Políticas da Zona de Segurança

Quando você cria e atualiza recursos em uma zona de segurança, o Oracle Cloud Infrastructure valida essas operações de acordo com as políticas na zona de segurança. Se qualquer política for violada, a operação será negada.

Ao criar uma zona de segurança, você a designa a uma receita, que é um conjunto de políticas de zona de segurança.

Sua tenancy tem uma receita predefinida chamada Receita de Segurança Máxima, que inclui várias políticas de zona de segurança selecionadas. A Oracle gerencia essa receita e você não pode modificá-la. No entanto, você pode criar suas próprias receitas que atendam aos seus requisitos de segurança específicos.

As Security Zones categorizam políticas por princípio de segurança, como Restringir Movimentação de Recursos. Cada política afeta um ou mais recursos da nuvem, como recursos do Compute, Networking, Object Storage e Database.

Observação

As políticas de banco de dados não se aplicam ao Oracle Exadata Cloud@Customer.

Observação

As políticas de Gerenciamento de Computação se aplicam a configurações de instância e pools de instâncias. Consulte Usando Configurações de Instância e Grupos de Instâncias.

Restringir Movimentação de Recursos

Para garantir a integridade dos dados, determinados recursos de uma zona da segurança não podem ser movidos para um compartimento fora da zona da segurança porque ela pode ser menos segura, Você também não pode mover um recurso existente para o compartimento em uma zona da segurança, exceto se todas as políticas da zona da segurança forem atendidas.

A tabela a seguir descreve as políticas de zona de segurança que restringem o movimento de recursos.


Política	Tipos de Recursos	Descrição
`deny attached_boot_volume_not_in_security_zone_move_to_compartment_in_security_zone`	Armazenamento em Blocos	Não é possível mover o volume de inicialização anexado que não está em uma região de segurança para um compartimento em uma região de segurança.
`deny block_volume_in_security_zone_move_to_compartment_not_in_security_zone`	Armazenamento em Blocos	Você não pode mover um volume de bloco na zona do sistema de segurança para um compartimento não pertencente à mesma zona.
`deny boot_volume_in_security_zone_move_to_compartment_not_in_security_zone`	Armazenamento em Blocos	Não é possível mover um volume de inicialização na região de segurança para um compartimento diferente da mesma região de segurança.
`deny instance_in_security_zone_move_to_compartment_not_in_security_zone`	Computação	Você não pode mover um instance na região de segurança para um compartimento não correspondente à mesma região de segurança.
`deny instance_not_in_security_zone_move_to_compartment_in_security_zone`	Computação	Você não pode mover um exemplo para a zona da segurança de um compartimento não pertencente à mesma zona.
`deny db_instance_move_to_compartment_not_in_security_zone`	Banco de Dados (todos os tipos)	Você não pode mover um banco de dados na zona de segurança para um compartimento não pertencente à mesma zona de segurança.
`deny database_with_dataguard_association_move_to_compartment_in_security_zone`	Banco de Dados (Sistemas de BD bare metal e máquina virtual, sistemas de BD Exadata)	Não será possível mover um banco de dados para a zona de segurança se sua associação do Data Guard não estiver na mesma zona de segurança.
`deny file_system_in_security_zone_move_to_compartment_not_in_security_zone`	Armazenamento de Arquivos	Você não pode mover um sistema de arquivos na zona de segurança para um compartimento não existente na mesma zona de segurança.
`deny mount_target_in_security_zone_move_to_compartment_not_in_security_zone`	Armazenamento de Arquivos	Não é possível mover um ponto de serviço montado (File Storage) na zona de segurança para um compartimento não na mesma zona de segurança.
`deny bucket_in_security_zone_move_to_compartment_not_in_security_zone`	Object Storage	Você não pode mover um bucket na zona de segurança para um compartimento diferente da mesma zona de segurança.
`deny LPG_gateway`	VCN	Você não pode adicionar um gateway de pareamento local a uma VCN na zona de segurança e não pode mover um gateway de pareamento local para a zona de segurança.
`deny subnet_in_security_zone_move_to_compartment_not_in_security_zone`	VCN	Você não pode mover uma sub-rede na zona de segurança para um compartimento não pertencente à mesma zona de segurança.

