Documentação do Oracle Cloud Infrastructure

Resolvendo Problemas Básicos de Configuração

Este tópico lista procedimentos para lidar com problemas de configuração comuns que afetam a segurança dos seus recursos do Oracle Cloud Infrastructure.

Serviço Block Volume

Volume em blocos desanexado da instância

Problema: Certifique-se de que somente administradores do Oracle Cloud Infrastructure possam desconectar volumes em blocos das instâncias.

Informações Básicas: Quando você desanexa um volume em blocos, ele desacopla o volume da instância associada, afetando os dados disponíveis para a instância. Isso pode afetar a disponibilidade dos dados, desde dados críticos para o negócio até a conclusão bem-sucedida de backups programados dos volumes. Para minimizar perdas de dados resultantes de desassociações inadvertidas de volumes por um usuário autorizado ou de desanexações maliciosas de volumes, você deverá restringir a permissão VOLUME_ATTACHMENT_DELETE a administradores.

Para impedir a desanexação de volumes em blocos:

A seguinte política permite que o grupo VolumeUsers gerencie volumes e anexos de volumes, exceto para desanexar volumes:

Allow group VolumeUsers to manage volumes in tenancy
Allow group VolumeUsers to manage volume-attachments in tenancy
    where request.permission!='VOLUME_ATTACHMENT_DELETE'

Essa alteração impede VolumeUsers de desanexar volumes das instâncias.

Mais Informações:

Serviço Compute

Instância criada com base em uma imagem personalizada não aprovada

Problema: Uma instância foi criada com base em uma imagem personalizada que não é suportada no seu ambiente.

Informações Básicas: Quando criam instâncias, os usuários podem escolher entre imagens de plataforma, volumes de inicialização de instâncias encerradas ou imagens personalizadas. Imagens personalizadas representam uma ampla variedade de imagens que podem incluir imagens não aprovadas para o seu ambiente. Se você usar tags na sua tenancy do Oracle Cloud Infrastructure para identificar imagens aprovadas, verifique se a imagem na qual a instância está baseada é uma imagem aprovada e encerre a instância, se necessário.

Para verificar as tags da imagem com base na qual a instância foi criada:

O procedimento a seguir é para a Console do Oracle Cloud Infrastructure.

  1. Abra o menu de navegação e selecione Computação. Em Compute, selecione Instâncias.
  2. Clique na instância em que está interessado.
  3. Clique no link Imagem para exibir a imagem de origem.
  4. Clique na guia Tags para exibir as tags aplicadas a esta imagem.

Se a imagem personalizada não tiver uma tag aprovada e a instância precisar ser encerrada, consulte Encerrando uma Instância.

Mais Informações:

Serviço IAM

Membro do grupo Administradores usou chaves da API

Problema: Um usuário que é membro do grupo Administradores acessou recursos usando uma chave da API.

Informações Básicas:

  • As chaves da API são credenciais usadas para conceder acesso programático ao Oracle Cloud Infrastructure.

  • Por motivos de segurança e governança, os usuários só devem ter acesso a recursos com os quais precisam interagir.

  • Para membros do grupo Administradores que também precisam acessar recursos por meio da API, crie outro usuário no IAM para anexar as chaves da API. Conceda ao usuário permissões de chaves da API apenas para os recursos com que ele precisa interagir de forma programática.

Para criar um usuário, um grupo e uma política com permissões limitadas:

O conjunto de procedimentos a seguir mostra como configurar um exemplo de usuário com permissões limitadas. Neste exemplo, o usuário precisa ter a capacidade iniciar instâncias em um compartimento específico.

O procedimento a seguir é para a Console do Oracle Cloud Infrastructure.

Crie um Usuário
  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Usuários.
  2. Clique em Criar Usuário.

  3. Na caixa de diálogo Criar Usuário:

    • Nome: Informe um nome ou endereço de e-mail exclusivo para o novo usuário. O valor será o log-in do usuário na Console e deverá ser exclusivo em relação a todos os outros usuários da sua tenancy.
    • Descrição: Informe uma descrição (campo obrigatório).
  4. Clique em Criar.
Crie um Grupo

Em seguida, crie o grupo ("InstanceLaunchers") para o qual criará a política.

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
  2. Clique em Criar Grupo.

  3. Na caixa de diálogo Criar Grupo:

    • Nome: Informe um nome exclusivo para o seu grupo; por exemplo, "InstanceLaunchers".

      Observe que o nome não pode conter espaços.

    • Descrição: Informe uma descrição (campo obrigatório).
  4. Clique em Criar.
Crie uma Política

Neste exemplo, a política concede aos membros do grupoInstanceLaunchers permissões para iniciar instâncias em um compartimento específico (CompartmentA).

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Políticas.
  2. Clique em Criar Política.

  3. Informe um Nome exclusivo para a sua política; por exemplo, "InstanceLaunchersPolicy".

    Observe que o nome não pode conter espaços.

  4. Informe uma Descrição (obrigatória); por exemplo, "Concede aos usuários permissão para iniciar instâncias em CompartmentA".
  5. Clique em Mostrar editor manual e informe esta instrução: 
    Allow group InstanceLaunchers to manage instance-family in compartment CompartmentA

    Essa instrução concede aos membros do grupo InstanceLaunchers permissão para iniciar e gerenciar instâncias no compartimento chamado CompartmentA.

  6. Clique em Criar.
Adicionar o Usuário ao Grupo
  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Usuários.
  2. Na lista Usuários, localize o usuário e clique no nome.

  3. Na página de detalhes do usuário, clique em Grupos (no lado esquerdo da página). A lista de grupos aos quais o usuário pertence é exibida.

  4. Clique em Adicionar Usuário ao Grupo.
  5. Na lista Grupos, selecione InstanceLaunchers.
  6. Clique em Adicionar.
Faça o upload de uma chave de assinatura da API para o usuário

O procedimento a seguir funciona para um usuário comum ou para um administrador. Os administradores podem fazer o upload de uma chave da API para outro usuário ou para eles mesmos.

Importante

A chave da API deve ser uma chave RSA no formato PEM (no mínimo, 2048 bits). O formato PEM é semelhante a este:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——

Para obter mais informações sobre a geração de uma chave PEM pública, consulte Chaves e OCIDs Necessários.

  1. Exiba os detalhes do usuário:
    • Se você estiver fazendo upload de uma chave de API para você mesmo: No menu de navegação , selecione o menu Perfil Ícone do menu Perfil e, em seguida, selecione Definições do usuário ou Meu perfil, dependendo da opção que você vir.
    • Se você for um administrador que está fazendo o upload de uma chave da API para outro usuário: Na Console, clique em Identidade e depois em Usuários. Localize o usuário na lista e clique no nome do usuário para ver os detalhes.
  2. Clique em Adicionar Chave de API e selecione Colar Chave de API.

  3. Cole o valor da chave na janela e clique em Adicionar.

    A chave é adicionada, e sua respectiva impressão digital é exibida (exemplo de impressão digital: d1:b2:32:53:d3:5f:cf:68:2d:6f:8b:5f:77:8f:07:13).

Mais Informações:

A política concede permissões abrangentes

Problema: Uma política concede permissões integrais de gerenciamento para pelo menos um serviço em um compartimento ou na tenancy.

Informações Básicas:

  • O acesso aos recursos é controlado por meio de políticas. Uma política é um documento que especifica quem e de que forma pode acessar os recursos do Oracle Cloud Infrastructure que sua empresa tem. Uma política simplesmente permite que um grupo  trabalhe de determinadas formas com tipos específicos de recursos  em um compartimento  específico.
  • Por motivos de segurança e governança, os usuários só devem ter acesso aos recursos necessários.
  • Considere cuidadosamente o nível de acesso de que um usuário precisa. A política fornece um conjunto padrão de verbos (manage, use, read, inspect) que permitem definir as permissões dos usuários facilmente como um conjunto de tarefas comuns. Por exemplo, se um usuário precisar atualizar recursos, mas não precisar criá-los ou excluí-los, conceda a ele a permissão use, em vez da permissão manage.

