Documentazione di Oracle Cloud Infrastructure

Liste di sicurezza

In Compute Cloud@Customer, un elenco di sicurezza funge da firewall virtuale per un'istanza, con regole di entrata e uscita che specificano i tipi di traffico consentiti verso e fuori.

Ogni lista di sicurezza viene applicata a livello di VNIC. Tuttavia, configuri gli elenchi di sicurezza a livello di subnet, il che significa che tutte le VNIC di una determinata subnet sono soggette allo stesso set di elenchi di sicurezza.

Gli elenchi di sicurezza si applicano a una determinata VNIC, indipendentemente dal fatto che comunichi con un'altra istanza nella VCN o con un host esterno alla VCN. A ogni subnet possono essere associate più liste di sicurezza e ogni lista può avere più regole.

Ogni VCN viene fornita con un elenco di sicurezza predefinito. Se non specifichi una lista di sicurezza personalizzata per una subnet, la lista di sicurezza predefinita viene utilizzata automaticamente con tale subnet. È possibile aggiungere e rimuovere regole nella lista di sicurezza predefinita. Ha un set iniziale di regole con conservazione dello stato, che deve essere modificato per consentire solo il traffico in entrata dalle subnet autorizzate. Di seguito sono riportate le regole predefinite.

  • In entrata con conservazione dello stato: consente il traffico TCP sulla porta di destinazione 22 (SSH) dagli indirizzi IP di origine autorizzati e da qualsiasi porta di origine.

    Questa regola consente di creare una nuova rete cloud e una nuova subnet pubblica, creare un'istanza Linux e quindi utilizzare immediatamente la shell SSH per connettersi a tale istanza senza dover scrivere manualmente le regole della lista di sicurezza.

    L'elenco di sicurezza predefinito non include una regola per consentire l'accesso a RDP (Remote Desktop Protocol). Se si utilizzano le immagini di Compute Cloud@Customer, aggiungere una regola di entrata con conservazione dello stato per il traffico TCP sulla porta di destinazione 3389 dagli indirizzi IP di origine autorizzati e da qualsiasi porta di origine.

  • In entrata con conservazione dello stato: consentire il codice 4 del traffico ICMP di tipo 3 dagli indirizzi IP di origine autorizzati.

    Questa regola consente alle istanze di ricevere i messaggi di frammentazione della ricerca automatica MTU del percorso.

  • In entrata con conservazione dello stato: consenti al traffico ICMP di tipo 3 (tutti i codici) dal blocco CIDR VCN.

    Questa regola consente alle istanze di ricevere i messaggi di errore di connettività da altre istanze all'interno della VCN.

  • Uscita con conservazione dello stato: consenti tutto il traffico.

    Ciò consente alle istanze di avviare il traffico di qualsiasi tipo verso qualsiasi destinazione. Ciò implica che le istanze con indirizzi IP pubblici possono comunicare con qualsiasi indirizzo IP Internet se la VCN dispone di un gateway Internet configurato. Inoltre, poiché le regole di sicurezza con conservazione dello stato utilizzano il monitoraggio della connessione, il traffico delle risposte viene automaticamente consentito indipendentemente dalle regole di entrata.

Di seguito viene descritto il processo generale per l'utilizzo delle liste di sicurezza.

  1. Creare una lista di sicurezza.

  2. Aggiungere regole di sicurezza alla lista di sicurezza.

  3. Associare la lista di sicurezza a una o più subnet.

  4. Crea risorse, ad esempio istanze di computazione, nella subnet.

    Le regole di sicurezza si applicano a tutte le VNIC in tale subnet.

Quando crei una subnet, devi associarvi almeno una lista di sicurezza. Può essere la lista di sicurezza predefinita della VCN o una o più altre liste di sicurezza già create dall'utente. È possibile modificare gli elenchi di sicurezza utilizzati dalla subnet in qualsiasi momento. È possibile aggiungere e rimuovere regole nella lista di sicurezza. È possibile che una lista di sicurezza non contenga regole.

Per ulteriori informazioni, vedere Controllo del traffico con gli elenchi di sicurezza.