Regole di sicurezza per il sistema DB

In questo articolo vengono elencate le regole di sicurezza da utilizzare con il sistema DB. Le regole di sicurezza controllano i tipi di traffico consentiti all'interno e all'esterno dei nodi di calcolo del sistema DB. Le regole sono suddivise in due sezioni.

Per ulteriori informazioni sulle regole di sicurezza, vedere Regole di sicurezza. Per ulteriori informazioni sui diversi modi per implementare queste regole, vedere Modalità di implementazione delle regole di sicurezza.

Nota

Le istanze in cui vengono eseguite le immagini del sistema DB fornite da Oracle dispongono anche di regole firewall che controllano l'accesso all'istanza. Assicurarsi che le regole di sicurezza e le regole firewall dell'istanza siano impostate correttamente. Vedere anche Open Ports on the DB System.

Regole generali necessarie per la connettività di base

Nelle sezioni seguenti sono disponibili diverse regole generali che abilitano la connettività essenziale per gli host nella VCN.

Se si utilizzano gli elenchi di sicurezza per implementare le regole di sicurezza, tenere presente che le regole riportate di seguito vengono incluse per impostazione predefinita nell'elenco di sicurezza predefinito. Aggiornare o sostituire l'elenco per soddisfare le esigenze di sicurezza specifiche. Le due regole ICMP (regole di entrata generali 2 e 3) sono necessarie per il corretto funzionamento del traffico di rete all'interno dell'ambiente Oracle Cloud Infrastructure. Regola la regola di entrata generale 1 (la regola SSH) e la regola di uscita generale 1 per consentire il traffico solo verso e da host che richiedono la comunicazione con le risorse nella tua VCN.

Per ulteriori informazioni sull'elenco di sicurezza predefinito, consulta gli elenco di sicurezza.

Regola di entrata generale 1: consente il traffico SSH da qualsiasi luogo

• Senza conservazione dello stato: No (tutte le regole devono avere lo stato)
• Tipo di origine: CIDR
• CIDR di origine: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
• Protocollo IP: TCP
• Intervallo porte di origine: tutte
• Intervallo di porte di destinazione: 22

Nota

Il CIDR IPv6 è necessario solo se si desidera utilizzare l'indirizzo IPv6 per connettersi a SSH.

Regola di entrata generale 2: consente messaggi di frammentazione ricerca automatica MTU percorso

Questa regola consente agli host nella VCN di ricevere i messaggi di frammentazione della ricerca automatica MTU del percorso. Senza accesso a questi messaggi, gli host nella VCN possono avere problemi di comunicazione con gli host esterni alla VCN.

• Senza conservazione dello stato: No (tutte le regole devono avere lo stato)
• Tipo di origine: CIDR
• CIDR di origine: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
• Protocollo IP: ICMP
• Tipo: 3
• Codice: 4

Regola di entrata generale 3: consente i messaggi di errore di connettività all'interno della VCN

Questa regola consente agli host nella VCN di ricevere tra loro messaggi di errore di connettività.

• Senza conservazione dello stato: No (tutte le regole devono avere lo stato)
• Tipo di origine: CIDR
• CIDR di origine: il CIDR della VCN
• Protocollo IP: ICMP
• Tipo: tutto
• Codice: tutti

Regola generale di uscita 1: consente tutto il traffico in uscita

• Senza conservazione dello stato: No (tutte le regole devono avere lo stato)
• Tipo di destinazione: CIDR
• CIDR di destinazione: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
• Protocollo IP: tutto

Nota

• Il CIDR di destinazione IPv6 è richiesto solo per la comunicazione in uscita alle reti IPv6.
• È possibile limitare il CIDR di destinazione.

Regole di sicurezza personalizzate

Le regole riportate di seguito sono necessarie per la funzionalità del sistema DB.

Nota

Le regole di entrata personalizzate 1 e 2 riguardano solo le connessioni avviate dall'interno della VCN. Se si dispone di un client che risiede al di fuori della VCN, Oracle consiglia di impostare due altre regole simili che invece hanno il CIDR di origine impostato sull'indirizzo IP pubblico del client.

Regola di entrata personalizzata 1: consente il traffico ONS e FAN dalla VCN

Questa regola è consigliata e consente a Oracle Notification Services (ONS) di comunicare gli eventi FAN (Fast Application Notification).

• Senza conservazione dello stato: No (tutte le regole devono avere lo stato)
• Tipo di origine: CIDR
• CIDR di origine: il CIDR della IPv4 e della IPv6 VCN
• Protocollo IP: TCP
• Intervallo porte di origine: tutte
• intervallo di porte di destinazione: 6200
• Descrizione: una descrizione facoltativa della regola.

Regola di entrata personalizzata 2: consente il traffico SQL*NET dalla VCN

Questa regola si riferisce al traffico SQL*NET ed è necessaria solo se è necessario abilitare le connessioni client al database.

