Políticas de zona de seguridad

Al crear y actualizar recursos en una zona de seguridad, Oracle Cloud Infrastructure valida estas operaciones con respecto a las políticas de la zona de seguridad. Si se infringe alguna política, se deniega la operación.

Al crear una zona de seguridad, se le asigna una receta, que es una recopilación de políticas de zona de seguridad.

Su arrendamiento tiene una receta predefinida denominada Maximum Security Recipe, que incluye una serie de políticas de zona de seguridad seleccionadas. Oracle gestiona esta receta y no puede modificarla. Sin embargo, puede crear sus propias recetas que cumplan sus requisitos de seguridad específicos.

Security Zones clasifica las políticas por principio de seguridad, como Restringir movimiento de recursos. Cada política afecta a uno o más recursos en la nube, como recursos informáticos, redes, almacenamiento de objetos y base de datos.

Nota

Las políticas de base de datos no se aplican a Oracle Exadata Cloud AT Customer.

Nota

Las políticas de gestión de recursos informáticos se aplican a configuraciones y pools de instancias. Consulte Uso de configuraciones de instancias y pools de instancias.

Restringir movimiento de recursos

Para garantizar la integridad de la información, determinados recursos de una zona del sistema de seguridad no pueden moverse a un compartimento fuera de la zona del sistema porque podría ser menos seguro. Tampoco puede mover un recurso existente a uno de los compartimentos de una zona a menos que se cumplan todas las políticas de dicha zona.

En la siguiente tabla, se describen las políticas de zona de seguridad que restringen el movimiento de recursos.


Política	Tipos de recursos	Descripción
`deny attached_boot_volume_not_in_security_zone_move_to_compartment_in_security_zone`	Almacenamiento de bloques	No puede mover el volumen de inicio asociado que no esté en una zona del sistema de seguridad a un compartimento de una zona del sistema de seguridad.
`deny block_volume_in_security_zone_move_to_compartment_not_in_security_zone`	Almacenamiento de bloques	No puede mover un volumen en bloque en la zona del seguro a un compartimiento que no se encuentre en la misma zona del seguro.
`deny boot_volume_in_security_zone_move_to_compartment_not_in_security_zone`	Almacenamiento de bloques	No puede mover el volumen de inicio de la zona en la que está la seguridad a un compartimiento que no se encuentre en la misma zona.
`deny instance_in_security_zone_move_to_compartment_not_in_security_zone`	Recursos informáticos	No puede mover la instancia de la Zona de Seguridad a un compartimiento que no se encuentre en la misma Zona de Seguridad.
`deny instance_not_in_security_zone_move_to_compartment_in_security_zone`	Recursos informáticos	No puede mover la instancia a la zona a la seguridad desde un compartimiento que no se encuentre en la misma zona.
`deny db_instance_move_to_compartment_not_in_security_zone`	Base de datos (todos los tipos)	No puede mover una base de datos de la zona del sistema de seguridad a un compartimiento que no esté en la misma zona del sistema.
`deny database_with_dataguard_association_move_to_compartment_in_security_zone`	Base de datos (sistemas de base de datos con hardware dedicado y máquinas virtuales, sistemas de base de datos de Exadata)	No puede mover una base de datos a la zona de seguridad si su asociación de Data Guard no está en la misma zona de seguridad.
`deny file_system_in_security_zone_move_to_compartment_not_in_security_zone`	Almacenamiento de archivos	No puede mover un sistema de archivos de la zona del sistema de seguridad a un compartimiento que no se encuentre en la misma zona.
`deny mount_target_in_security_zone_move_to_compartment_not_in_security_zone`	Almacenamiento de archivos	No puede mover un destino del montaje (almacenamiento de archivos) en la zona del sistema de seguridad a un compartimiento que no está en la misma zona del sistema.
`deny bucket_in_security_zone_move_to_compartment_not_in_security_zone`	Almacenamiento de objetos	No puede mover un cubo de la zona en la que está la seguridad a un compartimento no situado en la misma zona.
`deny LPG_gateway`	VCN	No puede agregar un gateway de intercambio de tráfico local a una VCN de la zona de seguridad ni mover un gateway de intercambio de tráfico local a la zona de seguridad.
`deny subnet_in_security_zone_move_to_compartment_not_in_security_zone`	VCN	No puede mover una subred de la zona a un compartimiento que no se encuentre en la misma zona.

