Panoramica di Bastion

Oracle Cloud Infrastructure Bastion fornisce un accesso limitato e limitato nel tempo alle risorse di destinazione che non hanno endpoint pubblici.

I bastion consentono agli utenti autorizzati di connettersi da indirizzi IP specifici alle risorse di destinazione utilizzando le sessioni Secure Shell (SSH). Quando si è connessi, gli utenti possono interagire con la risorsa di destinazione utilizzando qualsiasi software o protocollo supportato da SSH. Ad esempio, è possibile utilizzare il protocollo RDP (Remote Desktop Protocol) per connettersi a un host Windows oppure utilizzare Oracle Net Services per connettersi a un database.

Le destinazioni possono includere risorse quali le istanze di computazione , i sistemi DB e i database di Autonomous Database per l'elaborazione delle transazioni e i carichi di lavoro misti.

I bastion sono essenziali nelle tenancy con controlli delle risorse più rigidi. Ad esempio, puoi utilizzare un bastion per accedere alle istanze di computazione nei compartimenti associati a una zona di sicurezza . Le istanze in una zona di sicurezza non possono avere endpoint pubblici.

L'integrazione con Oracle Cloud Infrastructure Identity and Access Management (IAM) ti consente di controllare chi può accedere a un bastion o a una sessione e cosa possono fare con tali risorse.

Suggerimento

Guarda una introduzione video al servizio.

Concetti bastion

Il client si connette a una sessione su un bastion utilizzando un client SSH o un tunnel SSH. Le due sessioni si connettono a un'istanza e a un database in una subnet privata. La VCN che contiene la subnet privata dispone di un gateway di servizi.

I concetti riportati di seguito sono fondamentali per comprendere il servizio Bastion.

BASTION: I bastion sono entità logiche che forniscono un accesso pubblico e protetto alle risorse di destinazione nel cloud che altrimenti non puoi raggiungere da Internet. I bastion risiedono in una subnet pubblica e stabiliscono l'infrastruttura di rete necessaria per connettere un utente a una risorsa di destinazione in una subnet privata. L'integrazione con il servizio IAM fornisce l'autenticazione e l'autorizzazione dell'utente. I bastion forniscono un ulteriore livello di sicurezza attraverso la configurazione delle liste di inclusione dei blocchi CIDR. Le liste di inclusione dei blocchi CIDR client specificano quali indirizzi IP o intervalli di indirizzi IP possono connettersi a una sessione ospitata dal bastion.; Per ulteriori informazioni sulle subnet private, vedere Scelte di connettività.
SESSIONE: Le sessioni bastion consentono agli utenti autorizzati in possesso della chiave privata in una coppia di chiavi SSH di connettersi a una risorsa di destinazione per un periodo di tempo predeterminato. Fornire la chiave pubblica nella coppia di chiavi SSH al momento della creazione della sessione, quindi fornire la chiave privata al momento della connessione. Oltre a presentare la chiave privata, un utente autorizzato deve anche tentare la connessione SSH alla risorsa di destinazione da un indirizzo IP compreso nell'intervallo consentito dalla lista di inclusione dei blocchi CIDR client del bastion.; Per ulteriori informazioni, vedere Tipi di sessione.
RISORSA DI DESTINAZIONE: Una risorsa di destinazione è un'entità che risiede nella VCN (virtual cloud network) dell'organizzazione, a cui è possibile connettersi utilizzando una sessione ospitata su un bastion.
HOST DI DESTINAZIONE: Un host di destinazione è un tipo specifico di risorsa di destinazione che fornisce l'accesso a un sistema operativo Linux o Windows mediante SSH (porta 22 per impostazione predefinita). Le istanze di computazione e i sistemi DB Virtual Machine sono esempi di host di destinazione.

Nota

Un bastion è associato a una singola VCN. Non è possibile creare un bastion in una VCN e quindi utilizzarlo per accedere alle risorse di destinazione in una VCN diversa.

Tipi di sessione

Il servizio Bastion riconosce tre tipi di sessioni. Il tipo di sessione che si crea o a cui si sceglie di connettersi dipende dal tipo di risorsa di destinazione.

