Aggiungi regole di sicurezza

Se si prevede di connettersi manualmente al database tramite un endpoint privato Oracle Data Safe, prima di registrare il database, è necessario aggiungere regole di sicurezza alla rete cloud virtuale (VCN) per consentire la comunicazione tra il database e Oracle Data Safe. L'endpoint privato rappresenta essenzialmente il servizio Oracle Data Safe nella VCN con un indirizzo IP privato in una subnet di tua scelta.

Panoramica

Se il database risiede in Oracle Cloud Infrastructure (OCI), è necessario aggiungere una regola di sicurezza in entrata e una regola di sicurezza in uscita alle liste di sicurezza della rete cloud virtuale (VCN) del database o al gruppo di sicurezza di rete (NSG) in OCI. Sono consentite regole di sicurezza con conservazione dello stato e senza conservazione dello stato. Non è necessario memorizzare le regole di entrata e uscita all'interno della stessa lista di sicurezza, dello stesso gruppo di sicurezza di rete o dello stesso compartimento.

  • La regola di sicurezza dell'indirizzo consente al database di ricevere traffico in entrata dall'endpoint privato di Oracle Data Safe.

  • La regola di sicurezza di uscita consente all'endpoint privato di Oracle Data Safe di inviare richieste al database.

Se il database risiede al di fuori di OCI, devi solo aggiungere una regola di sicurezza di uscita in OCI. Non è necessario aggiungere una regola di sicurezza di entrata; tuttavia, nell'ambiente di rete in uso, è necessario consentire al database di ricevere traffico dall'endpoint privato Oracle Data Safe.

Esistono due approcci che è possibile adottare quando si aggiungono le regole di sicurezza in OCI. Il primo approccio consiste nel consentire la comunicazione tra l'endpoint privato di Oracle Data Safe e tutti gli indirizzi IP del database all'interno della stessa subnet (0.0.0.0/0) in OCI. Con questa configurazione, l'endpoint privato di Oracle Data Safe può connettersi a tutti i database nella subnet.

L'altro approccio deve essere più specifico configurando regole di sicurezza di entrata e uscita separate come indicato di seguito.

  • Regola di sicurezza in entrata: nel gruppo NSG o nella lista di sicurezza per il database, aggiungere una regola di entrata che consenta all'indirizzo IP dell'endpoint privato del database sulla porta del database di ricevere traffico in entrata dall'indirizzo IP dell'endpoint privato di Oracle Data Safe da tutte le porte.

  • Regola di sicurezza di uscita: nella lista NSG o di sicurezza per l'endpoint privato Oracle Data Safe, aggiungere una regola di uscita che consenta all'indirizzo IP dell'endpoint privato di Oracle Data Safe su tutte le porte di inviare richieste all'indirizzo IP dell'endpoint privato del database sulla porta del database. Se il database dispone di più indirizzi IP, è necessario configurare una regola di uscita per ogni indirizzo IP.

Per ulteriori informazioni sulle liste di sicurezza e sui gruppi di sicurezza di rete, vedere Accesso e sicurezza nella documentazione di Oracle Cloud Infrastructure.

Regole di sicurezza per i database AI autonomi

Per un Autonomous AI Database che utilizza un endpoint privato Oracle Data Safe, è necessario aggiungere una regola di sicurezza di entrata e una regola di sicurezza di uscita in Oracle Cloud Infrastructure.

  1. Ottenere l'indirizzo IP privato e il gruppo NSG o la lista di sicurezza per il database.

    • Le informazioni sulla rete sono disponibili in Rete nella pagina del database nella console di Oracle Cloud Infrastructure.

    • (Autonomous AI Database on Dedicated Exadata Infrastructure) Ottieni la subnet o gli indirizzi IP variabili (se noti) e il nome del gruppo NSG o della lista di sicurezza per il database. Possono essere presenti fino a 8 indirizzi IP a virgola mobile per i nodi del database.

  2. Ottenere l'indirizzo IP privato e il gruppo NSG o la lista di sicurezza per l'endpoint privato Oracle Data Safe.

    • È possibile trovare le informazioni di rete per l'endpoint privato Oracle Data Safe nella pagina Informazioni sull'endpoint privato nel servizio Oracle Data Safe in Oracle Cloud Infrastructure.
  3. Aprire la VCN per il database.

