Liste di sicurezza

In Compute Cloud@Customer, una lista di sicurezza funge da firewall virtuale per un'istanza, con regole d'ingresso e uscita che specificano i tipi di traffico consentiti verso e dall'istanza.

Ogni lista di sicurezza viene applicata a livello di VNIC. Tuttavia, puoi configurare gli elenchi di sicurezza a livello di subnet, nel qual caso tutte le VNIC di una determinata subnet sono soggette allo stesso set di elenchi di sicurezza.

Le liste di sicurezza si applicano a una determinata VNIC, indipendentemente dal fatto che stia comunicando con un'altra istanza nella VCN o con un host esterno alla VCN. Ogni subnet può avere più liste di sicurezza associate e ogni lista può avere più regole.

Ogni VCN è dotata di una lista di sicurezza predefinita. Se non si specifica una lista di sicurezza personalizzata per una subnet, la lista di sicurezza predefinita viene utilizzata automaticamente con tale subnet. È possibile aggiungere e rimuovere regole nella lista di sicurezza predefinita. Ha un set iniziale di regole con conservazione dello stato, che deve essere modificato in modo da consentire solo il traffico in entrata dalle subnet autorizzate. Di seguito sono riportate le regole predefinite.

• In entrata con conservazione dello stato: consentire il traffico TCP sulla porta di destinazione 22 (SSH) dagli indirizzi IP di origine autorizzati e da qualsiasi porta di origine.

  Questa regola consente di creare una nuova rete cloud e una nuova subnet pubblica, creare un'istanza Linux e quindi utilizzare immediatamente SSH per connettersi a tale istanza senza dover scrivere manualmente le regole della lista di sicurezza.

  L'elenco di sicurezza predefinito non include una regola per consentire l'accesso RDP (Remote Desktop Protocol). Se si utilizzano le immagini Compute Cloud@Customer, aggiungere una regola di entrata con conservazione dello stato per il traffico TCP sulla porta di destinazione 3389 dagli indirizzi IP di origine autorizzati e da qualsiasi porta di origine.

• In entrata con stato: consente il codice 4 del tipo di traffico ICMP proveniente da indirizzi IP di origine autorizzati.

  Questa regola consente alle istanze di ricevere messaggi di frammentazione di ricerca automatica MTU percorso.

• In entrata con conservazione dello stato: consenti il tipo di traffico ICMP 3 (tutti i codici) dal blocco CIDR della VCN.

  Questa regola consente alle istanze di ricevere messaggi di errore di connettività da altre istanze all'interno della VCN.

• Esclusione con stato: consente tutto il traffico.

  Ciò consente alle istanze di avviare il traffico di qualsiasi tipo verso qualsiasi destinazione. Ciò implica che le istanze con indirizzi IP pubblici possono comunicare con qualsiasi indirizzo IP Internet se la VCN dispone di un gateway Internet configurato. Inoltre, poiché le regole di sicurezza con conservazione dello stato utilizzano il monitoraggio delle connessioni, il traffico delle risposte viene consentito automaticamente indipendentemente dalle regole di entrata.

Il processo generale per l'utilizzo degli elenchi di sicurezza è il seguente:

1. Creare un elenco di sicurezza.

2. Aggiungere regole di sicurezza alla lista di sicurezza.

3. Associare la lista di sicurezza a una o più subnet.

4. Creare risorse, ad esempio istanze di computazione, nella subnet.

   Le regole di sicurezza si applicano a tutte le VNIC in tale subnet.

Quando si crea una subnet, è necessario associarvi almeno una lista di sicurezza. Può essere la lista di sicurezza predefinita della VCN o una o più altre liste di sicurezza già create. È possibile modificare gli elenchi di sicurezza utilizzati dalla subnet in qualsiasi momento. È possibile aggiungere e rimuovere regole nella lista di sicurezza. Una lista di sicurezza può non contenere regole.

Per ulteriori informazioni, vedere Controllo del traffico con gli elenchi di sicurezza.