Documentazione di Oracle Cloud Infrastructure

Gruppi di sicurezza di rete

In Compute Cloud@Customer, un gruppo di sicurezza di rete (NSG) fornisce un firewall virtuale per un set di risorse cloud, all'interno di una singola VCN, che hanno tutte lo stesso livello di sicurezza. Ad esempio: un gruppo di istanze di computazione che eseguono tutti gli stessi task e quindi devono utilizzare lo stesso set di porte.

Le regole in un gruppo NSG vengono applicate alle VNIC, ma la relativa appartenenza al gruppo NSG viene determinata tramite le risorse padre. Non tutti i servizi cloud supportano i gruppi NSG. Attualmente, i seguenti tipi di risorse padre supportano l'uso dei gruppi NSG:

  • Istanze di computazione: quando crei un'istanza, puoi specificare uno o più gruppi NSG per la VNIC primaria dell'istanza. Se aggiungi una VNIC secondaria a un'istanza, puoi specificare uno o più gruppi NSG per tale VNIC. Puoi anche modificare l'appartenenza NSG delle VNIC esistenti.

  • Load balancer: quando crei un load balancer, puoi specificare uno o più NSG per il load balancer (non il set backend). È inoltre possibile aggiornare un load balancer esistente per utilizzare uno o più gruppi di sicurezza di rete.

  • Destinazioni di MOUNT: quando si crea una destinazione di MOUNT per un file system, è possibile specificare uno o più gruppi NSG. È inoltre possibile aggiornare una destinazione di accesso esistente in modo che utilizzi uno o più gruppi NSG.

Per i tipi di risorse che non supportano ancora i gruppi di sicurezza di rete, continuare a utilizzare le liste di sicurezza per controllare il traffico verso e da tali risorse padre.

Nota

Non è possibile associare un gateway Internet a un gruppo NSG.

Un gruppo NSG contiene due tipi di elementi:

  • VNIC: una o più VNIC, ad esempio le VNIC collegate al set di istanze di computazione che hanno tutte lo stesso livello di sicurezza. Tutte le VNIC devono trovarsi nella VCN a cui appartiene il gruppo NSG. Una VNIC può trovarsi in un massimo di cinque NSG.

  • Regole di sicurezza: regole che definiscono i tipi di traffico consentiti all'interno e all'esterno delle VNIC nel gruppo. Ad esempio: traffico SSH della porta TCP 22 in entrata da una determinata origine.

Il processo generale per lavorare con i gruppi NSG è il seguente:

  1. Creare un gruppo NSG.

    Quando crei un gruppo NSG, inizialmente è vuoto, senza regole di sicurezza o VNIC. Dopo aver creato il gruppo NSG, puoi aggiungere o rimuovere le regole di sicurezza per consentire i tipi di traffico in entrata e in uscita richiesti dalle VNIC nel gruppo.

  2. Aggiungere le regole di sicurezza al gruppo NSG.

  3. Aggiungere le risorse padre, o più specificamente le VNIC, al gruppo NSG.

    Quando gestisci un'appartenenza alla VNIC NSG, lo fai come parte dell'utilizzo della risorsa padre, non del gruppo NSG stesso. È possibile eseguire questa operazione quando si crea la risorsa padre oppure è possibile aggiornare la risorsa padre e aggiungerla a uno o più gruppi NSG.

    Quando crei un'istanza di computazione e la aggiungi a un gruppo NSG, la VNIC primaria dell'istanza viene aggiunta al gruppo NSG. Puoi creare VNIC secondarie separatamente e, facoltativamente, aggiungerle ai gruppi NSG.

Il modello di API REST per i gruppi NSG presenta alcune differenze rispetto alle liste di sicurezza:

  • Le liste di sicurezza contengono un oggetto IngressSecurityRule e un oggetto EgressSecurityRule separato. Nel caso dei gruppi di sicurezza di rete, esiste solo un oggetto SecurityRule e l'attributo direction dell'oggetto determina se la regola riguarda il traffico in entrata o in uscita.

  • Con gli elenchi di sicurezza, le regole fanno parte dell'oggetto SecurityList e si utilizzano le regole richiamando le operazioni degli elenchi di sicurezza, ad esempio UpdateSecurityList. Con i gruppi NSG, le regole non fanno parte dell'oggetto NetworkSecurityGroup. Utilizzare invece operazioni separate per utilizzare le regole per un determinato gruppo NSG, ad esempio UpdateNetworkSecurityGroupSecurityRules.

  • Il modello per l'aggiornamento delle regole di sicurezza esistenti è diverso tra le liste di sicurezza e i gruppi NSG. Con i gruppi NSG, ogni regola in un determinato gruppo ha un identificativo univoco. Quando si chiama UpdateNetworkSecurityGroupSecurityRules, fornire gli ID delle regole specifiche che si desidera aggiornare. Con gli elenchi di sicurezza, le regole non hanno un identificativo univoco. Quando si chiama UpdateSecurityList, è necessario passare l'intero elenco di regole, incluse le regole che non vengono aggiornate nella chiamata.

  • Quando si richiamano le operazioni per aggiungere, rimuovere o aggiornare le regole di sicurezza, è previsto un limite di 25 regole.

Per ulteriori informazioni, vedere Controllo del traffico con i gruppi di sicurezza di rete.