Documentación de Oracle Cloud Infrastructure

Grupos de seguridad de red

Un grupo Cloud@Customer de Compute proporciona un firewall virtual para un conjunto de recursos en nube que tienen la misma posición de seguridad dentro de una única VCN, que tienen la misma estrategia de seguridad. Por ejemplo, un grupo de instancias informáticas que realizan las mismas tareas y, por lo tanto, todas deben utilizar el mismo juego de puertos.

Las reglas de un NSG se aplican en las VNIC, pero su pertenencia al NSG se determina mediante sus recursos principales. No todos los servicios en la nube admiten NSG. Actualmente, los siguientes tipos de recursos principales admiten el uso de grupos de servicios de red:

  • Instancias de Compute: cuando crea una instancia, puede especificar uno o más grupos de servicios de red para la VNIC principal de la instancia. Si agrega una VNIC secundaria a una instancia, puede especificar uno o más grupos de servicios de red para esa VNIC. También puede cambiar la pertenencia de NSG de las VNIC existentes.

  • Equilibrios de cargamento: al crear un equilibrador de carga, puede especificar uno o más grupos de servicio de Internet para el equilibrador (no el juego de backends). También puede actualizar un equilibrador de carga existente para utilizar uno o más grupos de servicios de red.

  • Destinos del montaje: cuando crea un destino de montaje para un sistema del archivo, puede especificar uno o más NSG de red. También puede actualizar un destino de montaje existente para usar uno o más grupos de servicios de red.

Para los tipos de recursos que aún no admiten NSG, siga utilizando listas de seguridad para controlar el tráfico hacia y desde esos recursos principales.

Nota

No puede asociar un gateway de Internet a un NSG.

Un NSG contiene dos tipos de elementos:

  • VNIC: una o más VNIC (por ejemplo, las VNIC asociadas al conjunto de instancias informáticas que tienen la misma postura de seguridad). Todas las VNIC deben estar en la VCN a que pertenece el grupo de servicios de red. Una VNIC puede tener un máximo de cinco grupos de seguridad de red.

  • Reglas de Seguridad: reglas que definen los tipos de tráfico permitido de salida y entrada de los VNIC en el grupo. Por ejemplo: tráfico de shell seguro del puerto 22 TCP de entrada desde un origen concreto.

El proceso general para trabajar con grupos de seguridad de red es el siguiente:

  1. Cree un grupo de seguridad de red.

    Al crear un grupo de seguridad de red, inicialmente está vacío, sin ninguna regla de seguridad ni VNIC. Una vez creado el grupo de seguridad de red, se pueden agregar o eliminar reglas de seguridad para permitir los tipos de tráfico que requieren las VNIC del grupo.

  2. Agregue reglas de seguridad al grupo de seguridad de red.

  3. Agregue recursos principales (o más específicamente, VNIC) al NSG.

    Cuando gestiona una pertenencia de VNIC de NSG, lo hace como parte del trabajo con el recurso principal, no como el propio NSG. Puede hacerlo cuando crea el recurso principal, o puede actualizar el recurso principal y agregarlo a uno o más grupos en la red.

    Cuando se crea una instancia informática y se agrega a un NSG, la VNIC principal de la instancia se agrega al NSG. Puede crear VNIC secundarias por separado y, opcionalmente, agregarlas a grupos de seguridad de red.

Existen algunas diferencias en el modelo de API de REST para los grupos de seguridad de red en comparación con las listas de seguridad:

  • Con las listas de seguridad, hay un objeto IngressSecurityRule y otro objeto EgressSecurityRule independiente. Con los grupos de seguridad de red, solo hay un objeto SecurityRule y el atributo direction del objeto determina si la regla es para el tráfico de entrada o salida.

  • Con la lista de seguridad, las reglas forman parte del objeto SecurityList y se trabaja con las reglas llamando a la lista de seguridad (como UpdateSecurityList) . Con los grupos de seguridad de red, las reglas que forman parte del objeto NetworkSecurityGroup. En su lugar, se utilizan operaciones independientes para trabajar con las reglas para un NSG determinado; por ejemplo: UpdateNetworkSecurityGroupSecurityRules.

  • El modelo para actualizar las reglas de seguridad existentes es diferente entre las listas a seguridad y los NSG. Con los NSG, cada regla de un grupo determinado tiene un identificador único. Al llamar a UpdateNetworkSecurityGroupSecurityRules, proporciona los identificadores de las reglas específicas que desea actualizar. Con las listas, las reglas no tienen ningún identificador único. Al llamar a UpdateSecurityList, debe transferir toda la lista de reglas, incluidas aquellas que no se van a actualizar en la operación.

  • Hay un límite de 25 reglas al ejecutar operaciones que agreguen, eliminen o actualicen reglas de seguridad.

Para obtener más información, consulte Controlling Traffic with Network Security Groups.