Documentazione dell'infrastruttura Oracle Cloud

Protezione della rete: VCN, load balancer e DNS

Suggerimenti di sicurezza

Il servizio di networking dispone di una raccolta di funzioni per applicare il controllo dell'accesso di rete e proteggere il traffico della VCN. Queste funzioni sono elencate nella tabella riportata di seguito.

Funzione VCN Descrizione sicurezza
Subnet pubbliche e private La VCN può essere partizionata in subnet. In passato, le subnet erano specifiche di un dominio di disponibilità, ma ora possono essere regionali (che coprono tutti i domini di disponibilità nell'area). Le istanze all'interno di subnet private non possono avere indirizzi IP pubblici. Le istanze all'interno di subnet pubbliche possono facoltativamente avere indirizzi IP pubblici a propria discrezione.
Regole di sicurezza Le regole di sicurezza forniscono funzionalità firewall con conservazione dello stato e senza conservazione dello stato per controllare l'accesso di rete alle istanze. Per implementare le regole di sicurezza nella VCN, è possibile utilizzare gruppi di sicurezza di rete (NSG) o elenchi di sicurezza. Per ulteriori informazioni, vedere Confronto tra elenchi di sicurezza e gruppi di sicurezza di rete.
Gateway

I gateway consentono alle risorse in una VCN di comunicare con le destinazioni esterne alla VCN. I gateway includono:

  • Gateway Internet: per la connettività Internet (per le risorse con indirizzi IP pubblici nelle subnet pubbliche)
  • Gateway NAT: per la connettività Internet senza esporre le risorse alle connessioni Internet in entrata (per le risorse in subnet private)
  • Gateway di instradamento dinamico (DRG): per la connettività alle reti esterne all'area della VCN (ad esempio, la tua rete on premise tramite un sito VPNor FastConnect oppure una VCN in peer in un'altra area)
  • Gateway di servizi: per la connettività privata ai servizi Oracle come lo storage degli oggetti
  • Gateway di peering locale (LPG): per la connettività a una VCN in peer nella stessa area
Regole tabella di instradamento Le tabelle di instradamento controllano il modo in cui il traffico viene instradato dalle subnet della VCN alle destinazioni esterne alla VCN. Le destinazioni di instradamento possono essere gateway VCN o un indirizzo IP privato nella VCN.
Criteri IAM per virtual-network-family I criteri IAM specificano l'accesso e le azioni consentite dai gruppi IAM alle risorse in una VCN. Ad esempio, i criteri IAM possono concedere privilegi amministrativi agli amministratori di rete che gestiscono le reti VCN e autorizzazioni di ambito-down agli utenti normali.

Oracle consiglia di monitorare periodicamente i log di Oracle Cloud Infrastructure Audit per esaminare le modifiche apportate ai gruppi di sicurezza di rete VCN, alle liste di sicurezza, alle regole delle tabelle di instradamento e ai gateway VCN.

Segmentazione di rete: subnet VCN

  • Formula una strategia di subnet a più livelli per la VCN per controllare l'accesso alla rete. Un modello di progettazione comune prevede i seguenti livelli di subnet:

    1. Subnet DMZ per i load balancer
    2. Subnet pubblica per host accessibili esternamente, ad esempio istanze NAT, IDS (Intrusion Detection) e server applicazioni Web
    3. Subnet privata per gli host interni, ad esempio i database

    Per la comunicazione delle istanze nelle diverse subnet non è richiesto alcun instradamento speciale. Tuttavia, puoi controllare i tipi di traffico tra i diversi livelli utilizzando i gruppi di sicurezza di rete o le liste di sicurezza della VCN.

  • Le istanze nella subnet privata hanno solo indirizzi IP privati e possono essere raggiunte solo da altre istanze nella VCN. Oracle consiglia di inserire host sensibili alla sicurezza (sistemi DB, ad esempio) in una subnet privata e di utilizzare le regole di sicurezza per controllare il tipo di connettività agli host in una subnet pubblica. Oltre alle regole di sicurezza della VCN, configurare firewall basati su host, come iptables, firewalld per il controllo dell'accesso di rete, come meccanismo di difesa avanzata.
  • Puoi aggiungere un gateway di servizi alla tua VCN per consentire ai sistemi DB nella subnet privata di eseguire direttamente il backup nello storage degli oggetti senza che il traffico attraversa Internet. Per abilitare tale traffico, è necessario impostare le regole di instradamento e sicurezza. Per ulteriori informazioni sui sistemi DB Bare Metal o Virtual Machine, vedere Configurare la rete. Per ulteriori informazioni sui sistemi DB Exadata, vedere Impostazione di rete per le istanze di Exadata Cloud Service.

