Listas de Segurança

O serviço Networking oferece duas funcionalidades de firewall virtuais para controlar o tráfego no nível do pacote:

  • Listas de segurança: detalhes neste tópico. Este é o tipo original de firewall virtual oferecido pelo serviço Networking.
  • Grupos de segurança de rede: outro tipo de firewall virtual que a Oracle recomenda em listas de segurança. Consulte Grupos de Segurança de Rede.

Essas duas funcionalidades usam regras de segurança. Para obter informações importantes sobre como as regras de segurança funcionam e verificar uma comparação geral entre listas de segurança e grupos de segurança de rede, consulte Regras de Segurança.

Destaques

  • As listas de segurança atuam como firewalls virtuais para as suas instâncias do Compute e para outros tipos de recursos. Uma lista de segurança consiste em um conjunto de regras de segurança de entrada e saída que se aplicam a todas as VNICs em qualquer sub-rede à qual a lista de segurança está associada. Isso significa que todas as VNICs de determinada sub-rede estão sujeitas ao mesmo conjunto de listas de segurança. Consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.
  • As regras de lista de segurança funcionam da mesma forma que as regras de grupo de segurança de rede. Para obter uma discussão dos parâmetros de regra, consulte Partes de uma Regra de Segurança.
  • Cada VCN vem com uma lista de segurança padrão que tem várias regras padrão para tráfego essencial. Se você não especificar uma lista de segurança personalizada para uma sub-rede, a lista de segurança padrão será usada automaticamente com essa sub-rede. Você pode adicionar e remover regras da lista de segurança padrão.
  • Em comparação com os grupos de segurança de rede, as listas de segurança têm limites separados e específicos. Consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.

Visão Geral das Listas de Segurança

Uma lista de segurança atua como um firewall virtual para uma instância, com regras de entrada e saída que especificam os tipos de tráfego de entrada e saída permitidos. Cada lista de segurança é aplicada no nível da VNIC. Entretanto, você configura as suas listas de segurança no nível da sub-rede. Isso significa que todas as VNICs de determinada sub-rede estão sujeitas ao mesmo conjunto de listas de segurança. As listas de segurança se aplicam a determinada VNIC se ela estiver se comunicando com outra instância na VCN ou com um host fora da VCN.

Cada sub-rede pode ter várias listas de segurança associadas a ela e cada lista pode ter várias regras (para obter o número máximo, consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede). Um pacote será permitido se qualquer regra em qualquer uma das listas possibilitar o tráfego (ou se o tráfego fizer parte de uma conexão existente que está sendo rastreada). Haverá uma limitação se as listas contiverem regras com e sem monitoramento de estado que abranjam o mesmo tráfego. Para obter mais informações, consulte Regras com e sem Monitoramento de Estado.

As listas de segurança são entidades regionais. Para obter os limites relacionados às listas de segurança, consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.

As listas de segurança podem controlar tráfego IPv4 e IPv6. No entanto, no momento, as regras de endereçamento IPv6 e as regras de lista de segurança relacionadas só são suportadas na Nuvem do Governo dos Estados Unidos. Para obter mais informações, consulte Endereços IPv6.

Lista de Segurança Padrão

Cada rede na nuvem tem uma lista de segurança padrão. Você também pode criar outras listas de segurança para a VCN. Uma sub-rede terá automaticamente a lista de segurança padrão associada a ela se você não especificar uma ou mais outras listas de segurança durante a criação da sub-rede. A qualquer momento após a criação de uma sub-rede, você poderá alterar as listas de segurança associadas a ela. E você pode alterar as regras nas listas.

Ao contrário de outras listas de segurança, a lista de segurança padrão vem com um conjunto inicial de regras com monitoramento de estado, que você pode alterar:

  • Entrada com monitoramento de estado: para permitir tráfego TCP na porta de destino 22 (SSH) proveniente da origem 0.0.0.0/0 e de qualquer porta de origem. Essa regra permite que você facilmente crie uma nova rede na nuvem e de uma sub-rede pública, inicie uma instância do Linux e use imediatamente o SSH para se conectar com essa instância sem que seja necessário criar regras de lista de segurança.

