Garantía de acceso de red seguro

Adopte las siguientes mejores prácticas para proteger sus redes virtuales en la nube, subredes, equilibradores de carga y otros recursos de red.

Implementación de controles de acceso a la red

Arquitecto empresarial, arquitecto de seguridad, arquitecto de red

Utilice los controles de acceso para proteger la red.

• Defina las políticas de IAM adecuadas para limitar el acceso a los recursos de red solo a los usuarios y grupos que tienen permiso para gestionar recursos de red.
• Formule una estrategia de subred por niveles para la VCN:
  • Subred DMZ para equilibradores de carga.
  • Subredes públicas para hosts a los que se puede acceder externamente, como servidores de aplicaciones web e instancias que ejecutan sistemas de detección de intrusiones (IDS).
  • Subredes privadas para hosts internos como bases de datos.
• Las instancias informáticas asociadas a una subred privada solo pueden tener direcciones IP privadas.
• Asocie hosts sensibles a la seguridad (sistemas de base de datos, por ejemplo) a subredes privadas. Para la conectividad de dichos hosts a Internet, utilice un gateway de NAT. Para permitir que los hosts accedan a otros servicios de Oracle Cloud Infrastructure, utilice un gateway de servicio.
• Los grupos de seguridad de red proporcionan un control detallado del tráfico que fluye entre vNICs controlado por el grupo de seguridad de red.
• Las listas de seguridad controlan el tráfico que puede fluir dentro y fuera de las subredes. Asegúrese de modificar o desasociar la lista de seguridad por defecto para evitar el tráfico SSH de la dirección IP 0.0.0.0/0.
• Configure las listas de seguridad con los puertos mínimos necesarios.
• Utilice grupos de seguridad de red para controlar el acceso a sus recursos tanto en subredes privadas como públicas:
  • Permitir solo los flujos de red necesarios para una carga de trabajo mediante la creación de grupos de seguridad para cada nivel de la aplicación.
  • No permita el tráfico lateral innecesario dentro o entre los niveles de aplicación.
  • No permita que los niveles de aplicación se comuniquen con otros niveles a menos que sea necesario.
• Utilice reglas de seguridad granulares para regular la comunicación dentro de la VCN, con Internet, con otras VCN conectadas a través de gateways de intercambio de tráfico y con hosts locales.
• Para configurar un sistema de detección de intrusiones y explorar todo el tráfico saliente, utilice la función de tabla de rutas de VCN.
• Los logs de flujo de subred de VCN registran el tráfico que fluye dentro de una VCN. Active los logs de flujo de subred de VCN y controle regularmente su contenido.
• Al utilizar más de una VCN, utilice un gateway de direccionamiento dinámico (DRG) para crear una VCN del hub de DMZ para analizar el tráfico este/oeste y norte/sur. Puede hacerlo mediante un firewall de red de OCI o un dispositivo de red de terceros.
• Active Web Application Firewall para servicios HTTPS orientados al público.
• Evite el acceso no autorizado a los datos mediante la gestión de la política de seguridad de red independientemente de la arquitectura de red subyacente con Enrutamiento de paquetes de confianza cero de Oracle Cloud Infrastructure.
• Implante un gateway de servicios para un acceso seguro a los servicios de OCI.

Protección de los equilibradores de carga

Arquitecto empresarial, arquitecto de seguridad, arquitecto de red

Puede activar conexiones TLS completas entre las aplicaciones de un cliente y la VCN de un cliente mediante el uso de equilibradores de carga.

• Para terminar TLS en el equilibrador de carga, utilice un equilibrador de carga HTTP. Para terminar TLS en un servidor backend, utilice un equilibrador de carga TCP.
• Puede configurar el acceso de red a los equilibradores de carga mediante listas de seguridad de red o grupos de seguridad de red.
• Defina políticas de IAM para limitar los permisos para gestionar los equilibradores de carga a un juego mínimo de usuarios y grupos.

