Reglas de seguridad y listas de seguridad de VCN
En Compute Cloud@Customer, la seguridad de VCN implica la creación y el uso de reglas recopiladas en listas de seguridad o grupos de seguridad de red (NSG).
Las reglas pueden tener o no estado. Las reglas con estado suponen varias cosas sobre una interacción de instancia. Por ejemplo, una regla con estado que se aplica a una solicitud a una instancia asume que hay una respuesta y permite automáticamente esta respuesta. Por el contrario, las reglas sin estado no suponen nada sobre ninguna interacción. Las reglas sin estado son mensajes de una instancia a otra y se aplican a todo, independientemente de lo que se haya hecho antes. Las reglas con estado requieren un procesamiento de gastos generales para realizar un seguimiento de los estados que no tienen reglas sin estado. Las instancias con tráfico pesado y muy variado, como los sitios web, deben utilizar reglas sin estado siempre que sea posible para minimizar las cargas del sistema.
Es necesario tener cuidado al crear reglas sin estado y con estado. Cuando aparece un mensaje que se ajusta a los criterios de regla con estado y sin estado, se aplica la regla sin estado. Esto hace que las respuestas se bloqueen a solicitudes que aparentemente deberían permitirse.
La VCN puede tener subredes que utilizan la lista de seguridad por defecto. No elimine ninguna de las reglas de seguridad predeterminadas de la lista a menos que antes haya confirmado que los recursos de la VCN no las necesiten. De lo contrario, puede interrumpir la conectividad de la VCN.
Recuerde que:
-
Por defecto, una regla de seguridad tiene estado, pero también se puede configurar para que no tenga estado. Una práctica común es utilizar reglas sin estado para aplicaciones de alto rendimiento. En el caso de que el tráfico de red coincida con las listas de seguridad con estado y sin estado, la regla sin estado tendrá prioridad. Para obtener más información sobre la configuración de reglas de seguridad de VCN, consulte Reglas de seguridad.
-
Para evitar el acceso no autorizado o ataques en instancias informáticas, recomendamos que utilice una regla de seguridad de VCN para permitir el acceso SSH o RDP solo desde bloques de CIDR autorizados en lugar de dejarlos abiertos a Internet (0.0.0.0/0). Para mayor seguridad, puede activar temporalmente el acceso SSH (puerto 22) o RDP (puerto 3389) según sea necesario mediante la API de VCN
UpdateNetworkSecurityGroupRules(si está utilizando grupos de seguridad de red) oUpdateSecurityList(si está utilizando listas de seguridad).Para obtener más información sobre la activación del acceso RDP, consulte Para activar el acceso RDP en Tipos de inicio de redes recomendadas.
Para realizar comprobaciones de estado de instancias, se recomienda configurar las reglas de seguridad de VCN para permitir pings ICMP. Para obtener más información, consulte Rules to Enable Ping.
Las listas de seguridad y los grupos de seguridad de red (NSG) de VCN permiten el control de acceso de red crítico para la seguridad de las instancias informáticas, y es importante evitar cambios no intencionados o no autorizados en las listas de seguridad y los NSG. Para evitar cambios no autorizados, recomendamos utilizar las políticas de IAM para permitir que solo los administradores de red realicen cambios en las listas de seguridad y los NSG.
La lista de seguridad por defecto para una VCN viene sin reglas sin estado: todas las reglas de lista de seguridad por defecto tienen estado. En la mayoría de los casos, las reglas por defecto se deben cambiar para permitir solo el tráfico entrante de subredes autorizadas.
Reglas de la lista de seguridad predeterminada
-
Entrada con estado: permita el tráfico TCP en el puerto de destino 22 (SSH) desde direcciones IP de origen autorizadas y cualquier puerto de origen. Esta regla facilita la creación de una nueva red en la nube y una subred pública, la apertura de una instancia de Linux y, a continuación, utilizar de inmediato SSH para conectarse a esa instancia sin que tenga que escribir ninguna regla de la lista de seguridad.
-
Entrada con estado: permita el tráfico ICMP del tipo 3 y código 4 desde direcciones IP de origen autorizadas. Esta regla permite a las instancias recibir mensajes de fragmentación de detección de MTU de ruta.
-
Entrada con estado: permitir tráfico ICMP del tipo 3 (todos los códigos) desde el bloque de CIDR de la VCN. Esta regla hace que sea fácil para las instancias recibir mensajes de error de conectividad procedentes de otras instancias de la VCN.
-
Entrada con estado: permite todo el tráfico. Esto permite a las instancias iniciar el tráfico de cualquier tipo a cualquier destino. Tenga en cuenta que esto significa que las instancias con direcciones IP públicas pueden comunicarse con cualquier dirección IP de internet si la VCN tiene configurado un gateway de internet. Además, como las reglas de seguridad con estado utilizan el seguimiento de conexiones, se permite el tráfico de respuesta automáticamente, con independencia de las reglas de entrada.
Modificaciones de reglas de lista de seguridad
RDP
La lista de seguridad por defecto no incluye ninguna regla que permita el acceso de RDP (protocolo de escritorio remoto). Si utiliza imágenes de Microsoft Windows, asegúrese de agregar una regla de entrada con estado para el tráfico TCP en el puerto de destino 3389 desde direcciones IP de origen autorizadas y cualquier puerto de origen.
Sondeos de la Instancia
La lista de seguridad predeterminada no incluye ninguna regla que permita solicitudes de ping. Si desea hacer ping en una instancia, asegúrese de que la lista de seguridad aplicable de la instancia incluya una regla de entrada con estado adicional que permita el tipo de tráfico 8 de ICMP desde la red de origen desde la que desea hacer ping. Para permitir el acceso de ping desde el centro de datos, utilice 0.0.0.0/0 para el origen. Tenga en cuenta que esta regla de ping es independiente de las reglas relacionadas con ICMP predeterminadas en la lista de seguridad predeterminada. No elimine dichas reglas.
Mensajes de fragmentación de detección de MTU de ruta
Si decide utilizar reglas de seguridad sin estado para permitir que el tráfico entre los puntos finales fuera de la VCN, es importante agregar una regla de seguridad que permita el tipo de tráfico ICMP 3, código 4 desde el origen 0.0.0.0/0 y cualquier puerto de origen. Esta regla permite a las instancias recibir mensajes de fragmentación de detección de MTU de ruta. Esta regla resulta crítica para establecer una conexión con las instancias. Sin ella, puede experimentar problemas de conectividad.
UDP
Las instancias pueden enviar y recibir tráfico UDP. En algunos casos, los paquetes UDP pueden estar fragmentados en enlaces con tamaños de MTU más pequeños. Si un paquete UDP es demasiado grande para el límite de tamaño de conexión, está fragmentado. Sin embargo, solo el primer fragmento del paquete contiene la información de protocolo y puerto. Si las reglas de seguridad que permiten este tráfico de entrada y salida especifican un número de puerto determinado (de origen o de destino), los fragmentos posteriores al primero se anulan. Si espera que las instancias envíen o reciban paquetes UDP grandes, establezca los puertos de origen y destino para las reglas de seguridad aplicables como TODOS (en lugar de un número de puerto particular).
Subredes y reglas de seguridad
Por sí solas, las listas de seguridad definen un juego de reglas de seguridad que se aplica a todas las VNIC de una subred completa. Para utilizar una lista de seguridad específica con una subred concreta, asocie la lista de seguridad a la subred durante la creación de la subred o más adelante. Una subred se puede asociar con un máximo de cinco listas de seguridad. Todas las VNIC que se crean en esa subred están sujetas a las listas de seguridad asociadas con la subred.