Controllo dell'accesso di rete: regole di sicurezza VCN

  • Utilizzare le regole di sicurezza della VCN per limitare l'accesso di rete alle istanze. Una regola di sicurezza è con conservazione dello stato per impostazione predefinita, ma può anche essere configurata come senza conservazione dello stato. Una pratica comune consiste nell'utilizzare regole senza conservazione dello stato per applicazioni ad alte prestazioni. Nel caso in cui il traffico di rete corrisponda sia alle liste di sicurezza con conservazione dello stato che a quelle senza conservazione dello stato, la regola senza conservazione dello stato ha la precedenza. Per ulteriori informazioni sulla configurazione delle regole di sicurezza VCN, vedere Regole di sicurezza.
  • Per evitare accessi non autorizzati o attacchi alle istanze di computazione, Oracle consiglia di utilizzare una regola di sicurezza VCN per consentire l'accesso SSH o RDP solo ai blocchi CIDR autorizzati, anziché lasciarli aperti a Internet (0.0.0.0/0). Per ulteriore sicurezza, è possibile abilitare temporaneamente l'accesso SSH (porta 22) o RDP (porta 3389) in base alle esigenze utilizzando l'API VCN UpdateNetworkSecurityGroupSecurityRules (se si utilizzano i gruppi di sicurezza di rete) o UpdateSecurityList (se si utilizzano le liste di sicurezza). Per ulteriori informazioni sull'abilitazione dell'accesso RDP, vedere Per abilitare l'accesso RDP in Creazione di un'istanza. Per eseguire i controlli dello stato dell'istanza, Oracle consiglia di configurare le regole di sicurezza VCN per consentire i ping ICMP. Per ulteriori informazioni, vedere Regole per abilitare il ping.
  • I Bastions rappresentano entità logiche che forniscono accesso pubblico protetto alle risorse di destinazione nel cloud non raggiungibili in altro modo da Internet. I bastion risiedono in una subnet pubblica e stabiliscono l'infrastruttura di rete necessaria per connettere un utente a una risorsa di destinazione in una subnet privata.
  • I gruppi di sicurezza di rete VCN (NSG) e gli elenchi di sicurezza consentono il controllo dell'accesso di rete critico per la sicurezza alle istanze di computazione ed è importante evitare modifiche non intenzionali o non autorizzate a gruppi NSG e agli elenchi di sicurezza. Per evitare modifiche non autorizzate, Oracle consiglia di utilizzare i criteri IAM per consentire solo agli amministratori di rete di apportare modifiche ai gruppi NSG e alle liste di sicurezza.

Connettività sicura: gateway VCN e peering FastConnect

  • I gateway VCN forniscono connettività esterna (VCN Internet, on premise o in peer) agli host VCN. Per un elenco del tipo di gateway, vedere la tabella riportata in precedenza in questo argomento. Oracle consiglia di utilizzare un criterio IAM per consentire solo agli amministratori di rete di creare o modificare i gateway VCN.

  • Considera attentamente di consentire l'accesso a Internet a qualsiasi istanza. Ad esempio, non si desidera consentire accidentalmente l'accesso a Internet a istanze di database riservate. Affinché un'istanza in una VCN sia accessibile pubblicamente da Internet, è necessario configurare le opzioni VCN riportate di seguito.

