Documentazione di Oracle Cloud Infrastructure

Accesso sicuro a Fusion Applications

Controllare l'accesso di rete a Fusion Applications.

Gli utenti possono accedere a Fusion Applications da Internet purché dispongano di credenziali utente valide. Per controllare ulteriormente l'accesso all'ambiente in uso, Fusion Applications supporta le opzioni riportate di seguito.

  • Lista di controllo dell'accesso (ACL): consente l'accesso all'ambiente solo da IP pubblici (CIDR) o reti cloud virtuali (VCN) selezionati utilizzando una lista di controllo dell'accesso (ACL, Access Control List).
  • Accesso privato dalle reti on premise: consenti l'accesso al tuo ambiente dalla tua rete on premise senza passare attraverso Internet.
  • Controllo dell'accesso basato sulla posizione (LBAC): consente agli utenti di accedere a task e dati in base ai ruoli e agli indirizzi IP di computazione. Questa opzione è configurata nella Console sicurezza di Fusion Applications da un amministratore con ruolo Manager sicurezza IT. Per informazioni dettagliate, vedere Panoramica sull'accesso basato sulla posizione.

Questi casi d'uso non si escludono a vicenda e possono essere supportati tra loro. Ad esempio, puoi impostare l'accesso privato da una rete in locale e fornire anche l'accesso tramite Internet per gli IP selezionati. In alternativa, puoi abilitare LBAC con accesso privato da ambienti on-premise.

Panoramica dell'accesso privato da una rete in locale

Fusion Applications consente di impostare la connettività privata dalla rete in locale a Fusion Applications. A livello avanzato, questa configurazione prevede:

  • Creazione e configurazione della connessione dalla rete on premise alla VCN e alle Fusion Applications in OCI.

  • Aggiornamento delle impostazioni di rete dell'ambiente Fusion Applications.

Prerequisiti per l'accesso privato da on premise

Per impostare l'accesso privato da una rete on premise a Fusion Applications su OCI, devi disporre dei seguenti elementi:

  • Una tenancy in Oracle Cloud Infrastructure (OCI), in cui viene eseguito il provisioning dell'ambiente Fusion Applications.
  • Una rete cloud virtuale (VCN) nella tenancy OCI.
  • Connessione dalla rete in locale alla VCN. Esistono due modi per connettersi dalla rete on premise alla VCN in OCI: VPN site-to-site o FastConnect.
    • VPN da sito a sito: fornisce una connessione IPSec da sito a sito tra la rete in locale e la rete cloud virtuale (VCN). La suite di protocolli IPSec crittografa il traffico IP prima che i pacchetti vengano trasferiti dall'origine alla destinazione e decifra il traffico quando arriva. Le istruzioni riportate in questo argomento guidano l'utente nell'impostazione della VPN da sito a sito.

      Per i dettagli completi, vedere VPN site-to-site.

    • FastConnect: consente di creare una connessione dedicata e privata tra il data center e OCI. FastConnect offre opzioni di larghezza di banda più elevata e un'esperienza di rete più affidabile e coerente rispetto alle connessioni basate su internet. Quando si esegue la connessione tramite FastConnect, BGP è l'unica opzione per lo scambio di instradamenti.

      Per informazioni sull'impostazione del file, consultare il blog e la documentazione FastConnect.

  • È necessario disporre di limiti del servizio per consentire il provisioning della VCN e della VPN da sito a sito (precedentemente denominata IPSec VPN) o FastConnect nella tenancy.

È possibile verificare i limiti del servizio nella console come indicato di seguito.

  1. Aprire il menu di navigazione e selezionare Governance e amministrazione. In Gestione tenancy selezionare Limiti, quote e uso.
  2. Accanto a Servizio, selezionare Modifica filtri.
  3. Nel campo Servizio selezionare quanto riportato di seguito per visualizzare i limiti del servizio.
    • Limiti per la VCN: selezionare Rete cloud virtuale.
    • Limiti per la VPN da sito a sito: selezionare VPN e visualizzare il limite per IPSec Connection Count.
    • Limiti per FastConnect: selezionare Fast Connect.

Come richiedere un aumento del limite del servizio, vedere Richiedere un aumento del limite del servizio.

Passi per impostare la connettività privata utilizzando la VPN da sito a sito

I passaggi seguenti descrivono come impostare la connettività privata utilizzando la VPN da sito a sito. Fare riferimento alla documentazione del servizio OCI Networking utilizzando i valori specifici che seguono.

