Reglas de seguridad para el sistema de base de datos
En este artículo se enumeran las reglas de seguridad que se deben utilizar con el sistema de base de datos. Las reglas de seguridad controlan los tipos de tráfico de entrada y salida permitidos en los nodos informáticos del sistema de base de datos. Las reglas se dividen en dos secciones.
Para obtener más información sobre las reglas de seguridad, consulte Reglas de seguridad. Para obtener más información sobre las diferentes formas de implantar estas reglas, consulte Formas de implantar las reglas de seguridad.
Note:
Las instancias que ejecutan imágenes del sistema de base de datos proporcionadas por Oracle también tienen reglas de firewall que controlan el acceso a la instancia. Asegúrese de que tanto las reglas de seguridad como las reglas de firewall de la instancia estén definidas correctamente. Consulte también apertura de puertos en el sistema de base de datos.Reglas generales necesarias para la conectividad básica
Las siguientes secciones contienen varias reglas generales que permiten la conectividad esencial de los hosts de la VCN.
Si utiliza listas de seguridad para implantar sus reglas de seguridad, tenga en cuenta que las reglas siguientes se incluyen por defecto en la lista de seguridad por defecto. Actualice o reemplace la lista para satisfacer sus necesidades de seguridad específicas. Las dos reglas de ICMP (reglas generales de entrada 2 y 3) son necesarias para el funcionamiento correcto del tráfico de red en el entorno de Oracle Cloud Infrastructure. Ajuste la regla general de entrada 1 (la regla SSH) y la regla general de salida 1 para permitir el tráfico solo hacia y desde los hosts que requieren comunicarse con los recursos de su VCN.
Para obtener más información sobre la lista de seguridad por defecto, consulte Listas de seguridad.
Regla general de entrada 1: permite el tráfico SSH desde cualquier lugar
- Sin estado: No (todas las reglas deben tener un estado)
- Tipo de origen: CIDR
- CIDR de origen: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
- Protocolo IP: TCP
- Rango de puertos de origen: Todo
- Rango de puertos de destino: 22
Note:
El CIDR IPv6 solo es necesario si desea utilizar la dirección IPv6 para conectarse a SSH.Regla general de entrada 2: permite mensajes de fragmentación de detección de MTU de ruta de acceso
Esta regla permite a los hosts de la VCN recibir mensajes de fragmentación de detección de MTU de ruta de acceso. Sin acceso a estos mensajes, los hosts de la VCN pueden tener problemas para comunicarse con los hosts fuera de la VCN.
- Sin estado: No (todas las reglas deben tener un estado)
- Tipo de origen: CIDR
- CIDR de origen: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
- Protocolo IP: ICMP
- Tipo: 3
- Código: 4
Regla general de entrada 3: permite mensajes de error de conectividad dentro de la VCN
Esta regla permite a los hosts de la VCN recibir mensajes de error de conectividad entre sí.
- Sin estado: No (todas las reglas deben tener un estado)
- Tipo de origen: CIDR
- CIDR de origen: el CIDR de la VCN
- Protocolo IP: ICMP
- Tipo: todos
- Código: Todo
Regla general de salida 1: permite todo el tráfico saliente
- Sin estado: No (todas las reglas deben tener un estado)
- Tipo de destino: CIDR
- CIDR de destino: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
- Protocolo IP: Todo
Note:
- El CIDR de destino IPv6 solo es necesario para la comunicación saliente a redes IPv6.
- El CIDR de destino se puede restringir.
Reglas de seguridad personalizadas
Las siguientes reglas son necesarias para la funcionalidad del sistema de base de datos.
Note:
Las reglas de entrada personalizadas 1 y 2 solo abarcan las conexiones iniciadas desde la VCN. Si un cliente se encuentra fuera de la VCN, Oracle recomienda configurar dos reglas similares adicionales que, por el contrario, tengan el CIDR de origen definido en la dirección IP pública del cliente.Regla de entrada personalizada 1: permite el tráfico de ONS y FAN desde la VCN
Se recomienda esta regla, que permite a los servicios de notificación de Oracle (ONS) comunicar información sobre eventos de notificación rápida de aplicación (FAN).
- Sin estado: No (todas las reglas deben tener un estado)
- Tipo de origen: CIDR
- CIDR de origen: el CIDR de la VCN IPv4 y IPv6
- Protocolo IP: TCP
- Rango de puertos de origen: Todo
- Rango de puertos de destino: 6200
- Descripción: descripción opcional de la regla.
Regla de entrada personalizada 2: permite el tráfico de SQL *NET desde la VCN
Esta regla es para el tráfico de SQL*NET y solo se requiere si se necesita activar las conexiones del cliente a la base de datos.