Restringir Associação de Recursos

Todos os componentes necessários para um recurso em uma zona de segurança também devem estar localizados na mesma zona de segurança. Os Recursos que não estejam em uma zona de segurança podem ser vulneráveis, e os recursos em outra zona de segurança podem ter uma postura de segurança mais baixa.

A tabela a seguir descreve as políticas de zona de segurança que restringem a associação de recursos.


Política	Tipos de Recursos	Descrição
`deny attached_block_volume_not_in_security_zone_move_to_compartment_in_security_zone`	Armazenamento em Blocos	Você não poderá mover um volume de bloco para a zona de segurança se ele estiver anexado a uma instância do serviço Compute que não esteja na mesma zona de segurança.
`deny block_volume_in_security_zone_attach_to_instance_not_in_security_zone`	Computação	Você não pode anexar um volume de armazenamento em blocos à instância do serviço Compute que não esteja na mesma zona da segurança.
`deny block_volume_not_in_security_zone_attach_to_instance_in_security_zone`	Computação	Não será possível anexar um volume de armazenamento de blocos a uma instância do serviço Compute na zona da segurança se o volume não estiver na mesma zona da segurança.
`deny boot_volume_not_in_security_zone_attach_to_instance_in_security_zone`	Computação	Você não poderá anexar um volume da inicialização a uma instância do serviço Compute na zona do serviço Security se o volume não estiver na mesma zona.
`deny boot_volume_in_security_zone_attach_to_instance_not_in_security_zone`	Computação	Não é possível anexar um volume de inicialização na região de segurança a uma instância do serviço Compute que não esteja na mesma região de segurança.
`deny instance_in_security_zone_launch_from_boot_volume_not_in_security_zone`	Computação, Gerenciamento de Computação	Você não poderá iniciar uma instância do serviço Compute na zona de segurança se seu volume de inicialização não estiver na mesma zona de segurança.
`deny instance_not_in_security_zone_launch_from_boot_volume_in_security_zone`	Computação, Gerenciamento de Computação	Você não poderá iniciar uma instância do serviço Compute usando um volume de inicialização na zona de segurança se a instância não estiver na mesma zona de segurança.
`deny instance_in_security_zone_in_subnet_not_in_security_zone`	Computação, Gerenciamento de Computação	Uma instância do serviço Compute na zona de segurança não poderá usar uma sub-rede se não estiver na mesma zona de segurança.
`deny dataguard_association_with_db_instances_not_in_security_zones`	Banco de Dados (Sistemas de BD bare metal e máquina virtual, sistemas de BD Exadata)	Um banco de dados na zona de segurança só poderá ter uma associação do Data Guard com outro banco de dados (principal/stand-by) se também estiver em uma zona de segurança.
`deny db_instance_subnet_not_in_security_zone`	Banco de Dados (todos os tipos)	Um banco de dados na zona de segurança não poderá usar uma sub-rede se não estiver na mesma zona de segurança.
`deny db_resource_association_not_in_security_zone`	Banco de Dados (Sistemas de BD Exadata)	Os recursos do Exadata Infrastructure na zona de segurança não podem ser associados a Bancos de Dados Contêiner ou clusters de VMs que não estejam na mesma zona de segurança.
`deny mount_target_in_security_zone_created_with_subnet_not_in_security_zone`	Armazenamento de Arquivos	Um ponto de acesso NFS (File Storage) na zona de segurança não poderá usar uma sub-rede se não estiver na mesma zona de segurança.
`deny mount_target_not_in_security_zone_create_with_subnet_in_security_zone`	Armazenamento de Arquivos	Você não pode criar um ponto de acesso NFS (File Storage) que use uma sub-rede em uma zona de segurança se o ponto de acesso NFS não estiver na mesma zona de segurança.
`deny file_system_in_security_zone_export_via_mount_target_not_in_security_zone`	Armazenamento de Arquivos	Não é possível exportar um sistema de arquivos na zona de segurança por meio de um ponto de acesso NFS (File Storage) que não esteja na mesma zona de segurança.
`deny file_system_not_in_security_zone_export_via_mount_target_in_security_zone`	Armazenamento de Arquivos	Não é possível exportar um sistema de arquivos por meio de um ponto de acesso NFS (File Storage) se o sistema de arquivos não estiver na mesma zona de segurança.