Restringir asociación de recursos

Todos los componentes necesarios para un recurso en una zona de seguridad también deben estar ubicados en la misma zona de seguridad. Los recursos que no se encuentren en una zona del sistema de seguridad podrían ser vulnerables y los recursos de una zona del sistema de seguridad diferente podrían tener una estrategia de seguridad menos estricta.

En la siguiente tabla, se describen las políticas de zona de seguridad que restringen la asociación de recursos.


Política	Tipos de recursos	Descripción
`deny attached_block_volume_not_in_security_zone_move_to_compartment_in_security_zone`	Almacenamiento de bloques	No puede mover un volumen en bloque a la zona del sistema de seguridad si se asocia a una instancia de Compute que no esté en la misma zona.
`deny block_volume_in_security_zone_attach_to_instance_not_in_security_zone`	Recursos informáticos	No puede asociar un volumen de almacenamiento en bloque en la zona en la seguridad a una instancia informática que no se encuentre en la misma zona.
`deny block_volume_not_in_security_zone_attach_to_instance_in_security_zone`	Recursos informáticos	No puede asociar un volumen de almacenamiento en bloque a una instancia informática en la zona del seguro si el volumen no está en la misma zona del seguro.
`deny boot_volume_not_in_security_zone_attach_to_instance_in_security_zone`	Recursos informáticos	No puede asociar un volumen del inicio a una instancia informática en la zona del seguro si el volumen no está en la misma zona del seguro.
`deny boot_volume_in_security_zone_attach_to_instance_not_in_security_zone`	Recursos informáticos	No puede asociar un volumen a una instancia de Compute que no se encuentre en la misma zona.
`deny instance_in_security_zone_launch_from_boot_volume_not_in_security_zone`	Recursos informáticos, gestión de recursos informáticos	No puede iniciar una instancia informática en la zona del sistema de seguridad si su volumen de inicio no se encuentra en la misma zona del sistema.
`deny instance_not_in_security_zone_launch_from_boot_volume_in_security_zone`	Recursos informáticos, gestión de recursos informáticos	No puede iniciar una instancia informática mediante un volumen de inicio en la zona del sistema si la instancia no está en la misma zona del sistema.
`deny instance_in_security_zone_in_subnet_not_in_security_zone`	Recursos informáticos, gestión de recursos informáticos	Una instancia informática en la zona de seguridad no puede utilizar una subred si no está en la misma zona de seguridad.
`deny dataguard_association_with_db_instances_not_in_security_zones`	Base de datos (sistemas de base de datos con hardware dedicado y máquinas virtuales, sistemas de base de datos de Exadata)	Una base de datos de la zona de seguridad no puede tener una asociación de Data Guard a otra base de datos (principal/en espera) si no está en la misma zona de seguridad.
`deny db_instance_subnet_not_in_security_zone`	Base de datos (todos los tipos)	Una base de datos de la zona de seguridad no puede utilizar una subred si no está en la misma zona de seguridad.
`deny db_resource_association_not_in_security_zone`	Base de datos (sistemas de base de datos de Exadata )	Los recursos de infraestructura de Exadata de la zona de seguridad no se pueden asociar a bases de datos de contenedores o clusters de máquina virtual que no estén en la misma zona de seguridad.
`deny mount_target_in_security_zone_created_with_subnet_not_in_security_zone`	Almacenamiento de archivos	Un destino de montaje (File Storage) en la zona de seguridad no puede utilizar una subred si no está en la misma zona de seguridad.
`deny mount_target_not_in_security_zone_create_with_subnet_in_security_zone`	Almacenamiento de archivos	No puede crear un destino de montaje (File Storage) que utilice una subred en una zona de seguridad si el destino de montaje no está en la misma zona de seguridad.
`deny file_system_in_security_zone_export_via_mount_target_not_in_security_zone`	Almacenamiento de archivos	No puede exportar un sistema de archivos en la zona de seguridad mediante un destino de montaje (File Storage) que no esté en la misma zona de seguridad.
`deny file_system_not_in_security_zone_export_via_mount_target_in_security_zone`	Almacenamiento de archivos	No puede exportar un sistema de archivos mediante un destino de montaje (File Storage) si el sistema de archivos no está en la misma zona de seguridad.