SESSIONE SSH GESTITA

Consente l'accesso SSH a un'istanza di computazione che soddisfa tutti i requisiti riportati di seguito.

L'istanza deve eseguire un'immagine della piattaforma Linux (Windows non è supportato).
L'istanza deve eseguire un server OpenSSH.
L'istanza deve eseguire l'agente Oracle Cloud.
Il plugin bastion deve essere abilitato nell'agente Oracle Cloud.

L'agente è abilitato per impostazione predefinita nelle istanze di computazione create da determinate immagini di computazione, in particolare quelle fornite da Oracle. In altri casi, è necessario abilitare l'agente sull'istanza prima di creare una sessione. Il plugin Bastion non è abilitato per impostazione predefinita e deve essere abilitato prima di creare una sessione.

SESSIONE DI INOLTRO PORTA SSH

Non richiede l'esecuzione di un server OpenSSH o di un agente Oracle Cloud sulla risorsa di destinazione.

L'inoltro della porta (noto anche come tunneling SSH) crea una connessione sicura tra una porta specifica sul computer client e una porta specifica sulla risorsa di destinazione. Utilizzando questa connessione è possibile trasmettere altri protocolli. È possibile eseguire il tunneling della maggior parte dei servizi e dei protocolli TCP su SSH, inclusi i seguenti:

Protocollo RDP (Remote Desktop Protocol)
Oracle Net Services
MySQL

Ad esempio, è possibile utilizzare una sessione di inoltro delle porte SSH per connettere Oracle SQL Developer all'endpoint privato di un database Autonomous Database for Transaction Processing and Mixed Workloads.

Poiché la connessione viene cifrata mediante SSH, l'inoltro delle porte può essere utile anche per la trasmissione di informazioni che utilizzano un protocollo non cifrato come Virtual Network Computing (VNC).

INOLTRO PORTA DINAMICO (SOCKS5) SESSIONE

Una sessione di inoltro dinamico delle porte (SOCKS5) presenta gli stessi vantaggi di una sessione di inoltro delle porte SSH, ma consente di connettersi dinamicamente a qualsiasi risorsa di destinazione in una subnet privata. A differenza di altri tipi di sessione configurati per connettersi a una risorsa di destinazione specifica (indirizzo IP o nome DNS), con una sessione di inoltro della porta dinamica (SOCKS5) si crea un tunnel a una subnet di destinazione e il client decide a quale risorsa e porta connettersi.

Aree e domini di disponibilità

Bastion è disponibile in tutte le region commerciali di Oracle Cloud Infrastructure. Consulta la sezione relativa alle aree e ai domini di disponibilità per la lista delle aree disponibili per Oracle Cloud Infrastructure, insieme alle posizioni associate, agli identificativi delle aree, alle chiavi delle aree e ai domini di disponibilità.

Identificativi risorsa

Il servizio Bastion supporta bastion e sessioni come risorse Oracle Cloud Infrastructure. La maggior parte dei tipi di risorse dispone di un identificativo univoco assegnato da Oracle denominato OID (Oracle Cloud ID). Per informazioni sul formato OCID e su altri modi per identificare le risorse, vedere Identificativi risorsa.

Modi per accedere al bastion

Puoi accedere a Bastion utilizzando la console (un'interfaccia basata su browser), l'interfaccia della riga di comando (CLI, Command Line Interface) o l'API REST. Le istruzioni per la console, l'interfaccia CLI e l'API sono incluse negli argomenti di questa guida.

Per accedere alla console, è necessario utilizzare un browser supportato. Per andare alla pagina di accesso della console, aprire il menu di navigazione nella parte superiore di questa pagina e fare clic su Console dell'infrastruttura. Viene richiesto di immettere il tenant cloud, il nome utente e la password personali.

Per un elenco degli SDK disponibili, vedere SDK e CLI. Per informazioni generali sull'uso delle API, consulta la documentazione relativa alle API REST.

Autenticazione e autorizzazione

Ogni servizio in Oracle Cloud Infrastructure si integra con IAM per l'autenticazione e l'autorizzazione, per tutte le interfacce (console, SDK o CLI e API REST).

