conexión IPSec de sitio a sitio entre la red local y la red virtual en la nube (VCN). El conjunto de protocolos IPSec cifra el tráfico IP antes de transferir los paquetes del origen al destino y descifra el tráfico cuando llega. Las instrucciones de este tema le guiarán a través de la configuración de la VPN de sitio a sitio. Para obtener más información, consulte VPN de sitio a sitio.
    • FastConnect: proporciona una forma de crear una conexión privada y dedicada entre el centro de datos y OCI. FastConnect ofrece opciones de un gran ancho de banda y una experiencia de red más fiable y consistente en comparación con las conexiones basadas en Internet. Al conectarse a través de FastConnect, BGP es la única opción para intercambiar rutas. Consulte el FastConnect blog y la documentación para obtener información sobre su configuración.
  • Debe tener límites de servicio para permitirle aprovisionar la VCN y la VPN de sitio a sitio (anteriormente denominada VPN IPSec) o FastConnect en su arrendamiento.

Puede verificar sus límites en la consola de la siguiente manera:

Abra el menú de navegación y seleccione Gobernanza y administración. En Gestión de arrendamiento, seleccione Límites, cuotas y uso.

Seleccione lo siguiente de la lista Servicio para ver el límite:

  • Límites para VPN de sitio a sitio: seleccione VPN y vea el límite para el recuento de conexiones IPSec.
  • Límites para VCN: seleccione Virtual Cloud Network.
  • Límites para FastConnect: seleccione Fast Connect.

Para solicitar un aumento de los límites de servicio, consulte Solicitud de aumento del límite de servicio.

Pasos para configurar la conectividad privada mediante una VPN de sitio a sitio

En los siguientes pasos se describe cómo configurar la conectividad privada mediante la VPN de sitio a sitio. Consulte la documentación del servicio OCI Networking con los valores específicos que se indican a continuación.

Creación de una VCN y establecimiento de una conexión desde la red local a la VCN y Fusion Application en OCI

  1. Cree la red virtual en la nube.

    Para crear la VCN, siga las instrucciones de la documentación del servicio Networking: Creación de una VCN. Asegúrese de que el bloque CIDR IPV4 que introduzca no se superponga con el rango de IP de red local.

  2. Conecte la VCN a la red local.

    En este paso, puede conectar la VCN a su red local mediante una VPN de sitio a sitio. Para lograr la conexión, debe crear y asociar un gateway de direccionamiento dinámico (DRG) a la VCN y configurar el enrutamiento entre la VCN y la red local.

    1. Cree un gateway de direccionamiento dinámico con las instrucciones del tema Creación de un DRG.
    2. Asocie la VCN al DRG mediante las instrucciones del tema Asociación de una VCN a un DRG.

  3. Siga las instrucciones del tema Configuración de la VPN de sitio a sitio para definir el equipo local de cliente y crear la conexión de la VPN de sitio a sitio IPSec.

  4. Configure el enrutamiento en tránsito siguiendo las instrucciones del tema: Opciones de enrutamiento en tránsito para acceso privado a los servicios de Oracle. Utilice estas instrucciones para configurar el enrutamiento en tránsito directamente a través de gateways de servicio. O bien, si tiene escenarios más avanzados, consulte los detalles del enrutamiento a través de una IP privada.

Actualizar la configuración de red del entorno de Fusion Applications

En los pasos finales, actualice el entorno de Fusion Applications para permitir el tráfico privado desde la VCN. Para bloquear el acceso desde la red pública de Internet, debe asegurarse de que no se agregue ninguna otra IP pública a la lista de control de acceso al entorno de Fusion Applications.

Además, Fusion Applications utiliza el almacenamiento en caché basado en la red de entrega de contenido (CDN) para ofrecer contenido más rápido a los usuarios. Debe desactivar la aceleración de contenido para evitar el almacenamiento en caché.

Cree la regla de control de acceso para permitir solo la VCN:

  1. Vaya al entorno: en el directorio raíz de aplicaciones de la consola, haga clic en Fusion Applications. En la página Descripción general, busque la familia de entornos para el entorno y, a continuación, seleccione el nombre del entorno.
  2. En la página de detalles del entorno, en Resources, seleccione Networking.
  3. Seleccione Crear regla.
  4. En Tipo de notación IP, seleccione Red virtual en la nube y, a continuación, en el siguiente campo, seleccione la VCN.
  5. Seleccione Crear regla.

Desactive la caché de Internet (aceleración de contenido):

  1. Aún en Networking, seleccione el separador Aceleración de contenido.
  2. Seleccione Editar.
  3. Establezca el conmutador Internet cache en desactivado.
  4. Seleccione Guardar cambios.

Control de acceso basado en ubicación (LBAC) con conectividad local privada

LBAC es otra función que Fusion Applications proporciona para controlar el acceso de los usuarios a las tareas y los datos en función de sus roles y direcciones IP del equipo.

LBAC está configurado en la consola de seguridad de Fusion Applications. Para activar el acceso basado en ubicación y hacer que un rol sea público, debe tener el rol de mánager de seguridad de TI. Puede hacer que un rol sea público solo cuando el acceso basado en ubicación está activado. Para activar el acceso basado en ubicación, debe registrar las direcciones IP de los equipos desde los que los usuarios suelen iniciar sesión en la aplicación. Puede encontrar los detalles y cómo activar y desactivar LBAC en Visión general del acceso basado en ubicación.

Para configurar LBAC con conectividad local privada, también debe solicitudes de soporte (SR) al soporte al cliente de Fusion Applications para activar LBAC con conectividad local privada.