Denegar acceso público

Los recursos de una zona de seguridad no deben ser accesibles desde la red Internet pública.

Al crear una subred privada, las instancias informáticas iniciadas en esa subred no pueden tener direcciones IP públicas. Esta restricción garantiza que la instancia informática de la subred no tenga acceso a Internet. Para las instancias de Compute de una subred privada, un gateway de servicios permite el acceso privado a servicios públicos como Object Storage. Consulte Visión general de Networking.

En la siguiente tabla, se describen las políticas de zona de seguridad que restringen el acceso de red.


Política	Tipos de recursos	Descripción
`deny cloud_shell_public_network`	Cloud Shell	Los hosts de Cloud Shell de una zona de seguridad no pueden tener acceso a la red pública.
`deny db_instance_public_access`	Base de datos (todos los tipos)	Las bases de datos de la zona de seguridad no se pueden asignar a subredes públicas. Deben utilizar subredes privadas.
`deny public_load_balancer`	Equilibrador de carga	Los equilibradores de carga de una zona en la que la seguridad no es pública. Todos los equilibradores de carga deben ser privados.
`deny public_buckets`	Almacenamiento de objetos	Los cubos de Object Storage de la zona de seguridad no pueden ser públicos.
`deny DRG_gateway`	VCN	No puede agregar un DRG (gateway de direccionamiento dinámico) a una VCN de la zona de seguridad.
`deny internet_gateway`	VCN	No puede agregar un gateway de Internet a una VCN (red virtual en la nube) dentro de la zona de seguridad.
`deny LPG_gateway`	VCN	No puede agregar un gateway de intercambio de tráfico local a una VCN de la zona de seguridad ni mover un gateway de intercambio de tráfico local a la zona de seguridad.
`deny NAT_gateway`	VCN	No puede agregar un gateway de NAT (traducción de direcciones de red) a una VCN de la zona de seguridad.
`deny SGW_gateway`	VCN	No puede agregar un SGW (gateway seguro) a una VCN en la zona de seguridad.
`deny public_subnets`	VCN	Las subredes de la zona de seguridad no pueden ser públicas. Deben ser privadas.

Requerir cifrado

Los recursos de una zona de seguridad se deben cifrar con claves gestionadas por el cliente. Los datos se deben cifrar mientras están en tránsito y en modo estático.

Oracle Cloud Infrastructure Vault permite gestionar de forma centralizado las claves del cifrado maestro que protegen las credenciales secretas y los datos que utiliza para acceder de forma segura a los recursos. También puede rotar claves de cifrado de forma regular.

Muchos servicios se integran con el servicio Vault para el cifrado, incluido Object Storage y Block Volume.

En la siguiente tabla, se describen las políticas de zona de seguridad que aplican el cifrado.