Un amministratore dell'organizzazione deve impostare gruppi , compartimenti e criteri che controllano quali utenti possono accedere a quali servizi, quali risorse e il tipo di accesso. Ad esempio, i criteri controllano chi può creare nuovi utenti, creare e gestire la rete cloud, avviare istanze, creare bucket, scaricare oggetti e così via. Per ulteriori informazioni, vedere Guida introduttiva ai criteri.

Per informazioni dettagliate sulla scrittura dei criteri Bastion, vedere Criteri IAM di base.
Per i dettagli sulla scrittura dei criteri relativi ad altri servizi, consulta il riferimento ai criteri.

Se sei un utente normale (non un amministratore) che deve utilizzare le risorse Oracle Cloud Infrastructure di proprietà della tua azienda, contatta il tuo amministratore per impostare un ID utente per te. L'amministratore può confermare quale compartimento o compartimenti utilizzare.

Sicurezza

Oltre alla creazione dei criteri IAM, esistono altre procedure ottimali di sicurezza per Bastion.

Ad esempio:

Ottimizza la sicurezza SSH
Integra le istanze di destinazione con IAM e abilita l'autenticazione con più fattori
Eseguire un audit di sicurezza delle operazioni Bastion

Vedere Securing Bastion.

Controllo in corso

I bastion sono servizi gestiti da Oracle. È possibile utilizzare un bastion per creare sessioni Secure Shell (SSH) che forniscono l'accesso ad altre risorse private. Tuttavia, non è possibile connettersi direttamente a un bastion con SSH e amministrarlo o monitorarlo come un host tradizionale.

Per monitorare l'attività sui tuoi bastion, il servizio Bastion si integra con questi altri servizi in Oracle Cloud Infrastructure.

Il servizio di audit registra automaticamente le chiamate a tutti gli endpoint API Bastion pubblici come voci di log. Vedere Panoramica dell'audit.
Il servizio di monitoraggio consente di monitorare le risorse bastion utilizzando metriche e allarmi. Vedere Metriche di base.
Il servizio Eventi consente ai team di sviluppo di rispondere automaticamente quando una risorsa Bastion cambia il suo stato. Vedere Eventi di base.

Limiti

I bastion hanno limiti di servizio, ma non comportano costi.

Per un elenco dei limiti applicabili e le istruzioni per richiedere un aumento del limite, consulta i limiti del servizio.

Per istruzioni su come visualizzare il livello di utilizzo rispetto ai limiti di risorse della tenancy, vedere Visualizzazione dei limiti, delle quote e dell'uso del servizio.

Introduzione

Dopo aver completato alcuni passi dei prerequisiti, creare un bastion e una sessione.

Prima di creare un bastion, è necessario avere accesso a una risorsa di destinazione senza un endpoint pubblico, ad esempio un'istanza di computazione o un database che si trova in una subnet privata.

Creare il criterio IAM necessario.

Se non si è amministratori, è necessario disporre dell'accesso al servizio Bastion in un criterio (IAM) scritto da un amministratore.
Scegliere un tipo di sessione.
Prima di creare una sessione SSH gestita, verificare le informazioni riportate di seguito.
- Il plugin bastion è abilitato nell'istanza di computazione di destinazione. Per informazioni dettagliate, vedere Gestione dei plugin con Oracle Cloud Agent.
- La VCN (rete cloud virtuale) include un gateway (gateway di servizi , un gateway Internet o un gateway NAT ) e una regola di instradamento per il gateway.
  Per i dettagli, vedere Gateway di servizio, Gateway Internet o gateway NAT.
Creare un bastion.
Verificare che la risorsa di destinazione consenta il traffico in entrata dal bastion.
Creare una sessione per la risorsa di destinazione.
Connettersi alla sessione.

I passi specifici dipendono dal tipo di sessione e dal tipo di risorsa di destinazione.

In caso di problemi, vedere Risoluzione dei problemi del bastion.

Documentazione di Oracle Cloud Infrastructure