    • L'istanza deve trovarsi in una subnet pubblica della VCN.
    • La VCN contenente l'istanza deve avere un gateway Internet abilitato e configurato in modo da essere la destinazione di instradamento per il traffico in uscita.
    • All'istanza deve essere assegnato un indirizzo IP pubblico.
    • La lista di sicurezza della VCN per la subnet dell'istanza deve essere configurata per consentire il traffico in entrata da 0.0.0.0/0. In alternativa, se si utilizzano i gruppi di sicurezza di rete (NSG), l'istanza deve trovarsi in un gruppo NSG che consenta tale traffico.
  • La VPN IPSec fornisce la connettività tra la rete on premise di un cliente e la VCN. È possibile creare due tunnel IPSec per l'alta disponibilità. Per ulteriori informazioni sulla creazione di tunnel VPN per connettere il DRG VCN agli ambienti CPE del cliente, vedere VPN Site-to-Site.
  • Il peering FastConnect ti consente di connettere la tua rete on premise alla tua VCN con un circuito privato in modo che il traffico non attraversa la rete Internet pubblica. Puoi impostare il peering privato (per connetterti a indirizzi IP privati) o il peering pubblico (per connetterti agli endpoint pubblici di Oracle Cloud Infrastructure, ad esempio per lo storage degli oggetti). Per ulteriori informazioni sulle opzioni di peering FastConnect, vedere FastConnect.

Appliance di sicurezza virtuali in una VCN

  • Il servizio di networking consente di implementare funzioni di sicurezza della rete quali il rilevamento delle intrusioni, i firewall a livello di applicazione e NAT (anche se è possibile utilizzare un gateway NAT con la VCN). Per eseguire questa operazione, instradare tutto il traffico della subnet a un host di sicurezza di rete utilizzando le regole della tabella di instradamento che utilizzano un indirizzo IP privato della VCN locale come destinazione. Per ulteriori informazioni, vedere Utilizzo di un IP privato come destinazione di instradamento. Per la funzionalità High Availability, puoi assegnare all'host di sicurezza del gateway un indirizzo IP privato secondario, che puoi spostare in una VNIC su un host in standby in caso di errore dell'host primario. L'acquisizione completa dei pacchetti di rete o i log del flusso di rete possono essere acquisiti nelle istanze NAT utilizzando tcpdump e i log possono essere caricati periodicamente in un bucket di storage degli oggetti.

  • Le appliance di sicurezza virtuali possono essere eseguite come virtual machine (VM) su un modello BYOH (Bring Your Own Hypervisor) su un'istanza Bare Metal. Le VM dell'appliance di sicurezza virtuale in esecuzione sull'istanza Bare Metal BYOH dispongono di una propria VNIC secondaria, che garantisce la connettività diretta ad altre istanze e servizi nella VCN della VNIC. Per informazioni sull'abilitazione di BYOH in un'istanza Bare Metal mediante un hypervisor KVM open source, vedere Bringing Your Own Hypervisor Guest OS.
  • Le appliance di sicurezza virtuali possono anche essere installate sulle virtual machine (VM) di computazione in cui è possibile importare le immagini VMDK o QCOW2 delle appliance di sicurezza utilizzando la funzione BYOI (Bring Your Own Image). Tuttavia, a causa delle dipendenze dell'infrastruttura, la funzione BYOI potrebbe non funzionare per alcune appliance, nel qual caso il modello BYOH sarebbe un'altra opzione da utilizzare. Per ulteriori informazioni sull'importazione delle immagini dell'appliance in Oracle Cloud Infrastructure, vedere Bring Your Own Image (BYOI).

Load balancer

  • I load balancer di Oracle Cloud Infrastructure consentono connessioni TLS end-to-end tra le applicazioni di un client e la VCN di un cliente. La connessione TLS può essere interrotta in un load balancer HTTP o in un server backend tramite un load balancer TCP. Per impostazione predefinita, i load balancer utilizzano TLS1.2. Per informazioni sulla configurazione di un listener HTTPS, vedere Ascoltatori per load balancer. Puoi anche caricare i tuoi certificati TLS. Per ulteriori informazioni, vedere Certificati SSL per i load balancer.
  • Puoi configurare l'accesso di rete ai load balancer utilizzando i gruppi di sicurezza di rete VCN o le liste di sicurezza. Questo metodo offre funzionalità simili ai firewall tradizionali del load balancer. Per i load balancer pubblici, Oracle consiglia di utilizzare una subnet pubblica regionale (ad esempio, la subnet DMZ) per creare un'istanza dei load balancer in una configurazione ad alta disponibilità in due domini di disponibilità diversi. Puoi configurare le regole del firewall del load balancer impostando i gruppi di sicurezza di rete del load balancer o le liste di sicurezza della subnet. Per ulteriori informazioni sulla creazione delle liste di sicurezza del load balancer, vedere Aggiornare le liste di sicurezza del load balancer e consentire il traffico Internet al listener. In modo analogo, devi configurare i gruppi di sicurezza di rete VCN o le liste di sicurezza affinché i server backend limitino il traffico solo dai load balancer pubblici. Per ulteriori informazioni sulla configurazione delle liste di sicurezza dei server backend, vedere Aggiorna regole per limitare il traffico ai server backend.