Política	Tipos de recursos	Descripción
`deny block_volume_without_vault_key`	Almacenamiento de bloques	Los volúmenes en bloque de la zona en la que se encuentra la seguridad deben utilizar una clave de cifrado maestra gestionada por los clientes del servicio Vault. No pueden utilizar la clave de cifrado por defecto gestionada por Oracle.
`deny boot_volume_without_vault_key`	Almacenamiento de bloques	Los volúmenes de inicio de la zona del sistema de seguridad deben utilizar una clave de cifrado maestra gestionada por los clientes en el servicio Vault. No pueden utilizar la clave de cifrado por defecto gestionada por Oracle.
`deny file_system_without_vault_key`	Almacenamiento de archivos	Los sistemas de archivos de la zona de seguridad deben utilizar una clave de cifrado maestra gestionada por los clientes en el servicio Vault. No pueden utilizar la clave de cifrado por defecto gestionada por Oracle.
`deny buckets_without_vault_key`	Almacenamiento de objetos	Los cubos de Object Storage de la zona en la que se encuentra la seguridad deben utilizar una clave de cifrado maestra gestionada por los clientes del servicio Vault. No pueden utilizar la clave de cifrado por defecto gestionada por Oracle.

Garantizar durabilidad de datos

Se deben realizar copias de seguridad automáticas de forma regular para los recursos de una zona de seguridad.

En la siguiente tabla, se describe la política de zona de seguridad que aplica durabilidad de datos.


Política	Tipos de recursos	Descripción
`deny database_without_backup`	Base de datos (sistemas de base de datos con hardware dedicado y máquinas virtuales, sistemas de base de datos de Exadata)	Las bases de datos de la zona de seguridad se deben configurar para realizar copias de seguridad automáticas. Consulte Copia de seguridad y recuperación de bases de datos.

Garantizar seguridad de datos

Los datos de una zona de seguridad se consideran con privilegios y no se pueden copiar fuera de la zona de seguridad.

En la siguiente tabla, se describen las políticas de zona de seguridad que aplican la seguridad de datos.


Política	Tipos de recursos	Descripción
`deny database_not_in_security_zone_create_from_backup_in_security_zone`	Base de datos (sistemas de base de datos con hardware dedicado y máquinas virtuales, sistemas de base de datos de Exadata)	No puede utilizar una copia de seguridad de base de datos en la zona de seguridad para crear una base de datos que no esté en la misma zona de seguridad.
`deny database_in_security_zone_create_clone_not_in_security_zone`	Base de datos (sistemas de base de datos de máquina virtual, Autonomous Database)	No puede clonar una base de datos en la zona de seguridad para crear una base de datos que no esté en la misma zona de seguridad.
`deny file_system_in_security_zone_clone_to_compartment_not_in_security_zone`	Almacenamiento de archivos	No puede clonar un sistema de archivos en una zona de seguridad para crear un sistema de archivos que no esté en la misma zona de seguridad.

Usar solo configuraciones aprobadas por Oracle

Oracle requiere que se activen y configuren determinadas funciones de seguridad para los recursos dentro de una zona de seguridad. Un ejemplo es la configuración del sistema operativo para una instancia de Compute (Compute).

En la siguiente tabla, se describen las políticas de zona de seguridad que requieren configuraciones aprobadas por Oracle.


