Utilizar el servicio Bastion para acceder a los recursos de una subred privada
Oracle Cloud Infrastructure Bastion proporciona acceso SSH privado con límite de tiempo a los recursos que no tienen puntos finales públicos.
Los bastiones son gateways o proxies. Son entidades lógicas que proporcionan acceso seguro a los recursos en la nube a aquellos a los que no puede acceder desde Internet de otra forma. Los bastiones residen en una subred pública y establecen la infraestructura de red necesaria para conectar un usuario a un recurso en una subred privada. OCI Bastion es un servicio de infraestructura que puede sustituir a un servidor bastión que se crea en Oracle Cloud Infrastructure (OCI).
La integración con Oracle Cloud Infrastructure Identity and Access Management (IAM) permite controlar quién puede gestionar un bastión o una sesión en un servicio de bastión. La integración con Oracle Cloud Infrastructure Audit le permite controlar las acciones administrativas relacionadas con el servicio bastión y las sesiones de bastión.
Arquitectura
Esta arquitectura muestra dos formas de conectarse a subredes privadas: una forma es conectarse a través de una subred de destino intermediaria y la otra es conectarse directamente a la subred que contiene los recursos protegidos.
Al utilizar OCI Bastion, puede especificar una lista de permitidos de bloques de enrutamiento entre dominios sin clase (CIDR) y un tiempo de vida máximo de sesión (TTL). OCI Bastion crea una ruta de red entre la VCN bastión y la VCN del cliente a través de una conexión inversa. Normalmente, las sesiones las crean los usuarios u operadores.
El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración architecture-use-bastion-service.png
arquitectura-uso-bastión-servicio-oracle.zip
La arquitectura tiene los siguientes componentes:
- Región OCI
Una región de OCI es un área geográfica localizada que contiene uno o más centros, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y pueden haber grandes distancias que las separan (entre países o incluso continentes).
- Dominio de disponibilidad
Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, un fallo en un dominio de disponibilidad no debería afectar a los demás dominios de disponibilidad de la región.
- Dominio de errores
Un dominio de errores es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con hardware y energía independientes. Al distribuir recursos entre varios dominios de errores, las aplicaciones pueden tolerar fallos físicos en el servidor, mantenimiento del sistema y fallos de energía en un dominio de errores.
- Red virtual en la nube (VCN) y subredes
Una red virtual en la nube (VCN) es una red personalizable y definida por software que se configura en una región de OCI. Al igual que las Redes de los Centros de Datos Tradicionales, las Redes Virtuales le proporcionan el control sobre su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.
- OCI Bastion
Oracle Cloud Infrastructure Bastion proporciona acceso seguro restringido y limitado en el tiempo a recursos que no tienen puntos finales públicos y que requieren controles de acceso estrictos a los recursos, como hardware dedicado y máquinas virtuales, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) y cualquier otro recurso que permita el acceso mediante el protocolo de shell seguro (SSH). Con el servicio OCI Bastion, puede activar el acceso a hosts privados sin desplegar ni mantener un host de salto. Además, obtiene una estrategia de seguridad mejorada con permisos basados en identidad y una sesión SSH centralizada, auditada y con límite de tiempo. OCI Bastion elimina la necesidad de una IP pública para el acceso al bastión, lo que elimina la molestia y la posible superficie de ataque al proporcionar acceso remoto.
- Backend de Bastion Service
El backend de Oracle Cloud Infrastructure Bastion almacena la configuración de la sesión y las claves públicas SSH que se utilizan para otorgar acceso a los sistemas de destino. Los sistemas de destino, cuando sea necesario, utilizan el gateway de servicio para acceder al backend de OCI Bastion.
- Punto final privado
Un punto final privado conecta el bastión de OCI a las subredes de destino. La subred de destino puede ser una subred independiente para un control más granular o en la misma subred de las instancias a las que desea acceder.
Recomendaciones
Sus requisitos pueden diferir de la arquitectura que se describe aquí. Utilice las siguientes recomendaciones como punto de partida.
- VCN
Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que tenga previsto asociar a las subredes de la VCN. Utilice bloques CIDR que se encuentren dentro del espacio de direcciones IP privadas estándar.
Seleccione bloques CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) en la que desee configurar conexiones privadas.
Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR.
Al diseñar las subredes, tenga en cuenta los requisitos de seguridad y el flujo de tráfico. Asocie todos los recursos de un nivel o rol específico a la misma subred, lo que puede servir como límite de seguridad.
Utilizar subredes regionales.
Tenga en cuenta que cada bastión aprovisionado toma dos direcciones IP de la subred de destino. Seleccione el bloque CIDR según el número de bastiones que desee aprovisionar en una subred concreta. Por ejemplo, si tiene una subred con CIDR /30, significa que tiene dos direcciones utilizables y, si dentro de ese CIDR, tiene un recurso de destino, no tiene suficientes direcciones para aprovisionar un bastión. En este caso, el aprovisionamiento del bastión fallará. Recomendamos que la subred de destino sea más ancha que /29.