Zone e record DNS

Le zone e i record DNS sono fondamentali per l'accessibilità delle proprietà Web. Aggiornamenti errati o eliminazioni non autorizzate potrebbero causare l'interruzione dei servizi, a cui è possibile accedere tramite i nomi DNS. Oracle consiglia di limitare gli utenti IAM che possono modificare le zone e i record DNS.

Criteri di indirizzamento per la gestione del traffico DNS

Aggiornamenti errati o eliminazioni non autorizzate nei criteri di indirizzamento per la gestione del traffico DNS potrebbero causare indisponibilità dei servizi a causa di un indirizzamento errato o di un errore di failover del traffico. Oracle consiglia di limitare gli utenti IAM che possono modificare i criteri di indirizzamento per la gestione del traffico DNS.

Esempi di criteri di sicurezza

Consenti agli utenti di visualizzare solo le liste di sicurezza

Gli amministratori di rete sono il personale che deve essere in grado di creare e gestire gruppi di sicurezza di rete ed elenchi di sicurezza.

Tuttavia, potresti avere utenti di rete che devono sapere quali sono le regole di sicurezza in un determinato gruppo di sicurezza di rete (NSG) o lista di sicurezza.

La prima riga del criterio di esempio riportato di seguito consente al gruppo NetworkUsers di visualizzare le liste di sicurezza e i relativi contenuti. Questo criterio non consente al gruppo di creare, collegare, eliminare o modificare liste di sicurezza.

La seconda riga consente al gruppo NetworkUsers di visualizzare le regole di sicurezza nei gruppi NSG e anche di visualizzare le VNIC e le risorse padre presenti nei gruppi NSG. La seconda riga non consente al gruppo NetworkUsers di modificare le regole di sicurezza nei gruppi NSG.

Allow group NetworkUsers to inspect security-lists in tenancy
Allow group NetworkUsers to use network-security-groups in tenancy

Impedire agli utenti di creare una connessione esterna a Internet

In alcuni casi, potrebbe essere necessario impedire agli utenti di creare una connettività Internet esterna alla propria VCN. Nel seguente criterio di esempio, al gruppo NetworkUsers viene impedito di creare un gateway Internet.

Allow group NetworkUsers to manage internet-gateways in tenancy
 where request.permission!='INTERNET_GATEWAY_CREATE'

Impedire agli utenti di aggiornare i record e le zone DNS

Nel seguente criterio di esempio, al gruppo NetworkUsers viene impedito di eliminare e aggiornare le zone e i record DNS

Allow group NetworkUsers to manage dns-records in tenancy
 where all {request.permission!='DNS_RECORD_DELETE', 
            request.permission!='DNS_RECORD_UPDATE'} 
Allow group NetworkUsers to manage dns-zones in tenancy
 where all {request.permission!='DNS_ZONE_DELETE', 
            request.permission!='DNS_ZONE_UPDATE'}

Comandi CLI utili

In tutti gli esempi riportati di seguito, le variabili di ambiente $T, $C e $VCN vengono impostate rispettivamente su OCID tenancy, OCID compartimento e OCID VCN.

Elenca elenchi di sicurezza aperti in una VCN

# list open (0.0.0.0/0) security lists in VCN $VCN in compartment $C 
oci network security-list list -c $C --vcn-id $VCN | grep "source" | grep "\"0.0.0.0/0\""

Elenca gateway in una VCN

# list all internet gateways in VCN $VCN in compartment $C 
oci network internet-gateway list -c $C --vcn-id $VCN 
# list all DRGs in compartment $C 
oci network drg list -c $C 
# list all local peering gateways in vcn $VCN in compartment $C 
oci network local-peering-gateway list -c $C --vcn-id $VCN

Elenca regole tabella di instradamento in una VCN

# list route table rules in VCN $VCN in compartment $C 
oci network route-table list -c $C --vcn-id $VCN