• Senza conservazione dello stato: No (tutte le regole devono avere lo stato)
• Tipo di origine: CIDR
• CIDR di origine: il CIDR della IPv4 e della IPv6 VCN
• Protocollo IP: TCP
• Intervallo porte di origine: tutte
• Intervallo di porte di destinazione: 1521
• Descrizione: una descrizione facoltativa della regola.

Regola di uscita personalizzata 1: consente l'accesso SSH in uscita

Questa regola abilita l'accesso SSH tra i nodi in un sistema DB a 2 nodi. È ridondante con la regola di uscita generale in Regole generali necessarie per la connettività di base (e nella lista di sicurezza predefinita). È facoltativo ma consigliato nel caso in cui la regola generale (o l'elenco di sicurezza predefinito) venga modificata inavvertitamente.

• Senza conservazione dello stato: No (tutte le regole devono avere lo stato)
• Tipo di destinazione: CIDR
• CIDR di destinazione: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
• Protocollo IP: TCP
• Intervallo porte di origine: tutte
• Intervallo di porte di destinazione: 22
• Descrizione: una descrizione facoltativa della regola.

Regola di uscita personalizzata 2: consente l'accesso a Oracle Services Network

Questa regola consente al sistema DB di comunicare con i servizi Oracle (per la subnet pubblica con il gateway Internet) o con Oracle Services Network, che include tutti i servizi Oracle (per la subnet privata con il gateway di servizi). È ridondante con la regola di uscita generale in Regole generali necessarie per la connettività di base (e nella lista di sicurezza predefinita). È facoltativo ma consigliato nel caso in cui la regola generale (o l'elenco di sicurezza predefinito) venga modificata inavvertitamente. I servizi OCI comunicano solo con IPv4.

• Senza conservazione dello stato: No (tutte le regole devono avere lo stato)
• Tipo destinazione: servizio
• Servizio di destinazione:
  • Quando si utilizza la subnet pubblica IPv4 (con il gateway Internet), utilizzare il CIDR 0.0.0.0/0
  • Quando si utilizza la subnet privata IPv4 (con il gateway di servizi), utilizzare l'etichetta CIDR denominata Tutti i servizi <region> in Oracle Services Network
• Protocollo IP: TCP
• Intervallo porte di origine: tutte
• Intervallo porte di destinazione: 443 (HTTPS)
• Descrizione: una descrizione facoltativa della regola.

Per ulteriori informazioni sulla rete, vedere Panoramica della rete.

Modalità di implementazione delle regole di sicurezza

Il servizio di networking offre due modi per implementare le regole di sicurezza all'interno della VCN:

• Gruppi di sicurezza di rete
• Liste di sicurezza

Per un confronto delle liste di sicurezza e dei gruppi di sicurezza di rete, vedere Regole di sicurezza.

Usa gruppi di sicurezza di rete

Se si sceglie di utilizzare i gruppi di sicurezza di rete (NSG), ecco il processo consigliato:

1. Creare un gruppo di sicurezza di rete per i sistemi DB. Aggiungere le seguenti regole di sicurezza a tale gruppo NSG:
   • Le regole elencate in Regole generali necessarie per la connettività di base.
   • Le regole elencate in Regole di sicurezza personalizzate.
2. Quando l'amministratore del database crea il sistema DB, deve scegliere diversi componenti di rete, ad esempio la VCN e la subnet da utilizzare. Possono anche scegliere quali NSG o NSG utilizzare. Assicurati che scelgano il gruppo NSG che hai creato.

È invece possibile creare un gruppo NSG per le regole generali e un gruppo NSG separato per le regole personalizzate. Quindi, quando l'amministratore del database sceglie quali gruppi NSG utilizzare per il sistema DB, assicurarsi che scelgano entrambi i gruppi NSG.

Usa liste di sicurezza

Se si sceglie di utilizzare le liste di sicurezza, ecco il processo consigliato:

1. Configurare la subnet in modo che utilizzi le regole di sicurezza necessarie:
   1. Creare una lista di sicurezza personalizzata per la subnet e aggiungere le regole elencate in Regole di sicurezza personalizzate.
   2. Associare alla subnet le due liste di sicurezza riportate di seguito.
      • Elenco di sicurezza predefinito della VCN con tutte le relative regole predefinite. Questa funzionalità viene fornita automaticamente con la VCN.
      • La nuova lista di sicurezza personalizzata creata per la subnet
2. Successivamente, quando l'amministratore del database crea il sistema DB, deve scegliere diversi componenti di rete. Quando selezionano la subnet già creata e configurata, le regole di sicurezza vengono applicate automaticamente per i nodi di calcolo creati nella subnet.

Attenzione

Non rimuovere la regola di uscita predefinita dalla lista di sicurezza predefinita. In caso contrario, assicurati di includere la seguente regola di uscita di sostituzione nella lista di sicurezza personalizzata della subnet:

• Senza conservazione dello stato: No (tutte le regole devono avere lo stato)
• Tipo di destinazione: CIDR
• CIDR di destinazione: 0.0.0.0/0
• Protocollo IP: tutto

---

Titolo e informazioni sul copyright

Copyright ©2022,2025,

Oracle e/o relative consociate.