Documentación de Oracle Cloud Infrastructure

Restricción del acceso a una instancia

Restrinja las redes que tienen acceso a su instancia de Oracle Integration configurando una lista de permisos (anteriormente una lista blanca). Solo los usuarios de las direcciones IP específicas, los bloques de enrutamiento entre dominios sin clase (CIDR) y las redes virtuales en la nube que especifique pueden acceder a la instancia de Oracle Integration.

Para la instancia de Oracle Integration, configure la lista de permisos al crear la instancia o después de crearla.

Opción 1 para configurar listas de permisos: restringir el acceso a Oracle Integration mediante las funciones de lista de permisos de autoservicio

A continuación, se muestra la descripción de allowlist-only.png

En este escenario, se restringe el acceso a Oracle Integration mediante una lista de permisos. La lista de permisos restringe el acceso según los siguientes parámetros:

  • Dirección IP única
  • Bloque de enrutamiento entre dominios sin clase (CIDR) (es decir, un rango de direcciones IP)
  • ID de Oracle Cloud de red virtual en la nube (OCID de VCN)

Además, es posible que la organización tenga un gateway de servicios. El gateway de servicios permite a la red virtual en la nube (VCN) acceder de forma privada a Oracle Integration sin exponer los datos a la red pública de Internet.

Solo las direcciones IP y los OCID de VCN especificados pueden acceder a Oracle Integration. Los usuarios y sistemas que acceden a Oracle Integration desde las VCN mostradas tienen acceso completo.

Ventajas

  • Configuración sencilla Puede configurar la lista de permitidos en solo unos minutos, sin tener que crear un punto final personalizado.
  • Todo el tráfico está soportado, incluidos REST, SOAP y otro tráfico de Internet.

Desventajas

  • Las reglas permiten el acceso de todo o nada y no permiten un control más matizado.

    Por ejemplo, se permite todo el tráfico para una dirección IP o un rango determinados, incluso si alguien que utiliza una dirección IP permitida transfiere SQL como parámetro de línea de comandos.

  • Está limitado a 15 reglas de acceso.

    Sin embargo, un bloque CIDR cuenta solo 1 entrada, por lo que es posible que no necesite más de 15 reglas.

Tareas que completar para este escenario

  1. Agregue el OCID de VCN de su organización a la lista de permisos. La VCN debe estar en la misma región que Oracle Integration y debe tener un gateway de servicio.

    Al agregar el OCID de la VCN a la lista de permisos, todos los recursos de la VCN pueden acceder a Oracle Integration.

  2. Para todas las redes y aplicaciones asociadas, agregue sus direcciones IP o rangos de direcciones a la lista de permisos.

    Necesita todas las direcciones IP para todas las aplicaciones y sistemas que necesitan acceso a Oracle Integration. Asegúrese de considerar todos los sistemas asociados y las aplicaciones SaaS al compilar la lista. Por ejemplo, si una plataforma CRM requiere acceso, debe agregar la persona o el rango de direcciones IP para la plataforma.

    Cuando agrega las direcciones IP o los rangos de direcciones a la lista de permisos, otorga acceso completo a la interfaz de usuario y a las integraciones de la red.

  3. Active el bucle de retorno para que Oracle Integration se pueda llamar a sí mismo.

    Por ejemplo, la activación de la bucle de retorno permite a Oracle Integration llamar a sus propias API de REST.

Opción 2 para configurar listas de permisos: restringir el acceso a Oracle Integration mediante Oracle Cloud Infrastructure Web Application Firewall (WAF)

A continuación, se muestra la descripción de allowlist_with_waf.png

Este escenario es la opción de configuración más potente para la lista de permitidos, lo que le permite crear reglas sofisticadas. En este caso, restringe el acceso a Oracle Integration mediante Oracle Cloud Infrastructure Web Application Firewall (WAF).

Cómo cada elemento controla el acceso

La lista de permisos permite a las siguientes entidades acceder a Oracle Integration:

  • WAF
  • ID de Oracle Cloud de red virtual en la nube (OCID de VCN)

Como resultado, todo el tráfico de Internet se dirige a WAF, que restringe el acceso en función de:

  • Dirección IP única
  • Bloque de enrutamiento entre dominios sin clase (CIDR) (es decir, un rango de direcciones IP)
  • ID de Oracle Cloud de red virtual en la nube (OCID de VCN)
  • Reglas adicionales que se definen

Si su organización tiene un gateway de servicios, el gateway de servicios permite a la red virtual en la nube (VCN) acceder de forma privada a Oracle Integration sin exponer los datos a la Internet pública.

Ventajas

  • WAF le permite crear reglas sofisticadas para la lista de permitidos. Por ejemplo:
    • Si alguien intenta transferir SQL como parámetro de línea de comandos, puede no permitir la solicitud.
    • Puede restringir el acceso en función de la ubicación mediante el bloqueo geográfico.

    Para obtener más información, consulte Gestión de políticas de WAF para Oracle Cloud Infrastructure Web Application Firewall.