Negar Acesso Público

Os recursos em uma zona de segurança não devem ser acessíveis por meio da internet pública.

Quando você cria uma sub-rede privada , as instâncias de Computação iniciadas nessa sub-rede não podem ter endereços IP públicos. Essa restrição garante que instâncias de Computação na sub-rede não tenham acesso a internet. Para instâncias do serviço Compute em uma sub-rede privada, um gateway de serviço permite o acesso privado a serviços públicos, como Object Storage. Consulte: Visão Geral de Redes.

A tabela a seguir descreve as políticas de zona de segurança que restringem o acesso à rede.


Política	Tipos de Recursos	Descrição
`deny cloud_shell_public_network`	Cloud Shell	Os hosts do Cloud Shell em uma zona de segurança não podem ter acesso à rede pública.
`deny db_instance_public_access`	Banco de Dados (todos os tipos)	Não é possível designar bancos de dados na zona de segurança a sub-redes públicas. Eles devem usar sub-redes privadas.
`deny public_load_balancer`	Balanceador de Carga	Os balanceadores de carga em uma área de segurança não podem ser públicos. Todos os balanceadores de carga devem ser privados.
`deny public_buckets`	Object Storage	Os buckets do Object Storage na zona de segurança não podem ser públicos.
`deny DRG_gateway`	VCN	Você não pode adicionar um DRG (Gateway de Roteamento Dinâmico) a uma VCN na zona de segurança.
`deny internet_gateway`	VCN	Não é possível adicionar um gateway de internet a uma VCN (rede virtual na nuvem) dentro da zona de segurança.
`deny LPG_gateway`	VCN	Você não pode adicionar um gateway de pareamento local a uma VCN na zona de segurança e não pode mover um gateway de pareamento local para a zona de segurança.
`deny NAT_gateway`	VCN	Não é possível adicionar um gateway NAT (tradução de endereço de rede) a uma VCN na zona de segurança.
`deny SGW_gateway`	VCN	Não é possível adicionar um SGW (gateway seguro) a uma VCN na zona de segurança.
`deny public_subnets`	VCN	As sub-redes na zona de segurança não podem ser públicas. Elas devem ser privadas.

Requer Criptografia

Os recursos de uma zona de segurança devem ser criptografados usando chaves gerenciadas pelo cliente. Os dados devem ser criptografados em trânsito e em repouso.

O Oracle Cloud Infrastructure Vault permite que você gerencie as chaves mestras de criptografia que protegem dados e as credenciais secretas que você usa para acessar recursos com segurança. Você também pode rotacionar chaves de criptografia regularmente.

Muitos serviços se integram ao serviço Vault para criptografia, incluindo Object Storage e Block Volume.

A tabela a seguir descreve as políticas de zona de segurança que impõem a criptografia.