Política	Tipos de recursos	Descripción de política
`deny manage_bastion_resource`	Bastión	No puede crear ni modificar un bastión en la zona de seguridad.
`deny detach_volume`	Almacenamiento de bloques	No puede desasociar un volumen en la zona de seguridad.
`deny manage_compute_and_block_storage_resource`	Almacenamiento de bloques, recursos informáticos,	No puede realizar ninguna de las siguientes acciones para calcular recursos en la zona de seguridad: Crear una instancia Asociación de un volumen a una instancia Asociar un volumen de inicio a una instancia Mover una instancia a un compartimento distinto Actualizar al instante Realizar determinadas acciones de energía en una instancia Asociar una VNIC a una instancia Crear un host de máquina virtual (VM) dedicado Cambiar el compartimento de una máquina virtual dedicada Actualizar un host de VM dedicado Suprimir un host de VM dedicado Crear una conexión de consola a una instancia Actualización de una conexión de consola a una instancia Suprimir una conexión de consola a una instancia Crear una reserva de capacidad informática Actualizar una reserva de capacidad informática Suprimir una reserva de capacidad informática Mover una reserva de capacidad informática a un compartimento diferente Crear una configuración de instancia Crear una instancia a partir de la configuración de una instancia Crear un pool de instancia Iniciar un pool de instancias Crear una red de cluster No puede realizar ninguna de las siguientes acciones en los recursos de almacenamiento de bloques de la zona de seguridad: Crear un volumen Suprimir un volumen Mover un volumen a un compartimento diferente Suprimir una clave de KMS de volumen Crear una copia de seguridad de volumen Supresión de una copia de seguridad de volumen Mover una copia de seguridad de volumen a un compartimento diferente Crear una política para la copia de seguridad de volumen Suprimir una Política de Copia de Seguridad de Volumen Crear una copia a un grupo de volúmenes Supresión de copias de seguridad de grupos de volúmenes Mover una copia de seguridad de un grupo de volúmenes a un compartimento diferente Creación de volúmenes de inicio Suprimir un volumen de inicio Mover un volumen de inicio a un compartimento diferente Suprimir una clave de KMS de volumen de inicio Crear una copia del volumen de inicio Supresión de copias de seguridad de volúmenes de inicio Copia de seguridad del volumen de inicio Mover una copia de seguridad de un volumen de inicio a un compartimento diferente Crear un grupo Supresión de Grupos de Volúmenes Mover un grupo de volúmenes a un compartimento diferente
`deny manage_image_resource`	Recursos informáticos	No puede realizar ninguna de las siguientes acciones en una imagen de la zona de seguridad: Crear una imagen Actualizar una imagen Suprime una imagen Mover una imagen a un compartimento diferente
`deny terminate_instance`	Recursos informáticos	No puede suprimir una instancia en la zona de seguridad.
`deny instance_without_sanctioned_image`	Recursos informáticos, gestión de recursos informáticos	Debe crear una instancia en la zona de seguridad mediante una imagen de la plataforma. No puede crear una instancia informática en la zona de seguridad desde una imagen personalizada.
`deny delete_certificate_authority`	Gestión de certificados	No puede suprimir una autoridad de certificación en la zona de seguridad.
`deny revoke_certificate_authority_version`	Gestión de certificados	No puede revocar un certificado intermedio en un grupo de autoridades de certificación (CA) de la zona de seguridad.
`deny free_database_creation`	Base de datos (todos los tipos)	No puede crear una instancia de base de datos Siempre gratis en la zona de seguridad.
`deny manage_file_storage_resource`	Almacenamiento de archivos	No puede crear ni modificar un recurso de almacenamiento de archivos en la zona de seguridad.
`deny manage_oke_service`	Kubernetes Engine	No puede realizar ninguna de las siguientes acciones para los recursos de OKE en la zona de seguridad: Crear un cluster Actualizar un cluster Suprimir un clúster Crear una configuración de kubernetes Actualizar una configuración de punto final de cluster Crear un pool de nodos Actualizar un pool de nodos Suprimir un pool de nodos
denegar delete_all_load_balancer_back_end_sets	Equilibrador de carga	No puede suprimir juegos de backends del equilibrador de carga en la zona de seguridad.
`deny load_balancer_with_weak_SSL_communication`	Equilibrador de carga	La política SSL para un listener de equilibrador de carga en la zona de seguridad debe utilizar TLS 1.2 o posterior.
