Documentazione dell'infrastruttura Oracle Cloud

Criteri zona di sicurezza

Quando crei e aggiorni le risorse in una zona di sicurezza, Oracle Cloud Infrastructure convalida queste operazioni in base ai criteri nella zona di sicurezza. Se un criterio viene violato, l'operazione viene negata.

Quando si crea una zona di sicurezza, viene assegnata una ricetta, ovvero una raccolta di criteri delle zone di sicurezza.

La tenancy dispone di una recipe predefinita denominata Recipe di sicurezza massima, che include una serie di criteri di zona di sicurezza curati. Oracle gestisce questa recipe e non è possibile modificarla. È tuttavia possibile creare ricette personalizzate che soddisfino i requisiti di sicurezza specifici.

Le zone di sicurezza classificano i criteri in base al principio di sicurezza, ad esempio Limita spostamento delle risorse. Ogni criterio influisce su una o più risorse cloud, ad esempio le risorse di computazione, networking, storage degli oggetti e database.

Nota

I criteri del database non si applicano a Oracle Exadata Cloud@Customer.
Nota

I criteri di Gestione computazione si applicano alle configurazioni delle istanze e ai pool di istanze. Vedere Utilizzo delle configurazioni delle istanze e dei pool di istanze.

Limita spostamento risorse

Per garantire l'integrità dei dati, alcune risorse in una zona di sicurezza non possono essere spostate in un compartimento all'esterno della zona di sicurezza perché potrebbero essere meno sicure. Non è inoltre possibile spostare una risorsa esistente in un compartimento in una zona di sicurezza a meno che non vengano soddisfatti tutti i criteri nella zona di sicurezza.

Nella tabella seguente vengono descritti i criteri della zona di sicurezza che limitano lo spostamento delle risorse.

Criterio Tipi di risorsa Descrizione
deny attached_boot_volume_​not_in_security_zone_move_to_​compartment_in_security_zone Storage a blocchi Non è possibile spostare un volume di boot collegato che non si trova in una zona di sicurezza in un compartimento in una zona di sicurezza.
deny block_volume_in_security_zone_​move_to_compartment_​not_in_security_zone Storage a blocchi Non è possibile spostare un blocco volume nella zona di sicurezza in un compartimento che non si trova nella stessa zona di sicurezza.
deny boot_volume_in_security_zone_​move_to_compartment_​not_in_security_zone Storage a blocchi Non è possibile spostare un volume di avvio nella zona di sicurezza in un compartimento che non si trova nella stessa zona di sicurezza.
deny instance_in_security_zone_​move_to_compartment_​not_in_security_zone Calcola Impossibile spostare un'istanza nella zona di sicurezza in un compartimento che non si trova nella stessa zona di sicurezza.
deny instance_not_in_security_​zone_move_to_compartment_​in_security_zone Calcola Impossibile spostare un'istanza nella zona di sicurezza da un compartimento che non si trova nella stessa zona di sicurezza.
deny db_instance_move_to_​compartment_not_in_​security_zone Database (tutti i tipi) Non è possibile spostare un database nella zona di sicurezza in un compartimento che non si trova nella stessa zona di sicurezza.
deny database_with_dataguard_​association_move_to_​compartment_in_security_zone Database (sistemi DB Bare Metal e Virtual Machine, sistemi DB Exadata) Non è possibile spostare un database nella zona di sicurezza se l'associazione Data Guard non si trova nella stessa zona di sicurezza.
deny file_system_in_security_​zone_move_to_compartment_​not_in_security_zone Storage di file Non è possibile spostare un file system nella zona di sicurezza in un compartimento che non si trova nella stessa zona di sicurezza.
deny mount_target_in_security_​zone_move_to_compartment_​not_in_security_zone Storage di file Non è possibile spostare una destinazione di MOUNT (Storage di file) nella zona di sicurezza in un compartimento che non si trova nella stessa zona di sicurezza.
deny bucket_in_security_zone_​move_to_compartment_​not_in_security_zone Storage degli oggetti Impossibile spostare un bucket nella zona di sicurezza in un compartimento che non si trova nella stessa zona di sicurezza.
deny LPG_gateway VCN Non è possibile aggiungere un gateway peering locale a una VCN nella zona di sicurezza e non è possibile spostare un gateway peering locale nella zona di sicurezza.
deny subnet_in_security_zone_​move_to_compartment_​not_in_security_zone VCN Non è possibile spostare una subnet nella zona di sicurezza in un compartimento che non si trova nella stessa zona di sicurezza.

