Documentación de Oracle Cloud Infrastructure

Listas de seguridad

En Compute Cloud@Customer, una lista para la seguridad actúa como un firewall virtual para una instancia, con reglas para la entrada y salida que especifican los tipos de tráfico permitidos entrando y saliendo de esta.

Cada lista de seguridad se aplica en el nivel de VNIC. Sin embargo, las listas de seguridad se configuran en el nivel del subred, lo que significa que todas las VNIC de una subred determinadas están sujetas al mismo conjunto de las listas de seguridad.

Las listas de seguridad se aplican a un VNIC determinado, ya sea que se comunique con otra instancia de la VCN o un host fuera de la VCN. Cada subred puede tener múltiples listas de seguridad asociadas a ella y cada lista puede tener varias reglas.

Cada VCN incluye una lista para la seguridad por defecto. Si no especifica ninguna lista de seguridad personalizada para una subred, la lista de seguridad predeterminada se utiliza automáticamente con esa subred. Puede agregar y eliminar reglas en la lista del valor predeterminado. Tiene un juego inicial de reglas con estado, que se debe cambiar para permitir solo el tráfico entrante desde subredes autorizadas. Las reglas por defecto son:

  • Entrada con Estado: permite el tráfico TCP en el puerto de destino 22 (SSH) desde direcciones IP autorizadas de origen y cualquier puerto de origen.

    Esta regla le permite crear una nueva red en la nube y una subred pública, crear una instancia de Linux y, a continuación, usar inmediatamente el SSH para conectarse a esa instancia sin que sea necesario escribir las reglas de la lista del usuario.

    La lista por defecto de seguridad no incluye ninguna regla que permita el acceso de Protocolo de escritorio remoto (RDP). Si utiliza imágenes de Compute Cloud@Customer, agregue una regla con estado para el tráfico TCP en el puerto 3389 de destino desde direcciones IP autorizadas y cualquier puerto del origen.

  • Entrada con estado: permita el tráfico ICMP del tipo 3 y código 4 desde direcciones IP de origen autorizadas.

    Esta regla permite a las instancias recibir mensajes que revelan la fragmentación de la ruta MTU.

  • Entrada con estado: permitir tráfico ICMP de tipo 3 (Todos los códigos) desde su bloque de CIDR de VCN.

    Esta regla permite a las instancias recibir mensajes de error de conectividad de otras instancias de la VCN.

  • Entrada con estado: permite todo el tráfico.

    Esto permite a las instancias iniciar el tráfico de cualquier tipo a cualquier destino. Esto significa que las instancias con direcciones IP públicas pueden comunicarse a cualquier dirección IP del Internet si la VCN tiene configurado un gateway de Internet. Además, como las reglas de seguridad con estado utilizan el seguimiento de conexiones, se permite el tráfico de respuesta automáticamente, con independencia de las reglas de entrada.

El proceso general para trabajar con listas de seguridad es el siguiente:

  1. Cree una lista de seguridad.

  2. Agregue reglas de seguridad a la lista de seguridad.

  3. Asocie la lista de seguridad a una o más subredes.

  4. Cree recursos, como instancias informáticas, en la subred.

    Las reglas de seguridad se aplican a todas las VNIC de esa subred.

Al crear una subred, debe asociarle al menos una lista de seguridad. Puede ser la lista de seguridad por defecto de la VCN o una o más listas de seguridad que ya haya creado. Puede cambiar las listas de seguridad que utiliza la subred en cualquier momento. Puede agregar y eliminar reglas en la lista. Es posible que una lista de seguridad no contenga reglas.

Para obtener más información, consulte Control de tráfico con listas de seguridad.