  • Todo el tráfico está soportado, incluidos REST, SOAP y otro tráfico de Internet.
  • La limitación de 15 reglas de lista de permisos no se aplica a este escenario.

Desventajas

  • Esta opción es más compleja, laboriosa y propensa a errores que la lista de permisos de autoservicio por sí misma.
  • Debe crear un punto final personalizado para WAF que requiera un certificado de servidor y una entrada DNS.

Tareas que completar para este escenario

  1. Configure WAF en función de los requisitos de la organización.

    Consulte Visión general del firewall de aplicaciones web para Oracle Cloud Infrastructure Web Application Firewall.

  2. Configure un punto final personalizado para Oracle Integration.

    Consulte Configuración de un punto final personalizado para una instancia.

  3. Agregue las direcciones IP para WAF a la lista de permisos.

    Si su organización tiene Oracle Integration en varias regiones, cada región tiene su propio WAF. Debe agregar las direcciones IP de todos los WAF a la lista de permisos.

  4. Agregue el OCID de VCN de su organización a la lista de permisos. La VCN debe estar en la misma región que Oracle Integration y debe tener un gateway de servicio.

    Cuando el OCID de la VCN está en la lista de permitidos, la red virtual en la nube omite WAF.

Nota

No es necesario activar el bucle de retorno al utilizar WAF para restringir el acceso a Oracle Integration.

Opción 3 para configurar listas de permisos: restringir el acceso a Oracle Integration mediante el gateway de API

A continuación se muestra la descripción de allowlist_with_api_gateway.png

En este caso, restringe el acceso a Oracle Integration mediante el gateway de API y una lista de permisos.

Si todo el tráfico a Oracle Integration tiene el formato de llamadas de API de REST, esta configuración se ajusta a sus necesidades. Sin embargo, si tiene tráfico en forma de llamadas de API que no son de REST, este escenario podría no ser ideal. Tiene tráfico en forma de llamadas no REST si su organización admite cualquiera de las siguientes situaciones:

  • Usuarios que trabajan en la interfaz de usuario de Oracle Integration, incluido el uso de Visual Builder y la función Procesos
  • Usuarios que trabajan en la interfaz de usuario de la consola de Oracle Cloud Infrastructure
  • Llamadas de SOAP

Si admite llamadas no REST, debe utilizar la lista de permisos de Oracle Integration para gestionar este acceso. Por este motivo: el gateway de API no permite agregar direcciones IP a una lista de permitidos.

Cómo cada elemento controla el acceso

  • Todo el tráfico REST desde Internet se enruta al gateway de API.

    Para obtener más información sobre cómo restringir el acceso, consulte Visión general de gateway de API para gateway de API.

  • La lista de permisos permite a las siguientes entidades acceder a Oracle Integration:
    • VCN de gateway de API
    • Gateway de servicio, si su organización tiene uno
    • Solicitudes REST y SOAP
    Nota

    Si necesita acceso a Visual Builder y Processes, este patrón permite omitir el gateway de API.

Si su organización tiene un gateway de servicios, el gateway de servicios permite a la red virtual en la nube (VCN) acceder de forma privada a Oracle Integration sin exponer los datos a la Internet pública.

Ventajas

Desventajas

  • Si su organización utiliza File Server, no puede restringir el acceso mediante API Gateway.

    Debería permitir el acceso directo a File Server.

  • Esta opción es más compleja, laboriosa y propensa a errores que la lista de permisos de autoservicio por sí misma.
  • Si no configura todo exactamente como sea necesario, los usuarios experimentan problemas de acceso. Por ejemplo, los usuarios no pueden acceder a la función Procesos, y solo las personas de la red interna pueden acceder a Visual Builder.
  • Para cualquier llamada no REST a Oracle Integration, debe proporcionar acceso directo mediante la lista de permisos de Oracle Integration. Está limitado a 15 reglas de acceso para esta lista de permisos.

Tareas que completar para este escenario

Nota

Debe realizar estos pasos manualmente y utilizar el formato correcto, o los usuarios experimentarán problemas de acceso.
  1. Configure el gateway de API según los requisitos de su organización.

    Consulte la documentación de API Gateway.

  2. Agregue el OCID de VCN de su organización a la lista de permisos. La VCN debe estar en la misma región que Oracle Integration.

    Cuando el OCID de la VCN está en la lista de permitidos, la red virtual en la nube omite el gateway de API

  3. Agregue el gateway de API a la lista de permisos.
  4. Active el bucle de retorno para que Oracle Integration se pueda llamar a sí mismo.

    Por ejemplo, la activación de la bucle de retorno permite a Oracle Integration llamar a sus propias API de REST.

API de REST para lista de permitidos

También puede utilizar la API de REST para crear y modificar listas de permisos. Consulte /integrationInstances/{integrationInstanceId}/actions/changeNetworkEndpoint.

Requisitos previos para la creación de una lista de permitidos para Oracle Integration

Al crear la lista de permisos, debe incluir todas las aplicaciones que necesitan acceso a su instancia. Esta es la información que necesita.