Limita associazione risorse

Tutti i componenti richiesti per una risorsa in una zona di sicurezza devono trovarsi anche nella stessa zona di sicurezza. Le risorse che non si trovano in una zona di sicurezza potrebbero essere vulnerabili e le risorse in una zona di sicurezza diversa potrebbero avere una postura di sicurezza inferiore.

Nella tabella seguente vengono descritti i criteri della zona di sicurezza che limitano l'associazione delle risorse.

Criterio Tipi di risorsa Descrizione
deny attached_block_volume_not_​in_security_zone_move_to_​compartment_in_security_zone Storage a blocchi Non è possibile spostare un blocco volume nella zona di sicurezza se è collegato a un'istanza di computazione che non si trova nella stessa zona di sicurezza.
deny block_volume_in_security_​zone_attach_to_instance_​not_in_security_zone Calcola Non è possibile collegare un volume di storage a blocchi nella zona di sicurezza a un'istanza di computazione che non si trova nella stessa zona di sicurezza.
deny block_volume_not_in_security_​zone_attach_to_instance_​in_security_zone Calcola Non è possibile collegare un volume di storage a blocchi a un'istanza di computazione nella zona di sicurezza se il volume non si trova nella stessa zona di sicurezza.
deny boot_volume_not_in_security_​zone_attach_to_instance_​in_security_zone Calcola Non è possibile collegare un volume di avvio a un'istanza di computazione nella zona di sicurezza se il volume non si trova nella stessa zona di sicurezza.
deny boot_volume_in_security_​zone_attach_to_instance_​not_in_security_zone Calcola Non è possibile collegare un volume di avvio nella zona di sicurezza a un'istanza di computazione che non si trova nella stessa zona di sicurezza.
deny instance_in_security_zone_​launch_from_boot_volume_​not_in_security_zone Compute, Gestione computazione Non è possibile avviare un'istanza di computazione nella zona di sicurezza se il relativo volume di avvio non si trova nella stessa zona di sicurezza.
deny instance_not_in_security_​zone_launch_from_boot_​volume_in_security_zone Compute, Gestione computazione Non è possibile avviare un'istanza di computazione utilizzando un volume di avvio nella zona di sicurezza se l'istanza non si trova nella stessa zona di sicurezza.
deny instance_in_security_zone_​in_subnet_not_in_security_​zone Compute, Gestione computazione Un'istanza di computazione nella zona di sicurezza non può utilizzare una subnet se non si trova nella stessa zona di sicurezza.
deny dataguard_association_​with_db_instances_not_in_​security_zones Database (sistemi DB Bare Metal e Virtual Machine, sistemi DB Exadata) Un database nella zona di sicurezza non può avere un'associazione Data Guard con un altro database (primario/standby) se non si trova nella stessa zona di sicurezza.
deny db_instance_subnet_not_​in_security_zone Database (tutti i tipi) Un database nella zona di sicurezza non può utilizzare una sottorete se non si trova nella stessa zona di sicurezza.
deny db_resource_association_​not_in_security_zone Database (sistemi DB Exadata)

Le risorse dell'infrastruttura Exadata nella zona di sicurezza non possono essere associate a container database o cluster VM che non si trovano nella stessa zona di sicurezza.
deny mount_target_in_security_zone_​created_with_subnet_​not_in_security_zone Storage di file Una destinazione di MOUNT (Storage di file) nella zona di sicurezza non può utilizzare una subnet se non si trova nella stessa zona di sicurezza.
deny mount_target_not_in_security_zone_​create_with_subnet_​in_security_zone Storage di file Non è possibile creare una destinazione di accesso (storage di file) che utilizzi una subnet in una zona di sicurezza se la destinazione di accesso non si trova nella stessa zona di sicurezza.
deny file_system_in_security_zone_​export_via_mount_target_​not_in_security_zone Storage di file Non è possibile esportare un file system nella zona di sicurezza tramite una destinazione di MOUNT (archiviazione di file) che non si trova nella stessa zona di sicurezza.
deny file_system_not_in_security_zone_​export_via_mount_target_​in_security_zone Storage di file Non è possibile esportare un file system tramite una destinazione di MOUNT (Storage di file) se il file system non si trova nella stessa zona di sicurezza.