Política	Tipos de Recursos	Descrição
`deny block_volume_without_vault_key`	Armazenamento em Blocos	Os volumes em bloco na região de segurança devem usar uma chave de criptografia mestra gerenciada pelo cliente no serviço Vault. Eles não podem usar a chave de criptografia padrão gerenciada pela Oracle.
`deny boot_volume_without_vault_key`	Armazenamento em Blocos	Os volumes da inicialização na zona da segurança devem usar uma chave de criptografia principal gerenciada pelo cliente no serviço Vault. Eles não podem usar a chave de criptografia padrão gerenciada pela Oracle.
`deny file_system_without_vault_key`	Armazenamento de Arquivos	Os Sistemas de arquivos na região de segurança devem usar uma chave de criptografia mestra gerenciada pelo cliente no serviço Vault. Eles não podem usar a chave de criptografia padrão gerenciada pela Oracle.
`deny buckets_without_vault_key`	Object Storage	Os buckets do Object Storage na zona do serviço Security devem usar uma chave de criptografia mestra gerenciada pelo cliente no serviço Vault. Eles não podem usar a chave de criptografia padrão gerenciada pela Oracle.

Garantir a Durabilidade dos Dados

Backups automáticos devem ser executados regularmente para recursos em uma zona de segurança.

A tabela a seguir descreve a política de zona de segurança que impõe a durabilidade dos dados.


Política	Tipos de Recursos	Descrição
`deny database_without_backup`	Banco de Dados (Sistemas de BD bare metal e máquina virtual, sistemas de BD Exadata)	Os bancos de dados na zona de segurança devem ser configurados para executar backups automáticos. Consulte Backup e Recuperação de Banco de Dados.

Garantir a Segurança dos Dados

Os dados em uma zona de segurança são considerados privilegiados e não podem ser copiados fora da zona de segurança.

A tabela a seguir descreve as políticas de zona de segurança que impõem a segurança dos dados.


Política	Tipos de Recursos	Descrição
`deny database_not_in_security_zone_create_from_backup_in_security_zone`	Banco de Dados (Sistemas de BD bare metal e máquina virtual, sistemas de BD Exadata)	Não é possível usar um backup de banco de dados na zona de segurança para criar um banco de dados que não esteja na mesma zona de segurança.
`deny database_in_security_zone_create_clone_not_in_security_zone`	Banco de Dados (Sistemas de BD de máquina virtual, Autonomous Database)	Não é possível clonar um banco de dados na zona de segurança para criar um banco de dados que não esteja na mesma zona de segurança.
`deny file_system_in_security_zone_clone_to_compartment_not_in_security_zone`	Armazenamento de Arquivos	Não é possível clonar um sistema de arquivos em uma zona de segurança para criar um sistema de arquivos que não esteja na mesma zona de segurança.

Usar apenas Configurações Aprovadas pela Oracle

A Oracle requer que determinados recursos de segurança sejam ativados e configurados para os recursos dentro de uma zona de segurança. Um exemplo é a configuração do sistema operacional de uma instância (Compute) do serviço Compute.

A tabela a seguir descreve as políticas de zona de segurança que exigem configurações aprovadas pela Oracle.


