Documentación de Oracle Cloud Infrastructure

Firewall virtual

En Compute Cloud@Customer, el servicio de redes ofrece dos funciones de firewall virtual que utilizan reglas de seguridad para controlar el tráfico en el nivel de paquete: listas de seguridad y grupos de seguridad de red (NSG). Ofrecen diferentes maneras de aplicar reglas de seguridad a un conjunto de tarjetas de interfaz de red virtual (VNIC).

  • Listas de seguridad:

    Una lista de seguridad define las reglas de seguridad en el nivel de subred, lo que significa que todas las VNIC de una subred concreta están sujetas a las mismas reglas. Cada VCN incluye una seguridad predeterminada que contiene las reglas predeterminadas para el tráfico esencial. La lista de seguridad por defecto se utiliza automáticamente con todas las subredes, a menos que se especifique una lista de seguridad personalizada. Una subred puede tener hasta cinco listas de seguridad asociadas.

  • Grupos de seguridad de red (NSG):

    Un grupo de seguridad de red define reglas de seguridad basadas en la pertenencia. Sus reglas de seguridad se aplican a los recursos que se agregan explícitamente al NSG. Se puede agregar una VNIC a un máximo de cinco NSG. Un NSG está diseñado para proporcionar un firewall virtual para un juego de recursos en la nube con la misma estrategia de seguridad. Por ejemplo, un grupo de instancias que realizan las mismas tareas y, por lo tanto, deben utilizar el mismo conjunto de puertos.

Oracle recomienda utilizar NSG en lugar de listas de seguridad, ya que los NSG permiten separar la arquitectura de subred de la VCN de los requisitos de seguridad de la aplicación. Sin embargo, los NSG solo se admiten para servicios específicos. Es posible usar listas de seguridad y NSG juntos, según sus necesidades de seguridad particulares.

Si tiene reglas de seguridad que desea aplicar para todos los VNIC de una VCN, la solución más sencilla consiste en colocar las reglas en una lista de seguridad y, a continuación, asociar esa lista de seguridad a todas las subredes de la VCN. De esta manera, puede garantizar la aplicación de las reglas, independientemente de quién en su organización cree una VNIC en la VCN. O bien, puede agregar las reglas de seguridad necesarias a la lista de seguridad por defecto de la VCN.

Si decide combinar listas de seguridad y grupos de seguridad de red, el conjunto de reglas que se aplica a una VNIC en particular es la unión de estos elementos:

  • Las reglas de las listas de seguridad asociadas a la subred de la VNIC

  • Las reglas de seguridad de todos los NSG en los que se encuentra la VNIC

Se permite un paquete en cuestión si ninguna regla de las listas y grupos relevantes permite el tráfico o si el tráfico forma parte de una conexión existente cuyo seguimiento se está realizando debido a una regla con estado.