    Importante

    A lista de segurança padrão não inclui uma regra para permitir acesso RDP (Remote Desktop Protocol). Se você estiver usando imagens do Windows, certifique-se de adicionar uma regra de entrada com monitoramento de estado para tráfego TCP na porta de destino 3389 proveniente da origem 0.0.0.0/0 e de qualquer porta de origem.

    Consulte Para ativar o acesso RDP para obter mais informações.

  • Entrada com monitoramento de estado: para permitir tráfego ICMP do tipo 3 código 4 proveniente da origem 0.0.0.0/0. Essa regra permite que as suas instâncias recebam mensagens de fragmentação PMTU (Path MTU Discovery).
  • Entrada com monitoramento de estado: para permitir o tipo de tráfego ICMP 3 (todos os códigos) proveniente da origem = o CIDR da sua VCN. Esta regra facilita o recebimento de mensagens de erro de conectividade de outras instâncias dentro da VCN.
  • Saída com monitoramento de estado: para permitir todos os tipos de tráfego. Isso permite que as instâncias iniciem um tráfego de qualquer tipo para qualquer destino. Observe que isso significa que as instâncias com endereços IP públicos podem se comunicar com qualquer endereço IP da internet, se a VCN tiver um gateway de internet configurado. E, como as regras de segurança com monitoramento de estado usam o rastreamento de conexões, o tráfego de resposta é permitido de forma automática, independentemente das regras de entrada. Para obter mais informações, consulte Regras com e sem Monitoramento de Estado.

A lista de segurança padrão não tem regras sem monitoramento de estado. No entanto, você pode adicionar ou remover regras da lista de segurança padrão conforme desejar.

Se a sua VCN estiver ativada para endereçamento IPv6 (que atualmente só é suportado na Nuvem do Governo), a lista de segurança padrão conterá algumas regras padrão para tráfego IPv6. Para obter mais informações, consulte Endereços IPv6.

Permitindo a Execução de Ping

A lista de segurança padrão não inclui uma regra para permitir solicitações de ping. Se você planeja executar ping em uma instância, consulte Regras para Tratar Pacotes UDP Fragmentados.

Como Trabalhar com Listas de Segurança

Advertência

Evite inserir informações confidenciais ao designar descrições, tags ou nomes amigáveis aos seus recursos na nuvem por meio da Console, da API ou da CLI do Oracle Cloud Infrastructure.

Processo Geral para Trabalhar com Listas de Segurança

  1. Crie uma lista de segurança.
  2. Adicione regras de segurança à lista de segurança.
  3. Associe a lista de segurança a uma ou mais sub-redes.
  4. Crie recursos na sub-rede (por exemplo, crie instâncias do Compute na sub-rede). As regras de segurança se aplicam a todas as VNICs dessa sub-rede. Consulte Comparação entre Listas de Segurança e Grupos de Segurança de Rede.

Detalhes Adicionais

Ao criar uma sub-rede, você deve associar pelo menos uma lista de segurança a ela. Pode ser a lista de segurança padrão da VCN ou uma ou mais outras listas de segurança que você já criou (para o número máximo, consulte Limites de Serviço). Você pode alterar quais listas de segurança a sub-rede usará a qualquer momento.

Opcionalmente, você pode designar um nome amigável à lista de segurança ao criá-la. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. O sistema Oracle designa automaticamente um identificador exclusivo chamado OCID (Oracle Cloud ID) à lista de segurança. Para obter mais informações, consulte: Identificadores de Recurso.

Para fins de controle de acesso, você deve especificar o compartimento onde deseja que a lista de segurança resida. Consulte um administrador na sua organização se não tiver certeza de qual compartimento usar. Para obter mais informações, consulte Controle de Acesso.

Você pode mover listas de segurança de um compartimento para outro. Mover uma lista de segurança não afeta seu anexo a uma sub-rede. Quando você move uma lista de segurança para um novo compartimento, as políticas inerentes são aplicadas imediatamente e afetam o acesso à lista de segurança. Para obter mais informações, consulte Gerenciando Compartimentos.