  • A linguagem da política foi projetada para permitir que você crie instruções simples envolvendo apenas verbos e tipos de recursos, sem precisar declarar as permissões na instrução. Para um controle de acesso mais detalhado, você pode usar condições combinadas com permissões ou operações da API para reduzir o escopo de acesso concedido por um verbo específico.

  • Sempre que possível, limite o acesso aos compartimentos específicos que um usuário precisa acessar, em vez de permitir o acesso à tenancy inteira.

Dicas para criar políticas com privilégios mínimos:

Limitar o escopo da política a um compartimento, em vez de à tenancy

Cada política consiste em uma ou mais instruções de política que seguem esta sintaxe básica: Quando possível, defina o escopo das políticas com base em compartimentos, e não com base na tenancy. Por exemplo, atualize uma política como esta:

Allow group <group_name> to <verb><resource-type> in tenancy

para incluir apenas os compartimentos necessários:

Allow group <group_name> to <verb><resource-type> in compartment <compartment_name>

Se o usuário precisar acessar vários compartimentos, crie uma instrução de política para cada compartimento. É fácil remover o acesso a compartimentos individuais, se necessário.

Limitar permissões às necessárias para as funções de um cargo

O sistema Oracle define os possíveis verbos que podem ser usados nas suas políticas. Este é um resumo dos verbos, da menor para a maior permissão de acesso:

Verbo Tipos de Acesso Incluídos Usuário-alvo
inspect Capacidade de listar recursos, sem acesso a informações confidenciais ou a metadados especificados pelo usuário que possam fazer parte desses recursos. Auditores de Terceiros
read Inclui inspect mais a capacidade de obter metadados especificados pelo usuário e o recurso propriamente dito. Auditores internos
use Inclui read mais a capacidade de trabalhar com recursos existentes (as ações variam por tipo de recurso). Em geral, esse verbo não inclui a capacidade de criar ou excluir esse tipo de recurso. Usuários finais com acesso diário aos recursos
manage Inclui todas as permissões para o recurso. Administradores

Geralmente, os usuários que não precisam criar ou excluir recursos não precisam gerenciar permissões. Se você tiver uma política como 

Allow group <group_name> to manage <resource-type> in compartment <compartment_name>

mas o usuário nunca precisará criar ou excluir o tipo de recurso, considere modificar a política para 

Allow group <group_name> to use <resource-type> in compartment <compartment_name>

A Referência da Política inclui detalhes dos tipos de recursos específicos para cada serviço e qual combinação de verbo + tipo de recurso permite o acesso a quais operações da API.

Para oferecer controle de acesso detalhado, limite o acesso usando condições e operações da API

Em uma declaração de política, é possível usar condições combinadas com permissões ou operações da API para reduzir o escopo de acesso concedido por um verbo específico.

Por exemplo, vamos dizer que o grupo XYZ possa listar, obter, criar ou atualizar grupos (alterar sua descrição), mas não possa excluí-los. Para listar, obter, criar e atualizar grupos, você precisa de uma política com manage groups como verbo e tipo de recurso. De acordo com a tabela em Detalhes para Combinações de Verbos + Tipos de Recursos, estas são as seguintes permissões:

  • GROUP_INSPECT
  • GROUP_UPDATE
  • GROUP_CREATE
  • GROUP_DELETE

Para restringir o acesso apenas às permissões desejadas, você pode adicionar uma condição que declare explicitamente as permissões que deseja permitir:

Allow group XYZ to manage groups in tenancy
                        
                        where any {request.permission='GROUP_INSPECT',
                        request.permission='GROUP_CREATE',
                        request.permission='GROUP_UPDATE'}

Uma alternativa seria uma política que concede todas as permissões, exceto GROUP_DELETE:

Allow group XYZ to manage groups in tenancy where request.permission != 'GROUP_DELETE'

Outra alternativa seria criar uma condição com base nas operações específicas da API. Observe que de acordo com a tabela em Permissões Necessárias para Cada Operação da API, tanto ListGroups quanto GetGroup exigem somente a permissão GROUP_INSPECT. Esta é a política:

Allow group XYZ to manage groups in tenancy
                        
                        where any {request.operation='ListGroups',  
                        request.operation='GetGroup',
                        request.operation='CreateGroup',
                        request.operation='UpdateGroup'}

Pode ser vantajoso usar permissões em vez de operações da API em condições. No futuro, se uma nova operação da API for adicionada e requeira uma das permissões listadas na política baseada em permissões acima, essa política já controlará o acesso do grupo XYZ a essa nova operação da API.

Mas observe que você pode restringir ainda mais o acesso de um usuário a uma permissão especificando também uma condição baseada na operação da API. Por exemplo, você pode conceder a um usuário o acesso a GROUP_INSPECT, mas depois somente a ListGroups. 

Allow group XYZ to manage groups in tenancy
                        
                        where all {request.permission='GROUP_INSPECT',  
                        request.operation='ListGroups'}

Mais Informações:

Chaves de assinatura da API têm mais de 90 dias

Problema: As chaves de assinatura da API de um usuário têm mais de 90 dias. A Oracle recomenda que você rotacione as chaves da API pelo menos a cada 90 dias.

Informações Básicas:

  • As chaves da API são credenciais usadas para conceder acesso programático ao Oracle Cloud Infrastructure.

  • É uma prática recomendada de engenharia de segurança e um requisito de conformidade alterar as chaves da API regularmente a cada 90 dias ou menos.

  • Certifique-se de testar as novas chaves antes de desativar as chaves antigas.

Para gerar e fazer o upload de novas chaves da API:

O procedimento a seguir é para a Console do Oracle Cloud Infrastructure.

Gere novas chaves da API
Você pode usar os seguintes comandos OpenSSL para gerar o par de chaves no formato PEM necessário. Se estiver usando o Windows, você deverá instalar o Git Bash para Windows e executar os comandos com essa ferramenta.

  1. Se ainda não tiver feito isso, crie um diretório .oci para armazenar as credenciais:

    
mkdir ~/.oci

  2. Gere a chave privada com um dos comandos a seguir.

    • Recomendado: para gerar a chave criptografada com uma frase-senha que você fornece quando solicitado:

      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 2048

      Observação: Para Windows, pode ser necessário inserir -passout stdin para uma frase-senha ser solicitada por prompt. O prompt será apenas o cursor piscante, sem texto.

      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 -passout stdin 2048

    • Para gerar a chave sem frase-senha:

      openssl genrsa -out ~/.oci/oci_api_key.pem 2048

  3. Certifique-se de que apenas você possa ler o arquivo de chave privada:

    chmod go-rwx ~/.oci/oci_api_key.pem

  4. Gere a chave pública:

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem

    Observação: Para o Windows, se tiver gerado a chave privada com uma frase-senha, talvez você precise inserir -passin stdin para que a frase-senha seja solicitada. O prompt será apenas o cursor piscante, sem texto.

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem -passin stdin

  5. Copie o conteúdo da chave pública para a área de transferência usando pbcopy, xclip ou uma ferramenta semelhante (você precisará colar o valor na Console posteriormente). Por exemplo:

    cat ~/.oci/oci_api_key_public.pem | pbcopy
As suas solicitações da API serão assinadas com a sua chave privada, e o sistema Oracle usará a chave pública para verificar a autenticidade da solicitação. Você deve fazer o upload da chave pública para o serviço IAM (instruções abaixo).
Obtenha a impressão digital da chave

Você pode obter a impressão digital da chave com o comando do OpenSSL a seguir.