Nega accesso pubblico

Le risorse presenti in una zona di sicurezza non devono essere accessibili dalla rete Internet pubblica.

Quando crei una subnet privata , le istanze di computazione avviate in tale subnet non possono avere indirizzi IP pubblici. Questa limitazione garantisce che le istanze di computazione nella subnet non dispongano di accesso a Internet. Per le istanze di computazione in una subnet privata, un service gateway consente l'accesso privato a servizi pubblici come lo storage degli oggetti. Vedere Panoramica sulla rete.

Nella tabella seguente sono descritti i criteri della zona di sicurezza che limitano l'accesso alla rete.

Criterio Tipi di risorsa Descrizione
deny cloud_shell_public_network Cloud Shell Gli host Cloud Shell in una zona di sicurezza non possono avere accesso alla rete pubblica.
deny db_instance_public_​access Database (tutti i tipi) I database nella zona di sicurezza non possono essere assegnati a subnet pubbliche. Devono utilizzare subnet private.
deny public_load_balancer Load balancer I load balancer in una zona di sicurezza non possono essere pubblici. Tutti i load balancer devono essere privati.
deny public_buckets Storage degli oggetti I bucket di storage degli oggetti nella zona di sicurezza non possono essere pubblici.
deny DRG_gateway VCN Non è possibile aggiungere un gateway di instradamento dinamico (DRG) a una VCN nella zona di sicurezza.
deny internet_gateway VCN Non è possibile aggiungere un gateway Internet a una VCN (rete cloud virtuale) all'interno della zona di sicurezza.
deny LPG_gateway VCN Non è possibile aggiungere un gateway peering locale a una VCN nella zona di sicurezza e non è possibile spostare un gateway peering locale nella zona di sicurezza.
deny NAT_gateway VCN Impossibile aggiungere un gateway NAT (traduzione indirizzo di rete) a una VCN nella zona di sicurezza.
deny SGW_gateway VCN Non è possibile aggiungere un gateway SGW (gateway sicuro) a una VCN nella zona di sicurezza.
deny public_subnets VCN Le subnet nella zona di sicurezza non possono essere pubbliche. Devono essere privati.

Richiedi cifratura

Le risorse in una zona di sicurezza devono essere cifrate utilizzando chiavi gestite dal cliente. I dati devono essere cifrati durante il transito e in archivio.

Oracle Cloud Infrastructure Vault consente di gestire le chiavi di cifratura master che proteggono i dati e le credenziali segrete utilizzate per accedere in modo sicuro alle risorse. È inoltre possibile ruotare regolarmente le chiavi di cifratura.

Molti servizi si integrano con il servizio Vault per la cifratura, inclusi lo storage degli oggetti e il volume a blocchi.

Nella tabella seguente vengono descritti i criteri della zona di sicurezza che applicano la cifratura.

Criterio Tipi di risorsa Descrizione
deny block_volume_without_​vault_key Storage a blocchi I volumi di blocco nella zona di sicurezza devono utilizzare una chiave di cifratura master gestita dal cliente nel servizio Vault. Non possono utilizzare la chiave di cifratura predefinita gestita da Oracle.
deny boot_volume_without_​vault_key Storage a blocchi I volumi di avvio nella zona di sicurezza devono utilizzare una chiave di cifratura master gestita dal cliente nel servizio Vault. Non possono utilizzare la chiave di cifratura predefinita gestita da Oracle.
deny file_system_without_vault_​key Storage di file I file system nella zona di sicurezza devono utilizzare una chiave di cifratura master gestita dal cliente nel servizio Vault. Non possono utilizzare la chiave di cifratura predefinita gestita da Oracle.
deny buckets_without_vault_key Storage degli oggetti I bucket di storage degli oggetti nella zona di sicurezza devono utilizzare una chiave di cifratura master gestita dal cliente nel servizio Vault. Non possono utilizzare la chiave di cifratura predefinita gestita da Oracle.

