Documentación de Oracle Cloud Infrastructure

Listas de seguridad

En Compute Cloud@Customer, una lista de seguridad actúa como un firewall virtual para una instancia, con reglas de entrada y salida que especifican los tipos de tráfico permitidos de entrada y salida.

Cada lista de seguridad se aplica en el nivel de VNIC. Sin embargo, las listas de seguridad se configuran en el nivel de subred, lo que significa que todas las VNIC de una subred en particular están sujetas al mismo conjunto de listas de seguridad.

Las listas de seguridad se aplican a una VNIC concreta, ya sea que se comunique con otra instancia de la VCN o un host fuera de la VCN. Cada subred puede tener múltiples listas de seguridad asociadas a ella, y cada lista puede tener múltiples reglas.

Cada VCN incluye una lista de seguridad predeterminada. Si no especifica ninguna lista de seguridad personalizada para una subred, la lista de seguridad predeterminada se utiliza automáticamente con esa subred. Puede agregar y eliminar reglas en la lista de seguridad predeterminada. Tiene un juego inicial de reglas con estado, que se debe cambiar para permitir solo el tráfico entrante de subredes autorizadas. Las reglas por defecto son:

  • Entrada con estado: permita el tráfico TCP en el puerto de destino 22 (SSH) desde direcciones IP de origen autorizadas y cualquier puerto de origen.

    Esta regla le permite crear una nueva red en la nube y una subred pública, crear una instancia de Linux y, a continuación, utilizar de inmediato SSH para conectarse a esa instancia sin necesidad de que usted mismo tenga que escribir ninguna regla de lista de seguridad.

    La lista de seguridad por defecto no incluye ninguna regla que permita el acceso de RDP (protocolo de escritorio remoto). Si utiliza imágenes de Compute Cloud@Customer, agregue una regla de entrada con estado para el tráfico TCP en el puerto de destino 3389 desde direcciones IP de origen autorizadas y cualquier puerto de origen.

  • Entrada con estado: permita el tráfico ICMP del tipo 3 y código 4 desde direcciones IP de origen autorizadas.

    Esta regla permite a las instancias recibir mensajes de fragmentación de detección de MTU de ruta.

  • Entrada con estado: permitir tráfico ICMP del tipo 3 (todos los códigos) desde el bloque de CIDR de la VCN.

    Esta regla permite a las instancias recibir mensajes de error de conectividad procedentes de otras instancias de la VCN.

  • Entrada con estado: permite todo el tráfico.

    Esto permite a las instancias iniciar el tráfico de cualquier tipo a cualquier destino. Esto implica que las instancias con direcciones IP públicas pueden comunicarse con cualquier dirección IP de internet si la VCN tiene configurado un gateway de internet. Además, como las reglas de seguridad con estado utilizan el seguimiento de conexiones, se permite el tráfico de respuesta automáticamente, con independencia de las reglas de entrada.

El proceso general para trabajar con listas de seguridad es el siguiente:

  1. Cree una lista de seguridad.

  2. Permite agregar reglas de seguridad a la lista de seguridad.

  3. Asocie la lista de seguridad a una o más subredes.

  4. Cree recursos, como instancias informáticas, en la subred.

    Las reglas de seguridad se aplican a todas las VNIC de esa subred.

Al crear una subred, debe asociarle al menos una lista de seguridad. Puede ser la lista de seguridad predeterminada de la VCN o una o más listas de seguridad que haya creado. Puede cambiar las listas de seguridad que utiliza la subred en cualquier momento. Puede agregar y eliminar reglas en la lista de seguridad. Es posible que una lista de seguridad no contenga reglas.

Para obtener más información, consulte Control de tráfico con listas de seguridad.