Documentazione dell'infrastruttura Oracle Cloud

Gruppi di sicurezza di rete

In Compute Cloud@Customer, un gruppo di sicurezza di rete (NSG) fornisce un firewall virtuale per un set di risorse cloud, all'interno di una singola VCN, che hanno tutte lo stesso livello di sicurezza. Ad esempio: un gruppo di istanze di computazione che eseguono tutti gli stessi task e quindi tutti devono utilizzare lo stesso set di porte.

Le regole in un gruppo NSG vengono applicate sulle VNIC, ma la relativa appartenenza a un gruppo NSG viene determinata tramite le risorse padre. Non tutti i servizi cloud supportano i gruppi NSG. Al momento, i seguenti tipi di risorse padre supportano l'uso dei gruppi di sicurezza di rete:

  • Istanze di computazione: quando crei un'istanza, puoi specificare uno o più gruppi NSG per la VNIC primaria dell'istanza. Se aggiungi una VNIC secondaria a un'istanza, puoi specificare uno o più NSG per tale VNIC. È inoltre possibile modificare l'appartenenza NSG delle VNIC esistenti.

  • Load balancer: quando crei un load balancer, puoi specificare uno o più NSG per il load balancer (non il set backend). È inoltre possibile aggiornare un load balancer esistente per utilizzare uno o più gruppi di sicurezza di rete.

  • Destinazioni di MOUNT: quando si crea una destinazione di MOUNT per un file system, è possibile specificare uno o più gruppi NSG. È inoltre possibile aggiornare una destinazione di accesso esistente per utilizzare uno o più gruppi NSG.

Per i tipi di risorse che non supportano ancora i gruppi di sicurezza di rete, continuare a utilizzare le liste di sicurezza per controllare il traffico verso e da tali risorse padre.

Nota

Non è possibile associare un gateway Internet a un gruppo NSG.

Un gruppo NSG contiene due tipi di elementi:

  • VNIC: una o più VNIC, ad esempio le VNIC collegate al set di istanze di computazione che hanno tutte lo stesso livello di sicurezza. Tutte le VNIC devono trovarsi nella VCN a cui appartiene il gruppo NSG. Una VNIC può trovarsi in un massimo di cinque gruppi NSG.

  • Regole di sicurezza: regole che definiscono i tipi di traffico consentiti all'interno e all'esterno delle VNIC del gruppo. Ad esempio: entrata del traffico SSH della porta TCP 22 da una determinata origine.

Il processo generale per lavorare con i gruppi NSG è il seguente:

  1. Creare un gruppo NSG.

    Quando si crea un gruppo NSG, inizialmente è vuoto, senza regole di sicurezza o VNIC. Dopo aver creato il gruppo NSG, è possibile aggiungere o rimuovere le regole di sicurezza per consentire i tipi di traffico in entrata e in uscita richiesti dalle VNIC del gruppo.

  2. Aggiungere le norme di sicurezza al gruppo NSG.

  3. Aggiungere le risorse padre, o più in particolare le VNIC, al gruppo NSG.

    Quando gestisci un'appartenenza a una VNIC NSG, lo fai come parte dell'utilizzo della risorsa padre, non del gruppo NSG stesso. È possibile eseguire questa operazione quando si crea la risorsa padre oppure è possibile aggiornare la risorsa padre e aggiungerla a uno o più gruppi di sicurezza di rete.

    Quando crei un'istanza di computazione e la aggiungi a un gruppo NSG, la VNIC primaria dell'istanza viene aggiunta al gruppo NSG. È possibile creare VNIC secondarie separatamente e facoltativamente aggiungerle ai gruppi NSG.

Esistono alcune differenze nel modello di API REST per i gruppi NSG rispetto alle liste di sicurezza:

  • Con le liste di sicurezza sono disponibili un oggetto IngressSecurityRule e un oggetto EgressSecurityRule separato. Con i gruppi di sicurezza di rete, esiste solo un oggetto SecurityRule e l'attributo direction dell'oggetto determina se la regola è relativa al traffico in entrata o in uscita.

  • Con le liste di sicurezza, le regole fanno parte dell'oggetto SecurityList e si utilizzano le regole richiamando le operazioni della lista di sicurezza, ad esempio: UpdateSecurityList. Con NSG, le regole non fanno parte dell'oggetto NetworkSecurityGroup. Utilizzare invece operazioni separate per utilizzare le regole per un determinato gruppo NSG, ad esempio UpdateNetworkSecurityGroupSecurityRules.

  • Il modello per l'aggiornamento delle regole di sicurezza esistenti è diverso tra le liste di sicurezza e i gruppi NSG. Con i gruppi NSG, ogni regola in un determinato gruppo ha un identificativo univoco. Quando si chiama UpdateNetworkSecurityGroupSecurityRules, si forniscono gli ID delle regole specifiche che si desidera aggiornare. Con le liste di sicurezza, le regole non hanno un identificativo univoco. Quando si chiama UpdateSecurityList, è necessario passare l'intero elenco di regole, incluse quelle che non vengono aggiornate nella chiamata.

  • Quando si chiamano le operazioni per aggiungere, rimuovere o aggiornare le regole di sicurezza, è previsto un limite di 25 regole.

Per ulteriori informazioni, vedere Controllo del traffico con i gruppi di sicurezza di rete.