Creare una VCN e stabilire la connessione dalla rete on premise alla VCN e alle Fusion Applications in OCI

  1. Creare la rete cloud virtuale.

    Per creare la VCN, attenersi alle istruzioni riportate nella documentazione del servizio di networking: Creazione di una VCN. Assicurarsi che il blocco CIDR IPV4 immesso non si sovrapponga all'intervallo IP di rete in locale.

  2. Connettere la VCN alla rete in locale.

    In questo passo, connetti la VCN alla tua rete on premise utilizzando la VPN da sito a sito. Per ottenere la connessione, è necessario creare e collegare un gateway di instradamento dinamico (DRG) alla VCN e impostare l'instradamento tra la VCN e la rete in locale.

    1. Creare un gateway di instradamento dinamico utilizzando le istruzioni riportate nell'argomento relativo alla creazione di un DRG.
    2. Collegare la VCN al gateway DRG utilizzando le istruzioni riportate nell'argomento relativo al collegamento di una VCN a un gateway DRG.
  3. Seguire le istruzioni riportate nell'argomento Impostazione della VPN da sito a sito per impostare Customer-Premises Equipment e creare la connessione VPN da sito a sito IPSec.
  4. Configurare l'instradamento del transito seguendo le istruzioni riportate nell'argomento: Opzioni di instradamento del transito per l'accesso privato ai servizi Oracle. Utilizzare queste istruzioni per configurare l'instradamento del transito direttamente tramite i gateway del servizio. In alternativa, se si dispone di scenari più avanzati, vedere i dettagli per l'instradamento tramite un IP privato.

Aggiornare le impostazioni di rete dell'ambiente Fusion Applications

Negli ultimi passi, aggiorna l'ambiente Fusion Applications in modo da consentire il traffico privato dalla VCN. Per bloccare l'accesso dalla rete Internet pubblica, è necessario assicurarsi che nessun altro IP pubblico venga aggiunto alla lista di controllo dell'accesso all'ambiente Fusion Applications.

Inoltre, Fusion Applications utilizza l'inserimento nella cache basato su Content Delivery Network (CDN) per distribuire i contenuti più velocemente agli utenti. È necessario disabilitare l'accelerazione del contenuto per impedire l'inserimento nella cache.

Creare la regola di controllo dell'accesso per consentire solo alla VCN:

  1. Nella pagina di elenco Ambienti, selezionare l'ambiente da utilizzare. Se è necessaria assistenza per trovare la pagina di elenco, vedere Per elencare gli ambienti.

  2. Nella pagina dei dettagli dell'ambiente, selezionare Networking.
  3. In Regole di controllo dell'accesso selezionare Crea regola.
  4. Per il tipo di notazione IP, selezionare Rete cloud virtuale, quindi selezionare la VCN.
  5. Selezionare Crea regola.

Disabilitare la cache Internet (accelerazione del contenuto):

  1. Sempre nella scheda Networking, accanto all'impostazione Cache Internet, selezionare Modifica.
  2. Nel pannello Accelerazione contenuto disabilitare il pulsante di attivazione/disattivazione.
  3. Selezionare Salva modifiche.

Controllo dell'accesso basato sulla posizione (LBAC, Location-Based Access Control) con connettività privata on-premise

LBAC è un'altra funzione fornita da Fusion Applications per controllare l'accesso degli utenti a task e dati in base ai ruoli e agli indirizzi IP del computer.

Il controllo LBAC viene configurato nella Console sicurezza di Fusion Applications. Per abilitare l'accesso basato sulla posizione e rendere pubblico un ruolo, è necessario disporre del ruolo Responsabile sicurezza IT. È possibile rendere pubblico un ruolo solo quando è abilitato l'accesso basato sulla posizione. Per abilitare l'accesso basato sulla posizione, è necessario registrare gli indirizzi IP dei computer da cui gli utenti in genere accedono all'applicazione. È possibile trovare i dettagli e le modalità di abilitazione e disabilitazione di LBAC in Panoramica dell'accesso basato sulla posizione.

Per configurare LBAC con connettività privata in locale, aprire una richiesta di supporto (SR) con l'assistenza clienti Fusion Applications.
Nota

Se è stato abilitato il supporto per l'indirizzamento IPv6 nell'ambiente in uso, non è consigliabile abilitare LBAC nello stesso ambiente in quanto queste due funzioni non sono compatibili. Vedere Abilitazione del supporto per IPv6.