Regras de Segurança do Sistema de Banco de Dados

Este artigo lista as regras de segurança a serem usadas com o sistema de banco de dados. As regras de segurança controlam os tipos de tráfego permitidos dentro e fora dos nós de computação do sistema de banco de dados. As regras são divididas em duas seções.

Para obter mais informações sobre regras de segurança, consulte Regras de Segurança. Para obter mais informações sobre diferentes maneiras de implementar essas regras, consulte Formas de Implementar as Regras de Segurança.

Observação:

Suas instâncias que executam imagens de sistema de BD fornecidas pela Oracle também possuem regras de firewall que controlam o acesso à instância. Verifique se as regras de segurança e as regras de firewall da instância estão definidas corretamente. Consulte também Abrir Portas no Sistema de Banco de Dados.

Tópicos Relacionados

Regras Gerais Exigidas para Conectividade Básica

As seções a seguir têm várias regras gerais que permitem a conectividade essencial para hosts na VCN.

Se você usar listas de segurança para implementar suas regras de segurança, lembre-se de que as regras a seguir serão incluídas por padrão na lista de segurança padrão. Atualize ou substitua a lista para atender às suas necessidades de segurança específicas. As duas regras do ICMP (regras gerais de entrada 2 e 3) são necessárias para o funcionamento adequado do tráfego de rede no ambiente do Oracle Cloud Infrastructure. Ajuste a regra geral de entrada 1 (a regra SSH) e a regra geral de saída 1 para permitir o tráfego apenas de/para hosts que requerem comunicação com recursos da sua VCN.

Para obter mais informações sobre a lista de segurança padrão, consulte Listas de Segurança.

Regra Geral de Entrada 1: Permite o Tráfego SSH de Qualquer Lugar

  • Sem monitoramento de estado: Não (todas as regras devem ser com monitoramento de estado)
  • Tipo de Origem: CIDR
  • CIDR de Origem: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: TCP
  • Intervalo de Portas de Origem: Tudo
  • Intervalo de Portas de Destino: 22

Observação:

O CIDR IPv6 só será obrigatório se você quiser usar o endereço IPv6 para estabelecer conexão com SSH.

Regra Geral de Entrada 2: Permite Mensagens de Fragmentação de Descoberta de MTU do Caminho

Essa regra permite que os hosts na VCN recebam mensagens de fragmentação de Descoberta de MTU do Caminho. Sem acesso a essas mensagens, os hosts da VCN podem ter problemas de comunicação com hosts fora da VCN.

  • Sem monitoramento de estado: Não (todas as regras devem ser com monitoramento de estado)
  • Tipo de Origem: CIDR
  • CIDR de Origem: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: ICMP
  • Tipo: 3
  • Código: 4

Regra Geral de Entrada 3: Permite Mensagens de Erro de Conectividade na VCN

Esta regra permite que os hosts da VCN recebam mensagens de erro de conectividade um do outro.

  • Sem monitoramento de estado: Não (todas as regras devem ser com monitoramento de estado)
  • Tipo de Origem: CIDR
  • CIDR de Origem: O CIDR da sua VCN
  • Protocolo IP: ICMP
  • Tipo: Tudo
  • Código: Todos

Regra Geral de Saída 1: Permite Todo o Tráfego de Saída

  • Sem monitoramento de estado: Não (todas as regras devem ser com monitoramento de estado)
  • Tipo de Destino: CIDR
  • CIDR de Destino: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: Todos

Observação:

  • O CIDR de destino IPv6 só é necessário para comunicação de saída com redes IPv6.
  • O CIDR de destino pode ser restrito.

Regras de Segurança Personalizadas

As regras a seguir são necessárias para a funcionalidade do sistema de banco de dados.

Observação:

As regras de entrada personalizadas 1 e 2 cobrem apenas conexões iniciadas na VCN. Se você tiver um cliente que resida fora da VCN, a Oracle recomenda configurar duas regras semelhantes adicionais que, em vez disso, tenham o CIDR de Origem definido como o endereço IP público do cliente.

Regra de Entrada Personalizada 1: Permite Tráfego de ONS e FAN na VCN

Essa regra é recomendada e permite que o ONS (Oracle Notification Services) se comunique sobre eventos de FAN (Fast Application Notification).

  • Sem monitoramento de estado: Não (todas as regras devem ser com monitoramento de estado)
  • Tipo de Origem: CIDR
  • CIDR de Origem: o CIDR da VCN IPv4 e IPv6
  • Protocolo IP: TCP
  • Intervalo de Portas de Origem: Tudo
  • Faixa de Portas de Destino: 6200
  • Descrição: Uma descrição opcional da regra.

Regra de Entrada Personalizada 2: Permite o Tráfego SQL*NET de Dentro da VCN

Esta regra é para tráfego de SQL*NET e é necessária somente se você precisar ativar conexões de clientes com o banco de dados.