Para Linux e Mac OS X:

openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c
Para Windows:
Observação

Se você estiver usando o Windows, instale o Git Bash for Windows e execute o comando com essa ferramenta.
openssl rsa -pubout -outform DER -in \.oci\oci_api_key.pem | openssl md5 -c

Quando você faz o upload da chave pública na Console, a impressão digital também é exibida automaticamente. Ela deverá se parecer com: 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef

Faça o upload da chave de assinatura da API para o usuário
Você pode fazer o upload da chave pública do PEM na Console, localizada em https://cloud.oracle.com. Se você não tiver um login e uma senha para a Console, entre em contato com um administrador.
  1. Abra a Console e acesse o acesso.

  2. Exiba os detalhes do usuário que chamará a API com o par de chaves:

    • Se você estiver conectado à Console como este usuário: No menu de navegação, selecione o menu Perfil Ícone do menu Perfil e, em seguida, selecione Definições do usuário ou Meu perfil, dependendo da opção exibida.
    • Se você for um administrador fazendo isso para outro usuário: abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Usuários. Localize o usuário na lista e selecione o nome dele para ver os detalhes.
  3. Selecione Selecionar Chaves de API.
  4. Selecione Adicionar Chave de API.
  5. Selecione Colar Chave Pública
  6. Cole o conteúdo da chave pública do PEM na caixa de diálogo e selecione Adicionar.
A impressão digital da chave é exibida (por exemplo, 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef). Observe que após o upload da sua primeira chave pública, você também poderá usar a operação da API UploadApiKey para fazer o upload de chaves adicionais. Você pode ter até três pares de chaves da API por usuário. Em uma solicitação da API, você especifica a impressão digital da chave para indicar qual chave está usando para assinar a solicitação.
Teste a nova chave

Teste a chave em uma amostra de chamada da API no Oracle Cloud Infrastructure.

Exclua a antiga chave
O procedimento a seguir funciona para um usuário comum ou para um administrador. Os administradores podem excluir uma chave da API para outro usuário ou para eles mesmos.
  1. Exiba os detalhes do usuário:
    • Se você estiver excluindo uma chave de API para você mesmo: No menu de navegação , selecione o menu Perfil Ícone do menu Perfil e, em seguida, selecione Definições do usuário ou Meu perfil, dependendo da opção exibida.
    • Se você for um administrador que está excluindo uma chave de API para outro usuário: Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Usuários. Localize o usuário na lista e selecione o nome dele para ver os detalhes.
  2. Selecione Chaves de API.
  3. Selecione o menu Ações Menu Ações para a chave de API que você deseja excluir e selecione Excluir.
  4. Confirme quando solicitado.
A chave da API não é mais válida para o envio de solicitações da API.

Mais Informações:

Concessão de privilégio de administrador da tenancy a um grupo do IAM

Problema: Um grupo que não o grupo Administradores recebeu privilégios de administrador.

Informações Básicas:

  • A concessão do privilégio de administrador da tenancy (manage all-resources in tenancy) a um grupo permite que os membros tenham acesso integral a todos os recursos da tenancy.
  • Esse direito de alto privilégio deve ser controlado e restrito somente aos usuários que precisarem dele para executar as funções relacionadas a um cargo.
  • Verifique com o administrador do Oracle Cloud Infrastructure se essa concessão de direito foi sancionada e se a associação como membro do grupo permanece válida após a concessão do privilégio de administrador.
  • Em vez de criar um grupo alternativo com privilégios de administrador, considere adicionar os usuários que precisam de privilégios de administrador ao grupo Administradores padrão.

Para resolver esse problema:

Adicione os usuários que precisam de privilégios de administrador ao grupo Administradores:

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
  2. Na lista Grupos, selecione Administradores.
  3. Selecione Adicionar Usuário ao Grupo.
  4. Na caixa de diálogo Adicionar Usuário ao Grupo, selecione o usuário na lista Usuário.
  5. Selecione Adicionar.

Remova a política ou a instrução de política que concede os privilégios de administração ao grupo (não Administradores).

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Políticas. É exibida uma lista das políticas no compartimento que você está exibindo.

    Se você não vir a política que está procurando, verifique se está exibindo o compartimento correto. Para exibir políticas anexadas a outro compartimento, em Escopo da lista, selecione esse compartimento na lista.

  2. Clique na política que você deseja atualizar.

    Os detalhes e instruções da política são exibidos.

  3. Localize a instrução que concede privilégios de administrador ao grupo. Essa política será semelhante a:

    Allow group <group_name> to manage all-resources in tenancy

    Clique no menu Ações Menu Ações e depois clique em Excluir.

  4. Se a política não tiver outras instruções, você poderá excluí-la clicando em Excluir ao lado do nome da política.

Mais Informações:

Rede: VCN, Balanceadores de Carga e DNS

Não há regra de entrada nas listas de segurança

Problema: As listas de segurança de uma VCN não têm regras de entrada. Isso significa que as instâncias da VCN não podem receber tráfego de entrada.

Informações Básicas:

  • As listas de segurança fornecem recursos de firewall com e sem monitoramento de estado para controlar o acesso das suas instâncias à rede.
  • Uma lista de segurança é configurada no nível da sub-rede e é aplicada no nível da instância.
  • É possível associar várias listas de segurança a uma sub-rede. Um pacote será permitido se corresponder a uma regra em qualquer uma das listas de segurança usadas pela sub-rede.
  • Se não houver regras de entrada (de recebimento) nas listas de segurança da sub-rede, nenhum tráfego será permitido para as instâncias dessa sub-rede.
  • Para permitir uma ampla defesa, as regras da lista de segurança de entrada devem declarar uma origem conhecida específica e não uma (0.0.0.0/0) de origem aberta.
  • Você pode configurar uma exceção no Oracle CASB Cloud Service para reduzir alertas provenientes de listas de segurança isentas.

Para adicionar uma regra de entrada a uma lista de segurança existente:

O procedimento a seguir é para a Console do Oracle Cloud Infrastructure.

  1. Abra o menu de navegação , selecione Rede e selecione Redes virtuais na nuvem.
  2. Confirme que está exibindo o compartimento que contém a rede na nuvem em que está interessado.
  3. Clique na rede na nuvem em que está interessado.
  4. Clique em Listas de Segurança.
  5. Clique na lista de segurança na qual está interessado.
  6. Clique em Regras de Entrada.

  7. Adicione pelo menos uma regra de entrada:

    1. Clique em Adicionar Regras de Entrada.
    2. Escolha se essa é uma regra com ou sem monitoramento de estado (consulte Regras com e sem Monitoramento de Estado). Por padrão, as regras têm monitoramento de estado, a menos que você especifique o contrário.
    3. Informe o CIDR de origem. CIDRs típicos que você pode especificar em uma regra são o bloco CIDR para sua rede local ou para uma sub-rede específica. Se você estiver configurando uma regra de lista de segurança para permitir o tráfego com um gateway de serviço, consulte Tarefa 3: (Opcional) Atualizar regras de segurança.
    4. Selecione o protocolo (por exemplo, TCP, UDP, ICMP, "Todos os protocolos" e assim por diante).
    5. Insira mais detalhes dependendo do protocolo:
      • Se você tiver escolhido TCP ou UDP, informe um intervalo de portas de origem e um intervalo de portas de destino. Você pode inserir "Tudo" para abranger todas as portas. Se quiser permitir uma porta específica, insira o número da porta (por exemplo, 22 para SSH ou 3389 para RDP) ou um intervalo de portas (por exemplo, 20-22).
      • Se tiver escolhido ICMP, você poderá inserir "Todos" para abranger todos os tipos e códigos. Se você quiser permitir um tipo de ICMP específico, digite o tipo e um código opcional separados por vírgulas (por exemplo, 3,4). Se o tipo tiver vários códigos que você deseja permitir, crie uma regra separada para cada código.
  8. Quando terminar, clique em Adicionar Regras de Entrada.

Essa alteração permite o acesso de entrada no bloco CIDR de origem listado na regra. Inclua regras adicionais se quiser permitir a entrada de outras origens conhecidas.

Mais Informações:

A lista de segurança permite o tráfego proveniente de qualquer endereço IP (código aberto)

Problema: Uma lista de segurança tem pelo menos uma regra com uma origem aberta (0.0.0.0/0). Isso significa que o tráfego pode vir de qualquer origem e não é controlado.

