Grupos de seguridad de red
En Compute Cloud@Customer, un grupo de seguridad de red (NSG) proporciona un firewall virtual para un conjunto de recursos en la nube, dentro de una única VCN, que tienen la misma postura de seguridad. Por ejemplo, un grupo de instancias informáticas que realizan las mismas tareas y, por lo tanto, todas deben utilizar el mismo juego de puertos.
Las reglas de un NSG se aplican en las VNIC, pero su pertenencia al NSG se determina mediante sus recursos principales. No todos los servicios en la nube admiten NSG. Actualmente, los siguientes tipos de recursos principales admiten el uso de grupos de servicios de red:
-
Instancias de Compute: cuando crea una instancia, puede especificar uno o más grupos de servicios de red para la VNIC principal de la instancia. Si agrega una VNIC secundaria a una instancia, puede especificar uno o más grupos de servicios de red para esa VNIC. También puede cambiar la pertenencia al NSG de las VNIC existentes.
- Equilibrios de cargamento: al crear un equilibrador de carga, puede especificar uno o más grupos de servicio de Internet para el equilibrador (no el juego de backends). También puede actualizar un equilibrador de carga existente para utilizar uno o más grupos de servicios de red.
-
Destinos de montaje: cuando crea un destino de montaje para un sistema de archivos, puede especificar uno o más NSG. También puede actualizar un destino de montaje existente para usar uno o más grupos de servicios de red.
Para los tipos de recursos que aún no admiten NSG, siga utilizando listas de seguridad para controlar el tráfico hacia y desde esos recursos principales.
No puede asociar un gateway de Internet a un NSG.
Un NSG contiene dos tipos de elementos:
-
VNIC: una o más VNIC; por ejemplo, las VNIC asociadas al conjunto de instancias informáticas que tienen la misma posición de seguridad. Todas las VNIC deben estar en la VCN al que pertenece el NSG. Una VNIC puede tener un máximo de cinco NSG.
-
Reglas de seguridad: reglas que definen los tipos de tráfico permitido de entrada y salida de las VNIC en el grupo. Por ejemplo: tráfico SSH del puerto 22 TCP de entrada desde un origen concreto.
El proceso general para trabajar con grupos de seguridad de red es el siguiente:
-
Cree un NSG.
Al crear un grupo de seguridad de red, inicialmente está vacío, sin ninguna regla de seguridad ni VNIC. Una vez creado el NSG, puede agregar o eliminar reglas de seguridad para permitir los tipos de tráfico de entrada y salida que requieren las VNIC del grupo.
-
Agregue reglas de seguridad al NSG.
-
Agregue recursos principales, o más específicamente, VNIC, a los grupos de seguridad de red.
Cuando gestiona una pertenencia de VNIC de NSG, lo hace como parte del trabajo con el recurso principal, no como el propio NSG. Puede hacerlo cuando crea el recurso principal, o bien puede actualizar el recurso principal y agregarlo a uno o más grupos de seguridad de red.
Al crear una instancia informática y agregarla a un NSG, la VNIC principal de la instancia se agrega al NSG. Puede crear VNIC secundarias por separado y, opcionalmente, agregarlas a grupos de seguridad de red.
Existen algunas diferencias en el modelo de API de REST para los grupos de seguridad de red en comparación con las listas de seguridad:
-
Con las listas de seguridad, hay un objeto
IngressSecurityRule
y otro objetoEgressSecurityRule
independiente. Con los grupos de seguridad de red, solo hay un objetoSecurityRule
y el atributodirection
del objeto determina si la regla es para el tráfico de entrada o salida. -
Con las listas de seguridad, las reglas forman parte del objeto
SecurityList
y se trabaja con las reglas llamando a las operaciones de la lista de seguridad; por ejemplo:UpdateSecurityList
. Con los grupos de datos, las reglas no forman parte del objetoNetworkSecurityGroup
. En su lugar, se utilizan operaciones independientes para trabajar con las reglas para un grupo de seguridad de red concreto; por ejemplo:UpdateNetworkSecurityGroupSecurityRules
. -
El modelo para actualizar reglas de seguridad existentes es diferente entre listas de seguridad y grupos de seguridad de red. Con los NSG, cada regla de un grupo concreto tiene un identificador único. Al llamar a
UpdateNetworkSecurityGroupSecurityRules
, proporciona los identificadores de las reglas específicas que desea actualizar. Con las listas de seguridad, las reglas no tienen ningún identificador único. Al llamar aUpdateSecurityList
, debe transferir toda la lista de reglas, incluidas las reglas que no se están actualizando en la llamada. -
Hay un límite de 25 reglas al ejecutar operaciones para agregar, eliminar o actualizar reglas de seguridad.
Para obtener más información, consulte Controlling Traffic with Network Security Groups.