Garantisci durabilità dei dati

I backup automatici devono essere eseguiti regolarmente per le risorse in una zona di sicurezza.

Nella tabella seguente viene descritto il criterio della zona di sicurezza che applica la durabilità dei dati.

Criterio Tipi di risorsa Descrizione
deny database_without_backup Database (sistemi DB Bare Metal e Virtual Machine, sistemi DB Exadata)

I database nella zona di sicurezza devono essere configurati per eseguire backup automatici.

Vedere Backup e recupero del database.

Garantisci sicurezza dei dati

I dati in una zona di sicurezza vengono considerati privilegiati e non possono essere copiati al di fuori della zona di sicurezza.

Nella tabella seguente vengono descritti i criteri delle zone di sicurezza che applicano la sicurezza dei dati.

Criterio Tipi di risorsa Descrizione
deny database_not_in_security_​zone_create_from_backup_​in_security_zone Database (sistemi DB Bare Metal e Virtual Machine, sistemi DB Exadata) Non è possibile utilizzare un backup del database nella zona di sicurezza per creare un database che non si trova nella stessa zona di sicurezza.
deny database_in_security_​zone_create_clone_not_​in_security_zone Database (sistemi DB Virtual Machine, Autonomous Database) Non è possibile duplicare un database nella zona di sicurezza per creare un database che non si trova nella stessa zona di sicurezza.
deny file_system_in_security_zone_​clone_to_compartment_​not_in_security_zone Storage di file Non è possibile clonare un file system in una zona di sicurezza per creare un file system che non si trova nella stessa zona di sicurezza.

Usa solo configurazioni approvate da Oracle

Oracle richiede l'abilitazione e la configurazione di determinate funzioni di sicurezza per le risorse all'interno di una zona di sicurezza. Un esempio è la configurazione del sistema operativo per un'istanza (Computazione) di computazione .

Nella tabella seguente vengono descritti i criteri delle zone di sicurezza che richiedono configurazioni approvate da Oracle.

Criterio Tipi di risorsa Descrizione criterio
deny manage_bastion_resource Bastion Impossibile creare o modificare un bastion nella zona di sicurezza.
deny detach_volume Storage a blocchi Non è possibile scollegare un volume nella zona di sicurezza.
deny manage_compute_and_block_storage_resource Storage a blocchi, computazione,

Non è possibile eseguire alcuna delle azioni seguenti per calcolare le risorse nella zona di sicurezza:

  • Creare un'istanza
  • Collegamento di un volume a un'istanza
  • Collegare un volume di avvio a un'istanza
  • Spostare un'istanza in un altro compartimento
  • Aggiorna un istante
  • Eseguire determinate azioni di potenza su un'istanza
  • Collegare una VNIC a un'istanza
  • Creare un host virtual machine (VM) dedicato
  • Modificare il compartimento per una VM dedicata
  • Aggiornare un host VM dedicato
  • Eliminare un host VM dedicato
  • Creare una connessione console a un'istanza
  • Aggiornare una connessione console a un'istanza
  • Elimina una connessione console a un'istanza
  • Creare una riserva capacità di computazione
  • Aggiornare una riserva capacità di computazione
  • Elimina una riserva capacità di computazione
  • Spostare una riserva capacità di computazione in un altro compartimento
  • Creare una configurazione dell'istanza
  • Creare un'istanza da una configurazione di istanza
  • Creare un pool di istanze
  • Avvia un pool di istanze
  • Creare una rete cluster

Non è possibile eseguire alcuna delle azioni riportate di seguito per bloccare le risorse di storage nella zona di sicurezza.