Informações Básicas:

  • As listas de segurança fornecem recursos de firewall com e sem monitoramento de estado para controlar o acesso das suas instâncias à rede.
  • Uma lista de segurança é configurada no nível da sub-rede e é aplicada no nível da instância.
  • É possível associar várias listas de segurança a uma sub-rede. Um pacote será permitido se corresponder a uma regra em qualquer uma das listas de segurança usadas pela sub-rede.
  • Se não houver regras de entrada (de recebimento) nas listas de segurança da sub-rede, nenhum tráfego será permitido para as instâncias dessa sub-rede.
  • Para permitir uma ampla defesa, as regras da lista de segurança de entrada devem declarar uma origem conhecida específica e não uma (0.0.0.0/0) de origem aberta.
  • Você pode configurar uma exceção no Oracle CASB Cloud Service para reduzir alertas provenientes de listas de segurança isentas.

Para alterar a origem de uma regra de lista de segurança:

O procedimento a seguir é para a Console do Oracle Cloud Infrastructure.

  1. Abra o menu de navegação , selecione Rede e selecione Redes virtuais na nuvem.
  2. Confirme que está exibindo o compartimento que contém a rede na nuvem em que está interessado.
  3. Clique na rede na nuvem em que está interessado.
  4. Clique em Listas de Segurança.
  5. Clique na lista de segurança na qual está interessado.
  6. Clique em Regras de Entrada.
  7. Localize a regra que lista 0.0.0.0/0 como CIDR de origem.
  8. Edite a regra e altere 0.0.0.0/0 para o bloco CIDR de uma origem conhecida.

Essa alteração restringe a entrada de forma que pacotes só sejam permitidos quando provenientes de um bloco CIDR específico. Inclua regras adicionais se quiser permitir a entrada de outras origens conhecidas.

Mais Informações:

A lista de segurança permite o tráfego em portas confidenciais

Problema: Uma lista de segurança tem pelo menos uma regra que permite o acesso a uma porta confidencial.

Informações Básicas:

  • As listas de segurança fornecem recursos de firewall com e sem monitoramento de estado para controlar o acesso das suas instâncias à rede.
  • Uma lista de segurança é configurada no nível da sub-rede e é aplicada no nível da instância.
  • É possível associar várias listas de segurança a uma sub-rede. Um pacote será permitido se corresponder a uma regra em qualquer uma das listas de segurança usadas pela sub-rede.
  • Se não houver regras de entrada (de recebimento) nas listas de segurança da sub-rede, nenhum tráfego será permitido para as instâncias dessa sub-rede.
  • Para permitir uma ampla defesa, as regras da lista de segurança de entrada devem declarar uma origem conhecida específica e não uma (0.0.0.0/0) de origem aberta.
  • Você pode configurar uma exceção no Oracle CASB Cloud Service para reduzir alertas provenientes de listas de segurança isentas.

Recomendação: Atualize a lista de segurança da sub-rede para permitir o acesso às instâncias por meio de SSH (TCP porta 22) ou RDP (TCP porta 3389) em uma base temporária, conforme necessário, e somente por meio de blocos CIDR autorizados (não 0.0.0.0/0). Para executar verificações de integridade da instância, atualize a lista de segurança para permitir pings de ICMP.

Para alterar uma lista de segurança existente:

O procedimento a seguir é para a Console do Oracle Cloud Infrastructure.

  1. Abra o menu de navegação , selecione Rede e selecione Redes virtuais na nuvem.
  2. Confirme que está exibindo o compartimento que contém a rede na nuvem em que está interessado.
  3. Clique na rede na nuvem em que está interessado.
  4. Clique em Listas de Segurança.
  5. Clique na lista de segurança na qual está interessado.
  6. Clique em Regras de Entrada.
  7. Faça uma ou mais destas alterações:
    • Excluir uma regra existente.
    • Altere uma regra existente na lista. Por exemplo: altere a origem de 0.0.0.0/0 para o bloco CIDR de uma origem conhecida.
    • Adicione uma nova regra.

Mais Informações:

Gateway de internet anexado à VCN

Problema: Uma VCN tem um gateway de internet. O gateway deve ter autorização para ser anexado à VCN e não deve expor recursos acidentalmente à internet.

Informações Básicas:

  • Os gateways fornecem conectividade externa a hosts em uma VCN. Por exemplo: um gateway de internet permite conectividade direta com a internet para instâncias que estão em uma sub-rede pública e têm um endereço IP público. Um DRG (gateway de roteamento dinâmico) permite a conectividade com a rede on-premises por meio de uma VPN entre Sites ou FastConnect.
  • Para permitir o tráfego por meio do gateway de internet de uma sub-rede específica na VCN, deve haver uma regra na tabela de roteamento da sub-rede que lista o gateway de internet como um alvo de roteamento. Para excluir o gateway de internet da VCN, primeiro exclua regras de roteamento que especifiquem o gateway de internet como alvo.
  • Você pode configurar uma exceção no Oracle CASB Cloud Service para reduzir alertas provenientes de VCNs isentas.

Para remover um gateway de internet de uma VCN:

Pré-requisito: Certifique-se de que não haja regras de roteamento que especifiquem o gateway de internet como alvo.

O procedimento a seguir é para a Console do Oracle Cloud Infrastructure.

  1. Abra o menu de navegação , selecione Rede e selecione Redes virtuais na nuvem.
  2. Confirme que está exibindo o compartimento que contém a rede na nuvem em que está interessado.
  3. Clique na rede na nuvem em que está interessado.
  4. Clique em Gateways de Internet.
  5. Clique no menu Ações Menu Ações do gateway de internet e, em seguida, clique em Encerrar.
  6. Confirme quando solicitado.

Essa alteração desativa a conectividade direta com a internet para a VCN.

Mais Informações:

A instância tem um IP público

Problema: Uma instância tem um endereço IP público. Isso significa que a instância poderá ser acessada publicamente se outros componentes necessários estiverem presentes e configurados corretamente na VCN.

Informações Básicas:

  • Tenha cuidado ao permitir que uma instância acesse a internet. Por exemplo, não permita acidentalmente que sistemas de bancos de dados confidenciais tenham acesso à internet.

  • Para que uma instância seja acessada publicamente:

    • A instância deve ter um endereço IP público e residir em uma sub-rede pública na VCN (instâncias em sub-redes privadas não podem ter endereços IP públicos).
    • A lista de segurança da sub-rede deve ser configurada para permitir o tráfego proveniente de todos os IPs (0.0.0.0/0) e de todas as portas.
    • A VCN deve ter um gateway de internet e estar configurada para rotear o tráfego de saída da sub-rede para o gateway de internet.
  • Uma instância pode ter mais de um endereço IP público. Um IP público é designado a um IP privado em uma VNIC específica na instância. Uma instância pode ter mais de uma VNIC, e cada VNIC pode ter mais de um IP privado.

Para remover um endereço IP público de uma instância:

O procedimento a seguir é para a Console do Oracle Cloud Infrastructure.

  1. Abra o menu de navegação e selecione Computação. Em Compute, selecione Instâncias.
  2. Confirme que está exibindo o compartimento que contém a instância na qual está interessado.
  3. Clique na instância para exibir seus detalhes.

  4. Clique em VNICs Anexadas.

    A VNIC principal e todas as VNICs secundárias anexadas à instância são exibidas.

  5. Clique na VNIC em que está interessado.

  6. Clique em IPv4 Endereços.

    O IP privado da VNIC principal e todos os IPs privados secundários são exibidos.

  7. Para o IP privado do seu interesse, clique no menu Ações Menu Ações e depois clique em Editar.
  8. Na seção Endereço IP Público, para Tipo de IP Público, selecione o botão de opção Nenhum IP Público.
  9. Clique em Atualizar.

O IP público teve a designação cancelada na instância.