`deny security_list_to_allow_traffic_to_restricted_port`	VCN	No puede crear ni modificar una lista de seguridad para permitir el tráfico a puertos no seguros en la zona de seguridad.
`deny delete_network_security_group`	VCN	No puede suprimir un grupo de seguridad de red de VCN en la zona de seguridad.
`deny network_security_group_with_unsecure_ingress_rule`	VCN	No puede agregar un grupo de seguridad de red con una regla que permita la entrada a puertos no seguros o direcciones IP en la zona de seguridad.
`deny delete_vcn`	VCN	No puede suprimir una VCN en la zona de seguridad.
`deny update_route_table`	VCN	No puede actualizar una tabla de rutas de VCN en la zona de seguridad.
`deny update_network_security_group_ingress_rule`	VCN	No puede modificar las reglas de entrada de un grupo de seguridad de red en la zona de seguridad.
`deny update_network_security_group_egress_rule`	VCN	No puede modificar las reglas de salida de un grupo de seguridad de red en la zona de seguridad.
`deny delete_vcn_security_list`	VCN	No puede suprimir una lista de seguridad de VCN en la zona de seguridad.
`deny update_vcn_security_list_ingress_rules`	VCN	No puede modificar las reglas de seguridad de entrada de la lista de seguridad de la VCN en la zona de seguridad.
`deny update_vcn_security_list_egress_rules`	VCN	No puede modificar las reglas de seguridad de entrada de la lista de seguridad de la VCN en la zona de seguridad.
`deny update_DHCP_options`	VCN	No puede actualizar las opciones de DHCP en la zona de seguridad.
`deny update_local_peering_gateway`	VCN	No puede actualizar un gateway de intercambio de tráfico local en la zona de seguridad.
`deny create_or_modify_vcn_security_list`	VCN	No puede crear ni modificar una lista de seguridad de VCN en la zona de seguridad.
`deny manage_DNS_resource`	VCN	No puede realizar ninguna de las siguientes acciones en un recurso DNS de la zona de seguridad: Actualizar un solucionador Actualizar un punto final de solucionador Crear una clave TSIG
`deny manage_virtual_network_resource`	VCN	No puede realizar ninguna de las siguientes acciones en los recursos de red virtual de la zona de seguridad: VPN Crear una interconexión Actualizar una conexión cruzada Suprimir una conexión cruzada Mover una conexión cruzada a un compartimento diferente Crear un Grupo de Interconexión Actualizar un grupo con conexión cruzada Suprimir un grupo con conexión cruzada Mover un grupo de interconexiones a un compartimento diferente Gateway de NAT Supresión de un DRG Supresión de un Gateway de NAT Red virtual (VCN) Creación de una red virtual en la nube Actualización de una VCN Traslado de una VCN a un compartimento diferente Crear una subred Actualizar una subred Suprimir una subred Mover una subred a un compartimento diferente Supresión de un gateway de Internet Crear una IP Pública Supresión de una IP publica Mover una IP pública a un compartimento diferente Supresión de un Gateway de Intercambio de Tráfico Local Visualizador de red Obtener topología de subred Obtener topología de VCN
`deny manage_vcn_route_tables`	VCN	No puede realizar ninguna de las siguientes acciones en un recurso de tabla de rutas de VCN en la zona de seguridad: Crear una tabla de rutas Actualizar una tabla de rutas Suprimir una tabla de rutas Mover una tabla de rutas a un compartimiento diferente
`deny create_vcn_security_list`	VCN	No puede crear una lista de seguridad de VCN en la zona de seguridad.
`deny manage_DHCP_options_resource`	VCN	No puede realizar ninguna de las siguientes acciones en un recurso DHCP de la zona de seguridad: Crear opciones DHCP Actualizar las opciones de DHCP Eliminar opciones de DHCP
`deny create_drg`	VCN	No puede crear un DRG (gateway de enrutamiento dinámico) en la zona de seguridad.

Restricciones de la política de zonas de seguridad en puertos UDP y TCP no seguros

La política de zonas de seguridad impide crear reglas de grupos de seguridad de red o listas de seguridad con puertos UDP o TCT no seguros.

Si la regla se basa en el protocolo UDP, la política Security Zones no permite los siguientes puertos:

11
De 17 a 19
49
69
80
82
De 83 a 85
389
443
656
8.080

Si la regla se basa en el protocolo TCP, la política Security Zones no permite los siguientes puertos:

11
De 17 a 19
21
De 23 a 25
43
49
53
De 70 a 74
De 79 a 81
88
111
123
389
636
445
500
3.306
3.389
5.901
5.985
5.986
7.001
8.000
8.080
8.443
8.888

Documentación de Oracle Cloud Infrastructure