Restricción del acceso mediante orígenes de red

Arquitecto empresarial, arquitecto de seguridad, arquitecto de red

Un origen de red es un juego de direcciones IP definidas. Las direcciones IP pueden ser públicas o de VCN de su arrendamiento.

Después de crear un origen de red, puede hacer referencia a este en la política o en la configuración de autenticación de su arrendamiento para controlar el acceso en función de la dirección IP de origen.

Los recursos de red solo se pueden crear en el arrendamiento (o compartimento raíz) y, al igual que otros recursos de identidad, residen en la región principal.

Puede utilizar orígenes de red para ayudar a proteger su arrendamiento de las siguientes maneras:

• Especifique el origen de red en una política de IAM para restringir el acceso a los recursos. Cuando se especifica en una política, IAM valida que las solicitudes para acceder a un recurso de una dirección IP permitida. Por ejemplo, puede restringir el acceso a los cubos de Object Storage del arrendamiento a solo los usuarios conectados a Oracle Cloud Infrastructure a través de la red corporativa. O bien, puede permitir que solo los recursos que pertenecen a subredes específicas de una VCN en concreto realicen solicitudes a través de un gateway de servicio.
• Especifique el origen de red en la configuración de autenticación de su arrendamiento para restringir la conexión a la consola. Puede configurar la política de autenticación de su arrendamiento para permitir la conexión a la consola desde las direcciones IP especificadas en el origen de red. Se denegará el acceso a los usuarios que intenten conectarse desde una dirección IP no incluida en la lista de permitidas en el origen de red.

Protección de registros y zonas de DNS

Arquitecto empresarial, arquitecto de seguridad, arquitecto de red

Las actualizaciones incorrectas o las supresiones no autorizadas de los registros y las zonas de DNS podrían provocar interrupciones del servicio.

Defina políticas de IAM para limitar los usuarios que pueden modificar los registros y las zonas de DNS.

Uso de zonas de seguridad en Oracle Cloud Infrastructure

Arquitecto empresarial, arquitecto de seguridad, arquitecto de red

Oracle Security Zones le ayuda a minimizar el riesgo de políticas de seguridad inadecuadamente bajas.

Cuando comienzas un nuevo proyecto y construyes una nueva solución, hay muchas guías de mejores prácticas, de muchas fuentes diferentes, como:

• Recomendaciones de proveedores
• Normas y políticas de organización
• Marcos externos
• cumplimiento normativo
• Arquitecturas de referencia

Estas mejores prácticas suelen abarcar una serie de temas de seguridad diferentes, como la autenticación, el cifrado, el almacenamiento, el control de acceso, etc. Sin embargo, en muchos casos, se ignora el asesoramiento sobre mejores prácticas. Todos lo hemos visto muchas veces: los plazos de los proyectos, las limitaciones presupuestarias, las brechas de conocimiento y los entornos que comienzan como no producción, pueden significar que no se siguen las mejores prácticas relevantes, lo que lleva a un entorno inseguro y una postura de seguridad débil.

El objetivo de Oracle Security Zones es ayudarle a minimizar este riesgo. Una zona de seguridad es un control preventivo, que, por la naturaleza del hecho de que contiene datos y recursos confidenciales, es restrictivo por diseño. Por ejemplo, Oracle Security Zones se lanzará con una política de seguridad máxima activada. Esto toma la posición de que no se debe permitir el acceso público, y que los datos confidenciales deben separarse de Internet tanto como sea posible. La política de seguridad aplica esta posición impidiéndole, en tiempo real, crear recursos que romperían esta política.

Más información

• Mejores prácticas de seguridad
• Protección de Networking: VCN, equilibradores de carga y DNS
• Utilización de una IP privada como destino de ruta
• Gestión de Listeners de Equilibrador de Carga
• Arquitecturas comunes de DMZ de OCI (blog)
• OCI Network Firewall - Inspección de tráfico de hub y radio (blog)