Documentazione di Oracle Cloud Infrastructure

Firewall virtuale

In Compute Cloud@Customer, il servizio di networking offre due funzioni firewall virtuali che utilizzano entrambe le regole di sicurezza per controllare il traffico a livello di pacchetto: liste di sicurezza e gruppi di sicurezza di rete (NSG). Offrono diversi modi per applicare le regole di sicurezza a un set di schede di interfaccia di rete virtuale (VNIC).

  • Liste di sicurezza:

    Un elenco di sicurezza definisce le regole di sicurezza a livello di subnet, il che significa che tutte le VNIC di una determinata subnet sono soggette alle stesse regole. Ogni VCN è dotata di una sicurezza predefinita contenente regole predefinite per il traffico essenziale. La lista di sicurezza predefinita viene utilizzata automaticamente con tutte le subnet, a meno che non venga specificata una lista di sicurezza personalizzata. Una subnet può avere fino a cinque liste di sicurezza associate.

  • Gruppi di sicurezza di rete (NSG):

    Un gruppo di sicurezza di rete definisce le regole di sicurezza in base all'appartenenza. Le relative regole di sicurezza si applicano alle risorse aggiunte in modo esplicito al gruppo NSG. È possibile aggiungere una VNIC a un massimo di cinque gruppi NSG. Un gruppo NSG ha lo scopo di fornire un firewall virtuale per un set di risorse cloud con lo stesso livello di sicurezza. Ad esempio: un gruppo di istanze che eseguono gli stessi task e quindi devono utilizzare lo stesso set di porte.

Oracle consiglia di utilizzare i gruppi NSG anziché gli elenchi di sicurezza perché i gruppi NSG consentono di separare l'architettura della subnet VCN dai requisiti di sicurezza dell'applicazione. Tuttavia, i gruppi NSG sono supportati solo per servizi specifici. È possibile utilizzare sia le liste di sicurezza che i gruppi NSG insieme, a seconda delle specifiche esigenze di sicurezza.

Se si dispone di regole di sicurezza che si desidera applicare per tutte le VNIC in una VCN, la soluzione più semplice consiste nell'inserire le regole in un unico elenco di sicurezza, quindi associare tale elenco di sicurezza a tutte le subnet nella VCN. In questo modo puoi assicurarti che le regole vengano applicate, indipendentemente da chi, nella tua organizzazione, crea una VNIC nella VCN. In alternativa, puoi aggiungere le regole di sicurezza necessarie alla lista di sicurezza predefinita della VCN.

Se si sceglie di combinare liste di sicurezza e gruppi di sicurezza di rete, il set di regole che si applica a una particolare VNIC è l'unione di questi elementi:

  • Le regole di sicurezza negli elenchi di sicurezza associati alla subnet VNIC

  • Le regole di sicurezza in tutti i gruppi NSG in cui si trova la VNIC

Un pacchetto in questione è consentito se qualsiasi regola in uno qualsiasi degli elenchi e dei gruppi pertinenti consente il traffico o se il traffico fa parte di una connessione esistente che viene tracciata a causa di una regola con conservazione dello stato.