- Cloud Guard
Clone y personalice las recetas por defecto proporcionadas por Oracle para crear recetas personalizadas de detector y responsable de respuesta. Estas recetas le permiten especificar qué tipo de violaciones de seguridad generan una advertencia y qué acciones se pueden realizar en ellas. Por ejemplo, puede que desee detectar cubos de OCI Object Storage que tengan visibilidad definida como pública.
Aplique Oracle Cloud Guard en el nivel de arrendamiento para abarcar el ámbito más amplio y reducir la carga administrativa que supone mantener varias configuraciones.
También puede utilizar la función Managed List para aplicar determinadas configuraciones a los detectores.
- Security Zones
Para los recursos que requieren la máxima seguridad, Oracle recomienda utilizar zonas de seguridad. Una zona de seguridad es un compartimento asociado a una receta de políticas de seguridad definida por Oracle que se basa en las mejores prácticas. Por ejemplo, no se puede acceder a los recursos de una zona del sistema de seguridad desde la red pública de Internet y se deben cifrar con claves gestionadas por el cliente. Al crear y actualizar recursos en una zona de seguridad, OCI valida las operaciones con respecto a las políticas de la receta y evita las operaciones que violan cualquiera de las políticas.
- OCI Bastion
La especificación del tiempo de vida (TTL) en el nivel bastión garantiza que ninguna de las sesiones creadas en el contexto de ese bastión tenga un TTL más largo que el propio bastión. Establezca el TTL en el límite mínimo para su caso de uso. El valor mínimo es 30 minutos y el valor máximo es 3 horas. El TTL también se puede configurar en el nivel de sesión.
El bloque CIDR utilizado para una lista de permitidos debe ser lo más estrecho posible para su escenario. Esto le permite restringir los rangos de direcciones IP para las conexiones SSH que pueden acceder a los recursos de destino privados.
Tenga en cuenta el tamaño de la subred de destino asociada a OCI Bastion y el número de instancias de bastión que desea. Cada instancia de OCI Bastion toma 2 direcciones IP. Por lo tanto, es mejor tener un rango de /29 (al menos) para que tenga 6 direcciones IP utilizables. /30 tendría 2 direcciones IP, pero si en el futuro desea que la segunda instancia del bastión apunte a la misma subred, no podrá crearla. La subred de destino puede ser la subred en la que se encuentra el recurso de destino u otras subredes de la VCN de destino.
Recomendaciones de políticas de seguridad:
- Las reglas de entrada en la subred que tiene los recursos de destino deben permitir el tráfico TCP entrante desde una sola dirección IP, que es la IP de punto final privado del bastión.
- Especifique el puerto exacto en un destino, como 22 para Linux, 3389 para Windows, 33060 para MySql, etc. No utilice ALL para puertos.
Utilice políticas de IAM específicas para escenarios de administrador y operador.
Consideraciones
- Región
Oracle Cloud Infrastructure Bastion es un servicio regional. Por ejemplo, debe crear un bastión en la región PHX para acceder a los recursos de la región PHX. Un bastión de una región no se puede utilizar para acceder a los recursos de otra región.
- Rendimiento
La creación de OCI Bastion debe estar dentro del SLO (2 minutos dentro de la creación de la solicitud). La creación/terminación de la sesión debe estar dentro del SLO. El reenvío del puerto es de 1 minuto (escenario de emergencia) y la sesión de SSH gestionada es de 3 minutos (uso normal).
- Seguridad
El tráfico de OCI Bastion se origina en el punto final privado de la subred. Para permitir el tráfico desde bastiones, permita el tráfico de entrada y salida desde este punto final privado a las IP a las que se debe acceder mediante bastiones. Las políticas detalladas que restringen el acceso a un subjuego de instancias ayudan a garantizar el nivel de acceso adecuado.
- Disponibilidad
El servicio debe proporcionar alta disponibilidad para crear/terminar bastiones y sesiones (en función del ratio de errores de API). La disponibilidad específica es del 99,9%.
- Costo
No hay ningún costo por utilizar OCI Bastion. Puede crear hasta cinco bastiones por región por arrendamiento. Cada bastión sirve a los recursos de destino dentro de una VCN.
- Casos de Uso
Si desea acceder a hosts de destino privados que ejecutan imágenes nativas de OCI o que están basados en Linux y ejecutan el agente v2 de OCA (con el plugin bastión activado en él), puede utilizar sesiones SSH gestionadas. Si desea acceder a recursos de destino privados que no tienen el agente en ejecución, se basan en Windows o requieren acceso a bases de datos (ATP o MySQL), puede utilizar sesiones SSH de reenvío de puerto.