  • Crea un volume
  • Eliminare un volume
  • Spostare un volume in un altro compartimento
  • Eliminare una chiave KMS del volume
  • Creare un backup del volume
  • Eliminare un backup del volume
  • Spostare un backup del volume in un compartimento diverso
  • Creare un criterio di backup del volume
  • Eliminare un criterio di backup del volume
  • Creare un backup del gruppo dei volumi
  • Eliminare il backup di un gruppo dei volumi
  • Spostare il backup di un gruppo di volumi in un compartimento diverso
  • Creare un volume di avvio
  • Elimina un volume di avvio
  • Spostare un volume di avvio in un compartimento diverso
  • Eliminare una chiave KMS per il volume di avvio
  • Creare un backup del volume di avvio
  • Eliminare un backup del volume di avvio
  • Copiare un backup del volume di avvio
  • Spostare un backup del volume di avvio in un altro compartimento
  • Creare un gruppo volumi
  • Elimina un gruppo di volumi
  • Spostare un gruppo di volumi in un compartimento diverso
deny manage_image_resource Calcola Non è possibile eseguire alcuna delle seguenti azioni su un'immagine nella zona di sicurezza:
  • Crea un'immagine
  • Aggiorna un'immagine
  • Elimina un'immagine
  • Spostare un'immagine in un altro compartimento
deny terminate_instance Calcola Impossibile eliminare un'istanza nella zona di sicurezza.
deny instance_without_​sanctioned_image Compute, Gestione computazione

È necessario creare un'istanza nella zona di sicurezza utilizzando un'immagine della piattaforma.

