Documentación de Oracle Cloud Infrastructure

Reglas de seguridad

En Compute Cloud@Customer, puede configurar reglas de seguridad para listas de seguridad y grupos de seguridad de red (NSG).

En esta sección se explican aspectos importantes de las reglas de seguridad que debe comprender para implantarlas. El modo de creación, gestión y aplicación de reglas de seguridad varía entre las listas de seguridad y los grupos de seguridad de la red.

Partes de una regla de seguridad

Una regla de seguridad permite un tipo concreto de tráfico hacia o desde una VNIC. Por ejemplo, una regla de seguridad que se suele utilizar permite la entrada de tráfico del puerto 22 de TCP para establecer conexiones SSH con la instancia. Sin reglas de seguridad, no se permite tráfico en las VNIC ni fuera de ellas en la VCN.

Cada regla de seguridad especifica los siguientes elementos:

  • Dirección (entrada o salida): el tráfico de entrada es el que se recibe y el de salida, el que se envía desde la VNIC.

    El modelo de API de REST para las listas de seguridad es diferente de los grupos de seguridad de red. Con las listas de seguridad, hay un objeto IngressSecurityRule y otro objeto EgressSecurityRule independiente. Con los grupos de seguridad de red, solo hay un objeto SecurityRule y el atributo direction del objeto determina si la regla es para el tráfico de entrada o salida.

  • Con estado o sin estado: si se tiene estado, se utiliza el seguimiento de conexión para el tráfico que coincide con la regla. Si no tiene estado, no se utiliza ningún seguimiento de conexión. Consulte Reglas con y sin estado en esta sección.

  • Origen y tipo de origen: solo para reglas de entrada; el origen que proporcione depende del tipo de origen seleccionado. Se permiten estos tipos de orígenes:

    Tipo de Origen

    Origen permitido

    CIDR

    Bloque CIDR desde el que se origina el tráfico. Utilice 0.0.0.0/0 para indicar todas las direcciones IP. El prefijo es necesario. Por ejemplo, incluya el /32 si especifica una dirección IP individual.

  • Tipo de destino y destino: solo para reglas de salida; el destino proporcionado depende del tipo de destino seleccionado. Se permiten estos tipos de destino:

    Tipo de Destino

    Destino permitido

    CIDR

    Bloque CIDR al que se dirige el tráfico. Utilice 0.0.0.0/0 para indicar todas las direcciones IP. El prefijo es necesario. Por ejemplo, incluya el /32 si especifica una dirección IP individual.

  • Protocolo IP: un único protocolo IPv4 o "todos" para cubrir todos los protocolos.

  • Puerto de origen: puerto desde el que se origina el tráfico. Para TCP o UDP, puede especificar todos los puertos de origen u, opcionalmente, especificar un único número de puerto de origen o un rango.

  • Puerto de destino: puerto al que se dirige el tráfico. Para TCP o UDP, puede especificar todos los puertos de destino u, opcionalmente, especificar un único número de puerto de destino o un rango.

  • Tipo y código ICMP: para ICMP, puede especificar todos los tipos y códigos o especificar de manera opcional un solo tipo con un código opcional. Si el tipo tiene varios códigos, cree una regla independiente para cada código que desee permitir.

  • Descripción: las reglas de seguridad del NSG contienen un atributo opcional para incluir una descripción de la regla. Esto no se admite actualmente para las reglas de listas de seguridad.

Reglas con y sin estado

Al crear una regla de seguridad, se selecciona si tiene estado o no. El valor predeterminado es con estado. Se recomiendan reglas sin estado si se tiene un sitio web orientado a Internet de gran volumen para el tráfico HTTP/HTTPS.

Al marcar una regla de seguridad con estado se indica que desea utilizar el seguimiento de conexiones para cualquier tráfico que coincida con esa regla. Esto significa que, cuando una instancia recibe tráfico que coincide con la regla de entrada con estado, se realiza un seguimiento de la respuesta y se permite de forma automática para el host de origen, independientemente de las reglas de salida aplicables a la instancia. Además, cuando una instancia envía tráfico que coincida con una regla de salida con estado, la respuesta entrante se permite automáticamente, con independencia de las reglas de entrada.

Si define una regla de seguridad sin estado, NO podrá utilizar el seguimiento de conexión para ningún tráfico que coincida con esa regla. Esto significa que el tráfico de respuesta no se permite automáticamente. Para permitir el tráfico de respuesta para una regla de entrada sin estado debe crear la regla de salida sin estado correspondiente.