Política	Tipos de Recursos	Descrição da Política
`deny manage_bastion_resource`	Bastion	Não é possível criar ou modificar um bastion na zona de segurança.
`deny detach_volume`	Armazenamento em Blocos	Não é possível desanexar um volume na zona de segurança.
`deny manage_compute_and_block_storage_resource`	Armazenamento em Blocos, Computação,	Não é possível executar nenhuma das seguintes ações nos recursos do serviço Compute na zona de segurança: Criar uma instância Anexar um volume a uma instância Anexar um volume de inicialização a uma instância Mover uma instância para outro compartimento Atualizar um instante Executar determinadas ações de energia em uma instância Anexar uma VNIC a uma instância Criar um host de máquina virtual (VM) dedicado Alterar o compartimento para uma VM dedicada Atualizar um host da VM dedicada Excluir um host da VM dedicado Crie uma conexão da Console com uma instância Atualize uma conexão da Console para uma instância Exclua uma conexão da Console com uma instância Criar uma reserva de capacidade do serviço Compute Atualizar uma reserva de capacidade do serviço Compute Excluir uma reserva de capacidade do serviço Compute Mover uma reserva de capacidade do serviço Compute para outro compartimento Criar uma configuração de instância Criar uma instância com base na configuração de uma instância Criar um pool de instâncias Iniciar um pool de instâncias Criar uma rede de clusters Não é possível executar nenhuma das seguintes ações nos recursos do serviço Block Storage na zona de segurança: Criar um volume Excluir um volume Mover um volume para outro compartimento Excluir uma chave KMS de volume Criar um backup de volume Excluir um backup de volume Mover um backup de volume para outro compartimento Criar uma política para backup do volume Excluir uma política do backup do volume Criar um backup do grupo dos volumes Excluir um backup de grupo do volume Mover um backup de grupo de volumes para outro compartimento Criar um volume e inicialização Excluir um volume de inicialização Mover um volume de inicialização para outro compartimento Excluir uma chave KMS de volume de inicialização Criar um backup de volume de inicialização Excluir um backup do volume de inicialização Copiar um backup de volume de inicialização Mover um backup de volume de inicialização para outro compartimento Criar um grupo de volumes Excluir um grupo de volumes Mover um grupo de volumes para outro compartimento
`deny manage_image_resource`	Computação	Não é possível executar nenhuma das seguintes ações em uma imagem na zona de segurança: Criar uma imagem Atualizar uma imagem Deleta uma imagem Mover uma imagem para outro compartimento
`deny terminate_instance`	Computação	Não é possível excluir uma instância na zona de segurança.
`deny instance_without_sanctioned_image`	Computação, Gerenciamento de Computação	Você deve criar uma instância na zona de segurança usando uma imagem da plataforma. Não é possível criar uma instância de computação na zona de segurança com base em uma imagem personalizada.
`deny delete_certificate_authority`	Gerenciamento de Certificados	Não é possível excluir uma autoridade de certificação na zona de segurança.
`deny revoke_certificate_authority_version`	Gerenciamento de Certificados	Não é possível revogar um certificado intermediário em um pacote de autoridade de certificação (CA) na zona de segurança.
`deny free_database_creation`	Banco de Dados (todos os tipos)	Não é possível criar uma instância de banco de dados Always Free na zona de segurança.
`deny manage_file_storage_resource`	Armazenamento de Arquivos	Não é possível criar ou modificar um recurso de armazenamento de arquivos na zona de segurança.
`deny manage_oke_service`	Kubernetes Engine	Não é possível executar nenhuma das seguintes ações nos recursos do OKE na zona de segurança: Criar um cluster Atualizar um cluster Excluir um cluster Criar uma configuração de kubernetes Atualizar uma configuração de ponto final do cluster Criar um pool de nós Atualizar um pool de nós Excluir um pool de nós
negar delete_all_load_balancer_back_end_sets	Balanceador de Carga	Não é possível excluir conjuntos de backend do balanceador de carga na zona de segurança.
`deny load_balancer_with_weak_SSL_communication`	Balanceador de Carga	A política SSL de um listener do balanceador de carga na zona de segurança deve usar o TLS 1.2 ou uma versão posterior.