- Sin estado: No (todas las reglas deben tener un estado)
- Tipo de origen: CIDR
- CIDR de origen: el CIDR de la VCN IPv4 y IPv6
- Protocolo IP: TCP
- Rango de puertos de origen: Todo
- Rango de puertos de destino: 1521
- Descripción: descripción opcional de la regla.
Regla de salida personalizada 1: permite acceso SSH saliente
Esta regla permite el acceso SSH entre nodos de un sistema de base de datos de 2 nodos. Es redundante con repecto a la regla general de salida de las Reglas generales necesarias para la conectividad básica (y la lista de seguridad por defecto). Es opcional, pero se recomienda en caso de que la regla general (o la lista de seguridad por defecto) se cambie de forma accidental.
- Sin estado: No (todas las reglas deben tener un estado)
- Tipo de destino: CIDR
- CIDR de destino: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
- Protocolo IP: TCP
- Rango de puertos de origen: Todo
- Rango de puertos de destino: 22
- Descripción: descripción opcional de la regla.
Regla de salida personalizada 2: permite el acceso a Oracle Services Network
Esta regla permite al sistema de base de datos comunicarse con los servicios de Oracle (para la subred pública con el gateway de Internet) o con Oracle Services Network, que incluye todos los servicios de Oracle (para la subred privada con el gateway de servicios). Es redundante con repecto a la regla general de salida de las Reglas generales necesarias para la conectividad básica (y la lista de seguridad por defecto). Es opcional, pero se recomienda en caso de que la regla general (o la lista de seguridad por defecto) se cambie de forma accidental. Los servicios de OCI solo se comunican con IPv4.
- Sin estado: No (todas las reglas deben tener un estado)
- Tipo de destino: servicio
- Servicio de destino:
- Al utilizar una subred pública IPv4 (con gateway de Internet), utilice el CIDR
0.0.0.0/0
- Al utilizar una subred privada IPv4 (con gateway de servicio), utilice la etiqueta de CIDR denominada Todos los servicios de <region> en Oracle Services Network.
- Al utilizar una subred pública IPv4 (con gateway de Internet), utilice el CIDR
- Protocolo IP: TCP
- Rango de puertos de origen: Todo
- Rango de puertos de destino: 443 (HTTPS)
- Descripción: descripción opcional de la regla.
Para obtener más información sobre redes, consulte Visión general de Networking.
Formas de implantar las reglas de seguridad
El servicio Networking ofrece dos formas de implantar reglas de seguridad en la VCN:
Para obtener una comparación de listas de seguridad y grupos de seguridad de red, consulte Reglas de seguridad.
Uso de grupos de seguridad de red
Si elige utilizar grupos de seguridad de red (NSG), este es el proceso recomendado:
- Cree un grupo de seguridad de red para sistemas de base de datos. Agregue las siguientes reglas de seguridad a ese NSG:
- Las reglas que se enumeran en Reglas generales necesarias para la conectividad básica.
- Las reglas que se enumeran en Reglas de seguridad personalizadas.
- Cuando el administrador de la base de datos crea el sistema de base de datos, debe seleccionar varios componentes de red (por ejemplo, qué VCN y subred se van a utilizar). También puede elegir el NSG o los NSG que se van a utilizan. Asegúrese de que seleccione el valor NSG que usted ha creado.
En su lugar, podría crear un NSG para las reglas generales y un NSG independiente para las reglas personalizadas. Después, cuando el administrador de base de datos seleccione los NSG que se van a utilizar para el sistema de base de datos, asegúrese de que seleccione ambos NSG.
Uso de listas de seguridad
Si decide utilizar listas de seguridad, este es el proceso recomendado:
- Configure la subred para utilizar las reglas de seguridad necesarias:
- Cree una lista de seguridad personalizada para la subred y agregue las reglas que se enumeran en Reglas de seguridad personalizadas.
- Asocie las siguientes dos listas de seguridad a la subred:
- La lista de seguridad por defecto de la VCN con todas sus reglas por defecto. Se incluye automáticamente con la VCN.
- La nueva lista de seguridad personalizada que ha creado para la subred
- Posteriormente, cuando el administrador de base de datos cree el sistema de base de datos, deberá seleccionar varios componentes de red. Cuando seleccione la subred que usted ha creado y configurado, las reglas de seguridad se aplicarán automáticamente a los nodos informáticos creados en la subred.
Atención:
no elimine la regla de salida por defecto de la lista de seguridad por defecto. Si lo hace, asegúrese de incluir la siguiente regla de salida de sustitución en la lista de seguridad personalizada de la subred:- Sin estado: No (todas las reglas deben tener un estado)
- Tipo de destino: CIDR
- CIDR de destino: 0.0.0.0/0
- Protocolo IP: Todo