  4. Creare una regola di sicurezza in entrata nel gruppo di sicurezza di rete o nella lista di sicurezza del database.

    • Esempio di Autonomous AI Database Serverless con accesso endpoint privato: l'indirizzo IP dell'endpoint privato del database (10.0.0.112/32) sulla porta 1522 riceve il traffico in entrata dall'indirizzo IP dell'endpoint privato (10.0.0.79/32) di Oracle Data Safe da tutte le porte.

    • Esempio di Autonomous AI Database on Dedicated Exadata Infrastructure: l'endpoint privato del database sulla porta 2484 riceve traffico in entrata dall'indirizzo IP dell'endpoint privato di Oracle Data Safe (da tutte le porte).

  5. Creare una regola di sicurezza in uscita nel gruppo NSG o nella lista di sicurezza dell'endpoint privato Oracle Data Safe.

    • Esempio di Autonomous AI Database Serverless con accesso solo agli endpoint privati: l'indirizzo IP dell'endpoint privato di Oracle Data Safe (10.0.0.79/32) su tutte le porte invia richieste all'indirizzo IP dell'endpoint privato del database (ad esempio, 10.0.0.112/32) sulla porta del database (1522).

    • Esempio 1 per Autonomous AI Database on Dedicated Exadata Infrastructure: l'endpoint privato di Oracle Data Safe (da tutte le porte) invia richieste a tutti gli indirizzi IP nella subnet del database sulla porta 2484.

    • Esempio 2 per Autonomous AI Database su un'infrastruttura Exadata dedicata: la regola di uscita per ogni indirizzo IP mobile consente all'endpoint privato Oracle Data Safe (da tutte le porte) di inviare richieste all'indirizzo IP mobile sulla porta 2484.

Regole di sicurezza per i database Oracle Cloud

Per un database Oracle Cloud, è necessario aggiungere una regola di sicurezza di entrata e una regola di sicurezza di uscita in Oracle Cloud Infrastructure.

  1. Ottenere gli indirizzi IP e il nome NSG per l'endpoint privato del database.

    • Puoi trovare le informazioni sul database nella console del tuo database in Oracle Cloud Infrastructure.

    • Un sistema DB Bare Metal o Virtual Machine dispone di un indirizzo IP privato.

    • Oracle Exadata Database Service on Dedicated Infrastructure può avere più indirizzi IP a virgola mobile per i nodi del database. Può anche avere indirizzi IP di scansione per il sistema di database. Oracle consiglia di utilizzare uno degli indirizzi IP di scansione. Puoi trovare un indirizzo IP di scansione in Rete nella scheda Informazioni sul sistema DB in Oracle Cloud Infrastructure. In alternativa, è possibile immettere l'indirizzo IP mobile privato di uno qualsiasi dei nodi del database.

  2. Ottenere l'indirizzo IP privato e il nome NSG per l'endpoint privato Oracle Data Safe.

    • È possibile trovare le informazioni sull'endpoint privato di Oracle Data Safe nella pagina Informazioni sull'endpoint privato nel servizio Oracle Data Safe in Oracle Cloud Infrastructure.
  3. Aprire la VCN per il database.

  4. Creare una regola di entrata nel gruppo NSG del database.

    • Esempio: l'indirizzo IP dell'endpoint privato del database (10.0.0.112/32) sulla porta 1521 riceve il traffico in entrata dall'indirizzo IP dell'endpoint privato di Oracle Data Safe (10.0.0.79/32) da tutte le porte.
  5. Creare una regola di uscita nel gruppo NSG dell'endpoint privato Oracle Data Safe.

    • Esempio: l'indirizzo IP dell'endpoint privato di Oracle Data Safe (10.0.0.79/32) su tutte le porte invia richieste all'indirizzo IP dell'endpoint privato del database (10.0.0.112/32) sulla porta 1521.

    • (Oracle Exadata Database Service on Dedicated Infrastructure) Utilizza uno degli indirizzi IP di scansione per il database o utilizza l'indirizzo IP mobile privato di uno qualsiasi dei nodi del database. Il numero di porta del database è 1521.