Mais Informações:

O balanceador de carga não tem regras de entrada nem listeners

Problema: Uma lista de segurança de sub-rede do balanceador de carga não tem regras de entrada, ou um balanceador de carga não tem listener. Nesse caso, o balanceador de carga não poderá receber tráfego de entrada.

Informações Básicas:

  • Os balanceadores de carga fornecem uma distribuição automatizada do tráfego de um ponto de entrada para vários servidores acessíveis da sua VCN (rede virtual na nuvem). Há um balanceador de carga em cada sub-rede governada por regras de lista de segurança. Um balanceador de carga recebe tráfego de dados de entrada proveniente de um ou mais listeners.
  • As listas de segurança fornecem recursos de firewall com e sem monitoramento de estado para controlar o acesso do seu balanceador de carga e dos servidores de backend à rede.
    • Se não houver regras de entrada (de recebimento) nas listas de segurança da sub-rede, nenhum tráfego será permitido para as instâncias dessa sub-rede.
    • Para permitir uma ampla defesa, configure as regras da lista de segurança de entrada para declarar uma origem conhecida específica e não uma origem aberta (0.0.0.0/0).
  • Um listener é uma entidade lógica que verifica o tráfego de entrada no endereço IP do balanceador de carga.
    • Para tratar tráfego TCP, HTTP e HTTPS, você deve configurar pelo menos um listener por tipo de tráfego.
    • É possível aplicar regras de roteamento de caminho a um listener para rotear o tráfego ao conjunto de backend correto sem usar vários listeners ou balanceadores de carga. Uma rota de caminho é uma string com que o listener estabelece uma correspondência em relação a um URI de entrada para determinar o conjunto de backend de destino apropriado.
  • Certifique-se de que os balanceadores de carga do Oracle Cloud Infrastructure usem regras de entrada ou listeners para permitir apenas o acesso de recursos conhecidos.
  • As exceções podem ser configuradas no CASB para reduzir alertas provenientes de balanceadores de carga isentos.
Para permitir que um listener aceite o tráfego:

O procedimento a seguir é para a Console do Oracle Cloud Infrastructure.

Para permitir que um listener aceite o tráfego, você deve atualizar as regras da lista de segurança da VCN:

  1. Abra o menu de navegação , selecione Rede e selecione Redes virtuais na nuvem.
  2. Em Escopo da Lista, selecione um compartimento no qual você tenha permissão para trabalhar. A lista de VCNs no compartimento atual será exibida.
  3. Selecione o nome da VCN que contém o seu balanceador de carga e, em seguida, selecione Grupos de segurança de rede ou Listas de segurança. É exibida uma lista dos grupos de segurança, ou são exibidas listas na rede na nuvem.
  4. Selecione o nome do NSG ou da lista de segurança que se aplica ao seu balanceador de carga.
  5. Adicione ou edite as regras existentes para dar acesso pelos recursos apropriados. As regras de segurança de um NSG aparecem na página Detalhes do grupo de segurança de rede. Nessa página, você pode adicionar, editar ou remover regras. A página Detalhes da lista de segurança permite o acesso a tabelas separadas nas quais você pode adicionar ou editar regras de entrada ou regras de saída. Para obter detalhes sobre a configuração da regra, consulte Regras de Segurança.

Para criar um listener:

Normalmente, você cria um listener como parte do workflow de criação do balanceador de carga. Para criar um listener para um balanceador de carga existente:

  1. Em Balanceadores de carga, selecione Balanceador de carga.

    A página da lista Balanceadores de carga é aberta. Todos os recursos existentes do balanceador de carga no compartimento selecionado são exibidos em uma tabela de lista.

  2. Para exibir os recursos em outro compartimento, use o filtro Compartimento para alternar compartimentos.

    Você deve ter permissão para trabalhar em um compartimento para ver os recursos nele. Se você não tiver certeza sobre qual compartimento usar, entre em contato com um administrador. Para obter mais informações consulte Noções Básicas de Compartimentos.

  3. Selecione um Estado na lista para limitar os balanceadores de carga exibidos a esse estado.
  4. Selecione o balanceador de carga cujo listener você deseja criar. A página Detalhes do balanceador de carga é exibida.
  5. Selecione Listeners em Recursos. A lista Listeners é exibida. Todos os listeners são listados em formato tabular.
  6. Selecione Criar listener. A caixa de diálogo Criar listener é exibida.
  7. Preencha as seguintes informações:
    • Nome: Digite um nome amigável para o listener. O nome deve ser exclusivo e não pode ser alterado.
    • Nome do Host: (Opcional) Selecione até 16 nomes de hosts virtuais para esse listener.
      Observação

      Para aplicar um nome do host virtual a um listener, o nome deve ser parte da configuração do balanceador do carregamento. Se o balanceador de carga não tiver nomes do host associados, você poderá criar um na página Nomes do Host. Consulte Nomes de Host Virtual para Balanceador de Carga para obter mais informações.
    • Protocolo: Especifique o protocolo a ser usado: HTTP, HTTP/2, TCP ou HTTPS.
    • Porta: Especifique a porta do listener do tráfego de entrada.
    • Usar SSL: (Obrigatório para HTTP/2 e HTTPS, opcional para HTTP e TCP) Selecione para ativar. As definições a seguir são obrigatórias para associar um pacote de certificados SSL ao listener para ativar o tratamento de SSL. Consulte Certificados SSL para Balanceadores de Carga para obter mais informações sobre o uso de certificados SSL com balanceadores de carga.

      O balanceador de carga detecta automaticamente alterações e consome a versão atual das entidades do serviço Certificates (certificados, autoridades de certificação e CABundles) para uso na configuração SSL. Consulte Certificados para obter mais informações sobre rotações automatizadas de certificados.

      • Recurso de certificado: Selecione o tipo de recurso de certificado na lista:

        O método de importação do certificado varia dependendo do tipo de recurso de certificado selecionado.

        Certificado gerenciado pelo serviço de certificados: Selecione o certificado no compartimento especificado na lista Certificado. Selecione Alterar compartimento para escolher outro compartimento no qual selecionar o certificado.

        • Opções avançadas estão disponíveis com essa seleção. Selecione Mostrar opções avançadas e selecione a guia SSL Avançada. Essa opção é descrita posteriormente neste tópico.
        • Certificado gerenciado pelo balanceador de carga: Selecione uma destas opções para importar o certificado:

          Escolher arquivo de certificado SSL: Arraste o arquivo de certificado, no formato PEM, para o campo certificado SSL. Você também pode escolher a opção Colar certificado SSL para colar um certificado diretamente nesse campo. Se você submeter um certificado autoassinado para SSL de backend, deverá submeter o mesmo certificado no campo Certificado de CA correspondente.

          Especificar chave privada: (Obrigatório para encerramento de SSL, opcional para todo o resto) Caixa de seleção para fornecer uma chave privada para o certificado.

          Selecionar arquivo de chave privada: Arraste a chave privada, no formato PEM, para o campo Chave privada. Você também pode escolher a opção Colar chave privada para colar uma chave privada diretamente neste campo.

          Informar frase-chave privada: (Opcional) Especifique a frase-chave privada.

        • Ativar retomada da sessão: Selecione para retomar a sessão de criptografia anterior em vez de concluir uma nova conexão SSL antes de cada solicitação. A ativação da retomada da sessão melhora o desempenho, mas fornece um nível mais baixo de segurança. Desmarque a funcionalidade para forçar uma nova conexão SSL antes de cada solicitação. A desativação da retomada da sessão melhora a segurança, mas reduz o desempenho.
      • Verificar certificado de par: (Opcional) Selecione essa opção para ativar a verificação de certificados de par. Consulte Certificados SSL para Balanceadores de Carga para obter mais informações.

        Não há suporte para mTLS (TLS mútuo) na comunicação entre um balanceador de carga e seus servidores de backend. Você pode usar o mTLS para comunicação entre balanceadores de carga e usuários.

