Modi per proteggere una rete

OCI offre diversi modi per controllare la sicurezza di una rete cloud e delle istanze di computazione:

• Sottoreti pubbliche e private: puoi definire una subnet come privata, il che significa che le istanze nella subnet non possono avere indirizzi IP pubblici. Per ulteriori informazioni, vedere Sottoreti pubbliche e private.
• Regole di sicurezza: per controllare il traffico a livello di pacchetto in entrata e in uscita da un'istanza. Puoi configurare le regole di sicurezza nell'API o nella console di Oracle Cloud Infrastructure. Per implementare le regole di sicurezza, è possibile utilizzare gruppi di sicurezza di rete o liste di sicurezza. Per ulteriori informazioni, vedere Regole di sicurezza.
• Instradamento Zero Trust Packet: è possibile utilizzare Zero Trust Packet Routing (ZPR) insieme ai gruppi di sicurezza di rete o al posto di essi per gestire l'accesso di rete alle risorse OCI. A tale scopo, definire i criteri ZPR che regolano la modalità di comunicazione tra le risorse e aggiungere quindi attributi di sicurezza a tali risorse. Per ulteriori informazioni, vedere Instradamento dei pacchetti Zero Trust.
  Attenzione
  
  Se un endpoint dispone di un attributo di sicurezza ZPR (Zero Trust Packet Routing), il traffico verso l'endpoint deve soddisfare i criteri ZPR e tutte le regole NSG e della lista di sicurezza. Ad esempio, se si stanno già utilizzando gruppi di sicurezza di rete e si aggiunge un attributo di sicurezza a un endpoint, tutto il traffico verso l'endpoint viene bloccato. Da quel momento in poi, un criterio ZPR deve consentire esplicitamente il traffico verso l'endpoint.
• Regole firewall: per controllare il traffico a livello di pacchetto in entrata/in uscita da un'istanza. È possibile configurare le regole firewall direttamente sull'istanza stessa. Si noti che le immagini della piattaforma su cui viene eseguito Oracle Linux includono automaticamente regole predefinite che consentono l'ingresso sulla porta TCP 22 per il traffico SSH. Inoltre, le immagini di Windows includono regole predefinite che consentono l'ingresso sulla porta TCP 3389 per l'accesso al desktop remoto. Per ulteriori informazioni, vedere Immagini della piattaforma.
  Importante
  
  

  Le regole del firewall e le regole di sicurezza operano entrambe a livello di istanza. Tuttavia, si configurano le liste di sicurezza a livello di subnet, il che significa che tutte le risorse in una determinata subnet hanno lo stesso set di regole della lista di sicurezza. Inoltre, le regole di sicurezza in un gruppo di sicurezza di rete si applicano solo alle risorse del gruppo. Durante la risoluzione dei problemi di accesso a un'istanza, assicurarsi che tutti gli elementi seguenti siano impostati correttamente: i gruppi di sicurezza di rete in cui si trova l'istanza, le liste di sicurezza associate alla subnet dell'istanza e le regole del firewall dell'istanza.

  Se un'istanza esegue Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 o Oracle Linux Cloud Developer 8, devi utilizzare firewalld per interagire con le regole iptables. Per riferimento, ecco i comandi per l'apertura di una porta (1521 in questo esempio):

  sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
  								
  sudo firewall-cmd --reload

  Per le istanze con un volume di avvio iSCSI, il comando --reload precedente può causare problemi. Per informazioni dettagliate e una soluzione alternativa, vedere Instances experience system hang after running firewall-cmd --reload.

• Gateway e tabelle di instradamento: per controllare il flusso di traffico generale da una rete cloud a destinazioni esterne (Internet, una rete on premise o un'altra VCN). Puoi configurare i gateway e le tabelle di instradamento della rete cloud nell'API o nella console di Oracle Cloud Infrastructure. Per ulteriori informazioni sui gateway, vedere Networking Components. Per ulteriori informazioni sulle tabelle di instradamento, vedere Tabelle di instradamento VCN.
• Criteri IAM: per controllare chi ha accesso all'API o alla console di Oracle Cloud Infrastructure stessa. È possibile controllare il tipo di accesso e le risorse cloud a cui è possibile accedere. Ad esempio, è possibile controllare chi può impostare le reti e le subnet oppure chi può aggiornare tabelle di instradamento, gruppi di sicurezza di rete o liste di sicurezza. Puoi configurare i criteri nell'API o nella console di Oracle Cloud Infrastructure. Per ulteriori informazioni, vedere Controllo dell'accesso.
• Zone di sicurezza: per garantire la conformità della rete e di altre risorse cloud ai principi e alle procedure ottimali di sicurezza Oracle, è possibile crearli in una zona di sicurezza. Una zona di sicurezza è associata a un compartimento e controlla tutte le operazioni di gestione della rete rispetto ai criteri delle zone di sicurezza. Ad esempio, una zona di sicurezza non consente l'uso di indirizzi IP pubblici e può contenere solo subnet private. Per ulteriori informazioni, vedere Panoramica delle zone di sicurezza.