Sicurezza della rete
Il servizio Oracle Cloud Infrastructure Networking supporta il provisioning delle reti cloud virtuali (VCN) e delle subnet che è possibile utilizzare per isolare le risorse nel cloud a livello di rete.
Le VCN possono essere configurate per la connettività Internet o connesse ai data center on premise utilizzando i circuiti di Oracle Cloud Infrastructure FastConnect o le connessioni IPSec VPN. È possibile utilizzare regole firewall con conservazione dello stato e senza conservazione dello stato, gateway di comunicazione e tabelle di instradamento per controllare il flusso di traffico verso e dalle reti create. I firewall e le liste di controllo dell'accesso (ACL) specificati per una VCN vengono propagati in tutta la topologia di rete e il piano di controllo, garantendo un'implementazione con più livelli e difesa. Per ulteriori informazioni sulla rete in Oracle Cloud Infrastructure, vedere Panoramica sulla rete.
L'architettura riportata di seguito illustra come utilizzare le subnet, le tabelle di instradamento e le liste di sicurezza per proteggere i limiti di rete.
Questa architettura mostra un'implementazione di firewall virtuale mediante liste di sicurezza. Le regole specificate in una lista di sicurezza si applicano a tutte le VNIC nella subnet a cui si collega la lista di sicurezza. Se sono necessari firewall a un livello più granulare, utilizzare i gruppi di sicurezza della rete (NSG). Le regole in un gruppo di servizi di rete si applicano solo alle VNIC specificate dall'utente. Oracle consiglia di utilizzare i servizi NSGs poiché consentono di separare l'architettura di subnet dai requisiti di sicurezza del carico di lavoro.
L'esempio riportato di seguito confronta le liste di sicurezza e i NSG.
Utilizzare la seguente lista di controllo per proteggere i limiti della rete:
| Fine? | Controlli e suggerimenti di sicurezza |
|---|---|
 |
Partizionare la tua VCN in subnet private e pubbliche. |
|
Definire le regole firewall per controllare l'accesso alle istanze. |
|
Creare e configurare router virtuali per la connettività di rete. |
|
Utilizza i criteri IAM per limitare l'accesso alle risorse di rete solo ai gruppi consentiti per gestire le risorse di rete. |
|
Per controllare l'accesso alla rete, utilizzare una strategia di subnet a più livelli per la VCN. Utilizzare una subnet DMZ (demilitarized Zone) per i load balancer, una subnet pubblica per gli host accessibili esternamente, ad esempio i Web server, e una subnet privata per gli host interni, come i database. |
|
Utilizzare un gateway NAT per la connettività a Internet da istanze di computazione private. |
|
Utilizzare un gateway di servizio per la connettività a Oracle Services Network. |
|
Usa regole di sicurezza granulari per l'accesso all'interno di una VCN, la comunicazione con Internet, l'accesso ad altre VCN tramite i gateway di peering e l'accesso alle reti on premise tramite IPSec VPN e FastConnect. |
|
Impostare un sistema di rilevamento delle intrusioni e di protezione (IDS/IPS). |
|
Crea e configura i load balancer per garantire alta disponibilità e sicurezza dei layer di trasporto (TLS). |
|
Utilizzare un firewall applicazione Web (WAF). |
|
Creare zone e mapping DNS. Un aspetto importante per la sicurezza nei load balancer prevede l'utilizzo dei certificati TLS dei clienti per configurare le connessioni TLS alla VCN del cliente. |
|
Seguire le procedure ottimali di sicurezza per le connessioni cloud esterne. |
Il grafico seguente mostra le opzioni di connettività di rete con Oracle Cloud Infrastructure.