      • Verificar profundidade: (Opcional) Especifique a profundidade máxima para verificação da cadeia de certificados. Consulte Certificados SSL para Balanceadores de Carga para obter mais informações.
    • Conjunto de backend: Especifique o conjunto de backend padrão para o qual o listener roteará o tráfego.
    • Timeout de inatividade em segundos: (Opcional) Especifique o tempo máximo de inatividade em segundos. Essa definição se aplica ao tempo permitido entre duas operações sucessivas de entrada/saída na rede para recebimento ou envio durante a fase de resposta à solicitação HTTP. O valor máximo é de 7.200 segundos. Para obter mais informações, consulte Definições de Timeout de Conexão do Serviço Load Balancer.
    • (Opcional) Selecione a guia Protocolo de Proxy para ativar e configurar o protocolo de proxy no balanceador de carga. Consulte Protocolo Proxy para obter mais informações sobre esse recurso.
      1. Selecione Ativar Protocolo de Proxy para ativar esse recurso.
      2. Selecione qual versão do protocolo de proxy você deseja usar:
        • Versão 1: Suporta um formato de cabeçalho (texto) legível por humanos e geralmente é uma linha única de uma entrada de log. Use essa opção para depuração durante o estágio de adoção inicial quando houver poucas implementações.
        • Versão 2: Combina o suporte para o cabeçalho legível por humanos da Versão 1 com uma codificação binária do cabeçalho para maior eficiência na produção e análise. Use esta opção para endereços IPv6, que são difíceis de gerar e fazer parsing no form ASCII. A versão 2 também suporta melhor extensões personalizadas. Por padrão, PP2 Type Authority é selecionado como a única opção Versão 2 disponível.
    • Selecione uma Política de roteamento ou um conjunto de rotas de caminho.
      • Política de roteamento: (Opcional) Especifique o nome da política de roteamento que se aplica ao tráfego desse listener.
      • Conjunto de rotas de caminho: (Opcional) Especifique o nome do conjunto de regras de roteamento baseado em caminho que se aplica ao tráfego desse listener.

        Para que seja possível aplicar um conjunto de rotas de caminho a um listener, o conjunto de rotas de caminho deve fazer parte da configuração do balanceador de carga.

        Para remover um conjunto de rotas de caminho de um listener existente, escolha Nenhum para a opção Conjunto de Rotas de Caminho. O conjunto de rotas de caminho permanece disponível para uso por outros listeners neste balanceador de carga.

    • Conjuntos de regras: (Opcional) Selecione um conjunto de regras a ser aplicado ao tráfego desse listener. Para aplicar um conjunto de regras a um listener, o conjunto deverá fazer parte da configuração do balanceador de carga. Para remover um conjunto de regras da lista, selecione a caixa vermelha correspondente. O conjunto de regras permanece disponível para uso de outros listeners nesse balanceador de carga.
    • Mostrar opções avançadas: Selecione para exibir as seguintes opções:
      • SSL Avançado: (estará presente apenas se o recurso Certificado Gerenciado pelo Serviço de Certificados for selecionado.) Selecione uma dessas opções se você selecionou Certificado Gerenciado pelo Serviço de Certificados ao selecionar o recurso de certificado para o listener.

        Pacote de CAs: Selecione na lista o pacote de autoridades de certificação no compartimento especificado. Selecione Alterar compartimento para escolher outro compartimento no qual selecionar o pacote de autoridade de certificação.

        autoridade de certificação: Selecione na lista a autoridade de certificação no compartimento especificado. Selecione Alterar compartimento para escolher outro compartimento no qual selecionar o pacote de autoridade de certificação.

      • versão do TLS: Especifique as versões do TLS (Transport Layer Security): 1.0, 1.1, 1.2 (recomendado) e 1.3.

        Você pode selecionar qualquer combinação de versões. Escolha na lista as que você deseja. Se você não especificar as versões do TLS, o TLS padrão será somente a versão 1.2.

        Selecionar suíte de cifragem: Selecione um conjunto de suítes de cifragem na lista (padrão). Todas as opções presentes na lista têm pelo menos uma cifra associada a cada versão do TLS selecionada.

        Crie um certificado SSL usando o algoritmo de assinatura que se baseia nas ciphers ativadas para sua política de segurança.

      • Mostrar detalhes da suíte de cifragem: Selecione para exibir as ciphers individuais que a suíte de cifragem selecionada contém.
      • Preferência de ordem de servidor: Selecione Ativar para dar preferência às cifragens do servidor sobre o cliente.
  8. Selecione Criar listener.

Ao criar um listener, você também deve atualizar as regras da lista de segurança da sua VCN para permitir o tráfego até esse listener.

Mais Informações:

O balanceador de carga não tem conjuntos de backend

Problema: Um balanceador de carga não tem conjuntos de backend. Nesse caso, o balanceador de carga não tem um lugar para distribuir os dados recebidos e não tem um meio de monitorar a integridade do servidor de backend.

Informações Básicas:

  • Um conjunto de backend é uma entidade lógica definida por uma política de balanceamento de carga, uma política de verificação de integridade e uma lista de servidores de backend.
  • O conjunto de backend determina a política de distribuição de tráfego do balanceador de carga, como:
    • Hash de IP
    • Menor Nº de Conexões
    • Revezamento Ponderado
  • Você especifica os parâmetros de teste para confirmar a integridade dos servidores de backend ao criar um conjunto de backend.
  • Se você tiver um balanceador de carga existente sem um conjunto de backend, poderá especificar os servidores de backend que receberão o tráfego do balanceador de carga após a criação de um conjunto de backend.
  • Você pode configurar uma exceção no Oracle CASB Cloud Service para reduzir alertas provenientes de balanceadores de carga isentos.

Para criar um conjunto de backend:

O procedimento a seguir é para a Console do Oracle Cloud Infrastructure.

Geralmente, você cria um conjunto de backend como parte do workflow de criação do balanceador de carga. Para criar um conjunto de backend para um balanceador de carga existente:

  1. Em Balanceadores de carga, selecione Balanceador de carga.

    A página da lista Balanceadores de carga é aberta. Todos os recursos existentes do balanceador de carga no compartimento selecionado são exibidos em uma tabela de lista.

  2. Para exibir os recursos em outro compartimento, use o filtro Compartimento para alternar compartimentos.

    Você deve ter permissão para trabalhar em um compartimento para ver os recursos nele. Se você não tiver certeza sobre qual compartimento usar, entre em contato com um administrador. Para obter mais informações consulte Noções Básicas de Compartimentos.

  3. Selecione um Estado na lista para limitar os balanceadores de carga exibidos a esse estado.
  4. Selecione o balanceador de carga ao qual você deseja adicionar um conjunto de backend. A página Detalhes do balanceador de carga é exibida.
  5. Selecione Conjuntos de backend em Recursos. A lista Conjunto de backend é exibida. Todos os conjuntos de backend são listados em formato tabular.
  6. Selecione Create backend set. É exibida a caixa de diálogo Criar conjunto de backend.

  7. Preencha as seguintes informações:

    • Nome: Digite um nome amigável para o conjunto de backend. Ele deve ser exclusivo no balanceador de carga e não pode ser alterado. Os nomes de conjuntos de backend válidos incluem somente caracteres alfanuméricos, traços e sublinhados. Os nomes do conjunto de backend não podem conter espaços.
    • Política de distribuição de tráfego: Selecione a política do balanceador de carga para o conjunto de backend. As opções disponíveis são:
      • Hash de IP
      • Menos conexões
      • Revezamento ponderado

      Você não pode adicionar um servidor de backend marcado como Backup a um conjunto de backend que usa a política de Hash de IP. Para obter mais informações sobre essas políticas, consulte Políticas de Balanceadores de Carga.

    • Usar SSL: Selecione para associar um recurso de certificado SSL ao conjunto de backend.

      O balanceador de carga detecta automaticamente alterações e consome a versão atual das entidades do serviço Certificates (certificados, autoridades de certificação e CABundles) para uso na configuração SSL. Consulte Certificados para obter mais informações sobre rotações automatizadas de certificados.