Non è possibile creare un'istanza di computazione nella zona di sicurezza da un'immagine personalizzata.
deny delete_certificate_authority Gestione dei certificati Impossibile eliminare un'autorità di certificazione nella zona di sicurezza.
deny revoke_certificate_authority_version Gestione dei certificati Impossibile revocare un certificato intermedio in un bundle CA (Certificate Authority) nella zona di sicurezza.
deny free_database_creation Database (tutti i tipi) Impossibile creare un'istanza di database Sempre gratis nella zona di sicurezza.
deny manage_file_storage_resource Storage di file Impossibile creare o modificare una risorsa di storage di file nella zona di sicurezza.
deny manage_oke_service Motore Kubernetes Non è possibile eseguire alcuna delle azioni seguenti alle risorse OKE nella zona di sicurezza:
  • Crea un cluster
  • Aggiorna un cluster
  • Elimina cluster
  • Creare una configurazione kubernetes
  • Aggiornare una configurazione endpoint cluster
  • Creare un pool di nodi
  • Aggiorna un pool di nodi
  • Eliminare un pool di nodo
nega delete_all_load_balancer_back_end_sets Load balancer Non è possibile eliminare i set backend del load balancer nella zona di sicurezza.
deny load_balancer_with_weak_SSL_communication Load balancer Il criterio SSL per un listener del load balancer nella zona di sicurezza deve utilizzare TLS 1.2 o versioni successive.
deny security_list_to_allow_traffic_to_restricted_port VCN Non è possibile creare o modificare una lista di sicurezza per consentire il traffico verso le porte non protette nella zona di sicurezza.
deny delete_network_security_group VCN Impossibile eliminare un gruppo di sicurezza di rete VCN nella zona di sicurezza.
deny network_security_group_with_unsecure_ingress_rule VCN Non è possibile aggiungere un gruppo di sicurezza di rete con una regola che consenta l'ingresso a porte non protette o indirizzi IP nella zona di sicurezza.
deny delete_vcn VCN Impossibile eliminare una VCN nella zona di sicurezza.
deny update_route_table VCN Impossibile aggiornare una tabella di instradamento VCN nella zona di sicurezza.
deny update_network_security_group_ingress_rule VCN Impossibile modificare le regole di entrata di un gruppo di sicurezza di rete nella zona di sicurezza.
deny update_network_security_group_egress_rule VCN Impossibile modificare le regole di uscita di un gruppo di sicurezza di rete nella zona di sicurezza.
deny delete_vcn_security_list VCN Impossibile eliminare una lista di sicurezza VCN nella zona di sicurezza.
deny update_vcn_security_list_ingress_rules VCN Impossibile modificare le regole di sicurezza in entrata della lista di sicurezza VCN nella zona di sicurezza.
deny update_vcn_security_list_egress_rules VCN Impossibile modificare le regole di sicurezza in entrata della lista di sicurezza VCN nella zona di sicurezza.
deny update_DHCP_options VCN Non è possibile aggiornare le opzioni DHCP nella zona di sicurezza.
deny update_local_peering_gateway VCN Impossibile aggiornare un gateway peering locale nella zona di sicurezza.
deny create_or_modify_vcn_security_list VCN Impossibile creare o modificare una lista di sicurezza VCN nella zona di sicurezza.
deny manage_DNS_resource VCN Non è possibile eseguire alcuna delle azioni seguenti a una risorsa DNS nella zona di sicurezza:
  • Aggiorna un resolver
  • Aggiornare un endpoint resolver
  • Creare una chiave TSIG
deny manage_virtual_network_resource VCN Non è possibile eseguire alcuna delle azioni seguenti alle risorse di rete virtuali nella zona di sicurezza:
  • VPN
    • Crea un cross connect
    • Aggiorna un cross connect
    • Elimina un cross connect
    • Spostare un cross connect in un altro compartimento
    • Crea un gruppo cross connect
    • Aggiorna un gruppo cross connect
    • Elimina un gruppo cross connect
    • Spostare un gruppo di cross connect in un altro compartimento
  • Gateway NAT
    • Elimina un DRG
    • Elimina un gateway NAT
  • Rete virtuale (VCN)
    • Creare una VCN
    • Aggiorna una VCN
    • Spostare una VCN in un altro compartimento
    • Creare una subnet
    • Aggiorna subnet
    • Elimina una subnet
    • Spostare una subnet in un altro compartimento
    • Eliminare un gateway Internet
    • Crea un IP pubblico
    • Elimina un IP pubblico
    • Spostare un IP pubblico in un altro compartimento
    • Elimina un Local Peering Gateway
  • Visualizzatore di rete
    • Recupera topologia della subnet
    • Ottieni topologia VCN
deny manage_vcn_route_tables VCN Non è possibile eseguire alcuna delle azioni seguenti a una risorsa della tabella di instradamento VCN nella zona di sicurezza:
  • Creare una tabella di instradamento
  • Aggiorna una tabella d'instradamento
  • Elimina una tabella di instradamento
  • Spostare una tabella di instradamento in un altro compartimento
deny create_vcn_security_list VCN Impossibile creare una lista di sicurezza VCN nella zona di sicurezza.
deny manage_DHCP_options_resource VCN Non è possibile eseguire una delle azioni seguenti a una risorsa DHCP nella zona di sicurezza:
  • Crea le opzioni DHCP
  • Aggiorna opzioni DHCP
  • Elimina opzioni DHCP
deny create_drg VCN Impossibile creare un DRG (Dynamic Routing Gateway) nella zona di sicurezza.

Limitazioni dei criteri delle zone di sicurezza sulle porte UDP e TCP non protette

Il criterio Zone di sicurezza impedisce di creare una lista di sicurezza o regole del gruppo di sicurezza di rete con porte UDP o TCT non protette.

Se la regola si basa sul protocollo UDP, il criterio Zone di sicurezza non consente le porte riportate di seguito.

  • 11
  • da 17 a 19
  • 49
  • 69
  • 80
  • 82
  • da 83 a 85
  • 389
  • 443
  • 656
  • 8.080

Se la regola è basata sul protocollo TCP, il criterio Security Zones non consente le porte riportate di seguito.

  • 11
  • da 17 a 19
  • 21
  • da 23 a 25
  • 43
  • 49
  • 53
  • da 70 a 74
  • da 79 a 81
  • 88
  • 111
  • 123
  • 389
  • 636
  • 445
  • 500
  • 3.306
  • 3.389
  • 5.901
  • 5.985
  • 5.986
  • 7.001
  • 8.000
  • 8.080
  • 8.443
  • 8.888