Você pode adicionar e remover regras da lista de segurança. Uma lista de segurança não pode ter regras. Observe que quando você atualiza uma lista de segurança na API, o novo conjunto de regras substitui inteiramente o conjunto de regras.

Para que seja possível excluir uma lista de segurança, ela não deve estar associada a uma sub-rede. Você não pode excluir a lista de segurança padrão de uma VCN.

Política do IAM Necessária

Para usar o Oracle Cloud Infrastructure, você deverá receber o tipo de acesso necessário em uma política criada por um administrador, independentemente de estar usando a Console ou a API REST com um SDK, a CLI ou outra ferramenta. Se você tentar executar uma ação e receber uma mensagem de que não tem permissão ou que não está autorizado, confirme com o administrador o tipo de acesso que recebeu e em qual compartimento deverá trabalhar.

Para administradores: a política em Permitir que os administradores de rede gerenciem uma rede na nuvem abrange o gerenciamento de todos os componentes do serviço Networking, incluindo listas de segurança.

Se você tiver administradores de segurança que precisam gerenciar listas de segurança, mas não outros componentes da Rede, você pode escrever uma política mais restritiva:

Allow group SecListAdmins to manage security-lists in tenancy

Allow group SecListAdmins to manage vcns in tenancy

Ambas as instruções são necessárias porque a criação de uma lista de segurança afeta a VCN na qual a lista de segurança está. O escopo da segunda instrução também permite que o grupo SecListAdmins crie VCNs. No entanto, o grupo não pode criar sub-redes nem gerenciar qualquer outro componente relacionado a qualquer uma dessas VCNs (exceto listas de segurança), pois seriam necessárias outras permissões para esses recursos. Além disso, o grupo não pode excluir as VCNs existentes que já contenham sub-redes, pois essa ação requer permissões relacionadas às sub-redes.

Para obter mais informações, consulte Políticas do IAM para Redes.

Usando a Console

Para exibir a lista de segurança padrão de uma VCN
  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Listas de Segurança.
  4. Clique na lista de segurança padrão para exibir detalhes.

    Em Recursos, você pode clicar em Regras de Entrada ou Regras de Saída para alternar entre os diferentes tipos de regras.

Para atualizar regras em uma lista de segurança existente
  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Listas de Segurança.
  4. Clique na lista de segurança na qual você está interessado.
  5. Em Recursos, clique em Regras de Entrada ou Regras de Saída dependendo do tipo de regra com a qual você deseja trabalhar.
  6. Se quiser adicionar uma regra, clique em Adicionar Regra de Entrada (ou Adicionar Regra de Saída). Consulte os detalhes da adição de uma regra em Para criar uma lista de segurança.
  7. Se quiser excluir uma regra existente, clique no ícone Ações (três pontos) e clique em Remover.
  8. Se você quiser editar uma regra existente, clique no ícone Ações (três pontos) e clique em Editar.
Para criar uma lista de segurança
  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Listas de Segurança.
  4. Clique em Criar Lista de Segurança.
  5. Informe o seguinte:

    1. Nome: um nome descritivo para a lista de segurança. O nome não precisa ser exclusivo e não pode ser alterado posteriormente na Console (mas você pode alterá-lo com a API). Evite inserir informações confidenciais.
    2. Criar no Compartimento: o compartimento no qual você deseja criar a lista de segurança, se for diferente do compartimento no qual você está trabalhando no momento.
  6. Adicione uma regra de entrada ou regra de saída (para obter exemplos de regras, consulte Cenários do Serviço Networking):

    1. Clique em Adicionar Regra de Entrada ou Adicionar Regra de Saída.
    2. Escolha se essa é uma regra com ou sem monitoramento de informações (consulte Regras com e sem Monitoramento de Estado). Por padrão, as regras têm monitoramento de estado, a menos que você especifique o contrário.
    3. Digite o CIDR de origem (para entrada) ou o CIDR de destino (para saída). Por exemplo, use 0.0.0.0/0 para indicar todos os endereços IP. Outros CIDRs típicos que você pode especificar em uma regra são o bloco CIDR da sua rede local ou de uma sub-rede específica. Se, em vez disso, você estiver configurando uma regra de lista de segurança para permitir o tráfego com um gateway de serviço, consulte a Tarefa 3: (Opcional) Atualizar regras de segurança.