Nota

Estas tareas son necesarias para Oracle Integration.

Obtener direcciones IP de salida para aplicaciones que son orígenes de eventos

Debe agregar todos los orígenes de eventos, como los eventos de ERP de Oracle Fusion Applications, a la lista de permitidos. Para ello, debe obtener la dirección IP de salida de las aplicaciones. Póngase en contacto con los proveedores de aplicaciones para obtener las direcciones IP.

Obtenga las direcciones IP públicas para las aplicaciones Oracle SaaS que hacen llamadas HTTPS a Oracle Integration

Las aplicaciones de Oracle SaaS pueden realizar llamadas HTTPS a Oracle Integration en función del diseño de la integración. Vaya al menú Acerca de en Oracle Integration para obtener la dirección IP pública de la instancia SaaS que desea agregar a la lista de permitidos en Oracle Integration. Consulte Obtención de la dirección IP del gateway de NAT de la instancia de Oracle Integration.

Algunos ejemplos:

  • Integraciones con conexiones del adaptador SaaS para disparadores y devoluciones de llamada
  • Cuando el agente de conectividad se utiliza con un adaptador que realiza el sondeo, como para el sondeo y la llamada de la base de datos
  • Cuando se utiliza el agente de conectividad para comunicarse con Oracle Integration

Para obtener una lista de direcciones IP externas por centro de datos que puede agregar a la lista de permitidos para llamadas de servicio web iniciadas por las aplicaciones de Oracle Cloud, consulte la nota de soporte ID 1903739.1: Lista blanca de IP para llamadas de servicio web iniciadas por las aplicaciones de Oracle Cloud.

Configurar una lista de permisos para la instancia

La lista de permisos puede contener hasta 15 reglas para conexiones HTTPS a la instancia de Oracle Integration. Las restricciones de lista de permisos que cree se suman a los mecanismos de autorización estándar, como las credenciales de usuario, que siempre están en su lugar.

  1. Conectarse a la consola de Oracle Cloud Infrastructure.
  2. En la columna Nombre mostrado, haga clic en la instancia que desea editar.
  3. En la página Detalles de instancia de integración, debajo de Recursos en la parte inferior izquierda, seleccione Acceso a red.
  4. Debajo de la cabecera Network Access (Acceso a red), haga clic en Editar.
    Se muestra el cuadro de diálogo Acceso a red. Si la lista está vacía, se agrega la primera regla de lista de permisos en blanco.
  5. Complete los campos en la parte superior del cuadro de diálogo:
    • Restringir el acceso a la red: seleccione esta opción para poder agregar reglas de lista de permisos y aplicar las reglas. Cuando se selecciona esta opción, solo los usuarios de las redes que cumplen los valores configurados pueden acceder a la instancia de integración. Cuando no se selecciona esta opción, no hay reglas de lista de permisos y no hay restricciones de red para acceder a la instancia.

      Atención:

      Si anula la selección de Restringir el acceso a la red después de configurar las reglas de lista de permisos, se suprimen todas las reglas de lista de permisos configuradas.
    • Activar bucle de retorno: seleccione esta opción para permitir que la integración se llame a sí misma.
      Nota

      Si activa la bucle de retorno, cualquier instancia de Oracle Integration de su región puede llamar a su instancia.

      Se necesita un bucle de retorno para determinadas llamadas. Debe activar el bucle de retorno para los siguientes escenarios:

      • Llamar a una API de Oracle Integration desde una integración. Utilice una conexión REST para llamar a la API.
      • Para llamar a su integración desde una instancia de otro Oracle Integration.

      Para llamar a la integración desde la instancia de Oracle Integration, puede activar el bucle de retorno, pero recomendamos que utilice la llamada local en su lugar. Si utiliza la llamada local para este escenario, no necesita activar el bucle de retorno. Tampoco necesita una conexión al utilizar la llamada local.

  6. Configure las reglas de lista de permisos.
    1. Para agregar una regla, haga clic en Agregar regla, que se encuentra debajo de la última regla de la lista. Puede que tenga que desplazarse para ver el botón.
    2. En el campo Tipo, seleccione el tipo de regla que desea configurar.
      • IP Address/CIDR Block: configure el acceso desde una dirección IP o un rango de direcciones IP.
      • Red virtual en la nube: configure el acceso desde una red virtual en la nube específica. Para mostrar una lista de redes en otros compartimentos, haga clic en Cambiar compartimento. Además de una red virtual en la nube específica, puede especificar una dirección IP o un rango de direcciones IP dentro de la red virtual en la nube.
      • OCID de red virtual en la nube: proporcione acceso a un ID de Oracle Cloud (OCID) de la red virtual en la nube. Para obtener información sobre el formato de OCID, consulte Identificadores de recursos.
  7. Después de agregar todas las reglas deseadas a la lista de permisos, haga clic en Guardar cambios.
    Se envía la solicitud de trabajo y los cambios entran en vigor cuando el estado de la instancia cambia a Activo. En los detalles de la instancia, en Información de instancia de integración, también verá Acceso a red: restringido.