      Se não houver recursos de certificado anexado ao balanceador de carga, essa opção estará desativada.

      Recurso de certificado: Selecione o tipo de recurso de certificado na lista:

      O método de importação do certificado varia dependendo do tipo de recurso de certificado selecionado. Consulte Certificados SSL para Balanceadores de Carga para obter informações sobre como os balanceadores de carga usam certificados SSL.

      Consulte Certificados para obter informações gerais sobre como usar SSL com sua política de firewall de aplicativo Web.

      • Certificado gerenciado pelo serviço de certificados

        Selecione a opção Pacote de CA ou Autoridade de certificado e, em seguida, selecione sua escolha na lista associada. Selecione Alterar compartimento para escolher outro compartimento no qual selecionar o pacote de CAs ou a autoridade de certificação.

        Opções avançadas estão disponíveis com essa seleção. Selecione Mostrar opções avançadas e selecione a guia SSL Avançada. Essa opção é descrita posteriormente neste tópico.

      • Certificado gerenciado pelo balanceador de carga: Selecione uma destas opções para importar o certificado:

        Escolher arquivo de certificado SSL: Arraste o arquivo de certificado, no formato PEM, para o campo certificado SSL. Você também pode escolher a opção Colar certificado SSL para colar um certificado diretamente nesse campo.

        Se você submeter um certificado autoassinado para SSL de backend, deverá submeter o mesmo certificado no campo Certificado de CA correspondente.

        Especificar chave privada: (Obrigatório para encerramento de SSL.) Selecione para fornecer uma chave privada para o certificado.

        Selecionar arquivo de chave privada: Arraste a chave privada, no formato PEM, para o campo Chave privada.

        Informar frase-chave privada: Especifique a frase-chave privada. Como alternativa, você pode escolher a opção Colar chave privada para colar uma chave privada diretamente neste campo.

        Verificar certificado de par: selecione essa opção para ativar a verificação de certificados de par. Consulte Certificados SSL para Balanceadores de Carga para obter mais informações.

        Verificar profundidade: Opcional. Especifique a profundidade máxima para verificação da cadeia de certificados. Consulte Certificados SSL para Balanceadores de Carga para obter mais informações.

    • Persistência de sessão: Especifique como o balanceador de carga gerenciará a persistência de sessão. Consulte Persistência de Sessão do Balanceador de Carga para obter informações importantes sobre como configurar essas definições.
      • Desativar persistência de sessão: Escolha esta opção para desativar a persistência de sessão baseada em cookie.
      • Ativar persistência de cookie do aplicativo: Escolha esta opção para ativar sessões persistentes de um único cliente lógico quando a resposta de um servidor de aplicativos de backend incluir um cabeçalho Set-cookie com o nome do cookie especificado.
        • Nome do cookie: O nome do cookie usado para ativar a persistência de sessão. Especifique * para estabelecer uma correspondência com qualquer nome de cookie.
        • Desativar reserva: Marque esta caixa para desativar a reserva quando o servidor original estiver indisponível.
      • Ativar persistência de cookie do balanceador de carga: Escolha esta opção para ativar sessões persistentes com base em um cookie inserido pelo balanceador de carga.
        • Nome do cookie: Especifique o nome do cookie usado para ativar a persistência de sessão. Se esse campo for deixado em branco, o nome do cookie padrão será X-Oracle-BMC-LBS-Route.

          Certifique-se de que os nomes de cookies usados nos servidores de aplicativos de backend não sejam iguais ao nome do cookie usado no balanceador de carga.

        • Desativar reserva: Marque esta caixa para desativar a reserva quando o servidor original estiver indisponível.
        • Nome do domínio:: Especifique o domínio no qual o cookie é válido.

          Esse atributo não tem valor padrão. Se você não especificar um valor, o balanceador de carga não inserirá o atributo de domínio no cabeçalho Set-cookie.

        • Caminho: Especifique o caminho no qual o cookie é válido. O valor padrão é /.
        • Período de expiração em segundos: Especifique o tempo que o cookie permanece válido. Se esse campo for deixado em branco, o cookie expirará ao final da sessão do cliente.
        • Atributos

          Secure: Especifique se o cabeçalho Set-cookie contém o atributo Secure. Se essa opção estiver selecionada, o cliente só enviará o cookie usando um protocolo seguro.

          Se ativar essa definição, você não poderá associar o conjunto de backend correspondente a um listener HTTP.

          Somente HTTP: Especifique se o cabeçalho Set-cookie contém o atributo HttpOnly. Se essa opção tiver sido selecionada, o cookie será limitado a solicitações HTTP. O cliente omite o cookie ao permitir acesso aos cookies por meio de APIs não HTTP, como canais do JavaScript.

    • Verificação de integridade: Especifique os parâmetros de teste para confirmar a integridade dos servidores de backend.
      • Protocolo: Especifique o protocolo a ser usado, HTTP ou TCP. Configure o seu protocolo de verificação de integridade para corresponder ao seu aplicativo ou serviço. Consulte Verificações de Integridade para Balanceadores de Carga para obter mais informações.
      • Porta: (Opcional) Especifique a porta do servidor de backend na qual será executada a verificação da integridade. Você pode informar o valor 0 para que a verificação de integridade use a porta de tráfego do servidor de backend.
      • Forçar verificações de integridade de texto simples: (somente HTTP) (Opcional) Marque para enviar a verificação de integridade ao servidor de backend sem SSL. Essa opção só está disponível quando o servidor de backend tem seu protocolo definido como HTTP. Ela não tem efeito quando o servidor de backend não tem SSL ativado. Quando o SSL está desativado, as verificações de integridade são sempre texto simples.
      • Intervalo em milissegundos: (Opcional) Especifique com que frequência executar a verificação de integridade, em milissegundos. O padrão é 10000 (10 segundos).
      • Timeout em milissegundos: (Opcional) Especifique o tempo máximo, em milissegundos, para aguardar uma resposta a uma verificação de integridade. Uma verificação de integridade só será bem-sucedida se uma resposta retornar dentro desse período de timeout. O padrão é 3000 (3 segundos).
      • Número de Novas Tentativas: (Opcional) Especifique o número de novas tentativas a serem tentadas antes de um servidor de backend ser considerado "não saudável". Esse número também se aplica durante a recuperação de um servidor para o estado "íntegro". O padrão é '3.'
      • Código de status: (somente HTTP) (Opcional) Especifique o código de status que um servidor de backend saudável deverá retornar.
      • Caminho do URL (URI): (somente HTTP) Especifique um ponto final de URL para executar a verificação de integridade.
      • Regex do corpo da resposta: (somente HTTP) (Opcional) Forneça uma expressão regular para analisar o corpo da resposta do servidor de backend.
    • Mostrar opções avançadas: Selecione este link para acessar mais opções. Selecione a guia para a funcionalidade correspondente:
      • Guia SSL Avançado: (estará presente apenas se o recurso Certificado Gerenciado pelo Serviço de Certificados for selecionado.) Selecione uma dessas opções se você selecionou Certificado Gerenciado pelo Serviço de Certificados ao selecionar o recurso de certificado para o listener. Consulte Certificados SSL para Balanceadores de Carga para obter informações sobre como os balanceadores de carga usam certificados SSL.

        Pacote de CAs: Selecione na lista o pacote de autoridades de certificação no compartimento especificado. Selecione Alterar compartimento para escolher outro compartimento no qual selecionar o pacote de autoridade de certificação.

        autoridade de certificação: Selecione na lista a autoridade de certificação no compartimento especificado. Selecione Alterar compartimento para escolher outro compartimento no qual selecionar o pacote de autoridade de certificação.

      • Versão do TLS: Opcional. Especifique as versões de TLS (Transport Layer Security): 1.0, 1.1, 1.2 (recomendado) e 1.3

        Você pode selecionar qualquer combinação de versões. Escolha na lista as que você deseja. Se você não especificar as versões do TLS, o TLS padrão será apenas da versão 1.2.