Si utiliza reglas con y sin estado, y hay tráfico que coincida con una regla con y sin estado en una dirección determinada, la regla sin estado tiene prioridad y no se realiza el seguimiento de la conexión. Necesitaría una regla correspondiente en la otra dirección, sin estado o con estado, para que se permita el tráfico de respuesta.

Si decide utilizar reglas de seguridad sin estado para permitir que el tráfico entre los puntos finales fuera de la VCN, es importante agregar una regla de seguridad que permita el tipo de tráfico ICMP 3, código 4 desde el origen 0.0.0.0/0 y cualquier puerto de origen. Esta regla permite a las instancias recibir mensajes de fragmentación del descubrimiento de la MTU de la ruta. Esta regla resulta crítica para establecer una conexión con sus instancias. Sin ella, puede experimentar problemas de conectividad.

Mejores prácticas para reglas de seguridad

  • Uso de grupos de seguridad de red

    Oracle recomienda utilizar NSG para los componentes que tienen la misma posición de seguridad. Por ejemplo, en una arquitectura de varios niveles, tendría un NSG independiente por cada nivel. Todas las VNIC de un nivel pertenecen a la NSG de ese nivel.

    En un nivel, es posible que tenga un subjuego determinado de las VNIC del nivel que tienen requisitos de seguridad adicionales y especiales. Por lo tanto, debe crear otro NSG para esas reglas adicionales y colocar ese subjuego de VNIC en el NSG del nivel y en el NSG con reglas adicionales.

  • Descripción de las reglas de lista de seguridad por defecto

    Cada VCN proporciona automáticamente una lista de seguridad predeterminada que contiene varias reglas de seguridad predeterminadas que ayudan a empezar a utilizar el servicio de redes. Esas reglas existen porque activan la conectividad básica.

    Incluso si decide no utilizar las listas de seguridad o la lista de seguridad predeterminada, es preciso familiarizarse con las reglas para comprender mejor los tipos de tráfico que necesitan los recursos en la nube conectados a la red. Es posible que desee usar esas reglas en los NSG o en cualquier lista de seguridad personalizada que se configure.

    No hay ninguna regla por defecto para permitir solicitudes de ping. Si desea hacer ping en una instancia, agregue una regla de entrada con estado que permita específicamente el tipo de tráfico 8 de ICMP desde la red de origen desde la que desea hacer ping. Para permitir el acceso de ping desde internet, utilice 0.0.0.0/0 para el origen. Tenga en cuenta que esta regla de ping es independiente de las reglas relacionadas con ICMP predeterminadas en la lista de seguridad predeterminada. No elimine dichas reglas.

  • No suprimir indiscriminadamente las reglas de seguridad por defecto

    Por defecto, la VCN puede tener subredes que utilizan la lista de seguridad por defecto. No suprima ninguna de las reglas de seguridad por defecto de la lista a menos que haya confirmado primero que los recursos de la VCN no los necesitan. De lo contrario, es posible que se altere la conectividad de la VCN.

  • Si es necesario, agregue reglas para permitir solicitudes de ping

    No hay ninguna regla por defecto para permitir solicitudes de ping. Si desea hacer ping en una instancia, agregue una regla de entrada con estado que permita específicamente el tipo de tráfico 8 de ICMP desde la red de origen desde la que desea hacer ping. Para permitir el acceso de ping desde internet, utilice 0.0.0.0/0 para el origen. Tenga en cuenta que esta regla de ping es independiente de las reglas relacionadas con ICMP predeterminadas en la lista de seguridad predeterminada. No elimine dichas reglas.

  • Si es necesario, agregue reglas para gestionar paquetes UDP fragmentados.

    Las instancias pueden enviar o recibir tráfico UDP. Si un paquete UDP es demasiado grande para la conexión, está fragmentado. Sin embargo, solo el primer fragmento del paquete contiene la información de protocolo y puerto. Si las reglas de seguridad que permiten este tráfico de entrada y salida especifican un número de puerto (de origen o de destino) determinado, los fragmentos posteriores al primero se anulan. Si cree que las instancias enviarán o recibirán paquetes UDP grandes, establezca los puertos de origen y destino para las reglas de seguridad aplicables como TODOS en lugar de un número de puerto concreto.

  • Alineación de reglas de firewall del sistema operativo con reglas de seguridad

    Las instancias que ejecutan imágenes proporcionadas con Compute Cloud@Customer también tienen reglas de firewall del sistema operativo que controlan el acceso a la instancia. Al solucionar el problema de acceso a una instancia, asegúrese de que todos los elementos siguientes están definidos correctamente:

    • Las reglas de los grupos de seguridad de red en los que está la instancia

    • Las reglas de las listas de seguridad asociadas a la subred de la instancia

    • Las reglas de firewall del sistema operativo de la instancia