Regole di sicurezza per i database Oracle Cloud@Customer

Per un database Oracle Cloud@Customer che utilizza un endpoint privato di Oracle Data Safe, è necessario creare una regola di sicurezza di uscita in Oracle Cloud Infrastructure.

Nota

Nota: non è necessario creare una regola di sicurezza in entrata in Oracle Cloud Infrastructure. Configurare invece la propria rete per consentire al database di ricevere traffico dall'endpoint privato di Oracle Data Safe.

  1. Ottenere gli indirizzi IP e il nome NSG per l'endpoint privato del database.

  2. Ottenere l'indirizzo IP privato e il nome NSG per l'endpoint privato Oracle Data Safe.

    • È possibile trovare le informazioni sull'endpoint privato di Oracle Data Safe nella pagina Informazioni sull'endpoint privato nel servizio Oracle Data Safe in Oracle Cloud Infrastructure.
  3. Aprire la VCN per il database.

  4. Creare una regola di uscita nel gruppo NSG o nella lista di sicurezza per l'endpoint privato Oracle Data Safe.

    • (Database Oracle Exadata Database Service on Cloud@Customer) Configurare la regola per consentire la comunicazione tra l'endpoint privato di Oracle Data Safe (da qualsiasi porta) e tutti i VIP e gli indirizzi SCAN del database server (tutti e tre). Includere sempre i VIP del database server nella regola di sicurezza di uscita. Per impostazione predefinita, ogni distribuzione di Oracle Exadata Database Service on Cloud@Customer è associata a un SCAN (Single Client Access Name) e l'SCAN è associato a 3 indirizzi IP. Ogni configurazione del sistema di database contiene nodi di calcolo (database server). Nel cluster VM è presente un solo indirizzo VIP del database server per nodo di calcolo.

    • Esempio per Oracle Exadata Database Service on Cloud@Customer: la regola di uscita consente all'endpoint privato di Oracle Data Safe (da qualsiasi porta) di inviare richieste a due VIP di database server (1.1.1.3 e 1.1.1.5) e tre indirizzi SCAN (1.1.1.6, 1.1.1.7 e 1.1.1.8) sulla porta 1521.

      Il diagramma riportato di seguito illustra l'endpoint privato di Oracle Data Safe, il database e la regola di sicurezza in uscita.

      Esempio di regola di uscita per Oracle Exadata Database Service on Cloud@Customer

      Descrizione dell'illustrazione exacc-egress-rule.png

      Lo screenshot seguente mostra la configurazione di rete di Oracle Exadata Database Service on Cloud@Customer per il cluster VM in Oracle Cloud Infrastructure, dove è possibile trovare gli indirizzi SCAN e i VIP del database server.

      Screenshot della configurazione di rete di Oracle Exadata Database Service on Cloud@Customer per il cluster VM in OCI

      Descrizione dell'illustrazione exacc-network-configuration.png

Regola di sicurezza per i database Oracle in locale

Se si utilizza un endpoint privato Oracle Data Safe per connettersi al database Oracle in locale, è necessario creare una regola di sicurezza di uscita nella rete cloud virtuale (VCN) dell'endpoint privato.

Nota

Nota: non è necessario creare una regola di sicurezza in entrata in Oracle Cloud Infrastructure. Configurare invece la propria rete per consentire al database di ricevere traffico dall'endpoint privato di Oracle Data Safe.

  1. Ottieni l'indirizzo IP privato del tuo database Oracle on premise.

    • L'indirizzo IP è il punto in cui è in esecuzione il listener del database Oracle (ad esempio, 10.0.0.2).

    • Per un database RAC (Real Application Cluster), è necessario specificare gli indirizzi IP per i nodi del database RAC e non gli indirizzi IP SCAN. La specifica di tutti i nodi nel database RAC dipende dal modo in cui sono stati configurati i pluggable database (PDB).

  2. Ottenere l'indirizzo IP privato e il nome del gruppo NSG o della lista di sicurezza per l'endpoint privato Oracle Data Safe.

