Documentazione di Oracle Cloud Infrastructure

Accesso sicuro a Fusion Applications

Controllare l'accesso di rete a Fusion Applications.

Gli utenti possono accedere a Fusion Applications da Internet purché dispongano di credenziali utente valide. Per controllare ulteriormente l'accesso all'ambiente in uso, Fusion Applications supporta le opzioni riportate di seguito.

  • Lista di controllo dell'accesso (ACL): consente l'accesso all'ambiente solo dagli IP pubblici (CIDR) o dalle reti cloud virtuali (VCN) selezionati utilizzando una lista di controllo dell'accesso (ACL, Access Control List).
  • Accesso privato dalle reti on premise: consenti l'accesso al tuo ambiente dalla tua rete on premise senza passare attraverso Internet.
  • Controllo dell'accesso basato sulla posizione (LBAC, Location Based Access Control): consente agli utenti di accedere a task e dati in base ai ruoli e agli indirizzi IP di calcolo. Questa opzione viene configurata nella console di sicurezza di Fusion Applications da un amministratore con il ruolo IT Security Manager. Per ulteriori informazioni, vedere Panoramica dell'accesso basato sulla posizione.

Questi casi d'uso non si escludono a vicenda e possono essere supportati tra loro. Ad esempio, puoi impostare l'accesso privato da una rete on premise e anche fornire l'accesso tramite Internet per gli IP selezionati oppure puoi abilitare il controllo LBAC con accesso privato da on premise.

Panoramica dell'accesso privato da una rete in locale

Fusion Application ti consente di impostare la connettività privata dalla rete on premise a Fusion Applications. A un livello elevato questa configurazione comporta:

  • Creazione e configurazione della connessione dalla rete in locale alla VCN e all'applicazione Fusion in OCI.

  • Aggiornamento delle impostazioni di rete dell'ambiente Fusion Applications.

Prerequisiti per l'accesso privato da on premise

Per impostare l'accesso privato da una rete on premise a Fusion Applications su OCI, devi disporre dei seguenti elementi:

  • Una tenancy in Oracle Cloud Infrastructure (OCI), in cui viene eseguito il provisioning dell'ambiente Fusion Applications.
  • Una rete cloud virtuale (VCN) nella tenancy OCI.
  • Connessione dalla rete in locale alla VCN. Esistono due modi per connettersi dalla rete on premise alla VCN in OCI: VPN site-to-site o FastConnect.
    • VPN da sito a sito: fornisce una connessione IPSec da sito a sito tra la rete on premise e la rete cloud virtuale (VCN). La suite di protocolli IPSec cifra il traffico IP prima del trasferimento dei pacchetti dall'origine alla destinazione e decifra il traffico all'arrivo. Le istruzioni in questo argomento guidano l'utente nell'impostazione della VPN da sito a sito. Per i dettagli completi, vedere VPN Site-to-Site.
    • FastConnect: offre un modo per creare una connessione dedicata e privata tra il data center e OCI. FastConnect offre opzioni per maggiore larghezza di banda e un'esperienza di rete più affidabile e coerente rispetto alle connessioni basate su Internet. Quando ci si connette tramite FastConnect, BGP è l'unica opzione per scambiare gli instradamenti. Per informazioni sull'impostazione, consultare il FastConnect blog e la documentazione.
  • È necessario disporre di limiti del servizio per consentire il provisioning della VCN e della VPN da sito a sito (precedentemente denominata IPSec VPN) o FastConnect nella tenancy.

È possibile verificare i limiti nella console come indicato di seguito.

Aprire il menu di navigazione e selezionare Governance e amministrazione. In Gestione tenancy, selezionare Limiti, quote e uso.

Selezionare quanto riportato di seguito nella lista Servizio per visualizzare il limite.

  • Limiti per VPN da sito a sito: selezionare VPN, visualizzare il limite per Conteggio connessioni IPSec.
  • Limiti per la VCN: selezionare Rete cloud virtuale.
  • Limiti per FastConnect: selezionare Fast Connect.

Per richiedere un aumento dei limiti del servizio, vedere Richiesta di un aumento dei limiti del servizio.

Passi per impostare la connettività privata utilizzando la VPN da sito a sito

I passaggi seguenti descrivono come impostare la connettività privata utilizzando la VPN da sito a sito. Fare riferimento alla documentazione del servizio OCI Networking utilizzando i valori specifici indicati di seguito.