        Selecionar suíte de criptografia: Selecione um conjunto de suítes de criptografia na lista. Todas as opções presentes na lista têm pelo menos uma cifra associada a cada versão do TLS selecionada.

  8. Selecione Criar.

Após o provisionamento do seu conjunto de backend, você deverá especificar os servidores do conjunto de backend. Consulte Servidores de Backend para Balanceadores de Carga para obter mais informações.

Mais Informações:

O certificado SSL do balanceador de carga expira em X dias

Problema: Um certificado SSL de um balanceador de carga expira em breve. Quando o certificado expirar, o tráfego de dados poderá ser interrompido, e a segurança comprometida.

Informações Básicas:

  • Para garantir segurança e usabilidade contínuas, os certificados SSL devem ser alterados por rotação em tempo hábil.
  • Você pode configurar uma exceção no Oracle CASB Cloud Service para reduzir alertas provenientes de balanceadores de carga isentos.

Para rotacionar um pacote de certificados do balanceador de carga:

O procedimento a seguir é para a Console do Oracle Cloud Infrastructure.

  1. Atualize o seu cliente ou servidor de backend para que ele possa trabalhar com um novo pacote de certificados.
    Observação

    As etapas para atualizar o seu cliente ou servidor de backend são únicas para o seu sistema.
  2. Faça o upload do novo pacote de certificados SSL para o balanceador de carga:
    1. Em Balanceadores de carga, selecione Balanceador de carga. A página Balanceadores de carga é exibida.
    2. Selecione o nome do Compartimento que contém o balanceador de carga que você deseja alterar e, em seguida, selecione o nome do balanceador de carga.
    3. Selecione o balanceador de carga que deseja configurar. A página Detalhes do balanceador de carga é exibida.
    4. Selecione Certificados em Recursos. A lista Certificados é exibida. Todos os certificados são listados em formato tabular.
    5. Preencha as seguintes informações:
      • Nome do certificado: Digite um nome simples para o pacote de certificados. Ele deve ser exclusivo dentro do balanceador de carga e não pode ser alterado na Console. (Ele pode ser alterado com a API.)
      • Escolher arquivo de certificado SSL: Arraste o arquivo de certificado, no formato PEM, para o campo certificado SSL.

        Você também pode escolher a opção Colar certificado SSL para colar um certificado diretamente nesse campo.

        Importante

        Se submeter um certificado autoassinado para SSL de backend, você deverá submeter o mesmo certificado no campo Certificado da CA correspondente.
      • Especificar certificado da CA: (recomendado para configurações de encerramento de SSL de backend.) Selecione para fornecer um certificado de CA.
        • Escolher arquivo de certificado da CA: Arraste o arquivo de certificado da CA, no formato PEM, para o campo certificado da CA.

          Você também pode escolher a opção Colar certificado de CA para colar um certificado diretamente nesse campo.

      • Especificar chave privada: (Obrigatório para encerramento de SSL.) Selecione para fornecer uma chave privada para o certificado.
        • Selecionar arquivo de chave privada: Arraste a chave privada, no formato PEM, para o campo Chave privada.

          Você também pode escolher a opção Colar chave privada para colar uma chave privada diretamente neste campo.

        • Informar frase-chave privada: (Opcional) Especifique a frase-chave privada.
    6. Selecione Adicionar certificado. Em seguida, edite cada listener ou conjunto de backend aplicável (conforme necessário) para que ele use o novo pacote de certificados:

  3. Edite o listener:

    1. Em Balanceadores de carga, selecione Balanceador de carga.
    2. Escolha o Compartimento que contém o balanceador de carga que você deseja alterar e, em seguida, selecione o nome do balanceador de carga.
    3. Selecione Listeners em Recursos. A lista Listeners é exibida. Todos os listeners são listados em formato tabular.
    4. Selecione o menu Ações Menu Ações ao lado do listener que você deseja editar e selecione Editar Listener.
    5. Na lista Nome do certificado, escolha o novo pacote de certificados.
    6. Selecione Enviar.
  4. Edite um conjunto de backend:
    Importante

    A atualização do conjunto de backend interrompe temporariamente a transferência de tráfego e pode cancelar as conexões ativas.
    1. Em Balanceadores de carga, selecione Balanceador de carga.

      A página da lista Balanceadores de carga é aberta. Todos os recursos existentes do balanceador de carga no compartimento selecionado são exibidos em uma tabela de lista.

    2. Para exibir os recursos em outro compartimento, use o filtro Compartimento para alternar compartimentos.

      Você deve ter permissão para trabalhar em um compartimento para ver os recursos nele. Se você não tiver certeza sobre qual compartimento usar, entre em contato com um administrador. Para obter mais informações consulte Noções Básicas de Compartimentos.

    3. Selecione um Estado na lista para limitar os balanceadores de carga exibidos a esse estado.
    4. Selecione o balanceador de carga cujo conjunto de backend você deseja editar. A página Detalhes do balanceador de carga é exibida.
    5. Selecione Conjuntos de backend em Recursos. A lista Conjunto de backend é exibida. Todos os conjuntos de backend são listados em formato tabular.
    6. Selecione o nome do conjunto de backend que você deseja editar. A página Detalhes do conjunto de backend é exibida.
    7. Selecione Editar conjunto de backend. É exibida a caixa de diálogo Editar conjunto de backend.
    8. Selecione Usar SSL.
    9. Na lista Nome do certificado, escolha o novo pacote de certificados.
    10. Selecione Salvar alterações.

  5. (Opcional) Remova o pacote de certificados SSL que estão expirando.

    Observação

    Não é possível excluir um pacote de certificados SSL associado a um listener ou a um conjunto de backend. Remova o pacote de qualquer outro listener ou conjunto de backend antes de excluir.
    1. Em Balanceadores de carga, selecione Balanceador de carga.
    2. Selecione o nome do Compartimento que contém o balanceador de carga que você deseja alterar e, em seguida, selecione o nome do balanceador de carga.
    3. Selecione o balanceador de carga que deseja configurar.
    4. No menu Recursos, selecione Certificados.
    5. Para o certificado que deseja excluir, selecione o menu Ações Menu Ações e, em seguida, selecione Excluir.
    6. Confirme quando solicitado.

Mais Informações:

Serviço Object Storage

Buckets públicos detectados

Problema: Foram detectados buckets públicos na sua tenancy. Confirme se a criação de cada bucket público é intencional e está autorizada. Se o bucket não for sancionado para acesso público, siga o procedimento para alterar a visibilidade de um bucket e torná-lo privado.

Informações Básicas:

  • Avalie com cuidado o requisito de negócios para acesso público a um bucket. Quando você permite o acesso anônimo a um bucket, os usuários podem obter metadados do objeto, fazer o download de objetos de bucket e, opcionalmente, listar o conteúdo de um bucket.
  • A alteração do tipo de acesso é bidirecional. Você pode alterar o acesso de um bucket de público para privado ou de privado para público.
  • A alteração do tipo de acesso não afeta as solicitações pré-autenticadas existentes. As solicitações pré-autenticadas existentes ainda funcionam.

Para alterar a visibilidade de um bucket (privado ou público):

O procedimento a seguir é para a Console do Oracle Cloud Infrastructure.

  1. Na página da lista Buckets, selecione o bucket do Object Storage com o qual você deseja trabalhar. Se precisar de ajuda para localizar a página da lista ou o bucket do Object Storage, consulte Listando Buckets do Object Storage.

  2. Na página de detalhes do bucket, localize Visibilidade e selecione Editar.

  3. Selecione Público ou Privado.

    Se você selecionar Público para permitir acesso público, decida se deseja permitir que os usuários listem o conteúdo do bucket. Para definir a visibilidade das listas de objetos de bucket, selecione Permitir que os usuários listem objetos deste bucket.

  4. Selecione Salvar Alterações.

Mais Informações: