Documentazione dell'infrastruttura Oracle Cloud

Firewall virtuale

In Compute Cloud@Customer, il servizio Networking offre due funzioni firewall virtuali che utilizzano entrambe le regole di sicurezza per controllare il traffico a livello di pacchetto: liste di sicurezza e gruppi di sicurezza di rete (NSG). Offrono diversi modi per applicare le regole di sicurezza a un set di schede VNIC (Virtual Network Interface Card).

  • Liste di sicurezza:

    Una lista di sicurezza definisce le regole di sicurezza a livello di subnet, il che significa che tutte le VNIC in una determinata subnet sono soggette alle stesse regole. Ogni VCN è dotata di una sicurezza predefinita contenente regole predefinite per il traffico essenziale. La lista di sicurezza predefinita viene utilizzata automaticamente con tutte le subnet, a meno che non venga specificata una lista di sicurezza personalizzata. Una subnet può avere fino a cinque liste di sicurezza associate.

  • Gruppi di sicurezza di rete (NSG):

    Un gruppo di sicurezza di rete definisce le regole di sicurezza in base all'appartenenza. Le relative regole di sicurezza si applicano alle risorse aggiunte in modo esplicito al gruppo NSG. È possibile aggiungere una VNIC a un massimo di cinque gruppi NSG. Un gruppo NSG è destinato a fornire un firewall virtuale per un set di risorse cloud con lo stesso livello di sicurezza. Ad esempio: un gruppo di istanze che eseguono le stesse attività e quindi devono utilizzare lo stesso set di porte.

Oracle consiglia di utilizzare i gruppi NSG anziché le liste di sicurezza perché i gruppi NSG consentono di separare l'architettura della subnet VCN dai requisiti di sicurezza dell'applicazione. Tuttavia, i gruppi NSG sono supportati solo per servizi specifici. È possibile utilizzare sia le liste di sicurezza che i gruppi NSG, a seconda delle esigenze di sicurezza specifiche.

Se si dispone di regole di sicurezza che si desidera applicare per tutte le VNIC in una VCN, la soluzione più semplice consiste nell'inserire le regole in un'unica lista di sicurezza, quindi associare tale lista di sicurezza a tutte le subnet nella VCN. In questo modo puoi assicurarti che le regole vengano applicate, indipendentemente da chi nell'organizzazione crea una VNIC nella VCN. In alternativa, puoi aggiungere le regole di sicurezza necessarie alla lista di sicurezza predefinita della VCN.

Se si sceglie di combinare le liste di sicurezza e i gruppi di sicurezza di rete, il set di regole applicato a una determinata VNIC è l'unione degli elementi riportati di seguito.

  • Le regole di sicurezza negli elenchi di sicurezza associati alla subnet VNIC

  • Regole di sicurezza in tutti i gruppi NSG in cui si trova la VNIC

Un pacchetto in questione è consentito se qualsiasi regola in una qualsiasi delle liste e dei gruppi pertinenti consente il traffico o se il traffico fa parte di una connessione esistente monitorata a causa di una regola con conservazione dello stato.