`deny security_list_to_allow_traffic_to_restricted_port`	VCN	Não é possível criar ou modificar uma lista de segurança para permitir o tráfego para portas não seguras na zona de segurança.
`deny delete_network_security_group`	VCN	Não é possível excluir um grupo de segurança de rede da VCN na zona de segurança.
`deny network_security_group_with_unsecure_ingress_rule`	VCN	Não é possível adicionar um grupo de segurança de rede com uma regra que permita entrada em portas não seguras ou endereços IP na zona de segurança.
`deny delete_vcn`	VCN	Não é possível excluir uma VCN na zona de segurança.
`deny update_route_table`	VCN	Não é possível atualizar uma tabela de roteamento da VCN na zona de segurança.
`deny update_network_security_group_ingress_rule`	VCN	Não é possível modificar as regras de entrada de um grupo de segurança de rede na zona de segurança.
`deny update_network_security_group_egress_rule`	VCN	Não é possível modificar as regras de saída de um grupo de segurança de rede na zona de segurança.
`deny delete_vcn_security_list`	VCN	Não é possível excluir uma lista de segurança de VCN na zona de segurança.
`deny update_vcn_security_list_ingress_rules`	VCN	Você não pode modificar as regras de segurança de entrada da lista de segurança da VCN na zona de segurança.
`deny update_vcn_security_list_egress_rules`	VCN	Você não pode modificar as regras de segurança de entrada da lista de segurança da VCN na zona de segurança.
`deny update_DHCP_options`	VCN	Não é possível atualizar opções DHCP na zona de segurança.
`deny update_local_peering_gateway`	VCN	Não é possível atualizar um gateway de pareamento local na zona de segurança.
`deny create_or_modify_vcn_security_list`	VCN	Não é possível criar ou modificar uma lista de segurança de VCN na zona de segurança.
`deny manage_DNS_resource`	VCN	Não é possível executar nenhuma das seguintes ações em um recurso DNS na zona de segurança: Atualizar um resolvedor Atualizar um ponto final do resolvedor Criar uma chave TSIG
`deny manage_virtual_network_resource`	VCN	Não é possível realizar nenhuma das seguintes ações para os recursos de rede virtual na zona de segurança: VPN Crie uma conexão cruzada Atualizar uma conexão cruzada Excluir uma conexão cruzada Mover uma conexão cruzada para outro compartimento Crie um grupo com conexão cruzada Atualizar um Grupo de Conexões Cruzadas Exclua um grupo com conexão cruzada Mover um grupo de conexões cruzadas para outro compartimento Gateway NAT Excluir um DRG Excluir um Gateway NAT Rede Virtual (VCN) Criar uma VCN Atualizar uma VCN Mover uma VCN para outro compartimento Criar uma sub-rede Atualizar uma sub-rede Excluir uma sub-rede Mover uma sub-rede para outro compartimento Excluir um gateway de internet Criar um IP público Excluir um IP público Mover um IP público para outro compartimento Excluir um gateway de pareamento local Visualizador da Rede Obter topologia de sub-rede Obter topologia de VCN
`deny manage_vcn_route_tables`	VCN	Você não pode executar nenhuma das seguintes ações em um recurso de tabela de roteamento da VCN na zona de segurança: Criar uma tabela de roteamento Atualizar uma tabela de roteamento Excluir uma tabela de roteamento Mover uma tabela de roteamento para outro compartimento
`deny create_vcn_security_list`	VCN	Não é possível criar uma lista de segurança de VCN na zona de segurança.
`deny manage_DHCP_options_resource`	VCN	Não é possível executar nenhuma das seguintes ações em um recurso DHCP na zona de segurança: Criar opções de DHCP Atualizar opções de DHCP Excluir opções de DHCP
`deny create_drg`	VCN	Não é possível criar um DRG (Gateway de Roteamento Dinâmico) na zona de segurança.

Restrições de Política de Zonas de Segurança em Portas UDP e TCP Não Protegidas

A política Security Zones impede que você crie regras de lista de segurança ou grupo de segurança de rede com portas UDP ou TCT não seguras.

Se a regra for baseada no protocolo UDP, a política de Zonas de Segurança não permitirá as seguintes portas:

11
17 a 19
49
69
80
82
83 a 85
389
443
656
8,080

Se a regra for baseada no protocolo TCP, a política do Security Zones não permitirá as seguintes portas:

11
17 a 19
21
23 a 25
43
49
53
70 a 74
79 a 81
88
111
123
389
636
445
500
3,306
3,389
5,901
5,985
5,986
7,001
8,000
8,080
8,443
8,888

Documentação do Oracle Cloud Infrastructure