Documentação do Oracle Cloud Infrastructure

Maneiras de Proteger uma Rede

A OCI tem várias maneiras de controlar a segurança de uma rede na nuvem e instâncias do serviço Compute:

  • Sub-redes pública e privada: Você pode definir uma sub-rede como privada, o que significa que as instâncias da sub-rede não têm endereços IP públicos. Para obter mais informações, consulte Sub-redes Públicas e Privadas.
  • Regras de segurança: para controlar o tráfego dentro e fora de uma instância. Você configura regras de segurança na API ou Console do Oracle Cloud Infrastructure. Para implementar regras de segurança, é possível usar grupos de segurança de rede ou listas de segurança. Para obter mais informações, consulte Regras de Segurança.
  • Roteamento de Pacote de Confiança Zero: Você pode usar o Zero Trust Packet Routing (ZPR) com ou no lugar de grupos de segurança de rede para gerenciar o acesso à rede para recursos do OCI. Para fazer isso, defina políticas de ZPR que controlam como os recursos se comunicam entre si e, em seguida, adicione atributos de segurança a esses recursos. Para obter mais informações, consulte Roteamento de Pacotes de Confiança Zero.
    Cuidado

    Se um ponto final tiver um atributo de segurança ZPR (Zero Trust Packet Routing), o tráfego para o ponto final deverá atender às políticas de ZPR e também a todas as regras de NSG e lista de segurança. Por exemplo, se você já estiver usando NSGs e adicionar um atributo de segurança a um ponto final, todo o tráfego para o ponto final será bloqueado. A partir daí, uma política de ZPR deve permitir explicitamente o tráfego para o ponto final.
  • Regras de firewall: para controlar o tráfego de entrada/saída de uma instância. Você configura regras de firewall diretamente na instância em si. Observe que as imagens de plataforma que executam o Oracle Linux incluem automaticamente regras padrão que permitem entrada na porta TCP 22 para tráfego SSH. Além disso, as imagens do Windows incluem regras padrão que permitem a entrada na porta TCP 3389 para acesso do Remote Desktop. Para obter mais informações, consulte Imagens da Plataforma.
    Importante

    As regras de firewall e as regras de segurança operam no nível da instância. No entanto, você configura listas de segurança no nível da sub-rede, o que significa que todos os recursos de uma sub-rede específica têm o mesmo conjunto de regras de lista de segurança. Além disso, as regras de segurança em um grupo de segurança de rede se aplicam apenas aos recursos do grupo. Ao diagnosticar e solucionar problemas de acesso a uma instância, certifique-se de que todos os seguintes itens tenham sido definidos corretamente: os grupos de segurança de rede nos quais a instância está, as listas de segurança associadas à sub-rede da instância e as regras de firewall da instância.

    Se uma instância estiver executando o Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7, Oracle Linux 8, Oracle Linux 7 ou Oracle Linux Cloud Developer 8, use o firewalld para interagir com as regras do iptables. Para referência, aqui estão comandos para abrir uma porta (1521, neste exemplo):

    sudo firewall-cmd --zone=public --permanent --add-port=1521/tcp
								
sudo firewall-cmd --reload

    Para instâncias com um volume de inicialização iSCSI, o comando --reload anterior pode causar problemas. Para obter detalhes e uma solução alternativa, consulte O sistema das instâncias congela após a execução de -cmd --reload.

  • Gateways e tabelas de roteamento: Para controlar um fluxo de tráfego geral de uma rede na nuvem para destinos fora (a internet, uma rede local ou outra VCN). Configure os gateways da rede na nuvem e roteie as tabelas na API ou na Console do Oracle Cloud Infrastructure. Para obter mais informações sobre os gateways, consulte Componentes do Serviço Networking. Para obter mais informações sobre tabelas de roteamento, consulte Tabelas de Roteamento da VCN.
  • Políticas do IAM: Para controlar quem tem acesso à própria API ou Console do Oracle Cloud Infrastructure. Você pode controlar o tipo de acesso e quais recursos de nuvem podem ser acessados. Por exemplo, você pode controlar quem pode configurar as redes e sub-redes, ou quem pode atualizar tabelas da rota, grupos da segurança da rede ou listas de segurança. Configure políticas na API ou Console do Oracle Cloud Infrastructure. Para obter mais informações, consulte Controle de Acesso.
  • Zonas de Segurança: Para garantir que a rede e outros recursos de nuvem estejam de acordo com os princípios e melhores práticas de seguranças da Oracle, você pode criá-los em uma zona de seguranç... Uma zona de segurança é associada a um compartimento e verifica todas as operações de gerenciamento de rede segundo as políticas de zona de segurança. Por exemplo, uma zona do serviço Security não permite o uso de endereços IP públicos e só pode conter sub-redes privadas. Para obter mais informações, consulte Visão Geral de Zonas de Segurança.