  • Sem monitoramento de estado: Não (todas as regras devem ser com monitoramento de estado)
  • Tipo de Origem: CIDR
  • CIDR de Origem: o CIDR da VCN IPv4 e IPv6
  • Protocolo IP: TCP
  • Intervalo de Portas de Origem: Tudo
  • Faixa de Portas de Destino: 1521
  • Descrição: Uma descrição opcional da regra.

Regra de Saída Personalizada 1: Permite Acesso via SSH de Saída

Esta regra permite o acesso via SSH entre nós em um sistema de banco de dados de 2 nós. Ela é redundante com a regra de saída geral em Regras Gerais Exigidas para Conectividade Básica (e na lista de segurança padrão). Ela é opcional, mas recomendada, caso a regra geral (ou na lista de segurança padrão) seja alterada inadvertidamente.

  • Sem monitoramento de estado: Não (todas as regras devem ser com monitoramento de estado)
  • Tipo de Destino: CIDR
  • CIDR de Destino: 0.0.0.0/0 (IPv4), ::/0 (IPv6)
  • Protocolo IP: TCP
  • Intervalo de Portas de Origem: Tudo
  • Intervalo de Portas de Destino: 22
  • Descrição: Uma descrição opcional da regra.

Regra de Saída Personalizada 2: Permite Acesso ao Oracle Services Network

Essa regra permite que o sistema de banco de dados se comunique com os serviços Oracle (para sub-rede pública com gateway de internet) ou com o Oracle Services Network, que inclui todos os serviços Oracle (para sub-rede privada com gateway de serviço). Ela é redundante com a regra de saída geral em Regras Gerais Exigidas para Conectividade Básica (e na lista de segurança padrão). Ela é opcional, mas recomendada, caso a regra geral (ou na lista de segurança padrão) seja alterada inadvertidamente. Os serviços do OCI se comunicam somente com o IPv4.

  • Sem monitoramento de estado: Não (todas as regras devem ser com monitoramento de estado)
  • Tipo de Destino: Serviço
  • Serviço de Destino:
    • Ao usar a sub-rede pública IPv4 (com gateway de internet), use o CIDR 0.0.0.0/0
    • Ao usar a sub-rede privada IPv4 (com gateway de serviço), use o label do CIDR chamado Todos os Serviços de <region> no Oracle Services Network
  • Protocolo IP: TCP
  • Intervalo de Portas de Origem: Tudo
  • Intervalo de Porta de Destino: 443 (HTTPS)
  • Descrição: Uma descrição opcional da regra.

Para obter mais informações sobre rede, consulte Visão Geral do Serviço Networking.

Formas de Implementar as Regras de Segurança

O serviço Networking oferece duas maneiras de implementar regras de segurança na sua VCN:

Para obter uma comparação entre Listas de Segurança e Grupos de Segurança de Rede, consulte Regras de Segurança.

Usar Grupos de Segurança de Rede

Se você optar por usar NSGs (grupos de segurança de rede), este é o processo recomendado:

  1. Crie um grupo de segurança de rede para sistemas de banco de dados. Adicione as seguintes regras de segurança a esse NSG:
    • As regras listadas em Regras Gerais Exigidas para Conectividade Básica.
    • As regras listadas em Regras de Segurança Personalizadas.
  2. Quando o administrador do banco de dados cria o sistema de banco de dados, ele deve escolher diversos componentes de rede (por exemplo, qual VCN e sub-rede serão usadas). Ele também pode escolher quais NSGs serão usados. Certifique-se de que ele escolha o NSG que você criou.

Em vez disso, você pode criar um NSG para as regras gerais e um NSG separado para as regras personalizadas. Em seguida, quando o administrador do banco de dados escolher quais NSGs serão usados no sistema de banco de dados, verifique se ele escolheu os dois NSGs.

Usar Listas de Segurança

Se você optar por usar listas de segurança, este é o processo recomendado:

  1. Configure a sub-rede para usar as regras de segurança necessárias:
    1. Crie uma lista de segurança personalizada para a sub-rede e adicione as regras listadas em Regras de Segurança Personalizadas.
    2. Associe estas duas listas de segurança à sub-rede:
      • Lista de segurança padrão da VCN com todas as suas regras padrão. Ela vem automaticamente com a VCN.
      • A nova lista de segurança personalizada criada para a sub-rede
  2. Posteriormente, quando o administrador do banco de dados criar o sistema de banco de dados, ele deverá escolher diversos componentes de rede. Quando ele seleciona a sub-rede que você já criou e configurou, as regras de segurança são automaticamente aplicadas para os nós de computação criados na sub-rede.

Atenção:

Não remova a regra de saída padrão da lista de segurança padrão. Se você fizer isso, inclua a seguinte regra de saída de substituição na lista de segurança personalizada da sub-rede:
  • Sem monitoramento de estado: Não (todas as regras devem ser com monitoramento de estado)
  • Tipo de Destino: CIDR
  • CIDR de Destino 0.0.0.0/0
  • Protocolo IP: Todos