    • È possibile trovare le informazioni sull'endpoint privato di Oracle Data Safe nella pagina Informazioni sull'endpoint privato nel servizio Oracle Data Safe in Oracle Cloud Infrastructure.
  3. Creare una regola di sicurezza di uscita nel gruppo NSG o nella lista di sicurezza per l'endpoint privato Oracle Data Safe.

    • Esempio: la regola di uscita consente all'indirizzo IP dell'endpoint privato di Oracle Data Safe (10.0.0.79/32) su tutte le porte di inviare richieste all'indirizzo IP privato del database (10.0.0.2/32) sulla porta 1521 del database.

      Regola di uscita per un database Oracle in locale

      Descrizione dell'illustrazione s_egress-rule-onprem.png

Regole di sicurezza per i database Oracle nelle istanze di computazione

Se il database risiede in Oracle Cloud Infrastructure (OCI), è necessario aggiungere una regola di sicurezza di entrata e una regola di sicurezza di uscita. Se il database risiede al di fuori di OCI, crea una regola di sicurezza di uscita in Oracle Cloud Infrastructure e configura la tua rete per consentire al database di ricevere traffico dall'endpoint privato di Oracle Data Safe.

  1. Ottenere l'indirizzo IP e il nome del gruppo NSG o della lista di sicurezza per l'endpoint privato del database.

    • Puoi trovare le informazioni sul database nella console del tuo database in Oracle Cloud Infrastructure
  2. Ottenere l'indirizzo IP e il nome del gruppo NSG o della lista di sicurezza per l'endpoint privato Oracle Data Safe.

    • È possibile trovare le informazioni sull'endpoint privato di Oracle Data Safe nella pagina Informazioni sull'endpoint privato nel servizio Oracle Data Safe in Oracle Cloud Infrastructure.
  3. Crea una regola di sicurezza in entrata nella VCN per il tuo database, in Oracle Cloud Infrastructure o in un ambiente cloud non Oracle.

    • Esempio: la regola di entrata consente all'indirizzo IP dell'endpoint privato del database (10.0.0.112/32) sulla porta 1521 del database di ricevere il traffico in entrata dall'indirizzo IP dell'endpoint privato (10.0.0.79/32) di Oracle Data Safe da tutte le porte.

    • Se il database risiede al di fuori di OCI, configura la tua rete per consentire al database di ricevere traffico dall'endpoint privato Oracle Data Safe.

  4. Crea una regola di sicurezza in uscita nella VCN per l'endpoint privato di Oracle Data Safe in Oracle Cloud Infrastructure.

    • Esempio: la regola di uscita consente all'indirizzo IP dell'endpoint privato di Oracle Data Safe (10.0.0.79/32) su tutte le porte di inviare richieste all'indirizzo IP dell'endpoint privato del database (10.0.0.112/32) sulla porta 1521 del database.

Regola di sicurezza per Amazon RDS per Oracle

Se si utilizza un endpoint privato Oracle Data Safe per connettersi al database Amazon RDS per Oracle, è necessario creare una regola di sicurezza di uscita nella rete cloud virtuale (VCN) dell'endpoint privato.

Nota

Nota: non è necessario creare una regola di sicurezza in entrata in Oracle Cloud Infrastructure. Configurare invece la propria rete per consentire al database di ricevere traffico dall'endpoint privato di Oracle Data Safe.

  1. Ottieni l'indirizzo IP privato del tuo database Amazon RDS per Oracle.

  2. Ottenere l'indirizzo IP privato e il nome del gruppo NSG o della lista di sicurezza per l'endpoint privato Oracle Data Safe.

    • È possibile trovare le informazioni sull'endpoint privato di Oracle Data Safe nella pagina Informazioni sull'endpoint privato nel servizio Oracle Data Safe in Oracle Cloud Infrastructure.
  3. Creare una regola di sicurezza di uscita nel gruppo NSG o nella lista di sicurezza per l'endpoint privato Oracle Data Safe.

    • Esempio: la regola di uscita consente all'indirizzo IP dell'endpoint privato di Oracle Data Safe (10.0.0.79/32) su tutte le porte di inviare richieste all'indirizzo IP privato del database (10.0.0.2/32) sulla porta 1521 del database.