Creare una VCN e stabilire la connessione dalla rete in locale alla VCN e all'applicazione Fusion in OCI

  1. Creare la rete cloud virtuale.

    Per creare la VCN, seguire le istruzioni riportate nella documentazione del servizio di networking: Creazione di una VCN. Assicurarsi che il blocco CIDR IPV4 immesso non si sovrapponga all'intervallo IP di rete in locale.

  2. Connettere la VCN alla rete in locale.

    In questo passo, connetti la VCN alla tua rete on premise utilizzando la VPN da sito a sito. Per ottenere la connessione, è necessario creare e collegare un gateway di instradamento dinamico (DRG) alla VCN e impostare l'instradamento tra la VCN e la rete in locale.

    1. Creare un gateway di instradamento dinamico utilizzando le istruzioni riportate nell'argomento relativo alla creazione di un DRG.
    2. Collegare la VCN al gateway DRG utilizzando le istruzioni riportate nell'argomento relativo al collegamento di una VCN a un gateway DRG.

  3. Seguire le istruzioni riportate nell'argomento Impostazione della VPN da sito a sito per impostare Customer-Premises Equipment e creare la connessione VPN da sito a sito IPSec.

  4. Configurare l'instradamento del transito seguendo le istruzioni riportate nell'argomento: Opzioni di instradamento del transito per l'accesso privato ai servizi Oracle. Utilizzare queste istruzioni per configurare l'instradamento del transito direttamente tramite i gateway del servizio. In alternativa, se si dispone di scenari più avanzati, vedere i dettagli per l'instradamento tramite un IP privato.

Aggiornare le impostazioni di rete dell'ambiente Fusion Applications

Negli ultimi passi, aggiorna l'ambiente Fusion Applications in modo da consentire il traffico privato dalla VCN. Per bloccare l'accesso dalla rete Internet pubblica, è necessario assicurarsi che nessun altro IP pubblico venga aggiunto alla lista di controllo dell'accesso all'ambiente Fusion Applications.

Inoltre, Fusion Applications utilizza l'inserimento nella cache basato su Content Delivery Network (CDN) per distribuire i contenuti più velocemente agli utenti. È necessario disabilitare l'accelerazione del contenuto per impedire l'inserimento nella cache.

Creare la regola di controllo dell'accesso per consentire solo alla VCN:

  1. Passare all'ambiente: nella home page Applicazioni della console fare clic su Fusion Applications. Nella pagina Panoramica, trovare la famiglia di ambienti per l'ambiente, quindi selezionare il nome dell'ambiente.
  2. Nella pagina dei dettagli dell'ambiente, in Risorse selezionare Networking.
  3. Selezionare Crea regola.
  4. Per il tipo di notazione IP, selezionare Rete cloud virtuale, quindi nel campo successivo selezionare la VCN.
  5. Selezionare Crea regola.

Disabilitare la cache Internet (Accelerazione contenuto):

  1. Sempre in Networking, selezionare la scheda Accelerazione del contenuto.
  2. Selezionare Modifica.
  3. Impostare lo switch Cache Internet su Disabilitato.
  4. Selezionare Salva modifiche.

Controllo dell'accesso basato sulla posizione (LBAC, Location-Based Access Control) con connettività privata on-premise

LBAC è un'altra funzione fornita da Fusion Applications per controllare l'accesso degli utenti a task e dati in base ai ruoli e agli indirizzi IP del computer.

LBAC è configurato nella console di sicurezza di Fusion Applications. Per abilitare l'accesso basato sulla posizione e rendere pubblico un ruolo, è necessario disporre del ruolo Responsabile sicurezza IT. È possibile rendere pubblico un ruolo solo quando è abilitato l'accesso basato sulla posizione. Per abilitare l'accesso basato sulla posizione, è necessario registrare gli indirizzi IP dei computer da cui gli utenti in genere si collegano all'applicazione. Per informazioni dettagliate e su come abilitare e disabilitare LBAC, vedere Panoramica dell'accesso basato sulla posizione.

Per configurare LBAC con connettività on-premise privata, è necessario anche richieste di supporto (SR) al supporto clienti di Fusion Applications per abilitare LBAC con connettività on-premise privata.