Acessando o Fusion Applications com Segurança
Controlar o acesso da rede ao Fusion Applications.
Os usuários podem acessar o Fusion Applications pela internet, desde que tenham credenciais de usuário válidas. Para controlar ainda mais o acesso ao seu ambiente, o Fusion Applications suporta as seguintes opções:
- Lista de Controle de Acesso (ACL): Permite acesso ao seu ambiente apenas de IPs públicos (CIDRs) selecionados ou redes virtuais na nuvem (VCNs) usando uma Lista de Controle de Acesso (ACL).
- Acesso privado a partir de redes locais: Permita o acesso ao seu ambiente a partir da sua rede local sem passar pela internet.
- Controle de Acesso Baseado em Localização (LBAC): Permite que os usuários acessem tarefas e dados com base em suas funções e computem endereços IP. Essa opção é configurada na Console de Segurança do Fusion Applications por um administrador com a função Gerente de Segurança de TI. Para obter detalhes, consulte Visão Geral do Acesso Baseado na Localização.
Esses casos de uso não são mutuamente exclusivos e podem ser suportados entre si. Por exemplo, você pode configurar o acesso privado de uma rede local e também fornecer acesso pela internet para IPs selecionados; ou, você pode ativar o LBAC com acesso privado do local.
Visão Geral do Acesso Privado de uma Rede Local
O Fusion Application permite que você defina a conectividade privada da sua rede local para o Fusion Applications. Em um nível superior, esta configuração envolve:
-
Criando e configurando a conexão da sua rede local com a sua VCN e o Fusion Application no OCI.
- Atualizando as definições de rede do ambiente do Fusion Applications.
Pré-requisitos para Acesso Privado no Local
Para configurar o acesso privado de uma rede local para o Fusion Applications no OCI, você deve ter o seguinte:
- Uma tenancy no OCI (Oracle Cloud Infrastructure), na qual seu ambiente do Fusion Applications é provisionado.
- Uma Rede Virtual na Nuvem (VCN) na tenancy do OCI.
- Uma conexão da sua rede local com a sua VCN. Há duas maneiras de estabelecer conexão da sua rede on-premises com a sua VCN no OCI: VPN Site a Site ou FastConnect.
- VPN Site a site: Fornece uma conexão IPSec site a site entre sua rede local e sua VCN (rede virtual na nuvem). A suíte de protocolos IPSec criptografa o tráfego IP antes que os pacotes sejam transferidos da origem para o destino e decriptografa o tráfego quando ele chega. As instruções deste tópico orientam você na configuração da VPN Site a Site. Para obter detalhes completos, consulte VPN Site-to-Site.
- FastConnect: Fornece uma maneira de criar uma conexão privada dedicada entre o seu data center e o OCI. O FastConnect oferece opções de largura de banda mais alta e uma experiência de rede mais confiável e consistente em comparação com as conexões baseadas na internet. Ao estabelecer conexão via FastConnect, o BGP é a única opção para trocar rotas. Consulte o blog e a documentação do FastConnect para obter informações sobre sua configuração.
- Você deve ter limites de serviço para permitir que provisione a VCN e a VPN Site a Site (anteriormente chamada de IPSec VPN) ou FastConnect em sua tenancy.
Você pode verificar seus limites na Console da seguinte forma:
Abra o menu de navegação e selecione Governança e Administração. Em Gerenciamento de Tenancy, selecione Limites, Cotas e Uso.
Selecione o seguinte na lista Serviço para exibir o limite:
- Limites da VPN Site a Site: selecione VPN, exiba o limite da Contagem de Conexões IPSec.
- Limites para VCN: selecione Rede Virtual na Nuvem.
- Limites para FastConnect: selecione Conexão Rápida.
Para solicitar um aumento dos limites de serviço, consulte Solicitando um Aumento do Limite de Serviço.
Etapas para Configurar a Conectividade Privada Usando a VPN Site a Site
As etapas a seguir descrevem como configurar a conectividade privada usando a VPN Site a Site. Consulte a documentação do serviço OCI Networking usando os valores específicos mencionados abaixo.
Criar uma VCN e estabelecer conexão da sua rede local com a sua VCN e o Fusion Application no OCI
- Crie a rede virtual na nuvem.
Para criar a VCN, siga as instruções na documentação do serviço Networking: Criando uma VCN. Certifique-se de que o bloco CIDR IPV4 informado não se sobreponha à faixa de IPs de rede local.
- Conecte a VCN com a rede local.
Nesta etapa, você conecta a VCN à rede on-premises usando a VPN Site a Site. Para obter a conexão, você precisa criar e anexar um Gateway de Roteamento Dinâmico (DRG) à VCN e configurar o roteamento entre a VCN e sua rede local.
- Crie um Gateway de Roteamento Dinâmico usando as instruções no tópico Criando um DRG.
- Anexe sua VCN ao DRG usando as instruções no tópico Anexando uma VCN a um DRG.
-
Siga as instruções no tópico Configurando a VPN entre Sites para definir seu Customer-Premises Equipment e criar a conexão entre a VPN entre Sites IPSec.
- Configure o roteamento de trânsito seguindo as instruções no tópico: Opções de Roteamento de Trânsito para Acesso Privado aos Serviços Oracle. Use estas instruções para configurar seu roteamento de trânsito diretamente por meio de gateways de serviço. Ou, se você tiver cenários mais avançados, consulte os detalhes do roteamento por meio de um IP privado.
Atualizar as definições de rede do ambiente do Fusion Applications
Nas etapas finais, atualize seu ambiente do Fusion Applications para permitir o tráfego privado da sua VCN. Para bloquear o acesso pela internet pública, certifique-se de que nenhum outro IP público seja adicionado à lista de controle de acesso do ambiente do Fusion Applications.
Além disso, o Fusion Applications usa o armazenamento em cache baseado em CDN (Content Delivery Network) para fornecer conteúdo mais rapidamente aos usuários. Você deve desativar a aceleração de conteúdo para evitar o armazenamento em cache.
Crie a regra de controle de acesso para permitir apenas sua VCN:
- Navegue até o ambiente: No Home dos Aplicativos da Console, clique em Fusion Applications. Na página Visão Geral, localize a família do ambiente e selecione o nome do ambiente.
- Na página de detalhes do ambiente, em Recursos, selecione Rede.
- Selecione Criar regra.
- Para Tipo de notação IP, selecione Rede Virtual na Nuvem e, no próximo campo, selecione sua VCN.
- Selecione Criar regra.
Desative o cache da internet (Content Acceleration):
- Ainda em Rede, selecione a guia Aceleração de conteúdo.
- Selecione Editar.
- Defina a opção Cache de Internet como desativada.
- Selecione Salvar alterações.
Controle de Acesso Baseado em Localização (LBAC) com Conectividade Local Privada
O LBAC é outro recurso que o Fusion Applications fornece para controlar o acesso do usuário a tarefas e dados com base em suas funções e endereços IP do computador.
O LBAC é configurado na Console de Segurança do Fusion Applications. Para ativar o acesso baseado em localização e tornar pública uma função, você deve ter a função Gerente de Segurança de TI. Você só poderá tornar uma atribuição pública quando o acesso baseado em localização estiver ativado. Para ativar o acesso baseado em localização, você deve registrar os endereços IP dos computadores dos quais os usuários geralmente acessam o aplicativo. Você pode encontrar os detalhes e como ativar e desativar o LBAC em Visão Geral do Acesso Baseado em Localização.
Para configurar o LBAC com conectividade local privada, você também deve Solicitações de Suporte (SR) para o Suporte ao Cliente do Fusion Applications para ativar o LBAC com conectividade local privada.