    4. Selecione o protocolo IP (por exemplo, TCP, UDP, ICMP, "Todos os protocolos" e assim por diante).
    5. Insira mais detalhes dependendo do protocolo:

      • Se você escolheu TCP ou UDP, informe um intervalo de portas de origem e um intervalo de portas de destino. Você pode informar "Todos" para cobrir todas as portas. Se quiser permitir uma porta específica, informe o número da porta (por exemplo, 22 para SSH ou 3389 para RDP) ou um intervalo de portas (por exemplo, 20–22).
      • Caso tenha escolhido ICMP, você poderá inserir "Todos" para abranger todos os tipos e códigos. Se você quiser permitir um tipo ICMP específico, digite o tipo e um código opcional separados por uma vírgula (por exemplo, 3,4). Se o tipo tiver vários códigos que você deseja permitir, crie uma regra separada para cada código.
    6. Informe uma descrição opcional da regra para ajudar a gerenciar suas regras da lista de segurança.
  7. Repita a etapa anterior para cada regra que deseja adicionar à lista.
  8. Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não estiver certo de que deve aplicar tags, ignore esta opção (é possível aplicar tags posteriormente) ou peça ao administrador.
  9. Quando terminar, clique em Criar Lista de Segurança.

A lista de segurança é criada e exibida na página Listas de Segurança no compartimento escolhido. Agora você pode especificar essa lista de segurança ao criar ou atualizar uma sub-rede.

Ao exibir todas as regras em uma lista de segurança, observe que as regras sem monitoramento de estado na lista são mostradas acima das regras com monitoramento de estado. As regras sem monitoramento de estado na lista têm precedência sobre as regras com monitoramento de estado. Em outras palavras: se houver tráfego que corresponda a uma regra sem monitoramento de estado e a uma regra com monitoramento de estado em todas as listas de segurança associadas à sub-rede, a regra sem monitoramento de estado terá precedência, e a conexão não será rastreada.

Para alterar quais listas de segurança uma sub-rede usa
  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Clique em Sub-redes.
  4. Clique na sub-rede em que você está interessado.
  5. Em Recursos, clique em Listas de Segurança.
  6. Se quiser adicionar uma lista de segurança, clique em Adicionar Lista de Segurança e selecione a nova lista de segurança que deseja que a sub-rede use.
  7. Se quiser remover uma lista de segurança, clique no ícone Ações (três pontos) e, em seguida, clique em Remover. Lembre-se de que uma sub-rede sempre deve ter pelo menos uma lista de segurança associada a ela.

    As alterações têm efeito em apenas alguns segundos.

Para mover uma lista de segurança para outro compartimento
  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Listas de Segurança.
  4. Localize a lista de segurança, clique no ícone Ações (três pontos) e clique em Mover Recurso.
  5. Escolha o compartimento de destino na lista.
  6. Clique em Mover Recurso.
Para excluir uma lista de segurança

Pré-requisito: Para excluir uma lista de segurança, ela não deve estar associada a uma sub-rede. Você não pode excluir a lista de segurança padrão em uma VCN.

  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Listas de Segurança.
  4. Para a lista de segurança que você deseja excluir, clique no ícone Ações (três pontos) e, em seguida, clique em Encerrar.
  5. Confirme quando solicitado.
Para gerenciar as tags de uma lista de segurança
  1. Abra o menu de navegação. Em Infraestrutura Básica, vá para Networking e clique em Redes Virtuais na Nuvem.
  2. Clique na VCN em que você está interessado.
  3. Em Recursos, clique em Listas de Segurança.
  4. Clique na lista de segurança na qual você está interessado.
  5. Clique na guia Tags para exibir ou editar as tags existentes. Ou clique em Adicionar tags para adicionar novas tags.

Para obter mais informações, consulte: Tags de Recursos.